Unser Blog

Windows 10 datenschutzkonform einsetzen.

2. Dezember 2019

Das Betriebssystem Windows 10 ist schon länger im Visier der deutschen und europäischen Datenschutzbehörden. Es geht hierbei um den nicht offensichtlichen Datenversand vom Betriebssystem an den Softwarehersteller. Auch wenn Microsoft bestrebt war in der Vergangenheit diese Problematik nachzubessern, hat der Konzern bis heute noch keine Lösung vorgelegt, die die Datenschutzbehörden zufrieden stellt. Dieses ist der Grund dafür, dass die deutschen Datenschutzbehörden ein Prüfungsschema erstellt haben, welches durch jeden Verantwortlichen im Unternehmen umgesetzt und abgearbeitet werden muss. Die Anwendungshinweise der DSK, welche das Prüfschema zu Windows 10 enthalten, sind in zwei Dokumente untergliedert. Das erste Dokument enthält das eigentliche Prüfschema und dient als Leitfaden für den Verantwortlichen, den Datenschutzbeauftragten und den IT-Verantwortlichen/ IT-Dienstleister zur datenschutzkonformen Verwendung von Windows 10. Diese Prüfschema muss für jede eingesetzte Windows 10 Version durchlaufen werden. Das bedeutet auch, dass jedes Funktionsupdate (1809, 1903, 1909 usw.), welches im Unternehmen eingespielt werden soll, eine erneute Prüfung anstößt. Das zweite Dokument enthält weitergehende Informationen zu Windows 10 und die Konfigurationsmöglichkeiten. Diese können die IT-Verantwortlichen / IT-Dienstleister nutzen, um die Konfiguration im Unternehmen datenschutzkonform umzusetzen. Die beiden Anwendungshinweise finden sie hier auf der Seite der Datenschutzkonferenz: Prüfschema Windows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf Anlage 1 zum Prüfschema Windows 10: https://www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pr%C3%BCfschema_hinweise_dsk.pdf    

Weiterlesen

Messe und Kongress für IT-Sicherheit

4. Oktober 2019

Besuchen Sie uns beim Stand der Secure.Bayern auf der diesjährigen Messe und Konferenz für IT-Sicherheit it-sa in Nürnberg vom 8. bis 10. Oktober. https://www.it-sa.de/ Wir freuen uns auf den fachlichen Austausch mit Ihnen!    

Weiterlesen

EUGH hat entschieden: Cookies erfordern aktive Einwilligung

2. Oktober 2019

In seinem Urteil (Rechtssache C-673/17 ,1. Oktober 2019, Urteil in der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. / Planet49 GmbH) entschied der EUGH, „dass die für die Speicherung aber auch den Abruf von Cookies auf dem Gerät des Besuchers einer Website erforderliche Einwilligung durch ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht wirksam erteilt wird.“ Besonders erwähnenswert ist, dass der EUGH hierbei explizit keine Unterscheidung zwischen personenbezogenen und sonstigen Daten macht. Begründet wird dies mit dem im Recht der EU verankerten Prinzip, den Nutzer vor jedem Eingriff in seine Privatsphäre zu schützen. Der EUGH setzt damit nochmal ein deutliches Zeichen. Bemerkenswert ist dies auch, weil Deutschland in der Umsetzung der EU-Privacy Richtlinie bisher einen Sonderweg beschritten hat. Aus Sicht der Regierung- und entgegen der Auffassung der Aufsichtsbehörden- entspricht das deutsche Telemediengesetz nämlich dieser Umsetzung. Im Rahmen des TMG wäre eine Opt-Out-Lösung für Cookies möglich. Das Urteil muss deshalb auch dahingehend gewertet werden, dass diese Ansicht (spätestens jetzt) nicht mehr haltbar ist. Da die Einführung der EU-Privacy Verordnung wohl noch länger dauern wird, muss sich der Gesetzgeber überlegen, ob eine EU-rechtskonforme Umsetzung der Richtlinie nicht doch noch notwendig ist. Geklagt hatte der Bundesverband der Verbraucherzentralen und Verbraucherverbände gegen das Unternehmen Planet49 GmbH. Was bedeutet dies für Unternehmen und Websitebetreiber? Wir hatten schon mehrmals darauf hingewiesen, dass eine rechtskonforme Einwilligung ein aktives Handeln des Nutzers  erforderlich macht. Auch die Cookie-Banner müssen den, nunmehr durch das Urteil des EUGH bestätigten Anforderungen angepasst werden. Denn…

