Safe Har­bor: Erste Buß­gel­der rechts­kräf­tig, wei­te­re Ver­fah­ren noch offen

​Unzu­läs­si­ge Daten­über­mitt­lun­gen in die USA

(hmbbfdi, 6.6.2016) Der EuGH hat die Safe Har­bor-Ent­schei­dung im Okto­ber 2015 auf­ge­ho­ben und damit einen  wesent­li­chen Pfei­ler für eine recht­mä­ßi­ge Daten­über­mitt­lung an US-Unter­neh­men für unwirk­sam erklärt. Dar­auf­hin wur­den durch den Ham­bur­gi­schen Daten­schutz­be­auf­trag­ten Prü­fun­gen bei 35 inter­na­tio­nal agie­ren­den Ham­bur­ger Unter­neh­men durchgeführt.

Die Prü­fun­gen haben erge­ben, dass die über­wie­gen­de Mehr­heit der Unter­neh­men den Daten­trans­fer im Rah­men einer mehr­mo­na­ti­gen Umset­zungs­frist recht­zei­tig auf soge­nann­te Stan­dard­ver­trags­klau­seln umge­stellt hat. Eini­ge weni­ge Unter­neh­men hat­ten aber auch ein hal­bes Jahr nach Weg­fall der Safe Har­bor-Ent­schei­dung kei­ne zuläs­si­ge Alter­na­ti­ve geschaf­fen. Die Daten­über­mitt­lun­gen die­ser Unter­neh­men in die USA erfolg­ten damit ohne recht­li­che Grund­la­ge und waren rechtswidrig.

Wäh­rend eini­ge der ein­ge­lei­te­ten Ver­fah­ren noch nicht abge­schlos­sen wer­den konn­ten und ande­re Prü­fun­gen noch lau­fen, sind mitt­ler­wei­le drei Buß­geld­be­schei­de wegen der unzu­läs­si­gen Über­mitt­lung von Mit­ar­bei­ter- und Kun­den­da­ten in die USA rechts­kräf­tig gewor­den. Die betrof­fe­nen Unter­neh­men haben nach Ein­lei­tung des Buß­geld­ver­fah­rens ihre Über­mitt­lun­gen recht­lich auf Stan­dard­ver­trags­klau­seln umgestellt.

Dazu Johan­nes Cas­par, der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit: „Dass die Unter­neh­men schließ­lich doch noch eine recht­li­che Grund­la­ge für die Über­mitt­lung geschaf­fen haben, war bei der Bemes­sung der Buß­gel­der posi­tiv zu berück­sich­ti­gen. Für künf­tig fest­ge­stell­te Ver­stö­ße wird sicher­lich ein schär­fe­rer Maß­stab anzu­le­gen sein.

Im wei­te­ren Ver­lauf bleibt nun abzu­war­ten, ob die Nach­fol­ge­re­ge­lung zu Safe Har­bor, der Pri­va­cy Shield, den die EU-Kom­mis­si­on Ende Febru­ar vor­ge­legt hat, ein ange­mes­se­nes Daten­schutz­ni­veau her­stellt. Dar­an waren nicht zuletzt sei­tens der Art. 29-Daten­schutz­grup­pe, dem gemein­sa­men Gre­mi­um der Daten­schutz­be­hör­den der EU-Mit­glied­staa­ten und des Euro­päi­schen Daten­schutz­be­auf­trag­ten,  erheb­li­che Zwei­fel geäu­ßert wor­den. EU-Kom­mis­si­on und US-Regie­rung sind hier auf­ge­for­dert, den Ent­wurf in wesent­li­chen Punk­ten nach­zu­bes­sern. Vor die­sem Hin­ter­grund wird auch über die Zuläs­sig­keit der der­zeit nicht bean­stan­de­ten alter­na­ti­ven Über­mitt­lungs­in­stru­men­te, ins­be­son­de­re soge­nann­ter Stan­dard­ver­trags­klau­seln, zu ent­schei­den sein.”

https://​www​.daten​schutz​-ham​burg​.de/​n​e​w​s​/​d​e​t​a​i​l​/​a​r​t​i​c​l​e​/​u​n​z​u​l​a​e​s​s​i​g​e​-​d​a​t​e​n​u​e​b​e​r​m​i​t​t​l​u​n​g​e​n​-​i​n​-​d​i​e​-​u​s​a​.​h​tml

