Safe Harbor: Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

/in /von

​Unzulässige Datenübermittlungen in die USA

(hmbbfdi, 6.6.2016) Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen  wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten,  erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.“

https://www.datenschutz-hamburg.de/news/detail/article/unzulaessige-datenuebermittlungen-in-die-usa.html

BSI für Bürger: Drei Sekunden für mehr E-Mail-Sicherheit

/in /von

Aktuelle Umfrageergebnisse zeigen, dass Spam-Mails noch immer Hauptgrund für die Infizierung von Computern durch Schadprogramme sind: 75 Prozent der von Ransomware betroffenen Unternehmen infizierten sich in den letzten sechs Monaten durch schadhafte Mail-Anhänge. Zu diesem Ergebnis kommt die jüngste Befragung des Bundesamts für Sicherheit in der Informationstechnik (BSI) durch die Allianz für Cyber-Sicherheit. Die Auswirkungen reichen vom Befall einzelner Arbeitsplatzrechner über den Ausfall von Teilen der IT-Infrastruktur bis hin zum Verlust wichtiger Daten. Häufige Ursache: E-Mail-Empfänger öffnen ihre elektronische Post zu unbedacht

Mit einem 3-Sekunden-Sicherheits-Check können die Risiken bereits gemindert werden. Absender, Betreff und Anhang sind hierbei drei kritische Punkte, die vor dem Öffnen jeder E-Mail bedacht werden sollten. Ist der Absender bekannt? Ist der Betreff sinnvoll? Wird ein Anhang von diesem Absender erwartet? In Kombination liefern diese Fragen einen guten Anhaltspunkt, um zu entscheiden, ob die E-Mail als vertrauenswürdig einzustufen ist. In vielen Spam-Mails ist der Betreff bewusst vage formuliert, wie „Ihre Rechnung“, „Mahnung“ oder „Dringende Nachricht“. Hier gilt es besonders kritisch zu hinterfragen, ob eine Nachricht vom jeweiligen Absender sinnig erscheint, insbesondere wenn Mail-Anhänge beigefügt sind. Erhalten Sie beispielsweise eine E-Mail mit dem Betreff „Rechnung“ von einem Online-Shop, bei dem Sie registriert sind, ohne dass Sie eine Bestellung erwarten, könnte dies ein Hinweis für eine Spam-Mail sein. Hinterfragen Sie jede E-Mail: Ergibt die Überprüfung der drei Checkpunkte Absender, Betreff, Anhang insgesamt kein stimmiges Bild, rät das BSI E-Mails noch vor dem Öffnen zu löschen. Im Zweifelsfall sollten Sie vor dem Öffnen persönlich beim Absender nachfragen, ob er eine E-Mail geschickt hat.

Link: BSI für Bürger

Überarbeitete Empfehlungen zu Windows-10-Datenschutzeinstellungen

/in /von

​Der Landesbeauftragte für den Datenschutz Baden-Württemberg empfiehlt vor allem, die Übermittlung der Werbungs-ID, Microsofts SmartScreen-Filter und die Erkennung des Eingabe- und Schreibverhaltens zu deaktivieren. All diese Funktionen sind werkseitig aktiviert.

Der Landesbeauftragte für den Datenschutz hat den vom ihm veröffentlichten Leitfaden zu den Datenschutzeinstellungen bei Windows 10 überarbeitet. Das 27 Seiten umfassende PDF-Dokument ist auf der Website des Amtes kostenlos als Download verfügbar. Anwender erhalten mit dem Leitfaden auch eine ausführliche Anleitung, wie sich die nach Meinung des Datenschützers als bedenklich bewerteten Funktionen abschalten lassen.

Er erklärt die Notwendigkeit des Leitfadens damit, dass der Großteil der Optionen zur Datenübermittlung standardmäßig aktiviert sei. “Wenn Sie eine Datenweitergabe an Microsoft unterbinden möchten, so müssen Sie die entsprechenden Optionen explizit ausschalten”, heißt es in dem Dokument. Aus Sicht des baden-württembergischen Datenschutzbeauftragten Jörg Klingbeil sollten insbesondere die Übermittlung der Werbungs-ID und der SmartScreen-Filter sowie die Sprachliste und die Funktion zur Erkennung des Eingabe- und Schreibverhaltens deaktiviert werden.

An der Werbungs-ID wird bemängelt, dass sich die Analyse des Nutzungsverhaltens über das Microsoft-Konto auch geräteübergreifend bewerkstelligen lässt. Der SmartScreen-Filter ist laut Microsoft dazu gedacht, beim Besuch von Webseiten dort vorgehaltene, bedrohliche Dateien und Links zu ermitteln. Teile des Inhalts und Informationen zu heruntergeladenen Dateien werden deshalb zur Überprüfung an Microsoft geschickt und anhand einer Blacklist abgeglichen. Neben der Tatsache, dass Microsoft so viel über das Verhalten des Anwenders erfährt, kritisiert der Datenschutzbeauftragte auch, dass nach seinen Erkenntnissen die komplette IP-Adresse an Microsoft übertragen und dort für 60 Tage gespeichert wird.

Die zur Verbesserung der Handschriftenerkennung eingesetzte Funktion “Eingabe- und Schreibverhalten” löst Datenschutzbedenken aus, weil sämtliche mittels Stift eingegebene Texte an Microsoft übertragen werden, um eine zentrale Analyse sicherzustellen. Hinsichtlich der Sprachliste, deren Deaktivierung ebenfalls empfohlen wird, moniert Klingbeil, dass aus den Datenschutzbestimmungen nicht ersichtlich ist, “um welche Funktionalität es sich hier genau handelt und ob dabei Daten an Microsoft übermittelt werden”.

