Die Elek­tro­nik­mes­se IFA in Ber­lin steht kurz bevor und auch in die­sem Jahr sind die The­men IT-Sicher­heit und Cyber-Sicher­heit bei vie­len der vor­ge­stell­ten ver­netz­ten Gerä­te rele­vant – denn Schnitt­stel­len wer­den abge­si­chert oder zusätz­li­che Sicher­heits­funk­tio­nen zur Ver­fü­gung gestellt. Dabei kön­nen Nut­zer mit nur weni­gen Klicks not­wen­di­ge Schutz­maß­nah­men selbst tref­fen: So ver­hin­dert bei­spiels­wei­se die Ver­schlüs­se­lung von E‑Mails, dass ver­sen­de­te Infor­ma­tio­nen von Unbe­fug­ten mit­ge­le­sen wer­den kön­nen. Schlimm­sten­falls gewin­nen Hacker bei unver­schlüs­sel­ten E‑Mails Zugriff auf wert­vol­le Infor­ma­tio­nen wie Kon­to- und Benut­zer­da­ten.

E‑Mail-Nut­zer kön­nen eini­ges tun, um sich vor unge­woll­ten Mit­le­sern zu schüt­zen. „Ver­schlüs­se­lung ist ein abso­lu­tes Muss, wenn man sicher­ge­hen möch­te, dass nie­mand ande­res als der vor­ge­se­he­ne Emp­fän­ger die ver­sen­de­ten Daten erhält“, erklärt Arne Schön­bohm, Prä­si­dent des Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI). „Kaum jemand wür­de auf die Idee kom­men, ver­trau­li­che Infor­ma­tio­nen auf einer Post­kar­te zu ver­schicken. Tat­säch­lich ist eine unver­schlüs­sel­te E‑Mail aber nichts ande­res – jeder, dem sie in die Hän­de fällt, kann sie lesen. Ver­schie­de­ne Pro­vi­der bie­ten mitt­ler­wei­le kom­for­ta­ble Lösun­gen zur Ver­schlüs­se­lung an, die­se soll­te man nut­zen.”

Siche­re Kom­mu­ni­ka­ti­on als Stan­dard

Nut­zer soll­ten, um ihre E‑Mails effek­tiv zu schüt­zen, die­se ver­schlüs­seln. Hier­für kön­nen ent­we­der Ver­schlüs­se­lungs­funk­tio­nen des E‑Mail-Anbie­ters, Add-Ons für E‑Mail-Pro­gram­me oder Ver­schlüs­se­lungs-Soft­ware genutzt wer­den. Die­se müs­sen ledig­lich akti­viert bezie­hungs­wei­se mit weni­gen Klicks instal­liert und ein­ge­rich­tet wer­den. Dabei wird zwi­schen sym­me­tri­schen und asym­me­tri­schen Ver­schlüs­se­lungs­ver­fah­ren unter­schie­den. Bei der sym­me­tri­schen Ver­schlüs­se­lung wird zum Ver- und Ent­schlüs­seln der­sel­be gehei­me Schlüs­sel ver­wen­det, der nicht mit Drit­ten geteilt wer­den soll­te. Sen­der und Emp­fän­ger ken­nen und benut­zen den­sel­ben Schlüs­sel für die Ver- und Ent­schlüs­se­lung von E‑Mails. Das asym­me­tri­sche Ver­fah­ren setzt sich hin­ge­gen aus einem Schlüs­sel­paar zusam­men, wobei ein Schlüs­sel zur Ver- und einer zur Ent­schlüs­se­lung genutzt wird. Der so genann­te öffent­li­che Schlüs­sel wird mit dem Kom­mu­ni­ka­ti­ons­part­ner aus­ge­tauscht, der pri­va­te Schlüs­sel bleibt geheim. Die­ses Ver­fah­ren bie­tet einen beson­ders hohen Schutz, denn nur ein Emp­fän­ger, der im Besitz des zwei­ten, pri­va­ten Schlüs­sels ist, kann die E‑Mail ent­schlüs­seln.

Um den Ein­satz von Ende-zu-Ende-Ver­schlüs­se­lung – vom Post­aus­gang des Sen­ders bis zum Post­ein­gang des Emp­fän­gers – in Deutsch­land zu för­dern, haben sich Ver­tre­ter aus Poli­tik, For­schung und IT-Wirt­schaft zusam­men­ge­schlos­sen und sich zu ein­fa­chen, nut­zer­freund­li­chen und trans­pa­ren­ten Ver­schlüs­se­lungs­lö­sun­gen ver­pflich­tet. Unter Betei­li­gung des Bun­des­mi­ni­ste­ri­ums des Innern und des BSI wur­de die „Char­ta zur Stär­kung der ver­trau­ens­wür­di­gen Kom­mu­ni­ka­ti­on“ auf dem IT-Gip­fel 2015 unter­zeich­net. Eine Initia­ti­ve, die die­se For­de­run­gen erfüllt, ist die „Volks­ver­schlüs­se­lung“, für die sich Nut­zer auf der IFA regi­strie­ren kön­nen. „Wir begrü­ßen sol­che Initia­ti­ven, die dazu bei­tra­gen, dass E‑Mail-Kom­mu­ni­ka­ti­on siche­rer wird und die Ver­schlüs­se­lung in der Brei­te genutzt wird“, erklärt Arne Schön­bohm, Prä­si­dent des BSI.

Die Behör­de befasst sich mit allen The­men rund um die IT-Sicher­heit in Deutsch­land; hier­zu ent­wickelt sie auch kryp­to­gra­fi­sche Ver­fah­ren und Ver­schlüs­se­lungs­lö­sun­gen. Unter ande­rem ließ das BSI die Soft­ware Gpg4win ent­wickeln, eine ein­fa­che, lizenz­ko­sten­freie Ver­schlüs­se­lungs­lö­sung für Win­dows-Betriebs­sy­ste­me, die E‑Mails, Datei­en und Datei­ord­ner ver­schlüs­selt und in Out­look genutzt wer­den kann. Inter­es­sier­te IFA-Besu­cher kön­nen vom BSI am Stand 101 in Hal­le 21a wei­te­re Infor­ma­tio­nen rund um die The­men Ver­schlüs­se­lung, IT-Sicher­heit und Cyber-Sicher­heit erhal­ten.

