Abmahnung für den Einsatz von Google Analytics

By | 29. März 2016

Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln – im Zwei­fel mit­tels Abmah­nung – gezwun­gen wer­den.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Mona­ten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestä­tigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool umzu­set­zen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te
Weiterlesen

Patientendaten gehackt – Gesundheitskarte nach wie vor unsicher

By | 14. März 2016

Die RP Online mel­det letz­te Woche, dass es nach eige­nen Tests nach wie vor gro­ße Sicher­heits­lü­cken bei der Gesund­heits­kar­te gibt. Pati­en­ten­da­ten sind nach wie vor nicht sicher, hat deren Über­prü­fung erge­ben. Die Redak­ti­on konn­te mit weni­gen Maus­klicks und eini­gen Anru­fen bei der für den Test aus­ge­wähl­ten Bar­mer GEK ohne Pro­ble­me, Infor­ma­tio­nen über Arzt­be­su­che und Medi­ka­men­ta­tio­nen abfra­gen.

Wie RP Online berich­tet, ist dies bereits der fünf­te Fall in den letz­ten 20 Mona­ten, in dem es durch das ein­fach struk­tu­rier­te Anmel­de-Ver­fah­ren zu den Online-Ser­vices der Kran­ken­kas­sen (dar­un­ter neben der Bar­mer GEK auch die AOK) zum voll­stän­di­gen Zugriff auf das Ver­si­cher­ten-Pro­fil kom­men kann. Was dazu nötig ist? Es rei­chen Name, Geburts­da­tum, Ver­si­cher­ten­num­mer, eine neu auf den Namen des Ver­si­cher­ten aus­ge­stell­te Email-Adres­se bei einem belie­bi­gen Anbie­ter sowie ein Tele­fo­nat mit der Ver­si­che­rung.

Doch das ist nicht neu. Bereits 2014 wur­de die­se Vor­ge­hens­wei­se als Schwach­stel­le auf­ge­deckt, die Kran­ken­kas­sen infor­miert. 2015 war der Vor­gang immer noch nach­voll­zieh­bar (sie­he ZDF Videobei­trag). Getan hat sich seit­her wenig bis nichts. Daher ist auch die Bun­des­da­ten­schutz­be­auf­trag­te, Andrea Voß­hoff “not amu­sed”.

 … Weiterlesen

Locky immer erfolgreicher

By | 9. März 2016

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutsch­land).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­ware. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­coins. Und das Geschäft boomt.

Ein Klick genügt – Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeich­net.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich … Weiterlesen

Angebliche BKA Warnung vor Locky enthält Virus

By | 3. März 2016

Locky treibt wei­ter sein Unwe­sen. Aktu­ell ist eine War­nung per Email unter­wegs, die sehr pro­fes­sio­nell gemacht ist und als Absen­der das BKA vor­gibt. Im Anhang ein angeb­li­ches BKA Locky Remo­val Tool. Der Start hat fata­le Fol­gen. Vor­der­grün­dig pas­siert nichts, im Hin­ter­grund wird ein Tro­ja­ner akti­viert. Mehr auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit.Weiterlesen

Die Auftragsdatenverarbeitung – Besonderheiten des Datenschutzrechts beim Outsourcing

By | 3. März 2016

Um was geht es bei Auftragsdatenverarbeitung?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­da­ten­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat der Gesetz­ge­ber im Bun­des­da­ten­schutz­ge­setz den § 11 BDSG “Auf­trags­da­ten­ver­ar­bei­tung” vor­ge­se­hen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht § 11 BDSG Auf­trags­da­ten­ver­ar­bei­tung eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Buß­gel­der bis 50.000 Euro (§ 43 BDSG).

Was fällt alles unter den Begriff Auftragsdatenverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­da­ten­ver­ar­bei­tung spricht man im Fal­le

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nungstel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len – fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Ger­ne … Weiterlesen

KGSt®-Infotag 2016: IT- und Datensicherheit in Kommunen

By | 22. Februar 2016

Am 23.02.2016 fin­det der KGSt®-Infotag: IT- und Daten­si­cher­heit in Kom­mu­nen in Hamm statt. Als Ver­tre­ter des Baye­ri­schen IT-Sicher­heits­clus­ters e.V. wer­den wir dort das The­ma ISIS12 für Kom­mu­nen prä­sen­tie­ren. Zum Abschluss der Ver­an­stal­tung neh­men wir an der Podi­ums­dis­kus­si­on teil, The­ma u.a. “Wie digi­tal sou­ve­rän müs­sen Kom­mu­nen sein?”. Wir freu­en uns auf anre­gen­de Bei­trä­ge und kon­tro­ver­se Dis­kus­sio­nen.