Schon im September 2015 hatte Microsoft selbst mehrere Beiträge auf seiner Website publiziert, in welchen es die vorher bereits umstrittenen Funktionen detailliert erläutert. Überdies stellt der Konzern aus Redmond schon lange heraus, dass Windows 10 zum einen Daten sammle, um diese zur Verbesserung des Produkts zu nutzen (zum Beispiel bei der Handschriftenerkennung und der Spracheingabe) und dass Nutzer zum anderen jederzeit selbst entscheiden könnten, welche Daten mitgeschnitten werden dürfen. Das stimmt allerdings nur teilweise, da die früher “Fehlerberichterstattung” genannte Funktion nun nicht mehr optional ist, sondern bereits werkseitig voreingestellt. Zudem lässt sie sich höchstens noch einschränken, jedoch nicht mehr komplett abschalten.

Vor allem in Unternehmen löste dieses Vorgehen seitens Microsoft Befremden aus. Allerdings stehen nicht nur für den Anwender, sondern auch für Administratoren zahlreiche Möglichkeiten für die Konfiguration von Unternehmens-PCs bereit, um das Sammeln von Daten zu verhindern.

Aus unterschiedlichen Gründen stehen die Datenschutzeinstellungen bei Windows 10 respektive die erweiterte Datensammlung durch das Betriebssystem trotzdem stark in der Kritik. Im März reichte die Verbraucherzentrale Nordrhein-Westfalen gegen Microsoft beim Landgericht München daher sogar eine Klage ein. Die Datenschutzklausel von Windows 10 ist in ihren Augen zu pauschal. Der zuvor erfolgten Aufforderung, eine strafbewehrte Unterlassungserklärung zu unterzeichnen und die Datenschutzklausel nicht mehr einzusetzen, wollte der Konzern aus Redmond nicht nachkommen.

WhatsApp: Unternehmen sollten vom Messenger absehen

/in /von

​IT-Rechtsexperten warnen davor, dass die Nutzung von Whatsapp einen Verstoß gegen den Datenschutz darstellt. Während das Risiko für Privatnutzer überschaubar ist, drohen Unternehmen und dem Betreiber selbst harte Strafen, bis hin zum möglichen Aus.

Kaum hat Whatsapp endlich auf die dauernde Kritik reagiert und eine Verschlüsselung der Nachrichten eingeführt, droht dem inzwischen zu Facebook gehörenden Dienst nun schon das nächste Ungemach. Statt der Sicherheit geht es diese Mal allerdings um den Datenschutz. Im Fokus steht hierbei die Übertragung von Kontakten aus dem eigenen Adressbuch der Nutzer an den Dienstanbieter. Einige Experten wie der etwa der österreichische Professor für IT- und IP-Recht Peter Burgstaller gehen davon aus, dass diese Praxis gegen das europäische Datenschutzrecht verstößt und somit strafbar sei. Seiner Ansicht nach könnte eine daraus eventuell resultierende Strafe neben Whatsapp selbst auch die Nutzer treffen, die durch den Einsatz der App wissentlich einen solchen Verstoß gegen den Datenschutz ihrer Kontakte begehen. Etwas gelassener sehen andere Rechtsexperten die Lage, zumindest für den einzelnen Nutzer. Wer die App zur Kommunikation mit der Familie und seinen Freunden nutzt, hat keine Konsequenzen zu fürchten, so meine Meinung, denn in diesem Fall greift das deutsche Bundesdatenschutzgesetz nicht. Im äußersten Fall könnte den Nutzern höchstens von ihren privaten Kontakten eine Verletzung ihres Persönlichkeitsrechts zur Last gelegt werden.

Für den Anbieter selbst gelte diese Einschränkung jedoch nicht. Whatsapp müsse aufgrund der Verarbeitung von Daten ohne die notwendige Erlaubnis der Betroffenen durchaus mit Bußgeldern der Datenschutzbehörden rechnen, sollte es Klagen von Verbraucherschützern oder anderen Stellen gegen die Praxis geben. Ein ähnliches Problem hatte jüngst erst der Mutterkonzern Facebook, dem der Bundesgerichtshof die Funktion »Freunde finden« untersagt hatte, da sie gegen den Datenschutz verstößt und zudem eine wettbewerbsrechtlich unzulässige, belästigende Werbung für die Betroffenen bedeute. Während der Verlust für Facebook verschmerzbar sein dürfte, hätte Whatsapp wohl erhebliche Schwierigkeiten, seinen Dienst ohne den Abgleich mit den eigenen Kontakten der Nutzer anzubieten. Eine technische Lösung für das Dilemma könnte eventuell darin liegen, die Kontaktdaten schon vor dem Versand an die Server von Whatsapp zu verschlüsseln, etwa indem sie in Hashwerte umgewandelt werden.

Und auch im beruflichen Umfeld ist erhebliche Vorsicht vor Whatsapp geboten. Hier könnten die zuständigen Datenschutzbehörden gegen die Unternehmen selbst vorgehen und hohe Bußgelder verhängen, denn nur im rein privaten Bereich unterliegt die Verarbeitung personenbezogener Daten nicht den Regeln des Bundesdatenschutzgesetzes. Gleiches gelte auch für einen gemischten beruflichen und privaten Einsatz der App, bei dem das Datenschutzrecht ebenfalls greift. Damit hätten Behörden einen Ansatzpunkt für ein rechtliches Vorgehen gegen die Nutzer – mit guten Erfolgsaussichten und empfindlichen Strafen. Seine Empfehlung an Unternehmen lautet daher klar, von der beruflichen Kommunikation über WhatsApp komplett abzusehen.