Der Düsseldorfer Kreis hat in einem Beschluss vom 13./14. September 2016 mitgeteilt, dass bisher erteilte Einwilligungen unter der Datenschutz-Grundverordnung fortgelten, sofern sie der Art nach den Bedingungen der DS-GVO entsprechen. Somit erfüllen bisher rechtswirksame Einwilligungen grundsätzlich diese Bedingungen. Der Beschluss kann hier heruntergeladen werden.
(hmbbfdi, 27.9.2016) Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.
Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden.
Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.
Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:
„Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.
Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird.“
Wenn sensible Daten im Unternehmen abhandenkommen, drohen meist schwer zu kalkulierende Auswirkungen – vom Vertrauensverlust bei Kunden, Image-Schäden gegenüber Geschäftspartnern bis hin zu großen finanziellen Einbußen, die sich auf das Jahresergebnis niederschlagen können. Schon heute zeigt sich, dass eine aktive und umfassende Zusammenarbeit mit der Aufsichtsbehörde nicht nur die Schäden hierbei besser einzugrenzen hilft, sondern auch geeignet ist, um die Betroffenen fachgerecht zu informieren. Welche neuen Anforderungen an die Meldung von Datenpannen in der Grundverordnung verankert sind, hat das BayLDA in einem neuen kurzen Papier zusammengefasst. Das Dokument kann nachfolgend heruntergeladen werden.
WiM – Wirtschaft in Mittelfranken, Ausgabe 09|2016, Seite 20
Die Datenschutz-Grundverordnung regelt ab 2018 die Verarbeitung von personenbezogenen Daten. Unternehmen sollten sich schon jetzt vorbereiten.
Gewaltige Lobby-Schlachten sind wegen der Datenschutz-Grundverordnung (DS-GVO) geführt worden. Sie wurde nun am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht und regelt insbesondere die Verarbeitung personenbezogener Daten. In Kraft treten wird sie zwar erst am 25. Mai 2018, aber diese zweijährige Übergangszeit sollten alle Unternehmen intensiv für die Vorbereitung nutzen.
Auch nach dem Abschluss des Gesetzgebungsverfahrens wird kontrovers über Ausgestaltung und Bedeutung des Regelwerks diskutiert, das folgende amtliche Bezeichnung trägt: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz Grundordnung)“. Diese sperrige Bezeichnung könnte symbolisch stehen für die Unsicherheit, mit der Unternehmen, Behörden, Vereine, Verbände und Freiberufler den künftigen Vorschriften gegenüberstehen. Denn darüber, wie die neuen Normen im Detail wirklich zu verstehen bzw. zu vollziehen sein werden, wird vielfach spekuliert. Für mehr Klarheit sorgen dürften in den nächsten Monaten Verlautbarungen und Leitlinien der deutschen Aufsichtsbehörden und des neu geschaffenen Europäischen Datenschutzausschusses. Datenschutz-Experten sind sich aber einig, dass abschließende Klarheit in einzelnen Fragen – etwa bei den erheblich geänderten Normen im Bereich der Datensicherheit – wohl erst im Laufe der nächsten Jahre durch die Rechtsprechung des Europäischen Gerichtshofs geschaffen werden wird.
Dies bedeutet aber nicht, dass Unternehmen erst einmal abwarten sollten. Vielmehr sollten sie schon jetzt analysieren, in welchen Bereichen sie durch die DS-GVO betroffen sein könnten. Denn die wesentlichen Bestimmungen liegen fest: Die DS-GVO regelt vor allem die Art und Weise, wie jegliche personenbezogenen Daten verarbeitet werden dürfen. „Verarbeitung“ ist der neue Einheitsbegriff, der die bisherigen differenzierten Begriffe umfasst („Daten erheben, speichern, verändern, übermitteln, sperren, löschen oder nutzen“). Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifiziert werden kann eine Person laut DS-GVO, wenn ihr direkt oder indirekt ein Name, eine Kennnummer (z.B. Steuernummer), Standortdaten, eine Online-Kennung (E-Mail-Adresse) oder ein oder mehrere charakteristische Merkmale zugeordnet werden können. Die Verarbeitung der personenbezogenen Daten muss nicht zwingend in der EU selbst stattfinden. Vielmehr erfasst die DS-GVO auch die Datenverarbeitung außerhalb der EU, wenn sie durch einen Verantwortlichen oder einen Auftragsverarbeiter mit Sitz in der EU erfolgt.