BSI für Bür­ger: Drei Sekun­den für mehr E‑Mail-Sicher­heit

Aktu­el­le Umfra­ge­er­geb­nis­se zei­gen, dass Spam-Mails noch immer Haupt­grund für die Infi­zie­rung von Com­pu­tern durch Schad­pro­gram­me sind: 75 Pro­zent der von Ran­som­wa­re betrof­fe­nen Unter­neh­men infi­zier­ten sich in den letz­ten sechs Mona­ten durch schad­haf­te Mail-Anhän­ge. Zu die­sem Ergeb­nis kommt die jüng­ste Befra­gung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) durch die Alli­anz für Cyber-Sicher­heit. Die Aus­wir­kun­gen rei­chen vom Befall ein­zel­ner Arbeits­platz­rech­ner über den Aus­fall von Tei­len der IT-Infra­struk­tur bis hin zum Ver­lust wich­ti­ger Daten. Häu­fi­ge Ursa­che: E‑Mail-Emp­fän­ger öff­nen ihre elek­tro­ni­sche Post zu unbedacht

Mit einem 3‑Se­kun­den-Sicher­heits-Check kön­nen die Risi­ken bereits gemin­dert wer­den. Absen­der, Betreff und Anhang sind hier­bei drei kri­ti­sche Punk­te, die vor dem Öff­nen jeder E‑Mail bedacht wer­den soll­ten. Ist der Absen­der bekannt? Ist der Betreff sinn­voll? Wird ein Anhang von die­sem Absen­der erwar­tet? In Kom­bi­na­ti­on lie­fern die­se Fra­gen einen guten Anhalts­punkt, um zu ent­schei­den, ob die E‑Mail als ver­trau­ens­wür­dig ein­zu­stu­fen ist. In vie­len Spam-Mails ist der Betreff bewusst vage for­mu­liert, wie „Ihre Rech­nung“, „Mah­nung“ oder „Drin­gen­de Nach­richt“. Hier gilt es beson­ders kri­tisch zu hin­ter­fra­gen, ob eine Nach­richt vom jewei­li­gen Absen­der sin­nig erscheint, ins­be­son­de­re wenn Mail-Anhän­ge bei­gefügt sind. Erhal­ten Sie bei­spiels­wei­se eine E‑Mail mit dem Betreff „Rech­nung“ von einem Online-Shop, bei dem Sie regi­striert sind, ohne dass Sie eine Bestel­lung erwar­ten, könn­te dies ein Hin­weis für eine Spam-Mail sein. Hin­ter­fra­gen Sie jede E‑Mail: Ergibt die Über­prü­fung der drei Check­punk­te Absen­der, Betreff, Anhang ins­ge­samt kein stim­mi­ges Bild, rät das BSI E‑Mails noch vor dem Öff­nen zu löschen. Im Zwei­fels­fall soll­ten Sie vor dem Öff­nen per­sön­lich beim Absen­der nach­fra­gen, ob er eine E‑Mail geschickt hat.

Link: BSI für Bürger

Über­ar­bei­te­te Emp­feh­lun­gen zu Windows-10-Datenschutzeinstellungen

​Der Lan­des­be­auf­trag­te für den Daten­schutz Baden-Würt­tem­berg emp­fiehlt vor allem, die Über­mitt­lung der Wer­bungs-ID, Micro­softs Smart­S­creen-Fil­ter und die Erken­nung des Ein­ga­be- und Schreib­ver­hal­tens zu deak­ti­vie­ren. All die­se Funk­tio­nen sind werk­sei­tig aktiviert.

Der Lan­des­be­auf­trag­te für den Daten­schutz hat den vom ihm ver­öf­fent­lich­ten Leit­fa­den zu den Daten­schutz­ein­stel­lun­gen bei Win­dows 10 über­ar­bei­tet. Das 27 Sei­ten umfas­sen­de PDF-Doku­ment ist auf der Web­site des Amtes kosten­los als Down­load ver­füg­bar. Anwen­der erhal­ten mit dem Leit­fa­den auch eine aus­führ­li­che Anlei­tung, wie sich die nach Mei­nung des Daten­schüt­zers als bedenk­lich bewer­te­ten Funk­tio­nen abschal­ten lassen.

Er erklärt die Not­wen­dig­keit des Leit­fa­dens damit, dass der Groß­teil der Optio­nen zur Daten­über­mitt­lung stan­dard­mä­ßig akti­viert sei. “Wenn Sie eine Daten­wei­ter­ga­be an Micro­soft unter­bin­den möch­ten, so müs­sen Sie die ent­spre­chen­den Optio­nen expli­zit aus­schal­ten”, heißt es in dem Doku­ment. Aus Sicht des baden-würt­tem­ber­gi­schen Daten­schutz­be­auf­trag­ten Jörg Kling­beil soll­ten ins­be­son­de­re die Über­mitt­lung der Wer­bungs-ID und der Smart­S­creen-Fil­ter sowie die Sprach­li­ste und die Funk­ti­on zur Erken­nung des Ein­ga­be- und Schreib­ver­hal­tens deak­ti­viert werden.

