Ereignisse | BUSCON Business- & IT-Consulting

BSI: Phishing – Augen auf bei E-Mails zur DSGVO

25. Mai 2018/in Ereignisse/von Jürgen Schmidt

Zurzeit kursieren viele Mails, in denen Unternehmen neue Nutzungsbedingungen vorstellen und darum bitten, diese zu bestätigen. Hintergrund ist das Inkrafttreten der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25. Mai 2018. Leider nutzen Betrüger dies auch, um mit gefälschten Mails Personen zu schädigen. Sie versenden unter anderem im Namen von Online-Shops wie Amazon, eBay und Paypal wie auch von namhaften Banken Phishing-E-Mails, in denen sie auf um die Eingabe von sensiblen Informationen bitten. Es sind sogar schon Fälle aufgetreten, in denen Opfer dazu gebracht wurden, Ausweise einzuscannen und an den Absender zu versenden. Eine solche Vorgehensweise würden seriöse Unternehmen niemals anwenden. Deshalb sollten Sie solche E-Mails immer direkt löschen.

Um sich vor Phishing-Betrügern zu schützen, überprüfen Sie Ihre E-Mails am besten immer kritisch hinsichtlich Absender, Inhalt und Links. Worauf Sie dabei konkret achten sollten, hat das BSI für Bürger zusammengestellt.

Zur Meldung der Verbraucherzentrale.NRW: Betrüger missbrauchen die DSGVO für Phishing-Mails.

BvD News: Aktuelle Infos zur Mitteilungspflicht des Datenschutzbeauftragten nach Art 37 Abs. 7 DS-GVO

17. Mai 2018/in Ereignisse/von Jürgen Schmidt

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat bezüglich dieses Themas recheriert und die aktuelle Siluation bei den einzelnen Landesbehörden zusammengestellt. Der Link zum Artikel.

Stellungnahme der GDD zum TMG: Tracking nach der Datenschutz-Grundverordnung in Grenzen erlaubt

8. Mai 2018/in Ereignisse/von Jürgen Schmidt

Zulässigkeit des Tracking nach der Datenschutz-Grundverordnung – die GDD bezieht Stellung zur Position der Datenschutzkonferenz

Am 26. April 2018 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ihre Position zur Anwendbarkeit des Telemediengesetzes (TMG) als nationales Gesetz neben der Datenschutz-Grundverordnung (DS-GVO) veröffentlicht. Nach Auffassung der DSK stellt der 4. Abschnitt des TMG keine Umsetzung der ePrivacy-Richtlinie dar und genießt deswegen keinen Anwendungsvorrang als spezialgesetzliche Regelung für die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste auf Grundlage des Art. 95 DS-GVO. Die GDD stimmt mit der DSK überein, dass für die Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen ab dem 25.05.2018 ausschließlich die DS-GVO einschlägig ist. Folglich kommen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien Art. 6 Abs. 1, insbesondere lit. a, b und f DS-GVO in Betracht.