Wei­te­re Infor­ma­tio­nen zum The­ma „Ver­schlüs­se­lung“ erhal­ten Sie unter:

Char­ta zur Stär­kung der ver­trau­ens­wür­di­gen Kom­mu­ni­ka­ti­on
BSI für Bür­ger: Ver­schlüs­se­lung
Gpg4win: Siche­re E‑Mail- und Datei-Ver­schlüs­se­lung

​Vie­le Com­pu­ter von Pri­vat­an­wen­dern, die zum Inter­net­sur­fen ver­wen­det wer­den, sind nicht aus­rei­chend gegen die Risi­ken der Online-Welt geschützt. Kri­mi­nel­le nut­zen dies, indem sie sol­che Rech­ner mit Schad­pro­gram­men infi­zie­ren und für ihre Zwecke miss­brau­chen. Dadurch kön­nen Ihnen erheb­li­che Schä­den ent­ste­hen. Zum Bei­spiel kön­nen die Kri­mi­nel­len Ihre Daten löschen oder aus­spio­nie­ren, in Online-Shops Waren in Ihrem Namen und auf Ihre Kosten bestel­len, Trans­ak­tio­nen beim Online-Ban­king mani­pu­lie­ren oder Ihnen den Zugang zu Ihrem Bank­kon­to sper­ren. Die Kri­mi­nel­len kön­nen Ihren Rech­ner außer­dem zum Teil eines Bot­net­zes machen und ihn so für Cyber-Angrif­fe auf Unter­neh­men oder ande­re Insti­tu­tio­nen sowie zum Ver­sand von Spam-E-Mails ein­set­zen.

Einen hun­dert­pro­zen­ti­gen Schutz gegen die­se Gefähr­dun­gen gibt es lei­der nicht. Um die Risi­ken jedoch weit­ge­hend ein­zu­schrän­ken, kön­nen Sie selbst etwas tun. Wenn Sie die fol­gen­den Maß­nah­men umset­zen, dann erhö­hen Sie die Sicher­heit Ihres Rech­ners und Ihre Sicher­heit im Inter­net bereits erheb­lich. Die ersten fünf Emp­feh­lun­gen (“Kern­maß­nah­men”) soll­ten Sie dabei in jedem Fall umset­zen. Die wei­te­ren Emp­feh­lun­gen sind ergän­zen­de Maß­nah­men, mit deren Umset­zung Sie Cyber-Kri­mi­nel­len weni­ger Angriffs­flä­che bie­ten und prä­ven­tiv dafür sor­gen kön­nen, Ihre Inter­net-Sicher­heit zu ver­bes­sern und mög­li­che nega­ti­ve Fol­gen zu min­dern.

Alle Maß­nah­men sind in der Regel auch für Lai­en ein­fach umzu­set­zen. Wenn Sie sich dies den­noch nicht zutrau­en, dann soll­ten Sie einen Inter­net-Pro­fi oder den Her­stel­ler Ihres IT-Systems zur Rate zie­hen, der Sie dabei unter­stüt­zen kann.

Kern­maß­nah­men

  • Instal­lie­ren Sie regel­mä­ßig von den jewei­li­gen Her­stel­lern bereit­ge­stell­te Sicher­heits­up­dates für Ihr Betriebs­sy­stem und die von Ihnen instal­lier­ten Pro­gram­me (zum Bei­spiel Inter­net-Brow­ser, Office, Flash Play­er, Ado­be Reader) – idea­ler­wei­se über die Funk­ti­on “Auto­ma­ti­sche Updates”. Die­se Funk­ti­on kön­nen Sie in der Regel im jewei­li­gen Pro­gramm ein­stel­len, meist unter dem Menü­punkt “Optio­nen” oder “Ein­stel­lun­gen”.
  • Set­zen Sie ein Viren­schutz­pro­gramm ein und aktua­li­sie­ren Sie die­ses regel­mä­ßig, idea­ler­wei­se über die Funk­ti­on “Auto­ma­ti­sche Updates”
  • Ver­wen­den Sie eine Per­so­nal Fire­wall. Die­se ist in den mei­sten moder­nen Betriebs­sy­ste­men bereits inte­griert und soll Ihren Rech­ner vor Angrif­fen von außen schüt­zen. Dazu kon­trol­liert sie alle Ver­bin­dun­gen des Rech­ners in ande­re Netz­wer­ke und über­prüft sowohl die Anfra­gen ins Inter­net als auch die Daten, die aus dem Inter­net an Ihren Rech­ner gesen­det wer­den.
  • Nut­zen Sie für den Zugriff auf das Inter­net aus­schließ­lich ein Benut­zer­kon­to mit ein­ge­schränk­ten Rech­ten, kei­nes­falls ein Admi­ni­stra­tor-Kon­to. Alle gän­gi­gen Betriebs­sy­ste­me bie­ten die Mög­lich­keit, sich als Nut­zer mit ein­ge­schränk­ten Rech­ten anzu­mel­den. Wie Sie ein ein­fa­ches Benut­zer­kon­to ein­rich­ten, ist hier erklärt: Micro­soft Win­dows, Mac OS X, Linux, Linux Ubun­tu
  • Sei­en Sie zurück­hal­tend mit der Wei­ter­ga­be per­sön­li­cher Infor­ma­tio­nen. Sei­en Sie miss­trau­isch. Klicken Sie nicht auto­ma­tisch auf jeden Link oder jeden Datei­an­hang, der Ihnen per E‑Mail gesen­det wird. Über­prü­fen Sie gege­be­nen­falls tele­fo­nisch, ob der Absen­der der Mail authen­tisch ist. Wenn Sie Soft­ware her­un­ter­la­den möch­ten, dann soll­ten Sie dies mög­lichst aus­schließ­lich von der Web­sei­te des jewei­li­gen Her­stel­lers tun.

