DSGVO

Privacy Shield

Nachfolger der alten „Safe Harbor“-Vereinbarung.

Vorstellung des CLOUD Acts, im Kontext mit der DSGVO ein sehr wichtiges Thema, zumindest für alle die wider jede Vernunft Dienste in den USA und anderen Drittstaaten nutzen.


Das Abkommen war als Nachfolger des Save-Harbor-Abkommen am 12. Juli 2016 in Kraft getreten.


Das Europäische Parlament hat am 6. April 2017 eine kritische Resolution zum Privacy Shield angenommen. Die Mehrheit des Parlaments stellte darin erhebliche Defizite beim Datenschutz fest und hält die Überwachungspraxis in den USA mit EU-Recht für nicht vereinbar.

Im Januar 2018 bestätigt zdnet.de (22.01.2018) diesen unveränderten Stand 

Nach der Unsicherheit bei Privacy Shield (im Sinne eines Angemessenheitsbeschlusses der EU-Kommission) sind nun die Standarddatenschutzklauseln als geeignete Garantie in Frage gestellt. Bei Privacy Shield gibt es laut EU-Kommission Verbesserungsbedarf, die Entscheidung des EuGH zu den Standardvertragsklauseln steht aus.()

Diesbezügliche Entscheidungen, wie z.B. eine Aufkündigung oder Nachbesserung des Abkommen sind derzeit, sowohl inhaltlich als auch terminlich völlig offen. (06/2018)


Der Logik entsprechend ganz klare Empfehlung:

Keine Dienste mit Serverstandort in den USA nutzen!


Sollten jemand im geschäftlichen Umfeld – wider jede Vernunft – mit einem Anbieter in den USA zusammenarbeiten, ist zu prüfen ob dieser wenigstens über das erforderliche Zertifikat verfügt.

Dies ist über die Liste des US-Handelsministeriums zu überprüfen.

http://www.privacyshield.gov/list



Bitte auf jeden Fall lesen…

…ab besten zweimal – nachstehend zwei kurze Zitate hieraus.

Vorstellung des CLOUD Acts

Letzten Freitag (23.03.2018) haben die USA nachgezogen: Präsident Trump hat den Clarifying Lawful Overseas Use of Data Act (“CLOUD Act“) als Änderungsgesetz für den Stored Communications Act im Bundesgesetz über Strafen und Strafverfahren unterschrieben. Als Omnibusgesetz wurde der Act als Teil des Haushaltsgesetzes durchgewunken. Das Gesetz ändert die Rechtslage im Vergleich zur Entscheidung des Court of Appeals in Microsoft v. US (dazu später mehr).

US-Behörden dürfen nun ausdrücklich weitgehend unbeschränkt von ausländischem Recht auf ausschließlich im Ausland gespeicherte Daten US-fremder Personen und Unternehmen zugreifen, jedenfalls wenn US-Unternehmen diese kontrollieren. Nur wenn andere Länder ein Privatsphäre- und Datenaustausch-Abkommen mit den USA unterzeichnen, gibt es für ihre Bürger und Unternehmen kodifizierte Zugriffsbeschränkungen und Kontrollmöglichkeiten in den USA.

(…)

Apple, Facebook, Google und der Kläger vor dem Supreme Court Microsoft unterstützten den CLOUD Act, da er Konflikte mit ausländischem Recht reduziere. Sie vertrauen offenbar auf ein EU-US-Abkommen zum Datenschutz und Datenaustausch, auf common law comity oder eine Umgestaltung der Kontrolle über Daten. Denn davon abgesehen sind auch diese Unternehmen nun deutlicher als zuvor verpflichtet, US-Behörden im Ausland gespeicherte Daten ausländischer Staatsbürger herauszugeben, auch wenn hierdurch gegen ausländisches Recht verstoßen wird. Und ein solcher Verstoß kann im Falle von EU-Bürgern bald mit Strafen von 20.000.000 EUR und mehr bedacht werden.


Kategorie: Privacy Shield

Es geht auch ohne WhatsApp
– die Alternativen

Nachstehend eine kleine Auflistung sinnvoller Alternativen zu WhatsApp. Unter dem Aspekt der Sicherheit stehen Confide und Signal an oberster Stelle, obwohl dies nicht der alphabetischen Reihenfolgen dieser Auflistung entspricht. 

Dieses präferieren resultiert aus der Tatsache, dass diese Messenger ganz oben auf der Liste der Messenger stehen, mit denen sich Mitarbeitern des Weißen Hauses nicht von ihrem Arbeitgeber erwischen lassen sollten.

