Das TMG ist nach dem 25.05.2018 nicht mehr anwendbar!

/in /von

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat am 26. April 2018 ihre Position zum TMG ab dem 25.05.2018 festgelegt. Das Papier ist hier abrufbar. Kaum überraschen dürfte es, dass die Aufsichtsbehörden zu dem Ergebnis kommen, dass die Datenschutzbestimmungen des Telemediengesetzes (§§ 11 ff TMG) durch die DS-GVO verdrängt werden. Die Veröffentlichung einer klaren Position der deutschen Datenschutz-Aufsichtsbehörden ist erfreulich, da hiermit ein „zitierfähiges“ Papier vorliegt.

Die Folgen der Positionsbestimmung der Aufsichtsbehörden wird in der Praxis aber erst auf den zweiten Blick erkennbar. Für Betreiber von Internetdiensten bedeutet dies:

  • die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, können ab dem 25.Mai 2018 nicht mehr angewendet werden.
  • als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1 DSGVO , insbesondere die Einwilligung (Buchstabe a), die Vertragsanbahnung oder -erfüllung (Buchstabe b) und das berechtigte Interesse (Buchstabe f) in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, „Speicherbegrenzung“ und „Integrität und Vertraulichkeit“), sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO („Datenschutz durch durch datenschutzfreundliche
    Voreinstellungen“) einzuhalten.
  • auch § 15 Abs. 3 TMG, welche die Erstellung von Online-Nutzungsprofilen regelt („… für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile …“), greift nicht mehr

Die Schlußfolgerung der Aufsichtsbehörden: es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Die Aussagen der DSK bedeuten konkret, dass für eine Nutzung von Cookies – sofern diese nicht für die reine Funktionalität der Website erforderlich sind (das dürfen dann aber nur Session-Cookies sein) – eine ausdrückliche, informierte und freiwillige Einwilligung erforderlich ist, die den Anforderungen des Art. 7 DSGVO erfüllt! Dies dürfte wesentliche Auswirkungen auf die Gestaltung (fast) aller Websites haben.

BvD: Tipps und Links für kleine Organisationen

/in /von

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. unterstützt kleine Organisationen wie Vereine und Stiftungen, sich zum 25. Mai 2018 auf die Anforderungen der neuen Datenschutz-Grundverordnung (DS-GVO) rechtskonform vorzubereiten.

Manche Vereine blicken mit Schrecken auf die neuen Regeln, obwohl  die Anforderungen für kleinere Organisationen meist nicht neu und mit nur wenig Aufwand schnell umzusetzen sind. Freiwillige Feuerwehren, lokale Sport-Vereine oder Landfrauenverbände benötigten in der Regel keinen Datenschutzbeauftragten. Für Datenerhebungen über eine Internetseite, bei Kommentaren oder für Newsletter, bieten die meisten Dienstleister mittlerweile vorgefertigte Verträge an.

Im BvD-Blog erschien bereits ein Beitrag https://www.bvdnet.de/handreichungen-fuer-kleine-unternehmen-und-vereine/ zu Mustervorlagen speziell für Vereine, Stiftungen, Handwerksbetriebe und Selbstständige. Daneben bieten die Datenschutz-Aufsichtsbehörden der Länder Orientierungshilfen, Muster-Verzeichnisse der Verarbeitungsübersichten und Checklisten speziell für kleine Unternehmen und Organisationen an.

Unter anderen stellt das Bayerische Landesamt für Datenschutz speziell für Vereine unter https://www.lda.bayern.de/de/kleine-unternehmen.html ein Muster mit den wesentlichen Anforderungen der DS-GVO und mit Links auf alle Einzelanforderungen zur Verfügung.

Der Landesbeauftragte für den Datenschutz in Baden-Württemberg, Stefan Brink, gibt unter https://www.baden-wuerttemberg.datenschutz.de/schuetzenhilfe-fuer-vereine-lfdi-stellt-eine-orientierungshilfe-fuer-vereine-unter-der-datenschutz-grundverordnung-zur-verfuegung/ Orientierungshilfen für Verein.