Wie das bisherige Datenschutzrecht geht auch die DS-GVO davon aus, dass mit personenbezogenen Daten nur dann umgegangen werden darf, wenn eine Einwilligung des Betroffenen vorliegt oder wenn eine Rechtsgrundlage dies erlaubt oder anordnet.
Die Kenntnis dieser Regelungen der DS-GVO reicht für die Unternehmen aus, um sich schon jetzt an die wichtigsten Vorbereitungsarbeiten zu machen. Sie bilden die Basis, um später beurteilen zu können, ob der Betrieb die Vorschriften der DS-GVO einhält. Jedes Unternehmen sollte jetzt sehr genau prüfen, welche personenbezogenen Daten von Mitarbeitern, Kunden oder sonstigen Geschäftspartnern verarbeitet werden, auf welcher Rechtsgrundlage diese Verarbeitung erfolgt, zu welchem Zweck dies geschieht, an wen Daten übermittelt und wann diese Daten gelöscht werden. Eigentlich sind die verantwortlichen Stellen aufgrund des geltenden Bundesdatenschutzgesetzes schon jetzt verpflichtet, entsprechende Verfahrensverzeichnisse zu erstellen und zu führen. Aus der Prüfpraxis des Bayerischen Landesamtes für Datenschutzaufsicht ergibt sich, dass dies von vielen Unternehmen eher als eine lästige Formalie angesehen wird und deshalb als Dokumentation über die Datenverarbeitung im Unternehmen häufig nicht ausreichend ist. Nur wer eine derartige Verarbeitungsübersicht hat und Datenbestand und Datenflüsse im eigenen Unternehmen identifizieren kann, wird in der Lage sein, die datenschutzrechtlichen Vorgaben zu erfüllen. Ernst wird es spätestens mit der DS-GVO: Sie verpflichtet die Datenverarbeiter ebenfalls, derartige Verfahrensübersichten zu führen und die Folgen bestimmter Maßnahmen (z. B. Videoüberwachung) für den Datenschutz abzuschätzen und zu dokumentieren. Verstöße dagegen unterliegen extrem hohen Sanktionen.
Alle Unternehmen sollten deshalb für Transparenz über die Datenverarbeitung im eigenen Unternehmen sorgen. Nur wenn man weiß, welche Daten auf welche Art und Weise verarbeitet werden, wird man prüfen können, ob diese Verarbeitung in Zukunft unter den Voraussetzungen der DS-GVO noch so möglich ist bzw. was gegebenenfalls geändert werden muss. Die zweijährige Übergangsphase bis zum Inkrafttreten der Grundverordnung sollte intensiv genutzt werden. Diese Zeitspanne werden viele Unternehmen brauchen, um ihre Prozesse anzupassen und umzustellen. Eine weitere Übergangsphase nach dem 25. Mai 2018 bzw. eine Schonfrist bei der Prüfung durch die Aufsichtsbehörden wird es jedenfalls nicht geben.
Das Bayerische Landesamt für Datenschutzaufsicht informiert über alle Fragen zu den Vorschriften der neuen DS-GVO. Das Landesamt und alle anderen Aufsichtsbehörden sowie die Kammern und Verbände sind dankbar für Hinweise auf unklare Regelungen oder Umsetzungsprobleme. Sie helfen den Aufsichtsbehörden, offene Fragen und ungelöste Problemfelder zu erkennen und – auch in Zusammenarbeit mit den anderen zuständigen Behörden auf deutscher und europäischer Ebene – Klarstellungen vorzunehmen.
Autor:
Thomas Kranig (Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) in Ansbach (www.lda.bayern.de).