Man kann grundsätzlich davon ausgehen – desto unbeliebter ein Messenger bei Behörden ist – desto sicherer ist er. Leider bedeutet Sicherheit nicht gleichzeitig eine Konformität bzgl. der DSGVO.

Signal wirbt; als derzeit einziger kostenlose Messenger, mit:
„…..eine sichere und DSGVO konforme Kommunikation….“.

Andere, siehe unten stehend, bieten kostenpflichtige „DSGVO konforme“ Alternativen an.

Hierzu auch lesenswert, die folgenden Artikel:

 

Vorab mein ganz persönliches Fazit zu diesem Thema:

In den schier unzähligen Vergleichen, Tests und Publikationen, diverser IT-Zeitschriften und Fachkundiger wird einem suggeriert, dass es sichere Messenger gibt. Wenn man sich etwas mit der Materie beschäftigt, stellt man jedoch fest – diese gibt es nicht.

Rechtlich sicher im Kontext zur DSGVO – ja, aber wirklich sicher….

End-zu-End Verschlüsslung bieten die meisten Messanger. Eine Transparenz hinsichtlich der Metadaten besteht jedoch nicht. Auch ist nicht nachvollziehbar, wie es sich mit den Geo-Daten verhält, kann man zum Beispiel bei Whatsapp die Übermittlung der Geo-Daten wirklich ausschalten oder nur deren Sichtbarkeit für andere?

Auch wird meist nur am Rande bemerkt, dass einige großartige Messenger so unbekannt sind, dass diese kaum einer verwendet, wodurch es wiederum keinen Sinn macht diese ernsthaft selbst zu verwenden.

Ganz pragmatisch gesehen sind Verbreitung, Haptik und die Möglichkeit diese auch via PC/Mac benutzen zu können die ausschlaggebenden Faktoren.

Da Sicherheit immer relativ zu bewerten ist und nichts wirklich zu 100% sicher ist, sollte man diesbezüglich die Kirche im Dorf lassen und sich mal ganz realistisch fragen, wie sicher muss ein Messenger für die eigenen Verhältnisse eigentlich sein? Welche Art von Nachrichten wird eigentlich verschickt? „Bitte bring noch einen Blumenkohl mit“, „Stehe im Stau – komme später“, „Ruf mal Chef an“ und Ähnliches fallen sicher nicht den Bereich dessen, was nur innerhalb einer Hochsicherheitsumgebung übermittelt werden sollte.

 


Confide

https://getconfide.com/

Kullo

https://www.kullo.net/de/

Signal

https://signal.org/

Zudem erfüllt Signal den nötigen technischen Standard für eine sichere und DSGVO konforme Kommunikation zwischen Dir und deinen Geschäftspartnern und Kunden.

Telegram

https://telegram.org/

Threema

https://threema.ch/de

Wire

https://wire.com/de/

Kategorie: Messenger

Bye bye WhatsApp

Ja, es gibt Zeitgenossen die ignorieren ganz bewusst diese Fakten,
getreu dem Motto das „nicht sein kann, was nicht sein darf“.

In diesem Kontext ist dies jedoch nicht als Hommage an den Dichter Christian Otto Josef Wolfgang Morgenstern zu werten, sondern als blinde Liebe zu einem Messengerdienst aus den USA, der sehr viele seiner Nutzer süchtig gemacht hat.

Seltsamerweise gehören diese Zeitgenossen zu derselben Spezies, die lieber stundenlang auf ihrem Smartphone rumtippen, als einfach mal fünf Minuten zu telefonieren, was bisher, solange man nicht hinterm Lenkrad gesessen hat, straflos möglich war.

Jetzt ist es ein Fakt – WhatApp ist nur zur 100%ig privaten Nutzung legal.

Hierzu zählt:

  • kein Verein
  • keine Firma
  • keine Kirche
  • und auch sonst keine Institution

– rein gar nichts was über die Familie hinausgeht.

Dem zur Folge – Bye bye WhatsApp, am besten noch heute Konto bei WhatsApp löschen und anschliessend deinstallieren.


Dies basiert auf der Tatsache dass in der DSGVO grundsätzlich alles verboten ist, was nicht ausdrücklich erlaubt ist:

Erlaubt ist, gemäß Art. 2 DSGVO

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

Dies ist völlig unverständlich, denn die DSGVO widerspricht sich hierbei selbst, da dies im Widerspruch zu ihrem Selbstzweck steht:

(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht….

