Tag Archives: Risiko

Die DSGVO Schonfrist ist vorbei – Aufsichtsbehörden machen ernst

By | 27. November 2018

Seit Mai 2018 ist die EU Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam, nach­dem sie bereits Mai 2016 in Kraft getre­ten ist. Zeit bestand aus­rei­chend, sich auf die Neue­run­gen vor­zu­be­rei­ten. Die eine oder ande­re Orga­ni­sa­ti­on hat die Gele­gen­heit genutzt, bestehen­de Lücken in der eige­nen Daten­schutz-Orga­ni­sa­ti­on zu schlie­ßen. In den letz­ten Mona­ten haben wir öfter mal den Satz gehört „Woher soll ich wis­sen, was da im Daten­schutz zu tun ist?“. Hier gilt eine Hol­schuld durch die Orga­ni­sa­ti­ons­lei­tung getreu dem Mot­to „Unwis­sen­heit schützt vor Stra­fe nicht“. Für die Ein­hal­tung gesetz­li­cher Vor­schrif­ten ist die Lei­tung zustän­dig und ver­ant­wort­lich. Für Geschäfts­füh­rer gilt hier § 130 Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) mit der tref­fen­den Bezeich­nung “Ver­let­zung der Auf­sichts­pflicht in Betrie­ben und Unter­neh­men“. Ähn­li­che Ver­pflich­tun­gen für Behör­den trifft sogar unser Grund­ge­setz.

Die DSGVO-Schonzeit ist vorbei

Die meis­ten Lan­des­da­ten­schutz­be­hör­den haben jedoch in den letz­ten Mona­ten ein Auge zuge­drückt und eine im Gesetz nicht vor­ge­se­he­ne frei­wil­li­ge Karenz­zeit ein­ge­scho­ben. In die­sem Zeit­raum soll­ten Orga­ni­sa­tio­nen die Gele­gen­heit letzt­ma­lig nut­zen, die recht­li­chen Ver­pflich­tun­gen aus der DSGVO in Ver­bin­dung mit dem neu­en Bun­des­da­ten­schutz­ge­setz (BDSG) für Unter­neh­men und den Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den und kom­mu­na­le Ein­rich­tun­gen umzu­set­zen. Die­se Schon­zeit ist nun vor­bei!

Es wird ernst – aber Buß­gel­der sind nicht das eigent­li­che Pro­blem

Ende Okto­ber wur­de … Weiterlesen

Danke Mailchimp! Abmahnrisiko für deutsche Newsletter-Versender

By | 30. Oktober 2017

Vorteile externer Newsletter-Versender / Anbieter

Exter­ner News­let­ter-Ver­sen­der sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Diens­tes das Risi­ko eines offe­nen News­let­ter-Ver­tei­lers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wur­den.

Double opt-in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von News­let­ter-Emp­fän­gern mit­tels des sog. dou­ble opt-in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim doup­le opt-in Ver­fah­ren bestä­tigt der News­let­ter-Emp­fän­ger – zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail – sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu kön­nen.

Danke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Stan­dard-Anmel­de­ver­fah­ren auf sin­gle opt-in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen News­let­ter-Ver­sen­der nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Ansons­ten dro­hen Abmah­nun­gen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, … Weiterlesen

Email-Werbung ohne schriftliche Einwilligung – geht das überhaupt?

By | 5. September 2017

Keine Email-Werbung ohne Einwilligung

Oft wer­den wir als Daten­schutz­be­auf­trag­te gefragt, ob für Email-Wer­bung  oder Wer­bung per SMS eine schrift­li­che Ein­wil­li­gung wirk­lich not­wen­dig ist. Dabei wird über­se­hen, dass hier das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) der ers­te Spiel­ver­der­ber ist. Das all­ge­mei­ne Daten­schutz­recht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Num­mer 3 des UWG wird Email-Wer­bung zusam­men mit SMS- und Tele­fax-Wer­bung grund­sätz­lich als unzu­mut­ba­re Beläs­ti­gung im Sin­ne des UWG ein­ge­stuft. Daher ist Email-Wer­bung nur mit aus­drück­li­cher (vor­he­ri­ger schrift­li­cher) Ein­wil­li­gung der betrof­fe­nen Per­son erlaubt. Mit der wett­be­werbs­recht­li­chen Zuläs­sig­keit steht und fällt zugleich auch die daten­schutz­recht­li­che Zuläs­sig­keit.

Ausnahmsweise doch Email-Werbung ohne Einwilligung?