Im Rahmen der Allianz für Cyber-Sicherheit initiiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kooperation mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom), der Gesellschaft für Informatik e.V. (GI), dem Bundesverband der Deutschen Industrie (BDI), dem Verband Deutscher Maschinen- und Anlagenbau (VDMA), dem Bundesverband der IT-Anwender (VOICE) und dem Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI) die Cyber-Sicherheits-Umfrage 2016. Das BSI und die beteiligten Verbände rufen die IT-Sicherheitsverantwortlichen deutscher Unternehmen, Behörden und anderer Institutionen auf, sich an der anonymen Umfrage zu beteiligen.
Ziel der Umfrage ist es, Informationen zur tatsächlichen Betroffenheit durch Cyber-Angriffe, der subjektiven Gefährdungslage und dem Umsetzungsstand von Schutzmaßnahmen aus Sicht von Unternehmen, Behörden und anderen Institutionen zu erhalten. Aus den Ergebnissen der Umfrage lassen sich unter anderem praxisbezogene Lösungsansätze und Empfehlungen sowie Beratungsschwerpunkte ableiten, die das BSI im Rahmen der Allianz für Cyber-Sicherheit einbringen und auch anderen Unternehmen und Institutionen zur Verfügung stellen kann. Zudem fließen die Ergebnisse der Umfrage als weiterer Baustein in die Erstellung und kontinuierliche Pflege eines Lagebilds der Cyber-Sicherheit in Deutschland ein.
Teilnahme bis 7. Oktober 2016 möglich / Ergebnisse im Oktober 2016
Die Teilnahme an der Umfrage ist online ab sofort bis zum 7. Oktober 2016 möglich. Die Ergebnisse werden im Oktober 2016 veröffentlicht. Die Ergebnisse der Umfragen aus den Vorjahren sind auf der Webseite der Allianz für Cyber-Sicherheit verfügbar.
Die Allianz für Cyber-Sicherheit ist eine Initiative des BSI, die 2012 in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) gegründet wurde. Die Allianz hat das Ziel, die Cyber-Sicherheit in Deutschland zu erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Sie richtet sich vorrangig an Unternehmen und Behörden, darüber hinaus aber auch an sonstige Institutionen und Organisationen in Deutschland. Interessenten haben die Möglichkeit, sich in verschiedenen Rollen als Teilnehmer, Partner oder Multiplikator an der Allianz beteiligen. Weitere Informationen zur Allianz für Cyber-Sicherheit sowie zur Umfrage stehen unter https://www.allianz-fuer-cybersicherheit.de zur Verfügung.
Der Präsidiumsarbeitskreis (PAK) „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) hat eine Leitlinie zum verantwortungsbewussten Umgang mit Social Media veröffentlicht.
Soziale Medien liegen im Trend: sie sind gerade gut 10 Jahre alt und verbinden bereits weltweit mehr als 3 Mrd. Privatpersonen, Unternehmen und Behörden. Sie dienen zur Kommunikation und zum Austausch von Informationen – einzeln oder in selbstorganisierten Gruppen in weitgehender Eigenverantwortung.
„Aufgrund der nahezu flächendeckenden Nutzung und deren Bedeutung für den Alltag, die Vernetzung und die Privatsphäre der Bürgerinnen und Bürger halten wir eine Anleitung zu Bewertung und Umgang mit sozialen Medien für dringend geboten“, sagte PAK-Sprecher Hartmut Pohl. In den Leitlinien zeigt der Arbeitskreis die Chancen einer reflektierten und verantwortungsvollen Nutzung auf, warnt aber gleichzeitig vor einem leichtsinnigen Umgang mit den eigenen Daten. Darüber hinaus wendet sie sich an Entwickler sozialer Medien und appelliert an deren Verantwortung bei der Erstellung entsprechender Dienste.
Die Leitlinie ist in vier Kapitel gegliedert:
Dropbox hat eingeräumt, schon 2012 gehackt worden zu sein. Dabei wurden über 68 Millionen Passwörter von Nutzern entwendet.