Ist schon etwas seltsam dass hier kein Schutzbedürfnis für „private Daten“ gesehen wird…


Fassen wir nochmals zusammen: Hat man, als nicht 100%ige Privatperson, nicht die Einwilligung jedes einzelnen Kontakts, noch eine entsprechende Lösung für das Problem der unzulässigen Datenverarbeitung durch WhatsApp auf dem Smartphone, muss man ab dem 25.05.2018 mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes rechnen.

Das dumme dabei – er gibt derzeit keine entsprechende technische Lösung für dieses Problem.


Ob hierbei jeder einzelne Kontakt als ein eigener Verstoß gewertet wird, ob die Gerichte dies genauso sehen und in welcher Höhe wirklich Bußgelder verhängt werden, ist derzeit völlig offen.

Es gibt im übrigen auch legale Alternativen zu WhatsApp….

…aber das ist ein eigenes Thema.


Siehe auch:

Kategorien: DSGVO, Messenger

ePrivacy-Verordnung (ePV) – der Alptraum geht weiter….

Während die DSGVO noch immer für Angst und Schrecken sorgt, wird bereits am nächsten Schreckgespenst gearbeitet – an der ePrivacy-Verordnung (ePV).

Als Webdesigner kommt man sich vor wie ein Meteorologe, der sieht dass ein Hurrikan auf seinen eigenen Wohnort zusteuert, welcher mit hohen Schäden verbunden sein wird, der viel Zeit, Arbeit und Geld kosten wird, ja vielleicht sogar die eigene Existenz bedroht – und man kann nichts dagegen ausrichten.
Einen Namen hat dieser schon – ePrivacy-Verordnung (ePV).

Derzeit kann noch niemand sicher sagen was, wann und wie kommt und welche Details in der finalen Fassung zu finden sein werden.

Empfehlenswert, die Website des Bundesverband Digitale Wirtschaft (BVDW) e.V. des öfteren zu besuchen, da diese sich intensiv mit diesem Thema befasst.

In diesem Kontext lesenswert, das Verbändeschreiben zur ePrivacy-Verordnung vom 01.06.2018.

Kategorie: DSGVO

Verfahren und Urteile
zum Thema DSGVO

Noch sind nur sehr wenige Verfahren zum Thema DSGVO anhängig, Urteile noch gar keine vorhanden.
Nicht verwunderlich, dazu ist die DSGVO noch zu frisch.


Dennoch, bereits heute (13.06.2018) den ersten wirklich spannenden Artikel entdeckt.

Hochinteressant, das wird spannend – aber sicher auch langwierig.

Kategorie: DSGVO

Zertifikate

Eigentlich wollte ich hier einfach ein paar Links setzen, zu Seiten von Zertifizierungsstellen, wo man sich ganz schnell und einfach einen Überblick verschaffen kann, an welchem Cloud-Provider/Dienst ein solches vergeben wurde – aber ganz so einfach ist dies nicht.

Ferner hatte ich die Idee, Links für die Zertifizierung von Unternehmen, die die DSGVO anwenden müssen, zu sammeln. Beruhend auf der Vorstellung das sich ein jedes Unternehmen, vergleichbar mit einer ISO-Zertifizierung, auch für die DSGVO zertifizieren lassen kann. Auch dies ist nicht so einfach.

Kategorie: DSGVO

TOM
technische und organisatorische Maßnahmen

Bei TOM wird es für Firmen richtig kompliziert.

Einfache, pauschale verbindliche Feststellungen, was, wie zu tun bzw. zu unterlassen ist, sind hierbei nur bedingt möglich, da dieses Thema auf die jeweils individuelle Unternehmens-IT zuschnitten sein muss.

Pauschal kann man feststellen – es muss ein Wechsel von der reinen Maßnahmenbeschreibung, hin zu einer Formulierung von Datenschutzzielen vollzogen werden (Artikel 32 DSGVO, Abs. 1).

Im Einzelnen geht es hierbei um nachstehende Punkte:

