Fahrplan der EU Datenschutz-Grundverordnung (EU DS GVO)

By | 10. Mai 2016

Die Europäische Datenschutz-Grundverordnung (EU DS GVO) wird nach der Veröffentlichung im EU Amtsblatt am 24.05.2016 inkrafttreten. Die Verunsicherung bei Unternehmen, aber auch Behörden und kommunalen Einrichtungen ist zur Zeit groß. Was kommt genau an Änderungen auf uns zu? Was muss ich ab wann beachten? Und noch viel dringender: wie setze ich das Ganze in der Praxis um? In diesem Beitrag wollen wir Ihnen den Fahrplan der EU Datenschutz-Grundverordnung aufzeigen. Damit haben Sie einen zeitlichen Anhaltspunkt, bis wann die Umsetzung zu erfolgen hat und welches Recht zu welchem Zeitpunkt anzuwenden ist.

Datum / ZeitraumSachverhaltRechtsanwendung
Dezember 2015Einigung im EU Trilog auf die Inhalte und grundlegenden Formulierungen der Grundverordnung (EU DS GVO)Das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze gelten weiter.
Beginn der Umsetzungsfrist, bedeutet: Datenverarbeitungen sollen innerhalb von 2 Jahren nach Inkrafttreten (24.05.2016) mit der Verordnung in Einklang gebracht, sprich angepasst werden.
Laufende und neue Verfahren müssen jedoch den Anforderungen und Auflagen der noch geltenden Datenschutzgesetze genügen!
April 2016Annahme durch Europa-Rat und das Europäische Parlament
04.05.2016Verkündung im Europäischen Amtsblatt
24.05.2016Inkrafttreten der Europäischen Datenschutz-Grundverordnung (EU DS GVO) und Beginn der Umsetzungsfrist in den Mitgliedsstaaten
25.05.2018Geltung der EU DS GVO und Ende der UmsetzungsfristAb jetzt sind Bundesdatenschutzgesetz und
Weiterlesen

EU Datenschutz-Grundverordnung (EU DS GVO) im EU Amtsblatt veröffentlicht

By | 5. Mai 2016

Am 04.05.2016 wurde die EU Datenschutz-Grundverordnung im EU Amtsblatt veröffentlicht. 20 Tage nach der Veröffentlichung tritt eine Verordnung in Kraft, also die EU Datenschutz-Grundverordnung (EU DS GVO) somit zum 25.05.2016. Weitere zwei Jahre später wird die EU DS GVO gültig, das ist der 25.05.2018.

Nun gilt es, sowohl für nicht-öffentliche (Unternehmen und Vereine) und öffentliche (Behörden) Stellen, sich auf diesen Termin vorzubereiten. Zuvor ist noch der deutsche Gesetzgeber gefordert, die nationalen Öffnungsklauseln in der Verordnung zu nutzen und entsprechend auszugestalten. Um nicht unglaubwürdig zu erscheinen, muss es Ziel sein, das bisherige Schutzniveau nicht zu unterlaufen. Ob das beabsichtigt ist und am Ende auch gelingt, darf mit Spannung erwartet werden.

Die offizielle Veröffentlichung des mehrsprachigen (und somit auch deutschen) Textes finden Sie auf den Webseiten der EU.

Informationsrechtler kürt die neue europäische Datenschutzverordnung zu „einem der schlechtesten Gesetze des 21. Jahrhunderts“

By | 27. April 2016

Informationsrechtler Thomas Hoeren aus Münster bezeichnet die neue europäische Datenschutz-Grundverordnung als „eines der schlechtesten Gesetze des 21. Jahrhunderts“ und „hirnlos“.  Auf Twitter zu lesen:

Diese Aussagen traf Hoeren im Rahmen seines Vortrags auf dem Euroforum-Datenschutzkongress in Berlin am heutigen Tag. Dabei bezog er sich in seinen Aussagen auf einzelne Prinzipien der Verordnung wie dem „Marktortprinzip“ oder auch die „Datenportabilität“ (die Möglichkeit seine Daten von einem Anbieter zum nächsten mitzunehmen). Als „biblisch“ schlecht bezeichnete er ebenfalls die schwach ausgefallene Formulierung der Zweckbindung. Seiner Meinung nach sind den geplanten Regelungen zum Widerspruchsrecht im Direktmarketing  „viel lobbyistisches Kaffeetrinken“ vorausgegangen.