Technisch notwendige Verarbeitungen für die Bereitstellung eines Dienstes sind unstrittig nach Art. 6 Abs. 1 lit. b oder f DS-GVO zulässig. Divergenz besteht hingegen hinsichtlich der Rechtsgrundlage beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Der Auffassung der DSK nach ist das Tracking von Nutzern wie z.B. durch Analysetools wie Google Analytics oder durch Werbetracker nur noch durch eine explizite Einwilligung des Nutzers legitimiert, auch wenn es lediglich in pseudonymisierter Form erfolgt. Werbung stellt jedoch nach der DS-GVO grundsätzlich ein berechtigtes Interesse im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO dar, das dem Regelungsverständnis der DS-GVO nach jedenfalls grundsätzlich nicht von einer Einwilligung abhängig ist. Wenn nach ErwG. 47 DS-GVO die Direktwerbung ein berechtigtes Interesse des werbenden Unternehmens sein kann, muss in der Konsequenz auch das Tracking von Nutzerverhalten als weniger stark in das Persönlichkeitsrecht eingreifende Maßnahme grundsätzlich zulässig sein. Danach dürften Cookies im Rahmen der Werbung, die keine sensiblen Daten betreffen und nicht auf Personenbezug schließen lassen (wie sie derzeit nach § 15 Abs. 3 TMG gestattet sind), ein berechtigtes Interesse der datenverarbeitenden Unternehmen darstellen. Die Anzeige etwaiger zielgerichteter Werbung ist in der Regel transparent für die betroffene Person. Insofern bestehen gerade bei pseudonymer Nutzung der personenbezogenen Daten der betroffenen Person für die Zwecke des Online-Marketings und der Online-Werbung keine Bedenken, im Rahmen des Art. 6 Abs. 1 lit. f DS-GVO die Abwägung zu Gunsten des Verantwortlichen zuzulassen. Entscheidend für die Zulässigkeit nach Art. 6 Abs. 1 lit. f DS-GVO ist, welche Ziele bei der Datenverarbeitung verfolgt werden. Sofern Daten in Verbindung mit Personendaten von Nutzern gebracht werden oder Daten über ein umfassendes Werbenetzwerk hinweg erhoben werden, lässt sich die Beeinträchtigung des Betroffenen als erheblich qualifizieren. Die beim Online-Tracking webseiten- und sogar geräteübergreifend erstellten Nutzungsprofile sind nicht derart schwerwiegend, dass sie „die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Durch die Pseudonymisierung wird den schutzwürdigen Interessen der Nutzer Rechnung getragen.

Link zur GDD

Die Kommentierung dieser Thematik von Schwartmann/Klein finden Sie im Heidelberger Kommentar der DS-GVO/BDSG ab Rn. 138 ff. frei abrufbar unter: https://mediendb.cfmueller.de/cfmueller/texte/leseprobe/9783811447127_leseprobe_02.pdf#page=3.

DS-GVO: wie hoch ist das Abmahnrisiko?

4. Mai 2018/in Ereignisse/von Jürgen Schmidt

Machen wir uns nichts vor, die Angst vor hohen Bußgeldern und Abmahnwellen sind der Hauptantrieb für Unternehmen, sich mit der DS-GVO zu beschäftigen. Bei allem Elan dürfte es für viele dennoch schwierig werden, alle Anforderungen fristgemäß zu erfüllen. Was also tun, wenn ab dem 25. Mai tatsächlich Post von den einschlägig bekannten Kanzleien ins Haus geflattert kommt?

Ansprüche aus dem Wettbewerbsrecht sind umstritten

Die Frage, ob die Konkurrenz einen Anspruch auf Unterlassen auf Grund von Vorschriften aus der Datenschutz-Grundverordnung (DS-GVO) haben, richtet sich nach dem Wettbewerbsrecht, ist hoch umstritten und keinesfalls richterlich geklärt. Zu den einzelnen rechtlichen Fragestellungen hat die Kanzlei Löffel Abrar einen hervorragenden Blogbeitrag geschrieben.

Bevor Sie also in einem Anflug von Panik eine Unterlassungserklärung unterschreiben und die Anwaltskosten der gegnerischen Seite sowie Schadensersatz leisten, sollten Sie sich folgende Überlegungen vor Augen führen:

a. Die DS-GVO ist juristisches Neuland
Wir befinden uns auf neuem Rechtsgebiet. Egal wie selbstsicher die Abmahnungen klingen mögen, seien sie sich bewusst, dass die Gegenseite nur behauptet einen Anspruch zu haben. Ob dieser Anspruch wirklich besteht, müssen ein oder mehrere Gerichte entscheiden. Genauso wie Sie überlegen müssen, ob Sie die Unterlassungserklärung abgeben, muss die Gegenseite entscheiden, ob sie den Fall wirklich vor Gericht bringen will. Im schlimmsten bzw. besten Fall entscheiden nämlich die Gerichte, dass es keine wettbewerbsrechtlichen Ansprüche auf Grund von DS-GVO-Verstößen gibt und dann ist das ganze schöne neue Geschäftsmodell der Abmahnkanzleien zum Teufel. Sie können sich also sicher sein, dass die Gegenseite mindestens genauso viel zu verlieren hat wie Sie. Denken Sie auch daran, dass Richter in den meisten Fällen auch Menschen sind und denkbar ungehalten werden können, wenn Sie das Gefühl bekommen, dass die Gerichte für unlautere Ansprüche instrumentalisiert werden sollen. Wenn Sie zu der Überzeugung gelangen, dass die Ansprüche der Gegenseite definitiv ungerechtfertigt sind, ließe sich sogar über eine Gegenabmahnung nachdenken.