  1. Pseudonymisierung
    Wikipedia definiert die Pseudonymisierung als einen Vorgang, bei dem persönliche Daten durch z.B. Zahlenfolgen ersetzt werden, so dass diese nicht mehr zuordenbar sind.
    Also z.B. Ersetzung einer E-Mail Adresse durch eine User-ID. 
  2. Verschlüsselung
    Hier geht es um den Schutz der Daten vor unberechtigten Zugang z.B. durch Passwörter auf Archiven.
  3. Gewährleistung der Vertraulichkeit
    Hier geht es um alles, was mit Zutritt und Zugang zu tun hat, wie gewährleisten Sie, dass nur Berechtigte Zugang zum Serverraum haben?
  4. Gewährleistung der Integrität
    Wie gewährleisten Sie, dass die Daten, die Sie verarbeiten an sich richtig sind? Wie steuern Sie Änderungen oder Löschungen?
  5. Gewährleistung der Verfügbarkeit
    Wie gewährleisten Sie, z.B. bei einem Stromausfall die Verfügbarkeit der Daten?
  6. Gewährleistung der Belastbarkeit der Systeme
    Machen Sie regelmäßige checks, ob Ihre Systeme gegen Unfälle oder Eindringlinge sicher sind?
  7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
    Haben Sie Vorgehensweisen, bei einem Zwischenfall, der z.B. alle ihre Daten auf einem Server löscht incl. Sicherungsmaßnahmen vor Brand- und Elementarsschäden?
  8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
    Prüfen Sie auch, ob die o.g. Maßnahmen effektiv sind? Wenn ja, wie?
  9. Schriftliche Dokumentation von sonstigen Maßnahmen
    Haben Sie z.B. Datenschutz Anweisungen an Ihre Mitarbeiter ausgegeben? Haben Sie eine IT-Sicherheitszertifizierung?

Technische und organisatorische Maßnahmen unterscheiden sich

Während es sich bei den organisatorischen Maßnahmen um die Rahmenbedingungen des Datenverarbeitungsvorgangs handelt, geht es bei den technischen Maßnahmen um den Datenverarbeitungsvorgang als solchen.

Unternehmen laufen Gefahr den Fehler zu machen ihren Fokus auf die organisatorischen Maßnahmen zu fokussieren, da diese zwar mit Arbeit verbunden sind, aber nicht mit Investitionen.

Dies ist ein Fehler, die DSGVO hat tiefgreifende Auswirkungen auf bestehende IT-Services, denn gerade hier gibt es große Unterschiede zum §9 BDSG-alt.

Entsprechend wichtig ist es, dass Sie sich auch ausgiebig mit den technischen Maßnahmen befassen, um zu gewährleisten dass Ihre IT-Infrastruktur DSGVO-konform ist, wobei, soweit noch nicht vollzogen, entsprechende Investitionen unausweichlich nötig werden.

Eine Fragen, nur als Beispiel, für die Beleuchtung von Pkt. 3: 

  • Sind Ihre Aktenschränke anschliessbar?

Ja, die DSGVO ist technologieneutral anzuwenden – nicht nur im IT Bereich.

Ein paar Fragen, nur als Beispiel, für die Beleuchtung von Pkt. 7: 

  • Wie sieht die Backup-Startegie aus?
  • Werden die Datenträger in zertifizierten Tresoren gelagert?
  • Wie ist die IT gesichert vor Einbrüchen/Diebstahl?
  • Verfügen die Serverräume über Redundanz und Schutz vor unbefugtem Zugriff und Elementarschäden (Feuer, Hochwasser, ect.)?

Aus betriebwirtschaftlicher Sicht betrachtet, ergibt sich die Frage ob es es ggf. kostengünstiger ist die IT weitestgehend in eine zertifizierte Cloud auszulagern?

Wie Sie sehen – mit ein paar Formularen und Unterschriften ist es in diesem Kontext nicht getan, auch ist die Umsetzung nicht so einfach und überschaubar wie bei der Umgestaltung einer Website .

Serverstandorte und Konformität müssen im Einzelfall geprüft werden.

Zum Thema zertifizierte Cloud-Lösungen wird demnächst eine eigene Unterseite entstehen.
Dieses Thema wird sehr interessant und auch die Tatsache beleuchten dass es eigentlich noch gar keine Zertifikate für DSGVO konforme Lösungen gibt.

Kategorie: DSGVO

Bei den Themen
Opt-In“ und „Opt-Out
geht es die Umsetzung einer Einwilligung bzw. einer Ablehnung auf einer Website bzw. in derem Kontext.

Bei „Opt-in“ geht es um die Bedingungen für die Einwilligung gem. Art. 7 der DSGVO.

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Auf einer Website wird hierzu in der Regel ein PlugIn eingebunden, welches sich in einem Fenster öffnet das mittels Mausklick bestätigt werden muss.

Opt-in Verfahren wird zum Standart

Beim Opt-in-Verfahren muss der Betreffende aktiv seine Zustimmung bekunden.