Quelle

Was kostet ein externer (betrieblicher) Datenschutzbeauftragter?

By | 22. April 2016

Es kommt darauf an

Was kostet ein externer Datenschutzbeauftragter?„, diese Frage wird desöfteren per Email oder als Blogkommentar an mich herangetragen.  Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

  • Was kostet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: „Es kommt darauf an!“

Auf was kommt es an?

Datenschutz ist kein Produkt von der Stange, sondern eine individuelle Leistung maßgeschneidert auf Ihr Unternehmen. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und personenbezogenen Daten im Unternehmen.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso … Weiterlesen

Kurzlinks als unterschätztes Risiko für den Datenschutz

By | 20. April 2016

Fast jeder kennt sie, viele nutzen Sie. Kurzlinks zu Freigaben in Cloudspeichern oder auch als schneller Link zu Webseiten. Eine Studie der Universität Cornell hat nachvollziehbar ein Risiko für die auf diese Art freigegebenen Daten aufgezeigt. Schwachstelle ist die typische Zusammensetzung mit Buchstaben und Zahlen, und nur wenigen Zeichen. Diese Kombinationen lassen sich automatisiert erzeugen und abfragen. Sind die Freigaben nicht zusätzlich mit einem Passwort geschützt, können die auf diese Art im Zugriff befindlichen Daten direkt kompromittiert werden.

Die Studie zeigt ein weiteres Risiko auf. In sieben Prozent aller auf diese Art ermittelten frei zugänglichen Freigaben hätten Sie aufgrund der Art der Freigabe Schadcode in den Speicher einbringen können. Dieser hätte sich mittels der üblichen Synchronisation somit auf die angeschlossenen Geräte der Nutzer weiter verbreiten können.

Generell raten wir dazu, bei der Vergabe aber auch der Nutzung von Kurzlinks sehr vorsichtig zu sein. Einerseits besteht das in der Studie gut nachvollziehbare Datenschutz-Risiko für Ihre auf diese Art freigegebenen Daten. Andererseits wissen Sie nie, wohin Sie ein Kurzlink führen wird. Eine beliebte Masche sind Umleitungen auf präparierte Webseiten, die mittels Exploit Kit Schwachstellen auf Ihrem Gerät aunutzen, um Ihnen Schadcode unterzujubeln.

Generell schadet es auch nicht im Unternehmensumfeld, Ihre Mitarbeiter für … Weiterlesen

Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

By | 11. April 2016

Am gestrigen Sonntag wurde gemeldet, Nutzerkonten samt Daten von registrierten Nutzern der Webseite des DuMont-Verlags standen stundenlang ungeschützt im Netz. Während der Verlag von einem Hackerangriff spricht, scheint einiges für interne Schlamperei zu sprechen (spiegel.de)

Der Verlag nahm die betroffenen Webseiten einige Stunden nach Meldung der Datenpanne offline. Sie sollen im Laufe des heutigen Tages wieder ans Netz gehen. Fatal: Neben den Benutzernamen waren die Passwörter im Klartext abgespeichert. Nach eigenen Angaben des Verlags wurden die Passwörter der betroffenen Accounts zurückgesetzt.

Abmahnung für den Einsatz von Google Analytics

By | 29. März 2016

Google Analytics als Webtracking- und Analyse-Tool ist bei Webmastern recht beliebt. Eine aus Datenschutzsicht beanstandungsfreie Umsetzung ist seit geraumer Zeit möglich. Dabei gilt es jedoch, einiges zu beachten. Wer sich darum nicht kümmert, kann zukünftig vom Wettbewerb dazu mit rechtlichen Mitteln – im Zweifel mittels Abmahnung – gezwungen werden.

In einer einstweiligen Verfügung des Landgerichts Hamburg vom 10.03.2016 mit dem Aktenzeichen 312 O 127/16 untersagt das Gericht dem Betreiber einer Webseite den Einsatz von Google Analytics aufgrund fehlender Hinweise auf den Einsatz, beispielweise im Rahmen der Datenschutzerklärung. Das Landgericht Hamburg droht dem Webseitenbetreiber für den Fall der Zuwiderhandlung gegen diese Anordnung ein Ordnungsgeld von bis zu 250.000 Euro an (als Ersatz Ordnungshaft bis zu 6 Monaten).