b. Bewahren Sie Ruhe
Wichtig ist vor allem: bewahren sie Ruhe. Diese Devise sollte im Übrigen bei allen DSGVO-bedingten Umsetzungsmaßnahmen gelten.

c. Kontaktieren Sie einen Anwalt
Um einen letzten Ratschlag im Falle einer Abmahnung kommen wir allerdings trotzdem nicht herum: Reden Sie mit einem Anwalt. Möglichst einen mit Expertise im Wettbewerbs- und Datenschutzrecht. Denn ob ein Anspruch gerechtfertigt oder ungerechtfertigt ist, kann eben am besten doch ein Rechtsanwalt entscheiden.

Das TMG ist nach dem 25.05.2018 nicht mehr anwendbar!

3. Mai 2018/in Ereignisse/von Jürgen Schmidt

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat am 26. April 2018 ihre Position zum TMG ab dem 25.05.2018 festgelegt. Das Papier ist hier abrufbar. Kaum überraschen dürfte es, dass die Aufsichtsbehörden zu dem Ergebnis kommen, dass die Datenschutzbestimmungen des Telemediengesetzes (§§ 11 ff TMG) durch die DS-GVO verdrängt werden. Die Veröffentlichung einer klaren Position der deutschen Datenschutz-Aufsichtsbehörden ist erfreulich, da hiermit ein „zitierfähiges“ Papier vorliegt.

Die Folgen der Positionsbestimmung der Aufsichtsbehörden wird in der Praxis aber erst auf den zweiten Blick erkennbar. Für Betreiber von Internetdiensten bedeutet dies:

die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, können ab dem 25.Mai 2018 nicht mehr angewendet werden.
als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien kommt folglich nur Artikel 6 Absatz 1 DSGVO , insbesondere die Einwilligung (Buchstabe a), die Vertragsanbahnung oder -erfüllung (Buchstabe b) und das berechtigte Interesse (Buchstabe f) in Betracht. Darüber hinaus sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, „Speicherbegrenzung“ und „Integrität und Vertraulichkeit“), sowie die besonderen Vorgaben z. B. aus Artikel 25 Absatz 2 DSGVO („Datenschutz durch durch datenschutzfreundliche
Voreinstellungen“) einzuhalten.
auch § 15 Abs. 3 TMG, welche die Erstellung von Online-Nutzungsprofilen regelt („… für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile …“), greift nicht mehr

Die Schlußfolgerung der Aufsichtsbehörden: es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

Die Aussagen der DSK bedeuten konkret, dass für eine Nutzung von Cookies – sofern diese nicht für die reine Funktionalität der Website erforderlich sind (das dürfen dann aber nur Session-Cookies sein) – eine ausdrückliche, informierte und freiwillige Einwilligung erforderlich ist, die den Anforderungen des Art. 7 DSGVO erfüllt! Dies dürfte wesentliche Auswirkungen auf die Gestaltung (fast) aller Websites haben.

BvD: Tipps und Links für kleine Organisationen

17. April 2018/in Ereignisse/von Jürgen Schmidt

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. unterstützt kleine Organisationen wie Vereine und Stiftungen, sich zum 25. Mai 2018 auf die Anforderungen der neuen Datenschutz-Grundverordnung (DS-GVO) rechtskonform vorzubereiten.

