Sascha Kuhrau

Seit 2007 freiberuflich für Unternehmen, Behörden (Bund und Land) und Kommunen tätig als Berater für Datenschutz, Informationssicherheit und externer Datenschutzbeauftragter. Gerne unterstütze ich Sie bei Ihren Themen rund um Datenschutz, Informationssicherheit, ISIS12 und ISMS. Sprechen Sie mich an.

Author Archives: Sascha Kuhrau

Danke Mailchimp! Abmahnrisiko für deutsche Newsletter-Versender

By | 30. Oktober 2017

Vorteile externer Newsletter-Versender / Anbieter

Exter­ner News­let­ter-Ver­sen­der sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Diens­tes das Risi­ko eines offe­nen News­let­ter-Ver­tei­lers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wur­den.

Double opt-in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von News­let­ter-Emp­fän­gern mit­tels des sog. dou­ble opt-in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim doup­le opt-in Ver­fah­ren bestä­tigt der News­let­ter-Emp­fän­ger — zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail — sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu kön­nen.

Danke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Stan­dard-Anmel­de­ver­fah­ren auf sin­gle opt-in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen News­let­ter-Ver­sen­der nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Ansons­ten dro­hen Abmah­nun­gen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, … Weiterlesen

Email-Werbung ohne schriftliche Einwilligung — geht das überhaupt?

By | 5. September 2017

Keine Email-Werbung ohne Einwilligung

Oft wer­den wir als Daten­schutz­be­auf­trag­te gefragt, ob für Email-Wer­bung  oder Wer­bung per SMS eine schrift­li­che Ein­wil­li­gung wirk­lich not­wen­dig ist. Dabei wird über­se­hen, dass hier das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) der ers­te Spiel­ver­der­ber ist. Das all­ge­mei­ne Daten­schutz­recht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Num­mer 3 des UWG wird Email-Wer­bung zusam­men mit SMS- und Tele­fax-Wer­bung grund­sätz­lich als unzu­mut­ba­re Beläs­ti­gung im Sin­ne des UWG ein­ge­stuft. Daher ist Email-Wer­bung nur mit aus­drück­li­cher (vor­he­ri­ger schrift­li­cher) Ein­wil­li­gung der betrof­fe­nen Per­son erlaubt. Mit der wett­be­werbs­recht­li­chen Zuläs­sig­keit steht und fällt zugleich auch die daten­schutz­recht­li­che Zuläs­sig­keit.

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Ja, Email-Wer­bung ohne vor­he­ri­ge schrift­li­che Ein­wil­li­gung kann in einer ein­zi­gen Aus­nah­me mög­lich sein. Die­se Aus­nah­me beschreibt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg. Ver­brau­cher, aber auch Wer­be­trei­ben­de kön­nen sich in dem frei ver­füg­ba­ren und aktua­li­sier­ten Merk­blatt „Was Sie gegen uner­wünsch­te Wer­bung tun kön­nen” (Stand 10. Mai 2017) infor­mie­ren.

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Nach Auf­fas­sung des Lan­des­be­auf­trag­ten ist Email-Wer­bung ohne (vor­he­ri­ge) schrift­li­che Ein­wil­li­gung mög­lich nach § 7 Absatz 3 UWG, wenn der Wer­be­trei­ben­de (also das Unter­neh­men) schrift­lich alle nach­fol­gen­den Vor­aus­set­zun­gen nach­wei­sen kann (Ori­gi­nal-Zitat aus dem Merk­blatt):

  • Er
Weiterlesen

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld — Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor-, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men … Weiterlesen

Personalausweis einfach kopieren — einfach rechtswidrig

By | 18. August 2017

Personalausweis als Pfand, Personalausweis-Kopie als Beleg — üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Doku­men­ten-Manage­ment-Sys­tem gespei­chert. Bran­chen­über­grei­fend üblich, vom Fit­ness-Stu­dio bis zur Auto­ver­mie­tung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAuswG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Aus­weis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopi­en des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­nis­te­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll
Weiterlesen

Ich bereue den Passwort-Wahnsinn”

By | 11. August 2017

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Sei­ten, die es in sich haben. Die NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mis­ter Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US-Behör­de, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­nä­ckig. Auch der BSI IT-Grund­schutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf.

