Archiv der Kategorie: Datenschutz

Warum ist ein Vertrag zur Auftragsdatenverarbeitung notwendig?

Veröffentlicht am von
Kommentar

Viele Unternehmen bedienen sich Dienstleistern, wie Lettershops, Callcentern, IT Wartungsfirmen, externen Rechenzentren, externen Lohn- und Gehaltsabrechnung, Datenvernichtungsfirmen und Vielen mehr.

Diese Dienstleistungen sind typischerweise Auftragsdatenverarbeitungen (ADV) gem. § 11 BDSG. Die ADV ist ein gesetzliches Privileg, dass es Unternehmen

(Auftraggeber) erlaubt, personenbezogene Daten durch dritte Unternehmen

(Auftragnehmer) verarbeiten zu lassen. Für die mit der ADV verbundene Übermittlung von personenbezogenen Daten an den Auftragnehmer bedarf es keines gesonderten Erlaubnistatbestandes.

Liegt keine ADV gem. § 11 BDSG vor, müsste für die Übermittlung der Daten an den Dienstleister eine gesetzliche Erlaubnis oder eine Einwilligung jedes einzelnen Betroffenen vorliegen.

 

Der Gesetzgeber hat das Privileg der ADV mit einer Reihe von Auflagen verbunden, für deren Einhaltung vor allem der Auftraggeber verantwortlich ist. Werden diese Auflagen nicht eingehalten, kann ein Verstoß gegen das BDSG vorliegen, der als Ordnungswidrigkeit geahndet werden kann.

 

Zudem kann es sein, dass eine nicht ordnungsgemäß durchgeführte Auftragsdatenverarbeitung als Übermittlung im Sinne des Datenschutzrechtes angesehen werden kann, für dies  es möglicherweise keinen Erlaubnistatbestand gibt und die somit nicht zulässig ist bzw. war.

 

Eine unzulässige Übermittlung von Daten kann für die übermittelnde und verantwortliche Stelle und für die empfangende verantwortliche Stelle weit reichende Folgen haben, z.B. dass die gesamte Datenverarbeitung unzulässig ist und beispielsweise Geldbußen, Schadensersatz und andere Folgen für alle beteiligten verantwortlichen Stellen haben kann.

 

Auftraggeber und Auftragnehmer sollten daher stets darauf achten, dass die ADV entsprechend den rechtlichen Vorschriften durchgeführt wird.

Anforderungen an die ADV sind:

 

•             Weisungsbefugnis des Auftraggebers

•             Weisungsgebundenheit des Auftragnehmers

•             Schriftliche Beauftragung entsprechend den gesetzlichen Vorgaben

•             Vorgaben für die technischen und organisatorischen Maßnahmen des Auftragnehmers

•             Kontrolle des Auftragnehmers durch den Auftraggeber

 

Fehlen eine oder mehrere der genannten Anforderungen können die oben angeführten Folgen auftreten.

BuyVIP Hack

Veröffentlicht am von
Kommentar

Das deutsche Amazon Unternehmen BuyVIP das sich als “Private Sales Club” für Markenangebote versteht, wurde gehackt. Das Unternehmen hat unverzüglich alle Kunden über diesen Umstand informiert. Nach eigenen Angaben seien Bankdaten nicht betroffen und die Zugangsdaten seien verschlüsselt gewesen.

Trotzdem ist allen Kunden zu empfehlen, die Zugangsdaten zu wechseln. An diesem Beispiel zeigt sich wieder einmal eindrucksvoll, dass der Schutz von Daten im Internet gleich ob personenbezogene Daten oder Firmendaten eine sehr große Herausforderung darstellt.

Eine Informationspflicht nach § 42a BDSG hat nicht bestanden. Das Unternehmen hat mit der Information sehr vorbildlich auf den Hack reagiert.

Widerruf der Bestellung zum Datenschutzbeauftragten laut BAG nur schwer möglich

Veröffentlicht am von
Kommentar

Wie das Bundesarbeitsgericht in seiner Pressemitteilung zum Urteil vom 23. März 2011 – 10 AZR 562/09 – bekannt gegeben hat, kann der widerruf der Bestellung zum Datenschutzbeauftragten nur aus wichtigem Grund gemäß § 626 BGB erfolgen.