Einfachstes Beispiel für einen konforme Umsetzung, das auf dieser Website eingebundene PlugIn „Cookiebot“, welches beim ersten Aufruf dieser Seite am obenen Bildrand ein Fenster öffnet. Hierin werden die vorhandenen Cookies anzeigt, deren Herkunft erklärt und um eine Zustimmung gebeten.

Wer dies einfach, ohne genauer zu beachten, weg geklickt hat und jetzt noch mal sehen möchte – diese Seite einfach als „Neues privates Fenster“ nochmal öffnen. 

Dieses PlugIn und der damit verbundene Dienst, der nebenbei bemerkt für eine Website kostenlos ist, bietet den Vorteil das die angezeigten Cookies die Ergebnisse automatischer Scans sind. Im Gegensatz zu anderen Lösungen hat dies den Vorteil dass Änderungen, sei es durch nachträgliche installation von anderen PlugIns, als auch auf Grund von Änderungen durch den Provider, automatisch nachgetragen werden. Juristische Probleme durch Vergessen oder Unwissenheit können hiermit weitesgehend ausgeschlossen werden.

Opt-out Verfahren

Da diese Webseite auch zu Test- und Demonstartionszwecken dient, öffnet sich am unteren Bildrand ein zweites Banner, ebenfalls mit der Möglichkeit Cookies zuzulassen – aber auch diese abzulehnen.

Diese Ablehnung entspricht einem „Opt-out“ gemäß einem Entwurf der ePrivacy-Verordnung die so kommen „könnte“. Bei einer Ablehung werden im Hintergrund sämtliche Cookies und Trackinginformationen z.B. an google deaktiviert. 

Fast zumindest, weil es technisch nicht anderes funktionieren kann, wird auch bei einer Ablehnung – ein „Opt-Out Cookie“ gesetzt wird. Es ist anzumerken dass eine weiterführende Blockade verboten ist. Dies beweist wieder einmal dass diese Verordnungen nur aus der Hauptstadt von Absurdistan kommen kann, denn dieser „Opt-Out Cookie“ kann nicht abgelehnt werden. Jeder Besucher wird mit Keksen gefüttert – mindestens mit einem – ob er will oder nicht.

Das doppelte Vorhandensein, von zwei unterschiedliche „Opt-in“ Fenster, ist nur den Test- und Demonstartionszwecken dieser Website geschuldet, entspricht keinerlei bestehenden oder erwarteten Forderung.

Da man eine Website meist nicht nur besucht, sondern dort auch Kontaktformulare ausfüllen und Newsletteranmeldungen ausfüllen kann, ist auch nachstehendes zu beachten.

Nicht gestattet sind:

Vorausgewählte Formulare mit bereits angekreuzte Kästchen.
Dies ergibt sich aus dem Erägungsgrund (78).

Im Erwägungsgrund (78) werden die Begriffe „data protection by design“ und „data protection by default“ eingeführt, üblicherweise als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Diese Grundsätze bedeuten, dass die Technik der Datenverarbeitung von vorneherein darauf entworfen („design“) und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird. Ein solches dokumentiertes Vorgehen kann dabei helfen, die Einhaltung der DSGVO nachzuweisen.

Einverständniserklärungen zu koppeln,

weder mit der Anmeldung zu einem Newsletter, noch einem Gewinnspiel oder sonstigem.

Das Duple-Opt-in Verfahren wird empfohlen

hierbei wird z.B. nach einer Newsletteranmeldung erst einmal einen E-Mail an den neuen Abonnenten verschickt, mit der Bitte selbige, meist durch Klick auf einen hierin enthaltenen Button oder Link, zu verifizieren. Hierbei wird auch sichergestellt dass keine Spaßanmeldungen von „guten Freunden“ durchgeführt werden können.

„Soft-Opt-in“ und „Soft Opt-out-Ansätze“ sind unzulässig

Da sowieso unzulässig gehe ich nicht lange drauf ein, nur ganz kurz.

Hiermit ist die Verwendung von im Direktkontakt erhaltenen und genutzten E-Mail-Adressen auf Newsletterverteiler gemeint.

Widerrufbarkeit der Zustimmung

Ist klar – eines der Grundthemen der DSGVO.

Kategorie: DSGVO

Mythen rund um die DSGVO

Mythen rund um die DSGVO gibt es mehr als reichlich. Die meisten beruhen auf gefährlichem Halbwissen, reinem lesen von Schlagzeilen und dem glauben an Werbeversprechen derer, die mit Produkten und Dienstleistungn zur Umsetzung der DSGVO, in einem Betrieb Geld verdienen wollen.

