Informationsrechtler kürt die neue europäische Datenschutzverordnung zu “einem der schlechtesten Gesetze des 21. Jahrhunderts”

By | 27. April 2016

Infor­ma­ti­ons­recht­ler Tho­mas Hoe­ren aus Müns­ter bezeich­net die neue euro­päi­sche Daten­schutz-Grund­ver­ord­nung als “eines der schlech­tes­ten Geset­ze des 21. Jahr­hun­derts” und “hirn­los”.  Auf Twit­ter zu lesen:

Die­se Aus­sa­gen traf Hoe­ren im Rah­men sei­nes Vor­trags auf dem Euro­fo­rum-Daten­schutz­kon­gress in Ber­lin am heu­ti­gen Tag. Dabei bezog er sich in sei­nen Aus­sa­gen auf ein­zel­ne Prin­zi­pi­en der Ver­ord­nung wie dem “Markt­ort­prin­zip” oder auch die “Daten­por­ta­bi­li­tät” (die Mög­lich­keit sei­ne Daten von einem Anbie­ter zum nächs­ten mit­zu­neh­men). Als “biblisch” schlecht bezeich­ne­te er eben­falls die schwach aus­ge­fal­le­ne For­mu­lie­rung der Zweck­bin­dung. Sei­ner Mei­nung nach sind den geplan­ten Rege­lun­gen zum Wider­spruchs­recht im Direkt­mar­ke­ting  “viel lob­by­is­ti­sches Kaf­fee­trin­ken” vor­aus­ge­gan­gen.

Quel­le

Was kostet ein externer (betrieblicher) Datenschutzbeauftragter?

By | 22. April 2016

Es kommt dar­auf an

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird desöf­te­ren per Email oder als Blog­kom­men­tar an mich her­an­ge­tra­gen.  Eine nach­voll­zieh­ba­re Fra­ge, gera­de wenn das eige­ne Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gera­de in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind kei­ne wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teu­er ist es, ein Haus zu bau­en?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezah­len?

Die ehr­li­che Ant­wort auf die Fra­ge nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es an?

Daten­schutz ist kein Pro­dukt von der Stan­ge, son­dern eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihr Unter­neh­men. Jede Unter­neh­mung ver­fügt über eine eige­ne Aus­gangs­si­tua­ti­on (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­ni­en etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­wei­se die unter­schied­lichs­ten IT-Lösun­gen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und per­so­nen­be­zo­ge­nen Daten im Unter­neh­men.

All die­se Punk­te bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso … Weiterlesen

Kurzlinks als unterschätztes Risiko für den Datenschutz

By | 20. April 2016

Fast jeder kennt sie, vie­le nut­zen Sie. Kurz­links zu Frei­ga­ben in Cloud­spei­chern oder auch als schnel­ler Link zu Web­sei­ten. Eine Stu­die der Uni­ver­si­tät Cor­nell hat nach­voll­zieh­bar ein Risi­ko für die auf die­se Art frei­ge­ge­be­nen Daten auf­ge­zeigt. Schwach­stel­le ist die typi­sche Zusam­men­set­zung mit Buch­sta­ben und Zah­len, und nur weni­gen Zei­chen. Die­se Kom­bi­na­tio­nen las­sen sich auto­ma­ti­siert erzeu­gen und abfra­gen. Sind die Frei­ga­ben nicht zusätz­lich mit einem Pass­wort geschützt, kön­nen die auf die­se Art im Zugriff befind­li­chen Daten direkt kom­pro­mit­tiert wer­den.

Die Stu­die zeigt ein wei­te­res Risi­ko auf. In sie­ben Pro­zent aller auf die­se Art ermit­tel­ten frei zugäng­li­chen Frei­ga­ben hät­ten Sie auf­grund der Art der Frei­ga­be Schad­code in den Spei­cher ein­brin­gen kön­nen. Die­ser hät­te sich mit­tels der übli­chen Syn­chro­ni­sa­ti­on somit auf die ange­schlos­se­nen Gerä­te der Nut­zer wei­ter ver­brei­ten kön­nen.

Gene­rell raten wir dazu, bei der Ver­ga­be aber auch der Nut­zung von Kurz­links sehr vor­sich­tig zu sein. Einer­seits besteht das in der Stu­die gut nach­voll­zieh­ba­re Daten­schutz-Risi­ko für Ihre auf die­se Art frei­ge­ge­be­nen Daten. Ande­rer­seits wis­sen Sie nie, wohin Sie ein Kurz­link füh­ren wird. Eine belieb­te Masche sind Umlei­tun­gen auf prä­pa­rier­te Web­sei­ten, die mit­tels Exploit Kit Schwach­stel­len auf Ihrem Gerät aunut­zen, um Ihnen Schad­code unter­zu­ju­beln.