Weiterlesen

Bundesgesundheitsminister fordert Nachbesserungen beim Datenschutz im Gesundheitswesen

19. September 2019

In den letzten zwei Wochen waren mehrere Datenpannen bzw. vermeintliche Datenpannen im Gesundheitswesen publik geworden. Das BayLDA überprüft nach eigenen Angaben derzeit die (eventuell erfolgte) Weitergabe von Gesundheitsdaten eines Blutspendedienstes an Facebook. Nun berichten einige Medien, gemeinsame Recherchen des Bayrischen Rundfunks und von ProPublica hätten ergeben, dass sensible Gesundheitsdaten von Millionen Nutzern auf ungesicherten Servern gelegen hätten. Jens Spahn nimmt dies zum Anlass, für Patientendaten höchste Datenschutzstandards einzufordern. Er wird mit den Worten zitiert, dass „viele das Thema noch zu sehr auf die leichte Schulter nehmen würden“. Sicherlich lässt sich nicht pauschalisieren, dass Dienstleister oder Unternehmen aus dem Gesundheitswesen besonders nachlässig mit dem Thema Datenschutz umgehen würden. Der Bundesgesundheitsminister mag aber mit seiner Einschätzung dahingehend durchaus richtig liegen, dass das Bewusstsein für die besondere Sensibilität von Gesundheitsdaten noch nicht bei allen Marktteilnehmern ausreichend vorhanden ist. Der Verlust bzw. die unbefugte Einsichtnahme dieser Daten, etwa durch Versicherungen oder Arbeitgeber, hat aber für die betroffene Person unter Umständen weitreichende negative Konsequenzen. Die blu Systems GmbH wird deshalb aus (leider) aktuellem Anlass gegen Ende des Jahres eine Konferenz für das Thema „Healthcare-Datenschutz“ ausrichten. Wir informieren Sie rechtzeitig.

Weiterlesen

US-amerikanisches Datenschutzgesetz?

19. September 2019

Der Austausch personenbezogener Daten mit US-amerikanischen Unternehmen wird für viele deutsche Unternehmen Alltag sein. Nicht zuletzt stehen viele Server auf US-amerikanischem Boden. Für die USA hat die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt, unter der Voraussetzung dass der Empfänger dem so bezeichneten US-Privacy Shield angehört. Viele Datenschützer stellen jedoch in Frage, ob man das US-amerikanische Datenschutzniveau guten Gewissens dem Europäischen gleichsetzen kann. Nicht zuletzt die in den letzten Monaten häufig aufgetretenen Datenpannen großer amerikanischer Konzerne lassen Zweifel aufkommen. Und nicht wenige äußern, dass es sich von Seiten der Europäischen Kommission wohl eher um eine politische, denn eine aus Sicht des Datenschutzes fundierte Entscheidung handelt, den USA die Angemessenheit des Niveaus zu bestätigen. Die Gruppe der „Zweifler“ wird sich seit letzter Woche eher bestätigt sehen. Über 50 Schwergewichte der US-amerikanischen Wirtschaft haben in einem offenen Brief an den US-Kongress ein Bundesweites Datenschutzgesetz gefordert. Begründet wird dies unter anderem mit wirtschaftlichen Argumenten (fehlende Wettbewerbsfähigkeit amerikanischer Unternehmen durch die Erschwernisse des Datenschutzes). Hintergrund ist, dass zuletzt einige Bundesstaaten Datenschutzgesetze erlassen hatten, teilweise mit dem Vorbild DSGVO, weil eine bundesweite Regelung bisher fehlt. Der Vorschlag der Unternehmen, „Framework for Consumer Privacy Legislation“ liest sich oberflächlich betrachtet zunächst so, als hätten die Unternehmen begriffen, dass die Sensibilität für den Schutz personenbezogener Daten vornehmlich im letzten Jahr deutlich zugenommen hat. Fast wöchentlich erscheinende Pressenachrichten von großen Datenpannen amerikanischer Konzerne dürften den jeweiligen Public Affairs Abteilungen nicht gefallen haben. Wer genauer hinsieht wird jedoch schnell eines Besseren belehrt. Im letzten Satz des Dokumentes heißt es…