Versuche hier einigen davon zu benennen, was diese Seite sicher zu eine Dauerbaustelle macht.


  1. Mythos: Jedes Unternehmen muss jetzt einen Datenschutzbeauftragten haben
    Dies ist Falsch.

    Einen Datenschutzbeauftragten muss ein Unternehmen nur bestellen, wenn mindestens zehn Mitarbeiter als Kerntätigkeit persönliche Daten verarbeiten. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist. Ausnahmen gibt es, im Adresshandel, medizinischen Bereich, Banken, ect. – als Pauschalaussage trifft obige Mitarbeiterregel zu.‘


  2. Mythos: Für jeden Verstoß gegen die DSGVO müssen 20 Millionen Euro oder vier Prozent
    des Jahresumsatzes Strafe bezahlt werden
    Dies ist Falsch.

    Die Höchststrafe dient vor allem zur Abschreckung großer Konzerne wie Facebook, google, ect..
    Siehe hierzu auch den Artikel Geldbussen.


  3. Mythos: Jede Datenerfassung bedarf einer Einwilligung
    Dies ist Falsch.
    Für die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; wird keine Einwilligung benötigt.
    Siehe hierzu auch den Artikel Rechtmässigkeit, incl. Art. 6 DSGVO.


  4. Mythos: Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren
    Dies ist Falsch.
    Dies trifft nur zu, wenn es um Daten geht, die nach Artikel 9 Absatz 1 der DSGVO einen sehr hohen Schutzbedarf haben. Dies sind beispielsweise Gesundheitsdaten, Daten zur sexuellen Orientierung oder biometrische Daten.


  5. Mythos: Die DSGVO verbietet es, personenbezogene Daten in einer Cloud zu speichern
    Dies ist Falsch.

    Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden – allerdings muss man mit dem Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung schließen und für den gelten strengere Vorgaben als bisher. Der Cloud-Anbieter muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewährleistet werden.


  6. Mythos: Die DSGVO ist nur für Websites, Onlinemarketing und die Firmen-IT ein Thema
    Dies ist Falsch.

    Die DVGVO ist technologieneutral. Jeder Aktenordner, jeder Aktenschrank, jeder Karteikasten unterliegt den Bestimmungen der DSGVO.
    Siehe hierzu Erwägungsgrund 15 Technologieneutralität.


  7. Mythos: „Wir sind DSGVO-zertifiziert!“
    Das ist bisher noch gar NICHT MÖGLICH!
    Der Artikel 42 der DSGVO, in dem es um die Zertifizierung geht, zeigt es eindeutig: Zertifizierungsverfahren, die zu einem DSGVO-Zertifikat führen sollen, müssen zuerst genehmigt werden. Die Verordnung gibt vor, das Zertifizierungen nur über akkreditierte Stellen oder durch die zuständige Aufsichtsbehörde erteilt werden können. Zudem stehen noch nicht alle Kriterien fest: Diese müssen erst genau festgelegt werden. Erst wenn die genehmigten Kriterien vorliegen, kann also mit einer Zertifizierung nach DSGVO begonnen werden. Dies ist aber bisher noch nicht der Fall! (Stand: 06/2018)


  8. Mythos: Es drohen Gefängnisstrafen von bis zu 1,5 Jahren!
    Dies ist Falsch – völliger Unsinn!
    Von Haftstrafen ist in der DSGVO nicht die Rede. Hier drohen also Bußgelder, Haftungsrisiken und Schadensersatzklagen. Ins Gefängnis bringt einen die DSGVO selbst nicht.

Fortsetzung folgt…..

Kategorie: DSGVO

Der Datenschutzbeauftragte
– der natürliche Feind eines jeden Webmaster oder System-Administrator.

Aber braucht man diesen wirklich?

Hierzu sagt das BDGS ganz klar – ja – aber – erst ab zehn Personen, die mit Daten beschäftigt sind und in speziellen Branchen.

BDSG Art. 38 (1)

1Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

2Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Wer kann Datenschutzbeauftragter werden?