Gene­rell scha­det es auch nicht im Unter­neh­mens­um­feld, Ihre Mit­ar­bei­ter für … Weiterlesen

Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

By | 11. April 2016

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spiegel.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurück­ge­setzt.

Abmahnung für den Einsatz von Google Analytics

By | 29. März 2016

Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln — im Zwei­fel mit­tels Abmah­nung — gezwun­gen wer­den.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Mona­ten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestä­tigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool umzu­set­zen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11
Weiterlesen

Patientendaten gehackt — Gesundheitskarte nach wie vor unsicher

By | 14. März 2016

Die RP Online mel­det letz­te Woche, dass es nach eige­nen Tests nach wie vor gro­ße Sicher­heits­lü­cken bei der Gesund­heits­kar­te gibt. Pati­en­ten­da­ten sind nach wie vor nicht sicher, hat deren Über­prü­fung erge­ben. Die Redak­ti­on konn­te mit weni­gen Maus­klicks und eini­gen Anru­fen bei der für den Test aus­ge­wähl­ten Bar­mer GEK ohne Pro­ble­me, Infor­ma­tio­nen über Arzt­be­su­che und Medi­ka­men­ta­tio­nen abfra­gen.

Wie RP Online berich­tet, ist dies bereits der fünf­te Fall in den letz­ten 20 Mona­ten, in dem es durch das ein­fach struk­tu­rier­te Anmel­de-Ver­fah­ren zu den Online-Ser­vices der Kran­ken­kas­sen (dar­un­ter neben der Bar­mer GEK auch die AOK) zum voll­stän­di­gen Zugriff auf das Ver­si­cher­ten-Pro­fil kom­men kann. Was dazu nötig ist? Es rei­chen Name, Geburts­da­tum, Ver­si­cher­ten­num­mer, eine neu auf den Namen des Ver­si­cher­ten aus­ge­stell­te Email-Adres­se bei einem belie­bi­gen Anbie­ter sowie ein Tele­fo­nat mit der Ver­si­che­rung.

Doch das ist nicht neu. Bereits 2014 wur­de die­se Vor­ge­hens­wei­se als Schwach­stel­le auf­ge­deckt, die Kran­ken­kas­sen infor­miert. 2015 war der Vor­gang immer noch nach­voll­zieh­bar (sie­he ZDF Videobei­trag). Getan hat sich seit­her wenig bis nichts. Daher ist auch die Bun­des­da­ten­schutz­be­auf­trag­te, Andrea Voß­hoff “not amu­sed”.

 

Locky immer erfolgreicher

By | 9. März 2016

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­la­crypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutsch­land).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­ware. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­co­ins. Und das Geschäft boomt.

Ein Klick genügt — Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeich­net.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich … Weiterlesen

Angebliche BKA Warnung vor Locky enthält Virus

By | 3. März 2016

Locky treibt wei­ter sein Unwe­sen. Aktu­ell ist eine War­nung per Email unter­wegs, die sehr pro­fes­sio­nell gemacht ist und als Absen­der das BKA vor­gibt. Im Anhang ein angeb­li­ches BKA Locky Remo­val Tool. Der Start hat fata­le Fol­gen. Vor­der­grün­dig pas­siert nichts, im Hin­ter­grund wird ein Tro­ja­ner akti­viert. Mehr auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit.

Die Auftragsdatenverarbeitung — Besonderheiten des Datenschutzrechts beim Outsourcing

By | 3. März 2016

Um was geht es bei Auftragsdatenverarbeitung?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­da­ten­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat der Gesetz­ge­ber im Bun­des­da­ten­schutz­ge­setz den § 11 BDSG “Auf­trags­da­ten­ver­ar­bei­tung” vor­ge­se­hen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht § 11 BDSG Auf­trags­da­ten­ver­ar­bei­tung eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Buß­gel­der bis 50.000 Euro (§ 43 BDSG).

Was fällt alles unter den Begriff Auftragsdatenverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­da­ten­ver­ar­bei­tung spricht man im Fal­le

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nungstel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len — fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Ger­ne … Weiterlesen

KGSt®-Infotag 2016: IT- und Datensicherheit in Kommunen

By | 22. Februar 2016

Am 23.02.2016 fin­det der KGSt®-Infotag: IT- und Daten­si­cher­heit in Kom­mu­nen in Hamm statt. Als Ver­tre­ter des Baye­ri­schen IT-Sicher­heits­clus­ters e.V. wer­den wir dort das The­ma ISIS12 für Kom­mu­nen prä­sen­tie­ren. Zum Abschluss der Ver­an­stal­tung neh­men wir an der Podi­ums­dis­kus­si­on teil, The­ma u.a. “Wie digi­tal sou­ve­rän müs­sen Kom­mu­nen sein?”. Wir freu­en uns auf anre­gen­de Bei­trä­ge und kon­tro­ver­se Dis­kus­sio­nen.

Mehr zur Ver­an­stal­tung