Im Themenbereich der Internetseite www.zdh.de informiert der Zentralverband des Deutschen Handwerks darüber, wann die DS-GVO überhaupt für Handwerker zutrifft und welche Schritte dann notwendig sind.

Daten in der Cloud: 1,5 Milliarden Dokumente frei zugänglich

/in /von

Im Internet sind rund 1,5 Milliarden Dokumente mit sensiblen Informationen aufgrund von falsch konfigurierten Servern und Cloud-Diensten frei zugänglich. Dazu gehören Gehaltsabrechnungen, Steuerbescheide, aber auch medizinische Daten, wie auf ZDNet zu lesen ist. Demnach ist es jedem mit geringen technischen Kenntnissen möglich, auf die sensiblen Daten zuzugreifen. Neben Informationen von privaten Anwenderinnen und Anwendern lassen sich auch Patente einfach abgreifen.

„Die hohe Anzahl und Sensibilität der öffentlich zugänglichen Daten ist erschreckend. Der Bericht zeigt erneut, wie sorglos manche Dienstleister mit sensiblen Daten ihrer Kunden umgehen“, betonte BSI-Präsident, Arne Schönbohm. „Unternehmen, die mit sensiblen Daten agieren, müssen ihrer Verantwortung zum Schutz dieser Daten endlich gerecht werden. Anbieter von Online-Dienstleistungen wie Cloud- oder Server-Dienstleistungen müssen es ihren Kunden durch entsprechende Vorkonfigurationen noch einfacher machen, die grundlegenden Sicherheitsprinzipien einzuhalten. Wir stehen erst am Anfang der Digitalisierung und müssen begreifen, dass Informationssicherheit die Voraussetzung für ihr Gelingen ist.“ Allen Anwenderinnen und Anwendern wird empfohlen, die IT-Sicherheit bei der Nutzung von Cloud-Diensten auch selbst im Blick zu behalten.

Zur BSI Meldung: Sicherheitsforscher finden 1,5 Milliarden sensible Daten

Zur Meldung auf ZDNet: Falsch konfigurierte Server und Cloud-Dienste geben 1,5 Milliarden vertrauliche Daten preis

CEO-Betrug: Akutes Risiko für Mitarbeiter und Unternehmen

/in /von

Aktuell versuchen Betrüger wieder verstärkt, Mitarbeiterinnen und Mitarbeiter in zahlreichen Unternehmen durch gefälschte E-Mails dazu zu bringen, Geldbeträge vom Firmenkonto zu überweisen. Laut Heise Security geben sich die Kriminellen als Chef oder anderer Vorgesetzer aus. An die notwendigen Informationen gelangen die Betrüger, indem sie per Social Engineering so viele Informationen wie möglich über ein Unternehmen und einzelne Mitarbeiter zusammentragen. Dadurch wirken die E-Mails oft täuschend echt. Um nicht Opfer einer solchen Betrugsmasche zu werden, sollten Sie stets mit gesundem Menschenverstand agieren und außergewöhnliche Nachrichten und Aufträge hinterfragen. In Unternehmen sollten insbesondere Mitarbeiter mit Finanzverantwortung besonders achtsam sein. Der Drei-Sekunden-E-Mail-Check vom Bundesamt für Sicherheit in der Informationstechnik weißt Sie auf kritische Punkte hin.

Zum Artikel auf Heise Security: CERT Bund warnt gegenwärtig vor der „Chef-Masche“

Experteninterview mit Thomas Spaeing (Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

/in /von

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) tritt am 25.05.2018 in Kraft . Umfragen haben ergeben, dass viele Unternehmen noch nicht oder nicht genug mit der Verordnung vertraut sind und nicht den künftigen Anforderungen genügen. Herr Spaeing, warum meinen Sie ist das so?