Manche Vereine blicken mit Schrecken auf die neuen Regeln, obwohl die Anforderungen für kleinere Organisationen meist nicht neu und mit nur wenig Aufwand schnell umzusetzen sind. Freiwillige Feuerwehren, lokale Sport-Vereine oder Landfrauenverbände benötigten in der Regel keinen Datenschutzbeauftragten. Für Datenerhebungen über eine Internetseite, bei Kommentaren oder für Newsletter, bieten die meisten Dienstleister mittlerweile vorgefertigte Verträge an.

Im BvD-Blog erschien bereits ein Beitrag https://www.bvdnet.de/handreichungen-fuer-kleine-unternehmen-und-vereine/ zu Mustervorlagen speziell für Vereine, Stiftungen, Handwerksbetriebe und Selbstständige. Daneben bieten die Datenschutz-Aufsichtsbehörden der Länder Orientierungshilfen, Muster-Verzeichnisse der Verarbeitungsübersichten und Checklisten speziell für kleine Unternehmen und Organisationen an.

Unter anderen stellt das Bayerische Landesamt für Datenschutz speziell für Vereine unter https://www.lda.bayern.de/de/kleine-unternehmen.html ein Muster mit den wesentlichen Anforderungen der DS-GVO und mit Links auf alle Einzelanforderungen zur Verfügung.

Der Landesbeauftragte für den Datenschutz in Baden-Württemberg, Stefan Brink, gibt unter https://www.baden-wuerttemberg.datenschutz.de/schuetzenhilfe-fuer-vereine-lfdi-stellt-eine-orientierungshilfe-fuer-vereine-unter-der-datenschutz-grundverordnung-zur-verfuegung/ Orientierungshilfen für Verein.

Im Themenbereich der Internetseite www.zdh.de informiert der Zentralverband des Deutschen Handwerks darüber, wann die DS-GVO überhaupt für Handwerker zutrifft und welche Schritte dann notwendig sind.

Daten in der Cloud: 1,5 Milliarden Dokumente frei zugänglich

12. April 2018/in Ereignisse/von Jürgen Schmidt

Im Internet sind rund 1,5 Milliarden Dokumente mit sensiblen Informationen aufgrund von falsch konfigurierten Servern und Cloud-Diensten frei zugänglich. Dazu gehören Gehaltsabrechnungen, Steuerbescheide, aber auch medizinische Daten, wie auf ZDNet zu lesen ist. Demnach ist es jedem mit geringen technischen Kenntnissen möglich, auf die sensiblen Daten zuzugreifen. Neben Informationen von privaten Anwenderinnen und Anwendern lassen sich auch Patente einfach abgreifen.

„Die hohe Anzahl und Sensibilität der öffentlich zugänglichen Daten ist erschreckend. Der Bericht zeigt erneut, wie sorglos manche Dienstleister mit sensiblen Daten ihrer Kunden umgehen“, betonte BSI-Präsident, Arne Schönbohm. „Unternehmen, die mit sensiblen Daten agieren, müssen ihrer Verantwortung zum Schutz dieser Daten endlich gerecht werden. Anbieter von Online-Dienstleistungen wie Cloud- oder Server-Dienstleistungen müssen es ihren Kunden durch entsprechende Vorkonfigurationen noch einfacher machen, die grundlegenden Sicherheitsprinzipien einzuhalten. Wir stehen erst am Anfang der Digitalisierung und müssen begreifen, dass Informationssicherheit die Voraussetzung für ihr Gelingen ist.“ Allen Anwenderinnen und Anwendern wird empfohlen, die IT-Sicherheit bei der Nutzung von Cloud-Diensten auch selbst im Blick zu behalten.