Weder die Mitgliedschaft des Datenschutzbeauftragten im Betriebsrat noch betrieblich geplante organisatorische Änderungen begründen den Widerruf der bestellung zum Datenschutzbeauftragten.

Unternehmen solten ihre Datenschutzbeauftragten mit Bedacht auswählen, da der Widerruf der Bestellung nur in Ausnahmefällen möglich ist.

Sollte aber durch eine Beförderung ein Interessenskonflikt zwischen der angebotenen neuen Stelle und der Funktion Datenschutzbeauftragten bestehen, dann wird die Entscheidung des BAG neu überdacht werden müssen.

Auch bei der Bestellung von externen Datenschutzbeauftragten wird in der Regel eine Ausstiegsklausel vereinbart. Mit Wegfall des Dienstleistungsvertrags verpflichtet sich der externe Datenschutzbeauftragte üblicher Weise zur Niederlegung des Amtes.

Das kleine 1×1 der Auftragsdatenverarbeitung:

Veröffentlicht am von
Kommentar

Was muss in dem Vertrag geregelt sein?

  1. Gegenstand und Dauer des Auftrags
  2. Umfang der Datenverarbeitung
  3. Art und Zweck der Datenverarbeitung
  4. Technisch und organisatorische Maßnahmen
  5. Betroffenenrechte
  6. Unterauftragsverhältnisse
  7. Kontrollrechte des Auftraggebers
  8. Informationspflichten des Auftragnehmers
  9. Weisungsbefugnis des Auftraggebers
  10. Rückgabe und Löschung von Daten und Datenträgern nach Beendigung des Auftrags

Mustervertrag des Landesbeauftragten für Datenschutz Niedersachsen:

http://www.lfd.niedersachsen.de/download/32351

Neugestaltung der technisch organisatorischen Maßnahmen

Veröffentlicht am von
Kommentar

Der Bundesbeauftragte für Datenschutz fordert in seinem 23. Tätigkeitsbericht eine Abkehr von den konkret auf eine bestimmte technische Umgebung fixierte Sicherheitsmaßnahmen zugunsten allgemeinverbindlicher Schutzziele.

Diese Schutzziele sollen sein:

  1. Verfügbarkeit
    Es ist zu gewährleisten, dass personenbezogene Daten und Verfahren zu ihrer Verarbeitung zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können.
  2. Vertraulichkeit
    Es ist zu gewährleisten, dass nur befugt auf personenbezogene Verfahren und Daten zugegriffen werden kann.
  3. Integrität
    Es ist zu gewährleisten, dass Daten aus personenbezogenen Verfahren unversehrt, zurechenbar und vollständig bleiben.
  4. Transparenz
    Es ist zu gewährleisten, dass die Erhebung und Verarbeitung personenbezogener Verfahren und die Nutzung mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können.
  5. Zweckbindung
    Es ist zu gewährleisten, dass personenbezogene Verfahren so eingerichtet sind, dass deren Daten nicht oder nur mit unverhältnismäßig großem Aufwand für einen Anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können.
  6. Intervenierbarkeit
    Es ist zu gewährleisten, dass personenbezogene Verfahren so gestaltet werden, dass sie dem Betroffenen die Ausübung der ihm zustehenden Rechte wirksam ermöglichen.

Die klassischen IT – Sicherheitsschutzziele Verfügbarkeit, Unversehrtheit und Vertraulichkeit werden im Datenschutz um die Schutzziele Transparenz,  Zweckbindung und Intervenierbarkeit erweitert. Diese Erweiterung trägt den Anforderungen im Datenschutz Rechnung. Durch die Abkehr von konkret benannten Maßnahmen im Gesetz,  hin zu Schutzzielen wird erreicht, dass die gesetzliche Regelung nachhaltig bestehen bleibt.

So können die Maßnahmen, die die Schutzziele umsetzen, den konkreten Anforderungen und Einsatzbedingungen entsprechend weiterentwickelt werden.

