Tag: datenschutz

06/2019

Datenschutzleitfaden mit 60 wertvollen Tipps für die Praxis von Unternehmern für Unternehmer

 

Die neuen, seit Ende Mai 2018 zur Anwendung kommenden Datenschutz-Vorschriften der EU stellen Unternehmer und Unternehmen vor viele Herausforderungen. Der weite Ermessensspielraum, den die Datenschutz-Grundverordnung bietet, stellt Verantwortliche vor zahlreiche Fragen. Auf viele dieser Fragen haben die Autoren, die Unternehmen verschiedenster Branchen und Firmengrößen beim Umsetzen der DSGVO beraten, bereits Antworten gefunden, die sich an der alltäglichen, unternehmerischen Praxis orientieren - also auch tatsächlich mit angemessenem Aufwand an Zeit und Kosten umgesetzt werden können.

 

Autoren: Andreas DolezalMatthias Aichinger

ISBN-10: 9783990708989

05/2019

Standardwerk für Kader und Spezialisten

 

Wissen und Know-how: Informationssicherheit, IT-Sicherheit, Datenschutz

Das Online-Standardwerk der Swiss Infosec AG ist Ihr unentbehrlicher Begleiter im Bereich der Integralen Sicherheit und bietet effiziente Unterstützung für Ihre tägliche Arbeit. Das unverzichtbare und umfassende Nachschlagewerk ist das Online-Tool für Ihre täglichen Problemstellungen und Ihr Schlüssel zu mehr Sicherheit für Ihre Unternehmung.

 

Reto C. Zbinden

ISBN 3-952-039-608

04/2019

Alles Wissenswerte über das Zusammenspiel zwischen Datenschutz, gesetzlichen Aufbewahrungs- und Verjährungsfristen

 

Personendaten können nur für eine gewisse Dauer aufbewahrt werden. Danach sind sie nach schweizerischem (DSG) wie auch nach europäischem Datenschutzrecht (DSGVO/GDPR) zu löschen.

 

Ausgenommen von der Löschpflicht sind zunächst Daten, die aufgrund einer gesetzlichen Vorschrift aufbewahrt werden müssen. Ist das der Fall, müssen und dürfen Dokumente während dieser Dauer nicht gelöscht werden. Am wichtigsten ist die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsberichte und Buchungsbelege, die 10 Jahre beträgt.

 

Für die Zeit nach Ablauf dieser Dauer oder falls keine gesetzliche Aufbewahrungsfrist besteht, können Dokumente zunächst solange verwendet und aufbewahrt werden, wie die darin enthaltenen Personendaten zum Zweck, zu dem sie erhoben wurden, noch gebraucht werden. Auch aus dem Grundsatz der Datenrichtigkeit für Personendaten wird die Pflicht zur Löschung abgeleitet: Je älter Personendaten sind, desto eher werden sie in der Tendenz nicht mehr zutreffen.

 

Beispielsweise können Unterlagen, die für das Verfassen eines Zwischenzeugnisses benötigt werden, solange behalten werden, wie das Anstellungsverhältnis dauert. Grundlagendokumente des Unternehmens, wie etwa dessen Statuten oder Organisationsreglement, sollten während der ganzen Lebensdauer des Unternehmens aufbewahrt werden.

 

Werden Personendaten nicht mehr zum ursprünglich erhobenen Zweck gebraucht, kann im Allgemeinen angenommen werden, dass zu Beweiszwecken Unterlagen dennoch so lange aufbewahrt werden dürfen (aber nicht müssen) bis die Verjährungsfrist der zugrundeliegenden Forderung noch nicht abgelaufen ist. Ab diesem Zeitpunkt kann eine Forderung nicht mehr (gerichtlich) durchgesetzt werden. Beispielsweise verjährt die Forderung aus einem Auftragsverhältnis auf Bezahlung eines Übersetzungshonorars 10 Jahre nach seiner Fälligkeit. Hat der Kunde dem Übersetzungsunternehmen die Rechnung nicht bezahlt, kann das Unternehmen dies vom Kunden noch während 10 Jahren nach Bestellung der Übersetzungsleistung verlangen (und auch durchsetzen), später aber nicht mehr. Bei der Frage, welche Unterlagen während laufender Verjährungsfrist noch zu behalten sind, geht es im Wesentlichen um die Einschätzung, wie das Unternehmen im Hinblick auf potenzielle rechtliche Auseinandersetzungen aufgestellt sein will.

 

Zusammengefasst lässt sich die Aufbewahrungsdauer von Personendaten enthaltenden Dokumenten anhand dieser drei Fragen nachvollziehen (in dieser Reihenfolge):

a) Besteht eine gesetzliche Aufbewahrungsfrist?
b) Werden Personendaten noch gebraucht?
c) Wenn nicht: ist eine weitere Aufbewahrung zu Beweiszwecken bis zum Ablauf der Verjährungsfristen erforderlich?

 

Wenn alle drei Fragen mit nein beantwortet werden können, verlangt der Datenschutz, dass Personendaten gelöscht werden oder der Zugriff darauf zumindest stark eingeschränkt wird. Da die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsbericht und Buchungsbelege 10 Jahre beträgt und viele Forderungen nach 10 Jahren verjähren, haben sich als genereller Richtwert 10 Jahre eingebürgert. Es gelten teilweise aber auch andere gesetzliche Aufbewahrungs- und Verjährungsfristen:

 

1.1 Gesetzliche Aufbewahrungsfristen

 2019 03 22 12h00 03

 

1.2 Verjährungsfristen

 Verjährungsfristen

 

Wir empfehlen deshalb: Legen Sie unter Berücksichtigung des Bearbeitungszwecks und der jeweils geltenden Aufbewahrungs- und Verjährungsfristen für die Dokumente in Ihrem Unternehmen, die Personendaten enthalten, Fristen fest, nach deren Ablauf die Personendaten gelöscht werden können.

Haben Sie Fragen zu Personendaten generell oder zur Aufbewahrungspflicht oder Verjährungsfristen im Speziellen? Oder können wir Ihnen weiterhelfen, weil Sie ein individuelles Löschkonzept brauchen? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG; 20.03.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

04/2019

E-Health-Innovationen machen unser Leben sicherer und gesünder – ein Milliardengeschäft.

 

Das Marktforschungsunternehmen Gartner erwartet bis 2020 weltweit 20 Milliarden vernetzte Medizingeräte, die im Krankenhaus 4.0, beim Arzt, im Smarthome oder in der Smart City zum Einsatz kommen. Der Gesamtwert des IoMT-Marktes in Europa betrug laut einer Studie von Deloitte letztes Jahr rund 12 Mrd. US-Dollar. 2020 sollen es 40 Mrd. sein. Auf dem Markt tummeln sich dabei nicht nur diverse Start-ups, sondern vor allem auch Big Player wie Siemens, Apple und Google bzw. die Alphabet-Tochter verily.

 

IoMT: Vielfalt der Sensoren

Herzfrequenzsensoren erkennen Anzeichen eines Vorhofflimmerns, Beschleunigungssensoren registrieren schwere Stürze und schlagen Alarm. Sensoren sind heute in der Lage, nahezu jede Körperfunktion rund um die Uhr zu überwachen, machen unser aller Leben und vor allem das von Patienten leichter und sicherer. Diabetiker, Epileptiker und Herzpatienten werden schon gewarnt, bevor sie selber Anzeichen verspüren und Krankenhäuser und (Not-)Ärzte können frühzeitig alarmiert werden. Viele Sensoren sind dabei heute so klein, dass sie einfach mit der Smartwatch getragen werden können. Für spezielle Anwendungen geht es auch noch kleiner bzw. filigraner. Sensoren auf Kontaktlinsen etwa sind in der Lage, anhand der Tränenflüssigkeit den Blutzuckerwert zu messen und zu übermitteln. Im Krankenhaus überwachen Sensoren dabei nicht nur Patienten, sondern auch medizinische Geräte. Diese lassen sich so nicht nur leicht lokalisieren, sondern auch rechtzeitig warten. Durch die Möglichkeiten einer Predictive Maintenance werden so Ausfallzeiten verhindert und Kosten gesenkt.

 

Augmented Reality und Virtual Reality

Durch Augmented Reality lassen sich komplette Eingriffe realitätsnah simulieren. Im echten OP erleichtern auf Datenbrillen projizierte Informationen das Operieren. Der Chirurg muss nicht mehr seinen Kopf zum Monitor heben, sondern kann sich komplett auf den Patienten konzentrieren. In Zukunft sollen Mediziner während einer Operation passgenau CT- und MRT-Bilder über den Patienten eingeblendet bekommen, um bestimmte Bereiche besser lokalisieren zu können.
Ein Forscherteam der RWTH und FH Aachen präsentierte vor Kurzem eine 3-D-Betrachtung eines stark verlagerten Kiefergelenkbruchs mittels einer Virtual-Reality-Brille. Dabei wurde deutlich, wie hilfreich eine solche Darstellung für den Chirurgen bei der Planung seines Eingriffs sein kann. Natürlich ist diese Technologie auch während der fachärztlichen Ausbildung oder während des Studiums besonders vielversprechend.

 

Digitale Gesundheitsakte

Gesundheitsminister Jens Spahn will, dass ab 2021 Versicherte generell ihre Patientendaten auch per Handy oder Tablet einsehen können. Während die Techniker Krankenkasse und die AOK eine eigene Lösung anbieten, ist "vivy" ein Gemeinschaftsprojekt diverser anderer privater und gesetzlicher Krankenkassen. Die App ist dabei elektronische Gesundheitsakte und persönliche Assistentin zugleich. Sie hilft bei der Einhaltung von Medikationsplänen oder erinnert an den nächsten Impf- / Vorsorgetermin. Welche Daten wann an wen übermittelt werden, entscheidet der Nutzer selbst. Auch soll technisch und organisatorisch sichergestellt sein, dass Krankenversicherungen keinen Zugriff auf persönliche Daten bekommen können. Akzeptanz und Vertrauen in derartige Produkte fehlt allerdings dennoch in breiten Schichten der Bevölkerung.

 

Sicherheitsbedenken

Vernetzte Geräte bilden naturgemäß eine Angriffsfläche für Hacker. Neben unseren Gesundheitsdaten kann dadurch auch unmittelbar unser Leben bedroht werden, bspw. wenn der Herzschrittmacher gehackt wird. Nach dem Medizinproduktgesetz müssen vernetzte Medizingeräte zwar besonders hohe Sicherheits- und Qualitätsauflagen erfüllen, doch absolute Sicherheit kann auch dadurch nie gewährleistet werden. Das Potenzial das Leben vor allem von Risikopatienten deutlich sicherer zu machen, scheint dabei aktuell die Risiken mehr als aufzuwiegen. Dies darf aber nicht dazu führen, verstärkte Sicherheitsmaßnahmen zu vernachlässigen.

 

Handbuch IoT, 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Warum IoT nur mit einer hohen Stammdatenqualität funktioniert

 

Drei Entwicklungen fordern Unternehmen heraus, das bestehende Potenzial vorliegender Datenbestände effizient und zukunftsweisend zu nutzen:

  • Die Digitalisierung schreitet stetig voran.
  • Der Wettbewerbsdruck steigt.
  • Die Industrie 4.0 beschreibt ein Szenario künftiger Automatisierung der Produktionsabläufe.

 

Grundlage für IoT-Anwendungen ist eine hohe Qualität des Datenmaterials, um mehrwertstiftende Informationen zu gewinnen. Je höher der Mehrwert – respektive die Datenqualität – desto besser die Grundlage, um automatisch relevante Informationen aus der realen Welt zu erfassen, miteinander zu verknüpfen und im Netzwerk verfügbar zu machen. Stammdaten nehmen dabei eine besondere Rolle ein.

 

IoT: Einmalig erstellt, mehrfach genutzt, selten geändert

Stammdaten (engl. „Master Data“) bezeichnen die grundlegenden Unternehmensdaten, die für den laufenden Betrieb in verschiedenen Unternehmensbereichen erforderlich sind. Dazu gehören bspw. Daten von Kunden, Produkten, Mitarbeitern und Lieferanten. Laut ISO sind Stammdaten „Grunddaten eines Unternehmens. Sie existieren unabhängig von anderen Daten und werden in Geschäftstransaktionen referenziert“ (ISO 8000- 1:2011).

Abgegrenzt werden Stammdaten von Transaktions- und Bestandsdaten. Diese Bewegungsdaten sind variable Daten, die sich während eines Geschäftsprozesses häufig ändern und für jeden Geschäftsvorfall neu erfasst, abgeleitet oder berechnet werden müssen. Beispiele sind Bestellmengen, Wertpapierkurse oder Kontensalden.

 

Stammdatenmanagement ist eine Philosophie

Stammdatenmanagement (SDM), engl. „Master Data Management“, bezeichnet die Verwaltung von Stammdaten. Eine passende Definition liefert das Analystenhaus Gartner: „Stammdatenmanagement beschreibt organisatorische und/oder technologiebasierte Aktivitäten, bei denen Geschäftsbereiche zusammen mit der IT-Abteilung arbeiten, um die Qualität der unternehmensweiten Stammdaten zu verbessern und Hoheit über diese zu erlangen.“

 

Ein besonderes Augenmerk liegt dabei auf der Kooperation zwischen der IT und den Fachbereichen wie HR, Marketing oder Einkauf. SDM ist unterdessen kein befristetes Projekt – es ist ein Mindset, welches von allen beteiligten Mitarbeitern und Fachbereichen im Unternehmen gelebt werden sollte.

 

Da die Verbesserung der Datenqualität durchaus eine komplexe Aufgabe ist, bedarf es des Einsatzes und Zusammenspiels verschiedener dedizierter Softwaresysteme (z. B. Integrationsplattformen, Analysewerkzeuge, Datenmodellierungswerkzeuge, Workflow-Engines) zum Datenmanagement. Außerdem sind häufig auch organisatorische und restrukturierende Maßnahmen in Unternehmen erforderlich.

 

IoT-Massnahmen erschwert oder blockiert wegen mangelnder Stammdatenqualität

Die Notwendigkeit des SDM ergibt sich durch die Probleme der Unternehmen aufgrund minderer Stammdatenqualität. Verantwortlich hierfür sind der technologische Fortschritt, der es ermöglicht, immer größere Datenmengen speichern zu können, und die unzureichende Pflege der Daten. Auch die zunehmend heterogenen Systemlandschaften und die Einführung neuer Geschäftslösungen wie Systeme für „Customer Relationship Management“ oder „Enterprise Resource Planning“ haben diesen Trend verstärkt. Hinzu kommen Probleme des Managements, allen voran unzureichend definierte Verantwortlichkeiten bzgl. der Daten. Daraus resultieren die folgenden typischen Probleme im SDM, die in der Konsequenz IoT-Maßnahmen erschweren oder gar blockieren.

  • Datenmehrfach-Erfassung und -Speicherung führt zu Duplikaten
  • Erschwerte Prozessautomatisierung durch unklare Datenbasen
  • Kein einheitliches Datenmodell
  • Fehlende Prozesse zur nachhaltigen Kontrolle der Datenqualität
  • Unterschiedliches Verständnis der Daten bei den Mitarbeitern
  • Fehlende Struktur und Regelwerke für Datenqualitätsmessungen
  • Erschwerte Analysen für Reports
  • Validitätsprobleme von Reports

 

Datenqualität zum Kernziel erklären – für IoT!

Bezogen auf das SDM vor dem Hintergrund der Umsetzung von IoT-Vorhaben ist insbesondere die Verbesserung der Datenqualität eines der zentralen Vorhaben in Unternehmen. Während in der englischen Literatur vorrangig der Begriff „Data Quality“ gebraucht wird, werden in der deutschen Literatur die Begriffe Datenqualität und Informationsqualität häufig synonym verwendet. Grundsätzlich gilt, dass aus Daten erst in Verbindung mit einem Kontext Informationen gewonnen werden und die Qualität der Daten auch nur in diesem Kontext beurteilt werden kann (vgl. Gebauer / Windheuser 2011). Auch stellen Daten, als immaterielles Gut, erst dann einen Wert für eine Organisation dar, wenn sie in ausreichend hoher Qualität vorliegen (vgl. Otto / Reichert 2010). Die Verbesserung der Datenqualität bedarf organisatorischer Anpassungen im Unternehmen – zusammenfassend als Data Governance bezeichnet, die zur effizienten Umsetzung eine Software-Unterstützung benötigen.

 

Am Markt existierende Systeme decken oftmals einen Großteil der erforderlichen Funktionalität zur Pflege und Verbesserung der Daten sowie zur softwareseitigen Unterstützung einer Data Governance ab. Sie beinhalten meist eine Integrationsplattform, die eine Vernetzung singulärer Anwendungen überflüssig macht. Die Stammdatenmanagement-Systeme versprechen eine verbesserte Unterstützung der anstehenden Aufgaben und bieten eine Plattform, die eine Vernetzung zwischen Maschinen überhaupt erst ermöglicht bzw. erheblich vereinfacht.

 

Ein Beispiel der IoT-Ära zur Illustration

Was tun, wenn der Toner leer ist?

 

IoT verfolgt das Ziel, „relevante Informationen aus der realen Welt zu erfassen, miteinander zu verknüpfen und im Netzwerk verfügbar zu machen. Dieser Informationsbedarf besteht, weil in der realen Welt Dinge einen bestimmten Zustand haben (z. B. ‚Luft ist kalt‘, ‚Druckertoner ist voll‘), dieser Zustand im Netzwerk jedoch nicht verfügbar ist.“ (Wikipedia)

 

Nun können diese realen Informationen in unterschiedlicher Weise im Netzwerk zur Verfügung gestellt werden. Entweder durch eine automatisierte, technologisch gestützte Erhebung der Daten (z.B. wenn ein Drucker erkennt, dass der Toner leer ist) oder durch eine manuelle Eingabe (z.B. wenn ein Mitarbeiter im System hinterlegt, dass der Toner leer ist). Insbesondere der manuelle Vorgang ist fehleranfällig. Der Drucker soll nun direkt mit dem Bestellmanagement-System kommunizieren und automatisch einen Bestellvorgang für einen neuen Toner auslösen. Die Bestellung erfolgt mit dem notwendigen Vorlauf bis zum Zeitpunkt des Austauschs, also noch bevor der aktuelle Toner leer ist. Die Herausforderung besteht darin, den Toner vorrätig zu haben und gleichzeitig unter der Maxime zu handeln, die Lagerhaltungskosten zu minimieren. Dies nennt sich Predictive Maintenance.

 

Hierzu muss im Bestellsystem für den Drucker der richtige Tonertyp hinterlegt sein, mit den entsprechenden Einkaufskonditionen. Sind diese Materialstammdaten nicht korrekt, wird aufgrund der schlechten Datenqualität eine fehlerhafte oder überteuerte Bestellung ausgelöst. Zusätzlich kann der Drucker für den Zeitraum der aufwendigen manuellen Neubestellung nicht genutzt werden. Überträgt man dieses plakative Beispiel aus dem Büroalltag in die voll automatisierten Produktionshallen deutscher Hightech-Unternehmen, wird schnell deutlich, welche Tragweite Datenqualität im Kontext von IoT haben kann.

 

Handbuch IoT; Tobias Brockmann, Nadja Schröder; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Risikofaktor IoT: Schützenswert sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen

 

Am 25. Mai 2016 trat die EU- Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, ab dem 25. Mai 2018 müssen die EU- Mitgliedstaaten die Verordnung anwenden. Obwohl das Bewusstsein in den Chefetagen der Unternehmen gestiegen ist, sind nicht alle Unternehmen gut aufgestellt. Mit der EU-DSGVO gibt es erstmals eine Verordnung, die das Datenschutzrecht EU-weit vereinheitlicht und die Unternehmen zum Nachweis verpflichtet, die Prinzipien des EU-Datenschutzes einzuhalten. Sie gilt für in der EU ansässige Unternehmen, aber auch für ausländische Unternehmen, wenn diese eine Niederlassung in der EU haben oder Daten von Menschen in der EU verarbeiten. Also de facto für alle größeren internationalen Unternehmen, aber auch für viele Mittelständler und KMU. Die Strafen bei Verletzung der EU-DSGVO sind saftig: Bis zu 20 Millionen oder vier Prozent des Jahresumsatzes – im Zweifelsfall gilt der höhere Wert.

 

DSGVO und IoT

Als Daten gelten dabei nicht nur Kontaktdaten wie Name, Adresse, E-Mail-Adresse, Telefonnummer. Damit betrifft sie auch das IoT, sammeln seine Geräte doch zuhauf vielfältige Nutzerdaten. Je nach Funktion reichen diese von Blutgruppe, über das bevorzugte TV-Programm bis hin zum Aufenthaltsort des Hundes. Hier sollte ein Privacy-by-Design-Ansatz verfolgt werden, damit schon bei der Entwicklung die Datenschutzrisiken geringgehalten werden können und Datensicherheit gewährleistet ist. Schließlich ist auch zu klären, wo im Unternehmen die Daten überhaupt gespeichert sind und wer Zugriff darauf hat.

 

Was ist neu?
Ganz wichtig: Unternehmen haben eine Rechenschaftspflicht. Im Fall einer Klage gilt die Beweislastumkehr: Nicht der Kläger muss nachweisen, dass die EU-DSGVO verletzt worden ist. Das Unternehmen muss beweisen, dass es die strengen Kriterien der Verordnung erfüllt. Hier könnte sich unter Umständen für Unternehmen ein Betätigungsfeld eröffnen, um unliebsamen Konkurrenten zu schaden. Außerdem muss in bestimmten Fällen ein Datenschutzbeauftragter ernannt werden. Hinzu kommt die Verpflichtung, ein sogenanntes "Privacy by Design" einzuführen, mit dem datenschutzrelevante Maßnahmen von Beginn an in Design sowie Entwicklung von Systemen, Prozessen und Produkten integriert werden. Auch sind mehr Daten betroffen, so etwa Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Die Anforderungen an "bestimmbare Personen" sind sehr gering. Auch Lieferanten können betroffen sein, zum Beispiel solche, die von einem Unternehmen beauftragt werden, personenbezogene Mitarbeiterdaten zu verarbeiten.

 

Mehr Rechte für Beschäftigte, mehr Pflichten für die Unternehmen
Nach Auffassung vieler Fachleute werden die Pflichten des Arbeitgebers beim Datenschutz deutlich erhöht, die Rechte der Beschäftigten hingegen gestärkt. Diese erhalten die Hoheit über ihre Daten und das Recht, auf Anfrage zu erfahren, ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden. Das muss laut EU-DSGVO schneller und umfassender geschehen, als dies früher der Fall war. Unternehmen ohne digitale Personalakte haben hier einen großen Aufwand, da die dafür zuständigen Personalabteilungen meist in einem mühseligen Prozess die zerstückelt geführten Personalakten, Gehaltsabrechnungen oder Berichte prüfen müssen.

 

Vieles hängt von der Art und Größe des Unternehmens ab
Einige Experten warnen, die Aufgaben im Zusammenhang mit der Verordnung zu unterschätzen. Die häufig vertretene Ansicht, dass die Erstellung eines Verarbeitungsverzeichnisses die Erfüllung der Richtlinien gemäß DSGVO bedeutet, ist leider nicht richtig. Ein Verarbeitungsverzeichnis ist zwar wesentlich, jedoch nur einer von mehreren Schritten der Umsetzung. Jedes Unternehmen muss also auch alle technischen und organisatorischen Maßnahmen zur Sicherung und zum Schutz der Daten umsetzen und auch dokumentieren. Nicht zu vergessen, die Einhaltung und Dokumentation aller Betroffenenrechte. Eine Lösung muss all diese Aspekte mitberücksichtigen und ganzheitlich erfüllen. In welchem "Detailgrad" die Umsetzung auf Unternehmensebene erfolgt, hängt jedoch von der Art und Größe des Unternehmens sowie den verfügbaren Ressourcen ab. Entscheidend ist auch die Branche, da jede ihre ganz eigenen Anforderungen hat.

 

Zertifizierungen als Basis
Manche Unternehmen profitieren von bereits vorhandenen Zertifizierungen, etwa nach ISO 9001 oder ISO / IEC 27001. Diese Zertifizierungen dienen als Basis für ein Datenschutzmanagementsystem (DSMS), das die Compliance mit der EU-DSGVO gewährleistet. Ähnliches gilt für die Zertifizierung nach dem Standard BS 10012:2017. Trotzdem muss vieles noch angepasst werden im Hinblick auf die neuen Regeln.

 

Datenschutz als Querschnittsaufgabe

Wichtig sei es, darin stimmen Experten überein, das Thema EU-DSGVO als Querschnittsthema im gesamten Unternehmen zu verankern und das Bewusstsein der Mitarbeiter für diese Problematik zu schärfen. Vom Vorstand oder der Geschäftsführung bis hin zum Betriebsrat müssen die Verantwortlichen über die Regelungen und Veränderungen beim Datenschutz informiert und teilweise aktiv werden:

  • Vorstand und Geschäftsführung müssen die veränderte datenschutzrechtliche Praxis im Unternehmen kennen;
  • die IT-Abteilung muss prüfen, welche technisch-organisatorischen Maßnahmen für das geforderte Risk-Management notwendig sind;
  • die Finanzabteilung muss die Kosten berücksichtigen, die dem Unternehmen durch Anpassungsprozesse entstehen;
  • die Rechtsabteilung muss viele Verträge anpassen;
  • die Compliance-Abteilung muss die Risiken eines Verstoßes gegen die Verordnungen berücksichtigen – diese betreffen die außerordentlich hohen Bußgelder, aber auch den Vertrauensverlust, der bei Kunden, Lieferanten oder Mitarbeitern entstehen kann;
  • die Forschungs- und Entwicklungsabteilung muss schon bei einem frühen Projektstadium darauf achten, dass die datenschutzrechtlichen Grundsätze eingehalten werden;
  • für die Personalabteilung entsteht ein hoher Aufwand, da sie einerseits Mitarbeiterschulungen zum Thema organisieren, andererseits den Mitarbeitern auf Nachfrage nachweisen muss, wie ihre Daten geschützt werden; auch der Betriebsrat ist einzubinden.

 

Ist es sinnvoll, darüber hinauszugehen?
Vielleicht aber ist es sinnvoll, noch ein paar Schritte weiterzugehen. Die Einhaltung der EU-DSGVO-Compliance sollte Teil einer umfassenden Unternehmensphilosophie sein und von der Spitze her gelebt werden – damit ist das EU-DSGVO-Management Chefsache. Es sollte nicht einfach eine lästige Pflicht sein, denn immerhin geht es darum, das Image  des Unternehmens in der Öffentlichkeit, bei gegenwärtigen und künftigen Mitarbeitern sowie bei Geschäftspartnern als verantwortungsvoll handelnde Organisation zu stärken. Dazu gehören auch ein umfassender Schutz der Daten und der sichere IT-Betrieb.

 

Die Risiken einer Verletzung des Datenschutzes sind groß und müssen im Einzelfall genau analysiert werden. Doch wie sieht es mit den Chancen aus? Zum Beispiel könnte ein gut umgesetztes Datenschutzmanagementsystem auch den Eintritt in Länder mit einem ähnlich hohen Datenschutzniveau deutlich erleichtern, wie z. B. Kanada oder Japan. Echte Mehrwerte im Wettbewerb entstehen, wenn es gelingt, über entsprechende Maßnahmen und ihre Dokumentation Vertrauen zu schaffen. Zudem fördern transparente personenbezogene Daten die Automatisierung von Prozessen und treiben somit die Digitalisierung voran. Einige aktuelle Studien belegen, dass Unternehmen, die auf diesem Weg vorangegangen sind, sich bereits Vorteile verschafft haben. Es liegt also an den Unternehmen selbst, ob ihnen die EU-DSGVO mehr nutzt oder doch eher schadet.

 

Neue Risiken durch IoT in Industriesystemen

Das Internet der Dinge (IoT) ist insbesondere im Industrieumfeld eine noch junge Technologie. Daher steht bei der Entwicklung von IoT-Komponenten und OT-Lösungen („Operational Technologies“) für viele Unternehmen noch immer die Funktionalität im Vordergrund. Die Produktentwicklung hat genug damit zu tun, die neuen Kommunikationstechniken, das komplizierte Zusammenspiel von Sensoren, Aktoren und PLCs („Programmable Logic Controller“), in den Griff zu bekommen. Wichtig ist, dass die Produkte und Lösungen funktional laufen – Sicherheitsaspekte sind, wenn überhaupt, nur ein Randthema.

 

Doch IoT bringt nicht nur neue Möglichkeiten, sondern auch neue Risiken. Die Verbindung technischer Systeme mit dem Firmennetzwerk und dem Internet über standardisierte Kommunikationsschnittstellen erlaubt eine umfassende Kontrolle und Steuerung dieser Systeme. Allerdings nicht nur für berechtigte Nutzer, sondern bei unzureichender Absicherung auch für Angreifer. Diese können dabei nicht nur Informationen gewinnen, sie können auch die Steuerung der betreffenden Systeme übernehmen und sogar Fehlfunktionen auslösen. Man kann sich entsprechende Schadensszenarien leicht ausmalen; erst recht, wenn IoT auch in kritischen Infrastrukturen zum Einsatz kommt, beispielsweise in der Strom- und Wasserversorgung.

 

Neue Risiken, das bedeutet konkret neue Angriffspunkte. Der einfachste ist der direkte Zugriff auf Anlagen. So erhalten externe Service-Unternehmen oft für Wartungsarbeiten einen Zugriff auf die Steuerung von Anlagen und Maschinen, mitunter verschaffen sie ihn sich auch selbst, indem sie zur Erfüllung von Wartungsverträgen entsprechende Bauteile implementieren. Das muss nicht in böser Absicht geschehen, aber über diese Verbindungen ist der unkontrollierte Zugriff auf Steuersysteme von extern möglich und per „Hopping“ von System zu System steht dem Service-Dienstleister dann auch bei unzureichender Absicherung und nicht vorhandener Segmentierung des Netzwerkes mehr oder weniger das gesamte Netz seines Kunden offen. Dies gilt besonders, wenn im IoT-Endgerät oder der Maschine eine LTE-Komponente verbaut ist; man kann dann die Kommunikation nach außen kaum unterbinden.  Das gezielte Scannen und Stören von Funkverbindungen, das hier gelegentlich vorgeschlagen wird, ist jedenfalls klar verboten.

 

Vielfach werden in IoT-Lösungen technische Komponenten verwendet, die über keine oder nur unzureichende Schutzmechanismen verfügen. Sie verwenden zum Beispiel eine unsichere Hard- und Software-Architektur oder unsichere Kommunikationsprotokolle und lassen sich nicht aktualisieren. Die Hersteller und Anlagenbauer sind nicht für das Thema IoT- / OT- Security sensibilisiert. Wenn etwa Bauteile in der Klimatechnik oder in Brandmeldeanlagen nicht geschützt sind, so können Angreifer die Raumtemperatur oder Luftfeuchtigkeit verändern, was in einem Rechenzentrum katastrophale Folgen haben kann. Das Beispiel Rechenzentrum zeigt deutlich die ungeklärten Zuständigkeiten für Security in Unternehmen. Die Server und Anwendungen im Rechenzentrum werden von der IT meist nach Sicherheitsvorgaben betrieben, das Rechenzentrum selbst mit allen Non-IT-Komponenten liegt aber in einer anderen Zuständigkeit und unterliegt keinen exakten Vorgaben für Security.

 

Ein bevorzugtes Ziel für Angreifer sind auch IoT-Systeme in der Logistik. Hier werden natürlich mobile Verbindungen verwendet, wobei mittlerweile nicht nur Lkw mit entsprechenden Systemen ausgestattet sind, sondern auch Container oder sogar einzelne Paletten. Die IoT-Logistik-Sensoren müssen aufgrund der hohen Stückzahl und des Preisdrucks in der Logistik natürlich günstig sein. Logistiker können damit eine Lieferkette sehr genau verfolgen, sie bieten damit aber auch Angreifern die Möglichkeit, Daten abzufangen oder zu verändern. Die IoT-Systeme laufen hier ja nicht in einem gesicherten Umfeld, sondern weit ab vom jeweiligen Unternehmen; man muss im Grunde nur am richtigen Ort mit einem Lesegerät sein, schon kann man die Daten einsammeln. Auf diese Weise kann man nicht nur detaillierte Informationen über Lieferketten erhalten, sondern kann sie bei Bedarf lahmlegen.

 

Die direkten Abwehrmöglichkeiten gegen derartige Angriffe sind im Nachhinein bei bestehenden Lösungen begrenzt. Wichtig ist vor allem, sich der durch IoT-/OT-Systeme entstehenden Risiken überhaupt erst einmal bewusst zu werden und sich nicht nur an deren Funktionalität zu erfreuen. Unternehmen sollten sich daher bei IoT- / OT-Projekten immer folgende Fragen stellen:

  • Welche IoT- / OT-Komponenten und -Systeme werden im eigenen Unternehmensnetzwerk verwendet? Welche IoT-/ OT-Geräte sind unbekannt?
  • Welche Kommunikationsverbindungen haben diese untereinander und nach außen?
  • Sind von einzelnen Systemen auch andere zu erreichen, die im Normalfall keine Kommunikationsbeziehung untereinander haben? Lässt sich das durch Netzwerksegmentierung unterbinden?
  • Bestehen unkontrollierte Wartungszugänge?
  • Sind die Security-Funktionen der Produkte aktiviert und werden die Softwareversionen der Produkte regelmäßig auf Security-Schwachstellen geprüft?
  • Wer im Unternehmen ist für die Sicherheit der IoT-/OT-Systeme verantwortlich?
  • Besitzen die Verantwortlichen für diese Systeme aus z. B. Produktion, Logistik und Gebäudetechnik sicherheitstechnisches Know-how und Security-Awareness?

 

Noch ein wichtiger Aspekt: Die Sicherung der IoT-Systeme eines Unternehmens ist keine einmalige Aufgabe. Die Technologien rund um IoT und OT entwickeln sich rasant weiter und die IT-Sicherheit muss darauf flexibel reagieren können. Wichtig ist, dass IoT fest in der unternehmensweiten Cyber-Defense-Strategie verankert ist.

 

Handbuch IoT, Dr. Ralf Magagnoli, 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things


Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Das IoT ist voller Daten, Auswertung ist für den optimalen Nutzen zentral

 

Internet of Things (IoT): Einsatz im Produktionsumfeld

Für die in vielen Branchen übliche Nutzung des "Internet of Things" (IoT) gibt es einen ausschlaggebenden Grund: Mit den gewonnenen Daten können Prozesse und Betriebsabläufe genauer gesteuert und die Auslastung kann effizienter geregelt werden. Hier fällt ein hohes Volumen relativ kleiner Datensätze an, wie sie von Sensoren erfasst und weitergemeldet werden. Doch neben der Herausforderung, große Mengen anfallender Daten zu verarbeiten und daraus Schlüsse zu ziehen, gilt es beim IoT  weitere Hürden zu meistern.

 

Denn um auf Echtzeit-Analysen basierende Entscheidungen zu treffen, sind vor allem die Geschwindigkeit der Datenverarbeitung und die Sicherheit der Datenübertragung von entscheidender Bedeutung. Smarte Sensoren und IoT-Geräte unterscheiden sich sowohl in ihrem Einsatzzweck als auch in der Vielschichtigkeit der von ihnen erhobenen Daten. Die verschiedenen Daten zu analysieren, um daraus Erkenntnisse abzuleiten, ist beim Einsatz des IoT ebenso eine Herausforderung wie die Einhaltung von Governance-Richtlinien bei der Datenverarbeitung.

 

In der Fertigung lassen sich Maschinen mit Sensoren ausstatten, die für eine vorausschauende Instandhaltung („Predictive Maintenance“) herangezogen werden können. Im Gegensatz zum herkömmlichen Ansatz, Wartungen nach vorher definierten Arbeitsstunden oder geleisteter Stückzahl stattfinden zu lassen, meldet die Maschine den Status ihrer Abnutzung und ihres technischen Zustandes aktiv an einen Produktionsserver, der das Wartungsintervall individuell auf diese eine Maschine abstimmt. Damit wird zweierlei erreicht: Einerseits wird verspätete Wartung und eventuell einhergehender Schaden vermieden, andererseits entstehen keine zu kurzen Wartungszyklen. Beides schont die finanziellen und logistischen Ressourcen des Unternehmens. Auch die Logistik während und nach der Produktion wird durch Big Data im IoT wesentlich erleichtert. Besonders in der Just-in-time-Fertigung ist es sowohl für produzierende Betriebe als auch Zulieferer wichtig, nachvollziehen zu können, wo sich Werkstücke aktuell befinden. Damit sollen Lagerhaltungskosten weitgehend ausgeschlossen werden.

 

IoT und Big Data in der Energieversorgung

Doch auch andere Branchen setzen mittlerweile auf Big Data und Industry of Things. So sind Energieversorgungsunternehmen durch Veränderungen, beispielsweise bei der Energieerzeugung, mit neuen Anforderungen an ihre betrieblichen Prozesse konfrontiert. Dazu kommt der Wandel der Kundenanforderungen. Auch die vermehrte Nutzung alternativer Heizarten bei Endkonsumenten, beispielsweise Wärmepumpen oder Solaranlagen, führt zu einer weiteren Komplexität beim Stromvertrieb. So sollten Konsumenten mit Preisnachlässen dafür belohnt werden, wenn sie den Strom zu einem Zeitpunkt verbrauchen, an dem er besonders günstig für den Vertrieb bereitsteht. Hierzu messen intelligente Stromzähler („Smart Meter“) den Energieverbrauch und können diese Informationen den Versorgern zeitnah übermitteln. In einem System mit automatisierten Stromzählern werden Verbrauchsdaten in Echtzeit analysiert und entsprechende Muster erkannt, die zur Prognose herangezogen werden. Auch können Sensoren und intelligente Stromzähler rechtzeitig vor drohenden Ausfällen einzelner Komponenten im Stromnetz warnen. Die gewonnenen Daten werden in einer Big-Data-Lösung zusammengefasst, die detaillierten Aufschluss über die aktuelle und künftige Situation liefert. Dadurch wird es Energieversorgern ermöglicht, die Ausfallsicherheit in erheblichem Maß zu steigern, um so die Versorgungssicherheit der Verbraucher zu garantieren.

 

Mit Big Data und IoT zu mehr Gesundheit

Neue medizinische Methoden, verbesserte Behandlungen oder die bessere Anpassung von Medikamenten sind mit enormen Investitionen in Forschung verbunden. Dafür benötigt der Gesundheitssektor – mehr denn je – eine solide Datenbasis. Aber auch die Behandlung der Patienten selbst muss in Zeiten knapper Gesundheitskassen effizienter gestaltet werden. So kann die Erfassung von Patientendaten über mobile Tracker einen vollständigen Überblick über den Gesundheitsstatus bieten. Ein solcher Tracker kann mittels Hautsensor beispielsweise den Blutzuckerspiegel messen. Das gilt ebenso für Vitalfunktionen wie eine Messung von Puls oder Blutdruck, wie sie manche Smartwatch oder mancher Fitnesstracker bereits bietet. Durch den Abgleich von Echtzeit-Analysedaten und Machine-Learning-Modellen, basierend auf historischen Patientendaten, wird eine vorausschauende und nachhaltige Patientenüberwachung gewährleistet. Daraus können Ärzte frühzeitig Abweichungen von individuellen Normalwerten erkennen und so im Idealfall Menschenleben retten. Außerdem ist es möglich, dass diese Daten – anonymisiert – dazu führen, auch anderen Patienten schnell eine erfolgreiche Behandlungsmethode zur Verfügung zu stellen. Zusätzlich können unterstützende Reha- und Wellnessanwendungen entwickelt, getestet und bei Erfolg breit angewendet werden. Dies geschieht über mit dem Internet verbundene Geräte, die beispielsweise Blutdruck und Herzfrequenz überwachen sowie Aufschluss über Cholesterinwerte oder andere medizinisch relevante Faktoren bieten. Mittels maschinellen Lernens können Ärzte, Krankenhäuser und Pharmaunternehmen positive Musterveränderungen erfassen und konsequent weiterentwickeln.

 

Zielführende Versicherungsprodukte

Die Basis der Geschäftstätigkeiten von Versicherungen sind Daten. Sie berechnen Risiken und legen daraufhin die Höhe der Raten für Versicherungspolicen fest. Dies erfolgte bislang über theoretische mathematische Modelle, die auf regelmäßigen Marktanalysen, Studien und Statistiken beruhten. Mit dem zunehmenden Wettbewerbsdruck müssen Versicherer ihre Angebote vielschichtiger und an die Zielgruppe angepasster entwickeln. Auch die Art und Weise, wie und wogegen sich Konsumenten und Unternehmen versichern wollen, ändert sich – etwa durch die Veränderung im Falle von Gebäudeschäden durch den Klimawandel oder die Einführung neuer Technologien wie etwa dem autonomen Fahren im Straßenverkehr.

 

Handbuch IoT; Daniel Metzger; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

04/2019

Sicherheit beginnt mit der Geräteentwicklung.

 

Ein effizienter Schutz von Operational-Technology-Systemen und IoT-Geräten benötigt einen um- fassenden Security-Lifecycle-Ansatz. Gefordert sind einerseits die Hersteller von Maschinen, industriellen Steuergeräten (PLCs) und Anlagen, die ihre Produkte gemäß dem „Security by Design“-Prinzip entwickeln müssen. Aber auch die Unternehmen sowie die Anwender müssen mehr in die Sicherheit der eingesetzten Lösungen investieren.

 

Fertigungsunternehmen aus allen Branchen werden immer stärker zum Ziel von Cyber-Attacken aller Art. Aktuellen Marktzahlen von NTT Security zufolge richten sich mehr als ein Drittel aller Cyber-Attacken gegen die Fertigungsindustrie. Gerade für Industriespionage ist der Anlagen- und Maschinenbau ein lukratives Ziel von Cyber-Angreifern. Klar ist: Unternehmen müssen Operational-Technology (OT)-Systeme und IoT-Geräte besser schützen. Kompromisslose IT-Sicherheit ist nur mit End-to-End-Lösungen und -Services möglich, die auf einem durchgängigen Security-Lifecycle-Modell basieren.

 

OT-Systeme und IoT-Geräte: Sicherheit beginnt mit der Geräteentwicklung

Fachliche Anforderungen und deren technische Umsetzung waren für die Hersteller von Maschinen, Produktionsanlagen, Schaltsystemen und Komponenten, beispielweise im Smart-City-Umfeld, die Richtschnur. Mit Security-Themen haben sich die Entwicklungsingenieure und Techniker bestenfalls am Rande befasst – oder dann, wenn die Systeme bereits in Betrieb waren.

 

Daher lautet die erste Empfehlung: Security by Design. Bereits bei der fachlichen Anforderungsanalyse neuer Geräte, Maschinen und Lösungen, beispielsweise für die industrielle Verfahrenstechnik, sollten Hersteller eine Bewertung der Security-Risiken einplanen. Einerseits geht es um die Ermittlung aktueller Angriffsvektoren, gegen die ein System oder Gerät geschützt werden soll, und andererseits müssen sich Entwickler auch damit befassen, welche Angriffspunkte im weiteren Lebenszyklus entstehen könnten.

 

In diesem Zusammenhang werden Ansätze wie Security-Agility und Crypto-Agility immer wichtiger. Im Kern geht es darum, dass Entwickler und Benutzer der fertigen Produkte, Lösungen und Services sich darauf einstellen müssen, dass die aktuell implementierten Sicherheitsmaßnahmen bei einem Produktlebenszyklus von zehn bis zwanzig Jahren regelmäßig überprüft, aktualisiert und ergänzt werden müssen: Welche Art der Softwarewartung ist geplant? Wie und in welchen Release-Zyklen sollen Software- und Security-Updates eingespielt werden? Ist die in Entwicklung befindliche Hardware auch für die zukünftigen Anforderungen (beispielsweise Speicher, Prozessorleistung usw.) ausgelegt?

 

Wer heute ein sicheres Maschinen-, Produkt- und Geräte-Design erstellen will, muss sich natürlich auch mit Kommunikationsprotokollen befassen – das heißt, mit den aktuell im Einsatz befindlichen Lösungen und deren fortlaufender Aktualisierung. Beispiele dafür sind TLS („Transport Layer Security“) und dessen Vorgänger SSL („Secure Sockets Layer“) zur Absicherung von Datenverbindungen. Aufgrund verschiedener in den letzten Jahren entdeckter und ausgenutzter Schwachstellen lautet die Empfehlung, alle Versionen von SSL und TLS 1.0 zu deaktivieren. Neue Kommunikationsprotokolle und natürlich auch die Nutzung von aktuellen Kryptoverfahren und Schlüssellängen müssen natürlich beim Design der Hardware berücksichtigt worden sein. Bei allen Sicherheitsmaßnahmen kommt es darauf an, dass Hersteller – angelehnt an das IT-Security-Management – einen nachvollziehbaren und dokumentierten Sicherheitsprozess definieren, um die Security über den gesamten Lebenszyklus ihrer Produkte gewährleisten zu können.


Zertifizierung von Produkten

Die Hersteller von Geräten und Systemen für „Kritische Infrastrukturen“ (KRITIS) sind dazu übergegangen, ihre Produkte nach dem „Industrial-IT-Security-Standard IEC (International Engineering Consortium) 62443“ für industrielle Kommunikationsnetze und Systeme zertifizieren zu lassen. Die entsprechenden Zertifizierungen übernehmen etwa der VDE oder die TÜV-Gesellschaften. Unternehmen, die Automatisierungs- und Steuerungssysteme herstellen, können diese Produkte und die Prozesse gemäß den IEC-62443-Vorgaben auf potenzielle Schwachstellen untersuchen lassen und auf Basis der Ergebnisse eine entsprechende Produktzertifizierung erlangen – oder müssen nachbessern und wirkungsvolle Schutzmaßnahmen entwickeln und Prozesse im Unternehmen ausrollen. Schwerpunkt des IEC-62443-Standards bildet die IT-Sicherheit von „Industrial Automation and Control Systems“ (IACS), die überall dort gefordert ist, wo es um einen sicheren und zuverlässigen Betrieb von Anlagen und Infrastrukturen geht. Eine Vorbereitung für eine IEC-62443-Zertifizierung wird meist durch externe OT-Sicherheitsspezialisten unterstützt.

 

Mit einem umfassenden Sicherheitskonzept und einer Security-Roadmap für den gesamten Lebenszyklus von Produkten und Lösungen sind Hersteller auf einem guten Wege. Sie können sich damit einen wichtigen Wettbewerbsvorsprung – auch im Hinblick auf außereuropäische Anbieter – verschaffen.


Um erfolgreich digitalisieren zu können, wird zunächst eine Datenbasis benötigt, die über Unternehmensgrenzen hinaus auswertbar ist.

 

Verbesserte Sicherheit im täglichen Betrieb

In Produktionsnetzen mit Maschinen, Leitständen zur Steuerung, Robotern, Förderbändern und vielem mehr steht seit langer Zeit das Thema Verfügbarkeit im Vordergrund. Die Security ist eher von untergeordneter Bedeutung. Aufgrund der Vielzahl bekannt gewordener Angriffe auf Produktionsanlagen ändert sich das langsam. Eine der ersten Maßnahmen ist die Festlegung von Verantwortlichkeiten für Sicherheitsaufgaben.

 

Die Verantwortung für die Verfügbarkeit der Produktionsnetze liegt beim Produktionsleiter; daran wird sich wahrscheinlich in der Praxis auch so schnell nichts ändern. Unternehmen der Automobilbranche etwa haben eigene Abteilungen gegründet, die sich explizit um OT-Security kümmern. Andere Branchen – und dort vor allem der gehobene Mittelstand – sind erst dabei, Verantwortliche zu benennen. Damit ist ein wichtiger Schritt getan, um die IT-Sicherheit in den Produktionsnetzen gezielt angehen zu können.

 

Sind Verantwortlichkeiten und Rollen geklärt, sollten Unternehmen – meist unterstützt durch externe Sicherheitsexperten und -analysten – ein Security- Assessment ihrer Produktionsnetze durch- führen. Basis dafür bilden Interviews mit den Betreibern und Verantwortlichen der OT-Umgebungen und ein Asset-Discovery, das mithilfe von Threat-Detection-Sensoren eine Bestandsaufnahme der vorhandenen OT- und IoT-Systeme sowie der internen und externen Kommunikationsbeziehungen liefert. Erfahrungen aus der Praxis zeigen, dass dabei immer Geräte und Verbindungen zum Vorschein kommen, von denen zuvor keiner Kenntnis hatte. Gerade diese sind hochriskant: Wenn niemand im Unternehmen von deren Existenz wusste, können Angreifer über dieses Einfallstor unentdeckt Wirtschaftsspionage betreiben. Ein wichtiges Ziel der Bestandsaufnahme ist, bei den er- mittelten Schwachstellen eine Priorisierung vorzunehmen. Was ist von höchster Kritikalität?  Diese Sicherheitslücken müssen sofort geschlossen werden, andere können schrittweise beseitigt werden.

 

Weitere Themen der OT-Security-Analyse sind ein OT-Security-Vulnerability-Assessment, OT-Security-Risk-Assessment, OT- Governance und eine strukturierte Planung der weiteren Schritte zur Erhöhung der OT- Security. Gerade die Priorisierung der umzusetzenden Maßnahmen stellt viele Unternehmen vor große Herausforderungen. Fester Bestandteil der Analyse ist eine genaue Dokumentation der Assets und von deren Kommunikationsbeziehungen. Vorbild dafür ist die Konfigurationsdatenbank (CMDB) der IT-Systeme.