Ergän­zen­de Maß­nah­men

  • Ver­wen­den Sie einen moder­nen Inter­net-Brow­ser mit fort­schritt­li­chen Sicher­heits­me­cha­nis­men wie etwa einer Sand­box. Kon­se­quent umge­setzt wird die­ser Schutz gegen­wär­tig zum Bei­spiel von Goog­le Chro­me. Zudem soll­te der Brow­ser über einen Fil­ter­me­cha­nis­mus ver­fü­gen, der Sie vor schäd­li­chen Web­sei­ten warnt, bevor Sie die­se ansur­fen. Bei­spie­le sol­cher Fil­ter­me­cha­nis­men sind der Smart Screen Fil­ter beim Inter­net Explo­rer sowie der Phis­hing- und Mal­wa­re­schutz bei Goog­le Chro­me und Mozil­la Fire­fox. Dar­über hin­aus soll­ten Sie nur sol­che Brow­ser-Zusatz­pro­gram­me “Plugins” ver­wen­den, die Sie unbe­dingt benö­ti­gen. Wei­te­re Emp­feh­lun­gen zur siche­ren Kon­fi­gu­ra­ti­on Ihres Brow­sers hat das BSI hier für Sie zusam­men­ge­stellt.
  • Nut­zen Sie mög­lichst siche­re Pass­wör­ter. Ver­wen­den Sie für jeden genutz­ten Online-Dienst – zum Bei­spiel E‑Mail, Online Shops, Online Ban­king, Foren, Sozia­le Netz­wer­ke – ein ande­res, siche­res Pass­wort. Ändern Sie die­se Pass­wör­ter regel­mä­ßig. Vom Anbie­ter oder Her­stel­ler vor­ein­ge­stell­te Pass­wör­ter soll­ten Sie sofort ändern. Wie Sie ein siche­res Pass­wort erstel­len kön­nen, haben wir hier für Sie beschrie­ben.
  • Wenn Sie im Inter­net per­sön­li­che Daten über­tra­gen wol­len, etwa beim Online Ban­king oder beim Online Shop­ping, dann soll­ten Sie dies aus­schließ­lich über eine ver­schlüs­sel­te Ver­bin­dung tun. Jeder seriö­se Online-Dienst bie­tet eine sol­che Mög­lich­keit an, bei­spiels­wei­se durch die Nut­zung des siche­ren Kom­mu­ni­ka­ti­ons­pro­to­kolls “HTTPS”. Sie erken­nen dies an der von Ihnen auf­ge­ru­fe­nen Inter­net­adres­se, die stets mit “https://” beginnt und an dem klei­nen Schloss-Sym­bol in Ihrem Brow­ser­fen­ster.
  • Deinstal­lie­ren Sie nicht benö­tig­te Pro­gram­me. Je weni­ger Anwen­dun­gen Sie nut­zen, desto klei­ner ist die Angriffs­flä­che Ihres gesam­ten Systems.
  • Erstel­len Sie regel­mä­ßig Sicher­heits­ko­pi­en “Back­ups” Ihrer Daten, um vor Ver­lust geschützt zu sein. Hier­zu kön­nen Sie bei­spiels­wei­se eine exter­ne Fest­plat­te nut­zen.
  • Wenn Sie ein WLAN (“Wire­less LAN”, draht­lo­ses Netz­werk) nut­zen, dann soll­te dies stets mit­tels des Ver­schlüs­se­lungs­stan­dards WPA2 ver­schlüs­selt sein. Wie Sie ein siche­res WLAN ein­rich­ten kön­nen, erfah­ren Sie hier.
  • Über­prü­fen Sie in regel­mä­ßi­gen Abstän­den den Sicher­heits­sta­tus Ihres Com­pu­ters. Eine schnel­le Test­mög­lich­keit bie­tet die Initia­ti­ve bot­frei des eco-Ver­bands.

​Der genaue Wort­laut der DS-GVO steht nun schon seit gerau­mer Zeit fest. Den­noch ist bis jetzt kei­ne Online-Ver­si­on des Geset­zes­tex­tes zu fin­den, mit der man unkom­pli­ziert arbei­ten kann. In dem offi­zi­el­len PDF ist die Schrift sehr gedrängt und man kann ein­zel­ne Arti­kel z.B. nicht ver­lin­ken. Aus die­sem Grun­de gibt es die Web­site www​.dsgvo​-gesetz​.de.

Durch die fol­gen­den Punk­te wird das Nach­schla­gen, Zitie­ren oder Her­um­blät­tern in der Daten­schutz-Grund­ver­ord­nung angenehmer:Gesetzestext und die dazu­ge­hö­ri­gen Erwä­gungs­grün­de

  • ein­fa­che Navi­ga­ti­on
  • Schnell­zu­griff
  • über­sicht­li­che For­ma­tie­rung
  • alle erwähn­ten Nor­men sind ver­linkt
  • Such­funk­ti­on

Viel Ver­gnü­gen beim Arbei­ten mit der Daten­schutz-Grund­ver­ord­nung.

News vom Vir­tu­el­les Daten­schutz­bü­ro, Ver­öf­fent­licht am 31. Juli 2016

Auf­grund einer Sicher­heits­lücke bei dem Ber­li­ner Flug­ticket-Groß­händ­ler Aer­ticket sol­len seit 2011 Flug­gast­da­ten unge­schützt im Inter­net ein­seh­bar gewe­sen sein. Unter den Daten sei­en Infor­ma­tio­nen wie Name, Adres­se, Flug­ticket, Rech­nun­gen sowie zum Teil auch Bank­da­ten.

Das Unter­neh­men soll die Sicher­heits­lücke mitt­ler­wei­le geschlos­sen haben. Nach Anga­ben von Aer­ticket sei­en die Daten von nur etwa ein Vier­tel der sechs Mil­lio­nen Tickets zugäng­lich gewe­sen. Laut Sicher­heits­ex­per­ten sei die Schwach­stel­le nicht von Kri­mi­nel­len aus­ge­nutzt wor­den. Zur Zeit lau­fe eine Über­prü­fung des Fal­les durch den Ber­li­ner Daten­schutz­be­auf­trag­ten.

Per­sön­li­che Anmer­kung:

Dass eine so schwer­wie­gen­de Sicher­heits­lücke der­art lan­ge unent­deckt blei­ben konn­te, zeigt, welch gerin­ge Rol­le der Schutz von Kun­den­da­ten in vie­len Bran­chen spielt – selbst, wenn vie­le Mil­lio­nen Men­schen betrof­fen sind. Erst vor weni­gen Wochen hat­te der Blog Netz­po­li­tik eine ähn­li­che Lücke beim Ber­li­ner Putz­kraft­ver­mitt­ler Hel­pling auf­ge­deckt. Die­se betraf zwar weit­aus weni­ger Kun­den, der zugrun­de lie­gen­de Feh­ler war tech­nisch aber ver­gleich­bar.

Der GDD-Arbeits­kreis “Daten­schutz Inter­na­tio­nal” hat ein White­pa­per zu den Dritt­land­trans­fers in der EU-Daten­schutz-Grund­ver­ord­nung erstellt.

Die EU-Daten­schutz-Grund­ver­ord­nung (DS-GVO) knüpft, wie bereits die EU-Daten­schutz­richt­li­nie 95/​46/​EG, beson­de­re Bedin­gun­gen an die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein sog. „Dritt­land“ außer­halb des Euro­päi­schen Wirt­schafts­raums und legt die­se Bedin­gun­gen in Kapi­tel V fest. Hier­bei wer­den vor­han­de­ne oder durch die auf­sichts­be­hörd­li­che Pra­xis ent­wickel­te Instru­men­te bestä­tigt und in ihren Vor­ga­ben teil­wei­se erwei­tert bzw. gesetz­lich kon­kre­ti­siert. Das White­pa­per möch­te einen Über­blick dar­über schaf­fen, was sich für Daten­ver­ar­bei­tung nach Anwen­dung der DS-GVO ab dem 25.05.2018 ändert bzw. wo die neu­en Her­aus­for­de­run­gen lie­gen.

» Das White­pa­per kann hier abge­ru­fen wer­den.