Weiterlesen

Schwere Datenpannen und Kopplungsverbot

5. September 2019

Schwere Datenpannen In der vergangenen Woche, so berichten mehrere Medien übereinstimmend, gab es wieder mehrere große Datenpannen. Einerseits fällt sicher der Vorfall beim Mastercard-Bonusprogramm in diese Kategorie, da von bis zu 90.000 Datensätzen die Rede ist, die teilweise sogar Kreditkartendaten enthalten sollen. Fast schon als „normal“ zu bezeichnen ist die gerade eben veröffentlichte Meldung, bei Facebook hätte es eine weitere Datenpanne gegeben, diesmal sind (vermutlich) über 400 Millionen Telefonnummern von Facebook-Nutzern in die falschen Hände gelangt. Zunehmend höhere Bußgelder durch deutsche Aufsichtsbehörden? In diesem Kontext scheint es erwähnenswert, dass die deutschen Aufsichtsbehörden die bisher gepflegte Zurückhaltung bei der Verhängung hoher Bußgelder immer mehr ablegen. Wie aus einer Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit hervorgeht, wird demnächst von der Behörde ein Bußgeld „in bis zu zweistelliger Millionenhöhe“ verhängt, nachdem zuvor bereits zwei hohe Bußgelder im sechsstelligen Bereich verhängt wurden. Entscheidung des OLG Frankfurt zum Kopplungsverbot Von eher praktischer Relevanz aus Sicht der Unternehmen dürfte es sich bei einer kürzlich ergangenen Entscheidung des OLG Frankfurt (6 U 6/19 v. 27.06.2019) handeln. Im entschiedenen Rechtsstreit ging es um die bislang häufig diskutierte Fragestellung, ob eine Einwilligung (in diesem Fall für den Empfang des Newsletters des Unternehmens) mit einer Teilnahme an einem Gewinnspiel verknüpft werden kann. Nach überwiegend vertretener Meinung widersprach dies dem in der DSGVO verankerten Kopplungsverbot. In der Überzeugung der Frankfurter Richter überwiegt der Ansatz der Freiwilligkeit der Einwilligung. Der Verbraucher, so die Urteilsbegründung, könne und müsse selbst entscheiden, ob ihm die Teilnahme an einem Gewinnspiel unter der Bedingung einer…

Weiterlesen

EuGH-Urteil zum Datenschutz: die Verantwortung für Seitenbetreiber wächst

8. August 2019

Es ist ein bekanntes Bild: auf einer Unternehmenswebsite befindet sich ein Facebook „Like“-Button. Viele Unternehmen nutzen dieses Mittel, aus unterschiedlichen, meist marketingstrategischen Gründen. Bisher allerdings, ohne dafür eine gesonderte Einwilligung des Websitenutzers einzuholen. Dieses Vorgehen könnte zukünftig mit einem erhöhten Bußgeldrisiko behaftet sein. Durch die Einbindung des Facebook „Like“-Buttons werden nämlich personenbezogene Daten des Nutzers verarbeitet und an Facebook weitergeleitet und zwar unabhängig davon, ob der Button betätigt wird oder nicht. Der EuGH, der in seiner Entscheidung den Ausführungen des Generalanwalts gefolgt ist, erkennt darin eine (gemeinsame) Verantwortlichkeit des Websitebetreibers mit der Konsequenz, für diese Datenverarbeitung eine rechtliche Grundlage liefern zu müssen, in aller Regel eine Einwilligung. Zudem müssen die Informationspflichten und/oder die Datenschutzerklärung dementsprechend angepasst werden. In der Praxis wird der Nutzer nun sehr häufig noch nach einer zusätzlichen Einwilligung gefragt werden. Fraglich ist noch, welche Ausstrahlwirkung das EuGH-Urteil entfalten wird. Es ist aber zu erwarten, dass sich die Verwendung von Social-Media-Plugins auf Websiten grundlegend ändern wird.

Weiterlesen

No-Deal-Brexit- welche Auswirkungen hat dies auf den Datenschutz?