 

Bei der Ermittlung der externen Kommunikationskanäle interessiert zunächst, welche überhaupt vorhanden sind: Einwahlverbindungen, aber auch Standleitungen und Maschinen mit LTE-Karten für die Remote- Wartung. Solche Verbindungen sollten genau unter die Lupe genommen werden: Im Juli 2018 waren als Folge eines Datenlecks bei einem kanadischen Dienstleister namens „Level One Robotics and Controls“ fast 160 GB Daten verschiedener Automobilbauer öffentlich im Internet zugänglich. Die Daten wurden hierbei über direkte Kommunikationsverbindungen zwischen dem Dienstleister und den Automobilkonzernen abgezogen.

 

Dieser Fall verdeutlicht, wie wichtig es ist, zu wissen, wer mit wem kommuniziert und diese Fakten in eine Risikoanalyse einzubeziehen. Die technische Grundlage dafür stellen die Threat-Detection-Sensoren in OT-Umgebungen bereit, die sich nicht nur für eine Bestandsaufnahme, sondern auch für ein kontinuierliches Monitoring nutzen lassen. Dann sind Unternehmen sofort auf einem aktuellen Stand, wissen jederzeit, was in ihren Produktionsnetzen geschieht und können bei Bedarf schnell reagieren. Die Bestandsaufnahme und fortlaufende Überwachung der internen und externen Kommunikationsabläufe in einem Produktionsnetzwerk sind zentrale Bestandteile, um eine hohe Sicherheit von OT-Systemen und IoT-Geräten über den gesamten Lebenszyklus zu erzielen.

 

Handbuch IoT; Christian Koch; 11.2018
Creative Commons-Lizenz: https://creativecommons.org/licenses/by-sa/3.0/de/

 

apps grc software tool

 

IoT – Internet of Things

Intelligente Vernetzung erfordert intelligente Sicherheitskonzepte

 

Die neuen Möglichkeiten, die IoT eröffnet, erfordern in Sachen Informationssicherheit eine besonders konsequente Haltung und innovative Lösungsansätze. Vertrauen Sie deshalb auf das Know-how unserer erfahrenen Spezialisten. Sie beraten und unterstützen Sie in allen Sicherheitsfragen rund um IoT und darüber hinaus.

 

Kontaktieren Sie uns online (infosec@infosec.ch) oder telefonisch (+41 41 984 12 12) für ein kostenloses Erstgespräch.

 

Mehr

05/2019

Datenschutzwissen über die korrekte Verwendung von DSGVO-konformen Messenger-Diensten in Ihrem Unternehmen

 

Nicht erst seit Geltung der Datenschutz-Grundverordnung (DSGVO) herrscht grosse Verunsicherung bezüglich des Einsatzes von Messenger-Diensten. Letztes Jahr hat etwa die Empfehlung des Zürcher Datenschutzbeauftragten hohe Wellen geworfen, wonach WhatsApp aus den Schulen zu verbannen sei. Nur wenige Kantone vertreten eine andere Position.

 

Wie steht es nun um den Gebrauch von WhatsApp in meinem Unternehmen? Bei der Beurteilung der Rechtmässigkeit fällt nüchtern betrachtet weniger ins Gewicht, ob WhatsApp, sondern wie genau WhatsApp eingesetzt wird. Aber zuerst der Reihe nach:

 

Kritisiert wird zunächst einmal der automatische Abgleich des Adressbuchs, damit WhatsApp erkennen kann, welche eigenen Kontakte WhatsApp bereits nutzen. Gerade diejenigen Kontakte, die WhatsApp bewusst nicht installiert haben, dürften mit einer Übertragung ihrer Daten aber längst nicht immer einverstanden sein. Kommt hinzu, dass sich WhatsApp seinen Nutzungsbedingungen nach vorbehält, Informationen wie Protokoll- und Nutzungsdaten an Facebook, deren Tochterfirma WhatsApp ist, weiterzuleiten. Gerade deswegen kann Begehren betroffener Personen auf Auskunft und Löschung nicht wie erforderlich nachgekommen werden. Aber nicht alles an WhatsApp ist schlecht: Datenschutzrechtlich wünschenswert ist auf jeden Fall die gebotene Ende-zu-Ende-Verschlüsselung für die mit WhatsApp versendeten Inhalte.

 

Worauf muss ich aber nun achten, um in meinem Unternehmen WhatsApp rechtskonform zu nutzen?

  • Das Adressbuch sollte möglichst ausschliesslich Kontakte enthalten, die WhatsApp bereits nutzen.
  • Es sollten per WhatsApp keine besonders schützenswerten Personendaten (Rückschlüsse möglich auf religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheit, Intimsphäre oder Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, administrative oder strafrechtliche Verfolgungen und Sanktionen) oder Persönlichkeitsprofile ausgetauscht werden (Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt).
  • Auf die Kommunikation mit WhatsApp sollte generell verzichtet werden, wenn aus dem konkreten Zusammenhang heraus bereits die Tatsache einer Kommunikation sensibel sein kann (z.B. Kontakt mit Berufsgeheimnisträgern oder vertrauliche Übernahmeverhandlungen).

 

Das Bayerische Landesamt für Datenschutzaufsicht schlägt ausserdem vor (was auch auf das Schweizerische Datenschutzrecht passt):

  • Nachrichtenverläufe über WhatsApp sollten nicht archiviert werden.
  • Automatische Speicherung der Nachrichten im internen Speicher, insbesondere der Anhänge, sollte vermieden werden, wenn weitere Apps auf dem mobilen Gerät installiert sind, denen Zugriff auf den internen Speicher gestattet wird (Gefahr eines unberechtigten Zugriffs und Fehlversand von Anhängen).
  • WhatsApp sollte von einem separaten Smartphone oder über eine Container-Lösung (Mobile Device Management) betrieben werden.

Die Hürden für einen datenschutzrechtskonformen Einsatz von WhatsApp sind also ziemlich hoch. Im Anwendungsbereich der DSGVO gelten zusätzlich noch strengere Vorgaben (vgl. z.B. Stellungnahmen der deutschen Datenschutzaufsichtsbehörden Bayern und Niedersachsen). Es könnte sich daher unter Umständen lohnen, als Alternative zu WhatsApp Messenger-Dienste wie das Schweizerische Threema oder Signal in Betracht zu ziehen.

Fragen Sie sich, ob die DSGVO für Ihr Unternehmen relevant ist und wie Sie mit Messenger-Diensten umgehen sollten? Die Spezialisten von der Swiss Infosec AG helfen Ihnen gerne weiter. www.infosec.ch/dsgvo

 

Swiss Infosec AG; 29.04.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

Mit der EU-Datenschutzgrundverordnung (DSGVO), die ab Mai 2018 anzuwenden ist, wird ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter und die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.

 

Autoren: Jürgen Taeger und Detlev Gabel

ISBN-10: 3800516594

03/2019

1. Band: Politik und Wirtschaft: Dieses Beitragswerk bringt Vorreiter, öffentliche Meinungsbildner und renommierte Fachexperten zu Fragestellungen des digitalen Wandels zusammen und bündelt deren Blickwinkel auf dieses entscheidende Zukunftsthema. Somit beleuchten die hochkarätigen Autoren aus Politik, Wirtschaft, Wissenschaft und Recht mit ihren Beiträgen, in zwei Bänden des Herausgeberwerkes, unterschiedliche Facetten der Digitalisierung.

 

Autoren: Christian Bär, Thomas Grädler, Robert Mayr

ISBN-10: 9783662557198

03/2019

Lösungen zur praktischen Umsetzung: Der Praxisband erläutert Schritt für Schritt, wie betrieblicher Datenschutz in der Praxis umgesetzt werden kann. Bereitgestellt wird das gesamte Know-how zum Thema, angefangen von Grundlagenwissen bis hin zu sofort anwendbaren Handlungsanleitungen und Umsetzungshilfen. Zusätzlich können aus der Beuth-Mediathek über 30 Mustervorlagen abgerufen werden. Die zweite Auflage wurde vollständig überarbeitet und berücksichtigt die EU-Datenschutz-Grundverordnung. Der Datenschutzbeauftragte erhält einen praxisorientierten Leitfaden für seine tägliche Arbeit. Die Autorin erläutert, welche Aufgaben der DSB in der Praxis hat, was er mindestens zu regeln hat, wie er beginnen sollte, welche Form die Regelungen haben sollten.

 

Autoren: DIN e.V. und Grit Reimann

ISBN-10: 9783410279815

03/2019

Auf das müssen Sie beim Kauf und bei der Entwicklung von IT und Software achten

 

Was heisst Privacy by Design und Privacy by Default?
Mehr und mehr verbreiten sich im Datenschutzrecht die Konzepte des Privacy by Design (auf Deutsch: Datenschutz durch Technik) und Privacy by Default (auf Deutsch: datenschutzkonforme Voreinstellungen). Die Europäische Datenschutz-Grundverordnung (DSGVO/GDPR) erwähnt sie, und auch im Entwurf zum neuen Schweizer Datenschutzgesetz (E-DSG) fehlen sie nicht.

Privacy by Design betrifft insbesondere die Architektur und Funktionalität von IT und Software. Auf den Punkt gebracht verpflichtet Privacy by Design datenbearbeitende Unternehmen bereits bei der Beschaffung von IT-Produkten zu proaktiven Massnahmen, um den Datenschutz zu gewährleisten.

Privacy by Default bezieht sich auf die Grundeinstellungen in IT-Produkten und IT-Dienstleistungen. IT-Produkte sind demnach standardmässig datenschutzfreundlich einzustellen. So sind zum Beispiel entsprechende Zugriffsregelungen zu treffen, oder es ist sicherzustellen, dass über das IT-Produkt nicht mehr Daten erhoben werden als notwendig. Dabei sollen insbesondere die Nutzer der Produkte, die ihre Voreinstellungen nicht ändern, nicht benachteiligt werden. Sie gelten in den Augen des Gesetzgebers als wenig geneigt, die datenschutzrechtlichen Einstellungen jeweils ihren Wünschen entsprechend anzupassen.

 

Beschaffung und Entwicklung von IT-Produkten
Diese Forderungen sind an und für sich nicht neu. Es ist allerdings zu erwarten, dass Privacy by Design und Privacy by Default aufgrund der strengeren neuen Vorgaben zum Datenschutz auch auf der Stufe Produktentwicklung vermehrte Beachtung finden werden. Mindestens bei gleichem Preis-/Leistungsverhältnis dürften Nutzer und Unternehmen ihre Produktwahl in Zukunft häufiger davon abhängig machen, ob die bearbeiteten Personendaten nutzerfreundlich und gleichzeitig datenschutzkonform gehandhabt werden können.

So wird sich zum Beispiel ein Unternehmen, das ein Web-Analyse-Tool einsetzt, um IP-Masking bemühen müssen (Verschleierung eines Teilbereichs oder der gesamten IP-Adresse mittels «Maske»).

Für Personalgewinnung könnte sich aufgrund von Privacy by Design eine Plattform aufdrängen, die Zugriffe auf Bewerberdossiers über einen Link einräumt, anstatt die Dossiers bloss mit automatisiertem E-Mail-Versand weiterzuleiten. Dezentral abgelegte E-Mails bergen erfahrungsgemäss ein viel höheres Risiko, dass die Kontrolle darüber verloren geht (Gefahr der Schattendossiers).

Privacy by Default verlangt zur Nutzung von Personendaten für Werbezwecke unter Umständen, dass die Einwilligung der betroffenen Person eingeholt wird: Das entsprechende Feld muss in der Voreinstellung dann leer bleiben und darf nicht schon vorangekreuzt sein.

 

Denken Sie auch an Ihr ERP und CRM
Privacy by Design und Privacy by Default sind auch bei Entwicklung und Einsatz von CRM- oder ERP-Lösungen zu berücksichtigen. Noch immer auf dem Markt erhältlich sind CRM- oder ERP-Lösungen, die eine Löschung von Personendaten nicht erlauben, ohne dass die dahinterliegende finanzielle Transaktion automatisch rückabgewickelt wird. Belege müssen zwar revisionssicher aufbewahrt werden. Dies rechtfertigt aber nach Datenschutzrecht nicht in jedem Fall, dass zusätzlich zu den auf dem Beleg erwähnten Personendaten beispielsweise Gewohnheiten und Kauf-History ebenso lang gespeichert bleiben.

Ganz besondere Beachtung finden die Prinzipien Privacy by Design und Privacy by Default schliesslich auch beim Umgang mit sensiblen Daten (z.B. Gesundheitsdaten). Wegen dem Risikopotential der beabsichtigten Datenbearbeitung für die Nutzer werden Käufer von IT-Produkten regelmässig zur Durchführung einer sog. Datenschutz-Folgenabschätzung verpflichtet sein und daher um eine Risikoanalyse zum Design des Produktes nicht herumkommen.

Privacy by Design und Privacy by Default haben deshalb Auswirkungen auf das gesamte datenbearbeitende System.

 

Entwickler sind gefordert
Für Anbieter von IT-Produkten (IT-Infrastruktur, Netzwerke, Cloud, Software, Apps) lohnt sich eine möglichst frühzeitige und gründliche Prüfung der datenschutzrechtlichen Anforderungen bereits deshalb, weil der Lock-in-Effekt bei IT-Lösungen für den Kunden beachtlich sein kann und aus dessen Sicht deshalb gewisse Weichenstellungen nicht verpasst werden sollten, die vermehrt zum allgemeinen Bewusstsein gehören und zukünftig aktiver eingefordert werden.

 

Wir empfehlen Ihnen als IT-Entwickler deshalb: prüfen Sie die aktuellen und künftigen möglichen datenschutzrechtlichen Anforderungen an Ihr Produkt und schaffen Sie so Vertrauen bei Ihrer Käuferschaft. Wenn Sie selber neue IT-Produkte auf dem Radar haben, empfehlen wir Ihnen, nur solche IT-Produkte in die engere Auswahl zu nehmen, bei denen Sie sich davon überzeugt haben, dass sie Ihren datenschutzrechtlichen Bedürfnissen genügen.

 

Haben Sie Fragen zu IT, Software oder Apps? Wenn Sie Produkte entwickeln oder gerade eine IT-Lösung evaluieren, können wir Ihnen weiterhelfen. Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.

 

Swiss Infosec AG; 28.02.2019
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch
www.infosec.ch/datenschutz

03/2019

Impulse für die Rehabilitation: Die Wiedererlangung von Alltagsfähigkeiten hat für Menschen nach schweren Erkrankungen oder Verletzungen einen hohen Stellenwert, denn selbstständiges Handeln in allen Lebensbereichen schafft Lebensqualität. Besteht Bedarf zur Rehabilitation, werden Maßnahmen eingeleitet, die sich u. a. auf den medizinischen, sozialen, beruflichen, pädagogischen und technischen Bereich beziehen. In den letzten Jahren wurden in all diesen Bereichen Fortschritte erzielt, um Betroffenen noch besser helfen zu können.

 

Autoren: Mario A. Pfannstiel, Patrick Da-Cruz, Harald Mehlich

ISBN-10: 3658239867

03/2019

US-Gericht: Finger weg von den Fingern! Können Behörden Menschen zwingen?

 

Behörden können Menschen nicht zwingen, ihre biometrisch gesicherten Telefone oder andere Geräte freizuschalten, entschied eine Bundesrichterin in Kalifornien am Donnerstag. "Die Regierung darf Finger, Daumen, Gesichtserkennung, Optik/Iris oder andere biometrische Merkmale nicht erzwingen oder anderweitig verwenden, um elektronische Geräte freizuschalten", schrieb Richterin Kandis A. Westmore in einer Stellungnahme für das U.S. District Court for Northern California. Ein Versuch der Strafverfolgungsbehörden in Oakland, Kalifornien, zwei mutmassliche Erpresser zu zwingen, ihre Mobiltelefone mit biometrischen Daten zu entsperren, verletzte den Schutz vor Selbstbelastung durch den Fünften Zusatz, fand Westmore

Bindend für den Supreme Court?

Obwohl Westmores Meinung nicht das Gewicht einer höheren Gerichtsentscheidung hat, könnte sie sehr einflussreich sein. "Beklagte und potenzielle Beklagte werden sich darauf berufen", sagte Kay, "und andere Gerichte werden sich auf ihre Argumente berufen." In den meisten Fällen hat die Frage der Passwörter und der Freischaltung elektronischer Geräte die unteren Bundesgerichte und Staatsgerichte umgetrieben - aber das könnte sich ändern.

"Wie die Richterin in diesem Fall anerkennt, gab es andere Entscheidungen über die obligatorische Offenlegung von Passwörtern, und diese Entscheidung steht im Einklang mit vielen früheren Urteilen", so EPIC. "Dieses Problem tritt jedoch jedes Jahr häufiger auf, da mobile Geräte mit biometrischen Schlössern weit verbreitet sind", so EPIC weiter. "Also würde ich erwarten, dass die Berufungsgerichte - und schliesslich der Oberste Gerichtshof der USA - in naher Zukunft darüber nachdenken werden."

Gesetzgeberische Trägheit

Der Grund, warum die Gerichte eine aggressive Haltung zum Datenschutz bei elektronischen Geräten einnehmen mussten, ist, dass der Gesetzgeber es versäumt hat, das Problem anzugehen. "Unser Rechtssystem hält nicht mit der Geschwindigkeit des technologischen Wandels Schritt", sagte French Caldwell, CFO des Analyst Syndicate, einer IT-Forschungs- und Analysegruppe mit Sitz in Washington, D.C. "Die Gerichte sagen: "Wir können nicht darauf warten, dass der Gesetzgeber dies alles regelt", also werden sie in die Lage gezwungen, neues Recht zu schaffen, weil es kein Gesetz dazu gibt", sagte er TechNewsWorld.

Die Ausgabe wird schliesslich vor dem Obersten Gerichtshof landen, sagte Caldwell, und "es wird lange dauern, bis es an den Obersten Gerichtshof kommt, was dem Gesetzgeber Zeit zum Handeln gibt". Abgesehen vom Schutz der Bürgerrechte könnte es eine Sicherheitslektion geben, die aus der Entscheidung von Westmore zu lernen ist.

"Biometrische Authentifizierung ist nur eine Ebene in der mehrstufigen Authentifizierung", sagt Drinker Biddle's Kay. "Die Technologie sollte mit einem Passcode verwendet werden. Er sollte verwendet werden, um sicherzustellen, dass die Person, die den Passcode eingibt, die Person ist, die den Passcode eingeben soll." 

 

Technewsworld.com; John P. Mello Jr.; 16.01.2019

https://www.technewsworld.com/story/85791.html

03/2019

DSGVO-relevant, sehr vermutlich auch für das kommende DSG

 

Die Kommunikation über WhatsApp ist nicht nur bei Privatpersonen sehr weit verbreitet. Auch die Nutzung durch Unternehmen zur internen Kommunikation sowie zur externen Kommunikation mit Kunden und Geschäftspartnern nimmt zu. Seit Anfang des Jahres 2018 wird in Deutschland auch die Version WhatsApp Business in den App-Stores angeboten.

Diese weist gegenüber der herkömmlichen App zusätzliche Funktionen auf, es sind allerdings keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App-Version bekannt. Vermehrt bieten zum Beispiel niedersächsische Apotheken einen Service an, bei dem Kunden rezeptpflichtige Arzneimittel über WhatsApp bestellen können. Die Apotheken bieten ihren Kunden die Möglichkeit, eine Fotografie eines Rezeptes über WhatsApp an eine Mobilfunknummer der Apotheke zu versenden. Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DSGVO) verstösst. WhatsApp ist ein Messenger, der von der WhatsApp Inc. mit Sitz in Kalifornien betrieben wird. Die Nutzer registrieren sich bei dem Dienst mit ihrer Mobilfunknummer. Anschliessend wird regelmässig das Adressbuch der Nutzer ausgelesen und es werden mindestens Namen und Mobilfunknummern an die Server von WhatsApp übermittelt. Dieser Adressbuchabgleich wird unter anderem dazu genutzt, den Nutzern anzuzeigen, welche ihrer Kontakte ebenfalls WhatsApp nutzen.

Der Abgleich wird in regelmässigen Abständen wiederholt, so das auch bei neu aufgenommenen Kontakten geprüft wird, ob sie bereits WhatsApp-Kunden sind. Dabei werden immer auch die Daten von Personen an WhatsApp übermittelt, die WhatsApp nicht nutzen. WhatsApp verlangt von seinen Nutzern, dass sie für die Rechtmässigkeit der Übermittlung an WhatsApp garantieren. Zugleich legt WhatsApp in seiner Datenschutzrichtlinie dar, dass sie Daten nutzen, um Unternehmen zu helfen, „die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu messen und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren“ und „Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern, unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.“ Ausweislich seiner Datenschutzrichtlinie behält sich WhatsApp eine umfassende Verwendung von ihnen vorliegenden Informationen vor, zum Beispiel für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen.

WhatsApp verfügt über eine Ende-zu-Ende-Verschlüsselung, sodass eine Kenntnisnahme der übermittelten Inhalte während des Übermittlungsvorgangs nur durch die Kommunikationspartner möglich ist. Es ist WhatsApp aber weiterhin möglich, zu erfassen, wer mit wem und wie oft (sogenannten Metadaten) kommuniziert.

Es ergeben sich im Wesentlichen vier datenschutzrechtliche Problemstellungen:

  1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.

  2. Die Übermittlung von personenbezogenen Daten in die USA.

  3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

  4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns. Die Rechtmässigkeit des Einsatzes von WhatsApp durch Unternehmen richtet sich nach der DSGVO. Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmässig unzulässig. Die Verantwortlichkeit für die Übermittlung von Adressbuchdaten an WhatsApp liegt bei dem jeweiligen Unternehmen, welches WhatsApp zur Kommunikation nutzt. Nach Art. 6 Abs. 1 DSGVO bedarf es für eine solche Übermittlung einer Rechtsgrundlage oder Einwilligung. Bezogen auf die Kontaktdaten von Personen, die bereits Nutzer des WhatsApp-Dienstes sind, kommt für nicht öffentliche Stellen Art. 6 Abs. 1 Buchstabe f DSGVO in Betracht.

Ein berechtigtes Interesse des Nutzers von WhatsApp für die Übermittlung der Kontaktdaten kann allenfalls in Bezug auf die bereits registrierten Nutzer des Messenger-Dienstes unterstellt werden. Selbst wenn man ein berechtigtes Interesse für die Übermittlung von Kontaktdaten an WhatsApp bejaht, wird eine Interessenabwägung zumindest dann nicht zugunsten einer Übermittlung ausgehen, wenn auch Kontaktdaten von solchen betroffenen Personen übermittelt werden, die nicht WhatsApp nutzen. So benutzen viele Betroffene gar keinen oder einen anderen Instant-Messenger-Dienst. Die Kontaktdaten dieser Personen können daher nur mit einer wirksamen Einwilligung gemäss Art. 6 Abs. 1 Buchstabe a in Verbindung mit Art. 7 und 8 DSGVO übermittelt werden. Diese wird regelmässig für die Übermittlung von Daten aus dem Adressbuch des Smartphones nicht vorliegen. Die Einholung einer Einwilligung von den betroffenen Personen ist zwar denkbar, wird aber regelmässig praktisch nicht durchführbar sein.

Verweigert nur eine Person, deren Daten im Adressbuch gespeichert sind, die Einwilligung, ist eine Übermittlung des Adressbuchs zudem nicht mehr auf der Grundlage von Einwilligungen möglich, es sei denn, der nicht einwilligende Kontakt wird zuvor aus dem Adressbuch gelöscht. Für die Funktionsfähigkeit sind diese Übermittlung an WhatsApp und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend. Dies belegen zahlreiche andere Messenger-Dienste mit alternativen Möglichkeiten der Kontaktaufnahme mit anderen Nutzern desselben Messenger-Dienstes, wie zum Beispiel über einen QR-Code. Sofern andere Messenger-Dienste das gleiche Abgleichverfahren wie WhatsApp vornehmen, löschen zumindest einige nach eigenen Angaben die nicht registrierten Kontakte unmittelbar nach dem Negativabgleich. Es ist aber erstens denkbar, dass ein Smartphone mit einem leeren Adressbuch verwendet wird. Zweitens ist es möglich, durch Einstellungen zum Beispiel in dem Android-Betriebssystem von Smartphones ab der Version 6.0 den Zugriff auf die Kontakte durch die WhatsApp-Anwendung auszuschliessen.

Insbesondere bei dieser Konfiguration des Smartphones ist allerdings die Funktionalität der Anwendung wie folgt eingeschränkt:

  • Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, aber vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.

  • Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.

  • Sobald WhatsApp zu einem späteren Zeitpunkt die Berechtigung zum Zugriff auf die Kontakte erteilt wird, werden wiederum die Telefonnummern aus den Kontakten an WhatsApp übertragen.

Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Die Übermittlung von personenbezogenen Daten in die USA ist bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Das Privacy Shield-Abkommen ist aktuell in Kraft und damit eine gültige Rechtsgrundlage. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich zertifiziert hat, d.h. vereinfacht gesagt auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, und auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäss Art. 45 Abs. 3 DSGVO übermittelt werden. Daher bestehen gegen die Übermittlung von personenbezogenen Daten in die USA bei der Nutzung derzeit keine Bedenken.

Die LfD Niedersachsen weist dennoch darauf hin, dass gegen die Rechtmässigkeit des Privacy Shields erhebliche Bedenken bestehen. Es besteht daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird. Dies ist bereits beim Vorgänger, dem sogenannten Safe-Harbor-Abkommen, passiert. Der Einsatz von WhatsApp stellt in jedem Fall einen Verstoss gegen Art. 25 Abs. 1 DSGVO dar. Danach muss der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel der Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete und angemessene technische und organisatorische Massnahmen ergreifen, um die Datenschutzgrundsätze wirksam umzusetzen.

Das bedeutet, schon bei der Auswahl der Verarbeitungsmittel muss die Wahl dahingehend getroffen werden, dass unter Verwendung des Verarbeitungsmittels die Datenschutz-Grundverordnung eingehalten werden kann. Die Auswahl von WhatsApp stellt einen Verstoss gegen diese Pflicht dar. Zum einen widerspricht die regelmässige Übermittlung von Daten aus dem Kontaktbuch dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 Buchstabe c DSGVO. WhatsApp stellt keine Möglichkeit bereit, diese Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren.

Zum anderen wird mit WhatsApp ein Diensteanbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen ist. WhatsApp legt selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden. WhatsApp und Facebook haben die Geltung der DSGVO und die damit veränderte aufsichtsbehördliche Struktur zum Anlass genommen, die Nutzungsbedingungen für den WhatsApp-Dienst zu ändern und die Übermittlung von Daten von WhatsApp an Facebook (erneut) aufzunehmen. In der Vergangenheit konnte diese Weitergabe von Daten von WhatsApp an Facebook durch eine für sofort vollziehbar erklärte Anordnung des HambBfDI, die durch Entscheidungen deutscher Gerichte bestätigt wurde, zum Schutz nationaler Nutzer unterbunden werden.

Gleichzeitig hatten auch die Europäischen Aufsichtsbehörden mit ihrer klaren Kritik dazu beigetragen, dass diese Pläne gestoppt wurden. WhatsApp und Facebook erkennen diese Untersagungsverfügung nicht mehr an, da seit der Geltung der DSGVO die irische Aufsichtsbehörde federführend für Anordnungen gegenüber diesen Unternehmen zuständig ist. Bislang ist die irische Aufsichtsbehörde trotz der Aufforderung durch den Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit (HambBfDI) nicht tätig geworden. Es ist daher davon auszugehen, dass der Datenaustausch wie in den Nutzungsbedingungen beschrieben erfolgt.

Im oben beschriebenen Beispiel des Einsatzes von WhatsApp durch Apotheken ist darüber hinaus zu berücksichtigen, dass bei der Übersendung der Fotografie des Rezepts Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten gemäss Art. 9 Abs. 1 DSGVO übermittelt werden. Zwar erfolgt die Übermittlung dieser Daten durch den Betroffenen selbst, so dass insofern keine Rechtsgrundlage gemäss Art. 9 Abs. 2 DSGVO erforderlich ist. Allerdings ist die besondere Schutzbedürftigkeit der Gesundheitsdaten Art. 25 Abs. 1 DSGVO zu berücksichtigen. An die technischen und organisatorischen Massnahmen des in dieses Verfahren eingebundenen Instant-Messenger-Services sind entsprechend höhere Anforderungen zu stellen.

 

Lfd.niedersachsen.de; bow; 11.2018, 21.02.2019

https://www.lfd.niedersachsen.de/startseite/themen/wirtschaft/nutzung_von_whatsapp_im_unternehmen/merkblatt-fuer-die-nutzung-von-whatsapp-in-unternehmen-166297.html

03/2019

Kommt er und wenn ja, wann? Der Brexit und das DSG.

 

Welche Folgen hat der Brexit für den grenzüberschreitenden Datenverkehr? Nach dem Referendum im Vereinigten Königreich über den EU-Ausgang (Brexit) im Juni 2016 teilte die britische Regierung ihre Entscheidung zum Austritt aus der EU mit. Das Verfahren für den Austritt des Vereinigten Königreichs aus der Europäischen Union soll am 29. März 2019 abgeschlossen sein. Bis zu diesem Zeitpunkt bleibt das Vereinigte Königreich ein Mitgliedstaat der Europäischen Union. Übermittlung personenbezogener Daten ins Vereinigte Königreich oder nach Gibraltar Um Daten ins Ausland zu übermitteln, müssen die in Artikel 6 DSG genannten Bedingungen erfüllt sein.

Dieser Artikel sieht vor, dass Daten nur dann ins Ausland übermittelt werden dürfen, wenn das Bestimmungsland über Rechtsvorschriften verfügt, die ein angemessenes Datenschutzniveau vorsehen (Art. 6 Abs. 1 DSG) oder, in Ermangelung solcher Vorschriften, wenn das Schutzniveau durch andere Vorschriften oder Garantien gewährleistet wird (Art. 6 Abs. 2 lit. a und g DSG). Nach Artikel 31 Abs. 1 lit. d DSG kann der EDÖB grundsätzlich bestimmen, ob das Schutzniveau in einem Staat angemessen ist, so dass die gesamte Datenübermittlung an diesen Staat zulässig ist. Dies setzt insbesondere voraus, dass der Empfänger der Daten einem Gesetz untersteht, das ein mit dem schweizerischen Recht vergleichbares Datenschutzniveau bietet (Gewährleistung der Rechte der betroffenen Personen, Einhaltung der wichtigsten Datenschutzgrundsätze, unabhängige Aufsichtsbehörde).

Der EDÖB hat auf seiner Website eine Liste der Staaten publiziert, die diese Anforderungen erfüllen (Art. 7 VDSG). Die Liste wird laufend aktualisiert. Das Vereinigte Königreich und Gibraltar gehören derzeit zu den Ländern mit einem angemessenen Niveau, und der EDÖB hat derzeit keine Hinweise, die auf eine Änderung des Status’ auf dieser Liste deuten. Im Hinblick auf die rechtlichen Folgen des Brexit für den Schutz personenbezogener Daten nach dem 29. März 2019 hat die britische Behörde für den Schutz personenbezogener Daten (ICO) auf ihrer Website auch darauf hingewiesen, dass im Vereinigten Königreich ein hohes Mass an Schutz personenbezogener Daten gewährleistet sein wird. Sollte der EDÖB jedoch eine Änderung des Status’ des Vereinigten Königreichs oder Gibraltars auf seiner Staatenliste in Betracht ziehen, würde er die Unternehmen zu gegebener Zeit informieren, damit sie sich insbesondere durch die Verwendung von Standardverträgen vorbereiten können.

 

Edöb.admin.ch; 22.01.2019
https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins-ausland.html

 

02/2019

Die DSGVO in der Personalarbeit: Am 25. Mai 2018 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie gilt in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten.

 

Autor: Axel von Walter

ISBN-10: 9783648111383

02/2019

Straf-, Datenschutz- und Zivilrecht: Das essential fasst den aktuellen Stand der rechtlichen Herausforderungen der Blockchain-Technologie anhand von Beispielen kurz und prägnant zusammen. Als branchen-revolutionierende Technologie stellt die Blockchain das Recht vor besondere Herausforderungen. Die Pseudonymität der Blockchain-Teilnehmer und die Unveränderbarkeit von in der Blockchain gespeicherten Daten scheinen im Konflikt mit wesentlichen Grundgedanken des Datenschutzrechts zu stehen. Auch die Frage nach der national anzuwendenden Rechtsordnung, der gerichtlichen Zuständigkeit und der Beweiskraft von Blockchain-Transaktionen werfen spannende Fragen auf. Die Autoren erörtern Aspekte des Straf- und Zivilrechts und zeigen Lösungsansätze auf.

 

Autoren: Cathrin Hein, Wanja Wellbrock, Christoph Hein

ISBN-10: 3658249307

02/2019

Denken Sie an die Planung für einen Naturkatastrophen-Notfall, der Ihr Zuhause betreffen könnte. Sie würden wahrscheinlich etwas Wasser, Taschenlampen, Lebensmittel, Decken und andere wichtige Dinge einlagern. Das Schlüsselelement Ihrer Planung wäre Proaktivität. Sie würden die ganze Arbeit machen, bevor ein Notfall eintritt, nicht während der eigentlichen Krise. Wenn Ihre Vorräte nach dem Notfall aufgebraucht wären, dann würden Sie schnell vor dem nächsten Hochwasser, Feuer, Erdrutsch, Hurrikan oder Blitzschlag wieder Ersatz schaffen.

 

Der Schutz von Daten erfordert einen ähnlichen Ansatz: Es werden so viele Sicherheitsvorkehrungen wie möglich getroffen, bevor etwas Schlimmes passiert. Naturkatastrophen oder vom Menschen verursachte Katastrophen stellen ein erhebliches Risiko für Daten dar, insbesondere wenn sie Unternehmen treffen, die schlecht vorbereitet sind. Wenn ein Unternehmen datenzentriert ist (die meisten Unternehmen des 21. Jahrhunderts), dann zerstört der vollständige Datenverlust oft das gesamte Unternehmen.

 

Ob es sich nun um eine geplatzte Leitung handelt, die den Serverraum überflutet, oder um ein Feuer, das ein ganzes Bürogebäude zerstört, Unternehmen müssen ihre Informationen schützen. Glücklicherweise können Unternehmen durch proaktive Massnahmen und den Einsatz der richtigen Technologietools die Risiken von Notfällen erheblich reduzieren. Nachfolgend finden Sie sechs Tipps für die proaktive Datenverwaltung gegen Katastrophen.

 

1. Entwicklung eines formalen Plans

Viele Unternehmen erstellen Katastrophenschutz- und Wiederherstellungspläne, die Evakuierungswege, Kommunikationsverfahren und andere Details detailliert beschreiben. Diese sind von entscheidender Bedeutung, da die Sicherheit der Menschen von grösster Bedeutung ist. Ein weiterer Teil solcher Pläne sollte sein, wie Daten in Notfällen verwaltet und geschützt werden. Die Erstellung eines schriftlichen Plans zwingt Sie, eventuelle Schwachstellen in Ihrer Datenverwaltung zu berücksichtigen und macht jeden verantwortlich. Vielleicht betreiben Sie einen Serverraum in einem Büro, das überflutungsgefährdet ist, oder Sie ignorieren starke Passwortverfahren. Ein schriftlicher Plan bringt solche Fehler ans Licht.

 

Der Plan muss die Art und Schwere eines Notfalls berücksichtigen. Wenn zum Beispiel ein Hurrikan zwei Tage entfernt ist, welche Schritte sollte das Unternehmen dann unternehmen, um sich vorzubereiten? Möglicherweise sollten sensible Daten von den Servern gelöscht und ausserhalb des Unternehmens verschoben werden? Berücksichtigt der Plan angesichts der geografischen Lage die wahrscheinlichsten Arten von Katastrophen?

 

Weisen Sie jedem Mitglied des Teams im Rahmen des Plans spezifische Aufgaben zu. Jeder Mitarbeitende sollte verstehen, dass Daten ein Vermögenswert sind und dass sie vor einem Notfall proaktiv verwaltet werden müssen. Natürlich sollten Sie einen Dateninventar als Teil eines umfassenderen Katastrophenschutzplans erstellen, der zunächst die persönliche Sicherheit gewährleistet. Verlegen Sie Personen niemals an einem Ort, an dem Sie versuchen, Daten zu speichern, wenn Sie stattdessen das Gebäude verlassen oder eine andere Massnahme ergreifen sollten. Verstärken Sie einfach den Bedarf an proaktiver Planung.

 

2. Sammeln und Organisieren der Daten

Betrachten Sie Ihre Daten als einen materiellen Vermögenswert, ähnlich wie das eigentliche Bürogebäude, Maschinen, Computer und all die anderen "Dinge" im Büro. Mit dieser Denkweise können Sie alle Datenquellen effektiv erkennen und dann daran arbeiten, sie an einem zentralen Ort zu organisieren.

 

Vielleicht hat Ihr Remote-Vertriebsteam einige Video- und Fotodateien von einer Konferenz, die auf einer Digitalkamera gespeichert sind. Dieser von Ihnen beauftragte Grafikdesigner-Berater könnte Ihre neuen Logodateien auf einem persönlichen Laptop statt auf Ihren Servern speichern. Sie können nur das schützen, was Sie finden können. Führen Sie daher eine Sammel- und Organisationsphase durch, um Ihre Daten sicher zu halten.

 

Führen Sie eine Bilanzierung Ihrer Dateien durch und organisieren Sie diese sinnvoll, wahrscheinlich bei Cloud Services. Das Unternehmen behebt Datenüberbleibsel, die während oder nach einem Notfall betroffen oder übersehen werden können.

 

Denken Sie daran, dass Sie nicht alles behalten müssen, es sei denn, es gibt einen gesetzlichen oder Compliance-Grund, um die Informationen zu speichern. Das Löschen einiger nicht benötigter Daten kann Ihren Informationsfussabdruck verringern und Sie weniger anfällig für Probleme machen. Die Erfassung der Daten kann auch die Fähigkeit Ihres Unternehmens verbessern, Analysen durchzuführen, und vielleicht zwei bisher unabhängige Datensätze für neue Beobachtungen in Beziehung setzen.

 

3. Bereiten Sie sich darauf vor, Ihr Netzwerk neu zu erstellen.

Wenn Sie noch ein Netzwerk vor Ort betreiben, dann müssen Sie dessen Architektur genau verstehen. Erstellen Sie Netzwerkpläne mit Bezeichnungen für alle Komponenten, damit Sie das Netzwerk bei Bedarf an einem anderen Ort wiederherstellen können. Verwenden Sie eine einfache und klare Namenskonvention und teilen Sie die Netzwerkübersicht dann per E-Mail mit der Gruppe und speichern Sie die Karte in der Cloud.

 

Wenn Sie in einer Hochwasserzone arbeiten und sich Ihre Netzwerkausrüstung im Untergeschoss oder im Erdgeschoss befindet, arbeiten Sie mit dem Gebäudemanager zusammen, um einen temporären Standort für die Ausrüstung zu finden, um Ihre Daten zu schützen. Ein Teil des Plans sollte benannte Teammitglieder beinhalten, die die Ausrüstung bewegen, Details darüber, wer die letzten Umzugs- oder Verweilentscheidungen trifft, und eine Prioritätenliste, damit das Personal die wertvollste Ausrüstung und Daten zuerst bewegt. Die Erstellung einer Netzwerkkarte und eines Inventars kann auch für Versicherungszwecke nützlich sein.

 

4. Testen Sie Ihren Plan auf Schwachstellen.

Sie können keinen tatsächlichen Hurrikan oder Blitzschlag simulieren, aber Sie können Ihren Plan unter simulierten Bedingungen testen. Die Durchführung eines Tests ist ein Weg, um zu sehen, ob die Mitarbeitenden wissen, wie man die richtigen Verfahren befolgt und ob Ihre Backups leicht zugänglich sind.

 

Hat Ihr Team während des Tests schnell Zugriff auf Cloud-Backups erhalten? Hat jeder seine spezifische Rolle verstanden? Tests sollten diese Art von Fragen beantworten. Alle Abweichungen vom Plan rechtfertigen eine Neuschulung und Überprüfung des Plans, falls sich die Bedingungen oder bewährten Verfahren geändert haben.

 

Möglicherweise zeigt der Test Mängel in den Sicherheits- und Passwortverfahren des Teams oder zeigt die Notwendigkeit einer erweiterten Cloud-Speicherung, die alle Daten des Unternehmens umfasst. Sprechen Sie nach dem Test mit Ihrem gesamten Team, um zu sehen, ob Teile des Plans verwirrend oder widersprüchlich sind. Der Plan könnte eine Neufassung mit klarerer Sprache erfordern, um Fehlkommunikation zu vermeiden. Identifizieren Sie die technische Eignung aller, die den Plan lesen und befolgen, und passen Sie die Sprache und die Verfahren entsprechend an.

 

Das Testen eines Plans ist auch eine gute Gelegenheit, um zu sehen, ob Ihr Unternehmen Vorschriften wie Brandschutzrichtlinien oder verschiedene Datenverwaltungsregeln einhält. Während der Testphase können Sie Lücken in Ihren Verfahren aufdecken, die Sie vor Ihrem nächsten Audit beheben können.

 

5. Sichern Sie Ihre Hardware

Obwohl es eine bewährte Vorgehensweise ist, die meisten Ihrer Daten in die Cloud zu übertragen, verwenden Unternehmen immer noch Geräte zur Inhaltserstellung und Datenspeicherung. Der Schutz dieser Geräte kann Ihre Daten retten und Ihre Investitionskosten senken. Zum Hochwasserschutz sollte die Elektronik vom Boden gehoben und alle Kabel abgezogen werden. Wenn es die Zeit erlaubt, können Sie die Geräte in wasserdichten Behältern aufbewahren. Führen Sie eine Diagnose an Ihren Stromversorgungen durch, um zu überprüfen, ob eine Überhitzung vorliegen könnte, die zu Bränden führen kann.

 

Um Brände zu vermeiden, können Sie die Elektronik staubfrei halten, abgenutzte Kabel überprüfen und die Temperatur und Luftfeuchtigkeit überwachen. Wenn Sie einen lokalen Serverraum betreiben, benötigen Sie ein Feuerlösch- und Detektionssystem mit "Clean Agent"-Technologie, das mit speziellen Chemikalien Brände stoppt, ohne schädliches Wasser zu verwenden. Serverraumbrände beginnen oft wegen Überhitzung, also stellen Sie sicher, dass das Kühlsystem Ihres Raumes optimal funktioniert.

 

Thunderstorms bring the risk of power surges that can wipe out hard drives and fry electronics. Use approved surge protector devices that are rated properly for your specific hardware. Unplugging devices is a low-tech way to remove them from power-related risks, especially when they're also stored in waterproof containers.

 

6. Nutzen Sie die Vorteile der Cloud

Das moderne Unternehmen benötigt eine sofortige Verbindung zu Daten. Die Cloud stellt diese Verbindung zur Verfügung und ist ideal für das Datenmanagement im Notfall geeignet. Wählen Sie einen grossen Cloud-Anbieter wie Google oder AWS und sichern Sie alle Ihre Daten mit automatisierten Tools, damit Sie keine Informationen verlieren. Erwägen Sie, mehr als einen Cloud-Provider für zusätzlichen Schutz zu verwenden, insbesondere für die sensibelsten oder wichtigsten Informationen.

 

Ihr Datenmanagementplan sollte ebenfalls ein Cloud-basiertes Dokument sein, damit er nach einem Notfall von Mitarbeitenden, die möglicherweise tage- oder wochenlang aus der Ferne arbeiten müssen, leicht zugänglich ist.

 

Der Zugriff auf die Cloud ist nur in einem Notfall sinnvoll, wenn Sie kontinuierlich Daten auf Cloud-Speicher verschieben. Setzen Sie eine Automatisierung ein, um Dateien nach einem Zeitplan in die Cloud zu verschieben. Erwägen Sie auch, Mitarbeitende von traditionellen Offline-Softwareplattformen zu entfernen und online erstellte Formate zu verwenden, um die Risiken datenvernichtender Vorfälle zu beseitigen.

 

Die Cloud entzieht Ihre Daten effektiv von lokalisierten Ereignissen wie Hurrikanen oder Erdbeben. Darüber hinaus ermöglicht es Ihren Mitarbeitenden, nach einem Katastrophenfall über einen längeren Zeitraum aus der Ferne zu arbeiten, damit Ihr Unternehmen lebensfähig bleibt und überlebt. Der Plan sollte detailliert beschreiben, was von den Mitarbeitenden erwartet wird, wenn es darum geht, sich wieder mit dem Netzwerk und ihren Arbeitsabläufen zu verbinden - vorausgesetzt natürlich, dass die Katastrophe nicht direkt ihre Häuser und Familien betroffen hat.

 

Seien Sie proaktiv

Unfälle und Notfälle passieren. Ein Feuer kann in den Büros eines anderen Unternehmens ausbrechen, weil jemand zu viele Weihnachtslichter angeschlossen hat. Oder die Stadt hat die Wasserinfrastruktur vernachlässigt, was dazu führte, dass eine Leitung platzt und das gesamte Gebäude überflutet wird.

 

Solche Notfälle kommen ohne Vorwarnung, sind aber mit einer vorausschauenden Planung dennoch beherrschbar. Für IT-Manager und Anlagenbetreiber ist es entscheidend, Katastrophen proaktiv zu planen. Erwarten Sie die schlechtesten Ergebnisse, bauen Sie Redundanzen und Sicherheitsvorkehrungen ein, und dann werden Sie und Ihre Daten wahrscheinlich unbeschadet davonkommen.

 

Technewsworld.com; David Zimmerman; 12.01.2019

https://www.technewsworld.com/story/6-Ways-to-Safeguard-Data-Before-an-Emergency-Strikes-85784.html

02/2019

Während Unternehmen Jahre Zeit hatten, sich auf die DSGVO vorzubereiten, arbeiten die meisten von ihnen auch nach Inkrafttreten der Verordnung am 25. Mai 2018 noch an der Einhaltung der Vorschriften. Laut einer Umfrage von Trust Arc haben über ein Viertel der Unternehmen (27%) noch nicht einmal damit begonnen, DSGVO-konform zu werden. Nur 20% der Unternehmen halten sich für voll einsatzbereit, während sich der Rest in unterschiedlichen Phasen der DSGVO-Einführung befindet.

 

Diese Zahlen mögen bei weitem nicht perfekt sein, aber sie sind eine enorme Verbesserung gegenüber den Umfrageergebnissen des letzten Jahres. Im Jahr 2017 arbeiteten nur 38% der Unternehmen in den USA an der DSGVO-Konformität (37% in Grossbritannien). Noch wichtiger ist, dass fast drei Viertel der Befragten hofften, bis Ende 2018 konform zu sein. In einem weiteren Jahr erwarten 93%, dass die Anforderungen der DSGVO vollständig erfüllt werden.

 

Seltsamerweise setzen die meisten Unternehmen DSGVO ein, um Kundenvertrauen zu gewinnen und ihre Erwartungen zu erfüllen. Unternehmenswerte und Partneranforderungen gehören zu den drei wichtigsten Gründen für die Umsetzung neuer Datenschutzrichtlinien. Die von der DSGVO vorgeschriebenen astronomischen Geldbussen werden auf der Liste der Übernahmegründe auf Platz vier geführt.

 

Ein Anstieg der E-Mails, in denen die Änderungen der Datenschutzrichtlinien aller Beteiligten beschrieben werden, war nicht die einzige Folge der Einführung von DSGVO. Einige Ergebnisse waren unerwartet und haben Unternehmen überrascht:

  • Regierungen auf der ganzen Welt ergreifen die I Initiative und verabschieden nationale Datenschutzgesetze. China, Brasilien und Kalifornien (USA) gehörten zu den ersten, die Veränderungen in einer Welt nach der DSGVO vorantrieben.

  • Viele in den USA ansässige Websites schränkten den Zugang für EU-Bürger ein, um Probleme mit der DSGVO-Konformität zu vermeiden. Dieser Ansatz ist jedoch auf lange Sicht nicht nachhaltig, so dass die meisten Unternehmen ihn übernehmen, während sie sich beeilen, die neuen Anforderungen zu erfüllen.

  • E-Mail-Marketing erlitt einen kritischen Schlag, als die Nutzer eine massive Abmeldekampagne starteten, um die unerwünschten Newsletter loszuwerden. Einige Unternehmen berichteten über den Verlust von 80% ihrer Mailinglisten.

  • Die Unternehmen wurden mit Benutzeranfragen, , die vergessen werden wollten, überflutet. Laut der Umfrage von The7Stars plant ein Drittel der britischen Bürger, das von der DSGVO vorgegebene Recht auszuüben, während 78% der britischen Unternehmen unangemessene Compliance-Kosten ertragen müssen.

  • Die Möglichkeit, sich von Dienstleistungen Dritter wie Analyse- und Werbetools abzumelden, verkürzte die Ladezeit von Websites drastisch und verbesserte die Benutzerfreundlichkeit für die EU-Bürger.

  • Der Datenwert aus erster Hand ist im Vergleich zu Drittinformationen gestiegen. Die Nutzer erwarten personalisierte Erfahrungen und Angebote im Austausch für detaillierte persönliche Informationen, die sie den Unternehmen ihrer Wahl zur Verfügung stellen.

  • Die britische Royal Mail verlor 6% des Versandvolumens und 7% des Umsatzes, da die Unternehmen die Anzahl der unaufgeforderten adressierten Briefe reduzierten, um Geldbussen der DSGVO zu vermeiden.

Abgesehen von ihrem User-freundlichen Ton ist die DSGVO wegen ihrer astronomischen Geldbussen berüchtigt. Sie können bis zu 4% des Umsatzes des Unternehmens oder 20 Millionen Euro erreichen. Obwohl bereits einige Klagen wegen DSGVO-Anforderungen eingereicht wurden, gibt es immer noch keinen Präzedenzfall für Unternehmen, die abschliessen wegen Nichteinhaltung der DSGVO bestraft werden. 