Jeder der die Qualifikation gemäß Art. 37 (5) erfüllen kann und nicht dabei mit Art. 38 (6) in Konflikt kommt. Die sich hieraus ergebende Frage, wie diese Qualifikation gem. Art. 37 nachzuweisen ist, wird nicht in der EU-DSGVO beantwortet. Eine diesbezügliche Konkretisierung wäre wünschenswert, da hier technische, juristische und zu guter Letzt auch betriebswirtschaftliche Kenntnisse erforderlich sind. Das Ausschlusskriterium gem. Art. 38 (Interessenskonflikt) wurde bereits vor Einführung der EU-DSGVO, gemäß BDSG, durch verschiedene Gerichtsurteile konkretisiert und sanktioniert. Demnach sind Personen die Inhaber, Geschäftsführer, Personalleiter oder Leiter der IT sind, für diese Aufgaben völligst ungeeignet, eine Ernennung selbige wird gleichgesetzt mit dem nichtvorhandensein eines Datenschutzbeauftragten – und empfindlich sanktioniert. Ein treffendes Zitat aus einem der nachstehende verlinkten Artikel: Der Gesetzgeber verlangt hier salopp, nicht “den Bock zum Gärtner zu machen”.


DSGVO Art. 37  (5)

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

DSGVO Art. 37 (6)

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

DSGVO Art. 38 (6)

1Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.

2Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.


Nachstehend einige Links zu dieser Thematik:

Kategorie: DSB

Existenzgefährdende Geldbußen?

Hierzu verweise ich auf die nachstehende Veröffentlichung des Bundesministerium des Innern, für Bau und Heimat (BMI).

weiterlesen…

Kategorie: DSGVO

Cloud-Dienste
– US-Lösungen vs. Europäische Anbieter

Sollten – wider jede Vernunft – jemand mit einem Anbieter in den USA zusammenarbeiten, prüfen Sie ob dieser wenigstens über das derzeit noch gültige erforderliche Zertifikat verfügt. weiterlesen…

Kategorien: DSGVO, Privacy Shield

Wo steht mein E-Mail-Server?

Dies lässt sich ganz schnell und einfach herausfinden.

Einfach den Name des Server, so wie er in den Einstellungen des eigenen E-Mail-Programm unter IMAP/POP3/SMTP (jeweils oder) eingetragen ist, im Suchfeld eines virtuellen Tracerouting eingeben und suchen lassen. weiterlesen…

Worum geht es bei der DSGVO eigentlich?

Die Datenschutz-Grundverordnung schützt personenbezogene Daten unabhängig von der zur Datenverarbeitung verwendeten Technik – sie ist technologieneutral und gilt für die automatisierte wie die manuelle Verarbeitung, sofern die Daten nach vorherbestimmten Kriterien (z. B. alphabetische Reihenfolge) geordnet sind. Es ist ebenfalls nicht entscheidend, wie die Daten gespeichert werden – in einem IT-System, mittels Videoüberwachung oder auf Papier. In all diesen Fällen fallen die personenbezogenen Daten unter die in der Datenschutz-Grundverordnung dargelegten Datenschutzklauseln. weiterlesen…

DSGVO-konforme E-Mail-Archivierung

Rechtsgrundlagen der Mailarchivierung

Die Pflicht zur revisionssicheren E-Mail Archivierung regeln:

– Handelsgesetzbuch (HGB) §§238, 239, 257
– Abgabenordnung (AO) §147
– Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
– Grundsätze ordnungsgemäßer DV-gestützter Speicherbuchführung (GoBS)
– Umsatzsteuergesetz (UStG)
– Bundes- und Landesdatenschutzgesetze (BDSG, LDSG)
– Signaturgesetz §15
– Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG)
– Sarbanes-Oxley Act (SOX)
– Basel II Richtlinie

weiterlesen…

Kategorie: DSGVO

E-Mail-Verschlüsselung

Ein Thema dass durch den Einzug der DSGVO wieder an Aktualität gewinnt. weiterlesen…

So verrückt es klingt ist es auch – jede nicht private Webseite braucht eine
Datenschutzerklärung
Selbst eine leere weiße Seite……

Klingt kompliziert – ist es aber nur zum Teil.

Sehr schön beschrieben in nachstehendem Artikel.

Kostenlos lässt sich eine Datenschutzerklärung schon mit Hilfe eines kostenlosen Generators generieren, wie z.B. dem nachstehend eingebundenen.

Datenschutzerklärung-Generator – Ihre DS-GVO-konforme Datenschutzerklärung einfach per Klick

Ganz wichtig – dieser kostenfreie Generator kennt nur eine bestimmte Anzahl an Plugins, die manuell ausgewählt werden müssen und die anschliessend in der generierten Datenschutzerklärung beschrieben werden. Dies sind die am häufigsten verwendete Elemente einer Internetseite.

Klären Sie mit Ihrem Webmaster ob weitere Plugins Verwendung finden und wenn ja welche(!)

Nicht kostenfrei – aber sicherer – AVALEX.