Zur BSI Meldung: Sicherheitsforscher finden 1,5 Milliarden sensible Daten

Zur Meldung auf ZDNet: Falsch konfigurierte Server und Cloud-Dienste geben 1,5 Milliarden vertrauliche Daten preis

CEO-Betrug: Akutes Risiko für Mitarbeiter und Unternehmen

12. April 2018/in Ereignisse/von Jürgen Schmidt

Aktuell versuchen Betrüger wieder verstärkt, Mitarbeiterinnen und Mitarbeiter in zahlreichen Unternehmen durch gefälschte E-Mails dazu zu bringen, Geldbeträge vom Firmenkonto zu überweisen. Laut Heise Security geben sich die Kriminellen als Chef oder anderer Vorgesetzer aus. An die notwendigen Informationen gelangen die Betrüger, indem sie per Social Engineering so viele Informationen wie möglich über ein Unternehmen und einzelne Mitarbeiter zusammentragen. Dadurch wirken die E-Mails oft täuschend echt. Um nicht Opfer einer solchen Betrugsmasche zu werden, sollten Sie stets mit gesundem Menschenverstand agieren und außergewöhnliche Nachrichten und Aufträge hinterfragen. In Unternehmen sollten insbesondere Mitarbeiter mit Finanzverantwortung besonders achtsam sein. Der Drei-Sekunden-E-Mail-Check vom Bundesamt für Sicherheit in der Informationstechnik weißt Sie auf kritische Punkte hin.

Zum Artikel auf Heise Security: CERT Bund warnt gegenwärtig vor der „Chef-Masche“

Experteninterview mit Thomas Spaeing (Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

15. März 2018/in Ereignisse/von Jürgen Schmidt

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) tritt am 25.05.2018 in Kraft . Umfragen haben ergeben, dass viele Unternehmen noch nicht oder nicht genug mit der Verordnung vertraut sind und nicht den künftigen Anforderungen genügen. Herr Spaeing, warum meinen Sie ist das so?

Zum Interview im ByDE Magazine

LfDI Baden-Württemberg gibt Tipps zur Umsetzung der DSDVO in Sachen Beschäftigtendatenschutz

15. März 2018/in Ereignisse/von Jürgen Schmidt

Der praxisbezogene Ratgeber des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI), Dr. Stefan Brink, zum Beschäftigtendatenschutz hat allgemein großen Anklang gefunden. Der Zuspruch insbesondere durch Arbeitgeber, Interessenvertretungen und auch Arbeitnehmer selbst, aber auch von Seiten der Presse hat den Landesbeauftragten darin bestärkt, seine Beratungsangebote weiter auszubauen.

Der Countdown bis zur unmittelbaren Geltung der Datenschutz-Grundverordnung (DS-GVO) und dem In-Kraft-Treten des neugefassten Bundesdatenschutzgesetzes läuft. Von daher haben die Verantwortlichen verständlicherweise alle Hände voll zu tun. Der Beschäftigtendatenschutz darf hierbei jedoch nicht aus den Augen verloren werden! Auch wenn sich insoweit die materielle Rechtslage auf den ersten Blick nicht wirklich verändern wird, gelten die allgemeinen Anforderungen der DS-GVO auch im Arbeitsverhältnis. So sind die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DS-GVO auch im Beschäftigungsverhältnis zu wahren. Nicht nur den Kunden des Verantwortlichen stehen die umfangreichen Informations- und Betroffenenrechte zur Verfügung, sondern auch den eigenen Mitarbeiterinnen und Mitarbeitern. Das sollte von den Verantwortlichen nicht übersehen werden, wenn sie sich vor Schadensersatzforderungen oder Verbandsklagen schützen wollen.

Mit der 2. Auflage des Ratgebers gibt der LfDI, neben den aus der 1. Auflage bekannten praxisrelevanten Fallbeispielen und deren Lösungen, Tipps zur Umsetzung der DS-GVO in Sachen Beschäftigtendatenschutz. Der Wunsch nach einem eigenständigen Beschäftigtendatenschutzgesetz bleibt nämlich auch mit der Anwendung der Datenschutzgrundverordnung ab dem 25. Mai 2018 weiterhin unerfüllt. Ziel des Ratgebers ist es somit nach wie vor, die Öffentlichkeit für die Belange des Beschäftigtendatenschutzes zu sensibilisieren und den Verantwortlichen und betroffenen Personen Orientierung zu geben.

Der Ratgeber kann hier abgerufen werden:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/Ratgeber-ANDS-2.-Auflage.pdf#