 

Kein Wunder, dass die Internet-Giganten wie Google und Facebook als erste in die Kritik gerieten. Max Schrems, ein Datenschutzaktivist aus Österreich, hat mehrere Klagen gegen Facebook, Google, Instagram und WhatsApp eingereicht. Die kombinierten Geldbussen können bis zu 8,8 Milliarden Dollar erreichen. Der Aktivist behauptet, dass die Unternehmen die Nutzer dazu zwingen, personenbezogene Daten an eine Opt-in-Box weiterzugeben, die nicht die nach der DSGVO erforderliche detaillierte Zustimmung bietet. Sowohl Google als auch Facebook bestritten die Vorwürfe und verteidigten ihre Produkte, indem sie einen Privacy-by-Design-Ansatz und mehrere Änderungen an den Anforderungen der neuen Verordnung geltend machten.

 

In der Zwischenzeit könnter Ticketmaster das erste Opfer der Geldbussen der DSGVO werden. Das Unternehmen hat einen kontinuierlichen Verstoss, der von September 2017 bis Juni 2018 die personenbezogenen Daten von über 40.000 internationalen Nutzern preisgeben hat, nicht gemeldet. Ticketmaster sollte personenbezogene Daten besser geschützt haben und den Verstoss innerhalb von 72 Stunden nach Bekanntwerden melden. Jetzt warten Unternehmen weltweit auf das Urteil, da es einen Präzedenzfall für die Einführung und Umsetzung der DSGVO schaffen wird.

 

Die Welt endete am 25. Mai 2018 nicht, aber viele Unternehmen nutzten die Zeit vor Inkrafttreten der DSGVO nicht, um vollständig konform zu werden. Trotz unerwarteter negativer Auswirkungen stellen sich die meisten Unternehmen den neuen Anforderungen, um das Vertrauen und die Loyalität der Kunden zu gewinnen. Wie geht Ihr Unternehmen mit der Post-DSGVO-Landschaft um?

 

Freshcodeit.com; Marina Danilova; 21.12.2018

https://freshcodeit.com/freshcode-post/post-gdpr-world-consequences-and-lawsuits

02/2019

Die Aufregung war gross. Die Bild-Zeitung sprach von einem Hacker-Angriff auf Deutschland und rief in giftgrünem Layout einen „Cyber-Alarm“ aus. Doch am Ende war es nur ein 20-jähriger Mann, der mit viel Eifer und Geschick, aber wenig technisch elaboriert viele Daten von Politikern und Prominenten sammelte – und öffentlichkeitswirksam im Internet publizierte. Der anfangs von vielen Medien als grosser Hack eingeordnete Datendiebstahl fiel mehr und mehr in sich zusammen.

 

Der Angreifer ist eher ein so genanntes Scriptkiddie als ein echter Hacker. Am Ende blieb das, was die Fachwelt Doxing nennt: das Zusammentragen und Veröffentlichen personenbezogener Daten. Doxing ist im besten Fall jugendliche Angeberei, im schlechtesten Fall eine strategische Einschüchterung von politischen Gegnern. Die jetzige Attacke liegt vermutlich irgendwo dazwischen, hatte der junge Mann aus Nordhessen dem Angriff doch einen erkennbar rechten Drall verpasst und sich zuvor in einschlägigen Foren rechtsextrem geäussert. Auffällig war auch, dass er die rechtsradikale AfD bei seinen Veröffentlichungen aussparte, während Prominente wie Jan Böhmermann, die sich gegen rechte Umtriebe engagieren, besonders in den Fokus gerieten. Das Bundeskriminalamt will dennoch keinen politisch motivierten Hintergrund der Tat sehen.

 

Die grosse persönliche Betroffenheit von Politikern führte schnell zu einer breiten und überfälligen Debatte um Datensicherheit – und direkt zu Vorschlägen, wie solche Angriffe in Zukunft verhindert und auch die Bürgerinnen und Bürger besser geschützt werden könnten. Diese Diskussion ist erst einmal gut, auch wenn der Auslöser den Betroffenen schadet. Denn der Vorfall zeigt schmerzhaft, wie schlecht die Daten vieler Menschen vor unbefugtem Zugriff geschützt sind.

 

Breite Debatte um Datensicherheit

So machte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) keine gute Figur. Es wurde schon im Dezember 2018 auf einzelne Fälle aufmerksam gemacht, brachte diese aber bis zur Veröffentlichung der gesamten Daten am 3. Januar offenbar nicht im Zusammenhang. Bundesinnenminister Seehofer (CSU) versprach der Behörde 350 neue Stellen. Das ist ein richtiger Schritt, doch wichtiger wäre es, das BSI als unabhängige Behörde aufzubauen. Derzeit ist es dem Innenministerium unterstellt.

 

Nur ein unabhängiges BSI könnte auch zum Schutz des Bundestagsnetzwerks und der Abgeordneten eingesetzt werden. Bisher kann das BSI hier nur beratend und unterstützend tätig werden, die Regierungsnetze schützt es jedoch operativ. Solange das BSI dem Innenministerium unterstellt ist, ist eine solche Konstellation für den Bundestag schwer verstellbar: Die Exekutive hätte sonst Einblick in die Netze, Daten und Kommunikation der Legislative.

 

Bundesinnenminister Seehofer (CSU) sprach als Reaktion auf den Doxing-Fall vom Aufbau eines „Cyber-Abwehrzentrum Plus“, konkretisierte die Pläne aber nicht. Ausserdem kündigte sein Ministerium ein neues IT-Sicherheitsgesetz an, das eine bessere Früherkennung der Veröffentlichung gestohlener Daten ermöglichen solle. Aussagen des Innenstaatssekretärs Stephan Mayer (CSU) in der ZDF-Sendung „Maybritt Illner“ am Donnerstagabend deuten darauf hin, dass es sich dabei um eine Echtzeit-Überwachung der gesamten Kommunikation in sozialen Netzwerken handeln könnte. Eine solche Überwachung würde jedoch einen schwerwiegenden Eingriff in Grundrechte darstellen.

 

Neue Grundrechtseingriffe durch Frühwarnsystem?

Im Gespräch sind auch gesetzliche Regelungen, die eine schnellere Reaktionszeit von sozialen Netzwerken wie Twitter verlangen. Der jugendliche Angreifer hatte mehrere Accounts auf dem Kurznachrichtendienst zur Verbreitung seiner Veröffentlichungen genutzt. Der Dienst sperrte erst einige Stunden nach Hinweisen die Accounts, allerdings hatten da schon viele Nutzer die Daten gesehen und weiterverbreitet. Eine geringere Reaktionszeit könnte zwar die Verbreitung solcher Veröffentlichungen eindämmen, bringt aber auch Probleme mit sich. Die von staatlichen Stellen angefragten Unternehmen hätten nur sehr wenig Zeit, den Fall selbst zu überprüfen und (juristisch) einzuschätzen. Es bestünde die Gefahr, dass zu viel gesperrt und gelöscht würde, wenn staatliche Stellen auf Zuruf und ohne Gerichtsbeschluss die Löschung von Inhalten und Accounts – unter Androhung von Strafgeldern – erwirken können. Hier wäre ein Eingriff in das Grundrecht auf Meinungsfreiheit die Folge.

 

Den wohl unsinnigsten Vorschlag in der Debatte machte der Union-Fraktionsvize Thorsten Frei. Er forderte, man solle die rechtlichen Rahmenbedingungen für einen „Hackback“ schaffen. Darunter versteht man eine Art digitalen Gegenschlag nach dem Motto „Angriff ist die beste Verteidigung“. Diese Art von Gegenangriffen sind mit mannigfaltigen rechtlichen Problemen verbunden und nicht immer technisch sinnvoll. Sie sind es definitiv nicht in einem Fall, wo Nutzerinnen und Nutzer schlechte Passwörter benutzen, deswegen ein Angreifer an persönliche Daten gelangt und diese dann im Netz breitflächig veröffentlicht. Der staatliche digitale Gegenschlag müsste in diesem Fall die Server von Twitter, aber auch die von zahlreichen Internet-Hostern, auf denen die personenbezogenen Daten lagern, attackieren, diese lahmlegen und vielleicht sogar die Daten auf diesen Servern löschen, um die Verbreitung abzustellen. Das ist mit keinem Recht der Welt vereinbar.

 

Defensive Strategie und Aufbau von Digitalkompetenz nötig

Überhaupt schwächt staatliches Hacking die IT-Sicherheit für alle Bürger. Dies zeigt der Einsatz von Staatstrojanern. Diese Massnahme wurde in den letzten Jahren auf Bundesebene und in vielen Bundesländern eingeführt. Für den Einsatz von Staatstrojanern benötigt man Sicherheitslücken in Computerprogrammen. Wird der Staat zum Hacker, der seine Staatstrojaner nutzen will, hat er plötzlich ein Interesse, dass diese Sicherheitslücken offen bleiben. Dafür muss er sie selbst finden oder auf dem Schwarzmarkt einkaufen. Staatstrojaner und Online-Durchsuchungen sind also nicht nur aus bürgerrechtlicher Sicht eine Bedrohung, sondern auch für die Datensicherheit aller.

 

Weit sinnvoller als staatliches Hacking ist eine breit angelegte Kampagne zur Verbesserung der Datensicherheit. Neben einer personellen Stärkung der Datenschutzbehörden könnte digitale Kompetenz unterschiedlichster Zielgruppen gefördert werden, damit diese lernen, wie sie sich besser schützen. Dabei ist Datensicherheit nur ein kleiner Teil der zu vermittelnden Digitalkompetenz.

 

Frank Rieger vom Chaos Computer Club schlug im ZDF eine defensive Cyberstrategie mit über lange Zeit fortgesetzten Investitionen in sichere Informationstechnik vor: „Der beste Ansatz dazu ist die staatliche Finanzierung einer breiten Landschaft von Open-Source-Komponenten, die in sicheren Programmiersprachen nach modernen Kriterien geschrieben, regelmässig auditiert und die auch kommerziell verwendet werden können.“ Zu diesen Werkzeugen gehören auch Passwortmanager und eine einfach zu bedienende E-Mail-Verschlüsselung, die dahingehend entwickelt werden müssen, dass sie überall funktionieren und leicht zu bedienen sind. Denn ein grosser Teil der Schlacht um Datensicherheit kann nur auf den Computern und Smartphones der Bürgerinnen und Bürgern gewonnen werden.

 

Für die Stärkung der Datensicherheit und des Datenschutzes kann viel getan werden. Bislang ist nur ein kleiner Teil der Vorschläge aus der Politik dazu geeignet, vergleichbare Fälle in Zukunft zu einzudämmen oder zu verhindern. Es wird sich allerdings zeigen müssen, ob die Politik sinnvolle Massnahmen ergreift oder solche, die wieder einmal die Grundrechte der Bürgerinnen und Bürger beschneiden.

 

Netzpolitik.org; Markus Reuter; 12.01.2019

https://netzpolitik.org/2019/doxing-doxing-der-kampf-um-datensicherheit-wird-auf-unseren-computern-entschieden/

https://creativecommons.org/licenses/by-nc-sa/4.0/

02/2019

Der Mittelstand auf dem digitalen Prüfstand: In puncto Digitalisierung ist beim Deutschen Mittelstand noch viel Luft nach oben. Das größte Hindernis auf dem Weg zu einer stärkeren Digitalisierung ist das fehlende Know-how rund um die IT-Sicherheit. Doch gerade sichere IT-Systeme sind die Voraussetzung dafür, dass kleine und mittelständische Unternehmen die Chancen der Digitalisierung stärker nutzen können. Um für die digitalen Herausforderungen der Zukunft gerüstet zu sein, müssen Geschäftsführer mittelständischer Unternehmen die Themen Digitalisierung, IT-Sicherheit und Datenschutz in den Fokus ihres geschäftlichen Handelns rücken.

 

Autor: Jan Bindig

ISBN-10: 3959721749

02/2019

Zu schreiben, es sei ein dramatisches Jahr in Sachen Künstliche Intelligenz gewesen, ist vermutlich noch untertrieben. 2018 war das Jahr, in dem öffentlich wurde, dass Cambridge Analytica Millionen Menschen auf Basis ihrer Facebook-Daten algorithmisch analysierte. Ein selbstfahrendes Uber-Fahrzeug tötete eine Fussgängerin, Google wollte Künstliche Intelligenz für das Drohnenprogramm des US-Verteidigungsministeriums liefern und brachte damit seine eigenen Leute auf. In Grossbritannien wurden tausenden Studenten durch eine Spracherkennungssoftware die Visa entzogen und in Österreich diskriminiert ein Algorithmus der Jobcenter nun Ausländerinnen und Ausländer, Mütter und Ältere bei der Vergabe von Förderung. Das waren nur einige Schlagzeilen aus den vergangenen zwölf Monaten.

 

2018 war auch das Jahr, in dem automatisierte Gesichtserkennung mächtig Fahrt aufnahm. Nach Amazon bieten jetzt auch Facebook und Microsoft die Technologie als Dienstleistung an, die sich jeder mit genug Geld einkaufen kann. In den USA arbeiten bereits die Polizeibehörden von Orlando und New York mit einer solchen Software. In Deutschland nutzt neben dem Bundeskriminalamt zum Beispiel auch Hamburg Software zur automatisierten Gesichtserkennung. Am Berliner Bahnhof Südkreuz läuft die zweite Phase eines Pilotprojektes zur „intelligenten Videoüberwachung“.

 

Gesichtserkennung: Wer schützt die Öffentlichkeit?

Das New Yorker Forschungsinstitut AI Now warnt jetzt in seinem Jahresbericht (hier als PDF) vor den Folgen für die Öffentlichkeit, wenn diese Technologie nicht streng reguliert wird. Staaten seien in der Pflicht, enge Grenzen für den Einsatz zu ziehen. Es reiche nicht aus, auf die Verwendung von Gesichtserkennung im öffentlichen Raum hinzuweisen. Mit Blick auf die Massenüberwachung, die durch die Technologie möglich wird, müsse die Zustimmung aller eingeholt werden, die davon betroffen sein könnten. Communities sollten das Recht haben, sich der Gesichtserkennung nicht auszusetzen, egal ob in privaten oder in öffentlichen Zusammenhängen.

 

Besondere Sorgen machen sich die Forscherinnen und Forscher auch um die so genannte „Affekterkennung“, eine Unterkategorie der Gesichtserkennung, die behauptet, mit Hilfe von Fotos oder Videos Aussagen über die Persönlichkeit, die Gefühlslage oder die Motivation einer Person treffen zu können. Es existierten keinerlei verlässliche Studien, die diese Behauptungen stützen, warnt der Report. Trotzdem werde diese Technologie bereits in Bewerbungsgesprächen, bei der Vergabe von Versicherungen oder in der Polizeiarbeit eingesetzt.

 

Die Frage nach der Verantwortung

Am Ende läuft jede neue Schlagzeile, jeder öffentliche Skandal auf die gleiche Frage hinaus, schreiben die Autorinnen und Autoren des Reports: Wer trägt eigentlich die Verantwortung? Wer kann also zur Rechenschaft gezogen werden, wenn eine Künstliche Intelligenz Menschen tötet, fälschlicherweise zu Kriminellen erklärt, falsche Diagnosen ausstellt oder ihnen auf andere Arten Schaden zufügt? Sind es die Hersteller, die die Algorithmen bauen und mit Daten trainieren? Sind es die Behörden oder Firmen, die die Technologien einsetzen? Oder etwa der Algorithmus selbst, wie es das Europäische Parlament in einer Resolution vorgeschlagen hat, das Roboter gerne zu „elektronischen Personen“ erklären würde, die selbst für ihr Fehlverhalten haften? Diese Frage sei noch weitgehend ungeklärt, schreiben die Autorinnen und Autoren des US-Reports, werden sich aber immer drängender stellen, je weiter maschinelles Lernen und Künstliche Intelligenz in unsere Gesellschaft hineinwirken.

 

Detailwissen statt grosse KI-Aufsicht

Interessant ist dabei eine Empfehlung, die AI Now in Hinblick auf die Regulierung gibt. Sie empfehlen Regierungen, keine nationale Aufsicht für alle möglichen Einsatzfelder von Künstlicher Intelligenz zu schaffen, sondern die Befugnisse von sektorspezifischen Behörden auszuweiten. In Bereichen wie Gesundheit, Bildung, Sozialhilfe oder Justiz müssten je eigene Strukturen geschaffen werden, um den Einsatz von Künstlicher Intelligenz zu regulieren, zu beaufsichtigen und im Zweifel zu korrigieren. Eine nationale Aufsichtsbehörde könne gar nicht genug Detailwissen in all diesen Bereichen bündeln, um nuanciert regulieren zu können.

 

Der Bundesregierung schwebt anderes vor. In der Ende November vorgestellten KI-Strategie geht es an sehr vielen Stellen darum, wie die deutsche Forschung und der Einsatz von KI in deutschen Unternehmen gefördert werden soll, um Deutschland im internationalen Wettbewerb hinter China und den USA nicht ganz so schmächtig aussehen zu lassen. Nur an einigen wenigen Stellen dreht sich die Strategie überhaupt um die Frage von Regulierung. Dafür ist unter anderem vorgesehen, ein deutsches „Observatorium für künstliche Intelligenz“ einzurichten, das die Verbreitung und Auswirkungen von KI beaufsichtigen soll, vor allem in Hinblick auf Arbeit. Deutschland plant also genau das, wovon der Report abrät.

 

Die vielen drängenden Fragen zu Rechenschaft und Verantwortlichkeit aus dem Bericht, die sich stellen, wenn künstliche Intelligenzen Entscheidungen über das Leben von Menschen treffen, beantwortet die Regierung in ihrer Strategie nicht. Diese delegiert sie in die Enquete-Kommission Künstliche Intelligenz der Bundestages, die darüber hinter verschlossenen Türen diskutiert.

 

Netzpolitik.org; Chris Köver; 11.12.2018

https://netzpolitik.org/2018/kuenstliche-intelligenz-bericht-warnt-vor-den-auswirkungen-von-gesichtserkennung/

https://creativecommons.org/licenses/by-nc-sa/4.0/

 

Security Awareness & Online-Kurse

Awareness- und eLearning-Module: Lernen zu jeder Zeit, flexibel im Tempo und nutzbringend im Inhalt.

Ausbildungsagenda 2019

Meeting Points: Hier werden Sie besser!
Mit unserem Kursangebot schnell und sicher ans Ziel kommen.

DSG und DSGVO/GDPR

Vorteile der Ernennung eines
Externen Datenschutzverantwortlichen oder Datenschutzbeauftragten

Für Betriebliche Datenschutzverantwortliche und Informations- und IT-Sicherheitsbeauftragte

27. September 2019, Sursee
9 bis 12 h, anschliessend Lunch

Treffen Sie sich an diesem kostenlosen Refresher mit ausgewiesenen Sicherheits-Spezialisten für den Fachaustausch und erfahren Sie mehr über die aktuellen Tendenzen und Neuerungen im Bereich des Datenschutzes und der Informations- und IT-Sicherheit.

ISMS-Beispiel

Wie ein skalierbares ISMS komplexeste Anforderungen in einer sehr grossen Organisation erfolgreich meistert.

Wolken vs. Cloud

24. Juni 2019, Zürich Flughafen
13 bis 17 h, anschliessend Apéro

Tendenzen und Lösungen im Bereich der Integralen Sicherheit (Informationssicherheit, Datenschutz, IT-Sicherheit, Cyber Security, Krisenmanagement, Business Continuity Management, Physische Sicherheit).

Ihre Teilnahme ist kostenlos!

01/2019

Schriften zum Medienrecht und Kommunikationsrecht


Das "Recht auf Vergessenwerden" ist mit der EuGH-Entscheidung "Google Spain" und im Rahmen der Diskussion um die DSGVO Schlagwort für das Interesse des Menschen geworden, belastende oder unvorteilhafte Informationen über die betroffene Person aus der Öffentlichkeit des Internets zurückzuholen oder zumindest vor der Mehrheit der Internetnutzer verborgen zu halten. Carina Becker befasst sich mit den Möglichkeiten der zivilrechtlichen Durchsetzung eines solchen Begehrens. Sie untersucht Anspruchsgrundlagen aus dem Datenschutz- und dem Äußerungsrecht unter Berücksichtigung der neuen Regelungen der Art. 17 und Art. 85 DSGVO

 

Autorin: Carina Becker

ISBN-10: 3161564561

01/2019

Die DSGVO in der Personalarbeit: Am 25. Mai 2018 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie gilt in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten.

 

Autor: Axel von Walter

ISBN-10: 9783648111383

01/2019

Der heute genutzte Cyberspace ist ein Computernetzwerk, dessen Vorläufer ursprünglich für den schnellen Austausch unter Projektpartnern der US-amerikanischen Forschungsagentur ARPA diente. Als Mittel der vereinfachten Kommunikation wurde es sukzessive ausgebaut, und heute dient vor allem ein Teil des Cyberspace – das Internet – als globaler Kommunikationsraum. Allerdings umfasst der Cyberspace auch eine Vielzahl anderer Funktionen zum Datenaustausch, die zunächst weniger einfach zugänglich sind, so beispielsweise das „Internet of Things“, in dem Geräte und Einrichtungen untereinander oder mit definierten Servern kommunizieren. Um diese Interaktionen zu ermöglichen, wurden zahlreiche technische Normen definiert – die Regulierung des Cyberspace ist also kein neues Phänomen.

Allerdings verschieben sich mit der Entwicklung und rasant ansteigenden Nutzung des Cyberspace auch die jeweiligen Regulierungsbedarfe: Die Nutzung des Cyberspace umfasst heute alltägliche Lebensbereiche von der Informationsverbreitung zur Kommunikation und zum Warenaustausch. Dieser digitale Austausch wird allerdings auch von kriminellen Aktivitäten begleitet: diese umfassen zunächst digitale Varianten von bereits im analogen Raum verbotenen Aktivitäten, wie den illegalen Verkauf von Waffen, gefälschten Medikamenten oder Drogen. Andere Formen zu sanktionierenden Verhaltens sind Verstösse gegen geistige Eigentumsrechte oder die Verbreitung von „Hate Speech“. Hinzu kommen genuin neue, erst durch den digitalen Raum ermöglichte Straftaten wie Phishing und der Angriff auf digitale Infrastruktur.

Dieser Beitrag zeigt die Besonderheiten des Cyberspace im Hinblick auf Kriminalität und ihre Regulierung auf und argumentiert, dass Accountability, also die Fähigkeit, Verantwortung und Rechenschaft zuzuweisen, in digitalen Räumen eine besondere Bedeutung für Strafverfolgung wie auch für die Gesellschaft als Ganzes hat. Gleichzeitig unterliegt Accountability aber vielschichtigen, neuen Aushandlungsprozessen zwischen verschiedenen Akteuren des Cyberspace.

Cybercrime Governance

Governance beschreibt ein breites Feld von Regulationsformen, die von hierarchischen zu Bottom-up-Initiativen reichen, rechtlich oder auf anderem Weg normativ wirken, mehrere Ebenen involvieren können und in die staatliche, zivilgesellschaftliche und unternehmerische Akteure eingebunden sein können. Im Bereich der Kriminalitätsbekämpfung ist jedoch zu unterscheiden zwischen interner Governance krimineller Gruppen und externer Governance. Interne Governance rekurriert auf die Fähigkeit krimineller Gruppen, sich trotz Verletzung staatlicher Regelsystemen wie Gesetzen intern verbindlich zu organisieren, bindende Absprachen zu treffen und Sanktionen zu verhängen. Beispiele für interne Governance von Kriminalität sind Absprachen über Verkaufsgebiete unter kriminellen Akteuren oder die Regulierung der Produktpallette durch kriminelle Akteure auf illegalen Online-Märkten.

Während interne Governance vorrangig durch die Kriminologie untersucht wird, ist die externe Governance Gegenstand der Politikwissenschaft. Externe Governance von Kriminalität versucht unerwünschtes, kriminelles Verhalten zu vermeiden, aufzudecken oder zu ahnden.

Auf globaler Ebene kooperieren Staaten im Bereich Kriminalitätsbekämpfung dabei durch internationale Organisationen, die besonders dem Informationsaustausch und der Abstimmung dienen. Beispiele hierfür sind das United Nations Office against Drugs and Crime (UNODC) oder das Europäische Polizeiamt Europol. Zusätzlich werden in Governance-Aktivitäten regelmässig nichtstaatliche Akteure involviert. Dies kann insbesondere dadurch geschehen, dass Kriminalitätsbekämpfung ein Unternehmensinteresse darstellt, und fehlende Aufmerksamkeit gegenüber kriminellen Handlungen geahndet wird. Ein Beispiel hierfür ist der Kimberley-Prozess zur Vermeidung von Konfliktdiamanten: Diesem gehören auch die zentralen Unternehmen in diesem Sektor an, die nur mit denjenigen Handel treiben, die auch die Einhaltung der Kimberley-Anforderungen belegen.

Auf globaler Ebene werden zusätzlich Normen gegen Kriminalität geschaffen, die die einheitliche Kriminalisierung unerwünschter Aktivitäten in den verschiedenen Staaten vorantreiben. Während einige Konventionen Güter wie Waffen oder Drogen regulieren (mit 96 bzw. 154 Ratifizierungen, Stand 2018), existiert eine vergleichbare Konvention für Kriminalität im Cyberspace nicht. Die 2004 in Kraft getretene Cybercrime-Konvention (auch: Budapest-Konvention) des Europarats ist zwar nicht nur europäischen Staaten vorbehalten, ihre Akzeptanz ist jedoch mit 60 Ratifizierungen (Stand 2018) deutlich geringer. Die Konvention soll die prozedurale Kooperation zwischen Staaten verbessern und Betrug, Kinderpornografie, die unerlaubte Aneignung von Daten und Verstösse gegen das Urheberrecht kriminalisieren. Ein zusätzliches Protokoll stellt auch fremdenfeindliche und rassistische Online-Hetze unter Verbot (Europarat Vertrag Nr. 189). Diesem sind allerdings z.B. die USA als zentraler Akteur in der globalen Kriminalitätsbekämpfung bisher nicht beigetreten. Dies zeigt auch, dass transnationale Kriminalisierung normativ umkämpft ist und dabei entscheidende Werte – in diesem Fall Meinungsfreiheit und Antidiskriminierung – in unterschiedlichen Staaten verschieden bewertet werden.

Kriminalität im digitalen Raum kann auch unter die UN-Konvention gegen transnationale organisierte Kriminalität fallen, die neben einzelnen Delikten – Korruption, Geldwäsche, Behinderung der Justiz und Mitgliedschaft in einer kriminellen Vereinigung – auch ohne Definition einer spezifischen Tat gerade die Art der Organisation und den transnationalen Charakter der Tat adressiert. Die UN-Konvention gegen die grenzüberschreitende organisierte Kriminalität (UNTOC) ist anwendbar auf Verbrechen ab einer gewissen Schwere, definiert durch nationale Mindeststrafen von 4 Jahren Gefängnishaft, die durch mindestens drei Beteiligte durchgeführt werden und in mehr als einem Staat geplant oder durchgeführt werden, oder in ihren Auswirkungen über Staatsgrenzen hinausgehen. Gleichzeitig ist es jedoch sehr schwer, bei Cyberkriminalität gleichzeitig auch „organisierte Kriminalität“ nachzuweisen, deren Definition an das Vorliegen bestimmter, eher analog stattfindender Interaktionsmuster unter den Mitgliedern geknüpft ist.

Mit Blick auf Cybersicherheit im weiteren Sinne zeigt sich zudem, dass es bisher keine globale Ächtung oder internationale Kooperation gegen Cyberangriffe auf Staaten oder kritische Infrastruktur gibt. Die NATO oder die EU kooperieren jedoch zur Abwehr von Cyberangriffen. Cybercrime wird somit nur in Teilbereichen reguliert, verfolgt und geahndet, insbesondere wenn es durch bereits existierende, weiter entwickelte Regime abgedeckt wird, oder Gegenstand internationaler Polizeikooperation ist. Gerade durch internationale Polizeikooperation gelangen bereits mehrmals international koordinierte Aktionen insbesondere gegen illegale Kryptomärkte oder Kinderpornografie. Innerhalb der EU ist dieser Art der Kooperation besonders fortgeschritten und beinhaltet seit 2004 den Europäischen Haftbefehl.

Globale Kriminalitätsbekämpfung ist in vielen Bereichen stark durch Normunternehmertum geprägt, beispielsweise im Bereich Sklaverei oder Korruption. Im Gegensatz dazu sind im Bereich Cybercrime vor allem Unternehmen zentrale Regelungsakteure, die insbesondere die Implementierung sicherstellen. Zentral ist dabei die Tatsache, dass Unternehmen der Digitalindustrie oft Daten zu Nutzer/innen und Transaktionen besitzen, auf die der Staat selbst zunächst keinen Zugriff hat. Daher sind staatliche Behörden beispielsweise darauf angewiesen, dass die privaten Akteure Informationen speichern und nötigenfalls der Strafverfolgung zur Verfügung stellen. Auch das Löschen als rechtwidrig eingestufter Inhalte ist ohne Kooperation der Anbieter nicht ohne weiteres möglich. Diese staatlichen Vorgaben können jedoch auch legitimen Interessen der Nutzer/innen nach Privatsphäre oder Datenschutz entgegenstehen. Dazu ist strengere Regulierung auch für die Unternehmen oft eine Belastung – auch im Hinblick auf die Beziehungen zu Kund/innen, und wird entsprechend oft eher zurückgewiesen. In diesen Spannungsfeldern zeigt sich damit auch, dass sich grössere normative Rahmen über die Abwägung von Aufgaben und Verpflichtungen, auch im Hinblick auf unangemessenes oder verbotenes Verhalten, im Cyberspace bisher kaum herausgebildet haben. Wir zeigen im Folgenden, dass sich dieses Spannungsfeld in weiten Teilen durch die Abwesenheit klarer und transnational einheitlicher Accountability-Prinzipien erklären lässt.

Governance-Probleme als Accountability-Probleme

Accountability wird als zentraler Aspekt von Demokratie und Global Governance betrachtet. „An accountability relationship is one in which an individual, group or other entity makes demands on an agent to report on his or her activities, and has the ability to impose costs on the agent“. Solche Kosten können Umstrukturierung, Rücktritte, Strafzahlungen, Ausübungsverbote, Kunden- und Reputationsverluste beinhalten. Der Begriff Accountability beinhaltet somit je nach Kontext Aspekte der Haftbarkeit und Haftung, eine strafrechtliche Komponente, durch die Geschädigte Schadensersatz erhalten können; die Verantwortung und Verantwortlichkeit als das persönliche Einstehen für Handlungen; sowie eine Rechenschaftspflicht, die Pflicht, über Geschehnisse Auskunft zu geben.

Accountability wird institutionalisiert durch „the requirement to report, and the right to sanction, are mutually understood and accepted“. Dies ist häufig bei internal accountability der Fall, bei der die Accountability-Ansprüche eines Akteurs (principal) mit dem handelnden agent institutionell verflochten sind. Der Anspruch des principals leitet sich hierbei aus der Autorisierung des Agenten oder aus der finanziellen oder politischen Unterstützung des Akteurs ab. In anderen Fällen sind die Verantwortlichkeiten und Ansprüche nicht klar geregelt, diese “[…] accountability relationships are more contested. In such situations, certain individuals, groups, or entities claim the right to hold agents accountable, but the agents do not recognize a corresponding obligation“. Dies trifft speziell bei external accountability zu, wenn Akteure ausserhalb eines Agenten, als von dessen Handlungen betroffene Akteure, Accountability-Ansprüche erheben.

Eine angestrebte Accountability im Cyberspace ist damit also voraussetzungsvoll: Sie benötigt zunächst ein gewisses Mass an Transparenz als Basis für Zurechnungsfähigkeit, also für die Möglichkeit, eine Handlung einer Person oder Entität zuzuordnen. Dies bedeutet, dass digitale (oder ggf. analoge) Protokolle zur Aufzeichnung benötigt werden, und damit für einen gewissen Zeitraum die Information zur Verfügung steht, welche Handlungen von wem wann durchgeführt werden. Die Rechenschaftspflicht wiederum ist aus dieser Perspektive notwendig, damit staatliche Instanzen diese Informationen einfordern können, um sie zu überprüfen und gesetzeswidriges Verhalten zuzurechnen. Gleichzeitig wirft Accountability damit auch Probleme des Datenschutzes auf.

Staatliche Accountability-Forderungen an Unternehmen und Bürger/innen

Die flexible, nicht-territoriale Natur des Cyberspace, die technischen Neuerungen sowie die zentrale Rolle verschiedener nicht-staatlicher Akteure stellen für Accountability-Fragen eine besondere Herausforderung dar, da zum Schutz der Anonymität von Nutzer/innen die Zurechenbarkeit zum Teil schon technisch ausgeschlossen wird. In diesem Zusammenhang wird diskutiert, inwiefern Unternehmen eine Verantwortung haben, diese Zurechenbarkeit technisch grundsätzlich zu ermöglichen und, falls dem so ist, gegenüber welchen staatlichen Stellen und unter welchen Voraussetzungen. Staaten sind dabei auf die Informationen von Unternehmen angewiesen, die digitale Protokolle oder IP-Adressen zur persönlichen Zuordnung der Handlungen besitzen und auswerten können. Hierbei zeigt sich, dass das Informationsgefälle zwischen Unternehmen und Staat zu dessen Abhängigkeit von privaten Unternehmen im digitalen Bereich führt.

Handelt es sich um einzelne Seiten, die als illegale Plattform genutzt werden, wie das DarkNet Portal Silk Road, auf dem zum Beispiel Drogen, gefälschte Ausweisdokumente und Hacking-Dienstleitungen anonym und mit nicht zurück verfolgbaren Kryptowährungen gekauft werden können, ist Rückverfolgbarkeit kaum gegeben. Diese Seiten können dann jedoch durch den Rückgriff auf Betreiber geschlossen werden – oft erfolgt dies, nachdem die Seite bereits überwacht wurde und Ermittlungsbehörden dabei versuchten, Verantwortliche, Händler und Kunden zu identifizieren. Allerdings führt die Schliessung von online-Märkten bei bestehender Nachfrage zu einer schnellen Eröffnung neuer Seiten, deren Schliessung wiederum rechtsstaatlich genehmigt werden muss – und zwar in dem Land, in dem sich der Server befindet. In diesen Fällen muss eine unabhängige juristische Prüfung zeigen, dass die Seiten hauptsächlich illegaler Natur sind und eine Schliessung dem Verhältnismässigkeitsgrundsatz entspricht. Dies ist notwendig um willkürlichen Schliessungen und Zensur vorzubeugen, verlangsamt den Prozess allerdings zugunsten der flexiblen Anbieter.

Wenn das physische Abschalten eines unerwünschten Servers nicht möglich ist, haben Staaten auch die Möglichkeit, den nationalen Zugang zu dem Server zu unterbinden und den Zugriff auf einzelne Seiten oder Informationen zu verhindern. Die Abgrenzung dessen, was blockiert werden darf, wird hierbei in verschiedenen Ländern sehr unterschiedlich eingeschätzt und enthält die Zensur als anstössig empfundenen Materials, „extremistischer“ oder regierungskritischer Seiten, oder sicherheitsrelevanter Informationen (OpenNet Initiative 2013). Allerdings bleibt weitestgehend unklar, welche Länder welche Informationen filtern – ebenso wie Geheimdienste legen auch staatliche Behörden hierüber nicht immer Rechenschaft ab und vermeiden Transparenz.

Dabei ist der Begriff „unerwünschte Web-Inhalte“ ein sehr dehnbarer: In den vergangenen Jahren ist beispielsweise China dazu übergegangen, westliche Wissenschaftsverlage vor die Wahl zu stellen, entweder keine elektronischen Inhalte mehr zur Verfügung stellen zu dürfen, oder verlagsseitig gezielt solche Artikel und Publikationen aus dem Netz zu filtern, die unerwünschte Inhalte – beispielsweise zur Menschenrechtssituation – enthalten. Selbst Cambridge University Press hatte zunächst in diese Praxis eingewilligt, dies dann jedoch nach Protesten von Wissenschaftler/innen geändert; Verlage wie Springer Nature behielten die Praxis jedoch bei.  Durch die mögliche Sperrung des Zugangs zu Webseiten besteht seitens der Seitenbetreiber ein starker Anreiz, auf die Forderungen von Regierungen einzugehen und Informationen in bestimmten Ländern zu filtern: „As the frontline operators of the network, these actors [private parties] are being asked or otherwise compelled to regulate the spaces they own and operate in ways that constitute a de facto exercise of authority. […] It is not too far-fetched to think of companies like Google, Facebook, and Research in Motion having foreign policies”. Dieses Vorgehen betrifft zunächst die grossen Anbieter im Cyberspace, die für die Inhalte auf ihren Seiten zur Rechenschaft gezogen werden und die ggf. bei Nichtbeachtung durch die Sperrungen sanktioniert werden. Wenn die Sperrung einer Seite für einen Staat keine Option darstellt, da diese beispielsweise besonders bedeutend ist oder als legitim wahrgenommen wird, sind staatliche Behörden allerdings auch auf die Kooperation der Anbieter angewiesen, um einzelne Beiträge zu filtern. Auch hierbei ergibt sich ein Spannungsfeld aus den staatlichen Vorgaben zur Filterung und dem zivilgesellschaftlichen Anspruch auf freie Meinungsäusserung. Staatliche Behörden stellen Anfragen an die entsprechenden Portale und fordern beispielsweise die Löschung einzelner Beiträge, wenn diese gegen Urheberrechte sprechen, oder als verbotene Agitation beurteilt werden. Zum Teil werden die Unternehmen auch aufgefordert, die Identität der Nutzer preiszugeben (z.B. Twitter 2017).

Zivilgesellschaftliche Accountability-Forderungen an Unternehmen

Dabei ergibt sich ein weiteres Spannungsfeld zwischen den an Unternehmen gestellten Rechenschaftsansprüchen von Staaten zur Aufklärung von Verbrechen beizutragen, und den zum Teil eingegangenen Verpflichtungen gegenüber Nutzer/innen, deren Identität und Privatsphäre zu schützen. So verteidigen Plattformen zum Teil ihre Nutzer/innen indem sie die behördlichen Aufforderungen juristisch anfechten, und veröffentlichen Privacy Reports, in denen sie die Informationen oder Löschungen fordernden Staaten, die Anzahl und den Grund für Datenanforderungen nennen, sowie ob diesen stattgegeben wurden (z.B. Twitter 2017). Diese Massnahmen zeigen, dass Transparenz zum Teil dezidiert genutzt wird, um Accountability im Sinne einer staatlichen Rechenschaftspflicht gegenüber den Bürgern zu ermöglichen. Bei gerichtlichen Auseinandersetzungen schreiben sich Unternehmen zum Teil selbst eine Verantwortlichkeit für die vertraulichen Informationen über ihre Nutzer zu. Sie halten also eine (selbst gesetzte Verpflichtung) hoch, gewisse Teilaspekte von Accountability erst gar nicht zu ermöglichen, wobei gleichzeitig Regierungen unter einen Rechenschaftsdruck gegenüber ihrer Bevölkerung stehen bezüglich der von ihnen von den Unternehmen geforderten Massnahmen.

Der Konflikt zwischen staatlichen Forderungen und solchen der Nutzer/innen zeigt sich auch an dem Verhalten des Technologieunternehmens Apple. Dieses hat vor wenigen Wochen durch die Verlegung der Daten der chinesischen Nutzer seines iCloud Services in ein Data Center in der Provinz Guizhou die Verarbeitung der Daten, inklusive Fotos und Kommunikation, durch das chinesische Unternehmen Guizhou-Cloud Big Data Industry Development ermöglicht, das in enger Beziehung zur chinesischen Regierung steht. Auch die Verschlüsselungscodes wurden nach China verlegt, wodurch chinesische Behörden vereinfachten Zugriff auf diese haben und nicht länger auf die Kooperation mit amerikanischen Behörden angewiesen sind. Dies war nötig, um seinen Zugang zum chinesischen Markt und seinen Produktionsstätten zu sichern, denn das 2017 in China angenommene Cybersecurity Law sieht vor, dass Unternehmen, die in China tätig sind, ihre Daten in China speichern müssen. Apple hatte sich dagegen bisher in US-amerikanischen Gerichtsstreiten geweigert, Hintertüren in seine Software einzubauen, die die Entschlüsselung von auf Geräten gespeicherten Daten ermöglichen. Hierbei scheint Apple die eigene Verantwortlichkeit gegenüber chinesischen und amerikanischen Nutzer/innen ungleich zu bewerten und übernimmt keine Rechenschaft für zuvor gemachte Versprechen bezüglich des Unternehmensethos in Bezug auf Privatsphäre. In diesem Zuge scheint das Versprechen, Daten nur in einem „datensicheren“ Land zu hosten, mitunter auch als Unternehmensstrategie an Bedeutung zu gewinnen. So werben einige Unternehmen mit dem Gütesiegel „Software Hosted in Germany“, das von dem Bundesverband IT-Mittelstand (BITMi) vergeben wird.

Für die Frage des Zugangs zu digitalen Daten, die über das Internet in „Clouds“ gespeichert werden, kann jedoch neben der Nationalität oder dem Aufenthaltsort der Betroffenen auch der geografische Ort des Servers relevant sein und zu Regelungskonflikten und -widersprüchen führen. Der Gerichtsstreit zwischen Microsoft und der US-amerikanischen Justizbehörde hatte 2013 einige dieser Widersprüche sichtbar gemacht. Hierbei hatte Microsoft als US-amerikanisches Unternehmen die dort gespeicherten Informationen weitergegeben, sich allerdings geweigert, den US-amerikanischen Durchsuchungsbefehl auch auf in Irland gespeicherte Daten anzuwenden. Während Microsoft dies als Eingriff in die Souveränität Irlands begriff, argumentierte die Justizbehörde der USA, dass die Daten nur kopiert werden müssten und daher kein physischer Eingriff in dem Territorium eines Drittstaates vorliege (Wired 2018, Supreme Court of the United States 2018). Der Gerichtsstreit wurde mit dem Beschluss des Clarifying Overseas Use of Data Act (CLOUD Act) des US-Kongress beigelegt, der regelt, dass Daten über US-Staatsbürger oder in den USA wohnhafte Personen den US-Behörden zugänglich gemacht werden müssen, dies unabhängig davon, an welchen Ort diese Daten gespeichert werden.

In Europa dagegen ist es unter der neuen EU-Datenschutz-Grundverordnung (DSGVO), im Speziellen unter der Data Protection Directive for Police and Criminal Justice Authorities, Kapitel V, seit diesem Jahr nicht mehr ohne Weiteres erlaubt, Daten von europäischen Staatsangehören an Drittstaaten weiterzugeben, ausser wenn ein bilaterales Abkommen zur gegenseitigen Rechtshilfe (MLAT) dies vorsieht.

Diese Fälle zeigen die unterschiedlichen Auffassungen der Frage, wann Unternehmen, wem und zu welchem Grad accountable sind, und wie diese Unterscheide bereits in neuen Gesetzen und transnationalen Vereinbarungen münden. Darin scheint sich zunehmend zu zeigen, dass Staaten Verantwortung für die Informationen ihrer Bürger über ihre Grenzen hinaus übernehmen oder von Unternehmen verlangen, nationale Regeln auch über Grenzen hinweg anzuwenden. In der Regulierung des Cyberspace profiliert sich dabei gerade die EU, die für die Daten der Bürger/innen auch ausserhalb des eigenen Territoriums Rechenschaft von Unternehmen und anderen Staaten verlangt. Im Fall von europäischen Bürger/innen mit Wohnsitz in einem Staat wie den USA, der Ansprüche an die Daten der dort Wohnhaften erhebt, können sich hieraus absehbar allerdings Widersprüche ergeben, die in Kosten und Sanktionen für Unternehmen münden können. Es ist daher in Zukunft eher mit zur Vereinheitlichung strebenden Regulierungsanliegen seitens im digitalen Raum agierender Unternehmen zu rechnen.

Die Notwendigkeit höherer Ansprüche an Accountability wird dadurch gefördert, dass die Akkumulation grosser Datenmengen durch Unternehmen diese sowohl wirtschaftlich lukrativ macht, ebenso wie sie auch für Justizbehörden als potentielle Informationsquellen interessant werden. Unternehmensentscheidungen zum Zugang zu diesen Daten betreffen dabei potentiell alle Nutzer/innen der Unternehmensdienste, aber zum Teil auch Individuen, die die Dienste nicht selbst in Anspruch nehmen. Dies ist möglich durch das Auslesen von Adressbüchern registrierter Nutzer, so dass damit Daten von Nicht-Nutzern bekannt werden. Dies kann sogar in dem Erstellen von „Schattenprofilen“ münden, also in Profilen noch nicht registrierter Nutzer, zu denen aber bereits Daten vorliegen. Wer sich dann später doch einmal für den Dienst anmeldet, ist dem Unternehmen bereits durch andere Datenzusammenhänge bekannt. Ein durch diese Tätigkeiten entstehender Accountability-Anspruch ist allerdings kaum durchzusetzen, da es hierzu keine institutionalisierten Mechanismen gibt, es für Geschädigte schwierig ist, dem Unternehmen dafür Kosten aufzuerlegen, und viele Geschädigte eventuell nicht einmal den potentiellen Schaden kennen.

Um stärkere Accountability-Prinzipien zu etablieren, versuchen zivilgesellschaftliche Organisationen wie Amnesty International dagegen, den Mangel an Rechenschaft gegenüber Nutzer/innen mit Reputationskosten zu verbinden. Mit der EU-Datenschutz-Grundverordnung gibt es dabei nun staatliche Auflagen, die mehr Transparenz schaffen können und bei Fehlverhalten Sanktionen erwirken können. Doch auch die Verarbeitung von Informationen innerhalb der EU und von europäischen Staaten selbst ist nicht unproblematisch. Die Ansprüche von Staaten gegenüber digitalen Unternehmen sowie von Bürger/innen gegenüber digitalen Unternehmen sind nicht einheitlich und verlässliche Prozeduren sind noch nicht etabliert. Welche Unternehmen Informationen unter welchen Bedingungen an welche Akteure weitergeben, ist nicht immer absehbar und kann sich je nach Gegebenheit wandeln, wie beispielsweise das Handeln von Apple in China zeigt. Mit freiwilligen Transparency Reports unternehmen dabei auch einige Anbieter selbst den Versuch, die Anfragen von staatlicher Seite, ihre eigenen Reaktionen und den Umgang mit diesen Daten transparent zu machen.

Während der Austausch von Daten zwischen Behörden verschiedener Länder auch intransparent ist und es von staatlicher Seite wenig Anreize gibt, dies zu ändern, haben sich einige Unternehmen den Forderungen widersetzt und diese gerichtlich angefochten: Das Handeln von Unternehmen unterliegt hierbei allerdings häufig wirtschaftlichen statt normativen Abwägungen. Die Rolle von Unternehmen innerhalb der Governance von Cybercrime ist demnach eine gespaltene, bei der diese einerseits die Implementierung im Sinne der Nationalstaaten umsetzen, um dort weiterhin agieren zu können, die andererseits aber auch die Abhängigkeit von Staaten von ihren Daten und Informationen nutzen können, um die Nutzung von Informationen zur Strafverfolgung zu erschweren.

Zusammenfassung

Insgesamt zeigt die Regulierung des Cyberspace eine starke Tendenz zu polyzentrischer Governance zwischen staatlichen und nichtstaatlichen Akteuren. Gleichzeitig wurde jedoch kein globaler, normativer Rahmen etabliert. Die Cybercrime-Konvention adressiert zwar einige Arten von Onlinekriminalität, sie ist aber bisher deutlich weniger akzeptiert als andere Konventionen im Bereich Kriminalitätsbekämpfung – auch kann sie aktuelle Entwicklungen kaum abbilden und dient eher der Kooperation als der substantiellen Definition von Verhaltensstandards im Netz. Auch die Tatsache, dass sich die USA nicht dem Protokoll gegen Hassrede angeschlossen hat, zeigt, wie normativ umstritten einige Aspekte der Cyberumgebung sind, und dass Eingriffe hier von einigen Staaten besonders im Widerspruch zu Meinungsfreiheit und zum Schutz der Privatsphäre beurteilt werden. Auch ohne das Vorhandensein eines umfassenden normativen oder gesetzlichen Rahmens kooperieren einzelne Staaten und Unternehmen allerdings auf prozeduraler Ebene.

Die Diskussion des Spannungsfeldes um Accountability zeigt hierbei, dass Staaten und Unternehmen in ihrer Verantwortung auf verschiedene Gruppen und Prinzipien verweisen, und sowohl wirtschaftliche als auch normative Abwägungen treffen. Inwieweit Unternehmen bereit sind, mit Staaten zu kooperieren ist auch eine Frage des „Unternehmensimage“.

Das Handeln von Apple im Hinblick auf Datenweitergabe in den USA und in China zeigt die zum Teil auch instabilen Allianzen zwischen Unternehmen und Nutzer/innen sowie Unternehmen und Staaten. Der Umgang mit ansässigen Digitalunternehmen sowie mit gespeicherten Daten kann hierbei auch als Standortvorteil oder Nachteil interpretiert und vermarktet werden.