Die Euro­päi­sche Kom­mis­si­on hat das Pri­va­cy Shield Frame­work als Nach­fol­ge­re­ge­lung zu Safe Har­bor am gest­ri­gen Tag beschlos­sen. Emp­fän­ger per­so­nen­be­zo­ge­ner Daten in den USA kön­nen durch eine Zer­ti­fi­zie­rung nach den Vor­ga­ben des Pri­va­cy Shield beim US-Han­dels­mi­ni­ste­ri­um ein ange­mes­se­nes Daten­schutz­ni­veau im Sin­ne des § 4b BDSG gewähr­lei­sten.

Nach den hohen Wel­len, die das Urteil des EuGH zu Safe Har­bor in die trans­at­lan­ti­schen Daten­strö­me geschla­gen hat, kann bald wie­der etwas Ruhe in die Ein­be­zie­hung von US-Daten­emp­fän­gern in die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten euro­päi­scher Bür­ge­rin­nen und Bür­ger ein­keh­ren. Nur Mona­te nach der Ungül­tig­keit des „siche­ren Hafens“ wur­de gestern die Nach­fol­ge­re­ge­lung in Gestalt des EU‑U.S. Pri­va­cy Shield durch die Euro­päi­sche Kom­mis­si­on beschlos­sen, nach­dem das obli­ga­to­ri­sche Aus­schuss­ver­fah­ren nach Art. 31 der EU-Daten­schutz­richt­li­nie erfolg­reich durch­lau­fen wur­de. Der Ver­ab­schie­dung gin­gen ver­gleichs­wei­se kur­ze Verhandlungen[1] zwi­schen Ver­tre­tern der Euro­päi­schen Kom­mis­si­on und dem US-Han­dels­mi­ni­ste­ri­um vor­aus, um das Ver­trau­en von Betrof­fe­nen in den Umgang mit ihren per­so­nen­be­zo­ge­nen Daten in den USA wie­der­her­zu­stel­len.

Durch die Ver­ab­schie­dung des Pri­va­cy Shield, ein­schließ­lich des Ange­mes­sen­heits­be­schlus­ses der EU-Kom­mis­si­on bezüg­lich des Schutz­ni­veaus bei zer­ti­fi­zier­ten Daten­emp­fän­gern in den USA, kann die sog. „2. Prüf­stu­fe“ für den Export per­so­nen­be­zo­ge­ner Daten in die USA an zer­ti­fi­zier­te Emp­fän­ger nach die­sem Frame­work gemei­stert wer­den. Die 1. Prüf­stu­fe hin­sicht­lich der Zuläs­sig­keit der Daten­über­mitt­lung muss wei­ter­hin genom­men wer­den. Die Mit­glied­staa­ten sind an die Ange­mes­sen­heits­ent­schei­dung der Kom­mis­si­on gebun­den. Natio­na­len Auf­sichts­be­hör­den ist es unbe­nom­men, die Ein­ga­be einer Per­son dahin­ge­hend zu prü­fen, ob im Rah­men einer Über­mitt­lung sie betref­fen­der per­so­nen­be­zo­ge­ner Daten aus einem Mit­glied­staat in ein Dritt­land wie die USA, ein ange­mes­se­nes Schutz­ni­veau gewähr­lei­stet ist.[2]

Daten­ver­ar­bei­ter in den USA kön­nen sich ab dem 1. August 2016 durch ver­bind­li­che Erklä­rung gegen­über dem US-Han­dels­mi­ni­ste­ri­um nach dem EU‑U.S. Pri­va­cy Shield zer­ti­fi­zie­ren. Bis zur Zer­ti­fi­zie­rung müs­sen die neu­en Vor­ga­ben des Pri­va­cy Shield umge­setzt wor­den sein. Ver­ant­wort­li­che Stel­len in Euro­pa soll­ten ab dem 1. August prü­fen, ob eine Zer­ti­fi­zie­rung für das neue Frame­work tat­säch­lich vor­liegt. Das beim US-Han­dels­mi­ni­ste­ri­um geführ­te Regi­ster ist der­zeit jedoch noch nicht zugäng­lich.

Wei­te­re Infor­ma­tio­nen zum Pri­va­cy Shield fin­den Sie auf den Web­sei­ten der Kom­mis­si­on sowie des US-Han­dels­mi­ni­ste­ri­ums.

[1] Zu den Inhal­ten des EU‑U.S. Pri­va­cy Shield und dem Gang der Ver­hand­lun­gen, sie­he White­pa­per des GDD-Arbeits­krei­ses „Daten­schutz Inter­na­tio­nal“ zu Daten­ex­por­ten in die USA.

[2] So EuGH, Urteil vom 6. Okto­ber 2015 – Az. C 362/​14.

​Infor­ma­ti­ons­pflich­ten bei Daten­er­he­bung und ‑ver­ar­bei­tung sind fester Bestand­teil des Daten­schutz­rechts. Mit der EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) ver­viel­fa­chen sich jedoch die von Unter­neh­men und Ver­ant­wort­li­chen zu berück­sich­ti­gen­den Pflich­ten in Bezug auf die Infor­ma­ti­on von Betrof­fe­nen. Die­ser Arti­kel stellt die Neue­run­gen zur EU-Daten­schutz-Grund­ver­ord­nung dar.

Was sind Infor­ma­ti­ons­pflich­ten?

Ein ele­men­ta­rer Grund­satz des Daten­schutz­rech­tes ist die Trans­pa­renz. Betrof­fe­ne sol­len in die Lage ver­setzt wer­den, die Daten­er­he­bung, ‑ver­ar­bei­tung bzw. ‑nut­zung zu prü­fen oder, wie es das Bun­des­ver­fas­sungs­ge­richt aus­ge­drückt hat, wis­sen

wer was wann und bei wel­cher Gele­gen­heit über sie weiß.“

Die­ser Grund­satz kann nur dann gewähr­lei­stet wer­den, wenn Unter­neh­men und Ver­ant­wort­li­che aus­rei­chend über Daten­ver­ar­bei­tungs­vor­gän­ge infor­mie­ren.

Wie ist die bis­he­ri­ge Rechts­la­ge?

Infor­ma­ti­ons­pflich­ten sind bis­lang im BDSG und z.T. auch in ande­ren Geset­zen gere­gelt. Wer­den per­so­nen­be­zo­ge­ne Daten direkt beim Betrof­fe­nen erho­ben, rich­ten sich die zu ertei­len­den Infor­ma­tio­nen nach § 4 Abs. 3 BDSG, bei der Erhe­bung ohne Kennt­nis des Betrof­fe­nen ist § 33 BDSG anzu­wen­den.

Außer­dem exi­stie­ren in eini­gen Berei­chen spe­zi­el­le Infor­ma­ti­ons­pflich­ten, wie etwa in § 13 Abs. 1 TMG für Anbie­ter von Tele­me­di­en, die in der Regel in Form von Daten­schutz­er­klä­run­gen auf Web­sites oder Apps umge­setzt wer­den.