AVALEX ermittelt für Sie automatisch die von Ihnen verwendeten Plugins, die automatisch in die entsprechende Datenschutzerklärung einfliesen.

 


Mustervorlage

Auch für die, die Handarbeit bevorzugen, wird Hilfe angeboten.

Von der Uni Münster z.B. eine Musterdatenschutzerklärung als Word-Datei.


Datenschutzerklärung, vollständig selbst erarbeiten

Für alle die sich eine Datenschutzerklärung, vollständig ohne Vorlagen, Muster und Generatoren selbst erarbeiten möchten, lohnt sich dies auf Grundlage von der DSGVO ab Artikel 13 zu tun.

Hierbei ist einen Abstimmung mit dem eigenen Webmaster/Webdesigner unumgänglich, da diese die eingesetzten technischen Elemente spezifizieren und beschreiben müssen.

Von Seiten verschiedener Provider existieren zu verschiedenen Standard-Elementen vorgefertigte Textblöcke, zum integrieren, in die eigene Datenschutzerklärung.

Wenn man diese mit den Forderungen von Artikel 13 DSVGO  abgleicht, sollte man feststellen, dass hierbei noch sehr viele, nicht technischen Aspekte zusätzlich eingearbeitet werden müssen.

Auch ein Studium der google Datenschutzrichtlinien ist hierbei sehr ratsam.


Nicht vergessen, der Link der fertigen Datenschutzerklärung hierzu muss leicht zu finden sein.
Als bewährt anzusehen ist ein Platz im Hauptmenü, im Opt-in-Fenster oder im Footer.

Kategorie: DSGVO

Rechtmäßigkeit der Verarbeitung
Gemäß Art. 6 DSGVO

 

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

2Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;


Mit den rot markierten Punkten sind weitesgehend alle normalen Handlungen „in“ einem normalen Betrieb zu rechtfertigen, jedoch ohne die Besonderheiten hinsichtlich von Onlineaktivitäten (z.B. Webseiten/Newsletter ect.). Auch die Weitergabe von Daten z.B. zu Dienstleistern, für Abrechnungszwecke ect. muss gesondert betrachtet werden.

Kategorie: DSGVO

Das BMI veröffentlicht zu dieser Frage nachstehenden Absatz (Quelle):

Das Anfertigen von Fotografien wird sich auch zukünftig auf eine – wie bislang schon – jederzeit widerrufbare Einwilligung oder alternative Erlaubnistatbestände wie die Ausübung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DS-GVO) stützen können. Diese Erlaubnistatbestände (nach geltender Rechtslage Art. 7 der geltenden EU-Datenschutz-Richtlinie 95/46/EG i.V.m. den nationalen Umsetzungsgesetzen) decken seit vielen Jahren datenschutzrechtlich die Tätigkeit von Fotografen ab und werden in Art. 6 DS-GVO fortgeführt. Die Annahme, dass die DS-GVO dem Anfertigen von Fotografien entgegenstehe, ist daher unzutreffend.

Für die Veröffentlichung von Fotografien bleibt das Kunsturhebergesetz auch unter der ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung erhalten.

Es sind keine Änderungen oder gar eine Aufhebung mit Blick auf die Datenschutz-Grundverordnung vorgesehen.

Die Ansicht, das Kunsturhebergesetz werde durch die DS-GVO ab dem 25. Mai 2018 verdrängt, ist falsch.

Das Kunsturhebergesetz stützt sich auf Artikel 85 Abs. 1 DS-GVO, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Das Kunsturhebergesetz steht daher nicht im Widerspruch zur DS-GVO, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DS-GVO ein. Eine gesetzliche Regelung zur Fortgeltung des Kunsturhebergesetzes ist nicht erforderlich. Ebenso führen die Ansätze anderer Mitgliedstaaten, die sich in allgemeiner Form zum Verhältnis von Datenschutz und Meinungs- und Informationsfreiheit verhalten, in der praktischen Umsetzung nicht weiter und führen nicht zu mehr Rechtssicherheit.

Die grundrechtlich geschützte Meinungs- und Informationsfreiheit fließt zudem unmittelbar in die Auslegung und Anwendung der DS-GVO ein, insbesondere stellen sie berechtigte Interessen der verantwortlichen Stellen nach Art. 6 Abs. 1 lit. f) DS-GVO dar. Die DS-GVO betont, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden (Erwägungsgrund 4). Zu den von der DS-GVO in diesem Zusammenhang genannten Grundrechten zählt ausdrücklich auch die Freiheit der Meinungsäußerung und Informationsfreiheit.

Linksammlung

Kategorie: DSGVO