Zum Interview im ByDE Magazine

LfDI Baden-Württemberg gibt Tipps zur Umsetzung der DSDVO in Sachen Beschäftigtendatenschutz

/in /von

Der praxisbezogene Ratgeber des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brink, zum Beschäftigtendatenschutz hat allgemein großen Anklang gefunden. Der Zuspruch insbesondere durch Arbeitgeber, Interessenvertretungen und auch Arbeitnehmer selbst, aber auch von Seiten der Presse hat den Landesbeauftragten darin bestärkt, seine Beratungsangebote weiter auszubauen.

Der Countdown bis zur unmittelbaren Geltung der Datenschutz-Grundverordnung (DS-GVO) und dem In-Kraft-Treten des neugefassten Bundesdatenschutzgesetzes läuft. Von daher haben die Verantwortlichen verständlicherweise alle Hände voll zu tun. Der Beschäftigtendatenschutz darf hierbei jedoch nicht aus den Augen verloren werden! Auch wenn sich insoweit die materielle Rechtslage auf den ersten Blick nicht wirklich verändern wird, gelten die allgemeinen Anforderungen der DS-GVO auch im Arbeitsverhältnis. So sind die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DS-GVO auch im Beschäftigungsverhältnis zu wahren. Nicht nur den Kunden des Verantwortlichen stehen die umfangreichen Informations- und Betroffenenrechte zur Verfügung, sondern auch den eigenen Mitarbeiterinnen und Mitarbeitern. Das sollte von den Verantwortlichen nicht übersehen werden, wenn sie sich vor Schadensersatzforderungen oder Verbandsklagen schützen wollen.

Mit der 2. Auflage des Ratgebers gibt der LfDI, neben den aus der 1. Auflage bekannten praxisrelevanten Fallbeispielen und deren Lösungen, Tipps zur Umsetzung der DS-GVO in Sachen Beschäftigtendatenschutz. Der Wunsch nach einem eigenständigen Beschäftigtendatenschutzgesetz bleibt nämlich auch mit der Anwendung der Datenschutzgrundverordnung ab dem 25. Mai 2018 weiterhin unerfüllt. Ziel des Ratgebers ist es somit nach wie vor, die Öffentlichkeit für die Belange des Beschäftigtendatenschutzes zu sensibilisieren und den Verantwortlichen und betroffenen Personen Orientierung zu geben.

Der Ratgeber kann hier abgerufen werden:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/Ratgeber-ANDS-2.-Auflage.pdf#

Verbraucherzentrale Bundesverband – Facebook verstößt gegen deutsches Datenschutzrecht

/in /von
  • Voreinstellungen im Privatsphäre-Bereich bedürfen einer informierten Einwilligung der Verbraucher.
  • Klausel zur Klarnamenpflicht und weitere AGB sind unzulässig.
  • Werbung „Facebook ist und bleibt kostenlos“ ist nicht irreführend.

Facebook verstößt mit seinen Voreinstellungen und Teilen der Nutzungs- und Datenschutzbedingungen gegen geltendes Verbraucherrecht. Das hat das Landgericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden. Die Einwilligungen zur Datennutzung, die sich das Unternehmen einholt, sind nach dem Urteil teilweise unwirksam.

„Facebook versteckt datenschutzunfreundliche Voreinstellungen in seinem Privatsphäre-Center, ohne bei der Registrierung ausreichend darüber zu informieren“, sagt Heiko Dünkel, Rechtsreferent beim vzbv. „Das reicht für eine informierte Einwilligung nicht aus.“

Kritische Voreinstellungen schon aktiviert

Nach dem Bundesdatenschutzgesetz dürfen personenbezogene Daten nur mit Zustimmung der Betroffenen erhoben und verwendet werden. Damit diese bewusst entscheiden können, müssen Anbieter klar und verständlich über Art, Umfang und Zweck der Datennutzung informieren.