Dropbox hat bestätigt, bereits 2012 Opfer eines massiven Datenhacks geworden zu sein, bei dem über 68 Milionen Passwörter von Kunden gestohlen wurden. Für den Cloud-Speicherdienst stellt das Eingeständniss den PR-Supergau dar, schließlich führen Kritiker oft mangelnde Sicherheit als Argument gegen solche Cloudspeicher-Dienstleister ins Feld. Auch aus diesem Grund bemüht man sich bei Dropbox vor allem um Schadensbegrenzung und versucht, die eigenen Kunden zu beruhigen. Bisher gebe es keine Anzeichen für unberechtigte Zugriffe, ließ das Unternehmen in der Nacht zum Donnerstag verlauten. Der Dienstleister betont, dass die gestohlenen Passwörter nur verschlüsselt abgegriffen wurden. Bei der Verschlüsselung seien sowohl Hash- als auch Salt-Verfahren zum Einsatz gekommen.
Zudem habe man die Passwörter von Kunden, die dieses seit 2012 nicht mehr geändert hatten, zurückgesetzt. Allerdings gebrauchen viele Internetnutzer ähnliche oder gar gleiche Passwörter für unterschiedliche Dienste. Kriminelle könnten so von den Dropbox-Passwörtern auf andere Login-Daten schließen, wenn diese dasselbe Passwort wie Dropbox nutzen.
In einer aktuellen Stellungnahme betont Patrick Reim, Head of Trust and Security bei Dropbox, dass die erbeuteten Passwörter so verschlüsselt sind, dass sie für die Angreifer nicht nutzbar sind.
»Dies ist kein neuer Sicherheitsvorfall und wir haben keinen Grund zur Annahme, dass sich Dritte unrechtmäßig Zugang zu Dropbox-Accounts verschafft haben. Unsere Analyse bestätigt, dass es sich bei den Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter handelt, die dank der komplexen Passwortverschlüsselung „hashed and salted“ unbrauchbar sind.
Es sind ausschließlich Nutzer betroffen, die sich vor Mitte 2012 bei Dropbox angemeldet haben und seitdem ihr Passwort nicht geändert haben. Dropbox hat in der vergangenen Woche als reine Vorsichtsmaßnahme diese betroffenen Nutzer aufgefordert, ihre Passwörter zu ändern. Dropbox bestätigt, dass das Zurücksetzen der Passwörter vergangene Woche abgeschlossen wurde und die Gesamtheit aller betroffenen Nutzer abdeckt.
Obwohl die Dropbox-Konten geschützt sind, sollten betroffene Nutzer, die möglicherweise ein identisches Passwort auch bei anderen Services nutzen, Vorsichtsmaßnahmen ergreifen. Idealerweise sollten diese Passwörter aktualisiert werden und Zwei-Faktor-Authentifizierung aktiviert werden. Zudem sollten Nutzer, die eine Benachrichtigung von Dropbox erhalten haben, wachsam vor Spam oder Phishing sein.«
Die Elektronikmesse IFA in Berlin steht kurz bevor und auch in diesem Jahr sind die Themen IT-Sicherheit und Cyber-Sicherheit bei vielen der vorgestellten vernetzten Geräte relevant – denn Schnittstellen werden abgesichert oder zusätzliche Sicherheitsfunktionen zur Verfügung gestellt. Dabei können Nutzer mit nur wenigen Klicks notwendige Schutzmaßnahmen selbst treffen: So verhindert beispielsweise die Verschlüsselung von E-Mails, dass versendete Informationen von Unbefugten mitgelesen werden können. Schlimmstenfalls gewinnen Hacker bei unverschlüsselten E-Mails Zugriff auf wertvolle Informationen wie Konto- und Benutzerdaten.