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST emp­fahl bis­her zur Pass­wort­si­cher­heit:

  1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Son­der­zei­chen)
  2. Pass­wör­ter sol­len alle 90 Tage gewech­selt wer­den

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit gekos­tet.

Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Weiterlesen

Auslegungshilfen zur EU Datenschutzgrundverordnung veröffentlicht

By | 7. Juli 2017

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat ers­te Aus­le­gungs­hil­fen zum neu­en Daten­schutz­recht der EU Daten­schutz­grund­ver­ord­nung (EU-DSGVO) ver­öf­fent­licht.

Die­se Hil­fen ste­hen auf der Web­sei­te der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen zum Down­load zur Ver­fü­gung.

Wie bereits in einem frü­he­ren Bei­trag beschrie­ben, ist die Unter­stüt­zung mit Vor­la­gen und Hilfs­mit­teln zur Umset­zung der EU-DSGVO noch recht „über­schau­bar“. Dies wird auch am Umfang der jetzt ver­öf­fent­lich­ten — und noch zu erwei­tern­den — Aus­le­gungs­hil­fen deut­lich. 3 The­men wer­den behan­delt:

  1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DS-GVO
  2. Auf­sichts­be­fug­nis­se / Sank­tio­nen
  3. Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Wer­bung

Der Hype um das (private) Whatsapp-Abmahnrisiko

By | 28. Juni 2017

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whats­app-Nut­zer durch das Netz. Doch was steckt dahin­ter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whats­app

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whats­app-Nut­zers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whats­app-Ser­vern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kos­ten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die ers­te Nach­richt hier­zu im Web lan­ciert, ging der Copy & Pas­te — Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devi­se.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Cars­ten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nut­zung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in … Weiterlesen

Keine Panik: Die EU-Datenschutzgrundverordnung kommt

By | 11. Juni 2017

Wer die letz­ten Woche und Mona­te die Mel­dun­gen in den Nach­rich­ten, auf Blogs, in sozia­len Netz­wer­ken und auch per Post ver­folgt, kann es nur mit der Angst bekom­men. Da kommt die EU-Daten­schutz­grund­ver­ord­nung im Mai 2018 auf Unter­neh­men und Behör­den zu und man könn­te mei­nen, die Welt ste­he kurz vor ihrem Unter­gang. Ein­zi­ge Abhil­fe natür­lich, jetzt schnell diver­se Semi­na­re buchen oder diver­se Lite­ra­tur­zu­sam­men­stel­lun­gen kau­fen. Doch ist das wirk­lich so schlimm, was da auf Unter­neh­men und Behör­den zu kommt?

Rechtliches zur EU-Datenschutzgrundverordnung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein har­tes Umschal­ten zwi­schen unse­ren bis­he­ri­gen natio­na­len Daten­schutz­ge­set­zen und der EU-DSGVO geben. Sind wir bis zu die­sem Ter­min noch an das Bun­des­da­ten­schutz­ge­setz und die Lan­des­da­ten­schutz­ge­set­ze gebun­den, so wer­den die­se zum og. Ter­min durch die EU-DSGVO ver­drängt. Hin­zu kom­men in den EU-Mit­glieds­staa­ten mög­li­che Anpas­sungs­ge­set­ze, in Deutsch­land für Bund und Län­der jeweils sepa­rat. Die­se beru­hen auf den soge­nann­ten Öff­nungs­klau­seln in der EU-DSGVO, zu denen die Mit­glieds­staa­ten eige­ne natio­na­le Regeln ergän­zen kön­nen. Der Spiel­raum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu wider­spre­chen sein.