Was ändert sich durch die Daten­schutz-Grund­ver­ord­nung?

Die Grund­ver­ord­nung regelt die Infor­ma­ti­ons­pflich­ten in den Art. 13 und 14 in zwei sehr umfang­rei­chen und über das bis­her Erfor­der­li­che hin­aus­ge­hen­den Kata­lo­gen. Ergän­zend dazu fin­den sich, in einer Viel­zahl der Erwä­gungs­grün­de der Daten­schutz-Grund­ver­ord­nung, Anmer­kun­gen und Hin­wei­se, wel­che den Grund­satz der fai­ren und trans­pa­ren­ten Ver­ar­bei­tung stets her­vor­he­ben.

Es wird unter­schie­den zwi­schen Infor­ma­ti­ons­pflich­ten bei der Erhe­bung per­so­nen­be­zo­ge­ner Daten bei dem Betrof­fe­nen (Art. 13 DSGVO) Infor­ma­ti­ons­pflich­ten, wenn die Erhe­bung nicht direkt bei dem Betrof­fe­nen erfolgt (Art. 14 DSGVO).

Wel­che Infor­ma­ti­ons­pflich­ten bestehen nach Art. 13 DSGVO?

Wer­den per­so­nen­be­zo­ge­ne Daten beim Betrof­fe­nen erho­ben, muss der Ver­ant­wort­li­che nach Art. 13 Abs. 1 DSGVO fol­gen­de Infor­ma­tio­nen mit­tei­len:

a) Iden­ti­tät des Ver­ant­wort­li­chen
Es ist über den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen zu infor­mie­ren. Glei­ches gilt ggf. für Namen und Kon­takt­da­ten des Ver­tre­ters des Ver­ant­wort­li­chen nach Art. 27 DSGVO, wenn der Ver­ant­wort­li­che selbst nicht in der EU nie­der­ge­las­sen ist.

b) Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten
Neu ist auch die Ver­pflich­tung zur Mit­tei­lung der Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten des Ver­ant­wort­li­chen.

c) Ver­ar­bei­tungs­zwecke und Rechts­grund­la­ge
Der Ver­ant­wort­li­che muss auch über die Zwecke der Daten­ver­ar­bei­tung sowie über die Rechts­grund­la­ge der Ver­ar­bei­tung infor­mie­ren. Die­se neue Anfor­de­rung führt dazu, dass der Betrof­fe­ne dar­über auf­ge­klärt wird, auf wel­chen Erlaub­nis­tat­be­stand (sie­he Art. 6 DSGVO, z.B. Ein­wil­li­gung oder Erfül­lung eines Ver­tra­ges) der Ver­ant­wort­li­che die Daten­ver­ar­bei­tung stüt­zen möch­te.

d) Berech­tig­tes Inter­es­se
Soll­te die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zur Wah­rung berech­tig­ter Inter­es­sen des Ver­ant­wort­li­chen nach Art. 6 Abs. 1 f) DSGVO erfor­der­lich sein, bezie­hen sich die Infor­ma­ti­ons­pflich­ten auch auf eine Auf­klä­rung über die­se Inter­es­sen.

e) Emp­fän­ger
In allen Fäl­len, in denen per­so­nen­be­zo­ge­ne Daten über­mit­telt wer­den sol­len, sind die Betrof­fe­nen grund­sätz­lich über die kon­kre­ten Emp­fän­ger zu infor­mie­ren. Aus­nahms­wei­se reicht auch eine Infor­ma­ti­on über Kate­go­ri­en von Emp­fän­gern, wenn kon­kre­te Unter­neh­men noch nicht bezeich­net wer­den kön­nen.

f) Über­mitt­lung in Dritt­staa­ten
Soll­te der Ver­ant­wort­li­che eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­staa­ten beab­sich­ti­gen, ist dar­über eben­falls zu infor­mie­ren. Um die­se Pflicht zu erfül­len, ist mit­zu­tei­len, auf wel­cher beson­de­ren Bedin­gung nach Art. 44 ff. DSGVO die Über­mitt­lung beruht und wel­che Maß­nah­men ergrif­fen wur­den, um beim Emp­fän­ger ein ange­mes­se­nes Daten­schutz­ni­veau her­zu­stel­len. Wer­den z.B. EU-Stan­dard­ver­trags­klau­seln ver­wen­det, ist dem Betrof­fe­nen eine Ein­sicht­nah­me in das ent­spre­chen­de Doku­ment zu ermög­li­chen.

Nach Art. 13 Abs. 2 DSGVO muss der Ver­ant­wort­li­che dem Betrof­fe­nen dar­über hin­aus wei­te­re Infor­ma­tio­nen mit­tei­len, die ins­be­son­de­re not­wen­dig sind, um eine fai­re und trans­pa­ren­te Ver­ar­bei­tung zu gewähr­lei­sten:

a) Dau­er der Spei­che­rung
Es ist kon­kret anzu­ge­ben, für wie lan­ge per­so­nen­be­zo­ge­ne Daten gespei­chert wer­den. Nur aus­nahms­wei­se, wenn die Anga­be einer Kon­kre­ten Zeit­span­ne dem Ver­ant­wort­li­chen nicht mög­lich ist, rei­chen Kri­te­ri­en für die Fest­le­gung der end­gül­ti­gen Dau­er der Spei­che­rung aus.

b) Rech­te der Betrof­fe­nen
Die Betrof­fe­nen sind über ihre Rech­te auf Aus­kunft, Berich­ti­gung, Löschung, Ein­schrän­kung der Ver­ar­bei­tung, Wider­spruch gegen die Ver­ar­bei­tung sowie Daten­über­trag­bar­keit hin­zu­wei­sen, die sich aus den Art. 15 – 21 DSGVO erge­ben und hier behan­delt wer­den.

c) Wider­ruf­bar­keit von Ein­wil­li­gun­gen
Soweit die Ver­ar­bei­tung auf einer Ein­wil­li­gung des Betrof­fe­nen beruht, ist auch dar­auf geson­dert hin­zu­wei­sen. Die ent­spre­chen­de Infor­ma­ti­ons­pflicht ist nur erfüllt, wenn gleich­zei­tig dar­über auf­ge­klärt wird, dass die Ein­wil­li­gung jeder­zeit wider­ru­fen wer­den kann und die Daten­ver­ar­bei­tung bis zum Zeit­punkt des Wider­rufs recht­mä­ßig bleibt.

d) Beschwer­de­recht bei der Auf­sichts­be­hör­de
Der Betrof­fe­ne ist dar­über auf­zu­klä­ren, dass er sich gemäß Art. 77 DSGVO bei einer Auf­sichts­be­hör­de beschwe­ren kann, wenn er der Ansicht ist, dass die Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten rechts­wid­rig erfolgt.