Zusätzlich zu der Abwägung von Normen und Wirtschaftsinteressen wird auch die Entscheidung über die Moralität von Verhalten in der digitalen Domäne unterschiedlich abgewogen und die Grenze zwischen Verbrechen und zivilem Ungehorsam, wie im Fall Edward Snowden, von verschiedenen Staaten und unterschiedlichen Communities unterschiedlich bewertet. Auch deshalb ist eine globale substanzielle Übereinkunft über Cyberkriminalität nicht abzusehen. In dem wenig regulierten, sich schnell wandelnden, nicht-territorialen Cyber-Bereich sind es häufig Gerichtsprozesse, die die Unvereinbarkeit verschiedener Normen und die Widersprüche unterschiedlicher nationaler Regulierung sichtbar machen und Regulierungsbedarf aufzeigen. Wo diese Widersprüche zwischen nationalstaatlichen Gesetzen im Hinblick auf den Umgang mit und die Verfügung über Daten Unternehmen hohe Kosten verursachen, ist es allerdings daher zumindest wahrscheinlicher, dass Angleichungsprozesse gefordert und angestossen werden.

Anmerkung: In obigem Text wurden aus Platz- und Lesbarkeitsgründen alle Illustrationen und Quellenverweise entfernt. Diese finden sich im Originaldokument. Ferner wurden einige Grammatik- und Rechtschreibfehler korrigiert und ein Passus über die Gültigkeit der DSGVO nur für EU-Bürger entfernt. Der Text wurde auf die schweizerische Rechtschreibung angepasst.

 

 

Jasmin Haunschild; Anja P. Jakobi; regierungsforschung.de; 27.07.2018

http://regierungsforschung.de/raum-ohne-rechenschaftspflicht-kriminalitaet-im-cyberspace/

01/2019

Die digitale Wirtschaft boomt. Unternehmen und Politiker versprechen sich von ihr neues Wirtschaftswachstum und grösseren Einfluss für Europa auf internationaler Ebene. Die Währung dieses Wirtschaftszweiges allerdings sind personenbezogene Daten: Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.


Mit Hilfe von Technologie werden riesige Mengen an personenbezogenen Daten gesammelt, verarbeitet und in neue Informationen umgewandelt. Diese Informationen nutzen Unternehmen zur Profitmaximierung und Staaten zur Überwachung.

Beide verletzen damit jedoch regelmässig die auf verschiedenen Ebenen gesetzlich verankerten Grundrechte der Bürgerinnen und Bürger auf Privatsphäre und den Schutz personenbezogener Daten:

Dazu gehört auch, dass nur der Staat unter gesetzlich festgelegten Umständen Menschen überwachen und ihre Aktivitäten aufzeichnen darf. Eine Wirtschaft, die sich immer mehr auf die ungezügelte Ausbeutung personenbezogener Daten verlässt, kann gefährlich werden: Überwachungssysteme wuchern, Bürger spielen nur noch als Verbraucher eine Rolle und die gesellschaftliche Konformität nimmt zu.

So wehrte sich die digitale Wirtschaft denn auch mit Händen und Füssen gegen die neue EU-Datenschutz-Grundverordnung. Mit ihrer Lobbyarbeit versuchte sie, die Verordnung zu blockieren, zu verzögern und abzuschwächen, und die Debatte so zu beeinflussen, dass grundlegende Probleme unangetastet blieben.


Technologiegeschichte kurzgefasst: Erst das Geld, dann die Moral

Bereits in den 70er Jahren reagierten einige Länder mit Gesetzen auf die Herausforderungen neuer Technologien für den Datenschutz und die Privatsphäre. Auf EU-Ebene wurde 1995 mit der Datenschutzrichtlinie ein rechtlicher Rahmen geschaffen und durch branchenspezifische Bestimmungen ergänzt. Im Jahr 2012 begannen die EU-Institutionen über neue Regeln zu verhandeln und die inzwischen technisch veraltete Richtlinie zu ersetzen.

Vier Jahre später wurde die Datenschutz-Grundverordnung (DSGVO) verabschiedet. Seitdem wird auch über neue Regelungen zum Schutz der Privatsphäre in der elektronischen Kommunikation diskutiert: Die sogenannte ePrivacy-Verordnung soll die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) von 2002 ersetzen. Mithilfe dieser Regelungen soll Unternehmen und Staaten beim Sammeln und Verarbeiten personenbezogener Daten Grenzen gesetzt werden. Viele Geschäftsmodelle basieren aber gerade darauf, Teile des Privatlebens von Menschen auszuschlachten, und gerade dieses grundsätzliche Problem wird nicht thematisiert. Vielmehr geht es darum, ein „Gleichgewicht“ zwischen dem Schutz der Privatsphäre des Einzelnen – der immer öfter nur als Verbraucher gesehen wird – und den Interessen der Unternehmen zu schaffen.

Diese neuen Gesetze legen keine völlig neuen Spielregeln fest und sind somit keine Gefahr für den Fortbestand schädlicher Geschäftsmodelle der digitalen Wirtschaft. Auf internationaler Ebene aber sind sie richtungsweisend. Kein Wunder, dass die Branche sich vor einer Vorreiterrolle der EU in diesem Bereich fürchtet und beispiellos starken Widerstand leistete. Die Lobbyisten gingen nicht nur aggressiv vor und übten grossen Druck aus, auch die Anzahl und Vielfalt der Beteiligten nahm bislang ungekannte Ausmasse an. Kurz nachdem die EU-Kommission 2012 ihren DSGVO-Entwurf vorgestellt hatte, erklärte die verantwortliche Kommissarin Viviane Reding, sie hätte noch nie zuvor eine so aggressive Lobbyarbeit wie bei diesem Gesetzentwurf erlebt.

Ungleiche Zugänge zu EU-Beamten

Die Technologiebranche gehört zu den aktivsten Lobbygruppen überhaupt bei der Kommission. Laut der „Integrity-Watch“-Datenbank von Transparency International gab es in den Portfolios Digitale Wirtschaft und Digitaler Binnenmarkt seit 2014 die meisten Lobby-Kontakte. Günther Oettinger hatte in seiner Rolle als Kommissar für Digitalwirtschaft sogar 90 % seiner Lobbykontakte mit diesen Branchenvertretern. Auf der Liste der Gesprächspartner von Oettinger und Andrus Ansip (Kommissar für den digitalen Binnenmarkt) stehen der Lobbyverband der Digitalindustrie DIGITALEUROPE und die Deutsche Telekom ganz oben, mit je 16 Treffen (Stand: April 2018). Danach folgen Vodafone, BusinessEurope, Microsoft, Google, IBM und Telefónica
mit jeweils mehr als 10 direkten Kontakten. Während der Überarbeitung der ePrivacy-Richtlinie 2016 fanden 41 Lobbytreffen mit den Kommissaren Ansip oder Oettinger, deren Kabinetten oder dem zuständigen Generaldirektor Roberto Viola statt: 88 % bzw. 36 davon mit Unternehmensvertretern, und nur fünf mit zivilgesellschaftlichen Organisationen.

Parlamentarische Foren und Luxushotels

Zwischen der digitalen Wirtschaft und den politischen Entscheidungsträgern, die erstere regulieren sollen, gibt es nicht nur zahlreiche offizielle Treffen, sondern auch eine Vielzahl informeller Kommunikationskanäle. Durch diese informellen Diskussionsmöglichkeiten entstehen Nähe und Klüngelei: ein klares Indiz für „Corporate Capture“. So organisiert etwa das European Internet Forum (EIF), eine parteienübergreifende Parlamentariergruppe, regelmässig Empfänge sowie Frühstücke und Mittagessen im Europäischen Parlament. Das EIF setzt sich zusammen aus 77 Abgeordneten des Europäischen Parlaments, 49 Unternehmen (darunter Amazon, Apple, die Deutsche Telekom, Facebook, Google und Vodafone) und 71 ausserordentlichen Mitgliedern (Unternehmensverbände wie DIGITALEUROPE, denen wiederum viele EIF-Mitgliedsunternehmen angehören).

EIF-Veranstaltungen finden hinter verschlossenen Türen statt, sind nur für Mitglieder oder Gäste zugänglich und unterliegen der Chatham-Haus-Regel. Bei einer ePrivacy-Frühstücksdiskussion des EIF im Februar 2017, die von den christdemokratischen Europa-Abgeordneten Axel Voss und Michal Boni moderiert wurde, beklatschten die Wirtschaftsvertreter Aussagen wie „Wir haben mehr als genug Grundrechte“ und „Verfechter digitaler Rechte sind linke Aktivisten“.

Auch Konferenzen sind gute Anlässe zur Pflege inniger, informeller Kontakte. So etwa die Veranstaltung der Denkfabrik ECIPE im November 2016 zum freien Verkehr von Daten. Zu den rund 120 Teilnehmern, grösstenteils aus der Wirtschaft, die ins schicke Brüsseler Hotel „Silken Berlaymont“ gekommen waren, gehörte auch Kommissar Ansip. Zum Abschluss seiner Rede forderte dieser die Anwesenden offen dazu auf, in ihren Heimatländern Lobbyarbeit für den freien Verkehr von Daten zu betreiben. Auch Kommissar Oettinger zeigte sich bereits wirtschaftsfreundlich: Bei seinem jährlichen „Mini-Davos“ im österreichischen Skiparadies Lech am Arlberg gehören Lobbygruppen der Telekommunikations- und Technologiebranche einfach dazu. Die exklusive Veranstaltung wird organisiert vom Kabinett Oettingers (der Netzneutralität schon mal als „Taliban-ähnliches“ Thema bezeichnete) und bringt EU-Beamte mit Vertretern der Wirtschaft zusammen. 2018 kamen 42 % von ihnen aus Telekommunikations- oder IT-Unternehmen. Ein regelmässiger Teilnehmer erklärte gegenüber Politico Europe: „Da ich in Brüssel arbeite, kann ich ihn zwar sehen, wann ich will. Aber in Lech ist er fast die
ganze Zeit dabei. Er nimmt an nahezu allen Diskussionsrunden teil. Man kann sich zu ihm setzen. Er hat keine Eile.” Aktivisten, Verbraucherverbände und zivilgesellschaftliche Organisationen werden jedoch nicht eingeladen. Doch selbst wenn sie eine Einladung bekämen, könnten sie sich die Übernachtung im Luxushotel wohl eher nicht leisten.

Seitenwechsel zwischen Technologiebranche und Regulierern

Stellen in der Technologiebranche und in den für digitale Themen zuständigen EU-Institutionen sind erschreckend austauschbar. Die ehemalige Kommissarin für die Digitale Agenda, Neelie Kroes, wechselte 2016 als politische Beraterin zu Uber. Robert Madelin, früher Generaldirektor der für Kommunikationstechnologie zuständigen Generaldirektion Connect und damit ihr leitender Beamter, ist jetzt Vorsitzender von FIPRA International, einem einflussreichen Beratungsunternehmen im Bereich Public Affairs, zu dessen Kunden eBay, Uber und Microsoft gehören. Erika Mann machte nach ihrem Mandat als EU-Abgeordnete direkt als Lobbyistin beim Verband der Computer- und Kommunikationsindustrie (CCIA) und später bei Facebook weiter. Und Facebooks derzeitiger Chef-Lobbyist war früher beim dänischen Ministerium für Wissenschaft, Technologie und Innovation tätig. Ähnliches lässt sich auch auf nationaler Ebene beobachten: Das Google Transparency Project hat für die letzten zehn Jahre rund 80 Fälle von Seitenwechseln zwischen Google und europäischen Regierungen erfasst. Besonders oft taucht dabei die britische Regierung auf, die bezeichnenderweise im Rat heftigen Widerstand gegen eine strenge DSGVO leistete.

Im Überfluss: Daten, Geld und Änderungsanträge

Mit den riesigen Summen, die ihr zur Verfügung stehen, kann die Technologiebranche erfolgreich die Datenschutzpolitik beeinflussen. Laut EU-Lobbyregister gab Google allein 2016 fast 5,5 Millionen Euro dafür aus und setzte in Brüssel 14 Lobbyisten ein. Microsofts Einsatz belief sich zwischen Mitte 2016 und Mitte 2017 auf 4,5 Millionen Euro und 15 Mitarbeiter für das EU-Lobbying. Die Zahlen für andere Technologieriesen wie Amazon, Facebook, Apple und Uber sowie die grossen Telekommunikationsanbieter wie Deutsche Telekom, Orange, Vodafone und Telefónica sind vergleichbar. Doch damit nicht genug: Die meisten dieser Unternehmen betreiben nicht nur selbst Lobbyarbeit, sondern sind auch Mitglied in Verbänden und Vereinigungen, durch die ihre Interessen vielgestaltig vertreten und ihre Botschaften immer wieder aufs Neue wiederholt werden.

Dadurch entsteht der Eindruck, diese Meinungen fänden breite Unterstützung. So ist zum Beispiel Microsoft Mitglied in 30 Vereinigungen, Verbänden und Denkfabriken. Googles Stimme wird durch 24 Organisationen verstärkt und Amazons durch zwölf. Und diese Strategie zeigt Wirkung: Im Dezember 2016 unterzeichneten zwölf Verbände eine gemeinsame Erklärung zur ePrivacy; sechs von ihnen zählen Microsoft und Google zu ihren Mitgliedern.

Mithilfe ihrer beträchtlichen Mittel konnte die Technologiebranche schon mehrfach Diskussionen mit ihren Ansichten schier überfluten, auch im EU-Parlament. Im April 2014 verabschiedete das EP seinen Bericht zur DSGVO, dessen Erarbeitung durch unglaubliche 3999 Änderungsanträge von Abgeordneten gebremst worden war. Für Jan Philipp Albrecht von den Grünen, bis vor Kurzem selbst Abgeordneter und Berichterstatter für die DSGVO, war die Zahl der Änderungsanträge eine direkte Folge der Lobbyarbeit verschiedenster Gruppen, die eigene Wünsche durchsetzen wollten. Besonders skandalträchtig war der Fall des belgischen Liberalen Louis Michel. Der Europa-Abgeordnete reichte 229 Änderungsanträge ein, von denen 158 nachdrücklich gegen mehr Datenschutz gerichtet waren. Michel gab an, davon nichts gewusst zu haben: Sein Assistent habe sich mit Lobbyisten getroffen und die Änderungsanträge der Wirtschaft selbst eingereicht.

Unparteiische Experten oder Marionetten?

Auch eine weitere bewährte Strategie macht sich die Technologiebranche zunutze: die finanzielle Unterstützung von scheinbar unparteiischen Experten oder Wissenschaftlern. So veröffentlichte im März 2018 der «EUobserver“ einen Artikel, demzufolge die ePrivacy-Verordnung das Potenzial habe, das „Internet der Dinge“, also die Vernetzung von Online-Geräten wie Smartphones mit Alltagsgegenständen wie Thermostaten, empfindlich zu stören. Autor des Artikels sei ein „in Brüssel ansässiger, hochrangiger Analyst des Center for Data Innovation“. Auf den ersten Blick also ein Artikel eines unabhängigen Experten. In Wirklichkeit aber handelt es sich beim „Center for Data Innovation“ um eine wohlbekannte, von Daniel Castro geleitete Lobbyorganisation der digitalen Wirtschaft, die eng mit der Information Technology and Innovation Foundation (ITIF) verbunden ist. ITIF ist eine amerikanische Stiftung, die von der dortigen Technologie- und Kommunikationsindustrie finanziert wird. Ebenfalls im März 2018 deckte ein Bericht auf, dass Google mit dutzenden Millionen Euro europäische Wissenschaftler und Denkfabriken unterstützt hat, um so ein einflussreiches Netzwerk wohlgesinnter Wissenschaftler aufzubauen, die mit ihren Forschungsberichten die Interessen des Technologieriesen vertreten. Zu den Nutzniessern zählt auch das Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG) in Berlin, das mehr als 160 Veranstaltungen organisiert und über 240 wissenschaftliche Artikel veröffentlicht hat, von denen viele in Zusammenhang mit Googles Interessen stehen. Durch die Finanzierung scheinbar unabhängiger Gruppen und Einrichtungen lässt sich die Politik etwas diskreter beeinflussen, gerade weil der Ruf grosser Technologieunternehmen wie Google, Amazon oder Facebook durch
Skandale um Steuern, Kartellbildung und Datenschutz schon stark gelitten hat.

Ein wohltrainierter Chor verpasst der Debatte den richtigen Rahmen

Die DSGVO und die geplante ePrivacy-Verordnung sollen die Grundrechte des Einzelnen im Zeitalter der digitalen Überwachung schützen. Diese Grundrechte mögen im internationalen Recht festgeschrieben sein, der Gier der Unternehmen und dem Überwachungswahn der Regierungen stehen sie offenbar im Wege. In der politischen Debatte geht es deshalb meistens darum, „Verbraucherrechte“ mit den Wünschen der Unternehmen in Einklang zu bringen. Alle Betroffenen in der Wirtschaft, vom Technologiesektor, den Banken und Versicherungen, über digitale Werbung und Medien, bis hin zu Arbeitgebern und anderen – stossen ins gleiche Horn und behaupten, diese Gesetze würden Wettbewerbs- und Innovationsfähigkeit der EU zunichtemachen, genau wie die Industrie auch in anderen Bereichen des Digitalen Binnenmarktes argumentiert (z. B. Regulierung der Telekommunikationsmärkte, freier Datenverkehr, digitale Wirtschaft, Digitalisierung der europäischen Unternehmen). Es ist immer wieder dieselbe Leier: Selbstregulierung sei besser als verbindliche Vorschriften.

In den Jahren 2016 und 2017 führten Verleger und Werbewirtschaft eine beeindruckende Lobbykampagne gegen die geplante ePrivacy-Verordnung. Diese, so orakelte man hinterlistig, würde Medienvielfalt und Qualitätsjournalismus schädigen und gleichzeitig „Fake News“ befeuern. Das Argument, datengetriebene Werbung würde hochqualitativen Journalismus erst finanziell möglich machen, ist jedoch irreführend. Schliesslich geht es der Werbewirtschaft mit ihrem Geschäftsmodell nicht in erster Linie um Qualitätsjournalismus, sondern um möglichst viele Klicks für ihre Artikel. Datengetriebene Werbung ist eher eine neue Möglichkeit zur Beeinflussung der Presse; Qualitätsjournalismus dagegen ist Journalismus ohne wirtschaftlichen Druck oder Druck von Verlegern und Werbekunden. Obwohl die Warnung vor mehr „Fake News“ irreführend war, nahm sie einen Grossteil der Gesamtdebatte ein. In einem letzten Versuch, die Grundrechte aus der Diskussion herauszuhalten, warfen einige Lobbyisten den Verfechtern digitaler Rechte vor, „technologiekritisch“ und beim Datenschutz in einem „Panikkreislauf“ gefangen zu sein.

Ein Beispiel dafür war 2015 der ebenso betitelte ITIF-Bericht „Panikkreislauf beim Datenschutz: Ein Leitfaden zu den Ängsten der Öffentlichkeit vor neuen Technologien“. Verfasst wurde der Text von Daniel Castro vom Center for Data Innovation mit der Absicht, Argumente zur Verteidigung unserer Grundrechte zu diskreditieren.

Hinter verschlossenen Türen

Im ordentlichen Gesetzgebungsverfahren der EU nutzen Kommission, Parlament und Rat (also die Vertreter der Mitgliedsstaaten) zunehmend die Möglichkeit des informellen Trilogs hinter verschlossen Türen, um aus ihren drei Entwürfen einen gemeinsamen Kompromiss zu erarbeiten. Dies ist die undurchsichtigste Phase im Gesetzgebungsverfahren, da keine Dokumente oder Details veröffentlicht werden, obwohl hier oft die wichtigsten Änderungen vorgenommen werden. Die Entwicklung der Bestimmungen zum Schutz personenbezogener Daten von Arbeitnehmern in der DSGVO ist ein Beispiel dafür. Der Vorschlag der Kommission war minimalistisch und sollte den Mitgliedsstaaten erlauben, selbst Regelungen zur Verarbeitung personenbezogener Daten von Arbeitnehmern zu erlassen. Das Europäische Parlament nahm 2014 weitreichende Änderungen vor und stellte Mindestanforderungen an die Mitgliedstaaten: keine Verarbeitung ohne Wissen des Arbeitnehmers, keine Überwachung an Orten der privaten Lebensgestaltung, keine Gentests, keine Verarbeitung sensibler Daten mit dem Ziel der Diskriminierung, usw. Zwei Jahre später waren jedoch sämtliche Änderungsanträge des Parlaments verschwunden und die endgültige Version entsprach wortwörtlich der ursprünglichen Position des Rates. Die in dieser Version enthaltenen Grundsätze sahen auf den ersten Blick gut aus, sollten aber in Wahrheit den Status Quo erhalten, demzufolge auf EU-Ebene nichts reguliert werden darf, was mit Arbeitsrecht zu tun hat. Letzten Endes zogen die Arbeitnehmer den Kürzeren. Aufgrund der Geheimniskrämerei bei Trilogen lässt sich freilich nicht sagen, welche Mitgliedsstaaten Druck ausgeübt haben, von welchen Lobbygruppen sie dabei beeinflusst wurden und warum das Parlament seine Position geräumt hat.

Demokratische Entscheidungsfindung auf Abwegen?

Anfang Dezember 2016 veröffentlichte Politico eine geleakte Version des Kommissionsvorschlags zu ePrivacy. Digitalaktivisten und Verbraucherschützer bewerteten die Vorlage überwiegend positiv, doch die Wirtschaft war ausser sich und ging sofort zum Angriff über. Es folgten zahllose Artikel, gemeinsame Schreiben an Kommissare und öffentliche Stellungnahmen von der Telekommunikationsbranche, Fachverbänden, der digitalen Werbewirtschaft und Verlegern. Einige schossen mit ihren Anschuldigungen weit über das Ziel hinaus, wie etwa das britische Interactive Advertising Bureau (IAB): der Wirtschaftsverband der Onlinewerbungsbranche behauptete gegenüber der Financial Times, der Vorschlagsentwurf bringe „das gesamte Internet, wie wir es kennen, in Gefahr“. Darüber hinaus traf sich der mächtige Lobbyverband Digitaleurope mit Kommissar Ansip und Justizkommissarin Věra Jourová, um mit ihnen über „Transparenz und Harmonisierung beim EU­-Datenschutz zu diskutieren“. Dieser Frontalangriff war erfolgreich. Im Januar 2017 legte die Kommission ihren offiziellen Text vor, und der unterschied sich wesentlich von der vorher durchgesickerten Version: die Definition von Metadaten wurde aufgeweicht und die datenschutzfreundlichen Voreinstellungen fielen ebenso unter den Tisch wie die Möglichkeit von Sammelklagen. Laut kommissionsinternen Quellen wurden die Änderungen am Entwurf auf höchster Ebene veranlasst (also in den Kabinetten der Kommissare, statt in der verantwortlichen Generaldirektion, der GD CONNECT). Und auch das IAB soll grossen Einfluss ausgeübt haben.
Auch an anderer Stelle hat die Wirtschaft mutmasslich ihren Einfluss geltend gemacht. Die US-Regierung soll selbst aktives Lobbying gegen die DSGVO betrieben haben: Wohl kaum ein legitimer Bestandteil des EU-Gesetzgebungsprozesses. Nach Angaben von EDRi und Access Now, zwei Organisationen für digitale Rechte, ergriff das US-Handelsministerium im Dezember 2011, kurz vor Veröffentlichung des Kommissionsvorschlags, abgestimmte Lobbymassnahmen. Dazu gehörten auch Anrufe von führenden Mitarbeitern des US-Handelsministeriums bei hohen Kommissionsbeamten. 2013 veröffentlichte die US-Regierung ein Lobbypapier ohne Briefkopf und ohne Angaben zum Verfasser, das ganz deutlich die Position der amerikanischen Konzerne unterstützte und sich für das dort gängige System der Selbstregulierung aussprach. EDRi sieht in diesem Pamphlet einen neuen Tiefpunkt: Verzweifelt wurde darin die vollkommen haltlose Behauptung aufgestellt, die DSGVO würde den Kampf gegen Terrorismus und Kinderpornografie ausbremsen.

Politik unter Beschuss: Das Beispiel Überwachung am Arbeitsplatz

Die Wirtschaft setzt mit ihrer Lobbyarbeit bei allen Phasen des Gesetzgebungsprozesses an. Manchmal gelingt es ihr sogar, ein Thema einzufangen, bevor es überhaupt in Gang kommt. Genau das passierte mit der Überwachung am Arbeitsplatz – Datenschutz und Datenverarbeitung bei Arbeitnehmern. Nach Verabschiedung der Datenschutzrichtlinie 1995 hatte die Kommission zugesagt, diese später durch Bestimmungen zum Schutz personenbezogener Daten von Arbeitnehmern zu ergänzen. 2004 erarbeitete die Generaldirektion für Beschäftigung und Soziales einen Verordnungsentwurf, der aber dem Kommissarskollegium niemals vorgelegt wurde und bald in Vergessenheit geriet. Was war passiert? Die Antwort findet sich im sogenannten Sozialen Dialog, also den Verhandlungen zwischen den europäischen Arbeitgeberverbänden und Gewerkschaften, die stets im Vorfeld eines Gesetzgebungsprozesses im Bereich Sozialpolitik stattfinden. Zwischen 2002 und 2005 weigerte sich der grösste Arbeitgeberverband UNICE (heute BusinessEurope) schlicht und einfach, über „den Schutz personenbezogener Daten von Arbeitnehmern“ zu verhandeln. Wenn die Sozialpartner zu keiner Einigung kommen (oder die Arbeitgeberseite Verhandlungen einfach verweigert), kann die Kommission zwar dennoch einen Vorschlag vorlegen. Offenbar sah sie sich dennoch aufgrund der fehlenden Einigung nach zwei Jahren Vorbereitungszeit dazu gezwungen, das Projekt aufzugeben, und die Arbeitnehmer wurden nicht ausreichend vor Überwachung am Arbeitsplatz geschützt.

Die Macht der Digitalwirtschaft
Der Lobbyaufwand der Branche im Bereich Datenschutz ist massiv, und sie nutzt eine ganze Reihe verschiedenster Instrumente, um Vorschläge abzuschwächen, darunter Unmengen an Geld, ausschweifende Veranstaltungen, die finanzielle Unterstützung „unabhängiger“ Experten oder das Einspannen von Verbänden für ihre Interessen. Und trotzdem erreicht die Branche nicht immer ihre Ziele. Die DSGVO wurde letztlich verabschiedet, die ePrivacy-Verordnung wird ebenfalls kommen und die Rechte vieler europäischer Bürgerinnen und Bürger werden ausgebaut. Das bedeutet jedoch nicht, dass die Branche erfolglos ist: Manchmal erreicht sie genau das, was sie will (wie bei der Überwachung am Arbeitsplatz). Und in allen Fragen zu Internet und neuen Technologien ist die Branche die wichtigste Stimme und hat somit freie Hand bei der Gestaltung und Beeinflussung der politischen Debatte. Im Ergebnis wird von der Politik völlig unkritisch akzeptiert, dass eine Branche ihr gesamtes Geschäftsmodell auf die Überwachung und Ausbeutung von persönlichen Daten der Bürgerinnen und Bürger ausrichtet. Und das, obwohl dieses Geschäftsmodell einen schwerwiegenden Verstoss gegen unsere Grundrecht darstellt.

Anmerkung: In obigem Text wurden aus Platz- und Lesbarkeitsgründen alle Illustrationen und Quellenverweise entfernt. Diese finden sich im Originaldokument.

 

ALTER-EU; Léa Faillière Falgueyrac, in «Gekaperte Gesetzgebung, S. 46-61»; 24.09.2018

https://creativecommons.org/licenses/by-sa/3.0/

https://www.lobbycontrol.de/produkt/gekaperte-gesetzgebung/

 

12/2018

In den letzten Jahren gab es schleichend eine Flut von Durchbrüchen in der biometrischen Technologie, angeführt von einigen sprunghaften Fortschritten bei Gesichtserkennungssystemen. Jetzt scheint die Gesichtserkennung kurz davor zu stehen, mit bahnbrechenden Sicherheitsanwendungen kommerziell zu erblühen.Letzte Woche gab SureID, ein Anbieter von Fingerabdruckservices mit Sitz in Portland, Ore., eine Partnerschaft mit Robbie.AI, einem in Boston ansässigen Entwickler eines Gesichtserkennungssystems bekannt, das für den breiten Einsatz in Low-End-Kameras entwickelt wurde.


Ziel der Partner ist es, Fingerabdruck- und Gesichtsdaten zu kombinieren, um die Authentifizierung der Mitarbeiter am Arbeitsplatz zu verbessern. Und ihre grosse Vision ist es, beim Aufbau einer landesweiten biometrischen Datenbank zu helfen, in der ein hybrider Gesichtsausweis/Fingerabdruck für Dinge wie betrugssichere Einzelhandelstransaktionen oder um mit einem selbstfahrenden Fahrzeug eine Spritztour zu machen.

Am unmittelbaren Horizont tauchen einige grosse Fragen zu Privatsphäre, Bürgerrechten und bürgerlichen Freiheiten auf - und müssen noch vollständig angegangen werden. Aber es ist nicht zu leugnen, dass die Gesichtserkennung in den Vordergrund der alternativen biometrischen Authentifizierungsmethoden getreten ist. "Die Vorteile der Gesichtserkennung überwiegen bei weitem gegenüber alternativen biometrischen Methoden in Bezug auf Geschwindigkeit und Verarbeitungsfreundlichkeit", sagt Steve Surfaro, Co-Vorsitzender des Security Applied Sciences Council bei ASIS International. "Ausserdem, da künstliche Intelligenz und tief lernende neuronale Netze zum Mainstream geworden sind, hat die Zuverlässigkeit der Gesichtserkennung einen Quantensprung gemacht.”

Einige der interessantesten Fortschritte entwickeln sich auf dem Gebiet der Identifizierung von Personen, die vor einer Überwachungskamera natürlich agieren. Robbie.AI, zum Beispiel, entwickelt ein System zur Erkennung menschlicher Emotionen.

"Ihr Gesicht liefert starke biometrische Hinweise, auch wenn Sie Ihre Haare färben", sagt Karen Marquez, Chief Executive Officer von Robie.AI. "Iris und Netzhaut sind etwas aufdringliche Alternativen, da man sich in der Nähe der Sensoren aufhalten muss, und das ist keine natürlicher Vorgang.”

Ein weiteres Beispiel stammt von dem in Seattle ansässigen Technologieunternehmen RealNetworks, wo Mike Vance, Senior Director of Product Management, Dutzende von Anfragen von Schulen aus dem ganzen Land erhalten hat, die an dem Programm Secure, Accurate Facial Recognition (SAFR) von RealNetworks teilnehmen möchten.

SAFR wurde Anfang des Jahres mit geringem Aufwand an zwei Pilotschulen in Seattle eingeführt. Es kombiniert handelsübliche Videoüberwachungskameras und PCs mit der von RealNetworks gelieferten Gesichtserkennungssoftware. Das System erkennt Lehrer, Administratoren und Eltern sofort. Es öffnet ihnen Sicherheitstüren und alarmiert die Sicherheitsbeauftragten, wenn eine Überwachungskamera einen unbefugten Erwachsenen auf dem Schulgelände erblickt.

“Die Genauigkeit, die wir und andere erreichen konnten, übertrifft bei weitem das, was vor drei Jahren möglich war", sagt Vance. "Wir können Ihnen jetzt sagen, ob jemand, der vor einer Kamera steht, derjenige ist, der er zu sein behauptet. Wir können sie aus Millionen von Menschen in einer Datenbank in Sekundenbruchteilen herausfinden.”

Robie.AI und RealNetworks sind bei weitem nicht die einzigen, die Gesichts-ID-Systeme in den kommerziellen Markt bringen wollen. Google, Apple, Facebook und Microsoft haben umfangreiche Ressourcen in die theoretische Forschung in den verwandten Bereichen Künstliche Intelligenz, Bilderkennung und Gesichtsanalyse gesteckt. Und die Technologieriesen haben offen wichtige Erkenntnisse ausgetauscht, die das gesamte Feld beschleunigen sollen.

Mathematik als Basis

Auf einer grundlegenden Ebene dreht sich die Gesichtserkennungssoftware darum, Algorithmen auf die 2D- oder 3D-Bilder eines menschlichen Gesichts anzuwenden, die die Konturen von Augen, Nase, Lippen, Ohren, Kinn und zahlreichen anderen Variablen korrelieren. Dank der Fortschritte bei Sensoren, Rechenleistung, Datenanalyse und neuronalen Netzwerken sind Gesichtserkennungs- und Gesichtsabgleichungsprozesse sehr schnell und immer genauer geworden.

Die erste Generation von Gesichtserkennungssystemen ist seit Jahren an Flughäfen und Grenzübergängen weit verbreitet und wird hauptsächlich von Grenzkontrollbeamten und Strafverfolgungsbehörden eingesetzt, um Kriminelle zu fangen und Terroristen abzuschrecken. Ihre Nutzung für den Sicherheitszugang in anderen öffentlichen Einrichtungen, wie Schulen und Arbeitsplätzen, scheint Teil eines natürlichen Fortschritts zu sein.

Das System von RealNetwork basiert beispielsweise auf der Streaming-Technologie, die es in den 90er Jahren für Medienplayer entwickelt hat, kombiniert mit Bildern, die über die kostenlose RealTimes-App gesammelt wurden, mit der Benutzer Diashows für Fotos erstellen können. Fotos und Videos von Kunden wurden mit deren Erlaubnis verwendet, um die Gesichtserkennungsmaschine von RealNetworks zu trainieren, die 1600 Datenpunkte für jedes Gesicht abbildet. SAFR ist darauf abgestimmt, Personen zu identifizieren, die an einer Videokamera vorbeigehen und nicht direkt auf das Objektiv schauen. Es kann eine Vielzahl von Hauttönen darstellen und Nuancen nach Geschlecht, Alter und Geographie unterscheiden.

“Der Algorithmus, den wir entwickelt haben, bezieht sich wirklich auf unsere Expertise aus den 90er Jahren, als wir Videos scannen konnten", erklärt Vance. "Wir waren damals in der Lage, unter extremen Bedingungen zu arbeiten, ohne viel Bandbreite, mit der wir arbeiten konnten... wir entwickelten Technologien, um das richtige Bild aus einem Videostrom auszuwählen und mit einer Datenbank zu vergleichen...”

Persönlichkeitsschutz

Bevor die breitere kommerzielle Verwendung von Gesichtsausweisen Fuss fassen kann, muss ein nichttechnisches Problem angegangen werden: die Privatsphäre. Jay Stanley, Senior Policy Analyst der American Civil Liberties Union, erkennt an, dass die Durchschnittsbürger viel mehr akzeptiert haben, dass Überwachungskameras, die ständig an sind, ein System versorgen, das sie ständig bewertet.

“Im Moment weiss jeder, dass, wenn man die Strasse entlang geht, man von vielen Videokameras aufgezeichnet wird, und dass das Video einfach auf einer Festplatte irgendwo sitzen wird und nichts wirklich passiert, es sei denn, etwas Dramatisches fällt vor", bemerkt Stanley. "Letztendlich geht es bei dieser Technologie darum, dass wir in einer Überwachungsgesellschaft landen könnten, in der Ihr Ausweis Ihr Gesicht ist und jeder in jedem Moment Sie beobachtet und überwacht.” Mit der breiteren kommerziellen Nutzung kommt das Potenzial für die Machthaber, die Technologie zu missbrauchen, sagt Stanley. "Wir sprechen von einer enorm mächtigen Überwachungsfähigkeit, die keine Regierung in der Geschichte der Menschheit je hatte.”

Datenschutzvertreter müssen nur nach China schauen, um ihre Ängste zu schüren. Chinas Präsident Xi Jinping bemüht sich verstärkt, über die Fähigkeit zur ständigen Überwachung und Bewertung der chinesischen Bürger zu verfügen. China hat ein nationales Überwachungsnetzwerk mit 200 Millionen Kameras errichtet, das Vierfache der Anzahl in den USA, und plant, bis 2020 300 Millionen Kameras einzurichten, so ein Bericht der New York Times. China sagt, dass es dieses Überwachungsnetz benutzt, um Verbrecher und Gesetzesübertreter aufzuspüren, einschliesslich unaufmerksamer Fussgänger, deren Strafe darin besteht, dass ihre Gesichter auf riesigen digitalen Aussenbildschirmen neben Listen von Namen von Personen angezeigt werden, die ihre Rechnungen nicht bezahlen.

Die Entwicklungen in China sind von der US-Technologiegemeinde nicht unbemerkt geblieben, die zu Recht besorgt ist, wie eine Art autoritärer Missbrauch den noch jungen Gesichts-ID-Markt in den USA stören könnte. Im Juli tat Microsofts Präsident und Chief Legal Officer Brad Smith etwas, was diese Unternehmensführer sehr selten tun: Er forderte sogar eine staatliche Aufsicht. "Wir leben in einer Nation von Gesetzen, und die Regierung muss eine wichtige Rolle bei der Regulierung der Gesichtserkennungstechnologie spielen", schrieb Smith in einem Blogbeitrag.

RealNetworks' Vance befürchtet, dass immer mehr Bundesstaaten individuelle Datenschutzbestimmungen erlassen könnten, die zu einem Flickenteppich von Einschränkungen führen würden. Der Bundesstaat Washington zum Beispiel verabschiedete 2017 ein Gesetz, das Unternehmen verpflichtet, Einwohner des Bundesstaates zu informieren, bevor sie biometrische Daten sammeln und detailliert darlegen müssen, wofür die Daten verwendet werden, so wie es in der gesamten Europäischen Union erforderlich ist.

 

Threatpost.com; Brian V. Acohido; 12.11.2018

https://threatpost.com/new-boom-in-facial-recognition-tech-prompts-privacy-alarms/138979/

12/2018

Die meisten Unternehmen bereiten sich nicht frühzeitig auf Cybersicherheitsangriffe vor, was die Bemühungen um eine Reaktion behindert und zu schlechteren Ergebnissen führt..


So Paul Chichester, Betriebsleiter des National Cyber Security Centre (NCSC). In einem Interview sagte er, dass Organisationen erkennen müssen, dass es unmöglich ist, sich gegen jeden denkbaren Angriff zu verteidigen, und deshalb sollten mehr Anstrengungen unternommen werden, um sich auf verschiedene Szenarien nach einem Angriff vorzubereiten.


"Wir sind hier, um die schwersten Vorfälle zu bewältigen - dazu gehören Hilfe und Beratung am Telefon", sagte er. "Oder wir entsenden unser Team in die Organisation, wo wir ihnen helfen werden, den Vorfall vor Ort zu bewältigen. Wir könnten einige forensische Arbeiten mit ihnen durchführen, und dann, je nachdem, wie lange dieser Vorfall andauert, könnten wir ihnen raten, ein Unternehmen einzubringen, das wir im Rahmen eines Schemas namens Cyber Incident Response Schema, das der NCSC betreibt, überprüfen."


Er sagte, dass die Schwere der Vorfälle sehr unterschiedlich sein kann. Sie gingen von WannaCry, was dazu führte, dass Tausende von NHS-Terminen abgesagt wurden, zu den Angriffen auf British Airways und Ticketmaster, die zur Kompromittierung von Personendaten und zum Diebstahl von Hunderttausenden von Kreditkartendaten führten.


Trotz des Ausmasses der Bedrohung und der möglichen Folgen sagt er, dass die Zahl der Unternehmen ohne eine Strategie Zum Vorgehen nach einem Vorfall schwindelerregend ist. "Im Moment ist es nur allzu verbreitet, dass nicht geplant wird. Eines der Dinge, die wir wirklich vorantreiben wollen, ist, die Leute dazu zu bringen, darüber nachzudenken, was sie in einem Vorfall tun würden, denn, wie unser CEO Ciaran Martin sagt, es geht darum, wann, nicht ob", sagte er.


Der Cyber Security Breaches Survey 2018 der britischen Regierung ergab, dass nur 30 Prozent der Unternehmen und 24 Prozent der Wohltätigkeitsorganisationen Vorstandsmitglieder oder Bevollmächtigte haben, die für die Cybersicherheit verantwortlich sind, und nur 13 Prozent der Unternehmen und acht Prozent der Wohltätigkeitsorganisationen haben Cybersicherheits-Vorfallsmanagementprozesse eingeführt.


Chich meinte, dass es nicht möglich ist, jeden Angriff zu blockieren, so dass Unternehmen sicherstellen müssen, dass sie über robuste Reaktionspläne für die Periode nach einem Vorfall verfügen. "Viele Organisationen werden eine Art Cyberunfall haben, und wir denken, dass der wirklich wichtige Teil ist, wie man reagiert", sagte er.


Laut dem jüngsten Jahresbericht des NCSC wurde es zu 567 Vorfällen in den letzten 12 Monaten beigezogen und in etwa zur gleichen Zahl im Vorjahr. Das heisst, in den zwei Jahren seit seiner Inbetriebnahme hat es rund 1100 Unternehmen bei der Sanierung, Wiederherstellung und dem Wiederaufbau nach einem schweren Cybersicherheitsvorfall unterstützt.


Alle diese Vorfälle wurden zwischen Kategorie zwei und vier eingestuft, was bedeutet, dass sie schwerwiegende Auswirkungen auf eine mittlere oder grosse Organisation, die Zentralregierung oder eine wesentliche Dienstleistung hatten oder einen grossen Teil der Bevölkerung betrafen oder die Wirtschaft schädigten.


Ein Vorfall der Kategorie eins - definiert als "ein Cyberangriff, der eine nachhaltige Störung wesentlicher Dienste im Vereinigten Königreich verursacht oder die nationale Sicherheit im Vereinigten Königreich beeinträchtigt und zu schwerwiegenden wirtschaftlichen oder sozialen Folgen oder zum Verlust von Menschenleben führt" - ist glücklicherweise nicht eingetreten.... noch nicht.


Wenn er also nicht die Reaktion auf Vorfälle koordiniert, ermahnt er die Organisationen, Übungen zur Reaktion auf Vorfälle durchzuführen und so viele Mitarbeiter wie möglich einzubeziehen.


Die Cyber-Breach-Umfrage, die 1519 britische Unternehmen und 569 registrierte Wohltätigkeitsorganisationen umfasste, ergab, dass 20 Prozent der Unternehmen und 38 Prozent der Wohltätigkeitsorganisationen ihre Führungskräfte nie über Cybersicherheitsfragen informieren und nur 20 Prozent der Unternehmen und 15 Prozent der Wohltätigkeitsorganisationen haben in den letzten 12 Monaten Mitarbeiter an internen oder externen Cybersicherheitstrainings teilnehmen lassen.


"Cybersicherheit aus Sicht eines Vorfalls wird wahrscheinlich jeden im Unternehmen betreffen. Also eigentlich willst du eine starke Kommunikationsgeschichte, du willst, dass dein Kommunikationsdirektor beteiligt wird. Es kann Auswirkungen auf die Mitarbeitenden haben, also möchten Sie, dass Ihr Personalchef einbezogen wird", sagte er. "Sehr oft denken die Leute, dass es bei Vorfällen nur um den IT-Leiter geht, aber eigentlich ist es ein viel organisationsübergreifenderes Thema, und deswegen versuchen wir, bei den Unternehmen durch Übungen das Verständnis dafür zu wecken."


Die Art und Weise, wie er eine Organisation betrachtet, ist "viel mehr wie sie auf einen Vorfall reagieren, als darüber, was sie vorher getan haben. Es ist wirklich wichtig, dass sich Unternehmen vorbereiten - nicht nur auf technischer Ebene. Eines der wirklich wichtigen Dinge ist, dass Sie Übungen auf Vorstandsebene durchführen."


Mit Blick auf das Jahr 2019 fordert Chich die Organisationen auf, sich auf ihre operative Belastbarkeit zu konzentrieren. Er sagt, das bedeutet, sich nicht nur auf den so wichtigen Datenschutz zu konzentrieren, sondern auch auf den Geschäftsbetrieb. Gezielte Ransomware-Angriffe wurden von der NCSC und den Strafverfolgungsbehörden auf der ganzen Welt als eine grosse und wachsende Bedrohung identifiziert.


Unternehmen sollten sich auch auf die Sicherheit ihrer Lieferketten konzentrieren, was die Unternehmen zusätzlich damit belastet, nicht nur die Sicherheit ihrer Lieferanten zu überwachen, sondern auch ihre eigenen Kunden hinsichtlich ihres Sicherheitsstatus zu versichern.

 

 

Scmagazineuk.com; Tom Reeve; 23.11.2018

https://www.scmagazineuk.com/exclusive-interview-ncsc-operations-director-advises-recovering-breach/article/1519366

12/2018

BAE Systems und SWIFT, der Anbieter von Finanznachrichtendiensten für Banken weltweit, haben kürzlich die Bedrohungen bewertet, denen verschiedene Teile des Finanzsektors durch APT (Advanced Persistent Threat - fortgeschrittene andauernde Bedrohungen)-Akteure ausgesetzt sind. Sie taten dies gegen eine Reihe von Bedrohungsfaktoren, die die Einschätzung einer APT-Gruppe darüber beeinflussen könnten, ob sie Angriffe gegen sie entwickeln und durchführen soll.  


Zu den untersuchten Faktoren gehörten die Leichtigkeit, mit der eine APT-Gruppe die Infrastruktur eines bestimmten Finanzmarktes angehen könnte, und die Unternehmen, die diese Infrastruktur für ihre Geschäfte nutzen. Die beiden Unternehmen analysierten auch die potenziellen finanziellen Gewinne, die eine APT-Gruppe aus der Konzentration auf einen bestimmten Finanzmarkt erzielen könnte, die Leichtigkeit, mit der sie gestohlene Vermögenswerte monetarisieren und Angriffe wiederholen könnten, sowie die Rückverfolgbarkeit und Tarnung.


Darüber hinaus untersuchten die Forscher so genannte Empfindlichkeitsfaktoren, um die inhärenten Verwundbarkeiten der Finanzmärkte gegenüber Cyber-Bedrohungen zu ermitteln. Im Rahmen dieser Übung bewerteten die Forscher Faktoren wie die transaktionale und operative Komplexität, die Maturität manueller und automatisierter Prozesse, die Maturität der regulatorischen Aufsicht und die Verfügbarkeit gegenseitiger Checks and Balances zur Erfassung von Fehlverhalten. Jedem der Bedrohungs- und Anfälligkeitsfaktoren wurde dann eine hohe, mittlere oder niedrige Schweregradbewertung zugeordnet.


Forscher fanden heraus, dass der Wertpapiermarkt einer grösseren Cyberbedrohung ausgesetzt ist als andere Bereiche des Finanzsektors. Sowohl die Infrastruktur, die für Aktivitäten wie Handel, Aktien, Anleihen und Derivate genutzt wird, als auch die Organisationen, die sie für diese Zwecke nutzen, sind einem höheren Cyberangriffsrisiko ausgesetzt als Banken, Devisenmärkte und Handelsfinanzierungsgesellschaften, die im internationalen Handel tätig sind.


Ein wesentlicher Grund ist die grosse Anzahl von Teilnehmern und Infrastrukturen in diesem Sektor, die Komplexität der Transaktionen, die langen Custody-Ketten und die allgemein unstrukturierte Art der Kommunikation, so BAE und SWIFT.


Sie befanden, dass Angriffe auf Infrastrukturkomponenten des Sicherheitsmarktes, wie z.B. die elektronische Handelsbestätigung und die Zentralverwahrung von Wertpapieren, den Bedrohungsakteuren erhebliche Renditen bringen würden, auch wenn solche Angriffe einen gewissen Aufwand erfordern würden. Zu den Unannehmlichkeiten, die Angreifer in diesem Markt anrichten könnten, gehören die Manipulation von Daten wie Wertpapierbesitz und -werten bei einem Zentralverwahrer sowie die Manipulation von Markt- und Referenzdaten.


Ein wesentlich grösseres Risiko besteht für die Teilnehmer oder Organisationen, die die Infrastruktur tatsächlich für wertpapierbezogene Aktivitäten nutzen. BAE und SWIFT fanden unterschiedliche Niveaus der Cyber-Maturität und nicht standardisierte, unstrukturierte Prozesse, die von Unternehmen in diesem Bereich verwendet werden. Viele Unternehmen verwenden Faxe und E-Mails für die Kommunikation und verwalten kritische Daten in Tabellenkalkulationen, sagten die beiden Unternehmen. Schwachstellen in diesem Segment geben Angreifern u.a. die Möglichkeit, die Fälschung von Handelsaufträgen, die Fälschung von Anweisungen an Wertpapierverwahrstellen und die Ausnutzung bestimmter Marktpraktiken zum Diebstahl von Wertpapieren zu instigieren. Was den finanziellen Gewinn anbelangt, so würden Cyberattacker jedoch wahrscheinlich weniger aus dem Angriff auf Teilnehmer am Wertpapiermarkt machen als aus dem Angriff auf Infrastrukturkomponenten.


Die meisten Bedenken über Angriffe auf den Finanzsektor haben sich auf die Bankensegmente konzentriert. Angriffe wie der, der 2016 die Bank of Bangladesh mehr als 80 Millionen Dollar gekostet hat, haben die Aufmerksamkeit auf die Schwachstellen des Bankensystems gelenkt. Die Studie von BAE und SWIFT zeigt, dass Banken und Zahlungssysteme in Wirklichkeit relativ weniger gefährdet sind als der Wertpapiermarkt, weil die Bedrohungen etwas besser verstanden werden und weil es eine Regulierungsaufsicht gibt. Die Auszahlung gestohlener Vermögenswerte ist aber auch für APT-Gruppen im Banken- und Zahlungsmarkt schwieriger, so die beiden Unternehmen.