Diese Anforderungen erfüllte Facebook nicht. So war in der Facebook-App für Mobiltelefone bereits ein Ortungsdienst aktiviert, der Chat-Partnern den eigenen Aufenthaltsort verrät. In den Einstellungen zur Privatsphäre war per Häkchen voreingestellt, dass Suchmaschinen einen Link zur Chronik des Teilnehmers erhalten. Dadurch wird das persönliche Facebook-Profil für jeden schnell und leicht auffindbar. Die Richter entschieden, dass alle fünf vom vzbv monierten Voreinstellungen auf Facebook unwirksam sind. Es sei nicht gewährleistet, dass diese vom Nutzer überhaupt zur Kenntnis genommen werden.

Zu weit reichende Einwilligung zum Nutzen von Daten

Das Landgericht Berlin erklärte außerdem acht Klauseln in den Nutzungsbedingungen für unwirksam. Diese enthielten unter anderem vorformulierte Einwilligungserklärungen, wonach Facebook Namen und Profilbild der Nutzer „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzen und deren Daten in die USA weiterleiten durfte. Die Richter stellten klar, dass mit solchen vorformulierten Erklärungen keine wirksame Zustimmung zur Datennutzung erteilt werden könne.

Unzulässig ist auch eine Klausel, mit der sich Nutzer verpflichten, auf Facebook nur ihre echten Namen und Daten zu verwenden. „Anbieter von Online-Diensten müssen Nutzern auch eine anonyme Teilnahme, etwa unter Verwendung eines Pseudonyms, ermöglichen“, so Dünkel. „Das schreibt das Telemediengesetz vor.“ Nach Auffassung des Landgerichts war Klarnamenpflicht schon deshalb unzulässig, weil Nutzer damit versteckt der Verwendung dieser Daten zustimmten.

Werbung „Facebook ist kostenlos“ ist zulässig

Nicht durchsetzen konnte sich der vzbv gegen die Werbung, Facebook sei kostenlos. Der Werbespruch ist nach Ansicht des Verbands irreführend. „Verbraucher bezahlen die Facebook-Nutzung zwar nicht in Euro, aber mit ihren Daten. Und diese bringen dem Unternehmen viel Geld ein“, so Dünkel. Das Landgericht Berlin hält die Werbung dagegen für zulässig, immaterielle Gegenleistungen seien nicht als Kosten anzusehen. Die Richter lehnten außerdem mehrere Anträge des vzbv gegen Bestimmungen in der Facebook-Datenrichtlinie ab. Die Richtlinie enthalte fast nur Hinweise und Informationen zur Verfahrensweise des Unternehmens und keine vertraglichen Regelungen.

Soweit das Gericht die Klage abgewiesen hat, wird der vzbv Berufung zum Kammergericht einlegen.

Urteil des Landgerichts Berlin vom 16.01.2018, Az. 16 O 341/15 – nicht rechtskräftig

BITKOM: Herausforderung DSGVO – Datenschutz-Fachkräfte sind Mangelware

/in /von

Die Umsetzung von Datenschutzregelungen in diesem Jahr stellt Unternehmen vor große Herausforderungen. Problematisch: Den meisten Firmen fehlt es an Fachkräften, um die häufig zeitaufwändigen Aufgaben zu bewältigen.

Mehr als jedes zweite Unternehmen (56 Prozent) in Deutschland hat weniger als eine Vollzeitstelle für Mitarbeiter eingeplant, die sich hauptsächlich mit Datenschutzthemen befassen. Zu diesem Ergebnis kommt eine repräsentative Bitkom-Umfrage. Die Zeit drängt, denn mit der ab 25. Mai 2018 gültigen Datenschutzgrundverordnung (DSGVO) ergeben sich viele neue Pflichten für die Firmen. »Der Arbeitsaufwand bei der Umsetzung der Datenschutzgrundverordnung ist enorm, gleichzeitig suchen Unternehmen händeringend nach passenden Fachkräften«, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung für Recht und Sicherheit. In genau eine Vollzeitstelle für Datenschutzangelegenheiten investiert gut jedes vierte Unternehmen (27 Prozent). Mehr als eine Vollzeitstelle für Datenschutz-Fachkräfte gibt es in 14 Prozent der Unternehmen.