LAG Berlin-Brandenburg zum privat mitgenutzten Email Account

Veröffentlicht am von
Kommentar

Das Landgericht Berlin Brandenburg geht in seiner Entscheidung 4 Sa 2132/10 davon aus, dass

  1. der Arbeitgeber auch bei erlaubter privater Nutzung des dienstlichen Email Accounts nicht Telekommunikationsanbieter wird.
  2. der Eingriff in das allgemeine Persönlichkeitsrecht des Arbeitgebers im Rahmen einer Güterabwägung mit den Interessen des Arbeitgebers im Einzelfall ermittelt werden muss

 

In dem Unternehmen besteht eine Betriebsvereinbarung, die die Nutzung des dienstlichen Email Accounts für private Zwecke in geringen Umfang erlaubt, wenn die privaten Emails mit dem Zusatz “privat” im Betreff gekennzeichnet sind. Im Weiteren regelt die Betriebsvereinbarung, unter welchen Voraussetzungen eine Kontrolle, insbesondere eine Inhaltskontrolle der privaten Emails möglich ist.

 

Das Gericht stellt in seinen Entscheidungsgründen fest, dass der Arbeitgeber, der lediglich seinen Arbeitnehmern auch die private Nutzung des dienstlichen Email Accounts gestattet, kein Dienstanbieter im Sinne des Telekommunikationsnetzes ist. Das Gericht begründet diese Auffassung damit, dass der Arbeitgeber werde, Telekommunikationsleistungen geschäftsmäßig erbringe noch an der en Erbringung mitwirke.

 

Das Gericht führt ergänzend aus, dass selbst bei der Annahme der Arbeitgeber sei, Anbieter, § 88 TKG im Sinne des Art. 10 Abs. 1 GG nur die unkörperliche Übermittlung von Informationen an individuelle Empfänger m it Hilfe des Telekommunikationsverkehrs schütze. Nach Auffassung des Gerichts erstrecke sich der Schutzbereich nicht mehr auf die außerhalb des Telekommunikationsvorgangs gespeicherten Inhalte und Umstände der Kommunikation. Nach Auffassung des entscheidenden Gerichts endet der Schutz des Fernmeldegeheimnisses in dem Moment in dem die Mail beim Empfänger angekommen, und damit der Übertragungsvorgang beendet ist. Auch die zu diesem Zeitpunkt gespeicherten Verbindungsdaten werden nicht mehr von Art. 10 GG geschützt. Als Konsequenz dieser Rechtsauffassung unterliegt der Zugriff des Arbeitgebers auf die Datenbestände nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses.

Entwicklungen Stiftung Datenschutz

Veröffentlicht am von
Kommentar

Die Frage, wohin die Reise der Stiftung Datenschutz geht, ist sicherlich erlaubt. Diese Frage stellt aktuell die SPD-Fraktion in einer aktuellen Veröffentlichung auf ihrer Webseite: Koalition demonstriert erneut Handlungsunfähigkeit beim Datenschutz.

Auf eine Kleine Anfrage antwortete die Bundesregierung zur Stiftung Datenschutz.

Laut dieser Antwort sind die zentralen Ziele der Stiftung Datenschutz:

  1. Entwicklung eines Datenschutzzertifikats
  2. Bildung und Aufklärung

 

Aus Sicht der SICODA GmbH sind die hier beschriebenen Ziele sicherlich sinnvoll, die konkrete Umsetzung sollte aber schnellstmöglich erfolgen und sich den Anforderungen der Praxis anpassen.

Die Entwicklung eines Datenschutzzertifikats ist sicherlich eines der vordringlichsten Themen. Die private Wirtschaft verlangt in verschiedenen Bereichen nach einem solchen Zertifikat. Bei der Entwicklung eines solchen Zertifikats sollte darauf geachtet werden, dass es der betrieblichen Praxis entspricht. Das Zertifikat darf nicht zu einem Luxusgut für einige werden, sondern sollte ein erreichbarer Standard für die private Wirtschaft werden.

Unsere Forderung für die Ausgestaltung der Zertifizierung:

  1. Unternehmenszertifikat:
    Es muss ein Unternehmenszertifikat geben, dass die Einhaltung des Datenschutzrechts und der notwendigen Datensicherheit im gesamten Unternehmen nachweist.