An der Wer­bungs-ID wird bemän­gelt, dass sich die Ana­ly­se des Nut­zungs­ver­hal­tens über das Micro­soft-Kon­to auch gerä­te­über­grei­fend bewerk­stel­li­gen lässt. Der Smart­S­creen-Fil­ter ist laut Micro­soft dazu gedacht, beim Besuch von Web­sei­ten dort vor­ge­hal­te­ne, bedroh­li­che Datei­en und Links zu ermit­teln. Tei­le des Inhalts und Infor­ma­tio­nen zu her­un­ter­ge­la­de­nen Datei­en wer­den des­halb zur Über­prü­fung an Micro­soft geschickt und anhand einer Black­list abge­gli­chen. Neben der Tat­sa­che, dass Micro­soft so viel über das Ver­hal­ten des Anwen­ders erfährt, kri­ti­siert der Daten­schutz­be­auf­trag­te auch, dass nach sei­nen Erkennt­nis­sen die kom­plet­te IP-Adres­se an Micro­soft über­tra­gen und dort für 60 Tage gespei­chert wird.

Die zur Ver­bes­se­rung der Hand­schrif­ten­er­ken­nung ein­ge­setz­te Funk­ti­on “Ein­ga­be- und Schreib­ver­hal­ten” löst Daten­schutz­be­den­ken aus, weil sämt­li­che mit­tels Stift ein­ge­ge­be­ne Tex­te an Micro­soft über­tra­gen wer­den, um eine zen­tra­le Ana­ly­se sicher­zu­stel­len. Hin­sicht­lich der Sprach­li­ste, deren Deak­ti­vie­rung eben­falls emp­foh­len wird, moniert Kling­beil, dass aus den Daten­schutz­be­stim­mun­gen nicht ersicht­lich ist, “um wel­che Funk­tio­na­li­tät es sich hier genau han­delt und ob dabei Daten an Micro­soft über­mit­telt werden”.

Schon im Sep­tem­ber 2015 hat­te Micro­soft selbst meh­re­re Bei­trä­ge auf sei­ner Web­site publi­ziert, in wel­chen es die vor­her bereits umstrit­te­nen Funk­tio­nen detail­liert erläu­tert. Über­dies stellt der Kon­zern aus Red­mond schon lan­ge her­aus, dass Win­dows 10 zum einen Daten samm­le, um die­se zur Ver­bes­se­rung des Pro­dukts zu nut­zen (zum Bei­spiel bei der Hand­schrif­ten­er­ken­nung und der Sprach­ein­ga­be) und dass Nut­zer zum ande­ren jeder­zeit selbst ent­schei­den könn­ten, wel­che Daten mit­ge­schnit­ten wer­den dür­fen. Das stimmt aller­dings nur teil­wei­se, da die frü­her “Feh­ler­be­richt­erstat­tung” genann­te Funk­ti­on nun nicht mehr optio­nal ist, son­dern bereits werk­sei­tig vor­ein­ge­stellt. Zudem lässt sie sich höch­stens noch ein­schrän­ken, jedoch nicht mehr kom­plett abschalten.

Vor allem in Unter­neh­men löste die­ses Vor­ge­hen sei­tens Micro­soft Befrem­den aus. Aller­dings ste­hen nicht nur für den Anwen­der, son­dern auch für Admi­ni­stra­to­ren zahl­rei­che Mög­lich­kei­ten für die Kon­fi­gu­ra­ti­on von Unter­neh­mens-PCs bereit, um das Sam­meln von Daten zu verhindern.

Aus unter­schied­li­chen Grün­den ste­hen die Daten­schutz­ein­stel­lun­gen bei Win­dows 10 respek­ti­ve die erwei­ter­te Daten­samm­lung durch das Betriebs­sy­stem trotz­dem stark in der Kri­tik. Im März reich­te die Ver­brau­cher­zen­tra­le Nord­rhein-West­fa­len gegen Micro­soft beim Land­ge­richt Mün­chen daher sogar eine Kla­ge ein. Die Daten­schutz­klau­sel von Win­dows 10 ist in ihren Augen zu pau­schal. Der zuvor erfolg­ten Auf­for­de­rung, eine straf­be­wehr­te Unter­las­sungs­er­klä­rung zu unter­zeich­nen und die Daten­schutz­klau­sel nicht mehr ein­zu­set­zen, woll­te der Kon­zern aus Red­mond nicht nachkommen.

Whats­App: Unter­neh­men soll­ten vom Mes­sen­ger absehen

​IT-Rechts­ex­per­ten war­nen davor, dass die Nut­zung von Whats­app einen Ver­stoß gegen den Daten­schutz dar­stellt. Wäh­rend das Risi­ko für Pri­vat­nut­zer über­schau­bar ist, dro­hen Unter­neh­men und dem Betrei­ber selbst har­te Stra­fen, bis hin zum mög­li­chen Aus.