"Keiner der spezifischen Finanzmärkte ist unbedingt sicher", sagt Pat Antonacci, Global Director des Kundensicherheitsprogramms bei SWIFT. Der grösste Teil der bisherigen Bedrohungsaktivitäten entfällt auf den Bereich Banken und Zahlungssysteme. Es gab Angriffe auf Kartennetzwerke, Geldautomaten, verteilten Ledgerraum und andere Aspekte des Marktes. Aber die meisten der erfolgreichen Angriffe waren am Rande des Netzwerks und nicht so sehr auf die Kerninfrastruktur, sagt Antonacci. APT-Gruppen haben vor kurzem damit begonnen, ihre Angriffe auf andere Finanzmärkte auszudehnen. "Die Verschiebung geschieht, weil die Bösewichte dorthin gehen, wo das Geld ist und wo es weniger Sicherheit gibt", sagt er.


In vielen Fällen verfügen Angreifer über fundierte Kenntnisse über das Funktionieren des Finanzmarktes. Unklar ist, ob sie dieses Wissen aus öffentlichen Quellen oder von Insidern und anderen privaten Quellen erhalten. Auch wenn Angreifer den ersten Zugang zu einem Finanznetzwerk erhalten, neigen sie dazu, sich monatelang zusammen zu verstecken, das Gelände zu überwachen, die Funktionsweise des Systems kennenzulernen und die vorhandenen Kontrollen und Massnahmen zur Erkennung bösartiger Aktivitäten zu verstehen. Sobald sie also bereit zur Ausführung sind, haben sie gute Systemkenntnisse, sagt Antonacci.

 

 

Darkreading.com; Jay Vijayan; 19.11.2018


https://www.darkreading.com/attacks-breaches/securities-markets-at-high-risk-of-cyberattack/d/d-id/1333309

12/2018

Die vierte industrielle Revolution (Industry 4.0) ist eng mit dem Thema Cybersicherheit verbunden. Eine schnell wachsende Zahl von Industry 4.0- Cybersicherheitsvorfällen bedeutet, dass die Cyberresilienz unbedingt gestärkt werden muss.


Dies gilt insbesondere für Industrieunternehmen, die beginnen, das Internet der Dinge (IoT) und Industry 4.0-Lösungen zu nutzen. Die Notwendigkeit, die Cybersicherheit von Industry 4.0 zu verbessern, ist umso wichtiger, als die potenziellen Auswirkungen relevanter Bedrohungen von der Gefährdung der physischen Sicherheit bis hin zu Produktionsausfällen, dem Verderb von Produkten bis hin zu beschädigten Geräten sowie den daraus resultierenden finanziellen und Reputationsschäden reichen.


Die in dieser Studie von der ENISA aufgeführten Leitlinien und Sicherheitsmassnahmen zielen darauf ab, die Cybersicherheitslage von Industrie 4.0-Organisationen zu verbessern, die industrielle IoT-Geräte und -Lösungen zur Verbesserung der Automatisierung im industriellen Betrieb eingeführt haben oder einzuführen planen. Diese Sicherheitsmassnahmen gelten für ein breites Publikum, das von industriellen IoT-Betreibern bis hin zu Herstellern und Anbietern reicht, die diese Massnahmen und Empfehlungen als Checkliste nutzen können, um ihre Sicherheitsvorkehrungen in Bezug auf ihre Industry 4.0-Lösungen zu überprüfen.


Steve Purser, Leiter der Core Operations Abteilung der ENISA, sagte: "Die im Rahmen von Industry 4.0 geplante fortgeschrittene Digitalisierung stellt einen Paradigmenwechsel in der Arbeitsweise der Industrien dar und verwischt die Grenzen zwischen der physischen und digitalen Welt. Da die Sicherheit der Bürger aufgrund ihres cyberphysikalischen Charakters einen grossen Einfluss auf die Sicherheit, Sicherung und Privatsphäre der Bürger hat, sind die Sicherheitsherausforderungen im Zusammenhang mit Industrie 4.0 und IoT erheblich. ENISA veröffentlicht diese Studie, die sich mit diesen Herausforderungen befasst und in Kombination mit der grundlegenden IoT-Sicherheitsarbeit die Grundlage für ein sicheres industrielles IoT-Ökosystem bildet. IoT ist zusammen mit Industry 4.0-Cybersicherheit das Sprungbrett für eine sicherere und widerstandsfähigere vernetzte Welt.”


Die Studie liefert eine Reihe von Beiträgen, so vor allem:

  • Definition relevanter Terminologie (z.B. Begriffe wie Industry 4.0, Smart Manufacturing, Industrial IoT),
  • Kategorisierung der Industry 4.0 Assets in einer umfassenden Taxonomie über den gesamten Herstellungsprozess und die Wertschöpfungskette hinweg,
  • Einführung einer detaillierten Industry 4.0-Taxonomie für Bedrohungen, die auf verwandten Risiken und Angriffsszenarien basiert, und
  • Auflistung der Sicherheitsmassnahmen im Zusammenhang mit dem Einsatz von IoT in der intelligenten Fertigung und Industrie 4.0 und deren Zuordnung zu den Bedrohungen und betroffenen Assets.

 

Darüber hinaus stellt die Studie bestehende Sicherheitsinitiativen, -standards und -systeme vor. Die ENISA hat mehr als 150 Ressourcen zur Sicherheit von Industrie 4.0 und IoT überprüft und mit den in dieser Studie vorgeschlagenen Sicherheitsmassnahmen verglichen. Interessierte Leser, die heute mit einer fragmentierten Informationslandschaft konfrontiert sind, erhalten dadurch einen besseren Überblick und eine gemeinsame Verständnisgrundlage.


Die Agentur betrachtete die Sicherheit von Industry 4.0-Geräten und -Dienstleistungen während ihres gesamten Lebenszyklus (von der Konzeption bis zum Ende der Lebensdauer und der Stilllegung) und berücksichtigte die spezifischen Anforderungen an eine Industry 4.0-Umgebung. Die Studie listet 110 Sicherheitsmassnahmen in 20 verschiedenen Sicherheitsbereichen auf, die von Sicherheit und Datenschutz nach Design bis hin zu Externen- und Schwachstellenmanagement sowie Zugangskontrolle und -überwachung reichen. 


Mit dieser Studie will die ENISA die Voraussetzungen für die Cybersicherheit von Industrie 4.0 und industriellem IoT in der gesamten Europäischen Union schaffen, um die notwendige Zusammenarbeit zu fördern und das Bewusstsein für relevante Bedrohungen und Risiken zu schärfen, wobei der Schwerpunkt auf "Sicherheit für die Sicherheit" liegt.


Der Report (in englischer Sprache) kann hier runtergeladen werden. 

 

 

Enisa.europe.eu; 19.11.2018


https://www.enisa.europa.eu/news/enisa-news/cybersecurity-is-a-key-enabler-for-industry-4-0-adoption

12/2018

Während sich ein Grossteil der Aufmerksamkeit der Sicherheitsforscher auf Bösewichte im Darknet konzentrierte, ist es in Wirklichkeit eine Unterwelt von anspruchsvollen Cyberkriminellen, die für die Cybervergehen verantwortlich sind, die die grössten finanziellen Verluste verursachten, so der State of Cybercrime Report 2018 von Secureworks.


“Die Unterscheidung ist wichtig, da Commodity-Malware zwar sehr schädlich sein kann, aber häufig hoch automatisiert und nicht auf das Opfer zugeschnitten ist", sagte Keith Jarvis, CTU-Forscher bei Secureworks. "Der hochentwickelte Angreifer hat die Zeit und die Ressourcen, um mit dem Netzwerk des Opfers zu kommunizieren. Sie können die Geschäfts- und Finanzabläufe des Unternehmens kennenlernen, feststellen, wo wichtige Daten gespeichert sind, und sogar überwachen, wie interne Sicherheitsteams auf Vorfälle reagieren.”


Während diese Akteure Waren und Dienstleistungen über das dunkle Netz verkaufen, wäre es für Sicherheitsexperten und Forscher schwierig, sie oder ihre Vergehen aufzuspüren, indem sie die Aktivitäten dort überwachen, fanden Forscher. Stattdessen agieren die schlimmsten und anspruchsvollsten Cyberkriminellen, die die von den Nationalstaaten eingesetzte Ransomware und Malware entwickeln und verkaufen, "tief in den Schützengräben", so der Bericht.


“Sie sind die hochentwickelten Bedrohungsgruppen, die an einem Tag Millionen von Dollar stehlen, indem sie in die Banknetze eindringen und die Anti-Betrugskontrollen deaktivieren, um fast gleichzeitig Bargeldbezüge an Geldautomaten auf der ganzen Welt durchzuführen", schrieben Forscher. "Sie sind die gut organisierten Banden, die Käufer um Hunderttausende oder sogar Millionen von Dollar betrügen, indem sie sich in die Mitte grosser Geschäftsabschlüsse oder Immobilienkäufe einfügen.”


Das heisst aber nicht, dass gewöhnliche Cyberkriminelle nicht auch gefährlich sind. Niedrigpreisige Cyberkriminelle sind ständig mit Aktivitäten beschäftigt, die als "Hintergrundlärm" dienen, sie arbeiten unter dem Radar und beeinflussen Unternehmen auf der ganzen Welt, fanden Forscher heraus.

 

Das Darkweb stärkt die Cyberkriminalität

 

Die Forscher nutzten eine Kombination aus Dark Web Monitoring, Client-Markenüberwachung und automatisierter technischer Verfolgung von Cyberkriminalitäts-Toolsets, um die Ergebnisse der Studie zu ermitteln, die zwischen Juli 2017 und Juni 2018 in 4400 Unternehmen gesammelt wurden.


Selbst wenn sie nicht so wirkungsvoll sind wie komplexere Angriffe, stellen häufigere Methoden der Cyberkriminalität wie Ransomware, Banken-Malware und Point-of-Sale Memory Scraper weiterhin eine grosse Bedrohung wegen ihrer Verfügbarkeit zum Kauf im Dark Web dar, sagten Forscher.


Cyberkriminelle werden immer kreativer und anpassungsfähiger. Mit dem Anstieg der Nutzung und der Investitionen in Kryptowährungen wie Bitcoin und Monero ist eine neue Form der Cyberkriminalität entstanden: das Krypto-Mining, das Kaspersky Labs als die neue Ransomware betrachtet hat. Forscher fanden heraus, dass, obwohl beide führenden Kryptowährungen seit Januar die Hälfte ihres Wertes verloren haben, das illegale Mining von Kryptowährungen einen lukrativen RoI bietet und trotz gegenteiliger Berichte nicht nachlässt.


Diese Art von Verbrechen wird auch in der kriminellen Gemeinschaft als "weniger moralisch bedenklich und weniger wahrscheinlich angesehen, um Strafverfolgungsmassnahmen auf sich zu ziehen als andere Arten von Angriffen", ein weiterer Grund für seine anhaltende Popularität unter niederstufigen Cyber-Kriminellen, sagten Forscher.


Der Bericht untersuchte Trends im Dark Web, um zu sehen, wie sie sich auf die nach wie vor am weitesten verbreiteten cyberkriminellen Methoden auswirken. Forscher fanden heraus, dass Spam-E-Mails die wichtigste Art und Weise sind, wie Malware an die Benutzer verteilt wird. Akteure, die Malware auf diese Weise bereitstellen, verzichten auf die Miete von riesigen Spam-Botnetzen wie Cutwail, Necurs und Phorpiex, um eher Kunden-Malware zu entwickeln.


Rohstoffe, die für schlechte Akteure wertvoll bleiben, sind Datensätze und der Zugang zu Systemen - wie Benutzerpasswörter - von denen beide immer noch in grossen Mengen im Dark Web verkauft werden, fanden Forscher heraus.

 

 

Securityledger.com; Elizabeth Montalbano; 15.11.2018


https://securityledger.com/2018/11/report-small-stealthy-groups-behind-worst-cybercrimes/

12/2018

Leitfaden für die Umsetzung der EU-Datenschutz-Grundverordnung und des Bundesdatenschutzgesetztes


Die Datenschutz-Grundverordnung der Europäischen Union ist ab 25.05.2018 in allen Unternehmen und Organisationen unmittelbar und zwingend anzuwenden. Das vorliegende Buch unterstützt Vereine und deren Datenschutzbeauftragte bei der systematischen Umsetzung der EU-DSGVO und des neuen BDSG im Vereinsalltag. Denn gerade Vereins- und Stiftungsunterlagen beinhalten viele sensible Daten und geben u.a. sehr detaillierte Einblicke in die privaten Belange ihrer Mitglieder und Begünstigten.

Autor: Harald Dauber

ISBN-10: 3955543706

11/2018

Öffentlichkeit und Privatheit im Web 2.0


Die forschungsleitende These des Sammelbandes ist, dass die Genese von Öffentlichkeit und Privatheit sich spezifischen, empirisch nachvollziehbaren Herstellungspraktiken verdankt, die jeweils an mediale Bedingungen gekoppelt ist. Diese Ausgangsthese schließt einerseits an eine soziologisch fundierte Tradition in der Erforschung der Hervorbringung von öffentlichen und privaten Räumen an und erprobt andererseits ihre in historischen Analysen bewährte Überzeugungskraft für eine empirische Rekonstruktion gegenwärtiger Medienkontexte.

 

Autoren: Martin Stempfhuber und Elke Wagner

ISBN-10: 3658117184

11/2018

Der erste dokumentierte Cyberangriff auf das Internet der Dinge (IoT) fand 2014 statt, als ein intelligenter Kühlschrank auf frischer Tat ertappt wurde wie er über 750000 Spam-E-Mails generierte, nachdem er von einem Botnetz-Angriff gekapert worden war. Ein weniger lang zurückliegender Fall in den USA betrifft einen mit dem Internet verbundenen Thermostat in einem Aquarium, der von Hackern erfolgreich kontrolliert wurde, um auf eine Datenbank mit Spielern mit hohen Rollen in einem Casino zuzugreifen.

In einem weiteren Fall griffen Hacker auf das Firmennetzwerk eines Online-Shops zu, indem sie Anmeldeinformationen und E-Mail-Konten von drei der Mitarbeitenden verwendeten. Die Hacker stahlen persönliche Informationen und verschlüsselte Passwörter der 145 Millionen Benutzer und blieben fast 230 Tage lang unentdeckt.

Doch nicht nur Hacker sind für Verstösse verantwortlich. Laut dem Büro des australischen Datenschutzbeauftragten sind 59% der Datenschutzverletzungen auf böswillige oder kriminelle Angriffe zurückzuführen, 36% sind auf menschliches Versagen innerhalb des Unternehmens zurückzuführen.

Angesichts dieser fortlaufenden Liste von gemeldeten Sicherheitsverletzungen und Schlagzeilen in der Presse sollten Unternehmen nicht fragen, OB es passieren wird, sondern WANN. Dennoch geraten die Unternehmen in Verzug, wenn es um die Umsetzung einer proaktiven Sicherheitsstrategie geht.

Werfen wir einen tieferen Blick auf jeden dieser Bedrohungsfälle, um zu verstehen, wie und warum diese Sicherheitsvorfälle auftreten und was Unternehmen tun können, um das Risiko zu verringern, das nächste Opfer der Cybersicherheit zu werden.

Bedrohungsfall 1: IT-Sicherheit kann nicht mit dem IoT Schritt halten

Die meisten IoT-Geräte für Endanwender sind so konzipiert, dass sie leicht sind, mit eingeschränkten Verarbeitungsmöglichkeiten und in Bezug auf die Sicherheit nahezu ohne Funktionen. Hacker nutzen diese IoT-Geräte, wie im Falle des intelligenten Kühlschrank- und Aquarienthermostaten, um in die Netzwerke von Organisationen zu gelangen. Sie können problemlos ein IP-fähiges Gerät übernehmen oder steuern, Daten extrahieren und/oder bösartigen Code implantieren, der die Hintertür in einem System öffnet, ohne bemerkt zu werden.

Erschwerend kommt hinzu, dass es eine rasante Zunahme von vernetzten Geräten oder IoT gibt, die laut einem aktuellen Herstellerbericht von derzeit 8,4 Milliarden auf 50 Milliarden bis 2020 ansteigen dürfte.
Leider ist es für Unternehmen fast unmöglich, ein Produkt vom Markt zurückzurufen, wenn Sicherheitsprobleme festgestellt werden, noch können sie vollständig durch nachträgliche Firmware-Upgrades oder Software-Patches behoben werden.

Um diese Art von Angriffen in Zukunft zu verhindern, müssen Unternehmen Security proaktiv angehen, indem sie ein Cloud-Netzwerk als Verteidigungsebene nutzen. Durch die Einrichtung einer sicheren, authentifizierten Verbindung zwischen dem Endgerät und dem Ursprungsserver können Unternehmen Backdoor-Schwachstellen direkt blockieren und gleichzeitig sicherstellen, dass Patches durchgeführt werden, ohne das Konsumentenerlebnis zu beeinträchtigen.

Bedrohungsfall 2: Automatisierung wird zum Schlupfloch für Hacker

Während australische Unternehmen ihre digitale Transformation fortsetzen, wird mehr Automatisierung implementiert, um Arbeitsabläufe, Effizienz und Gesamtleistung zu verbessern. Während immer mehr Unternehmen sich zur Effizienzsteigerung auf intelligente Geräte verlassen, übersehen sie manchmal, dass diese Technologien zu Zielen von Cyberkriminellen werden.

Erst kürzlich haben wir gesehen, wie der australische eSafety Commissioner vor dem Einsatz von sprachgesteuerten und intelligenten Geräten gewarnt hat, da sie für Hacker ein leichtes Schlupfloch darstellen. In einigen Fällen kann der Einsatz von sprachaktivierten Technologien und KI Cyberkriminellen den Zugang zu anderen IoT-Geräten ermöglichen, Sicherheitssysteme zu deaktivieren und personenbezogene Daten oder sensible Verbraucherdaten preisgeben.

Sobald dies geschieht, sind australische Unternehmen verpflichtet, ihre Datenschutzverletzungen im Rahmen des obligatorischen Systems für meldepflichtige Datenverstösse zu melden, was wiederum negative Auswirkungen auf den Ruf eines Unternehmens haben kann.

Bedrohungsfall 3: Vertrauen Sie niemandem, wenn die Anmeldeinformationen Ihrer Benutzer missbraucht werden können

Immer wieder hören wir Geschichten, in denen Hacker das Netzwerk eines Unternehmens infiltrierten, um Kundendaten durch die Verwendung gestohlener Zugangsdaten zu stehlen. Zu oft können diese Arten von Hacks wochenlang, sogar jahrelang unentdeckt bleiben. Laut einem aktuellen Bericht schätzen 67% der australischen Unternehmen, dass 55% der Verstösse im vergangenen Jahr unentdeckt geblieben sind. Der Grund, warum die Entdeckung von Verstössen durch Berechtigungsmissbrauch weniger wahrscheinlich ist, liegt darin, wie diese Angriffe konzipiert werden.

Im Gegensatz zu "Brute Force"-Angriffen, die mehrere Anmeldeversuche bei denselben Konten erzeugen, nutzen Credential-Missbrauchsangriffe Benutzernamen und Passwörter, die durch Datenschutzverletzungen oder böswillige Angriffe abgeflossen sind. Was diese Art von Angriffen für Cyberkriminelle so attraktiv macht, ist, dass Durchschnittsbenutzer dazu neigen, dieselben Anmeldeinformationen auf verschiedenen Websites und Geräten zu verwenden, einschliesslich Unternehmensanwendungen und Social Media-Websites.

Angesichts zunehmender Angriffe auf den Identitätsmissbrauch und von finanziellen Gewinnen motivierter Angreifer sollten sich Unternehmen nicht mehr auf Sicherheitslösungen vor Ort oder grundlegende Sicherheitskontrollen beschränken, sondern auf einen mehrstufigen Sicherheitsansatz setzen, der aktiv auf der Suche nach potenziellen Bedrohungen ist und diese blockiert.

Bedrohungsfall 4: Bedrohungen aus dem Unternehmen heraus

Mehr als die Hälfte der Beschäftigten gab zu, den Firmenlaptop für persönliche Aktivitäten zu nutzen, sei es beim Online-Shopping, beim Streaming eines Films oder beim Internet-Banking. Sie wissen nicht, dass Hacker sie beobachten können und auf dem Weg dorthin bösartige Codes in ihr Firmennetzwerk einspeisen können.

Darüber hinaus öffnen schwache Authentifizierung und Verschlüsselung, schlecht verwaltete Fernzugriffskontrolle und Passwörter für Auftragnehmer und Lieferanten Hintertüren in der Firewall und im VPN eines Unternehmens, was zu finanziellen Verlusten in Millionenhöhe führen kann. Ein aktueller Bericht des Ponemon Institute und von Akamai zeigt die durchschnittlichen Kosten für Angriffe auf Anmeldeinformationen für Unternehmen im asiatisch-pazifischen Raum von bis zu 28,5 Millionen US-Dollar pro Jahr.

Da sich mehr australische Unternehmen im Prozess der digitalen Transformation befinden, sollten Unternehmen einen strukturierten Sicherheitsansatz in Betracht ziehen. Implementieren Sie ein robustes Zugriffsmanagement, schützen Sie Ihre Daten, verschaffen Sie sich einen Überblick über alle Geräte und Benutzer und bewerten Sie aktiv Ihre Risikoexposition zu jeder Zeit. Noch wichtiger ist es, Brandbekämpfung zu vermeiden!

 

Anna Chan, CSO Online, 22.10.2018
https://www.cso.com.au/article/648557/proactive-security-strategies-stave-off-growing-cyber-attacks-iot-credential-abuse/

11/2018

Kaspersky Lab und die University of Oxford Functional Neurosurgery Group warnen in einem gemeinsamen Bericht, dass die Hirnstimulationsgeräte, die zur Behandlung von Erkrankungen wie Parkinson und OCD verwendet werden, Sicherheitslücken aufweisen, die es einem Angreifer möglicherweise ermöglichen würden, die medizinischen Implantate zu manipulieren.

Diese Fehler beinhalten Dinge wie Schwachstellen in den Webanwendungen, die zur Verwaltung der Geräte verwendet werden, und Fehler in den Tablet- und Smartphone-Anwendungen, mit denen Ärzte Daten der Implantate einrichten und aufzeichnen sowie schlechte Praktiken wie die Verwendung von Standardpasswörtern oder unverschlüsselten Datenübertragungen.

Die Schwachstellen selbst unterscheiden sich nicht von denen anderer medizinischer Implantate, wobei die Forscher seit langem darauf hinweisen, dass solche Fehler ein Schwachpunkt in der Sicherheitskette seien. Anfang dieses Monats veranlasste ein solcher Fehler das Medizinprodukteunternehmen Medtronic, die automatische Update-Unterstützung für eines seiner Produkte zur Programmierung von Herzschrittmachern abzuschalten.

Wo sich die Hirnimplantate unterscheiden, liegt, so Kaspersky, in ihrem enormen Entwicklungspotenzial. Die Studie stellte fest, dass biomedizinische Unternehmen bereits vorsehen, dass Implantate Erinnerungen zu verändern oder wiederherzustellen, um Krankheiten wie PTBS zu behandeln, und mit der Fähigkeit, das Gehirn direkt zu beeinflussen, wäre ein Angriff auf ein Gerät viel gefährlicher geworden.

"Obwohl noch keine Angriffe auf Neurostimulatoren beobachtet wurden, gibt es Schwachstellen, die nicht schwer auszunutzen sein werden", sagt der Kaspersky-Lab-Forscher Dmitri Galow.

"Wir müssen die Angehörigen der Gesundheitsberufe, die Cybersicherheitsbranche und die Hersteller zusammenbringen, um alle potenziellen Schwachstellen zu untersuchen und zu entschärfen, sowohl die, die wir heute sehen, als auch die, die in den kommenden Jahren auftreten werden."

Gleichzeitig stellt der Bericht fest, dass die Sicherheit bei dieser neuen Geräteklasse nicht das einzige Problem sein wird. Da Ärzte ungehinderten Zugang zu Geräten haben müssen, kann Sicherheit in ihrer jetzigen Form nicht umgesetzt werden, sondern muss aus einer ganzheitlicheren Sicht betrachtet werden.

"Wenn es um die zukünftige Sicherheit geht, gibt es zwei Dinge zu beachten", kommt der Bericht zu dem Schluss.
"Die erste besteht darin, dass viele der potenziellen Schwachstellen durch eine angemessene Sicherheitsaufklärung für klinische Pflegeteams und Patienten reduziert oder sogar beseitigt werden könnten. Zweitens haben die Bedürfnisse der Patienten immer Vorrang, was bedeutet, dass zwangsläufig Kompromisse eingegangen werden müssen."

 

Shaun Nichols, The Register; 29.10.2018
https://www.theregister.co.uk/2018/10/29/hacked_brain_implants/

11/2018

Laut dem von CyberX veröffentlichten Global IKS & IIoT Risk Report 2019 zielen Cyberkriminelle zunehmend auf die Schwachstellen industrieller Kontrollsystemen (IKS) und des industriellen Internets der Dinge (IIoT).

Der Bericht spiegelt die Ergebnisse der Daten wider, die in den letzten 12 Monaten in mehr als 850 IKS-Produktionsnetzen in allen Industriezweigen erhoben wurden. Die Daten zeigten zwar, dass industrielle und kritische Infrastrukturunternehmen ihre Risikosituation verbessert haben, bestehen aber immer noch grosse Lücken in Schlüsselbereichen ihrer allgemeinen Sicherheitsstrategien.

Nach der Analyse des realen Datenverkehrs aus IKS-Netzwerken in der Produktion fanden die Forscher heraus, dass 69% der Industrieanlagen Klartext-Passwörter im gesamten Netzwerk haben. Ein Verschlüsselungsfehler in älteren Protokollen führt dazu, dass sensible Anmeldeinformationen offen bleiben, was die Aufklärungsarbeit von Bedrohungsakteuren erheblich erleichtert.
Darüber hinaus machen direkte Internetverbindungen und schlechte Antivirenlösungen IKS zu einem weichen Ziel für Gegner. Der Bericht ergab, dass mindestens eine direkte Verbindung zum öffentlichen Internet an 40% der Standorte besteht. Da die Netzwerke der Betriebstechnik immer häufiger mit Unternehmens-IT-Netzwerken verbunden sind, schafft die Anbindung von Industrienetzen an das öffentliche Internet zusätzliche Zugangswege für Angreifer.

Die Trends im Jahresvergleich zeigten, dass die Prävalenz von Windows XP und anderen älteren Windows-Systemen zurückgegangen ist. Ein Grossteil dieser Bemühungen stammt aus dem Top-Down-Management, seit NotPetya zugeschlagen hatte. Im Jahr 2017 blieben drei von vier Systemen ungepatcht, aber die Forschung zeigte eine deutliche Verbesserung, wobei im Jahr nur noch 53% der Websites veraltete Windows-Systeme wie XP hatten.

"Wir sind nicht hier, um Angst, Unsicherheit und Zweifel zu schüren, aber wir halten es für wichtig, dass Führungskräfte eine datengesteuerte Sicht auf das IKS-Risiko haben, damit sie die richtigen Fragen stellen können", sagte Dan Shugrue, Senior Director of Industrial Cybersecurity bei CyberX, in einer Pressemitteilung. "Wir machen definitiv Fortschritte bei der Reduzierung des IKS-Risikos, aber wir haben noch einen langen Weg vor uns. Die Reduzierung des IKS-Risikos ist eine Reise - die meisten dieser IKS-Netzwerke wurden vor Jahrzehnten entwickelt, lange bevor Cybersicherheit eine wichtige Designpriorität war..”

 

Kacy Zurkus; Infosecurity Online; 25.10.2018
https://www.infosecurity-magazine.com/news/ics-iiot-increasingly-vulnerable/

11/2018

Die Bedeutung der Sicherung des Internets der Dinge

 

Unsere Welt ist heute in einem überwältigenden Masse miteinander verbunden. Nach aktuellen Schätzungen gibt es rund 10 Milliarden elektronische Geräte mit Internetzugang, deren Zahl sich bis 2020 mindestens verdoppeln wird. Neben den vielen Vorteilen und Möglichkeiten hat die sich abzeichnende Fähigkeit der angeschlossenen Geräte, die physische Welt zu beeinflussen, auch eine Reihe neuer Schwachstellen und Möglichkeiten der Ausbeutung durch Kriminelle geschaffen. Um diese Schwachstellen zu beheben, sie wirksam anzugehen und das grosse Potenzial, dass diese Geräte bieten, voll auszuschöpfen, haben die ENISA und Europol 400 Experten aus dem Privatsektor, der Sicherheitsgemeinschaft, der Strafverfolgung, der Gemeinschaft der Europäischen Computer Security Incident Response Teams (CSIRTs) und der Wissenschaft zu einer zweitägigen Konferenz in Den Haag zusammengebracht.

Das Internet der Dinge (IoT) ist ein breites und vielfältiges Ökosystem, in dem miteinander verbundene Geräte und Dienste Daten sammeln, austauschen und verarbeiten, um sich dynamisch an einen Kontext anzupassen, Entscheidungen zu automatisieren und ein besseres Situationsbewusstsein zu schaffen. Mit einfacheren Worten, es macht unsere Fernseher, Badezimmerwaagen, Kühlschränke und sogar unsere Autos und Städte "intelligent" und schafft neue Möglichkeiten für die Art und Weise, wie wir arbeiten, interagieren und kommunizieren, und wie Geräte reagieren und sich an uns anpassen. Das IoT hat zu unserem allgemeinen Komfort, der Benutzerfreundlichkeit und sogar der Sicherheit beigetragen, aber es ist wichtig, angemessene Sicherheitsmassnahmen zu ergreifen, um das IoT vor Cyberbedrohungen zu schützen. Was passiert, wenn billige und ungeschützte IoT-Geräte es Kriminellen ermöglichen, jede Ihrer Bewegungen von der Kamera Ihres Staubsaugers aus zu beobachten, die Einstellungen Ihres angeschlossenen medizinischen Gerätes zu ändern oder Ihr Auto in eine Wand zu fahren?

Diese Herausforderungen - ob technisch, rechtlich, politisch oder regulatorisch - müssen sektor- und stakeholderübergreifend angegangen werden. Im zweiten Jahr in Folge versammelten die ENISA und Europol gemeinsam die weltweit führenden Experten aus dem Privatsektor und der Strafverfolgungs- und Cybersicherheitsgemeinschaft, um die Sicherheitsherausforderungen rund um Industry 4.0, IoT-Anwendungsbereiche und konkrete Fallstudien in der Automobil-, Luftfahrt- und Smart Home-Industrie sowie neue IoT-Trends wie künstliche Intelligenz und digitale Forensik zu diskutieren.

Die zweite IoT-Sicherheitskonferenz bot eine einzigartige Plattform für Experten, um dem Publikum Einblicke in die Sicherheitsanforderungen des IoT zu geben, eine Kartierung relevanter Bedrohungen vorzunehmen, mögliche Angriffe zu bewerten und potenzielle gute Praktiken und Sicherheitsmassnahmen zu identifizieren, die zum Schutz von IoT-Systemen angewendet werden können, und die vielen Möglichkeiten, die das IoT bietet, sicher und die Privatsphäre schützend zu nutzen.

Die wichtigsten Schlussfolgerungen der Konferenz sind:

  • Sicherheit sollte beim Entwurf von Systemen nicht erst nachträglich berücksichtigt werden, IoT-Systeme bilden da keine Ausnahme;

  • Die Implementierung von Sicherheit muss nicht kompliziert sein. Wie der Bericht der ENISA zeigt, wurden grundlegende Sicherheitsempfehlungen für das IoT über eine interaktive Online-Tabelle zugänglich gemacht. Dies ermöglicht einen einfachen Zugang zu spezifischen bewährten Verfahren;

  • Die Strafverfolgungsbehörden müssen in der Lage sein, über die Verteidigung und die Reaktion auf Vorfälle hinauszugehen, indem sie in der Lage sind, die Straftäter, die angeschlossene Geräte missbrauchen, zu ermitteln und zu verfolgen;

  • Es besteht die Notwendigkeit, die digitale Forensik im Zusammenhang mit dem IoT und der Bedeutung des Datenschutzes und des Datenschutzes unter Berücksichtigung der Menge und der verschiedenen Kategorien von Daten, die vom IoT erhoben werden, zu diskutieren;

  • Diese gemeinsame Konferenz ist ein ausgezeichnetes Beispiel für den dringend benötigten multidisziplinären Dialog. Die ENISA und Europol arbeiten eng zusammen, um die wichtigsten Interessengruppen darüber zu informieren, dass sie sich der Cybersicherheit und der strafrechtlichen Aspekte im Zusammenhang mit der Bereitstellung und Nutzung dieser Geräte bewusst sein müssen;

  • Das IoT hat ein grosses Potenzial und bietet enorme Möglichkeiten, die Art und Weise, wie wir interagieren, Geschäfte machen und unseren Alltag gestalten, zu verbessern.

  • Im Jahr 2019 und darüber hinaus gilt es, ganzheitliche, pragmatische, praktische und wirtschaftlich tragfähige Sicherheitslösungen zu fördern und das gesamte IoT-Ökosystem zu untersuchen. Die ENISA wird an einer Automotive IoT-Fallstudie arbeiten und begrüsst die aktive Unterstützung aller Partner. Cybersicherheit ist eine gemeinsame Verantwortung. Zusammen mit anderen Initiativen sind engere Kooperationen mit der Industrie geplant, um koordinierte Anstrengungen zu gewährleisten und alle möglichen Synergien zu nutzen.

Steve Purser, Leiter der Core Operations-Abteilung der ENISA, kommentierte dies: "Es ist wichtig und notwendig, zusammenzuarbeiten, denn Cybersicherheit ist eine gemeinsame Verantwortung, und das gilt umso mehr im Bereich des IoT. Diese gemeinsame Konferenz ist ein ausgezeichnetes Beispiel für diese dringend benötigten multidisziplinären Dialoge. Die Vorteile und Möglichkeiten, die das IoT bietet, sind vielfältig und von grösster Bedeutung für die gesamte Gesellschaft. Es ist unsere Pflicht, dafür zu sorgen, dass dies auf sichere, sichere und zuverlässige Weise geschieht. Die IoT-Sicherheit ist eine Voraussetzung für eine sichere und vernetzte digitale Gesellschaft. Die Zeit, für die Sicherheit des Internet der Dinge zu handeln, ist jetzt gekommen. Ich begrüsse die Zusammenarbeit mit Europol und bin zuversichtlich, dass solche gemeinsamen Anstrengungen dazu beitragen werden, die IoT-Sicherheit für alle zu gewährleisten.”

Wil van Gemert, stellvertretender Exekutivdirektor von Europol, fügte hinzu: "Die Strafverfolgung muss über die Instrumente, Fähigkeiten und Fachkenntnisse verfügen, um den kriminellen Missbrauch des IoT zu untersuchen. Wir spielen zusammen mit unseren Partnern eine führende Rolle, um über die Erhöhung der Cybersicherheit und der Widerstandsfähigkeit des IoT hinauszugehen, da wir einen spezifischen Beitrag zur Abschreckung leisten können. Die Komplexität des IoT und die daraus resultierenden Herausforderungen der Cybersicherheit erfordern einen ganzheitlichen, intelligenten und agilen Ansatz. Da das IoT heute eine Realität ist und nicht mehr ein futuristisches Konzept, ist es begrüssenswert, dass diese Multi-Stakeholder-Konferenz stattfindet, um die Cybersicherheit in den Mittelpunkt des IoT-Ökosystems zu stellen.”

Die ENISA arbeitet seit mehreren Jahren daran, Sicherheitsbedrohungen und -risiken im Internet der Dinge zu identifizieren und Empfehlungen zur Stärkung seiner Sicherheit zu geben. Um die Herausforderungen anzugehen und die Grundlage für die IoT-Sicherheit zu schaffen, hat die ENISA grundlegende Sicherheitsempfehlungen für das IoT eingeführt, um ein gemeinsames Verständnis und die Interoperabilität im Bereich der IoT-Cybersicherheit zu gewährleisten.

Gerätehersteller und Anwender von IoT-Geräten und -Systemen können diese Empfehlungen als Checkliste zur Bewertung ihrer IoT-Sicherheitslösungen verwenden. Aus diesem Grund wurde auch ein interaktives Online-Tool entwickelt, mit dem man sein eigenes Bedrohungsmodell definieren und entsprechend spezifische Sicherheitsmassnahmen zur Abschreckung, zum Schutz und zur Prävention relevanter Bedrohungen identifizieren kann.

Aufbauend auf dieser Arbeit setzt die ENISA ihre Zusammenarbeit mit den Interessengruppen fort und wird 2018 eine neue Studie über gute Praktiken für die Sicherheit des IoT mit Schwerpunkt auf Industrie 4.0 und intelligente Fertigung veröffentlichen, während 2019 relevante Anstrengungen für intelligente Autos erwartet werden.

Nützliches Werkzeug für die Strafverfolgung
Das Internet der Dinge hat viele Vorteile für die Strafverfolgung als neues Instrument zur Verbrechensbekämpfung. Die Polizei verwendet bereits vernetzte Geräte wie intelligente Kameras für Grossveranstaltungen und zur Bekämpfung von Raubüberfällen und Wohnungseinbrüchen, Bodycams zur Sensibilisierung für die Situation, Sensoren in Schusswaffen zur Verfolgung von wann und wie oft sie verwendet werden, und so weiter. Es ist wichtig, dass die Strafverfolgungsbehörden auch in die Sicherheit ihrer mit dem IoT verbundenen Geräte investieren, um die Privatsphäre der Bürger zu schützen, für die sie arbeiten.
Die Tatorte ändern sich durch das IoT: Daten von angeschlossenen Türklingeln, Kameras, Thermostaten, Kühlschränken usw. können nützliche und entscheidende Beweise liefern. Zum Schutz dieser Daten müssen die erforderlichen forensischen Techniken und Schulungen eingesetzt werden. Grosse Daten, die von IoT-Geräten erfasst werden, z.B. zur Gesichtserkennung aus Kamerabildern nach einem schweren Vorfall, werden integraler Bestandteil einer strafrechtlichen Ermittlung, erfordern aber auch die notwendigen Mittel zum Schutz der Privatsphäre der Bürger.


https://www.enisa.europa.eu/news/enisa-news/if-your-toothbrush-calls-you-it-might-not-be-for-dental-hygiene-the-importance-of-securing-the-internet-of-things

11/2018

„Meine Daten gehören mir!“ – „Daten sind die neue Währung“. An starken Forderungen und Vergleichen mangelt es nicht, wenn es um Verfügungsrechte an Daten und den Handel von und mit ihnen geht. Doch werden mit der Diskussion um Dateneigentum & Co. oft klassische Grundannahmen des Datenschutzes hinterfragt.

 

Autoren: Stiftung Datenschutz (Hrsg.), Hannes Bauer, Patrick Bunk, Dr. Ilja Czernik und Dr. Alexander Duisberg

ISBN-10: 3503182241

11/2018

Leitfaden für die Umsetzung der EU-Datenschutz-Grundverordnung und des Bundesdatenschutzgesetztes


Ab 25.05.2018 gelten die Anforderungen der EU-DSGVO für alle Einrichtungen unmittelbar und zwingend. In privaten wie öffentlichen Bildungseinrichtungen und Schulen werden eine Vielzahl von personenbezogenen Daten erhoben, verarbeitet oder genutzt, wobei zusätzlich zum neuen BDSG oder den neuen LDSG der verwaltungsrechtliche oder kirchenrechtliche Regelungsrahmen zu berücksichtigen ist.

 

Autor: Harald Dauber

ISBN-10: 3955543692

11/2018

 

Es betrifft auch die grossen Computer: 6 wichtige Punkte

 

Punkt 1: Unternehmen betrachten Mainframe-Sicherheit als selbstverständlich

Punkt 2: Es besteht Bedarf an Konfiguration und codebasiertem Scannen

Punkt 3: Es gibt eine Verschwörung des Schweigens um die Offenlegung von Mainframe-Schwachstellen

Punkt 4: Wenn es um codebasierte Schwachstellen geht, ist Klassifizierung gleich Klärung

Punkt 5: Übertriebener Zugriff verursacht für viele Unternehmen ein unnötiges Risiko

Punkt 6: Automatisierung ist für das Schwachstellenmanagement unerlässlich

 

 


Es betrifft auch die grossen Computer

Mainframes sind nach wie vor das Rückgrat von Rechenzentren in sehr vielen Anwendungsfällen. Mächtige Geräte aus schwerem Metall, gemacht von IBM (Z Series) und Unisys (Eigentümer der alten Burroughs und UNIVAC-Marken) haben sich den Ruf erworben, sichere und zuverlässige Plattformen zu sein; deshalb arbeiten die meisten Rechenzentren in den USA mindestens eines von ihnen rund um die Uhr, oft hinter den Kulissen.

Das bedeutet aber nicht, dass der Mainframe unverletzlich ist. Jede Plattform hat ihre Risiken, und der Mainframe ist keine Ausnahme. Unternehmen müssen die gleichen Richtlinien und Praktiken für das Schwachstellenmanagement auf dem Mainframe anwenden wie auf verteilten Systemen.

Nachfolgend 6 Punkte zu Mainframe-Sicherheit, die nur zu oft vernachlässigt wird.

Punkt 1: Unternehmen betrachten Mainframe-Sicherheit als selbstverständlich

Mainframes sind für unzählige Unternehmen und Organisationen geschäftskritisch, wobei 71 Prozent der Fortune 500-Unternehmen unzählige personenbezogene Daten, Finanzinformationen, Gesundheitsdaten und mehr auf diesen Systemen speichern. Aber eine der grössten Schwächen des Mainframes, die codebasierten Schwachstellen, wird von den besten Sicherheitsscanlösungen des Marktes übersehen und von Mainframe-Experten, CIOs und CISOs oft ignoriert. Im vergangenen Jahr beobachtete KRI beispielsweise 30 Zero-Day-Schwachstellen bei seinen Scans von Mainframe-Betriebssystemen. Das bedeutet, dass die Personen und Werkzeuge, die für die Gewährleistung der Sicherheit des wichtigsten Systems eines Unternehmens verantwortlich sind, blind für eine Bedrohung sind, die ein Unternehmen in die Knie zwingen könnte.

Punkt 2: Es besteht Bedarf an Konfiguration und codebasiertem Scannen

Schwachstellen in der Mainframe-Konfiguration können aus einer Vielzahl von Quellen stammen, einschliesslich Hardwarekonfigurationen, IPL-Parametern, ESM-Konfigurationen (External Security Manager) und Betriebssystemkonfigurationseinstellungen. z/OS-Integritätscode-Schwachstellen sind Schwachstellen, die ihren Ursprung in den Betriebssystemprogrammen und -erweiterungen haben. Leute mit bösen Absichten können versuchen, Schwachstellen in der Sicherheitskonfiguration eines Systems oder im Code auf Betriebssystemebene auszunutzen, und beide können eine Katastrophe bedeuten. Unabhängig davon, wie gewissenhaft Sie auf der Konfigurationsseite sind, wird eine einzige codebasierte Schwachstelle diesen Aufwand beeinträchtigen. Wenn Sie Ihre Mainframes vollständig schützen und eine vollständige Sicherheitsanalyse durchführen wollen, müssen Sie beide Seiten untersuchen.

Punkt 3: Es gibt eine Verschwörung des Schweigens um die Offenlegung von Mainframe-Schwachstellen

Mainframe-Anbieter neigen dazu, Schwachstellen nicht öffentlich bekannt zu geben, und die Unternehmen, die auf Mainframes angewiesen sind, veröffentlichen auch nicht, ob oder wie sie getroffen wurden. Das macht es schwierig, das Ausmass der Mainframe-Anfälligkeit zu bestimmen und schafft eine Kultur, in der unabhängige Untersuchungen die Risiken näher beleuchten könnten.

Punkt 4: Wenn es um codebasierte Schwachstellen geht, ist Klassifizierung gleich Klärung

Die Klassifizierung von Schwachstellen nach einem gemeinsamen Klassifizierungssystem ist entscheidend für die Klarheit in der Diskussion um die Mainframe-Sicherheit. Die Klassifizierung bietet eine Sprache für technische Experten und Risikomanager, um zu verstehen, wie ernst das Risiko für eine bestimmte Schwachstelle ist, und versetzt alle in eine bessere Position, um darüber zu sprechen, welche Abhilfemassnahmen am effektivsten wären.

Punkt 5: Übertriebener Zugriff verursacht für viele Unternehmen ein unnötiges Risiko

Es ist ein häufiges Problem, dass es einfach zu viele Menschen gibt, die unnötigen Zugriff auf sensible Informationen auf dem Mainframe haben. Das schafft ein enormes Sicherheitsrisiko, das Unternehmen lösen müssen. Finden Sie heraus, wer Zugriff auf Daten hat, und gleichen Sie diese mit denen ab, die darauf zugreifen sollten. Eliminieren Sie übermässigen Zugriff auf der Grundlage der tatsächlichen Geschäftsanforderungen.

Punkt 6: Automatisierung ist für das Schwachstellenmanagement unerlässlich

Unternehmen können manuell kein angemessenes Schwachstellenmanagement durchführen. Es würde Jahre dauern, um manuell zu überprüfen, was Schwachstellen-Management-Software schnell, zuverlässig und konsistent macht, unabhängig davon, ob Sie Konfigurationseinstellungen, Anwendungscode oder Betriebssystemcode überprüfen. Obwohl es vielleicht unmöglich ist, Dinge wie manuelle Penetration Tests und -analysen vollständig zu eliminieren, hilft ein automatisierter Prozess, Risiken effizienter zu vermeiden.

 

Chris Preimesberger; eweek; 26.10.2018
http://www.eweek.com/security/taking-a-closer-look-at-mainframe-security

10/2018

 

Wir bringen etwas Licht ins Dunkel (DSGVO)

 

Transparenzfaktoren gemäß der DSGVO

Informationspflicht gegenüber der betroffenen Person – Artikel 13 & 14

Instrumente zur Visualisierung

Wahrnehmung der Rechte der Betroffenen

 

 

Transparenzfaktoren gemäß der DSGVO


1.    Die wesentlichen Artikel zum Thema Transparenz in der DSGVO, die für die Rechte der betroffenen Person relevant sind, finden sich in Kapitel III (Rechte der betroffenen Person). In Artikel 12 sind die allgemeinen Regeln festgelegt, welche auf folgende Punkte Anwendung finden: die Unterrichtung der betroffenen Personen (nach den Artikeln 13 bis 14), die Kommunikation mit den betroffenen Personen über die Ausübung ihrer Rechte (nach den Artikeln 15 bis 22), und die Mitteilungen in Bezug auf Datenschutzverletzungen (Artikel 34). Insbesondere in Artikel 12 wird vorgeschrieben, dass die besagten Informationen oder Mitteilungen folgenden Vorgaben entsprechen müssen:

  • Die Vorlage hat in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen (Artikel 12 Absatz 1),
  • es ist eine klare und einfache Sprache zu verwenden (Artikel 12 Absatz 1),
  • die Anforderung der Verwendung einer klaren und einfachen Sprache gilt insbesondere für Informationen, die sich speziell an Kinder richten (Artikel 12 Absatz 1),
  • es gilt das Erfordernis der Schriftform „oder in anderer Form, gegebenenfalls auch elektronisch“ (Artikel 12 Absatz 1),
  • falls dies vonseiten der betroffenen Person verlangt wird, kann eine mündliche Erteilung erfolgen (Artikel 12 Absatz 1), und
  • die Zurverfügungstellung erfolgt grundsätzlich unentgeltlich (Artikel 12 Absatz 5).


„In präziser, transparenter, verständlicher und leicht zugänglicher Form“


2.    Die Anforderung der Unterrichtung von und Kommunikation mit den betroffenen Personen in einer „präzisen und transparenten“ Form bedeutet, dass die Verantwortlichen die Informationen / Mitteilungen auf eine einfache Formel gebracht und griffig formuliert vorlegen sollten, um einer Informationsermüdung vorzubeugen. Diese Informationen sollten klar von anderen Informationen, die sich nicht auf den Datenschutz beziehen – wie etwa Vertragsbestimmungen oder allgemeine Nutzungsbedingungen –, getrennt werden. Eine Verwendung von Mehrebenen-Datenschutzerklärungen / -hinweisen im Internet versetzt betroffene Personen in die Lage, zu einem bestimmten Teil der Datenschutzerklärungen / -hinweise, den sie sofort aufrufen möchten, zu navigieren, anstatt bei der Suche nach einzelnen Themen umfangreiche Texte durchkämmen zu müssen.

3.    Die Anforderung der „Verständlichkeit“ von Informationen bedeutet, dass Letztere für einen typischen Angehörigen des Zielpublikums verständlich sein sollten. Die Verständlichkeit ist eng mit der Forderung nach einer klaren und einfachen Sprache verbunden. Rechenschaftspflichtige Verantwortliche verfügen über Erkenntnisse zu den Personen, von denen Informationen erhoben werden und können dieses Wissen einsetzen, um zu entscheiden, was das Zielpublikum am ehesten in der Lage wäre, zu verstehen. So kann zum Beispiel ein Verantwortlicher, der personenbezogene Daten von Fachkräften erhebt, von einem breiteren Verständnishorizont bei seinem Zielpublikum ausgehen als ein Verantwortlicher, der die personenbezogenen Daten von Kindern erhebt. Herrscht bei den Verantwortlichen Unsicherheit bezüglich des Grads der Verständlichkeit bzw. der Transparenz der Informationen sowie der Aussagekraft der Benutzeroberflächen / Hinweise / Strategien, etc., können diesbezügliche Tests durchgeführt werden. Neben weiteren Ansätzen können hierfür zum Beispiel gegebenenfalls folgende Verfahren zum Einsatz kommen: Nutzergremien, Prüfungen der Verständlichkeit, formelle und informelle Beziehungen und Dialoge mit Industriegruppen, Verbraucherinteressen vertretenden Verbänden und Regulierungsbehörden.