Mehr zur Ver­an­stal­tungWeiterlesen

Krankenhaus in NRW fängt sich Krypto-Trojaner

By | 11. Februar 2016

Das Lukas­kran­ken­haus in Neuss wur­de von einem Kryp­to-Tro­ja­ner befal­len. Aus­ge­löst hat die Ver­schlüs­se­lung aller Datei­en wohl ein unvor­sich­ti­ger Mit­ar­bei­ter, der einen infi­zier­ten Email-Anhang öff­ne­te. Die Sys­te­me wur­den run­ter­ge­fah­ren, Ope­ra­tio­nen ver­scho­ben. Mehr lesen Sie auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit.Weiterlesen

Neuer a.s.k. Webauftritt zu Informationssicherheit, ISMS und IT-Sicherheit online

By | 11. Februar 2016

Unse­re Leser haben in der Ver­gan­gen­heit häu­fi­ger bemän­gelt, wir wür­den die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit auf die­sem Fach­blog zu sehr mit­ein­an­der ver­mi­schen. Wir haben dies zum Anlass genom­men, unse­ren Web­auf­tritt auf den Prüf­stand zu stel­len. Zukünf­tig wer­den wir die The­men Infor­ma­ti­ons­si­cher­heit, Infor­ma­ti­on Secu­ri­ty Manage­ment Sys­tems (Mana­ga­ment-Sys­te­me für Infor­ma­ti­ons­si­cher­heit, kurz ISMS), BSI IT-Grund­schutz, ISIS12, IT-Not­fall­ma­nage­ment sowie Berich­te zur aktu­el­len Bedro­hungs­la­ge auf einer wei­te­ren Web­sei­te von a.s.k. Daten­schutz samt News-Blog prä­sen­tie­ren. Dadurch kön­nen wir Ihnen unse­re Dienst­leis­tun­gen aus den Berei­chen Daten­schutz und Infor­ma­ti­ons­si­cher­heit deut­lich bes­ser the­men­be­zo­gen prä­sen­tie­ren und dar­stel­len. Die Tren­nung zu den rei­nen Daten­schutz-The­men soll­te dadurch auch für Sie als Leser ein­fa­cher wer­den.

Auf die­sem Fach­blog Daten­schutz wer­den wir uns wei­ter­hin mit dem The­ma Daten­schutz und den kom­men­den Aus­wir­kun­gen der EU Daten­schutz-Grund­ver­ord­nung beschäf­ti­gen. Selbst­ver­ständ­lich erhal­ten Sie hier auch wei­ter­hin Tipps und Tricks aus dem All­tag oder auch Ver­an­stal­tungs­hin­wei­se. Und über aku­te Bedro­hungs­la­gen wer­den wir Sie auch zukünf­tig hier auf die­sem Blog infor­mie­ren, mit Ver­weis auf den Haupt­ar­ti­kel unse­rer zwei­ten The­men­sei­te.

Sie errei­chen die­se über den Link https://www.informationssicherheit-aktuell.de oder wie gewohnt über https://www.ask-datenschutz.de.… Weiterlesen

Stoppt das Windows 10 Zwangs-Upgrade

By | 6. Februar 2016

Kei­ne Lust auf das Win­dows 10 Zwangs-Upgrade und den dazu­ge­hö­ri­gen Zwangs-Down­load? Dann ist es jetzt Zeit zu han­deln. Denn Micro­soft macht nun Ernst und über­spielt je nach Update-Ein­stel­lung das Betriebs­sys­tem nun sogar unge­fragt auf Ihren PC.

Wie Sie dage­gen erfolg­reich vor­ge­hen kön­nen, lesen Sie in die­sem Bei­trag der COMPUTER BILD: http://www.computerbild.de/artikel/cb-News-Software-Windows-10-Zwangs-Update-Killer-13265941.html

Oder direkt den CB Win­dows 10 Zwangs-Update-Kil­ler her­un­ter­la­den. Down­load hier: http://www.computerbild.de/download/COMPUTER-BILD-Windows-10-Zwangs-Update-Killer-13332215.htmlWeiterlesen

Safe Harbor ist tot, es lebe “EU-US Privacy Shield”

By | 2. Februar 2016

Wur­de ges­tern vor­mit­tag noch über das Ende der Schon­frist für Daten­über­mitt­lun­gen in die USA auf Basis von Safe Har­bor berich­tet, erscheint Licht am Hori­zont.

Die Ver­ant­wort­li­chen der EU-Kom­mis­si­on prä­sen­tie­ren ges­tern Abend den Nach­fol­ger. Die­ser heißt – zum Glück – nicht Safe Har­bor 2.0. Obwohl nur ers­te Details bekannt wur­den, steht der Nach­fol­ger EU-US Pri­va­cy Shield als ‘alter Wein in neu­en Schläu­chen’ bereits in der Kri­tik.

Ob das Abkom­men im Detail den Anfor­de­run­gen des EuGH stand­hält, bleibt abzu­war­ten. Der EuGH hat mit sei­nem Safe Har­bor Urteil im Herbst 2015 die Sache ins Rol­len gebracht, und die lang­jäh­ri­ge Pra­xis von Safe Har­bor für ungül­tig erklärt.

Wir hal­ten Sie in kom­men­den Bei­trä­gen über wei­te­re Details selbst­ver­ständ­lich auf dem Lau­fen­den.… Weiterlesen