Nicht eindeutig geklärt ist bisher, ob § 13 Absatz 1 Satz 1 Telemediengesetz (TMG) Grundlage für eine Abmahnung sein kann. Das Oberlandesgericht (OLG) München hat 2012 diesen Sachverhalt verneint. Dem entgegen hat das OLG Hamburg in 2013 die Abmahnfähigkeit bestätigt.

Wer demnach zur Zeit Abmahnung und weiteres Ungemach wegen des Einsatzes von Google Analytics vermeiden will, tut gut daran, die Empfehlungen aus 2011 für die Einführung und Nutzung von Google Analytics als Webtracking- und Analyse-Tool umzusetzen:

  1. Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG. Eine gemeinsam erarbeitete
Weiterlesen

Patientendaten gehackt – Gesundheitskarte nach wie vor unsicher

By | 14. März 2016

Die RP Online meldet letzte Woche, dass es nach eigenen Tests nach wie vor große Sicherheitslücken bei der Gesundheitskarte gibt. Patientendaten sind nach wie vor nicht sicher, hat deren Überprüfung ergeben. Die Redaktion konnte mit wenigen Mausklicks und einigen Anrufen bei der für den Test ausgewählten Barmer GEK ohne Probleme, Informationen über Arztbesuche und Medikamentationen abfragen.

Wie RP Online berichtet, ist dies bereits der fünfte Fall in den letzten 20 Monaten, in dem es durch das einfach strukturierte Anmelde-Verfahren zu den Online-Services der Krankenkassen (darunter neben der Barmer GEK auch die AOK) zum vollständigen Zugriff auf das Versicherten-Profil kommen kann. Was dazu nötig ist? Es reichen Name, Geburtsdatum, Versichertennummer, eine neu auf den Namen des Versicherten ausgestellte Email-Adresse bei einem beliebigen Anbieter sowie ein Telefonat mit der Versicherung.

Doch das ist nicht neu. Bereits 2014 wurde diese Vorgehensweise als Schwachstelle aufgedeckt, die Krankenkassen informiert. 2015 war der Vorgang immer noch nachvollziehbar (siehe ZDF Videobeitrag). Getan hat sich seither wenig bis nichts. Daher ist auch die Bundesdatenschutzbeauftragte, Andrea Voßhoff „not amused“.

 

Locky immer erfolgreicher

By | 9. März 2016

Zusammenfassung

Verwunderlich, wie wenig in den Nachrichten zu dem Thema in den letzten Tagen zu hören ist. Nach Teslacrypt treibt ein weiterer Krypto-Trojaner sein Unwesen. Und das sogar ziemlich erfolgreich. Vor einigen Tagen gab es noch 5.000 Infektionen pro Stunde in Deutschland. Heute sind es über den Tag immerhin noch 17.000 (auch wieder nur alleine in Deutschland).

Krypto-Trojaner gehören zu der sogenannten Ransomware. Einmal auf dem Computer angekommen und aktiviert, beginnen sie umgehend mit ihrer Aufgabe. Und diese lautet „Verschlüssele alles, was Dir in die Finger kommt“. Die Folgen verheerend. Unternehmen werden lahmgelegt, Behörden sind arbeitsunfähig. Im privaten Bereich sind im Zweifel über die Jahre mühselig gepflegte Bilder- und Musikdatenbanken futsch.

Entschlüsselt wird nur gegen Zahlung von Lösegeld in Form von Bitcoins. Und das Geschäft boomt.

Ein Klick genügt – Locky legt los

Vor einigen Tagen sprach ich mit dem IT-Leiter einer großen Stadt in Bayern. Zu Locky (dem zur Zeit bekanntesten grassierenden Krypto-Trojaner) befragt, meinte er lapidar „Wir sind auf DEFCON 1“. Damit wird die höchste militärische Verteidigungsstufe in den USA bezeichnet.

Wie es zu einer solchen Aussage kommt, wird schnell klar, wenn man einen Blick auf die Entwicklung in den letzten Wochen wirft. Bereits im Dezember sahen sich … Weiterlesen