Ja, Email-Wer­bung ohne vor­he­ri­ge schrift­li­che Ein­wil­li­gung kann in einer ein­zi­gen Aus­nah­me mög­lich sein. Die­se Aus­nah­me beschreibt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg. Ver­brau­cher, aber auch Wer­be­trei­ben­de kön­nen sich in dem frei ver­füg­ba­ren und aktua­li­sier­ten Merk­blatt „Was Sie gegen uner­wünsch­te Wer­bung tun kön­nen” (Stand 10. Mai 2017) infor­mie­ren.

Wie lautet diese Ausnahme für Email-Werbung ohne Einwilligung?

Nach Auf­fas­sung des Lan­des­be­auf­trag­ten ist Email-Wer­bung ohne (vor­he­ri­ge) schrift­li­che Ein­wil­li­gung mög­lich nach § 7 Absatz 3 UWG, wenn der Wer­be­trei­ben­de (also das Unter­neh­men) schrift­lich alle nach­fol­gen­den Vor­aus­set­zun­gen nach­wei­sen kann (Ori­gi­nal-Zitat aus dem Merk­blatt):

  • Er hat die
Weiterlesen

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor-, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che … Weiterlesen

Personalausweis einfach kopieren – einfach rechtswidrig

By | 18. August 2017

Personalausweis als Pfand, Personalausweis-Kopie als Beleg – üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Doku­men­ten-Manage­ment-Sys­tem gespei­chert. Bran­chen­über­grei­fend üblich, vom Fit­ness-Stu­dio bis zur Auto­ver­mie­tung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAuswG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Aus­weis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopi­en des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­nis­te­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll
Weiterlesen

Ich bereue den Passwort-Wahnsinn”

By | 11. August 2017

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Sei­ten, die es in sich haben. Die “NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mis­ter Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US-Behör­de, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­nä­ckig. Auch der BSI IT-Grund­schutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf.

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST emp­fahl bis­her zur Pass­wort­si­cher­heit:

  1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Son­der­zei­chen)
  2. Pass­wör­ter sol­len alle 90 Tage gewech­selt wer­den

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit gekos­tet.

Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit Weiterlesen

Der Hype um das (private) Whatsapp-Abmahnrisiko

By | 28. Juni 2017

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whats­app-Nut­zer durch das Netz. Doch was steckt dahin­ter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whats­app

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whats­app-Nut­zers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whats­app-Ser­vern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kos­ten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die ers­te Nach­richt hier­zu im Web lan­ciert, ging der Copy & Pas­te – Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devi­se.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Cars­ten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nut­zung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in … Weiterlesen

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

By | 23. Januar 2017

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestel­len?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll … Weiterlesen

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

By | 4. November 2016

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­gel­dri­si­ko für Ihre Orga­ni­sa­ti­on.

[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ortu­n­ab­hän­gig und fle­xi­bel genutzt wer­den kön­nen.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Dritt­staa­ten).

Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den Weiterlesen

Datenpanne bei HIPP – Name, Anschrift und Passwörter betroffen

By | 10. Juni 2016

Das Bonus­pro­gramm “Mein Baby­Club” des bekann­ten Baby­nah­rung­her­stel­lers HIPP wur­de online ange­grif­fen und erfolg­reich gehackt. Der Anbie­ter infor­miert der­zeit die Teil­neh­mer über den Sach­ver­halt, gibt jedoch kei­ne wei­te­ren Details bekannt. Laut den von HIPP ver­sand­ten Emails an Nut­zer des Pro­gramms wur­den Anfang Mai Unre­gel­mä­ßig­kei­ten im Ser­ver­be­trieb fest­ge­stellt. Die­se wür­den auf einen erfolg­rei­chen Hack hin­deu­ten, durch den Namen, Anschrif­ten, Geburts­da­ten, aber auch Pass­wör­ter von den Sys­te­men des Anbie­ters abge­zo­gen wur­den. Die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de sei infor­miert.

Auf­la­gen durch das IT-Sicher­heits­ge­setz

Unab­hän­gig von der Ursa­che für die­sen Hack sind Web­sei­ten­be­trei­ber ver­pflich­tet, not­wen­di­ge Schutz­maß­nah­men zu ergrei­fen, um Daten vor unbe­rech­tig­ten Zugrif­fen zu schüt­zen. Für Web­auf­trit­te heißt es daher, sowohl den Web­ser­ver als auch die Con­tent Manage­ment Soft­ware oder das Shop Sys­tem stets mit aktu­el­len Updates und Sicher­heits­patches aus­zu­stat­ten. Ein regel­m­ßi­ger Blick in die Log­files zwecks Ana­ly­se auf Sicher­heits­ver­stö­ße kann eben­falls nicht scha­den.… Weiterlesen