     

  2. Prozesszertifikat:
    Gerade im Bereich Auftragsdatenverarbeitung sollte ein Prozesszertifikat entwickelt werden, das lediglich einzelne Prozesse im Unternehmen zum Inhalt hat und somit ein Mindestmaß an Sicherheit für Auftraggeber bring. Dieses Prozesszertifikat muss so ausgestaltet sein, dass es die nach § 11 BDSG erforderliche Auftragskontrollanforderung erfüllt.

     

  3. Produktzertifikat:
    Als dritte Stütze der Zertifizierung sollte ein Produktzertifikat entwickelt werden, das wie z. B. das ULD-Datenschutzgütesiegel auch, die datenschutzkonforme Einsatzmöglichkeit von Softwareprodukten und Onlineservices nachweist.

Smartphone Standort über WLAN Access Points

Veröffentlicht am von
Kommentar

Immer wieder gerät das Verhalten von verschiedenen Smartphone OS in die Kritik, die zur Bestimmung des Standortes die erreichbaren WLAN Access Points analysiert. So können auch Geräten ohne oder mit deaktiviertem GPS verhältnismäßig genau lokalisiert werden. Zuletzt ist Microsoft in die Kritik geraten, solche Informationen zu erheben und zu verwenden. Die Webseite CNET behauptet, dass Microsoft, anders als andere Anbieter solcher Informationen, diese ungeschützt im Internet zur Verfügung stellt.

Es stellt sich nach deutschem Recht bereits die Frage, inwieweit solche Informationen überhaupt erhoben werden können.

Insgesamt ist allen WLAN Accespoint Betreibern dringend zu raten, die Sichtbarkeit Ihres Routers zu deaktivieren. Wenn die Sichtbarkeit des Routers deaktiviert ist, sind die Statusinformationen des Routers nicht mehr ohne weiteres abfragbar.

Wie sicher sind Logindaten noch

Veröffentlicht am von
Kommentar

Nach berichten des Wallstreet Journal wurde nun ein südkoreanisches Social Network erfolgreich angegriffen. Vor dem Hintergrund dieser aktuellen Meldung und den  IT-Sicherheitsgefahren der Vergangenheit stellt sich immer wieder die Frage, wie sicher Logindaten im Internet sind. User sollten bei der Wahl der Login Daten wie Username, Passwort und Emailadresse immer beachten, dass diese nicht kontrollierbaren Gefahren beim jeweiligen Anbieter ausgesetzt sind.

Die Speicherung des Passwortes z.B. ist eine besonders heikle, vom User aber nicht zu beeinflussende oder kontrollierbare Gefahr. Systeme können Passwörter unter Verwendung von sogenannten Hashfunktionen speichern. Wird die Hashgenerierung dann noch mit einem Salt abgesichert, wird es für mögliche Angreifer annähernd unmöglich sein, das Passwort aus diesem Prüfhash zu erstellen.

Vor allem alte Systeme speichern das Passwort im Klartext. Der User kann solche Systeme nur daran erkennen, dass diese bei Passwortverlust das Originalpasswort zusenden können. Wäre ein Prüfhash gespeichert, wäre das Passwort auch dem Betreiber nicht bekannt und er müsste einen Rücksetzlink versenden.

Eine Gefahr dieser Klartext Passworte ist, dass bei einem oft verwendeten Username der Angreifer zudem eines der verwendeten Passworte kennt und sich so in anderen Systemen, schlimmstenfalls im Firmennetz, anmelden kann.

Als Schutz kann man hier nur empfehlen niemals das gleiche Passwort zweimal zu verwenden.

Klarnamen in Sozialen Netzen

Veröffentlicht am von
1

Nachdem Google den Klarnamenzwang für seinen Plus Dienst mit einer gewissen Nachhaltigkeit fordert, stellt sich natürlich die Frage, ob es nicht sinnvoller wäre insgesamt auf den Klarnamen zu verzichten.

Auch die Nutzung von Pseudonymen ist nur schwierig durchzuhalten, da die Repersonalisierung über starke Personensuchmaschinen immer wieder möglich wird.

Im Ergebnis müsste so für jede Anwendung ein eigenes Pseudonym gesucht werden und selbst dann wäre das Pseudonym nur bedingt geschützt.

Im Ergebnis sollten sich Nutzer viel mehr fragen, für wen sie welche Informationen zu ihrem privaten Leben preisgeben.