E-Mail-Nutzer können einiges tun, um sich vor ungewollten Mitlesern zu schützen. „Verschlüsselung ist ein absolutes Muss, wenn man sichergehen möchte, dass niemand anderes als der vorgesehene Empfänger die versendeten Daten erhält“, erklärt Arne Schönbohm, Präsident des Bundesamt für Sicherheit in der Informationstechnik (BSI). „Kaum jemand würde auf die Idee kommen, vertrauliche Informationen auf einer Postkarte zu verschicken. Tatsächlich ist eine unverschlüsselte E-Mail aber nichts anderes – jeder, dem sie in die Hände fällt, kann sie lesen. Verschiedene Provider bieten mittlerweile komfortable Lösungen zur Verschlüsselung an, diese sollte man nutzen.“
Nutzer sollten, um ihre E-Mails effektiv zu schützen, diese verschlüsseln. Hierfür können entweder Verschlüsselungsfunktionen des E-Mail-Anbieters, Add-Ons für E-Mail-Programme oder Verschlüsselungs-Software genutzt werden. Diese müssen lediglich aktiviert beziehungsweise mit wenigen Klicks installiert und eingerichtet werden. Dabei wird zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren unterschieden. Bei der symmetrischen Verschlüsselung wird zum Ver- und Entschlüsseln derselbe geheime Schlüssel verwendet, der nicht mit Dritten geteilt werden sollte. Sender und Empfänger kennen und benutzen denselben Schlüssel für die Ver- und Entschlüsselung von E-Mails. Das asymmetrische Verfahren setzt sich hingegen aus einem Schlüsselpaar zusammen, wobei ein Schlüssel zur Ver- und einer zur Entschlüsselung genutzt wird. Der so genannte öffentliche Schlüssel wird mit dem Kommunikationspartner ausgetauscht, der private Schlüssel bleibt geheim. Dieses Verfahren bietet einen besonders hohen Schutz, denn nur ein Empfänger, der im Besitz des zweiten, privaten Schlüssels ist, kann die E-Mail entschlüsseln.
Um den Einsatz von Ende-zu-Ende-Verschlüsselung – vom Postausgang des Senders bis zum Posteingang des Empfängers – in Deutschland zu fördern, haben sich Vertreter aus Politik, Forschung und IT-Wirtschaft zusammengeschlossen und sich zu einfachen, nutzerfreundlichen und transparenten Verschlüsselungslösungen verpflichtet. Unter Beteiligung des Bundesministeriums des Innern und des BSI wurde die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ auf dem IT-Gipfel 2015 unterzeichnet. Eine Initiative, die diese Forderungen erfüllt, ist die „Volksverschlüsselung“, für die sich Nutzer auf der IFA registrieren können. „Wir begrüßen solche Initiativen, die dazu beitragen, dass E-Mail-Kommunikation sicherer wird und die Verschlüsselung in der Breite genutzt wird“, erklärt Arne Schönbohm, Präsident des BSI.
Die Behörde befasst sich mit allen Themen rund um die IT-Sicherheit in Deutschland; hierzu entwickelt sie auch kryptografische Verfahren und Verschlüsselungslösungen. Unter anderem ließ das BSI die Software Gpg4win entwickeln, eine einfache, lizenzkostenfreie Verschlüsselungslösung für Windows-Betriebssysteme, die E-Mails, Dateien und Dateiordner verschlüsselt und in Outlook genutzt werden kann. Interessierte IFA-Besucher können vom BSI am Stand 101 in Halle 21a weitere Informationen rund um die Themen Verschlüsselung, IT-Sicherheit und Cyber-Sicherheit erhalten.
Weitere Informationen zum Thema „Verschlüsselung“ erhalten Sie unter:
Charta zur Stärkung der vertrauenswürdigen Kommunikation
BSI für Bürger: Verschlüsselung
Gpg4win: Sichere E-Mail- und Datei-Verschlüsselung
BayLDAUm den Blog als RSS-Feed zu abonieren, nutzen Sie bitte den Link
https://buscon.de/feed/
Jürgen Schmidt
Hohe Eichen 10
91207 Lauf
T: 09123-789630
* Datenschutz
* Informationssicherheit
* Externer Datenschutzbeauftragter
* Datenschutzaudits
* Risiko-Check nach DIN SPEC 27076
* TISAX Beratung und Audits
* ISMS-Beauftragter nach ISO 27001
* ISMS-Auditor nach ISO 27001