4.    Bei dem in diesen Bestimmungen skizzierten Transparenzgrundsatz stellt die Tatsache einen zentralen Erwägungsfaktor dar, dass die betroffene Person den Umfang und die Folgen der Verarbeitung im Vorfeld ermitteln kann und nicht später von der Art und Weise überrascht werden sollte, in der ihre personenbezogenen Daten verwendet worden sind. Dies ist ebenfalls ein wichtiger Aspekt des Grundsatzes von Treu und Glauben nach Artikel 5 Absatz 1 der DSGVO und hier besteht auch eine faktische Verbindung zu dem Erwägungsgrund 39, in dem es heißt, dass natürliche Personen „über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert“ werden sollten. Die Datenschutzgruppe vertritt insbesondere den Standpunkt, dass die Verantwortlichen bei komplexen, technischen oder unerwarteten Verarbeitungsvorgängen neben der Bereitstellung der nach den Artikeln 13 und 14 vorgeschriebenen Informationen (die in den vorliegenden Leitlinien weiter unten behandelt werden) gesondert und eindeutig formuliert die wichtigsten Folgen der Verarbeitung erklären sollten: anders gesagt – welche Art von Auswirkungen ergeben sich durch die in den Datenschutzerklärungen / -hinweisen beschriebene spezifische Verarbeitung konkret für die betroffene Person? Der Verantwortliche sollte im Einklang mit dem Grundsatz der Rechenschaftspflicht und in Übereinstimmung mit Erwägungsgrund 39 abschätzen, ob sich für in diese Art der Verarbeitung eingebundene natürlichen Personen besondere Risiken ergeben, die den betroffenen Personen zur Kenntnis gebracht werden sollten. Dies kann zu der Bereitstellung einer Übersicht der Verarbeitungsarten mit den möglicherweise weitreichendsten Auswirkungen auf die Grundrechte und Grundfreiheiten der betroffenen Personen im Hinblick auf den Schutz ihrer personenbezogenen Daten beitragen.

5.    Die „leichte Zugänglichkeit“ bedeutet, dass die betroffene Person nicht gezwungen sein sollte, die Informationen selbst ausfindig zu machen; vielmehr sollte für sie sofort ersichtlich sein, wo und wie sie auf diese Informationen zugreifen kann. Dies kann zum Beispiel geschehen, indem sie ihr direkt zur Verfügung gestellt werden, durch die Bereitstellung eines entsprechenden Links, durch eine klare Kennzeichnung oder als Antwort auf eine Frage in natürlicher Sprache (etwa in Mehrebenen-Datenschutzerklärungen / -hinweisen im Internet, über FAQ (häufig gestellte Fragen), über kontextbezogene Pop-up-Menüs, die beim Ausfüllen eines Online-Formulars durch eine betroffene Person aktiviert werden, oder über eine Chatbot-Schnittstelle in einem interaktiven digitalen Zusammenhang, etc. Die entsprechenden Verfahren werden weiter unter noch näher beleuchtet, u. a in den Ziffern 33 bis 40).

„Klare und einfache Sprache“

6.    Im Fall von schriftlichen Angaben (sowie bei der mündlichen Übermittlung schriftlicher Informationen oder der Verwendung von Audio- / audiovisuellen Verfahren, u. a. für sehbehinderte betroffene Personen) sollten die bewährten Verfahren für eine klare und deutliche Schreibweise eingehalten werden. Der EU-Gesetzgeber hat schon zuvor vergleichbare Anforderungen an die Sprache (für eine „einfache, verständliche Sprache“) gestellt und auch im Zusammenhang mit der Einwilligung in Erwägungsgrund 42 der DSGVO wird ausdrücklich hierauf verwiesen. Die Forderung nach einer klaren und einfachen Sprache bedeutet, dass die Informationen in einer möglichst einfachen Art und Weise unter Vermeidung komplexer Satz- und sprachlicher Strukturen bereitgestellt werden sollten. Die Informationen sollten konkret und belastbar sein; abstrakte oder mehrdeutige Begriffe bzw. Interpretationsspielraum sind zu vermeiden. Insbesondere die Zwecke der und die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten sollten klar dargelegt werden.

„Die Unterrichtung von Kindern und sonstigen schutzbedürftigen Personen“

7.    Sofern das Zielpublikum des Verantwortlichen Kinder sind oder dieser sich des Umstands bewusst ist bzw. sein sollte, dass die Waren / Dienstleistungen insbesondere von Kindern genutzt werden (einschließlich der Fälle, in denen der Verantwortliche der kindlichen Einwilligung bedarf), sollte sichergestellt sein, dass die Wortwahl, die Tonalität und der Sprachstil der kindlichen Zielgruppe angepasst sind und positiven Anklang bei diesen finden, damit der kindliche Empfänger der Informationen auch erkennt, dass die Mitteilung / Information an ihn gerichtet ist. Das „UN Convention on the Rights of the Child in Child Friendly Language“ (Übereinkommen der Vereinten Nationen über die Rechte des Kindes in kindgerechter Sprache) liefert ein nützliches Beispiel kindgerechter Sprache als Alternative zu den juristischen Formulierungen in der Originalfassung.

8.    Die Datenschutzgruppe vertritt den Standpunkt, dass das Transparenzgebot ein eigenständiges Recht begründet, welches für Kinder und Erwachsene gleichermaßen gilt. Hierbei betont die Datenschutzgruppe insbesondere, dass Kinder in Situationen, auf die Artikel 8 der DSGVO Anwendung findet, als betroffene Personen ihrer Rechte auf Transparenz nicht automatisch durch die bloße Tatsache verlustig gehen, dass seitens des Trägers der elterlichen Verantwortung eine Einwilligung erteilt wurde. Obwohl diese Einwilligung in vielen Fällen von dem Träger der elterlichen Verantwortung punktuell gegeben bzw. genehmigt wird, hat ein Kind (wie jede andere betroffene Person auch) im Rahmen der gesamten Interaktion mit dem Verantwortlichen ein permanentes Recht auf Transparenz. Dies steht im Einklang mit Artikel 13 des Übereinkommens der Vereinten Nationen über die Rechte des Kindes in dem es heißt, dass Kinder ein Recht auf Meinungsfreiheit haben, was auch das Recht einschließt, sich Informationen und Gedankengut jeder Art zu beschaffen, zu empfangen und weiterzugeben. Zu betonen ist, dass Artikel 8, nach dem für ein Kind unter einer bestimmten Altersgrenze die Einwilligung in seinem Namen erforderlich ist, keine Transparenzverfahren für die Träger der elterlichen Verantwortung, welche die Einwilligung erteilen, vorsieht. Sofern sie Kinder ansprechen oder sich der Tatsache bewusst sind, dass ihre Waren oder Dienstleistungen insbesondere von Kindern in einem lese- und schreibkundigen Alter benutzt werden, sind die Verantwortlichen demnach im Einklang mit der ausdrücklichen Erwähnung von Transparenzverfahren für Kinder in Artikel 12 Absatz 1 (gestützt durch die Erwägungsgründe 38 und 58) verpflichtet, sicherzustellen, dass sämtliche Informationen und Mitteilungen in klarer und einfacher Sprache oder unter Verwendung eines für Kinder leicht verständlichen Mediums abgefasst werden. Um hier etwaige Missverständnisse zu vermeiden, unterstützt die Datenschutzgruppe jedoch auch die Auffassung, dass sich die Transparenzmaßnahmen im Fall sehr junger oder noch nicht des Lesens oder Schreibens mächtiger Kinder auch an die Träger der elterlichen Verantwortung richten können, da diese Kinder überwiegend nicht in der Lage sein werden, selbst die einfachsten auf das Transparenzgebot bezogenen Mitteilungen in Schrift- oder anderer Form zu verstehen.

„Schriftlich oder in anderer Form“

9.    Nach Artikel 12 Absatz 1 wird bei der Übermittlung von Informationen oder bei Mitteilungen an die betroffenen Personen in der Regel die Schriftform verwendet. (In Artikel 12 Absatz 7 wird zudem festgelegt, dass die Informationen in Kombination mit standardisierten Bildsymbolen bereitgestellt werden können, und dieses Thema wird in dem Abschnitt zu den Visualisierungswerkzeugen in den Ziffern 49 bis 53 aufgegriffen). Allerdings lässt die DSGVO auch die Nutzung sonstiger, nicht weiter benannter „Formen“, u. a. elektronischer Mittel zu. Gemäß dem Standpunkt der Datenschutzgruppe in Bezug auf die schriftliche elektronische Form wird für den Fall, dass ein Verantwortlicher eine Webseite betreibt (bzw. teilweise oder ganz über eine solche tätig ist), die Verwendung von Mehrebenen-Datenschutzerklärungen / -hinweisen empfohlen, die den Besuchern der Website das Aufrufen bestimmter Punkte von vorwiegendem Interesse für sie dort ermöglichen (weitere Angaben zu Mehrebenen-Datenschutzerklärungen / -hinweisen finden Sie in den Ziffern 35 bis 37). Allerdings sollten alle an die betroffenen Personen gerichteten Informationen für den Fall, dass diese die Gesamtheit der an sie gerichteten Informationen zur Rate ziehen möchten, auch leicht zugänglich an einem einzigen Ort oder in einem Gesamtdokument (ob digital oder im Papierformat) zur Verfügung gestellt werden. Wichtig ist, dass sich die Mehrebenen-Herangehensweise nicht nur auf die schriftlichen elektronischen Formen zur Bereitstellung von Informationen an die betroffenen Personen beschränkt. Gemäß Darstellung in den nachstehenden Ziffern 35 bis 36 und 38 kann ein Mehrebenen-Ansatz für die Unterrichtung der betroffenen Personen auch durch den Einsatz einer Kombination von Verfahren zur Sicherstellung der Transparenz in Bezug auf die Verarbeitung zum Tragen kommen.

10.    Natürlich stellt die Verwendung digitaler Mehrebenen-Datenschutzerklärungen / -hinweise nicht die einzige elektronische Form dar, welcher sich die Verantwortlichen bedienen können. Zu den weiteren elektronischen Formen zählen auch kontextbezogene „Just-in-time-Pop-up-Hinweise“, 3D Touch- oder Hover-over-Hinweise sowie Datenschutz-Dashboards. Zu den nicht schriftlichen elektronischen Formen, die zusätzlich zu den Mehrebenen-Datenschutzerklärungen /-hinweisen denkbar sind, könnten ggfs. Videos und Smartphone- oder IoT-Sprachmeldungen zählen. Zu den nicht notwendigerweise elektronischen „sonstigen Formen“ könnten beispielsweise Bildgeschichten, Infografiken oder Ablaufdiagramme zählen. Richten sich die Informationen gemäß dem Transparenzgebot speziell an Kinder, sollten die Verantwortlichen sich Gedanken darüber machen, welche Verfahrensarten für Kinder ggfs. besonders verständlich sind (hier könnten z. B. neben anderen Mitteln auch Bildgeschichten/Trickfilme, Piktogramme, Animationen, etc. zum Tragen kommen).

„Unentgeltlich“

11.    Nach Artikel 12 Absatz 5 können die Verantwortlichen grundsätzlich kein Entgelt für die Erteilung von Informationen nach den Artikeln 13 und 14 oder für Mitteilungen und getroffene Maßnahmen nach den Artikeln 15-22 (zu den Rechten der betroffenen Personen) sowie Artikel 34 (Benachrichtigung der von Verletzungen des Schutzes personenbezogener Daten betroffenen Personen) von den betroffenen Personen verlangen. Dieser Aspekt des Transparenzgebots bedeutet auch, dass eine nach den Transparenzanforderungen bereitgestellte Information in keinem Fall von finanziellen Transaktionen, zum Beispiel der Zahlung für oder dem Kauf von Dienstleistungen oder Waren, abhängig gemacht werden kann.


Informationspflicht gegenüber der betroffenen Person – Artikel 13 & 14


„Inhalt“

12.    Die DSGVO enthält eine Aufstellung der Kategorien von Informationen, die einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten entweder bei der Erhebung von der betroffenen Person selbst (Artikel 13) oder Erlangung aus einer anderen Quelle (Artikel 14) zu erteilen sind.

„Geeignete Maßnahmen“

13.    Neben dem Inhalt sind auch die Form sowie die Art und Weise, wie der Informationspflicht nach den Artikeln 13 und 14 gegenüber der betroffenen Person nachgekommen wird, von Bedeutung. Der Hinweis mit den entsprechenden Informationen wird häufig als Datenschutzhinweis, Datenschutzbestimmungen, Datenschutzerklärung oder Hinweis für eine Verarbeitung nach Treu und Glauben bezeichnet. In der DSGVO werden weder das Format noch die Art und Weise vorgegeben, in der diese Informationen der betroffenen Person bereitzustellen sind, es geht jedoch klar aus der Verordnung hervor, dass es dem Verantwortlichen obliegt, „geeignete Maßnahmen“ im Zusammenhang mit der Bereitstellung der erforderlichen Information aus Gründen der Transparenz zu treffen. Konkret heißt dies, dass der Verantwortliche bei der Entscheidung über die geeignete Art und Weise sowie das Format der Bereitstellung sämtliche Umstände der Datenerhebung und -verarbeitung berücksichtigen sollte.

14.    Als Hilfestellung zur Festlegung der geeignetsten Art und Weise für die Bereitstellung der Informationen können die Verantwortlichen vor dem „Going Live“ verschiedene Vorgehensweisen ausprobieren mit Anwendertests (d. h. Auditoriumtests oder sonstige Standardtests der Verständlichkeit oder Zugänglichkeit), um so Rückmeldungen zu erhalten, wie zugänglich, verständlich und komfortabel die vorgeschlagene Maßnahme für die Nutzer ist.

„Wahl des Zeitpunkts für die Erteilung der Informationen“

15.    In den Artikeln 13 und 14 wird festgelegt, welche Informationen der betroffenen Person in der Anfangsphase des Verarbeitungszyklus zu übermitteln sind. Artikel 13 ist auf das Szenario anwendbar, in dem die Daten von der betroffenen Person selbst erhoben werden. Hierzu zählen Daten, die:

  • eine betroffene Person dem Verantwortlichen bewusst übermittelt (z. B. beim Ausfüllen eines Online-Formulars), oder
  • der Verantwortliche im Wege der Beobachtung von der betroffenen Person erhebt (z. B. unter Verwendung von automatisierten Datenerfassungsgeräten oder Datenerfassungssoftware wie Kameras, Netzwerkausrüstungen, Wi-Fi-Tracking, RFID oder sonstigen Arten von Sensoren).

Artikel 14 ist auf das Szenario anwendbar, in dem die personenbezogenen Daten nicht von der betroffenen Person selbst erlangt wurden. Hierzu zählen personenbezogene Daten, welche der Verantwortliche von folgenden Quellen erlangt hat:

  • dritten Verantwortlichen,
  • allgemein zugänglichen Quellen,
  • Datenvermittlern, oder
  • sonstigen betroffenen Personen.


16.    Im Hinblick auf den Zeitpunkt der entsprechenden Informationsbereitstellung stellt die rechtzeitige Erteilung ein wesentliches Element der Transparenzpflicht sowie der Pflicht zu einer Datenverarbeitung nach Treu und Glauben da. Für den Geltungsbereich von Artikel 13 heißt es nach Artikel 13 Absatz 1, dass die Informationen „zum Zeitpunkt der Erhebung dieser Daten“ zu übermitteln sind.

„Änderungen der Informationen nach Artikel 13 und Artikel 14“

17.    Die Rechenschaftspflicht in Bezug auf die Transparenz gilt unabhängig von der übermittelten Information oder Mitteilung nicht nur zum Zeitpunkt der Erhebung der personenbezogenen Daten, sondern während des gesamten Verarbeitungszyklus. Dies kommt beispielsweise bei Änderungen der Inhalte bestehender Datenschutzerklärungen bzw. -hinweise zum Tragen. Bei der Kommunikation sowohl der ursprünglichen Datenschutzerklärungen bzw. -hinweise als auch nachfolgender wesentlicher oder sachlicher Änderungen dieser Erklärungen bzw. Hinweise sollte der Verantwortliche hier den gleichen Grundsätzen folgen. Zu den Faktoren, welche die Verantwortlichen bei der Bewertung, was eine wesentliche oder sachliche Änderung darstellt, berücksichtigen sollten, zählen die Wirkung auf die betroffenen Personen (einschließlich deren Fähigkeit, ihre Rechte auszuüben) und wie unerwartet oder überraschend die Änderung für die betroffenen Personen wäre. Zu den Änderungen von Datenschutzerklärungen bzw.  hinweisen, welche den betroffenen Personen stets mitgeteilt werden sollten, zählen unter anderem die Änderung des Verarbeitungszwecks, die Änderung der Identität des Verantwortlichen oder die Änderung der Vorgehensweise, wie die betroffenen Personen ihre Rechte bezüglich der Verarbeitung ausüben können. Hingegen erachtet die Datenschutzgruppe beispielsweise Korrekturen von Rechtschreibfehlern oder stilistischen bzw. grammatikalischen Mängeln als Änderungen, die nicht von wesentlicher oder sachlicher Relevanz sind. Da die meisten Bestandskunden oder Nutzer wohl nur einen kurzen Blick auf Mitteilungen über geänderte Datenschutzerklärungen bzw.  hinweise werfen, sollten seitens der Verantwortlichen alle erforderlichen Maßnahmen für eine Bekanntgabe der besagten Änderungen in einer Art und Weise ergriffen werden, die gewährleistet, dass die Mehrzahl der Empfänger ihr auch tatsächlich Beachtung schenkt. Dies bedeutet beispielsweise, dass die Unterrichtung über Änderungen stets auf angemessene Art und Weise erfolgt (z. B. per E-Mail, per klassischem Brief auf Papier, per Pop-up auf einer Webseite oder auf eine andere Art und Weise, welche der betroffenen Person die Änderungen wirksam zur Kenntnis bringt) und dabei eigens den besagten Änderungen gewidmet (d.h. beispielsweise nicht mit Inhalten des Direktmarketings vermischt) sein sollte. Auch die Anforderungen nach Artikel 12 bezüglich einer präzisen, transparenten, verständlichen und leicht zugänglichen Form und der Verwendung einer klaren und einfachen Sprache sollte die Mitteilung erfüllen. Vor dem Hintergrund des Artikels 5 Absatz 1 Buchstabe a werden etwaige Verweise in Datenschutzerklärungen bzw.  hinweisen, welche besagen, dass die betroffene Person die Datenschutzerklärungen bzw. -hinweise regelmäßig auf Änderungen oder Aktualisierungen prüfen sollte, nicht nur als unzureichend, sondern auch als Verstoß gegen die Vorgabe eines Vorgehens „nach Treu und Glauben“ erachtet. Für weitere Erläuterungen bezüglich der Wahl des Zeitpunkts für die Unterrichtung der betroffenen Personen über etwaige Änderungen siehe die nachfolgenden Ziffern 30 und 31.

„Modalitäten – Format für die Unterrichtung“

18.    Sowohl in Artikel 13 als auch in Artikel 14 wird auf die Pflicht des Verantwortlichen, „der betroffenen Person Folgendes [mitzu]teil[en]“, verwiesen. Der Schlüsselbegriff lautet hier „mitzuteilen“. Dies bedeutet, dass der Verantwortliche selbst aktiv werden muss, um der betroffenen Person die Information bereitzustellen oder sie aktiv zu der Stelle zu leiten, wo die Angaben zur Verfügung stehen (z. B. über einen direkten Link, die Verwendung eines QR-Codes usw.). Der betroffenen Person muss die Bürde abgenommen werden, unter sonstigen Informationen wie den Nutzungsbedingungen für eine Website oder App aktiv nach den Informationen suchen zu müssen, welche von den genannten Artikeln abgedeckt werden. Das Beispiel in Ziffer 11 veranschaulicht dies. Wie in Ziffer 17 oben angeführt, empfiehlt die Datenschutzgruppe für den Fall, dass die betroffenen Personen alle an sie gerichteten Informationen einsehen möchten, diese Letzteren auch leicht zugänglich an einer einzigen Stelle oder in einem Gesamtdokument (in digital Form oder auf Papier) zur Verfügung zu stellen.

19.    Die Anforderungen, den betroffenen Personen einerseits die umfassenden Informationen gemäß der DSGVO bereitzustellen, und dies andererseits in präziser, transparenter, verständlicher und leicht zugänglicher Form zu leisten, erzeugen ein grundsätzliches Spannungsfeld in der DSGVO. Entsprechend müssen die Verantwortlichen eine eigene Analyse der Art, Umstände, des Umfangs und Kontextes der von ihnen vorgenommenen Verarbeitung personenbezogener Daten unter Berücksichtigung der wesentlichen Grundsätze von Rechenschaftspflicht und Treu und Glauben durchführen und innerhalb der Grenzen der rechtlichen Anforderungen der DSGVO sowie vor dem Hintergrund der Empfehlungen in diesen Leitlinien, insbesondere in Ziffer 36 unten, über die Priorisierung der den betroffenen Personen zur Verfügung zu stellenden Informationen sowie die angemessene Detail- und Verfahrenstiefe der Informationsübermittlung entscheiden.

„Mehrebenen-Ansatz in einer digitalen Umgebung und Mehrebenen-Datenschutzerklärungen / -hinweise“

20.    Angesichts der Menge an Informationen, die der betroffenen Person übermittelt werden müssen, kann von den Verantwortlichen im digitalen Bereich ein Mehrebenen-Ansatz verfolgt werden, in dessen Rahmen sie sich für einen Einsatz kombinierter Verfahren entscheiden, um Transparenz zu gewährleisten. Um Informationsermüdung zu vermeiden, empfiehlt die Datenschutzgruppe den Einsatz von Mehrebenen-Datenschutzerklärungen / -hinweisen insbesondere zur Verknüpfung der verschiedenen Kategorien von Informationen, die der betroffenen Person zur Verfügung gestellt werden müssen, anstelle einer Darstellung dieser gesamten Informationen auf dem Bildschirm in Form eines einzigen Hinweises. Mehrebenen-Datenschutzerklärungen / -hinweise können dazu beitragen, das Spannungsfeld zwischen Vollständigkeit und Verständnis zu überbrücken, vor allem indem den Nutzern so die Möglichkeit gegeben wird, den Teil der Erklärung / des Hinweises direkt aufzurufen, den sie gerade lesen möchten. Allerdings ist zu beachten, dass es sich bei Mehrebenen-Datenschutzerklärungen / -hinweisen nicht bloß um verschachtelte Seiten handelt, die erst über mehrere Klicks zu den maßgeblichen Informationen führen. Die Gestaltung und Gliederung der ersten Ebene der Datenschutzerklärungen / -hinweise sollten der betroffenen Person einen klaren Überblick über die ihr hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zur Verfügung stehenden Informationen liefen und aufzeigen, wo / wie sie die einzelnen Informationen auf den jeweiligen Ebenen der Datenschutzerklärungen / -hinweise finden kann. Zudem ist es wichtig, dass die auf den verschiedenen Ebenen eines Mehrebenen-Hinweises enthaltenen Informationen konsistent sind und sich nicht in widersprüchlicher Weise von Ebene zu Ebene unterscheiden.

21.    Hinsichtlich des Inhalts der ersten Modalität, der sich der Verantwortliche bedient, um den betroffenen Personen unter Verwendung eines Mehrebenen-Ansatzes Informationen bereitzustellen (anders ausgedrückt, das hauptsächliche Mittel für den Verantwortlichen, mit der betroffenen Person erstmalig Kontakt aufzunehmen), oder des Inhalts der ersten Ebene bei Mehrebenen-Datenschutzerklärungen / -hinweisen empfiehlt die Datenschutzgruppe, dass die erste Ebene / Modalität Einzelheiten zu den Verarbeitungszwecken, die Identität des Verantwortlichen sowie eine Beschreibung der Rechte der betroffenen Person beinhalten sollte. (Diese Informationen sollten der betroffenen Person zudem direkt zum Zeitpunkt der Erhebung der personenbezogenen Daten zur Kenntnis gebracht werden, z. B. durch die Anzeige auf dem Bildschirm, während die betroffene Person ein Online-Formular ausfüllt.) Dass es wichtig ist, diese Informationen im Vorfeld zu übermitteln, ergibt sich insbesondere aus Erwägungsgrund 39. Wiewohl die Verantwortlichen in der Lage sein müssen, Rechenschaftspflicht hinsichtlich ihrer Entscheidung über die Priorisierung weiterer Informationen an den Tag zu legen, vertritt die Datenschutzgruppe den Standpunkt, dass die erste Ebene / Modalität im Einklang mit dem Grundsatz nach Treu und Glauben zusätzlich zu den weiter oben unter dieser Ziffer beschriebenen Informationen auch Angaben über die Verarbeitung, welche sich am stärksten auf die betroffene Person auswirkt, und die Verarbeitungsvorgänge, mit denen Letztere ggfs. nicht gerechnet hat, enthalten sollte. Mithin sollte die betroffene Person die Konsequenzen der fraglichen Verarbeitung für sich selbst anhand der in der ersten Ebene / Modalität enthaltenen Informationen verstehen können.

„Mehrebenen-Ansatz in einer nicht digitalen Umgebung“

22.    Auch im Offline- / nicht digitalen Bereich (d. h. in einer realen Umgebung, wie bei persönlichen Kontakten oder Telefongesprächen) besteht die Möglichkeit der Verwendung eines Mehrebenen-Ansatzes zur Übermittlung von Transparenzangaben an die betroffenen Personen. Die Verantwortlichen können hierbei viele Modalitäten einsetzen, um die Unterrichtung zu erleichtern. (Siehe auch Ziffer 33 bis 37 und 39 bis 40 bezüglich der verschiedenen Modalitäten zur Informationsübermittlung.) Ein solcher Ansatz ist nicht mit der hiervon zu unterscheidenden Veröffentlichung von Mehrebenen-Datenschutzerklärungen / -hinweisen zu verwechseln. Unabhängig von den im Rahmen dieses Mehrebenen-Ansatzes verwendeten Formaten empfiehlt die Datenschutzgruppe, dass die erste „Ebene“ (anders ausgedrückt, das hauptsächliche Mittel für den Verantwortlichen, mit der betroffenen Person erstmalig Kontakt aufzunehmen) grundsätzlich die wichtigsten Informationen vermitteln sollte (wie in Ziffer 36 oben angegeben), nämlich die Einzelheiten zu den Verarbeitungszwecken, die Identität des Verantwortlichen und die Existenz der Rechte der betroffenen Person – zusammen mit Informationen über die wichtigsten Auswirkungen der Verarbeitung bzw. Verarbeitungsvorgänge, mit denen die betroffene Person möglicherweise nicht rechnet. Stellt beispielsweise ein telefonischer Kontakt den ersten Berührungspunkt mit einer betroffenen Person dar, so könnten diese Informationen im Rahmen des besagten Telefongesprächs mit der betroffenen Person übermittelt werden. Für die Erteilung der restlichen, nach Artikel 13/ 14 erforderlichen Informationen bestünde dann die Möglichkeit, sich weiterer, anderer Mittel zu bedienen, wie der Zusendung einer Ausfertigung der Datenschutzbestimmungen per E-Mail und / oder eines Links zu den Mehrebenen-Datenschutzerklärungen / -hinweisen des Verantwortlichen an die betroffene Person.

„Sonstige Themen – Risiken, Vorschriften und Garantien“

23.    In Erwägungsgrund 39 der DSGVO wird auch auf eine nicht ausdrücklich durch die Artikel 13 und Artikel 14 abgedeckte Erteilung bestimmter Informationen verwiesen (siehe den Wortlaut des Erwägungsgrunds weiter oben unter Ziffer 28). Der Hinweis in diesem Erwägungsgrund, dass die betroffenen Personen über die Risiken, Vorschriften und Garantien im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert werden sollen, ist mit einer Reihe weiterer Themen verbunden. Zu diesen zählen die Datenschutz-Folgenabschätzungen (DSFA). Wie in den Leitlinien der Datenschutzgruppe zu den DSFA dargelegt, können die Verantwortlichen eine Veröffentlichung der DSFA (auch auszugsweise) zum Zwecke der Vertrauensbildung hinsichtlich der Verarbeitungsvorgänge und als Transparenz- und Rechenschaftspflichtnachweis in Betracht ziehen – obgleich diese Veröffentlichung nicht verpflichtend ist. Zudem kann die Einhaltung von Verhaltensregeln (vorgesehen in Artikel 40) zum Nachweis der Transparenz beitragen, da Verhaltensregeln ausgearbeitet werden können, um die Anwendung der DSGVO hinsichtlich folgender Punkte zu präzisieren: faire und transparente Verarbeitung, Unterrichtung der Öffentlichkeit und der betroffenen Personen, Unterrichtung und Schutz von Kindern – neben weiteren Themen.

24.    Der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (gemäß Artikel 25) stellt ein weiteres relevantes Thema dar. Gemäß diesen Grundsätzen sind die Verantwortlichen gefordert, datenschutzrechtliche Erwägungen von Anfang an in ihre Verarbeitungsvorgänge und Systeme einfließen zu lassen und den Datenschutz nicht nur als einen in letzter Minute zu beachtenden Aspekt bei der Einhaltung von Rechtsvorschriften zu behandeln. In Erwägungsgrund 78 wird auf die Ergreifung von Maßnahmen durch die Verantwortlichen verwiesen, die den Anforderungen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, einschließlich Maßnahmen zur Herstellung von Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten, entsprechen.

25.    Davon unabhängig spielt auch das Thema der gemeinsam für die Verarbeitung Verantwortlichen bei der Aufklärung der betroffenen Personen über die Risiken, Vorschriften und Garantien eine Rolle. In Artikel 26 Absatz 1 wird von den gemeinsam für die Verarbeitung Verantwortlichen gefordert, in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt. In Artikel 26 Absatz 2 wird verlangt, der betroffenen Person das Wesentliche der Vereinbarung zur Verfügung zu stellen. Anders ausgedrückt, dürfen bei der betroffenen Person keine Zweifel aufkommen, an welchen Verantwortlichen sie sich im Falle der Absicht, eines oder mehrere Rechte nach der DSGVO wahrzunehmen, wenden kann.


Instrumente zur Visualisierung


26.    Wichtig ist, dass sich die Umsetzung des Grundsatzes der Transparenz im Rahmen der DSGVO nicht einfach auf die sprachliche Kommunikation (ob schriftlich oder mündlich) beschränkt. In der DSGVO sind bedarfsweise Instrumente zur Visualisierung vorgesehen (die sich insbesondere auf Bildsymbole, Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen beziehen). In Erwägungsgrund 58 wird darauf hingewiesen, dass die Zugänglichkeit von für die Öffentlichkeit oder die betroffenen Personen bestimmten Informationen im Netz besonders wichtig ist.

„Bildsymbole“

27.    Erwägungsgrund 60 sieht Informationen vor, die der betroffenen Person „in Kombination“ mit standardisierten Bildsymbolen bereitgestellt werden, und ermöglicht so einen Mehrebenen-Ansatz. Allerdings sollten durch die Verwendung von Bildsymbolen weder die für die Ausübung der Rechte der betroffenen Person erforderlichen Informationen einfach ersetzt, noch eine Einhaltung der Verpflichtungen nach den Artikeln 13 und 14 seitens des Verantwortlichen begründet werden. In Artikel 12 Absatz 7 wird die Verwendung dieser Bildsymbole vorgesehen und Folgendes dazu festgehalten:

„Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.“

„Zertifizierungsverfahren, Siegel und Prüfzeichen“

28.    Neben der Verwendung standardisierter Bildsymbole sieht die DSGVO (Artikel 42) auch den Einsatz von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen vor. Diese dienen dem Nachweis, dass die DSGVO von den Verantwortlichen oder Auftragsverarbeitern bei den Verarbeitungsvorgängen eingehalten wird, und sollen mehr Transparenz für die betroffenen Personen schaffen. Die Datenschutzgruppe wird zu gegebener Zeit Leitlinien zu den Zertifizierungsverfahren ausgeben.


Wahrnehmung der Rechte der Betroffenen


29.    Durch das Transparenzgebot wird den Verantwortlichen eine dreifache Pflicht in Bezug auf die Rechte der betroffenen Personen nach der DSGVO auferlegt:

  • Unterrichtung der betroffenen Personen über ihre Rechte (gemäß Artikel 13 Absatz 2 Buchstabe b und Artikel 14 Absatz 2 Buchstabe c),
  • Einhaltung des Grundsatzes der Transparenz (d. h. im Zusammenhang mit der Qualität der Mitteilungen gemäß Artikel 12 Absatz 1) bei der Unterrichtung der betroffenen Personen über ihre Rechte gemäß den Artikeln 15 bis 22 und 34 sowie

  • Erleichterung der Ausübung der Rechte der betroffenen Personen nach Artikel 15 bis 22.


30.    Die Anforderungen in der DSGVO bezüglich der Wahrnehmung dieser Rechte und der Art der erforderlichen Informationen sind entsprechend gestaltet, um den betroffenen Personen eine zweckdienliche Ausgangsposition zu verschaffen, damit sie ihre Rechte verteidigen und die Verantwortlichen für die Verarbeitung ihrer personenbezogenen Daten zur Verantwortung ziehen können. In Erwägungsgrund 59 wird betont, dass „Modalitäten festgelegt werden [sollten], die einer betroffenen Person die Ausübung der Rechte [...] erleichtern“ und dass der Verantwortliche „auch dafür sorgen [sollte], dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden“. Die Modalität, die der Verantwortliche bereitstellt, damit die betroffenen Personen ihre Rechte ausüben können, sollte den jeweiligen Umständen und der Art des Verhältnisses und der Interaktionen zwischen dem Verantwortlichen und der betroffenen Person angemessen sein. Hierfür kann es dem Verantwortlichen ggfs. wünschenswert erscheinen, eine oder mehrere verschiedene Modalitäten, welche den unterschiedlichen Arten der Interaktion der betroffenen Personen mit dem Verantwortlichen Rechnung tragen, für die Ausübung der Rechte zur Verfügung zu stellen.

ec.europa.eu; Autoren, bow, Zugriff 25.09.2018
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

10/2018

Einige Erwägungen und Erläuterungen gemäss DSGVO

 

1.    Einführung

2.    Einwilligung in Artikel 4 Absatz 11 der DS-GVO

3.    Elemente einer gültigen Einwilligung

4.    Einholen der ausdrücklichen Einwilligung

5.    Zusätzliche Bedingungen für das Einholen einer gültigen Einwilligung

 

 

1.    Einführung


Die vorliegenden Leitlinien bieten eine gründliche Analyse des Begriffes „Einwilligung“ in der Verordnung 2016/679, der Datenschutz-Grundverordnung (nachfolgend „DS-GVO“).

Die Einwilligung bleibt eine der sechs Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die in Artikel 6 der GS-GVO aufgeführt sind. Wenn Tätigkeiten in die Wege geleitet werden, die die Verarbeitung personenbezogener Daten umfassen, muss der Verantwortliche stets abwägen, welches die angemessene Grundlage für die Rechtmäßigkeit der geplanten Verarbeitung ist.

Generell kann die Einwilligung nur dann eine angemessene Grundlage für die Rechtmäßigkeit darstellen, wenn der betroffenen Person die Kontrolle und eine echte Wahl geboten werden, die angebotenen Bedingungen anzunehmen oder abzulehnen, ohne Nachteile zu erleiden. Wenn ein Verantwortlicher um Einwilligung ersucht, muss er prüfen, ob alle Voraussetzungen für das Einholen einer gültigen Einwilligung erfüllt sind. Wird die Einwilligung unter vollumfänglicher Einhaltung der DS-GVO eingeholt, gibt sie den betroffenen Personen die Kontrolle darüber, ob die sie betreffenden personenbezogenen Daten verarbeitet werden oder nicht. Andernfalls wird die Kontrolle der betroffenen Person illusorisch, und dann ist die Einwilligung eine ungültige Grundlage für die Verarbeitung, was die Verarbeitung rechtswidrig macht.

 

2.    Einwilligung in Artikel 4 Absatz 11 der DS-GVO


In Artikel 4 Absatz 11 der DS-GVO wird Einwilligung definiert als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.

Das Grundkonzept der Einwilligung bleibt dem Konzept aus Richtlinie 95/46/EG ähnlich und gemäß Artikel 6 der DS-GVO ist die Einwilligung eine der Rechtsgrundlagen, auf die die Verarbeitung personenbezogener Daten gestützt werden muss. Neben der geänderten Definition in Artikel 4 Absatz 11 bietet die DS-GVO in Artikel 7 und in den Erwägungsgründen 32, 33, 42 und 43 zusätzliche Anleitung, wie der Verantwortliche vorgehen muss, um die wichtigsten Elemente der Einwilligungspflicht einzuhalten.

 

3.    Elemente einer gültigen Einwilligung


Artikel 4 Absatz 11 der DS-GVO legt fest, dass die Einwilligung einer betroffenen Person jede

  • freiwillig,
  • für den bestimmten Fall,
  • in Kenntnis der Sachlage und
  • unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung ist, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

In den folgenden Abschnitten wird analysiert, in welchem Maß der Wortlaut von Artikel 4 Absatz 11 die Verantwortlichen verpflichtet, ihre Ersuchen um Einwilligung oder ihre Einwilligungsformulare zu ändern, um die Einhaltung der DS-GVO sicherzustellen.

3.1.    Frei / freiwillig

Das Element „frei“ impliziert, dass die betroffenen Personen eine echte Wahl und die Kontrolle haben. Im Allgemeinen schreibt die DS-GVO vor, dass eine Einwilligung nicht gültig ist, wenn die betroffene Person keine wirkliche Wahl hat, sich zur Einwilligung gedrängt fühlt oder negative Auswirkungen erdulden muss, wenn sie nicht einwilligt. Wenn die Einwilligung ein nicht verhandelbarer Teil von Geschäftsbedingungen ist, wird angenommen, dass die Einwilligung nicht freiwillig erteilt wurde. Entsprechend wird eine Einwilligung nicht als freiwillig angesehen, wenn die betroffene Person die Einwilligung nicht verweigern oder zurückziehen kann, ohne Nachteile zu erleiden. In der DS-GVO wird auch das Konzept des „Ungleichgewichts“ zwischen dem Verantwortlichen und der betroffenen Person berücksichtigt.

3.1.1.    Ungleichgewicht der Macht

In Erwägungsgrund 43 wird deutlich darauf hingewiesen, dass es unwahrscheinlich ist, dass sich Behörden für die Verarbeitung auf die Einwilligung stützen können, da häufig ein klares Ungleichgewicht zwischen dem Verantwortlichen und der betroffenen Person besteht, wenn es sich bei dem Verantwortlichen um eine Behörde handelt. Es ist auch eindeutig, dass die betroffene Person selten eine realistische Alternative zur Einwilligung in die Verarbeitungsbedingungen dieses Verantwortlichen hat. Die WP29 ist der Ansicht, dass es andere Rechtsgrundlagen gibt, die für die Tätigkeit einer Behörde grundsätzlich angemessener sind.

Unbeschadet dieser allgemeinen Überlegungen wird die Verwendung der Einwilligung als Rechtsgrundlage für die Datenverarbeitung durch Behörden im Rechtsrahmen der DS-GVO nicht vollständig ausgeschlossen.

Auch im Beschäftigungskontext tritt ein Ungleichgewicht der Macht auf. Angesichts der Abhängigkeit, die sich aus dem Verhältnis Arbeitgeber/Arbeitnehmer ergibt, ist es unwahrscheinlich, dass die betroffene Person ihrem Arbeitgeber die Einwilligung in die Datenverarbeitung verweigern kann, ohne Angst zu haben oder wirklich Gefahr zu laufen, dass diese Weigerung zu Nachteilen führt. Es ist unwahrscheinlich, dass ein Arbeitnehmer/eine Arbeitnehmerin frei auf ein Ersuchen seines/ihres Arbeitgebers um Einwilligung beispielsweise in die Aktivierung von Überwachungssystemen wie einer Kameraüberwachung des Arbeitsplatzes oder das Ausfüllen von Bewertungsformularen antworten kann, ohne sich gedrängt zu fühlen, die Einwilligung zu erteilen. Deshalb sieht es die WP29 als problematisch an, wenn Arbeitgeber die personenbezogenen Daten ihrer derzeitigen oder zukünftigen Arbeitnehmer auf der Grundlage der Einwilligung verarbeiten, da es unwahrscheinlich ist, dass diese freiwillig erteilt wurde. Für die meisten dieser Fälle der Datenverarbeitung am Arbeitsplatz kann und sollte die Rechtsgrundlage aufgrund der Natur des Verhältnisses zwischen Arbeitgeber und Arbeitnehmer nicht die Einwilligung des Arbeitnehmers sein (Artikel 6 Absatz 1 Buchstabe a).

Das bedeutet jedoch nicht, dass sich Arbeitgeber nie auf die Einwilligung als Rechtsgrundlage für die Verarbeitung stützen können. Es kann Situationen geben, in denen der Arbeitgeber nachweisen kann, dass die Einwilligung tatsächlich freiwillig erteilt wird. Angesichts des Ungleichgewichts der Macht zwischen einem Arbeitgeber und seinen Angestellten können Arbeitnehmer ihre Einwilligung nur in Ausnahmefällen freiwillig geben, wenn es zu überhaupt keinen Nachteilen führt, ob sie ihre Einwilligung geben oder nicht.

Ein Ungleichgewicht der Macht ist nicht auf Behörden und Arbeitgeber beschränkt, sondern kann auch in anderen Situationen auftreten. Wie die WP29 in verschiedenen Stellungnahmen betont hat, kann eine Einwilligung nur dann gültig sein, wenn die betroffene Person eine tatsächliche Wahlmöglichkeit hat und kein Risiko einer Täuschung, Einschüchterung, Nötigung oder beträchtlichen negativen Folgen (z. B. erhebliche Zusatzkosten) besteht, wenn sie die Einwilligung nicht erteilt. In Fällen, in denen Zwang oder Druck ausgeübt wird oder keine Möglichkeit zur Ausübung des freien Willens besteht, ist eine Einwilligung nicht frei.

 

3.1.2.    Konditionalität

Artikel 7 Absatz 4 der DS-GVO weist unter anderem darauf hin, dass eine Situation, in der die Einwilligung mit der Annahme von Vertragsbedingungen „gebündelt“ wird oder die Erfüllung eines Vertrags oder die Erbringung einer Dienstleistung mit dem Ersuchen um Einwilligung in eine Verarbeitung von personenbezogenen Daten „verknüpft“ wird, die für die Erfüllung des Vertrags nicht erforderlich sind, als in höchstem Maße unerwünscht angesehen wird. Wird die Einwilligung in einer solchen Situation erteilt, gilt sich als nicht freiwillig erteilt (Erwägungsgrund 43). Mit Artikel 7 Absatz 4 soll sichergestellt werden, dass der Zweck der Verarbeitung personenbezogener Daten nicht getarnt oder mit der Erfüllung eines Vertrags oder der Erbringung einer Dienstleistung gebündelt wird, für die diese personenbezogenen Daten nicht erforderlich sind.

Der Zwang, in die Verwendung personenbezogener Daten über das unbedingt erforderliche Maß hinaus einzuwilligen, schränkt die Wahlmöglichkeiten der betroffenen Person ein und steht einer freiwillig erteilten Einwilligung im Wege.

Wenn der Verantwortliche die Erfüllung eines Vertrags mit dem Ersuchen um Einwilligung verknüpft, geht eine betroffene Person, die dem Verantwortlichen ihre personenbezogenen Daten nicht für die Verarbeitung zur Verfügung stellen möchte, folglich das Risiko ein, dass ihr Leistungen verwehrt werden, um die sie ersucht hat.

Zur Bewertung, ob eine solche Situation der Bündelung oder Verknüpfung vorliegt, muss festgestellt werden, welchen Umfang der Vertrag hat und welche Daten für die Erfüllung des Vertrags erforderlich wären. Gemäß der Stellungnahme 6/2014 der WP29 ist der Begriff „erforderlich für die Erfüllung eines Vertrags“ eng auszulegen. Die Verarbeitung muss für die Erfüllung des Vertrags mit jeder einzelnen betroffenen Person erforderlich sein. Dies kann beispielsweise die Verarbeitung der Anschrift der betroffenen Person umfassen, so dass online gekaufte Waren zugestellt werden können, oder die Verarbeitung von Kreditkartendetails zum Zwecke der Zahlungsdurchführung. Im Beschäftigungskontext kann dieser Rechtsgrund beispielsweise die Verarbeitung von Lohn- und Gehaltsinformationen sowie von Bankangaben gestatten, damit Löhne und Gehälter ausgezahlt werden können. Es muss eine direkte und objektive Verbindung zwischen der Verarbeitung der Daten und dem Zweck für die Erfüllung des Vertrags bestehen.

Artikel 7 Absatz 4 ist nur dann maßgeblich, wenn die geforderten Daten nicht für die Erfüllung des Vertrags (einschließlich der Erbringung einer Dienstleistung) erforderlich sind und die Erfüllung dieses Vertrags vom Erhalt dieser Daten auf der Grundlage der Einwilligung abhängig gemacht wird. Wenn die Verarbeitung dagegen erforderlich ist, um den Vertrag zu erfüllen (einschließlich der Erbringung einer Dienstleistung), findet Artikel 7 Absatz 4 keine Anwendung.

Die Wahl des Gesetzgebers, unter anderem die Konditionalität als Annahme für das Fehlen einer freien Einwilligung hervorzuheben, zeigt, dass das Auftreten der Konditionalität sorgfältig geprüft werden muss. Der Begriff „in größtmöglichem Umfang Rechnung tragen“ in Artikel 7 Absatz 4 legt nahe, dass der Verantwortliche besondere Sorgfalt walten lassen muss, wenn ein Vertrag (zu dem auch die Erbringung einer Dienstleistung zählen könnte) mit dem Ersuchen um Einwilligung in die Verarbeitung der mit diesem Vertrag verbundenen personenbezogenen Daten verknüpft ist.

Da der Wortlaut von Artikel 7 Absatz 4 nicht auf absolute Weise ausgelegt wird, kann es sehr begrenzten Raum für Fälle geben, in denen diese Konditionalität die Einwilligung nicht ungültig machen würde. Der Begriff „gilt als“ in Erwägungsgrund 43 zeigt jedoch deutlich, dass solche Fälle die absolute Ausnahme darstellen werden.

In Artikel 7 Absatz 4 liegt die Beweislast jedenfalls eindeutig beim Verantwortlichen. Diese spezifische Vorschrift spiegelt den generellen Grundsatz der Rechenschaftspflicht wider, der sich durch die gesamte DS-GVO zieht. Wenn Artikel 7 Absatz 4 jedoch Anwendung findet, wird es für den Verantwortlichen schwieriger, den Nachweis zu erbringen, dass die betroffene Person freiwillig eingewilligt hat.

Die WP29 vertritt die Ansicht, dass eine Einwilligung nicht als freiwillig erteilt angesehen werden kann, wenn ein Verantwortlicher argumentiert, dass eine Wahlmöglichkeit besteht zwischen seiner Dienstleistung, zu der die Einwilligung in die Verwendung personenbezogener Daten für zusätzliche Zwecke gehört und einer vergleichbaren Dienstleistung, die von einem anderen Verantwortlichen angeboten wird. In einem solchen Fall würde die Wahlmöglichkeit vom Verhalten anderer Markteilnehmer abhängig gemacht werden und davon ob eine betroffene Einzelperson die Dienstleistungen des anderen Verantwortlichen wirklich als gleichwertig ansehen würde. Dies würde darüber hinaus bedeuten, dass der Verantwortliche die Entwicklungen des Marktes verfolgen müsste, um eine fortgesetzte Gültigkeit der Einwilligung in die Datenverarbeitungstätigkeiten sicherzustellen, da ein Wettbewerber seine Dienstleistungen zu einem späteren Zeitpunkt ändern könnte. Die Verwendung dieses Arguments bedeutet folglich, dass die Einwilligung die Bedingungen der DS-GVO nicht einhält.

 

3.1.3.    Granularität

Eine Dienstleistung kann zahlreiche Verarbeitungsvorgänge für mehr als einen Zweck umfassen. In solchen Fällen sollten die betroffenen Personen frei wählen können, welchen Zweck sie annehmen, statt in ein Bündel an Verarbeitungszwecken einwilligen zu müssen. In einem gegebenen Fall können nach der DS-GVO mehrere Einwilligungen gerechtfertigt sein, um eine Dienstleistung anzubieten.

In Erwägungsgrund 43 wird klargestellt, dass eine Einwilligung nicht als freiwillig erteilt gilt, wenn der Prozess/das Verfahren für das Einholen der Einwilligung es betroffenen Personen nicht ermöglicht, zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten gesondert eine Einwilligung zu erteilen (d. h. nur für einige Verarbeitungsvorgänge und für andere nicht), obwohl dies in dem entsprechenden Fall angemessen wäre. In Erwägungsgrund 32 wird Folgendes festgestellt:

„Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.“

 

3.1.4.    Nachteil

Der Verantwortliche muss nachweisen, dass es möglich ist, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden (Erwägungsgrund 42). Er muss beispielsweise nachweisen, dass das Widerrufen der Einwilligung nicht zu Kosten für die betroffene Person führt und folglich zu einem eindeutigen Nachteil für diejenigen, die die Einwilligung widerrufen.

Andere Beispiele für Nachteile sind Täuschung, Einschüchterung, Nötigung oder beträchtliche negative Folgen, wenn die betroffene Person nicht einwilligt. Der Verantwortliche sollte nachweisen können, dass die betroffene Person eine echte oder freie Wahl hatte, ob sie einwilligt oder nicht, und die Einwilligung widerrufen konnte, ohne Nachteile zu erleiden.