Kaum hat Whats­app end­lich auf die dau­ern­de Kri­tik reagiert und eine Ver­schlüs­se­lung der Nach­rich­ten ein­ge­führt, droht dem inzwi­schen zu Face­book gehö­ren­den Dienst nun schon das näch­ste Unge­mach. Statt der Sicher­heit geht es die­se Mal aller­dings um den Daten­schutz. Im Fokus steht hier­bei die Über­tra­gung von Kon­tak­ten aus dem eige­nen Adress­buch der Nut­zer an den Dienst­an­bie­ter. Eini­ge Exper­ten wie der etwa der öster­rei­chi­sche Pro­fes­sor für IT- und IP-Recht Peter Burg­stal­ler gehen davon aus, dass die­se Pra­xis gegen das euro­päi­sche Daten­schutz­recht ver­stößt und somit straf­bar sei. Sei­ner Ansicht nach könn­te eine dar­aus even­tu­ell resul­tie­ren­de Stra­fe neben Whats­app selbst auch die Nut­zer tref­fen, die durch den Ein­satz der App wis­sent­lich einen sol­chen Ver­stoß gegen den Daten­schutz ihrer Kon­tak­te bege­hen. Etwas gelas­se­ner sehen ande­re Rechts­ex­per­ten die Lage, zumin­dest für den ein­zel­nen Nut­zer. Wer die App zur Kom­mu­ni­ka­ti­on mit der Fami­lie und sei­nen Freun­den nutzt, hat kei­ne Kon­se­quen­zen zu fürch­ten, so mei­ne Mei­nung, denn in die­sem Fall greift das deut­sche Bun­des­da­ten­schutz­ge­setz nicht. Im äußer­sten Fall könn­te den Nut­zern höch­stens von ihren pri­va­ten Kon­tak­ten eine Ver­let­zung ihres Per­sön­lich­keits­rechts zur Last gelegt werden.

Für den Anbie­ter selbst gel­te die­se Ein­schrän­kung jedoch nicht. Whats­app müs­se auf­grund der Ver­ar­bei­tung von Daten ohne die not­wen­di­ge Erlaub­nis der Betrof­fe­nen durch­aus mit Buß­gel­dern der Daten­schutz­be­hör­den rech­nen, soll­te es Kla­gen von Ver­brau­cher­schüt­zern oder ande­ren Stel­len gegen die Pra­xis geben. Ein ähn­li­ches Pro­blem hat­te jüngst erst der Mut­ter­kon­zern Face­book, dem der Bun­des­ge­richts­hof die Funk­ti­on »Freun­de fin­den« unter­sagt hat­te, da sie gegen den Daten­schutz ver­stößt und zudem eine wett­be­werbs­recht­lich unzu­läs­si­ge, belä­sti­gen­de Wer­bung für die Betrof­fe­nen bedeu­te. Wäh­rend der Ver­lust für Face­book ver­schmerz­bar sein dürf­te, hät­te Whats­app wohl erheb­li­che Schwie­rig­kei­ten, sei­nen Dienst ohne den Abgleich mit den eige­nen Kon­tak­ten der Nut­zer anzu­bie­ten. Eine tech­ni­sche Lösung für das Dilem­ma könn­te even­tu­ell dar­in lie­gen, die Kon­takt­da­ten schon vor dem Ver­sand an die Ser­ver von Whats­app zu ver­schlüs­seln, etwa indem sie in Hashwer­te umge­wan­delt werden.

Und auch im beruf­li­chen Umfeld ist erheb­li­che Vor­sicht vor Whats­app gebo­ten. Hier könn­ten die zustän­di­gen Daten­schutz­be­hör­den gegen die Unter­neh­men selbst vor­ge­hen und hohe Buß­gel­der ver­hän­gen, denn nur im rein pri­va­ten Bereich unter­liegt die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nicht den Regeln des Bun­des­da­ten­schutz­ge­set­zes. Glei­ches gel­te auch für einen gemisch­ten beruf­li­chen und pri­va­ten Ein­satz der App, bei dem das Daten­schutz­recht eben­falls greift. Damit hät­ten Behör­den einen Ansatz­punkt für ein recht­li­ches Vor­ge­hen gegen die Nut­zer – mit guten Erfolgs­aus­sich­ten und emp­find­li­chen Stra­fen. Sei­ne Emp­feh­lung an Unter­neh­men lau­tet daher klar, von der beruf­li­chen Kom­mu­ni­ka­ti­on über Whats­App kom­plett abzusehen.