e) Ver­pflich­tung zur Bereit­stel­lung per­so­nen­be­zo­ge­ner Daten
Der Ver­ant­wort­li­che muss den Betrof­fe­nen dar­über infor­mie­ren, ob die Bereit­stel­lung sei­ner per­so­nen­be­zo­ge­nen Daten gesetz­lich oder ver­trag­lich vor­ge­schrie­ben, für einen Ver­trags­schluss erfor­der­lich ist oder eine son­sti­ge Ver­pflich­tung besteht und wel­che Fol­gen eine Nicht­be­reit­stel­lung hät­te.

f) Auto­ma­ti­sier­te Ent­schei­dungs­fin­dung und Pro­filing
Sobald der Ver­ant­wort­li­che Ver­fah­ren der auto­ma­ti­sier­ten Ent­schei­dung nach Art. 22 DSGVO oder ande­re Pro­filing-Maß­nah­men nach Art. 4 Nr. DSGVO durch­führt, muss der Betrof­fe­ne über die beson­de­re Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen sol­cher Ver­fah­ren infor­miert wer­den. Die­se Infor­ma­ti­ons­pflicht erstreckt sich auf Anga­ben zu der dazu ver­wen­de­ten Logik oder des Algo­rith­mus.

Wel­che Infor­ma­ti­ons­pflich­ten bestehen nach Art. 14 DSGVO?

Wer­den per­so­nen­be­zo­ge­ne Daten nicht beim Betrof­fe­nen erho­ben, bestehen nach Art. 14 DSGVO für den Ver­ant­wort­li­chen nahe­zu die­sel­ben Infor­ma­ti­ons­pflich­ten, wie bei der Erhe­bung direkt beim Betrof­fe­nen.

Logi­scher­wei­se muss aller­dings hier der Betrof­fe­ne nicht über eine etwai­ge Ver­pflich­tung zur Bereit­stel­lung infor­miert wer­den, da er selbst nicht über die Bereit­stel­lung ent­schei­den kann.

Nach Art. 14 Abs. 2 f) DSGVO muss der Ver­ant­wort­li­che den Betrof­fe­nen jedoch dar­über auf­klä­ren, aus wel­cher Quel­le die per­so­nen­be­zo­ge­nen Daten stam­men und ob es sich dabei um eine öffent­lich zugäng­li­che Quel­le han­delt.

In wel­cher Form müs­sen die Infor­ma­tio­nen bereit­ge­stellt wer­den?

Nach Art. 12 DSGVO sind die oben dar­ge­stell­ten Infor­ma­tio­nen in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form zu ertei­len. Dabei kön­nen sie schrift­lich oder in elek­tro­ni­scher Form an den Betrof­fe­nen über­mit­telt wer­den.

Es wird expli­zit erwähnt, dass dafür auch sog. stan­dar­di­sier­te Bild­sym­bo­len ver­wen­det wer­den kön­nen, um in leicht wahr­nehm­ba­rer, ver­ständ­li­cher und klar nach­voll­zieh­ba­rer Form einen aus­sa­ge­kräf­ti­gen Über­blick über die beab­sich­tig­te Ver­ar­bei­tung zu ver­mit­teln. Anders als im BDSG wird es in der Daten­schutz-Grund­ver­ord­nung beson­de­re Anfor­de­run­gen an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von Kin­dern geben. In die­sem Fal­le soll­ten nach Erwä­gungs­grund 58 der DSGVO auf­grund der beson­de­ren Schutz­wür­dig­keit von Kin­dern Infor­ma­tio­nen und Hin­wei­se in einer der­ge­stalt kla­ren und ein­fa­chen Spra­che erfol­gen, dass ein Kind sie ver­ste­hen kann.

Wann muss der Betrof­fe­ne infor­miert wer­den?

Bei der Direkt­er­he­bung muss der Betrof­fe­ne nach Art. 13 Abs. 1 DSGVO zum Zeit­punkt der Erhe­bung infor­miert wer­den.
Wer­den die Daten nicht beim Betrof­fe­nen erho­ben, muss der Ver­ant­wort­li­che die Infor­ma­tio­nen nach Art. 14 Abs. 3 DSGVO grund­sätz­lich inner­halb einer ange­mes­se­nen Frist, spä­te­stens jedoch nach einem Monat ertei­len. Wer­den die Daten aller­dings zur Kom­mu­ni­ka­ti­on mit dem Betrof­fe­nen ver­wen­det oder sol­len an einen Emp­fän­ger über­mit­telt wer­den, ist die Infor­ma­ti­on zwin­gend zum Zeit­punkt der Kon­takt­auf­nah­me oder ersten Über­mitt­lung vor­zu­neh­men.

Kann die Infor­ma­ti­ons­pflicht ein­ge­schränkt sein?

Bei der Direkt­er­he­bung kann nach Art. 13 Abs. 4 DSGVO auf die Infor­ma­ti­on des Betrof­fe­nen nur dann ver­zich­tet wer­den, wenn die­ser bereits infor­miert wur­de.

Soweit die Daten nicht beim Betrof­fe­nen erho­ben wer­den, sind die Infor­ma­ti­ons­pflich­ten gemäß Art. 14 Abs. 5 DSGVO in drei wei­te­ren Fäl­len ent­behr­lich:

  • Die Infor­ma­ti­on ist unmög­lich oder unver­hält­nis­mä­ßig auf­wen­dig.
  • Die Erhe­bung oder Über­mitt­lung ist gesetz­lich vor­ge­schrie­ben.
  • Es besteht ein Berufs­ge­heim­nis oder eine son­sti­ge sat­zungs­mä­ßi­ge Geheim­hal­tungs­pflicht.

Ins­ge­samt lässt sich fest­hal­ten, dass die Fäl­le, in denen auf eine Infor­ma­ti­on des Betrof­fe­nen ver­zich­tet wer­den kann, im Gegen­satz zum BDSG ein­ge­schränkt wer­den.

Fol­ge bei Ver­stö­ßen gegen die Infor­ma­ti­ons­pflicht?

Wenn Ver­ant­wort­li­che ihren Infor­ma­ti­ons­pflich­ten nicht nach­kom­men, droht gemäß Art. 83 Abs. 5 b DSGVO ein Buß­geld. Der euro­päi­sche Gesetz­ge­ber sieht die Gewähr­lei­stung einer fai­ren und trans­pa­ren­ten Daten­ver­ar­bei­tung mit Hil­fe umfas­sen­der Infor­ma­ti­on als ele­men­tar an und bedroht Ver­stö­ße in die­sen Fäl­len mit dem hohen Buß­geld­rah­men, der Buß­gel­der bis zu 20.000.000 EUR oder 4% des Jah­res­um­sat­zes vor­sieht.

Wel­che Vor­ge­hens­wei­se wäre emp­feh­lens­wert?