Wenn ein Verantwortlicher nachweisen kann, dass eine Dienstleistung die Möglichkeit umfasst, die Einwilligung ohne negative Folgen zu widerrufen, z. B. ohne dass die Erbringung der Dienstleistung zum Nachteil des Nutzers herabgestuft wird, kann das helfen, zu zeigen, dass die Einwilligung freiwillig erteilt wurde. Die DS-GVO schließt nicht alle Anreize aus, aber die Beweislast für den Nachweis, dass die Einwilligung unter allen Umständen freiwillig erteilt wurde, würde beim Verantwortlichen liegen.

 

3.2.    Für bestimmte Zwecke

Artikel 6 Absatz 1 Buchstabe a bestätigt, dass die Einwilligung der betroffenen Person für „einen oder mehrere bestimmte“ Zwecke gegeben werden muss und dass eine betroffene Person in Bezug auf jeden dieser Zwecke eine Wahlmöglichkeit haben muss.  Mit der Forderung, dass die Einwilligung für einen „bestimmten“ Zweck sein muss, soll ein gewisses Maß an Kontrolle und Transparenz für die betroffene Person sichergestellt werden. Diese Anforderung wurde durch die DS-GVO nicht geändert und bleibt eng mit dem Erfordernis der Einwilligung „in Kenntnis der Sachlage“ verknüpft. Gleichzeitig muss sie in Übereinstimmung mit der Forderung nach „Granularität“ ausgelegt werden, um eine „freie“ Einwilligung zu erhalten. Zusammenfassend ist Folgendes von Seiten des Verantwortlichen erforderlich, damit dem Element „bestimmte Zwecke“ entsprochen wird:

  1. Zweckbestimmung als Schutz vor einer schleichenden Ausweitung der Zweckbestimmung;
  2. Granularität bei Ersuchen um Einwilligung und
  3. klare Trennung zwischen Informationen im Zusammenhang mit dem Einholen der Einwilligung in die Datenerarbeitung und Informationen zu anderen Angelegenheiten.

 

3.3.    In Kenntnis der Sachlage

Die DS-GVO verstärkt das Erfordernis, dass die Einwilligung in Kenntnis der Sachlage erfolgen muss. Basierend auf Artikel 5 der DS-GVO ist das Erfordernis von Transparenz einer des wesentlichen Grundsätze, die eng mit den Grundsätzen der Verarbeitung nach Treu und Glauben und der Rechtmäßigkeit verknüpft sind. Es ist von grundlegender Bedeutung, den betroffenen Personen Informationen bereitzustellen, bevor ihre Einwilligung eingeholt wird, um es ihnen zu ermöglichen, Entscheidungen in Kenntnis der Sachlage zu treffen, zu verstehen, in was sie einwilligen und beispielsweise ihr Recht auszuüben, ihre Einwilligung zu widerrufen. Wenn der Verantwortliche keine zugänglichen Informationen bereitstellt, wird die Kontrolle durch den Nutzer illusorisch und dann ist die Einwilligung eine ungültige Grundlage für die Verarbeitung. Wenn das Erfordernis der Einwilligung in Kenntnis der Sachlage nicht eingehalten wird, ist die Einwilligung ungültig und der Verantwortliche verstößt möglicherweise gegen Artikel 6 der DS- GVO.

 

3.3.1.    Mindestanforderungen an den Inhalt, damit die Einwilligung „in informierter Weise“ erfolgt

Damit eine Einwilligung in Kenntnis der Sachlage erfolgt, muss die betroffene Person über bestimmte Elemente informiert werden, die für die Entscheidungsfindung wesentlich sind. Deshalb vertritt die WP29 die Auffassung, dass mindestens die folgenden Informationen erforderlich sind, damit eine Einwilligung gültig ist:

  1. die Identität des Verantwortlichen,
  2. der Zweck jedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird,
  3. die (Art) Daten, die erhoben und verwendet werden,
  4. das Vorliegen des Rechts, die Einwilligung zu widerrufen,
  5. gegebenenfalls Informationen über die Verwendung der Daten für eine automatisierte Entscheidungsfindung gemäß Artikel 22 Absatz 2 Buchstabe c, und
  6. Angaben zu möglichen Risiken von Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien gemäß Artikel 46.

 

3.3.2.    Wie Informationen bereitzustellen sind

Die DS-GVO schreibt nicht vor, in welcher Form die Informationen bereitzustellen sind, um das Erfordernis der Einwilligung in Kenntnis der Sachlage zu erfüllen. Das heißt, dass gültige Informationen auf verschiedene Weise vorgelegt werden können, beispielsweise als schriftliche oder mündliche Erklärungen oder als Audio- oder Videonachrichten. Die DS-GVO legt jedoch insbesondere in Artikel 7 Absatz 2 und in Erwägungsgrund 32 verschiedene Anforderungen im Hinblick auf eine Einwilligung in Kenntnis der Sachlage fest. Dies führt zu einem höheren Standard in Bezug auf die Klarheit und Zugänglichkeit von Informationen.

Verantwortliche sollten sicherstellen, dass sie beim Einholen der Einwilligung in allen Fällen eine klare und einfache Sprache verwenden. Dies bedeutet, dass die Nachricht für Durchschnittspersonen und nicht nur für Rechtsanwälte leicht zu verstehen sein sollte. Verantwortliche dürfen keine langen Datenschutzbestimmungen verwenden, die schwierig zu verstehen sind, oder Erklärungen, die mit juristischen Fachausdrücken gespickt sind. Die Einwilligung muss deutlich und von anderen Sachverhalten klar zu unterscheiden sein und in verständlicher und leicht zugänglicher Form erfolgen. Diese Anforderung bedeutet im Wesentlichen, dass die Informationen, die für das Treffen einer Entscheidung in Kenntnis der Sachlage maßgeblich sind, nicht in allgemeinen Geschäftsbedingungen versteckt werden dürfen.

Artikel 7 Absatz 2 geht auf vorformulierte, schriftliche Einwilligungserklärungen ein, die noch andere Sachverhalte betreffen. Wird im Rahmen eines Vertrags (in Schriftform) um Einwilligung ersucht, sollte das Ersuchen um Einwilligung von den anderen Sachverhalten klar zu unterscheiden sein. Enthält der schriftliche Vertrag viele Aspekte, die mit der Frage der Einwilligung in die Verwendung der personenbezogenen Daten nicht in Zusammenhang stehen, sollte die Frage der Einwilligung entweder in einem anderen Dokument oder auf eine Weise behandelt werden, die sich deutlich abhebt. Erfolgt die Aufforderung zur Einwilligung auf elektronischem Weg, gilt entsprechend, dass diese gemäß Erwägungsgrund 32 in gesonderter und klarer Form erfolgen muss und nicht einfach ein Absatz in den Geschäftsbedingungen sein kann.39 Es kann gegebenenfalls erwogen werden, die Informationen mehrschichtig zu präsentieren, um auf kleine Bildschirme oder Situationen Rücksicht zu nehmen, in denen nur begrenzt Platz für Informationen zur Verfügung steht, und um eine übermäßige Störung der Nutzererfahrung oder des Produktdesigns zu vermeiden.

Ein Verantwortlicher, der sich auf die Einwilligung einer betroffenen Person verlässt, muss auch mit den getrennten Informationspflichten umgehen, die in den Artikeln 13 und 14 niedergelegt sind, um die DS-GVO einzuhalten. In der Praxis kann die Einhaltung der Informationspflichten und des Erfordernisses der Einwilligung in Kenntnis der Sachlage in vielen Fällen zu einem integrierten Ansatz führen. Dieser Abschnitt wurde jedoch in dem Verständnis verfasst, dass eine gültige Einwilligung „in Kenntnis der Sachlage“ vorliegen kann, selbst wenn nicht alle Elemente der Artikel 13 und/oder 14 beim Einholen der Einwilligung genannt werden (diese Punkte sollten selbstverständlich an anderen Stellen genannt werden, wie z. B. in der Datenschutzerklärung eines Unternehmens). Die WP29 hat gesonderte Leitlinien zur Vorgabe der Transparenz herausgegeben.

 

3.4.    Unmissverständlich abgegebene Willensbekundung

Die DS-GVO macht deutlich, dass eine Einwilligung eine Erklärung oder eine eindeutige bestätigende Handlung von Seiten der betroffenen Person erfordert, was bedeutet, dass die Einwilligung stets durch eine aktive Handlung oder Erklärung erteilt werden muss. Es muss offensichtlich sein, dass die betroffene Person in diese bestimmte Verarbeitung eingewilligt hat.

In Artikel 2 Buchstabe h der Richtlinie 95/46/EG wird Einwilligung beschrieben als „Willensbekundung, [...] mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“ Artikel 4 Absatz 11 der DS-GVO baut auf dieser Definition auf, indem er in Übereinstimmung mit den vorher herausgegebenen Leitlinien der WP29 klargestellt, dass eine gültige Einwilligung eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erfordert.

Eine „eindeutig bestätigende Handlung“ bedeutet, dass die betroffene Person eine bewusste Handlung zur Einwilligung in die bestimmte Verarbeitung vorgenommen haben muss.  In Erwägungsgrund 32 wird dies näher dargelegt. Eine Einwilligung kann durch eine schriftliche oder (aufgezeichnete) mündliche Erklärung, die auch elektronisch erfolgen kann, eingeholt werden.

Unbeschadet des bestehenden (innerstaatlichen) Vertragsrechts kann eine Einwilligung durch eine aufgezeichnete mündliche Erklärung erhalten werden, auch wenn hier auf die Informationen zu achten ist, die der betroffenen Person zur Verfügung stehen, bevor sie ihre Einwilligung erteilt. Die Verwendung bereits angekreuzter Kästchen ist gemäß der DS-GVO ungültig. Stillschweigen oder Untätigkeit der betroffenen Person sowie das einfache Fortfahren mit einer Dienstleistung können nicht als wirksamer Hinweis auf eine Wahlmöglichkeit angesehen werden.

Ein Verantwortlicher muss auch beachten, dass eine Einwilligung nicht durch denselben Vorgang erteilt werden kann, mit dem einem Vertrag oder den allgemeinen Geschäftsbedingungen einer Dienstleistung zugestimmt wird. Eine pauschale Annahme der allgemeinen Geschäftsbedingungen kann nicht als eindeutige bestätigende Handlung in die Einwilligung der Verwendung personenbezogener Daten gesehen werden. Die DS-GVO erlaubt es den Verantwortlichen nicht, bereits angekreuzte Kästchen oder Opt-out-Konstruktionen zu verwenden, die ein Handeln der betroffenen Person erfordern, um eine Zustimmung zu verhindern (zum Beispiel „Opt-out- Kästchen“).

Erfolgt die Aufforderung zur Einwilligung auf elektronischem Weg, so sollte die Aufforderung zur Einwilligung ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen. Wenn eine weniger beeinträchtigende oder störende Methode zu Unklarheiten führen würde, kann eine aktive bestätigende Handlung erforderlich sein, mit der die betroffene Person ihre Einwilligung zeigt. Folglich kann es erforderlich sein, dass eine Aufforderung zur Einwilligung den Dienst in einem gewissen Maß unterbricht, damit die Aufforderung wirksam wird.

Es ist den Verantwortlichen jedoch im Rahmen der Vorschriften der DS-GVO freigestellt, einen Einwilligungsablauf zu entwickeln, der zu ihrer Organisation passt. In dieser Hinsicht kann eine physische Handlung als eindeutige bestätigende Handlung angesehen werden, die mit der DS-GVO konform ist.

Die Verantwortlichen sollten die Einwilligungsmechanismen so konzipieren, dass sie für die betroffenen Personen verständlich sind. Die Verantwortlichen müssen Unklarheiten vermeiden und sicherstellen, dass die Handlung, mit der die Einwilligung erteilt wird, von anderen Handlungen unterschieden werden kann. Wenn die gewöhnliche Nutzung der Website schlicht weitergeführt wird, ist dies deshalb kein Verhalten, aus dem ein Hinweis der betroffenen Person geschlossen werden könnte, dass sie ihre Einwilligung zu einem vorgeschlagenen Verarbeitungsvorgang zum Ausdruck bringen möchte.

Im digitalen Kontext benötigen viele Dienstleistungen personenbezogene Daten, um funktionieren zu können. Folglich erhalten die betroffenen Personen zahlreiche Einwilligungsaufforderungen, die jeden Tag durch Anklicken oder Wischen beantwortet werden müssen. Das kann zu einem gewissen Maß an Müdigkeit gegenüber dem Anklicken führen: wenn die betroffenen Personen zu häufig mit dem Einwilligungsmechanismus konfrontiert werden, nimmt seine warnende Wirkung ab.

Dies führt zu einer Situation, in der Ersuchen um Einwilligung nicht mehr gelesen werden. Dies stellt insbesondere für die betroffenen Personen ein Risiko dar, da üblicherweise um Einwilligung in Vorgänge ersucht wird, die ohne Einwilligung grundsätzlich rechtswidrig sind. Die DS-GVO verpflichtet die Verantwortlichen dazu, Wege zu finden, um dieses Problem zu lösen.

Ein häufig erwähntes Beispiel, wie dies im Online-Umfeld erreicht werden könnte, ist das Einholen der Einwilligung von den Internetnutzern durch die Browser-Einstellungen. Diese Einstellungen sollten im Einklang mit den Bedingungen der DS-GVO für eine gültige Einwilligung entwickelt werden, beispielsweise, dass die Einwilligung für jeden geplanten Zweck granular zu sein hat und dass zu den bereit zu stellenden Informationen der Name des Verantwortlichen zählen sollte.

Die Einwilligung muss auf jeden Fall eingeholt werden, bevor der Verantwortliche mit der Verarbeitung der personenbezogenen Daten beginnt, für die die Einwilligung benötigt wird. Die WP29 hat in früheren Stellungnahmen durchgängig die Meinung vertreten, dass die Einwilligung vor Beginn der Verarbeitungstätigkeit erteilt werden sollte. Obwohl die DS-GVO in Artikel 4 Absatz 11 nicht wortwörtlich vorschreibt, dass die Einwilligung vor Beginn der Verarbeitungstätigkeit eingeholt werden muss, wird es eindeutig impliziert. Die Überschrift von Artikel 6 Absatz 1 und der Wortlaut „hat gegeben“ in Artikel 6 Absatz 1 Buchstabe a unterstützen diese Auslegung. Die logische Folgerung aus Artikel 6 und Erwägungsgrund 40 ist, dass vor Beginn der Verarbeitungstätigkeit eine gültige Rechtsgrundlage vorliegen muss. Folglich sollte die Einwilligung vor Beginn der Verarbeitungstätigkeit vorliegen. Grundsätzlich kann es ausreichen, die betroffene Person einmalig um ihre Einwilligung zu ersuchen. Die Verantwortlichen müssen jedoch eine neue ausdrückliche Einwilligung einholen, wenn sich die Zwecke der Datenverarbeitung ändern, nachdem die Einwilligung eingeholt wurde oder wenn ein zusätzlicher Zweck vorgesehen wird.

 

4.    Einholen der ausdrücklichen Einwilligung


Eine ausdrückliche Einwilligung ist in bestimmten Situationen erforderlich, in denen ein ernstes Datenschutzrisiko auftritt, wenn also ein hohes Maß an individueller Kontrolle über personenbezogene Daten für angebracht gehalten wird. In der DS-GVO spielt die ausdrückliche Einwilligung eine Rolle in Artikel 9 über die Verarbeitung besonderer Kategorien personenbezogener Daten, den Bestimmungen zur Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation in Artikel 49 und in Artikel 22 über automatisierte Entscheidungen im Einzelfall einschließlich Profiling.

Die DS-GVO schreibt vor, dass eine „Erklärung oder eindeutige bestätigende Handlung“ die Voraussetzung für eine „ordnungsgemäße“ Einwilligung ist. Da die Anforderung einer „ordnungsgemäßen“ Einwilligung in der DS-GVO bereits einen höheren Standard einnimmt, als das Erfordernis der Einwilligung in der Richtlinie 95/46/EG, muss geklärt werden, welche zusätzlichen Anstrengungen ein Verantwortlicher unternehmen sollte, um eine ausdrückliche Einwilligung der betroffenen Person im Sinne der DS-GVO zu erhalten.

Der Begriff ausdrücklich bezieht sich darauf, wie die betroffene Person ihre Einwilligung zum Ausdruck bringt. Er bedeutet, dass die betroffene Person eine ausdrückliche Einwilligungserklärung abgeben muss. Ein offensichtlicher Weg zum Einholen einer ausdrücklichen Einwilligung wäre, dass die Einwilligung in einer schriftlichen Erklärung ausdrücklich bestätigt wird. Der Verantwortliche könnte gegebenenfalls sicherstellen, dass die Erklärung von der betroffenen Person unterzeichnet wird, um alle möglichen Zweifel und einen möglicherweise fehlenden Nachweis für die Zukunft aus dem Weg zu räumen.

Eine solche unterzeichnete Einwilligung ist jedoch nicht der einzige Weg, eine ausdrückliche Einwilligung zu erhalten und es kann nicht gesagt werden, dass die DS-GVO in allen Situationen, die einer gültigen, ausdrücklichen Einwilligung bedürfen, schriftliche und unterschriebene Erklärungen vorschreibt. Im digitalen oder Online-Kontext beispielsweise kann eine betroffene Person die erforderliche Erklärung durch Ausfüllen eines elektronischen Formulars, Senden einer E-Mail, Hochladen eines eingescannten Dokuments, das von der betroffenen Person unterzeichnet wurde oder durch Verwenden einer elektronischen Signatur erteilen. Theoretisch kann auch die Verwendung mündlicher Erklärungen ausreichen, um eine gültige, ausdrückliche Einwilligung zu erhalten; es kann jedoch für den Verantwortlichen schwierig sein, den Nachweis zu erbringen, dass zum Zeitpunkt der Aufzeichnung der Erklärung alle Bedingungen für eine gültige, ausdrückliche Einwilligung erfüllt waren.

Auch mit einer zweistufigen Überprüfung der Einwilligung kann sichergestellt werden, dass die Einwilligung gültig ist. Eine betroffene Person erhält beispielsweise eine E-Mail, in der sie auf die Absicht des Verantwortlichen hingewiesen wird, eine Akte zu verarbeiten, die medizinische Daten enthält. Der Verantwortliche erklärt in der E-Mail, dass er um die Einwilligung in die Verwendung eines bestimmten Satzes an Informationen für einen speziellen Zweck ersucht. Wenn die betroffene Person in die Verwendung dieser Daten einwilligt, bittet der Verantwortliche sie um eine Antwort per E-Mail, die die Erklärung „Ich willige ein“ enthält. Nachdem die Antwort gesendet ist, erhält die betroffene Person einen Bestätigungslink, der angeklickt werden muss oder eine SMS- Nachricht, mit einem Bestätigungscode, um die Vereinbarung zu bestätigen.

Artikel 9 Absatz 2 erkennt „für die Erfüllung eines Vertrags erforderlich“ nicht als eine Ausnahme von dem allgemeinen Verbot an, besondere Kategorien von Daten zu verarbeiten. Deshalb sollten Verantwortliche und Mitgliedstaaten, die mit dieser Situation umgehen, die spezifischen Ausnahmen in Artikel 9 Absatz 2 Buchstaben b bis j prüfen. Sollte keine der Ausnahmen in b bis j Anwendung finden, bleibt das Einholen einer ausdrücklichen Einwilligung in Übereinstimmung mit den in der DS-GVO niedergelegten Bedingungen für eine gültige Einwilligung die einzige mögliche rechtmäßige Ausnahme zur Verarbeitung solcher Daten.

 

5.    Zusätzliche Bedingungen für das Einholen einer gültigen Einwilligung


Die DS-GVO führt Anforderungen ein, dass Verantwortliche zusätzliche Vorkehrungen treffen müssen, um sicherzustellen, dass sie eine gültige Einwilligung erhalten, diese aufrechterhalten und nachweisen können. Artikel 7 der DS-GVO legt diese zusätzlichen Bedingungen für eine gültige Einwilligung fest, die besondere Bestimmungen zur Aufzeichnung der Einwilligung und dem Recht auf einfaches Widerrufen der Einwilligung enthalten. Artikel 7 findet auch auf die Einwilligung Anwendung, auf die in anderen Artikeln der DS-GVO verwiesen wird, wie beispielsweise Artikel 8 und 9. Unten wird weitere Anleitung zu der zusätzlichen Anforderung gegeben, eine gültige Einwilligung nachzuweisen und zum Widerruf eine Einwilligung.

5.1.    Nachweis der Einwilligung

In Artikel 7 Absatz 1 der DS-GVO wird die ausdrückliche Verpflichtung des Verantwortlichen deutlich dargelegt, die Einwilligung der betroffenen Person nachzuweisen. Nach Artikel 7 Absatz 1 liegt die Beweislast beim Verantwortlichen.

Erwägungsgrund 42 stellt fest: „Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat.“

Es steht den Verantwortlichen frei, Methoden zu entwickeln, um diese Bestimmung auf eine Weise einzuhalten, die zu ihren täglichen Geschäftstätigkeiten passt. Gleichzeitig sollte die Pflicht zur Erbringung des Nachweises, dass der Verantwortliche eine gültige Einwilligung eingeholt hat, nicht an sich zu einer übermäßigen Erhöhung des Datenverarbeitungsvolumens führen. Das bedeutet, dass die Verantwortlichen über ausreichend Daten verfügen sollten, um eine Verbindung zu der Verarbeitung aufzeigen zu können (um zu zeigen, dass eine Einwilligung erhalten wurde). Sie sollten jedoch nicht mehr Informationen erheben, als erforderlich ist.

 

5.2.    Widerruf der Einwilligung

Dem Widerruf der Einwilligung wird in der DS-GVO eine herausragende Stellung eingeräumt. Die Bestimmungen und Erwägungsgründe in der DS-GVO zum Widerruf der Einwilligung können als Kodifizierung der bestehenden Auslegung dieser Angelegenheit in den Stellungnahmen der WP29 angesehen werden.

Artikel 7 Absatz 3 der DS-GVO schreibt vor, dass der Verantwortliche sicherstellen muss, dass die betroffene Person die Einwilligung jederzeit widerrufen kann und dass der Widerruf der Einwilligung so einfach sein muss wie die Erteilung der Einwilligung. Die DS-GVO legt nicht fest, dass das Erteilen und Widerrufen der Einwilligung immer durch dieselbe Handlung erfolgen muss.

Wird die Einwilligung jedoch mit Hilfe elektronischer Mittel lediglich durch einen Mausklick, Wischvorgang oder Tastenanschlag erteilt, müssen die betroffenen Personen in der Praxis die Möglichkeit haben, die Einwilligung genauso einfach zu widerrufen. Wird die Einwilligung über eine dienstleistungsspezifische Nutzerschnittfläche (beispielsweise über eine Website, eine App, ein Konto, in das sich der Nutzer einloggt, die Schnittstelle eines Gerätes des Internet der Dinge oder eine E-Mail) erteilt, muss die betroffene Person ohne jeden Zweifel die Möglichkeit haben, ihre Einwilligung über dieselbe elektronische Schnittstelle zu widerrufen, da das Wechseln zu einer anderen Schnittstelle nur um die Einwilligung zu widerrufen, eine unangemessene Anstrengung erforderlich machen würde. Darüber hinaus sollte die betroffene Person ihre Einwilligung widerrufen können, ohne Nachteile zu erleiden. Das bedeutet unter anderem, dass der Verantwortliche einen Widerruf gebührenfrei und ohne Absenkung des Leistungsniveaus ermöglichen muss.

In der DS-GVO wird die Möglichkeit eines einfachen Widerrufs als notwendiger Aspekt einer gültigen Einwilligung genannt. Wenn das Widerrufsrecht nicht die Anforderungen der DS-GVO erfüllt, hält der Einwilligungsmechanismus des Verantwortlichen die DS-GVO nicht ein. Wie in Abschnitt 3.1 zur Bedingung der Einwilligung in Kenntnis der Sachlage erwähnt wurde, muss der Verantwortliche die betroffene Person über das Recht auf Widerruf der Einwilligung vor der tatsächlichen Abgabe der Einwilligung gemäß Artikel 7 Absatz 3 der DS-GVO in Kenntnis setzen. Zusätzlich muss der Verantwortliche die betroffenen Personen als Teil der Pflicht zur Transparenz darüber informieren, wie sie ihre Rechte geltend machen können.

Wenn die Einwilligung widerrufen wird, gilt als allgemeine Regel, dass alle Datenverarbeitungsvorgänge, die auf der Einwilligung beruhten und vor dem Widerruf der Einwilligung - und in Einklang mit der DS-GVO - stattfanden, rechtmäßig bleiben, der Verantwortliche aber die betroffenen Verarbeitungstätigkeiten einstellen muss. Wenn es an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten fehlt (z. B. weitere Speicherung), sollten sie von dem Verantwortlichen gelöscht werden.

Wie weiter vorne in den vorliegenden Leitlinien erwähnt wurde, ist es wichtig, dass die Verantwortlichen vor der Erhebung der Daten die Zwecke bewerten, für die die Daten tatsächlich verarbeitet werden und die Rechtsgrundlage, auf die sich die Verarbeitung stützt. Unternehmen benötigen personenbezogene Daten häufig für verschiedene Zwecke und die Verarbeitung stützt sich auf mehr als eine Rechtsgrundlage. So kann die Verarbeitung von Kundendaten auf einem Vertrag und einer Einwilligung basieren. Folglich bedeutet der Widerruf der Einwilligung nicht, dass der Verantwortliche Daten löschen muss, die für einen Zweck verarbeitet werden, der auf der Erfüllung des Vertrags mit der betroffenen Person beruht. Deshalb sollten Verantwortliche von Anfang an deutlich machen, welcher Zweck auf welche Daten Anwendung findet und auf welcher Rechtsgrundlage die Verarbeitung beruht.

Angenommen, die fortgesetzte Speicherung wird durch einen anderen Zweck gerechtfertigt, sind Verantwortliche zur Löschung der Daten verpflichtet, die auf der Grundlage einer Einwilligung verarbeitet werden, wenn diese Einwilligung widerrufen wird.
Außer dieser Situation, die von Artikel 17 Absatz 1 Buchstabe b abgedeckt ist, kann eine betroffene Einzelperson die Löschung anderer sie betreffender Daten fordern, die basierend auf einer anderen Rechtsgrundlage verarbeitet werden, z. B. auf der Grundlage von Artikel 6 Absatz 1 Buchstabe b. Verantwortliche müssen bewerten, ob die fortgesetzte Verarbeitung der betroffenen Daten angemessen ist, selbst wenn die betroffene Person die Löschung der Daten nicht verlangt hat.

In Fällen, in denen die betroffene Person ihre Einwilligung widerruft und der Verantwortliche die personenbezogenen Daten basierend auf einer anderen Rechtsgrundlage weiterverarbeiten möchte, kann er nicht stillschweigend von der Einwilligung (die widerrufen wurde) zu einer anderen Rechtsgrundlage wechseln. Die betroffene Person muss gemäß den Informationsanforderungen in Artikel 13 und 14 und nach dem allgemeinen Grundsatz der Transparenz über jede Änderung der Rechtsgrundlage informiert werden.

ec.europa.eu; Autoren, bow, Zugriff 25.09.2018
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051

10/2018


Vorbeugen ist besser als Heilen (DSGVO).

 

I. Meldung von Verletzungen des Schutzes personenbezogener Daten nach der DSGVO

II. Artikel 33 – Meldung an die Aufsichtsbehörde

III. Artikel 34 – Benachrichtigung der betroffenen Person

IV. Bewertung eines Risikos und eines hohen Risikos

V. Rechenschaftspflicht und Aufzeichnung

 


EINLEITUNG

Mit der Datenschutz-Grundverordnung (DSGVO) wird die Anforderung eingeführt, dass Verletzungen des Schutzes personenbezogener Daten (im Folgenden „Datenschutzverletzungen“) an die Aufsichtsbehörde (bzw. im Falle grenzüberschreitender Datenschutzverletzungen an die federführende Behörde) gemeldet werden müssen und dass in bestimmten Fällen die Personen, deren personenbezogene Daten von der Datenschutzverletzung betroffen sind, von der Datenschutzverletzung benachrichtigt werden müssen.

Nach Ansicht der Artikel-29-Datenschutzgruppe ist die neue Meldepflicht in mehrfacher Hinsicht von Vorteil. Bei der Meldung an die Aufsichtsbehörde können sich die Verantwortlichen darüber beraten lassen, ob die betroffenen Personen informiert werden müssen. Die Aufsichtsbehörde kann den Verantwortlichen sogar anweisen, die Betroffenen über die Datenschutzverletzung zu unterrichten. Im Rahmen der Benachrichtigung kann der Verantwortliche die betroffenen Personen über die durch die Datenschutzverletzung entstandenen Risiken informieren und ihnen mitteilen, wie sie sich selbst vor den möglichen Folgen der Verletzung schützen können. Das Hauptaugenmerk eines Reaktionsplans zur Bewältigung von Datenschutzverletzungen sollte auf dem Schutz natürlicher Personen und ihrer personenbezogenen Daten liegen. Dementsprechend sollte die Meldung von Datenschutzverletzungen als Instrument betrachtet werden, das die Einhaltung der Vorschriften zum Schutz personenbezogener Daten erleichtert. Gleichzeitig ist zu beachten, dass die Nichtmeldung einer Datenschutzverletzung gegenüber einer betroffenen Person oder einer Aufsichtsbehörde unter Umständen eine mögliche Sanktion nach Artikel 83 gegen den Verantwortlichen begründen kann.

Die Verantwortlichen und Auftragsverarbeiter sollten daher vorausschauend planen und Verfahren einführen, die es ihnen ermöglichen, Datenschutzverletzungen zu erkennen und zügig einzudämmen, das Risiko für die betroffenen Personen zu bewerten und anschließend festzustellen, ob die zuständige Aufsichtsbehörde informiert werden muss, und die Betroffenen gegebenenfalls von der Datenschutzverletzung zu benachrichtigen. Die Meldung an die Aufsichtsbehörde sollte Bestandteil eines solchen Vorfallreaktionsplans sein.

Die DSGVO enthält Vorschriften darüber, wann und an wen eine Datenschutzverletzung gemeldet werden muss und welche Angaben in der Meldung gemacht werden müssen. Die für die Meldung erforderlichen Informationen können schrittweise übermittelt werden, doch sollten die Verantwortlichen in jedem Fall zügig auf eine Datenschutzverletzung reagieren.

In den vorliegenden Leitlinien werden die verbindlichen Melde- und Benachrichtigungsanforderungen der DSGVO erläutert und einige Maßnahmen vorgestellt, die die Verantwortlichen und Auftragsverarbeiter zur Erfüllung dieser neuen Verpflichtungen ergreifen können. Außerdem werden Beispiele für verschiedene Arten von Datenschutzverletzungen beschrieben, um anhand unterschiedlicher Szenarien zu erläutern, wer jeweils unterrichtet werden muss.

 

I. Meldung von Verletzungen des Schutzes personenbezogener Daten nach der DSGVO


A.    Grundlegende Überlegungen zum Thema Sicherheit

Eine der Anforderungen der DSGVO lautet, dass personenbezogene Daten mithilfe geeigneter technischer und organisatorischer Maßnahmen in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Folglich müssen die Verantwortlichen und die Auftragsverarbeiter nach Maßgabe der DSGVO über geeignete technische und organisatorische Maßnahmen verfügen, die ein Sicherheitsniveau gewährleisten, das den für die verarbeiteten personenbezogenen Daten bestehenden Risiken angemessen ist. Sie sollten den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigen. Darüber hinaus müssen nach der DSGVO alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen werden, um sofort feststellen zu können, ob eine Datenschutzverletzung aufgetreten ist, woraus sich dann ableitet, ob die Meldepflicht zum Tragen kommt.

Eines der zentralen Komponenten jedes Datensicherheitskonzepts ist somit die Fähigkeit, Datenschutzverletzungen soweit möglich zu verhindern und, sollte eine Datenschutzverletzung dennoch auftreten, zügig darauf zu reagieren.

B.    Was ist eine Verletzung des Schutzes personenbezogener Daten?


1.    Begriffsbestimmung

Um gegen eine Datenschutzverletzung vorgehen zu können, müssen die Verantwortlichen zunächst in der Lage sein, eine Datenschutzverletzung zu erkennen. Der Begriff „Verletzung des Schutzes personenbezogener Daten“ wird in Artikel 4 Absatz 12 der DSGVO definiert als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Es dürfte klar sein, dass es sich bei einer Datenschutzverletzung um eine Art von Sicherheitsvorfall handelt. Wie aus Artikel 4 Absatz 12 hervorgeht, ist die DSGVO jedoch nur bei Verletzungen des Schutzes personenbezogener Daten anwendbar. Die Folge einer solchen Datenschutzverletzung ist, dass der Verantwortliche die Einhaltung der in Artikel 5 der DSGVO dargelegten Grundsätze im Zusammenhang mit der Verarbeitung personenbezogener Daten nicht mehr gewährleisten kann. An dieser Stelle wird der Unterschied zwischen einem Sicherheitsvorfall und einer Verletzung des Schutzes personenbezogener Daten deutlich: Im Wesentlichen ist eine Verletzung des Schutzes personenbezogener Daten immer auch ein Sicherheitsvorfall, während es sich bei einem Sicherheitsvorfall nicht notwendigerweise um eine Verletzung des Schutzes personenbezogener Daten handelt.

Die möglichen negativen Folgen einer Datenschutzverletzung für die betroffenen Personen werden weiter unten erörtert.


2.    Formen der Verletzung des Schutzes personenbezogener Daten

Wie die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 03/2014 über die Meldung von Verletzungen des Schutzes personenbezogener Daten dargelegt hat, lassen sich Datenschutzverletzungen nach den folgenden drei bekannten Grundsätzen der Informationssicherheit unterteilen:

  • „Verletzung der Vertraulichkeit“ – die unbefugte oder unbeabsichtigte Preisgabe von oder Einsichtnahme in personenbezogene Daten

  • „Verletzung der Integrität“ – die unbefugte oder unbeabsichtigte Änderung personenbezogener Daten

  • „Verletzung der Verfügbarkeit“ – der unbefugte oder unbeabsichtigte Verlust des Zugangs zu personenbezogenen Daten oder die unbeabsichtigte oder unrechtmäßige Vernichtung personenbezogener Daten

Zu beachten ist auch, dass eine Datenschutzverletzung je nach den Umständen die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zugleich oder eine beliebige Kombination aller Grundsätze betreffen kann.

Während sich eine Verletzung der Datenvertraulichkeit oder -integrität relativ eindeutig feststellen lässt, ist eine Verletzung der Datenverfügbarkeit unter Umständen weniger offensichtlich. Eine Datenschutzverletzung gilt immer als Verletzung der Datenverfügbarkeit, wenn personenbezogene Daten dauerhaft verloren gegangen sind oder vernichtet wurden.


3.    Mögliche Folgen von Verletzungen des Schutzes personenbezogener Daten

Datenschutzverletzungen können zahlreiche nachteilige Auswirkungen für die betroffenen Personen haben und einen physischen, materiellen oder immateriellen Schaden nach sich ziehen. Wie in der DSGVO erläutert, können hierzu der Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung und Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten gehören. den betroffenen Personen können auch andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile entstehen.

Daher verlangt die DSGVO von den Verantwortlichen, Datenschutzverletzungen an die zuständige Aufsichtsbehörde zu melden, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu dem Risiko eines Eintritts solcher nachteiligen Auswirkungen führt. Besteht ein hohes Risiko, dass diese nachteiligen Auswirkungen eintreten, muss der Verantwortliche nach den Bestimmungen der DSGVO die betroffenen Personen so rasch wie nach allgemeinem Ermessen möglich von der Datenschutzverletzung benachrichtigen.

In Erwägungsgrund 87 der DSGVO wird betont, wie wichtig es ist, eine Datenschutzverletzung feststellen, das Risiko für die betroffenen Personen einschätzen und die Datenschutzverletzung daraufhin gegebenenfalls melden zu können:

In Erwägungsgrund 87 der DSGVO wird betont, wie wichtig es ist, eine Datenschutzverletzung feststellen, das Risiko für die betroffenen Personen einschätzen und die Datenschutzverletzung daraufhin gegebenenfalls melden zu können:

„Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können. Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden. Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.“

 

II. Artikel 33 – Meldung an die Aufsichtsbehörde


A.    Wann muss eine Meldung erfolgen?

1.    Anforderungen nach Artikel 33
Artikel 33 Absatz 1 sieht Folgendes vor:

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“

Erwägungsgrund 87 lautet wie folgt:

„Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können. Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden. Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.“

2.    Wann wird dem Verantwortlichen eine Datenschutzverletzung „bekannt“?
Wie bereits erläutert, verlangt die DSGVO, dass der Verantwortliche eine Datenschutzverletzung unverzüglich und, falls möglich, binnen höchstens 72 Stunden meldet, nachdem ihm die Verletzung bekannt wurde. Hier könnte sich die Frage stellen, wann davon auszugehen ist, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde. Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.

Die DSGVO sieht jedoch wie bereits angemerkt vor, dass die Verantwortlichen alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen treffen, um sofort feststellen zu können, ob eine Datenschutzverletzung aufgetreten ist, und um die Aufsichtsbehörde und die betroffenen Personen umgehend unterrichten zu können. Ferner wird erklärt, dass bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, die Art und Schwere der Datenschutzverletzung sowie deren Folgen und nachteiligen Auswirkungen für die betroffene Person berücksichtigt werden sollten. Daher obliegt es den Verantwortlichen sicherzustellen, dass ihnen etwaige Datenschutzverletzungen rechtzeitig „bekannt“ werden, um angemessene Maßnahmen ergreifen zu können.

Wann genau davon auszugehen ist, dass einem Verantwortlichen eine bestimmte Datenschutzverletzung „bekannt“ wurde, hängt von den konkreten Umständen der Datenschutzverletzung ab. In einigen Fällen dürfte von Anfang an klar sein, dass eine Datenschutzverletzung vorliegt, in anderen hingegen kann womöglich erst nach einer gewissen Zeit festgestellt werden, ob personenbezogene Daten beeinträchtigt wurden. Der Schwerpunkt sollte jedoch auf sofortigen Maßnahmen zur Untersuchung des Vorfalls liegen, damit festgestellt wird, ob der Schutz personenbezogener Daten tatsächlich verletzt wurde, und um Abhilfemaßnahmen zu ergreifen und die Datenschutzverletzung gegebenenfalls zu melden, falls sich diese bestätigt.

3.    Gemeinsam für die Verarbeitung Verantwortliche
Artikel 26 befasst sich mit gemeinsam für die Verarbeitung Verantwortlichen und sieht vor, dass gemeinsam für die Verarbeitung Verantwortliche festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt. Dabei muss auch die für die Einhaltung der Verpflichtungen aus den Artikeln 33 und 34 verantwortliche Partei benannt werden. Die Artikel-29-Datenschutzgruppe empfiehlt, in den vertraglichen Vereinbarungen zwischen gemeinsam für die Verarbeitung Verantwortlichen ausdrücklich zu regeln, welcher Verantwortliche in Bezug auf die Einhaltung der Pflicht zur Meldung von Datenschutzverletzungen die führende Rolle übernimmt bzw. die Verantwortung trägt.

4.    Pflichten des Auftragsverarbeiters
Der Verantwortliche trägt zwar stets die Gesamtverantwortung für den Schutz personenbezogener Daten, doch der Auftragsverarbeiter hat insofern eine wichtige Rolle, als er den Verantwortlichen dabei unterstützt, seinen Verpflichtungen nachzukommen – dazu gehört auch die Meldung von Datenschutzverletzungen. In Artikel 28 Absatz 3 ist festgelegt, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen hat. Nach Artikel 28 Absatz 3 Buchstabe f muss ein solcher Vertrag bzw. ein solch anderes Rechtsinstrument vorsehen, dass der Auftragsverarbeiter „unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt“.

Artikel 33 Absatz 2 besagt eindeutig, dass der vom Verantwortlichen eingesetzte Auftragsverarbeiter eine ihm bekannt gewordene Verletzung des Schutzes der personenbezogenen Daten, die er im Auftrag des Verantwortlichen verarbeitetet, „unverzüglich“ an den Verantwortlichen melden muss. Der Auftragsverarbeiter ist dabei nicht verpflichtet, die Wahrscheinlichkeit eines mit einer Datenschutzverletzung verbundenen Risikos vor der Meldung an den Verantwortlichen zu prüfen; es ist Sache des Verantwortlichen, dies zu prüfen, sobald ihm die Datenschutzverletzung bekannt wird. Der Auftragsverarbeiter muss lediglich feststellen, ob eine Datenschutzverletzung aufgetreten ist, und diese dann an den Verantwortlichen melden. Der Verantwortliche nutzt den Auftragsverarbeiter, um seine Ziele zu erreichen; deshalb gilt grundsätzlich, dass dem Verantwortlichen die Datenschutzverletzung „bekannt“ wurde, sobald ihn der Auftragsverarbeiter davon in Kenntnis gesetzt hat. Die Pflicht des Auftragsverarbeiters zur Meldung an den Verantwortlichen versetzt den Verantwortlichen in die Lage, die Verletzung zu beheben und festzustellen, ob eine Meldung an die Aufsichtsbehörde gemäß Artikel 33 Absatz 1 und eine Benachrichtigung der betroffenen Personen gemäß Artikel 34 Absatz 1 erfolgen muss. Gegebenenfalls möchte der Verantwortliche die Datenschutzverletzung auch untersuchen, weil der Auftragsverarbeiter unter Umständen nicht über alle einschlägigen Fakten informiert ist und beispielsweise nicht wissen kann, ob der Verantwortliche eine Kopie oder Sicherung der vom Auftragsverarbeiter vernichteten oder verlorenen personenbezogenen Daten hat. Davon kann wiederum abhängen, ob der Verantwortliche den Vorfall melden muss.

B.    Übermittlung von Informationen an die Aufsichtsbehörde

1.    Bereitzustellende Informationen
Bei der Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss der Verantwortliche nach Maßgabe von Artikel 33 Absatz 3 zumindest folgende Informationen übermitteln:

a.) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b.) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

c.) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d.) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

In der DSGVO werden keine Kategorien von betroffenen Personen oder personenbezogenen Datensätzen definiert. Die Artikel-29-Datenschutzgruppe schlägt jedoch vor, dass die Kategorien von betroffenen Personen auf die verschiedenen Arten von Personen Bezug nehmen, deren personenbezogene Daten durch eine Datenschutzverletzung beeinträchtigt wurden. Je nach verwendeten Deskriptoren könnten dazu unter anderem Kinder und andere schutzbedürftige Gruppen, Menschen mit Behinderungen, Beschäftige oder Kunden gehören. In ähnlicher Weise können sich die Kategorien personenbezogener Datensätze auf die unterschiedlichen Arten von Datensätzen beziehen, die ein Verantwortlicher besitzt, zum Beispiel Gesundheitsdaten, Ausbildungsunterlagen, Informationen zur Sozialfürsorge, Finanzdaten, Kontonummern, Reisepassnummern usw.

Das Fehlen genauer Informationen (z. B. die genaue Zahl der betroffenen Personen) sollte kein Hindernis für die frühzeitige Meldung einer Datenschutzverletzung sein. Nach der DSGVO dürfen ungefähre Zahlen der betroffenen Personen und der betroffenen personenbezogenen Datensätze angegeben werden. Der Fokus sollte auf der Behebung der nachteiligen Auswirkungen der Datenschutzverletzung liegen und weniger auf genauen Zahlenangaben. Daher kann, wenn eine Datenschutzverletzung eindeutig festgestellt wurde, deren genaues Ausmaß aber noch nicht bekannt ist, die Meldung schrittweise erfolgen (siehe unten), um der Meldepflicht dennoch ordnungsgemäß nachzukommen.

2.    Schrittweise Meldung
Je nach Art einer Datenschutzverletzung muss der Verantwortliche zur Ermittlung aller für einen Vorfall relevanten Fakten eventuell zusätzliche Untersuchungen durchführen. In Artikel 33 Absatz 4 ist daher Folgendes festgelegt:

„Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.“

Durch die Meldepflicht sollen die Verantwortlichen insbesondere dazu angehalten werden, bei Datenschutzverletzungen umgehend tätig zu werden und sie einzudämmen, die beeinträchtigten personenbezogenen Daten nach Möglichkeit wiederherzustellen und sich von der Aufsichtsbehörde beraten zu lassen. Wenn der Verantwortliche die Aufsichtsbehörde innerhalb der ersten 72 Stunden benachrichtigt, kann er sicherstellen, dass er im Hinblick auf die Benachrichtigung der betroffenen Personen korrekt entscheidet.

3.    Verzögerte Meldung
Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist nach Artikel 33 Absatz 1 eine Begründung für die Verzögerung beizufügen. Mit dieser Vorgabe sowie mit dem Konzept der schrittweisen Meldung wird zugestanden, dass die Verantwortlichen möglicherweise nicht immer in der Lage sind, eine Datenschutzverletzung innerhalb dieses Zeitraums zu melden, und dass eine verzögerte Meldung zulässig sein kann.

Ein solches Szenario wäre beispielsweise denkbar, wenn bei einem Verantwortlichen in einem kurzen Zeitraum mehrere vergleichbare Verletzungen der Datenvertraulichkeit auftreten, von denen sehr viele Personen in gleicher Weise betroffen sind. Einem Verantwortlichen könnte eine Datenschutzverletzung bekannt werden, und zu Beginn seiner Untersuchungen sowie vor der Meldung könnte er feststellen, dass weitere ähnliche Verletzungen mit unterschiedlichen Ursachen aufgetreten sind. Je nach den Umständen kann der Verantwortliche das Ausmaß der Datenschutzverletzungen vielleicht erst nach einer gewissen Zeit feststellen; anstatt jede Verletzung einzeln zu melden, erstellt er eine aussagekräftige Meldung, in der mehrere sehr ähnlich gelagerte Verletzungen mit verschiedenen möglichen Ursachen wiedergegeben werden. Dadurch könnte sich die Meldung an die Aufsichtsbehörde um mehr als 72 Stunden, nachdem dem Verantwortlichen die Datenschutzverletzungen bekannt wurden, verzögern.

 

III.    Artikel 34 – Benachrichtigung der betroffenen Person


A.    Unterrichtung der betroffenen Personen

In bestimmten Fällen muss der Verantwortliche zusätzlich zur Meldung an die Aufsichtsbehörde auch die betroffenen Personen von der Datenschutzverletzung benachrichtigen.

In Artikel 34 Absatz 1 ist Folgendes festgelegt:

„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“

Die Verantwortlichen sollten daran denken, dass die Meldung an die Aufsichtsbehörde obligatorisch ist, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Darüber hinaus müssen auch die betroffenen Personen benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Für die Benachrichtigung der betroffenen Personen gilt demnach eine höhere Schwelle als für die Meldung an die Aufsichtsbehörden – die betroffenen Personen müssen also nicht in allen Fällen von Datenschutzverletzungen benachrichtigt werden, damit sie nicht mit unnötigen Benachrichtigungen überfrachtet werden.

Nach der DSGVO müssen die betroffenen Personen „unverzüglich“, das heißt so schnell wie möglich, von einer Datenschutzverletzung benachrichtigt werden. Wichtigstes Ziel der Benachrichtigung ist es, dass die betroffenen Personen gezielt über Vorkehrungen informiert werden, die sie zu ihrem eigenen Schutz treffen können. Wie bereits angemerkt, hilft eine frühzeitige Benachrichtigung den betroffenen Personen je nach Art der Datenschutzverletzung und der damit verbundenen Risiken, die nötigen Schritte einzuleiten, um sich selbst vor den negativen Folgen der Verletzung zu schützen.

B.    Bereitzustellende Informationen

In Bezug auf die Benachrichtigung betroffener Personen sieht Artikel 34 Absatz 2 Folgendes vor:

„Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.“

Nach dieser Vorschrift sollten die Verantwortlichen zumindest die folgenden Informationen bereitstellen:

  • eine Beschreibung der Art der Datenschutzverletzung;

  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;

  • eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung; und

  • eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, gegebenenfalls einschließlich der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

 

Der Verantwortliche könnte als Beispiel für die Maßnahmen, die er zur Behebung der Datenschutzverletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen ergriffen hat, anführen, dass er von der zuständigen Aufsichtsbehörde nach Meldung der Datenschutzverletzung über den Umgang mit dem Vorfall und die Abmilderung seiner Auswirkungen beraten wurde. Er könnte den betroffenen Personen gegebenenfalls auch besondere Maßnahmen empfehlen, die sie zu ihrem eigenen Schutz vor möglichen nachteiligen Auswirkungen der Datenschutzverletzung treffen können, wie etwa das Zurücksetzen der Passwörter im Falle der Beeinträchtigung von Zugangsdaten. Auch hier steht es den Verantwortlichen frei, über die genannten Anforderungen hinaus weitere Informationen bereitzustellen.

C.    Kontaktaufnahme mit den betroffenen Personen

Grundsätzlich sollten die betroffenen Personen direkt über eine Datenschutzverletzung benachrichtigt werden, sofern dies nicht mit einem unverhältnismäßig hohen Aufwand verbunden ist. In dem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden (Artikel 34 Absatz 3 Buchstabe c).

Die betroffenen Personen sollten durch eine eigens für den Zweck erstellte Mitteilung von der Datenschutzverletzung benachrichtigt werden. Die Mitteilung sollte nicht zusammen mit anderen Informationen, etwa mit regelmäßigen Updates, Newslettern oder Standardmitteilungen, verschickt werden. Dies trägt zur Klarheit und Transparenz der Benachrichtigung bei.