Vor die­sem Hin­ter­grund ist auch der Arbeits­ti­tel “BDSG-neu” für das deut­sche Anpas­sungs­ge­setz nicht ganz kor­rekt. Daher heißt es auch … Weiterlesen

Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

By | 24. April 2017

DIE EU-DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) macht es für baye­ri­sche Kom­mu­nen mög­lich, was in ande­ren Bun­des­län­dern schon län­ger geüb­te Pra­xis ist: Die Bestel­lung eines exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten. Sah das Baye­ri­sche Lan­des­da­ten­schutz­ge­setz (BayDSG) bis­her eine exter­ne Bestell­mög­lich­keit eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nal­ein­rich­tun­gen nicht vor, so ändert sich dies zum 25.05.2018 ein­heit­lich. Ab die­sem Zeit­punkt kön­nen und dür­fen baye­ri­sche Kom­mu­nen end­lich einen exter­nen Daten­schutz­be­auf­trag­ten zum behörd­li­chen Daten­schutz­be­auf­trag­ten bestel­len.

Entlastung für kleinere Kommunen

Gera­de klei­ne­re Kom­mu­nen haben sich mit der Bestel­lung eines Daten­schutz­be­auf­trag­ten stets schwer getan. Neben den viel­fäl­ti­gen Auf­ga­ben einer Ver­wal­tung und den nicht gera­de üppig vor­han­de­nen Per­so­nal­res­sour­cen war meist wenig „Luft“ für die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten. Und selbst wenn es zu einer inter­nen Bestel­lung kam, so wur­de die Funk­ti­on nicht sel­ten mit wenig bis kei­nem Leben erfüllt. Hin­zu kamen gra­vie­ren­de Nach­tei­le eines mit wenig Zeit und Res­sour­cen aus­ge­stat­te­ten inter­nen Daten­schutz­be­auf­trag­ten. Näm­lich der viel zu gerin­ge zeit­li­che Spiel­raum zur Aus­übung der Tätig­keit, das feh­len­de Know-How (meist kei­ne Aus­bil­dung zum DSB vor­han­den) und damit ein­her­ge­hend die feh­len­de Übung im Umgang mit den all­täg­li­chen Daten­schutz­fra­gen.

Doch mit der EU-DSGVO kommt Ent­las­tung und Unter­stüt­zung für baye­ri­sche Kom­mu­nen. Ab dem 25.05.2018 kön­nen die­se nun … Weiterlesen

Aushilfskraft (m/w) zur Unterstützung im Backoffice gesucht

By | 30. März 2017

a.s.k. Daten­schutz braucht Ver­stär­kung oder anders aus­ge­drückt — WIR SUCHEN DICH! 🙂

Aus­hilfs­kraft (m/w) mit tech­ni­schem Hin­ter­grund für befris­te­te Unter­stüt­zung bei eini­gen Kun­den­pro­jek­ten gesucht. Kennt­nis­se im Bereich Cloud, Daten­schutz und Infor­ma­ti­ons­si­cher­heit von Vor­teil. Tätig­keit kann von jedem inter­net­fä­hi­gen (nicht öffent­li­chen!) PC aus­ge­führt wer­den.

Kein Kun­den­kon­takt, kei­ne Akqui­se, rei­ne Unter­stüt­zung im Back­of­fice.

Befris­te­te Anstel­lung als Aus­hil­fe, ger­ne auch Tätig­keit als frei­er Mit­ar­bei­ter — wie Sie es wün­schen.

Kurz­be­wer­bun­gen mit tech­ni­schem Hin­ter­grund bit­te per Post an a.s.k. Daten­schutz, Sascha Kuhrau, Schul­stras­se 16a, 91245 Sim­mels­dorf oder per Mail an ed.ztuhcsnetad-ksanull@407102eflihsua. Bit­te bei Email-Bewer­bun­gen beach­ten: Ihre Daten wer­den unver­schlüs­selt über­tra­gen, solan­ge Sie nicht unser S/MI­ME-Zer­ti­fi­kat für die Ver­schlüs­se­lung ein­set­zen. Ger­ne sen­den wir Ihnen dies vor­ab per Mail zu.