Ver­ant­wort­li­che soll­ten nun früh­zei­tig begin­nen, die neu­en Infor­ma­ti­ons­pflich­ten umzu­set­zen und die wei­te­ren Anfor­de­run­gen an Form und Zeit­punkt der Mit­tei­lung zu beach­ten.

​Unzu­läs­si­ge Daten­über­mitt­lun­gen in die USA

(hmbb­fdi, 6.6.2016) Der EuGH hat die Safe Har­bor-Ent­schei­dung im Okto­ber 2015 auf­ge­ho­ben und damit einen  wesent­li­chen Pfei­ler für eine recht­mä­ßi­ge Daten­über­mitt­lung an US-Unter­neh­men für unwirk­sam erklärt. Dar­auf­hin wur­den durch den Ham­bur­gi­schen Daten­schutz­be­auf­trag­ten Prü­fun­gen bei 35 inter­na­tio­nal agie­ren­den Ham­bur­ger Unter­neh­men durch­ge­führt.

Die Prü­fun­gen haben erge­ben, dass die über­wie­gen­de Mehr­heit der Unter­neh­men den Daten­trans­fer im Rah­men einer mehr­mo­na­ti­gen Umset­zungs­frist recht­zei­tig auf soge­nann­te Stan­dard­ver­trags­klau­seln umge­stellt hat. Eini­ge weni­ge Unter­neh­men hat­ten aber auch ein hal­bes Jahr nach Weg­fall der Safe Har­bor-Ent­schei­dung kei­ne zuläs­si­ge Alter­na­ti­ve geschaf­fen. Die Daten­über­mitt­lun­gen die­ser Unter­neh­men in die USA erfolg­ten damit ohne recht­li­che Grund­la­ge und waren rechts­wid­rig.

Wäh­rend eini­ge der ein­ge­lei­te­ten Ver­fah­ren noch nicht abge­schlos­sen wer­den konn­ten und ande­re Prü­fun­gen noch lau­fen, sind mitt­ler­wei­le drei Buß­geld­be­schei­de wegen der unzu­läs­si­gen Über­mitt­lung von Mit­ar­bei­ter- und Kun­den­da­ten in die USA rechts­kräf­tig gewor­den. Die betrof­fe­nen Unter­neh­men haben nach Ein­lei­tung des Buß­geld­ver­fah­rens ihre Über­mitt­lun­gen recht­lich auf Stan­dard­ver­trags­klau­seln umge­stellt.

Dazu Johan­nes Cas­par, der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit: „Dass die Unter­neh­men schließ­lich doch noch eine recht­li­che Grund­la­ge für die Über­mitt­lung geschaf­fen haben, war bei der Bemes­sung der Buß­gel­der posi­tiv zu berück­sich­ti­gen. Für künf­tig fest­ge­stell­te Ver­stö­ße wird sicher­lich ein schär­fe­rer Maß­stab anzu­le­gen sein.

Im wei­te­ren Ver­lauf bleibt nun abzu­war­ten, ob die Nach­fol­ge­re­ge­lung zu Safe Har­bor, der Pri­va­cy Shield, den die EU-Kom­mis­si­on Ende Febru­ar vor­ge­legt hat, ein ange­mes­se­nes Daten­schutz­ni­veau her­stellt. Dar­an waren nicht zuletzt sei­tens der Art. 29-Daten­schutz­grup­pe, dem gemein­sa­men Gre­mi­um der Daten­schutz­be­hör­den der EU-Mit­glied­staa­ten und des Euro­päi­schen Daten­schutz­be­auf­trag­ten,  erheb­li­che Zwei­fel geäu­ßert wor­den. EU-Kom­mis­si­on und US-Regie­rung sind hier auf­ge­for­dert, den Ent­wurf in wesent­li­chen Punk­ten nach­zu­bes­sern. Vor die­sem Hin­ter­grund wird auch über die Zuläs­sig­keit der der­zeit nicht bean­stan­de­ten alter­na­ti­ven Über­mitt­lungs­in­stru­men­te, ins­be­son­de­re soge­nann­ter Stan­dard­ver­trags­klau­seln, zu ent­schei­den sein.”

https://​www​.daten​schutz​-ham​burg​.de/​n​e​w​s​/​d​e​t​a​i​l​/​a​r​t​i​c​l​e​/​u​n​z​u​l​a​e​s​s​i​g​e​-​d​a​t​e​n​u​e​b​e​r​m​i​t​t​l​u​n​g​e​n​-​i​n​-​d​i​e​-​u​s​a​.​h​tml

Aktu­el­le Umfra­ge­er­geb­nis­se zei­gen, dass Spam-Mails noch immer Haupt­grund für die Infi­zie­rung von Com­pu­tern durch Schad­pro­gram­me sind: 75 Pro­zent der von Ran­som­ware betrof­fe­nen Unter­neh­men infi­zier­ten sich in den letz­ten sechs Mona­ten durch schad­haf­te Mail-Anhän­ge. Zu die­sem Ergeb­nis kommt die jüng­ste Befra­gung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) durch die Alli­anz für Cyber-Sicher­heit. Die Aus­wir­kun­gen rei­chen vom Befall ein­zel­ner Arbeits­platz­rech­ner über den Aus­fall von Tei­len der IT-Infra­struk­tur bis hin zum Ver­lust wich­ti­ger Daten. Häu­fi­ge Ursa­che: E‑Mail-Emp­fän­ger öff­nen ihre elek­tro­ni­sche Post zu unbe­dacht

Mit einem 3‑Se­kun­den-Sicher­heits-Check kön­nen die Risi­ken bereits gemin­dert wer­den. Absen­der, Betreff und Anhang sind hier­bei drei kri­ti­sche Punk­te, die vor dem Öff­nen jeder E‑Mail bedacht wer­den soll­ten. Ist der Absen­der bekannt? Ist der Betreff sinn­voll? Wird ein Anhang von die­sem Absen­der erwar­tet? In Kom­bi­na­ti­on lie­fern die­se Fra­gen einen guten Anhalts­punkt, um zu ent­schei­den, ob die E‑Mail als ver­trau­ens­wür­dig ein­zu­stu­fen ist. In vie­len Spam-Mails ist der Betreff bewusst vage for­mu­liert, wie „Ihre Rech­nung“, „Mah­nung“ oder „Drin­gen­de Nach­richt“. Hier gilt es beson­ders kri­tisch zu hin­ter­fra­gen, ob eine Nach­richt vom jewei­li­gen Absen­der sin­nig erscheint, ins­be­son­de­re wenn Mail-Anhän­ge bei­gefügt sind. Erhal­ten Sie bei­spiels­wei­se eine E‑Mail mit dem Betreff „Rech­nung“ von einem Online-Shop, bei dem Sie regi­striert sind, ohne dass Sie eine Bestel­lung erwar­ten, könn­te dies ein Hin­weis für eine Spam-Mail sein. Hin­ter­fra­gen Sie jede E‑Mail: Ergibt die Über­prü­fung der drei Check­punk­te Absen­der, Betreff, Anhang ins­ge­samt kein stim­mi­ges Bild, rät das BSI E‑Mails noch vor dem Öff­nen zu löschen. Im Zwei­fels­fall soll­ten Sie vor dem Öff­nen per­sön­lich beim Absen­der nach­fra­gen, ob er eine E‑Mail geschickt hat.