23. Juli 2019

Übereinstimmend melden mehrere Medien, dass die neue britische Regierung an einer „No-Deal-Brexit“-Lösung arbeiten würde. Staatsminister Michael Gove wird mit den Worten zitiert, „…ein No Deal ist jetzt eine realistische Annahme und darauf müssen wir vorbereitet sein. Die gesamte Maschinerie der Regierung wird auf Hochtouren arbeiten“. Unternehmen ist deshalb dringend zu empfehlen, sich auf diese Situation auch unter datenschutzrechtlichen Gesichtspunkten vorzubereiten. Sollte das Vereinigte Königreich ohne eine Vereinbarung mit der EU austreten, würde dies bedeuten, dass es zum Drittland i.S.d. der DSGVO werden würde, mit allen drastischen Konsequenzen. Auch eine Übergangsfrist für die Geltung der DSGVO im VK wäre unter diesen Voraussetzungen nicht anzunehmen. In ihrem Beschluss vom 8. März 2019 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder bereits klargestellt, dass eine Datenübermittlung personenbezogener Daten in das VK dann nur noch unter Maßgabe der für Drittländer in der DSGVO vorgesehen Mechanismen möglich sei, zumal  ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO derzeit für das VK nicht existiert. Der Europäische Datenschutzausschuss (EDSA) veröffentlichte eine  Information , die von allen datenübermittelnden Stellen unbedingt zu beachten ist. Zur Sicherstellung der Einhaltung eines angemessenen Datenschutzniveaus muss demnach eine der folgenden Garantien die Grundlage der Datenverarbeitung bzw. –übertragung bilden: Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DSGVO) Unternehmen können hierfür die drei durch die Europäische Kommission bereits veröffentlichten Standarddatenschutzklauseln (Dokument 32001D0497, Dokument 32004D0915, Dokument 32010D0087) verwenden. Allerdings muss darauf hingewiesen werden, dass der Europäische Gerichtshof (EuGH) aktuell die Rechtmäßigkeit der EU-Standardvertragsklauseln immer noch überprüft. Die Verwendung der Klauseln ist bis zu einer Entscheidung…

Weiterlesen

Das Zweite Datenschutzanpassungsgesetz- was ändert sich für Unternehmen?

14. Juli 2019

Am 27.06.2019 beschloss der deutsche Bundestag mit der Mehrheit der Stimmen durch die Fraktionen von CDU, CSU und SPD das zweite deutsche Datenschutzanpassungsgesetz.Über hundert Gesetze sind durch die geplante Änderung betroffen, vielfach diskutiert wird aber eine (mögliche) Aufweichung der Benennungspflicht eines DSB von Unternehmen. Die DSGVO als Bürokratiemonster? In der öffentlichen Wahrnehmung wird die DSGVO, die nun seit etwas über einem Jahr gültig ist, als bürokratisches Hindernis wahrgenommen. Insbesondere Vereine und KMU haben im letzten Jahr medial ihren Unmut über die Anforderungen der DSGVO kundgetan, die als zu umständlich und aufwendig empfunden werden.  So verwundert es denn auch nicht, dass besonders Wirtschaftsverbände oder etwa die CDU-Mittelstandsvereinigung die als zu hoch wahrgenommene Belastung für kleine und mittelständische Unternehmen reduzieren wollen. 10 oder 20? Gewissermaßen symbolisch entzündete sich diese Diskussion an der Frage, ab wie vielen (personenbezogene Daten verarbeitenden) Mitarbeitern von Seiten des Unternehmens ein DSB zu bestellen ist. Bisher, so ist es im BDSG-neu festgehalten, sind dies zehn Mitarbeiter. Dort lässt sich in § 38 BDSG-neu nachlesen: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Diese Personengrenze von zehn Mitarbeitern, so die Mittelstandsvertreter, sei deutlich zu niedrig angesetzt und belaste daher kleine Unternehmen unverhältnismäßig. Gleiches Recht für alle? Tatsächlich ist es der Ansatz der DSGVO, im Prinzip, von einigen Ausnahmen wie etwa die Verhältnismäßigkeit bei TOMs abgesehen, keinen Unterschied zwischen…

Weiterlesen

Unser wöchentlicher Datenschutzblog

14. Juli 2019
Unser wöchentlicher Datenschutzblog

In unserem Blog wollen wir Ihnen wöchentlich aktuelle Entwicklungen, Fragestellungen aber auch Handlungsempfehlungen aus dem Bereich Datenschutz vorstellen und mit Ihnen diskutieren.