Ab Mai müssen alle Firmen die DSGVO beachten. Im Mittelpunkt steht dabei für viele Unternehmen, ein Verarbeitungsverzeichnis für Personendaten zu erstellen. Außerdem müssen sie Prozesse in der Produktentwicklung anpassen, um dem neuen Grundsatz des Privacy by Design gerecht zu werden. Darüber hinaus haben die Firmen zahlreiche Informationspflichten gegenüber ihren Kunden.

E-Privacy-Verordnung steht vor der Tür

Voraussichtlich in der zweiten Jahreshälfte 2018 will die EU über die sogenannte E-Privacy-Verordnung entscheiden. Ziel dieser Verordnung ist es zum einen, die Vertraulichkeit der Kommunikation zu schützen. Zum anderen formuliert die E-Privacy-Verordnung zusätzliche Datenschutzvorschriften, die besonders im Bereich der Verarbeitungs- und Speicherfunktion in Endgeräten wie PCs, Tablets oder Smartphones über die Datenschutzgrundverordnung hinausgehen. »Künftige Innovationen werden durch die E-Privacy-Verordnung bedroht«, kritisiert Dehmel den aktuellen Gesetzentwurf der EU-Kommission zur E-Privacy-Verordnung. So werde die bereits gefundene Balance zwischen dem Schutz der Privatsphäre einerseits und neuen Technologien andererseits wieder zerschlagen.

»Was die Datenschutzgrundverordnung erlaubt, darf die E-Privacy-Verordnung nicht wieder zurückdrehen«, fordert Dehmel. Bislang stellt die E-Privacy-Verordnung in mehreren Bereichen eine nach DSGVO erlaubte Datenverarbeitung entweder unter den Vorbehalt einer strengeren Form der Einwilligung oder untersagt sie sogar vollständig. Zudem würden durch den Kommissionsentwurf auch Vorgänge erfasst werden, bei denen die Verarbeitung von personenbezogenen Daten keine Rolle spielt.

Link zur BITKOM Pressemeldung

BDS Bayern: ein großer Wirtschaftsverband entdeckt den Datenschutz – doch etwas spät meine ich!!

/in /von

Seit 2010 wird über ein Europäisches Datenschutzrecht diskutiert. Am 4. 5.2016 ist dann die EU-Verordnung 2016/79 „zum Schutz natürlicher Personen bei der der Verarbeitung personenbezogener Daten (DS-GVO)“ nach Veröffentlichung im Amtsblatt der EU am 25. 5. 2016 in Kraft getreten und wird Geltung haben ab dem 25. 5. 2018.

Seit 20 Monaten ist nun bekannt, dass sich im Datenschutz Wesentliches ändern wird. Sehr viele haben das einfach verschlafen – falsch, nehmen das Thema Datenschutz und die daraus resultierenden Pflichten einfach nicht Ernst. Und das seit Jahrzehnten. Bestellpflicht eines Datenschutzbeauftragten – pfeiff drauf, kontrolliert eh keiner. Kostet nur Geld.

Typisches Beispiel für diese Haltung zeigt sich auch in manchen Wirtschaftsverbänden. Dem BDS Bayern zum Beispiel. Mit rund 18.000 Mitgliedern die stärkste Vertretung des Mittelstands in Bayern. Starten am 31.1.2018 ihre „BDS Roadshow – neuer Datenschutz„. Es verbleiben also weniger als 4 Monate für Datenschutz von 0 auf 100. Wie soll das bitteschön gehen? Die, dies es bis heute sich nicht um das Thema gekümmert haben, fehlt doch das Verständnis und die Bereitschaft dazu. Und die notwendige Anzahl fachkundiger Datenschutzbeauftragte gibt es auch nicht. Ich jedenfalls nehme seit einiger Zeit keine neuen Mandate mehr an. Also wählt man einen armen Tropf aus der Mannschaft und drückt ihm den Stempel auf, spendiert vielleicht eine Schulung, aber keine Zeit und kein Budget. Arme Seele!