Link: BSI für Bür­ger

​Der Lan­des­be­auf­trag­te für den Daten­schutz Baden-Würt­tem­berg emp­fiehlt vor allem, die Über­mitt­lung der Wer­bungs-ID, Micro­softs Smart­Screen-Fil­ter und die Erken­nung des Ein­ga­be- und Schreib­ver­hal­tens zu deak­ti­vie­ren. All die­se Funk­tio­nen sind werk­sei­tig akti­viert.

Der Lan­des­be­auf­trag­te für den Daten­schutz hat den vom ihm ver­öf­fent­lich­ten Leit­fa­den zu den Daten­schutz­ein­stel­lun­gen bei Win­dows 10 über­ar­bei­tet. Das 27 Sei­ten umfas­sen­de PDF-Doku­ment ist auf der Web­site des Amtes kosten­los als Down­load ver­füg­bar. Anwen­der erhal­ten mit dem Leit­fa­den auch eine aus­führ­li­che Anlei­tung, wie sich die nach Mei­nung des Daten­schüt­zers als bedenk­lich bewer­te­ten Funk­tio­nen abschal­ten las­sen.

Er erklärt die Not­wen­dig­keit des Leit­fa­dens damit, dass der Groß­teil der Optio­nen zur Daten­über­mitt­lung stan­dard­mä­ßig akti­viert sei. “Wenn Sie eine Daten­wei­ter­ga­be an Micro­soft unter­bin­den möch­ten, so müs­sen Sie die ent­spre­chen­den Optio­nen expli­zit aus­schal­ten”, heißt es in dem Doku­ment. Aus Sicht des baden-würt­tem­ber­gi­schen Daten­schutz­be­auf­trag­ten Jörg Kling­beil soll­ten ins­be­son­de­re die Über­mitt­lung der Wer­bungs-ID und der Smart­Screen-Fil­ter sowie die Sprach­li­ste und die Funk­ti­on zur Erken­nung des Ein­ga­be- und Schreib­ver­hal­tens deak­ti­viert wer­den.

An der Wer­bungs-ID wird bemän­gelt, dass sich die Ana­ly­se des Nut­zungs­ver­hal­tens über das Micro­soft-Kon­to auch gerä­te­über­grei­fend bewerk­stel­li­gen lässt. Der Smart­Screen-Fil­ter ist laut Micro­soft dazu gedacht, beim Besuch von Web­sei­ten dort vor­ge­hal­te­ne, bedroh­li­che Datei­en und Links zu ermit­teln. Tei­le des Inhalts und Infor­ma­tio­nen zu her­un­ter­ge­la­de­nen Datei­en wer­den des­halb zur Über­prü­fung an Micro­soft geschickt und anhand einer Black­list abge­gli­chen. Neben der Tat­sa­che, dass Micro­soft so viel über das Ver­hal­ten des Anwen­ders erfährt, kri­ti­siert der Daten­schutz­be­auf­trag­te auch, dass nach sei­nen Erkennt­nis­sen die kom­plet­te IP-Adres­se an Micro­soft über­tra­gen und dort für 60 Tage gespei­chert wird.

Die zur Ver­bes­se­rung der Hand­schrif­ten­er­ken­nung ein­ge­setz­te Funk­ti­on “Ein­ga­be- und Schreib­ver­hal­ten” löst Daten­schutz­be­den­ken aus, weil sämt­li­che mit­tels Stift ein­ge­ge­be­ne Tex­te an Micro­soft über­tra­gen wer­den, um eine zen­tra­le Ana­ly­se sicher­zu­stel­len. Hin­sicht­lich der Sprach­li­ste, deren Deak­ti­vie­rung eben­falls emp­foh­len wird, moniert Kling­beil, dass aus den Daten­schutz­be­stim­mun­gen nicht ersicht­lich ist, “um wel­che Funk­tio­na­li­tät es sich hier genau han­delt und ob dabei Daten an Micro­soft über­mit­telt wer­den”.

Schon im Sep­tem­ber 2015 hat­te Micro­soft selbst meh­re­re Bei­trä­ge auf sei­ner Web­site publi­ziert, in wel­chen es die vor­her bereits umstrit­te­nen Funk­tio­nen detail­liert erläu­tert. Über­dies stellt der Kon­zern aus Red­mond schon lan­ge her­aus, dass Win­dows 10 zum einen Daten samm­le, um die­se zur Ver­bes­se­rung des Pro­dukts zu nut­zen (zum Bei­spiel bei der Hand­schrif­ten­er­ken­nung und der Sprach­ein­ga­be) und dass Nut­zer zum ande­ren jeder­zeit selbst ent­schei­den könn­ten, wel­che Daten mit­ge­schnit­ten wer­den dür­fen. Das stimmt aller­dings nur teil­wei­se, da die frü­her “Feh­ler­be­richt­erstat­tung” genann­te Funk­ti­on nun nicht mehr optio­nal ist, son­dern bereits werk­sei­tig vor­ein­ge­stellt. Zudem lässt sie sich höch­stens noch ein­schrän­ken, jedoch nicht mehr kom­plett abschal­ten.

Vor allem in Unter­neh­men löste die­ses Vor­ge­hen sei­tens Micro­soft Befrem­den aus. Aller­dings ste­hen nicht nur für den Anwen­der, son­dern auch für Admi­ni­stra­to­ren zahl­rei­che Mög­lich­kei­ten für die Kon­fi­gu­ra­ti­on von Unter­neh­mens-PCs bereit, um das Sam­meln von Daten zu ver­hin­dern.

Aus unter­schied­li­chen Grün­den ste­hen die Daten­schutz­ein­stel­lun­gen bei Win­dows 10 respek­ti­ve die erwei­ter­te Daten­samm­lung durch das Betriebs­sy­stem trotz­dem stark in der Kri­tik. Im März reich­te die Ver­brau­cher­zen­tra­le Nord­rhein-West­fa­len gegen Micro­soft beim Land­ge­richt Mün­chen daher sogar eine Kla­ge ein. Die Daten­schutz­klau­sel von Win­dows 10 ist in ihren Augen zu pau­schal. Der zuvor erfolg­ten Auf­for­de­rung, eine straf­be­wehr­te Unter­las­sungs­er­klä­rung zu unter­zeich­nen und die Daten­schutz­klau­sel nicht mehr ein­zu­set­zen, woll­te der Kon­zern aus Red­mond nicht nach­kom­men.