Lieber BDS-Bayern, in dem ich auch seit über 10 Jahren Mitglied bin, eine gute Gelegenheit verpasst, vom Zeitpunkt her ganz zu schweigen. Setzen – Sechs.

Intel AMT: Firmen-Notebooks in 30 Sekunden gehackt

/in /von

F-Secure weist auf eine Sicherheitslücke in der Active Management Technology (AMT) von Intel hin, über die ein Angreifer mit Zugang zum Gerät sich binnen weniger Sekunden eine Hintertür einrichten kann.

Als hätte Intel mit »Meltdown« und »Spectre« aktuell nicht genug zu tun, lauert auf vielen Systemen mit Intel-Chips ein weiteres Sicherheitsproblem. Wie F-Secure vermeldet, ist die BIOS-Erweiterung für AMT – eine Fernwartungstechnologie, die von vielen Firmen genutzt wird – durch ein gesetztes BIOS-Passwort nicht geschützt. Ein Angreifer, der Zugang einem Gerät hat, kann es daher schnell booten und auf die AMT-Funktion zugreifen, etwa um den Rechner für einen späteren Fernzugriff zu konfigurieren. Dafür muss während der Boot-Sequenz nur [STRG] + [P] gedrückt werden. Anschließend kann man sich fast immer mit dem Standardpasswort »admin« bei der »Intel Management Engine BIOS Extension« (MEBx) anmelden, da die wenigsten Unternehmen dieses ändern. Nach dem Login ist es dann für den Angreifer möglich, ein neues Passwort zu vergeben, den Remote-Zugriff zu aktivieren und Funktionen wie »AMT User Opt-In« zu deaktivieren.

Das alles lässt sich F-Secure zufolge in weniger als 30 Sekunden durchführen. Die Empfehlung des Security-Herstellers an End User lautet daher auch, Notebooks in der Öffentlichkeit nicht einmal für kurze Zeit unbeaufsichtigt zu lassen – am besten nicht mal in Hotelzimmern. Harry Sintonen, der als Senior Security Consultant bei F-Secure das Sicherheitsproblem untersucht hat, bezeichnet einen derart durchgeführten Angriff als »fast schon lächerlich einfach«. Es stecke ein »enorm destruktives Potenzial« in der Schwachstelle: »In der Praxis gibt sie einem Angreifer die komplette Kontrolle über Arbeitslaptops, selbst wenn eigentlich umfangreiche Sicherheitsmaßnahmen eingerichtet wurden«, erklärt er.

In der Regel kann der Angreifer nach der Manipulation nur auf den Rechner zugreifen, wenn er sich im gleichen LAN befindet. In einigen Fällen sei es jedoch möglich, einen eigenen CIRA-Server (Client Initiated Remote Access) einzutragen, so F-Secure. Damit wäre dann sogar ein Zugriff von außerhalb des lokalen Netzwerks möglich.

F-Secure rät Unternehmen, starke Passwörter für AMT zu vergeben oder die Funktion zu deaktivieren, so sie nicht benötigt wird. Intel sah lange vor allem die Gerätehersteller in der Pflicht. Weil jedoch nur wenige der Anweisung des Chipproduzenten folgten, eine Aktivierung von AMT nur nach Eingabe des BIOS-Passworts zu ermöglichen, hatte das Unternehmen im vergangenen Dezember eigene Best Practices für Kunden zu dem Thema veröffentlicht (PDF).