Transparente Benachrichtigungsmethoden sind zum Beispiel die direkte Kommunikation per E-Mail, SMS oder Instant-Messaging-Dienste, an herausragender Stelle platzierte Banner oder Meldungen auf der Website, postalische Mitteilungen und aufmerksamkeitsstarke Anzeigen in den Printmedien. Die ausschließliche Benachrichtigung durch eine Pressemitteilung oder in einem Unternehmensblog wäre kein wirksames Mittel, um die betroffenen Personen von einer Datenschutzverletzung in Kenntnis zu setzen. Die Artikel-29-Datenschutzgruppe empfiehlt den Verantwortlichen, Kommunikationsmittel zu wählen, die eine optimale Vermittlung der Informationen an alle betroffenen Personen gewährleisten. Dazu muss der Verantwortliche den Umständen entsprechend möglicherweise mehrere Kommunikationswege statt nur eines Kontaktkanals nutzen.

D.    Bedingungen, unter denen keine Benachrichtigung erforderlich ist

In Artikel 34 Absatz 3 werden die folgenden drei Bedingungen genannt, unter denen die betroffenen Personen nicht von einer Datenschutzverletzung benachrichtigt werden müssen:

 

  • Der Verantwortliche hat vor der Datenschutzverletzung geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt, insbesondere solche Maßnahmen, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden. Dazu könnte zum Beispiel der Schutz personenbezogener Daten durch eine dem Stand der Technik entsprechende Verschlüsselung oder durch Tokenisierung gehören.

  • Der Verantwortliche hat unmittelbar nach einer Datenschutzverletzung durch Maßnahmen dafür gesorgt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht. Je nach Sachlage wäre dies beispielsweise der Fall, wenn der Verantwortliche die Person, die Zugang zu den personenbezogenen Daten hatte, sofort ermittelt und Maßnahmen gegen sie getroffen hat, bevor sie die Daten in irgendeiner Weise verwenden konnte. Trotzdem müssen – auch hier abhängig von der Art der betroffenen Daten – die möglichen Folgen einer etwaigen Beeinträchtigung der Datenvertraulichkeit gebührend berücksichtigt werden.

  • Die Kontaktaufnahme mit den betroffenen Personen würde einen unverhältnismäßigen Aufwand verursachen, etwa wenn deren Kontaktdaten aufgrund der Datenschutzverletzung verloren gegangen sind oder wenn diese schon vorher nicht bekannt waren. Ein solcher Fall würde beispielsweise eintreten, wenn das Lager eines statistischen Amtes überflutet wurde und die Dokumente mit den personenbezogenen Daten nur in Papierform gelagert wurden. Der Verantwortliche muss stattdessen eine öffentliche Mitteilung machen oder mit ähnlichen Maßnahmen dafür sorgen, dass die betroffenen Personen vergleichbar wirksam informiert werden. Im Falle eines unverhältnismäßigen Aufwands könnten die Informationen über die Datenschutzverletzung unter Umständen auch mithilfe technischer Lösungen auf Anfrage abrufbar gemacht werden. Das wäre auch für betroffene Personen hilfreich, die der Verantwortliche anderweitig nicht kontaktieren kann.

 

Im Einklang mit dem Grundsatz der Rechenschaftspflicht sollten die Verantwortlichen gegenüber der Aufsichtsbehörde nachweisen können, dass mindestens eine dieser Bedingungen erfüllt ist. Dabei gilt es zu beachten, dass auch, wenn zunächst auf die Meldung verzichtet werden kann, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sich die Umstände mit der Zeit ändern können, sodass das Risiko erneut bewertet werden muss.

 

IV.    Bewertung eines Risikos und eines hohen Risikos


A.    Das Risiko als Auslöser für die Meldung

Obwohl mit der DSGVO die Pflicht zur Meldung von Datenschutzverletzungen eingeführt wird, muss eine Datenschutzverletzung nicht unter allen Umständen gemeldet werden:

  • Die Meldung an die Aufsichtsbehörde ist erforderlich, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
  • Die Pflicht zur Benachrichtigung der betroffenen Personen wird nur ausgelöst, wenn die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt.



Deshalb ist es entscheidend, dass sich der Verantwortliche unmittelbar nachdem ihm eine Datenschutzverletzung bekannt wird nicht nur um die Eindämmung des Vorfalls bemüht, sondern auch prüft, welches Risiko damit verbunden sein könnte. Hierfür gibt es zwei wichtige Gründe: Erstens kann der Verantwortliche leichter wirksame Maßnahmen zur Eindämmung und Behebung der Datenschutzverletzung ergreifen, wenn ihm die Eintrittswahrscheinlichkeit und mögliche Schwere der Folgen für die betroffenen Personen bekannt sind; zweitens kann er so besser beurteilen, ob die Meldung an die Aufsichtsbehörde erforderlich ist und ob die betroffenen Personen gegebenenfalls von der Datenschutzverletzung benachrichtigt werden müssen.

B.    Im Rahmen der Risikobewertung zu berücksichtigende Faktoren

Aus den Erwägungsgründen 75 und 76 der DSGVO geht hervor, dass bei der Bewertung des Risikos grundsätzlich sowohl der Eintrittswahrscheinlichkeit als auch der Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen Rechnung zu tragen ist. Darüber hinaus sollte das Risiko anhand einer objektiven Bewertung beurteilt werden.

Es wird darauf hingewiesen, dass die Bewertung des mit einer Datenschutzverletzung verbundenen Risikos für die Rechte und Freiheiten von Menschen einen anderen Schwerpunkt hat als die Risikobewertung, die im Rahmen einer Datenschutz-Folgeabschätzung (DSFA) durchgeführt wird. Bei der DSFA werden sowohl die mit der planmäßig durchgeführten Datenverarbeitung verbundenen Risiken als auch die Risiken im Falle einer Datenschutzverletzung bewertet. Bei Betrachtung einer möglichen Datenschutzverletzung werden die generelle Eintrittswahrscheinlichkeit einer solchen Verletzung sowie der potenziell daraus folgende Schaden für die betroffene Person geprüft; mit anderen Worten, es wird ein hypothetisches Ereignis bewertet. Bei einer tatsächlich eingetretenen Datenschutzverletzung hat sich der Vorfall bereits ereignet, sodass der Fokus ausschließlich auf dem Risiko der Folgen liegt, die die Datenschutzverletzung für die betroffenen Personen hat.

Dementsprechend sollte der Verantwortliche bei der Bewertung des mit der Datenschutzverletzung verbundenen Risikos für die betroffenen Personen den spezifischen Umständen der Datenschutzverletzung Rechnung tragen, einschließlich der Schwere der potenziellen Folgen und der Wahrscheinlichkeit, dass diese Folgen eintreten. Daher empfiehlt die Artikel-29-Datenschutzgruppe, folgende Kriterien in die Bewertung einzubeziehen:

  • Art der Datenschutzverletzung
  • Art, Sensibilität und Umfang personenbezogener Daten
  • Identifizierbarkeit betroffener Personen
  • Schwere der Folgen für die betroffenen Personen
  • Besondere Eigenschaften der betroffenen Person
  • Besondere Eigenschaften des Verantwortlichen
  • Die Zahl der betroffenen Personen
  • Allgemeine Aspekte

 

V.    Rechenschaftspflicht und Aufzeichnung



A.    Dokumentation von Datenschutzverletzungen

Die Verantwortlichen sind verpflichtet, alle Datenschutzverletzungen zu dokumentieren, und zwar unabhängig davon, ob der Aufsichtsbehörde eine Verletzung gemeldet werden muss oder nicht. Artikel 33 Absatz 5 lautet dazu wie folgt:

„Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.“

Dies steht in Zusammenhang mit dem in Artikel 5 Absatz 2 der DSGVO verankerten Grundsatz der Rechenschaftspflicht. Mit der Protokollierung sowohl nicht meldepflichtiger als auch meldepflichtiger Datenschutzverletzungen kommen die Verantwortlichen auch ihren Verpflichtungen gemäß Artikel 24 nach, und die Aufsichtsbehörde kann Einsicht in die entsprechenden Aufzeichnungen verlangen. Daher sollten die Verantwortlichen nach Möglichkeit ein internes Verzeichnis für Datenschutzverletzungen anlegen, unabhängig davon, ob diese meldepflichtig sind oder nicht.

Während die Verantwortlichen selbst über Verfahren und Struktur der Dokumentation von Datenschutzverletzungen entscheiden, sollten inhaltlich in jedem Fall bestimmte wichtige Elemente erfasst werden. Nach Artikel 33 Absatz 5 muss der Verantwortliche Details zur Datenschutzverletzung dokumentieren und sollte dabei unter anderem die Ursachen und Vorkommnisse beschreiben und angeben, welche personenbezogenen Daten beeinträchtigt wurden. Außerdem sollten die Auswirkungen und Konsequenzen der Datenschutzverletzung sowie die vom Verantwortlichen getroffenen Abhilfemaßnahmen dokumentiert werden.

Im Hinblick auf die Einhaltung von Artikel 33 und 34 wäre es für die Verantwortlichen und Auftragsverarbeiter von Vorteil, ein dokumentiertes Meldeverfahren einzurichten, in dem festgelegt wird, welche Schritte nach Feststellung einer Datenschutzverletzung zu befolgen sind, wie Vorfälle eingedämmt, gesteuert und behoben werden und wie bei der Risikobewertung und der Meldung der Datenschutzverletzung vorzugehen ist. In diesem Zusammenhang wäre es als Nachweis der Einhaltung der DSGVO eventuell hilfreich zu zeigen, dass die Beschäftigten über die Existenz solcher Verfahren und Mechanismen informiert wurden und wissen, wie sie auf Datenschutzverletzungen reagieren müssen.

Zu beachten ist, dass Versäumnisse bei der ordnungsgemäßen Dokumentation einer Datenschutzverletzung zur Folge haben können, dass die Aufsichtsbehörde ihre Befugnisse gemäß Artikel 58 ausübt bzw. eine Geldbuße gemäß Artikel 83 verhängt.

B.    Die Rolle des Datenschutzbeauftragten

Die Verantwortlichen oder Auftragsverarbeiter können entweder gemäß Artikel 37 oder freiwillig als bewährtes Verfahren einen Datenschutzbeauftragten (DSB) benennen. In Artikel 39 der DSGVO ist eine Reihe von obligatorischen Aufgaben des Datenschutzbeauftragten festgelegt, wobei es dem Verantwortlichen freisteht, dem Datenschutzbeauftragten gegebenenfalls weitere Aufgaben zu übertragen.

Der DSB hat verschiedene für die Meldung von Datenschutzverletzungen besonders relevante obligatorische Aufgaben. Er muss unter anderem den Verantwortlichen bzw. den Auftragsverarbeiter in Datenschutzfragen beraten und informieren, die Einhaltung der DSGVO überwachen und im Zusammenhang mit DSFA Beratungsarbeit leisten. Ferner muss der DSB mit der Aufsichtsbehörde zusammenarbeiten und als Ansprechpartner für die Aufsichtsbehörde sowie für die betroffenen Personen fungieren. Zu beachten ist auch, dass der Verantwortliche bei der Meldung einer Datenschutzverletzung an die Aufsichtsbehörde gemäß Artikel 33 Absatz 3 Buchstabe b verpflichtet ist, den Namen und die Kontaktdaten seines DSB oder eines anderen Ansprechpartners mitzuteilen.

Im Zusammenhang mit der Dokumentation von Datenschutzverletzungen könnten die Verantwortlichen und Auftragsverarbeiter den DSB bei Fragen zur Struktur, zur Einrichtung und zur Verwaltung dieser Dokumentation hinzuzuziehen. Der DSB könnte zusätzlich auch mit der Führung dieser Unterlagen betraut werden.

Diese Punkte bedeuten, dass der DSB durch seine Beratungs- und Überwachungsfunktion bei der Vermeidung von und der Vorbereitung auf Datenschutzverletzungen, während einer Datenschutzverletzung (d. h. bei der Meldung an die Aufsichtsbehörde) sowie bei allen anschließenden Ermittlungen der Aufsichtsbehörde eine zentrale Rolle spielen sollte. Vor diesem Hintergrund empfiehlt die Artikel-29-Datenschutzgruppe, dass der DSB unverzüglich über Datenschutzverletzungen in Kenntnis gesetzt wird und in den gesamten Prozess der Bearbeitung und Meldung von Datenschutzverletzungen einbezogen wird.

ec.europa.eu; Autoren, bow, Zugriff 25.09.2018
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052

10/2018

Dieses Buch bietet einen kompakten Überblick über das neue Datenschutzregime und richtet sich an Studierende an Universitäten und Fachhochschulen ebenso wie an rechtlich interessierte (auch nicht juristisch ausgebildete) Praktiker und Praktikerinnen. Die Darstellung der Rechtslage umfasst neben der Datenschutz-Grundverordnung auch die österreichischen Durchführungsbestimmungen im (neuen) DSG. Das Buch hilft, die in der betrieblichen Praxis häufig auftretenden datenschutzrechtlichen Fragen richtig einzuordnen. Mit dem erworbenen Wissen können datenschutzrechtliche Probleme erkannt und rechtlich fundierte Lösungswege entwickelt werden. Nach jeder Lerneinheit kann das erarbeitete Know-How anhand einer Fragensammlung angewendet werden.

 

Die zweite Auflage mit dem neuen Co-Autor Dietmar Jahnel berücksichtigt insbesondere die aktuellen österreichischen Gesetzesänderungen, neueste Entwicklungen auf europäischer Ebene und die ersten Erfahrungen aus der Praxis. Mit seinem prägnanten Umfang und der anschaulichen Struktur führt das Buch übersichtlich in das Thema ein und schließt so eine Lücke in der bisherigen Literatur. Ein umfangreiches Stichwortverzeichnis erleichtert das Nachschlagen.

 

Autoren: Dietmar Jahnel, Angelika Pallwein-Prettner und Christian Marzi

ISBN-10: 3708917723

10/2018

Energiedaten sind in der Regel sensible Daten, welche die Privatsphäre der betroffenen Personen gefährden können. In dieser Arbeit wird daher ein nutzerorientiertes Energiedatenmanagementsystem vorgestellt, welches nicht nur die technischen Anforderungen erfüllt, sondern auch den Ansprüchen an Datenschutz und Privatsphäre gerecht wird.

Autor: Fabian Rigoll

ISBN-10: 3731506653

10/2018

Vernetztes E-Government: Gut vernetzt gut verwaltet. Wer mit Fragen der strategischen Steuerung, des Datenschutzes und des Verwaltungshandelns vor dem Hintergrund der Digitalisierung befasst ist, findet in diesem Band topaktuelle Antworten. Auf dem neuesten Rechtsstand von Ende Mai 2018 – inkl. DSGVO und der Erklärung von Tallinn. Integrativ und ebenenübergreifend werden gleichermaßen die EU-, Bundes-, Landes- und Kommunalebene behandelt. Gut lesbar eignet sich der Band als Einstiegslektüre und zur Vertiefung.

 

Autoren: PD Dr. Margrit Seckelmann, Prof. Dr. Marion Albers, Prof. Dr. iur. Nadja Braun Binder, Dr. Alfred G. Debus und Dr. Wolfgang Denkhaus

ISBN-10: 3503181393

09/2018

Die Durchführung einer DSFA sollte grundsätzlich unternehmensintern stattfinden. Sofern vorhanden, ist der/die Datenschutzbeauftragte beratend hinzuzuziehen (Art 35 Abs 2, Art 39 Abs 1 lit c DSGVO). Die Zusammensetzung des durchführenden Teams wird je nach Organisationseinheit und Art der Verarbeitungstätigkeit variieren und kann daher nicht allgemein vorgegeben werden.

Für die Durchführung der DSFA und des damit gegebenenfalls verbundenen Konsultationsverfahrens mit der Datenschutzbehörde nach Art 36 DSGVO sind entsprechende Vorlaufzeiten einzuplanen. Komplexere Verfahren können einen mehrmonatigen Zeitraum in Anspruch nehmen.

Eine DSFA ist für Verarbeitungsvorgänge durchzuführen, wenn diese wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen und wenn sich deren Risiken in Hinblick auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung geändert haben.

Sanktionen, Geldbussen und/oder weitere Massnahmen werden grundsätzlich je nach den Umständen des Einzelfalls verhängt. Allgemein gilt jedoch, dass bei Verstössen gegen die Pflichten des Verantwortlichen gemäss Artikel 35 DSGVO Geldbussen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können, je nachdem, welcher Betrag höher ist.

 

Schritt 1: Kriterien zur Prüfung, ob eine DSFA notwendig ist


1.1 Vorgaben aus der DSGVO

Gemäss Artikel 35 Absatz 3 DSGVO ist insbesondere in folgenden Fällen eine DSFA durchzuführen:

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschliesslich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen: Erwägungsgrund 71 DSGVO erwähnt in diesem Zusammenhang automatische Ablehnungen im Rahmen von Online-Einstellungsverfahren oder Online- Kreditanträgen ohne menschliche Prüfung.
  • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäss Artikel 9 Absatz 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäss Artikel 10 DSGVO: Darunter fallen personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen. Zusätzlich sind biometrische und genetische Daten, Gesundheitsdaten, Daten zum Sexualleben sowie zur sexuellen Orientierung und Daten zu strafrechtlichen Verurteilungen bzw. Straftaten und damit zusammenhängende Daten über Sicherungsmassregeln umfasst (in Anlehnung an Erwägungsgrund 75 DSGVO).

  • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche: Darunter könnten Videoüberwachungsanlagen subsumiert werden, welche beispielsweise wesentliche Teile des öffentlichen Strassennetzes aufzeichnen.

 

1.2 Empfehlungen der Artikel 29-Gruppe
Die Artikel 29-Gruppe geht davon aus, dass bei Vorliegen von mindestens zwei der nachfolgend genannten Kriterien in den meisten Fällen eine DSFA erfolgen wird müssen. Es kann jedoch auch vorkommen, dass bereits die Erfüllung eines einzigen der unten genannten Kriterien die Pflicht zur Durchführung einer DSFA auslöst.

  • Bewerten oder Einstufen: Darunter fallen das Erstellen von Profilen und Prognosen, insbesondere auf der Grundlage von Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der Person betreffen (siehe Erwägungsgrund 71 DSGVO). Dieses Kriterium erfüllt beispielsweise eine Bank, welche Datenbanken von Kreditauskunfteien und/oder Betrugsdatenbanken und/oder Geldwäschedatenbanken nach ihren Kundinnen/Kunden durchsucht bzw. auch ein Unternehmen, das anhand der Nutzung seiner Website bzw. der Navigation der Website durch die Nutzer Verhaltens- oder Marketingprofile erstellt.

  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung: Darunter fallen Verarbeitungstätigkeiten, auf deren Grundlage für Betroffene Entscheidungen getroffen werden sollen, “die Rechtswirkung(en) gegenüber natürlichen Personen entfalten” oder diese “in ähnlich erheblicher Weise beeinträchtigen” (siehe Artikel 35 Absatz 3 Buchstabe a DSGVO). Dieses Kriterium ist erfüllt, wenn es zum Ausschluss oder zur Benachteiligung von Personen kommt. Verarbeitungstätigkeiten mit keinen oder wenigen Auswirkungen auf Personen fallen nicht unter dieses Kriterium. Weitere Ausführungen zu diesen Auffassungen/Vorstellungen sind in den Guidelines betreffend Profiling zu finden.

  • Systematische Überwachung: Darunter fallen Verarbeitungstätigkeiten, die die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel haben und beispielsweise auf über Netzwerke erfasste Daten zurückgreifen. Ein Beispiel könnte die systematische Überwachung der Arbeitsplatzrechner von Angestellten durch den Arbeitgeber sein. Des Weiteren sind Verarbeitungstätigkeiten umfasst, die die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel haben und beispielsweise auf „eine systematische [...] Überwachung öffentlich zugänglicher Bereiche“ zurückgreifen. Hier ist es für betroffene Personen oft kaum möglich, diese Verarbeitungstätigkeiten zu verhindern. Oftmals wissen die betroffenen Personen in solchen Situationen nicht einmal, wer ihre Daten wie verwendet (gemäss Artikel 35 Absatz 3 Buchstabe c DSGVO.

  • Verarbeitung von vertraulichen Daten oder höchstpersönlichen Daten: Damit sind einerseits jene Daten gemeint, welche in den Artikeln 9 und 10 DSGVO angeführt sind (Verarbeitung besonderer Kategorien personenbezogener Daten – wie beispielsweise Gesundheitsdaten – sowie Verarbeitung von personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten). Hierunter fällt beispielsweise eine von einer Krankenanstalt geführte Patientendokumentation. Andererseits fallen darunter auch Standortdaten, Finanzdaten, persönliche Dokumente, E-Mails, Tagebücher, Notizen aus E-Readern mit Notizfunktion sowie Informationen von Life-Logging-Anwendungen (gemäss Artikel 35 Absatz 3 Buchstabe b DSGVO.

  • Datenverarbeitung im grossen Umfang: Für die Ermittlung, ob Verarbeitungstätigkeiten im grossen Umfang vorliegen, sollten beispielsweise folgende Faktoren herangezogen werden: Zahl der Betroffenen, verarbeitete Datenmenge bzw. Datenelemente, Dauer der Datenverarbeitung und geografisches Ausmass der Datenverarbeitung.

  • Abgleichen oder Zusammenführen von Datensätzen: Damit sind Verarbeitungstätigkeiten gemeint, bei denen ein Abgleich bzw. eine Zusammenführung unterschiedlicher Datensätze zu unterschiedlichen Zwecken und/oder von verschiedenen für die Verarbeitung Verantwortlichen durchgeführt wurden. Zusätzlich muss der Abgleich bzw. die Zusammenführung in einer Weise stattfinden, der über die vernünftigen Erwartungen der Betroffenen hinausgeht.

  • Daten zu schutzbedürftigen Betroffenen: Die Verarbeitung dieser Art von Daten stellt auf Grund des grösseren Machtungleichgewichts zwischen Betroffenen und Verantwortlichen ein Kriterium dar. Hier geht es um Betroffene, die der Verarbeitung ihrer Daten nicht einfach zustimmen oder widersprechen können bzw. für die es nicht so leicht möglich ist, ihre Betroffenenrechte auszuüben. Zu den schutzbedürftigen Betroffenen gehören bspw. folgende Bevölkerungsgruppen: Kinder, Arbeitnehmer/innen, Teile der Bevölkerung mit besonderem Schutzbedarf (psychisch Kranke, Asylwerber/innen, Senioren/Seniorinnen, Patienten/Patientinnen) und Betroffene in Situationen, in denen ein ungleiches Verhältnis zwischen der Stellung des Betroffenen und der des Verantwortlichen vorliegt.

  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen: Damit sind Verarbeitungstätigkeiten gemeint, die innovative Methoden der Datenverarbeitung einsetzen, wie beispielsweise die Zugangskontrolle mit Hilfe eines Fingerabdrucks in Kombination mit einer Gesichtserkennung. Der Einsatz einer neuen Technologie kann ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person mit sich bringen und Grund für die Notwendigkeit einer DSFA sein. Auch Anwendungen des “Internet der Dinge” (IoT) können sich erheblich auf den Alltag und das Privatleben von Personen auswirken und somit eine DSFA obligatorisch machen.

  • Fälle, in denen die Verarbeitung an sich “die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert”: Dies beinhaltet Verarbeitungstätigkeiten, mit deren Hilfe Betroffenen der Zugriff auf eine Dienstleistung oder der Abschluss eines Vertrags gestattet, geändert oder verwehrt werden soll. Ein Beispiel dafür ist eine Bank, die anhand eines Abgleichs mit einer Datenbank einer Kreditauskunftei entscheidet, ob sie einem Kunden / einer Kundin einen Kredit gewährt.

Die Datenschutzbehörden haben Verordnungen zu erlassen, in denen Datenverarbeitungsvorgänge angeführt sind, für die jedenfalls eine DSFA (Blacklist) durchzuführen ist. Sie können zudem Listen veröffentlichen, in denen Datenverarbeitungsvorgänge angeführt sind, für die keine DSFA (Whitelist) durchzuführen ist (siehe Artikel 35 Absatz 4 und 5 DSGVO). Eine entsprechende Whitelist wird die österreichische Datenschutzbehörde voraussichtlich noch vor dem 25.5.2018 veröffentlichen.

Beispiel: Videoüberwachung im Eingangsbereich einer HIV-Beratungsstelle

Da von der Videoaufzeichnung vor allem Menschen mit einer HIV-Infektion betroffen sein werden, kommt es auch zu einer Verarbeitung von Daten schutzbedürftiger Betroffener. Die Verarbeitungstätigkeit hat des Weiteren die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel und greift auf eine systematische Überwachung öffentlich zugänglicher Bereiche zurück, weil auch der öffentliche Gehsteig im notwendigen Ausmaß mitumfasst ist. Die Abwicklung der Videoüberwachung (Erfassung, Speicherung, Wiedergabe) findet zudem mit Hilfe einer IT-Applikation statt und erfolgt somit systematisch.

Schritt 2: DSFA durchführen (gemäss Artikel 35 DSGVO)

2.1 Beschreibung und Bewertung der Vorgänge

2.1.1 Systematische Beschreibung
Bei der Durchführung der DSFA muss eine systematische Beschreibung der Verarbeitungsvorgänge erfolgen. Dazu ist es notwendig, die Verarbeitungsvorgänge (wie beispielsweise Erfassung, Speicherung, Veränderung, Übermittlung, Verknüpfung, Löschung) aufzulisten und zu erläutern. Dabei kann es hilfreich sein, schon bekannte Datensicherheitsmassnahmen sehr allgemein bei der Beschreibung der einzelnen Verarbeitungsvorgänge anzuführen.

Referenzen:

  • Artikel 4 Z 2 DSGVO
  • Artikel 35 Absatz 7 Buchstabe a DSGVO


2.1.2 Zweck
Zusätzlich sind die mit der Verarbeitungstätigkeit verfolgten Zwecke anzuführen. Denn personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung”). Zusätzlich müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein („Datenminimierung“).

Referenzen:

  • Artikel 5 Absatz 1 Buchstabe b und c DSGVO
  • Artikel 35 Absatz 7 Buchstabe a DSGVO


2.1.3 Berechtigte Interessen
Stützt sich der Verantwortliche auf berechtigte Interessen, sind diese berechtigten Interessen zu erläutern. Ein berechtigtes Interesse liegt vor, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogene Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Referenzen:

  • Artikel 6 Absatz 1 Buchstabe f DSGVO
  • Artikel 35 Absatz 7 Buchstabe a DSGVO


2.1.4 Bewertung der Notwendigkeit und Verhältnismässigkeit
Des Weiteren hat eine Bewertung zu erfolgen, warum die Verarbeitungstätigkeit in ihrer konkreten Ausprägung mit den angeführten Verarbeitungsvorgängen für den genannten Zweck notwendig und verhältnismässig ist. Dabei sollte sich der Verantwortliche die Frage stellen, ob der Zweck der Verarbeitungstätigkeit wirklich nicht durch gelindere Mittel erreichbar ist, welche mit weniger personenbezogenen Daten auskommen. Ausserdem sollte aus der Bewertung der Notwendigkeit und Verhältnismässigkeit hervorgehen, dass bei der konkreten Ausgestaltung der Verarbeitungstätigkeit schon Datensicherheitsmassnahmen zum Einsatz kommen.

Referenzen:

  • Artikel 4 Z 2 DSGVO
  • Artikel 35 Absatz 7 Buchstabe b DSGVO


2.1.5 Standpunkt der betroffenen Personen einholen
Der Verantwortliche sollte gegebenenfalls den Standpunkt der betroffenen Personen einholen. Dabei erscheint es sinnvoll darauf zu achten, dass man von Mitgliedern unterschiedlicher Personenkategorien (Mitarbeiter/innen, Lieferant/innen, Kund/innen) Stellungnahmen erhält, sofern diese von der Verarbeitungstätigkeit betroffen sind. Die wesentlichen Aussagen und insbesondere Bedenken dieser Personen sollten dokumentiert werden.

Referenzen:

  • Artikel 35 Absatz 9 DSGVO


2.1.6 Rat des/der Datenschutzbeauftragten einholen
Hat der Verantwortliche eine/n Datenschutzbeauftragte/n bestellt, ist diese/r frühzeitig in die DSFA einzubinden. So kann der/die Datenschutzbeauftragte bei der Durchführung der DSFA schon in der Anfangsphase der DSFA beraten.

Referenzen

  • Artikel 35 Absatz 2 DSGVO
  • Artikel 39 Absatz 1 Buchstabe a und c DSGVO



Beispiel: Videoüberwachung im Eingangsbereich einer HIV-Beratungsstelle

2.1.1 Systematische Beschreibung (siehe auch Abbildung 1):

  • Erfassung von Videodaten im Eingangs- und Zutrittsbereich mit IP-Kameras. Die Erfassung erfolgt an Wochentagen nur zwischen 20.00 Uhr und 6.00 Uhr. An Wochenenden und Feiertagen erfassen die IP-Kameras durchgehend Videodaten. Im betroffenen Eingangs- und Zutrittsbereich befinden sich keine Arbeitsplätze. Die IP-Kameras sind nicht schwenkbar. Somit ist das Schwenken der IP-Kameras in die Richtung von Arbeitsplätzen nicht möglich.

  • Verschlüsselte kabelgebundene Übertragung der Videodaten zum Server.

  • Unverschlüsselte drahtlose Übertragung der Videodaten zum Server.

  • Verschlüsselte Speicherung der Videodaten am Server für drei Tage. Danach überschreibt das System automatisch die Videodaten. Der Server steht in einem Abstellraum. Vor allem Reinigungspersonal muss mehrmals täglich den Abstell- bzw. Serverraum betreten, um an benötigtes Reinigungsmaterial zu gelangen.

  • Die Videodaten werden weder einem Empfänger übermittelt oder offengelegt, noch wird ein Auftragsverarbeiter mit der weiteren Verarbeitung der Daten beauftragt.

  • Verschlüsselter Zugriff auf Videodaten über Unternehmensnetzwerk oder Internet. Die Videoaufzeichnungen können nur bestimmte Mitarbeiter/innen der IT-Abteilung und der Facility Management-Abteilung ansehen. Dafür ist für jede/n Mitarbeiter/in die Eingabe des korrekten Passworts erforderlich. Die Zugriffe, Änderungen und Löschungen hinsichtlich der Videoaufzeichnungen protokolliert das System lückenlos. Einmal jährlich erfolgt eine Kontrolle der Protokolle hinsichtlich Datenschutzverletzungen. Das heißt, es kommt zu einer Überprüfung, ob jeder Zugriff auch von einem konkreten Anlassfall abgedeckt ist.

Anmerkung/Referenz:

Das österreichische Datenschutzgesetz enthält in §§ 12, 13 DSG Bestimmungen zu besonderen Datensicherheitsmaßnahmen bei Bildaufnahmen. § 13 Abs 1 DSG normiert, dass der Verantwortliche dafür zu sorgen hat, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung derselben durch Unbefugte ausgeschlossen ist. Gemäß § 13 Abs 2 DSG hat der Verantwortliche – außer bei Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren. § 13 Abs 3 DSG bestimmt, dass eine länger als 72 Stunden andauernde Aufbewahrung verhältnismäßig sein muss, gesondert zu protokollieren und zu begründen ist.


24

Abbildung 1: Schematische Darstellung der Verarbeitungstätigkeit „Videoüberwachung“

2.1.2 Zweck:

  • Digitale Videoüberwachung ohne Tondaten des Einganges samt Zutrittsbereich des Verwaltungsgebäudes der HIV-Beratungsstelle, Mustergasse 1, 1234 Musterort, Österreich zum Zweck des Eigentumsschutzes und des Verantwortungsschutzes, der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens mit ausschließlicher Auswertung in dem durch den Zweck definierten Anlassfall.

2.1.3 Berechtigte Interessen:

  • Die HIV-Beratungsstelle geht aufgrund wiederholter Einbruchsversuche und Sachbeschädigungen in den letzten Monaten (teilweise mit Erfolg) davon aus, dass eine besondere Gefährdungslage besteht, die durch die beschriebene Videoüberwachung eingedämmt werden kann. Deswegen liegt ein berechtigtes Interesse der HIV-Beratungsstelle an der Videoüberwachung vor. Die Videoüberwachung dient dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden und reicht räumlich nicht über die Liegenschaft hinaus, mit Ausnahme einer zur Zweckerreichung unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen (Gehsteig).

Anmerkung/Referenz:

  • Das österreichische Datenschutzgesetz enthält in § 12 Abs 2 Z 4 DSG iVm § 12 Abs 3 DSG eine demonstrative Aufzählung von Fällen, in denen laut dem Gesetzgeber ein überwiegendes berechtigtes Interesse eines Verantwortlichen an einer Bildverarbeitung besteht. § 12 Abs 3 Z 1 normiert, dass “[…] eine Bildaufnahme [...] insbesondere dann zulässig [ist], wenn sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen[.]”

2.1.4 Bewertung der Notwendigkeit und Verhältnismäßigkeit:

  • Die HIV-Beratungsstelle sichert ihren Eingangs- und Zutrittsbereich mit einem Zugangskontrollsystem ab. Zusätzlich gibt es tagsüber (von 6.00 Uhr bis 20.00 Uhr) einen Empfangsdienst. In der Nacht (von 20.00 Uhr bis 6.00 Uhr) kommt eine Alarmanlage zum Einsatz. Außerdem überprüft ein externer Sicherheitsdienstleister mehrmals, ob es sicherheitskritische Ereignisse gibt. Die Fenster im Erdgeschoß sind vergittert. Es sind Anzeigen bei der örtlichen Polizeiinspektion hinsichtlich der letzten Einbruchsversuche und Sachbeschädigungen erfolgt. Trotzdem kommt es immer wieder zu Einbruchsversuchen und Sachbeschädigungen. Deswegen ist die Videoüberwachung notwendig. Mittels eines Aushanges in der HIV-Beratungsstelle werden die Betroffenen über ihre Rechte aufklärt und die Informationspflichten erfüllt. Die konkrete Ausgestaltung der Verarbeitungsvorgänge (siehe Beschreibung oben) soll die Verhältnismäßigkeit6 herstellen.


Kennzeichnung:

Eine verständliche Kennzeichnung weist die betroffenen Personen in Bildform darauf hin, dass die HIV-Beratungsstelle die Videoüberwachung verantwortet. Aus der Kennzeichnung ergibt sich auch, dass die HIV-Beratungsstelle die Videoaufzeichnung aufzeichnet, nur im Anlassfall auswertet und dass keine Gesichtserkennung im Rahmen der Videoüberwachung zur Anwendung kommt.7


Anmerkung/Referenz:

Das österreichische Datenschutzgesetz enthält in § 13 Abs. 5 DSG eine Kennzeichnungspflicht von Bildaufnahmen. Aus dieser Kennzeichnung muss zumindest die Identität des Verantwortlichen feststellbar sein. Werden entgegen Abs. 5 keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Artikel 15 DSGVO gleichzuhalten (§ 13 Abs. 7 DSG).


2.1.5 Standpunkt der betroffenen Personen einholen:

  • Die HIV-Beratungsstelle hat stichprobenartig den Standpunkt von betroffenen Personen eingeholt. Insgesamt hat die HIV-Beratungsstelle die in dieser Beschreibung dargelegten Informationen fünf Personen vorgelegt und um Stellungnahme gebeten. Darunter befanden sich ein Mitarbeiter der HIV- Beratungsstelle, zwei Mitarbeiterinnen von Lieferanten und zwei Personen, welche Beratungsleistungen bezogen haben. Die Rückmeldungen fielen allesamt positiv aus, da alle Personen die Notwendigkeit der Videoüberwachung nachvollziehen konnten und die konkrete Ausgestaltung ihres Erachtens auch verhältnismäßig ist. Es liegen schriftliche Gesprächsprotokolle vor.


Anmerkung/Referenz:

Im österreichischen Arbeitsverfassungsgesetz sind die Befugnisse des Betriebsrats geregelt. Für bestimmte Verarbeitungstätigkeiten hinsichtlich Mitarbeiterdaten muss der Abschluss von Betriebsvereinbarungen erfolgen. Auch wenn der Abschluss einer Betriebsvereinbarung nicht notwendig ist, hat eine frühzeitige Information des Betriebsrats über geplante Verarbeitungstätigkeiten, von denen auch Mitarbeiter/innen betroffen sind, zu erfolgen (siehe §§ 91 Abs. 2, 96 ff ArbVG). Deswegen bietet es sich auch im Rahmen der DSFA an, den Standpunkt des Betriebsrats einzuholen, wenn Daten von Mitarbeiter/innen betroffen sind und ein Betriebsrat vorhanden ist.


2.1.6 Rat des/der Datenschutzbeauftragten einholen:

  • Die HIV-Beratungsstelle hat eine/n Datenschutzbeauftragten bestellt. Deswegen hat die HIV- Beratungsstelle auch den Rat des/der Datenschutzbeauftragten bezüglich der Videoüberwachung im Eingangsbereich eingeholt. Diese/r bat um großflächige Kennzeichnung der Videoüberwachung. Aus dieser soll zusätzlich zur verpflichtenden Angabe des Verantwortlichen hervorgehen, dass das Videoüberwachungssystem die Videos aufzeichnet (also nicht nur Echtzeitaufnahmen erfolgen), eine Auswertung nur im Anlassfall stattfindet und Gesichtserkennung nicht zur Anwendung gelangt. Diesen Vorschlag hat die HIV-Beratungsstelle umgesetzt. Die Stellungnahme des/der Datenschutzbeauftragten liegt in Textform vor.


2.2 Risikobewertung

Bei der Risikobewertung werden mögliche Risiken für die Rechte und Freiheiten der betroffenen Personen identifiziert (Risikoidentifikation) und analysiert (Risikoanalyse). Die Risikobewertung erfolgt durch den DSFA- Durchführenden.

Es wird empfohlen, zumindest folgende Risiken zu bewerten:

  • Verlust der Vertraulichkeit (z. B. unbefugter Zugriff auf personenbezogene Daten)

  • Verlust der Integrität (z. B. unbefugte Veränderung von personenbezogenen Daten)

  • Verlust der Verfügbarkeit (Belastbarkeit) (z. B. Verlust von personenbezogenen Daten)


Im Zuge der Risikoanalyse wird der Risikowert ermittelt (= Höhe des identifizierten Risikos). In einem ersten Schritt werden die Eintrittswahrscheinlichkeit einer Bedrohung sowie die zu erwartenden Auswirkungen bewertet. Für die Bewertung der Eintrittswahrscheinlichkeiten und Auswirkungen werden seitens DSGVO keine Kategorien vorgegeben. Mögliche Einstufungs-Kategorien können beispielsweise wie folgt vorgegeben werden:


251

26


Untenstehend sind Beispiele für die Einschätzung der Auswirkungen aus Sicht der Betroffenen angeführt. Die vollständige Auflistung aller Beispiele ist im Bitkom-Leitfaden für “Risk Assessment & Datenschutz- Folgenabschätzung” ersichtlich.


27

Bei der Bewertung der Eintrittswahrscheinlichkeiten und Auswirkungen sollen alle bisher getroffenen technischen und organisatorischen Massnahmen berücksichtigt werden.

Anschliessend kann der Risikowert wie folgt berechnet werden:

Risikowert = Eintrittswahrscheinlichkeit einer Bedrohung mal zu erwartende Auswirkungen

Für die Berechnung des Risikowerts gibt die DSGVO keine Risiko-Matrix vor. Folgende Risiko-Matrix kann an dieser Stelle beispielsweise herangezogen werden:

28

Um dem laut Artikel 5 Absatz 2 DSGVO geforderten Datenschutz-Grundsatz der „Rechenschaftspflicht“ nachzukommen, wird empfohlen, im Zuge der Risikobewertung folgende Informationen zu dokumentieren:


10

2.3 Abhilfemassnahmen

Laut Artikel 35 Absatz 7 Buchstabe d DSGVO hat der Verantwortliche folgendes sicherzustellen:

„die zur Bewältigung der Risiken geplanten Abhilfemassnahmen, einschliesslich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“

Bei der Risikobehandlung gemäss Artikel 32 Absatz 1 DSGVO wird entschieden, wie mit identifizierten Risiken umgegangen werden soll. Dabei stehen folgende vier Risikobehandlungs-Optionen zur Verfügung:

  • Risikominimierung (durch Setzen von Massnahmen)

  • Risikovermeidung (durch Unterlassen der risikobehafteten Aktivität, z. B. Beendigung der Verarbeitung personenbezogener Daten in Cloud-Anwendungen)

  • Risikotransfer (durch Auslagerung von Risikofolgen auf Dritte, z. B. Versicherung bei Datenverlust)

  • Risikoakzeptanz (bewusste Entscheidung, keine weiteren Massnahmen zu treffen) Um dem laut Artikel 5 Absatz 2 DSGVO geforderten Datenschutz-Grundsatz der „Rechenschaftspflicht“  nachzukommen, wird empfohlen, im Zuge der Risikobehandlung folgende Informationen zu dokumentieren:


11


Beispiele für Massnahmenkataloge:


Nachfolgend sind gängige, dem Stand der Technik entsprechende Massnahmenkataloge angeführt, die bei der Auswahl von risikominimierenden Massnahmen unterstützen können:

  • ISO/IEC 27001:2013 - Information security management systems - Requirements, Annex A

  • ISO/IEC 27002:2013 - Code of practice for information security controls

  • BSI IT-Grundschutz - IT-Grundschutz-Kompendium

  • Massnahmenkatalog der CNIL

  • ISO/IEC 29151:2017 - Code of practice for personally identifiable information protection

  • WKO - IT-Sicherheitshandbuch für Mitarbeiterinnen und Mitarbeiter

2.4 Erneute Risikobewertung unter Berücksichtigung der getroffenen Massnahmen

In einem letzten Schritt soll das Risiko – unter Berücksichtigung der getroffenen Massnahmen – erneut bewertet werden.

12

Wenn aus der durchgeführten DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko für die Betroffenen zur Folge hätte und keine Massnahmen zur Eindämmung des Risikos mehr getroffenen werden können, muss vor der Aufnahme der Verarbeitung die Aufsichtsbehörde konsultiert werden.

13

Nach Fertigstellung der DSFA sollten die Ergebnisse dem Management bzw. der Geschäftsführung zur Abzeichnung und Genehmigung vorgelegt werden.



Beispiele: Videoüberwachung im Eingangsbereich einer HIV-Beratungsstelle

14


29


18


19

Schlussbemerkungen

Weiterführende Hinweise

Aufgrund der Rechenschaftspflicht gemäss Artikel 5 Absatz 2 und Artikel 24 Abs 1 DSGVO, der Vorgaben gemäss Artikel 35 Absatz 11 sowie der Empfehlungen der Artikel 29-Gruppe sollte die Aktualität der DSFA in regelmässigen Abständen überprüft werden. Laut Artikel 29-Gruppe ist die Durchführung einer DSFA keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. In jedem Fall ist eine Wiederholung der DSFA erforderlich, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Weiterführende Informationen zur Durchführung einer DSFA:

  • Leitfaden für den Prozess der Datenschutz-Folgenabschätzung gemäss ISO/IEC 29134:2017 Information technology -- Security techniques -- Guidelines for privacy impact assessment

  • BRD: Forum Privatheit White Paper DSFA (3. Aufl. 2017)

  • GDD-Praxishilfe DS-GVO X - Voraussetzungen der Datenschutz-Folgenabschätzung

  • Planspiel DSFA des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

  • CNIL, The open source PIA software



Privacyofficers.at; Autoren, bow, Zugriff 25.08.2018

https://www.privacyofficers.at/Privacyofficers_DSFA-Umsetzung_DSGVO_v1.0.pdf

Creative Commons https://creativecommons.org/licenses/by-nc-sa/4.0/deed.de

09/2018

So starten Sie erfolgreich in Ihre neue Aufgabe!


Frisch ausgebildete Datenschutzbeauftragte stehen nach Rückkehr in den Betrieb oft vor dem Problem, dass die Umsetzung des erlernten Wissens im „heimischen“ Betrieb schwer ist: Entweder ist die Erwartungshaltung des Unternehmers/Arbeitgebers sehr hoch, oder es müssen Maßnahmen und Vorhaben im Betrieb durchgesetzt werden – vielleicht sogar gegen gewisse Widerstände.

 

Autorin: Daniela Duda

ISBN-10: 3609693983

Vertretung in Berlin nach DSGVO (GDPR)

Pflicht zur Bestellung eines Vertreters

Nach Artikel 27 der Europäischen Datenschutz-Grundverordnung (DSGVO) müssen alle Schweizer Unternehmen, die Waren und Dienstleistungen Personen in der EU anbieten oder die das Verhalten von Personen in der EU beobachten, einen offiziellen Vertreter in der EU bestellen.

 

Download DSGVO-Checkliste
Sicherheit in der Cloud in 10 Schritten

 

Swiss Infosec (Deutschland) GmbH als Ihr Vertreter
Die Swiss Infosec (Deutschland) GmbH, eine Tochter der Swiss Infosec AG mit Sitz in Berlin, vertritt Schweizer Unternehmen ohne EU-Niederlassung, die jedoch in der EU aktiv und damit von der DSGVO bzw. deren Artikel 27 betroffen sind.

 

Das Angebot Externer EU-Vertreter nach DSGVO baut auf einem pauschalisierten Angebot von 12 Monaten Laufzeit auf.  Für Unternehmensgruppen bieten wir reduzierte Pauschalen.
Erfahren Sie hier mehr über das konkrete Angebot und vereinbaren Sie ein kostenloses Erstgespräch für eine Ist-Analyse.

 

Aufgaben des Vertreters gemäss DSGVO
Der EU-Vertreter nach DSGVO hat primär zum Ziel, den EU-Aufsichtsbehörden den Verkehr mit den von der DSGVO erfassten Unternehmen ausserhalb der EU zu erleichtern. So können sich die Behörden an den Vertreter halten, um ihm etwaige Verfügungen zuzustellen oder benötigte Unterlagen einzufordern.

 

Als externer EU-Vertreter erbringen wir in Ihrem Auftrag und in enger Zusammenarbeit mit Ihnen folgende Leistungen:

  • Ansprechperson für die EU-Aufsichtsbehörden für sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO
  • Anlaufstelle für betroffene Personen für sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO
  • In offiziellen Verzeichnissen aufgeführte Kontaktadresse als EU-Vertreter im datenschutzrechtlichen Zusammenhang
  • Beratung in datenschutzrechtlichen Themen inkl. Informationssicherheit

 


 

Haben Sie Geschäftsbeziehungen mit Kunden und Unternehmen in der EU?
Ihr Vertreter in der EU für Ihre Datenschutz-Governance
Nutzen Sie unser DSGVO-Know-how als entscheidenden Marktvorteil
Ihr Ansprechpartner für DSGVO-Compliance in der EU – Für Sie und für Ihre Kunden
EU-Vertretung: Informieren Sie sich jetzt über die Pflichten dieser Funktion

 

EU DSGVO

Betreiben Sie Geschäfte in der EU ohne Sitz in der EU?

Nach Artikel 27 der Europäischen Datenschutz-Grundverordnung (DSGVO) haben alle Schweizer Unternehmen, die Waren und Dienstleistungen Personen in der EU anbieten oder die das Verhalten von Personen in der EU beobachten, einen offiziellen Vertreter in der EU zu bestellen.

 

DSGVO-Tipp: Bevor Sie Geschäftsbeziehungen in einem EU-Staat aufnehmen, sollten Sie Ihre Konformität mit der DSGVO und deren Anforderungen abklären.

 

Einfach und sicher Märkte pflegen in der EU ohne EU-Niederlassung: Ja, mit uns.
Fragen Sie sich, ob die DSGVO anwendbar ist auf ihr Unternehmen oder welche Vorschriften Sie einzuhalten haben?

 

Unser Datenschutzteam unterstützt Sie gerne bei allen Fragestellungen rund um die DSGVO (GDPR). Denn wir kennen die Antworten: einfach und verständlich!
Gerne stehen wir Ihnen beratend und unterstützend zur Seite und freuen uns über Ihre unverbindliche Anfrage. +41 41 984 12 12, infosec@infosec.ch

 

Ihr von der DSGVO geforderter Vertreter in der EU zur Unterstützung Ihrer Marktposition

Unter der Leitung von Dr. iur. Michèle Balthasar, Rechtsanwältin und in allen Datenschutzbelangen erfahrene Leiterin unserer Rechts- und Datenschutzabteilung, übernimmt die Swiss Infosec (Deutschland) GmbH zusammen mit ihren Rechtsanwälten und Juristen das Mandat als Vertreter Ihres Unternehmens in der EU, wie es von der Datenschutz-Grundverordnung in Artikel 27 gefordert wird. Selbstverständlich umfasst dieses Mandat auch jegliche erforderliche oder gewünschte Beratung in den Bereichen Datenschutz und Informationssicherheit.

 

EU-Vertreter nach DSGVO mit Know-how, Kompetenz und langjähriger Erfahrung
Unser Datenschutz-Kompetenzzentrum umfasst aktuell 4 Rechtsanwälte und 2 Juristen. Die laufende Praxis der DSGVO-Umsetzung wird durch unser Datenschutz-Kompetenzzentrum kontinuierlich analysiert und fliesst in unsere Best Practice-Kompetenz. Diese Erfahrung ermöglicht aktuelle praxisorientierte Lösungen und Umsetzungsvorschläge zur Sicherstellung der DSGVO-Konformität Ihres Unternehmens.

 

Ihr Vertreter in der EU – damit Sie die Datenschutzanforderungen der DSGVO erfüllen können
Das Datenschutzteam der Swiss Infosec (Deutschland) GmbH, einer Tochter der Swiss Infosec AG und mit Sitz in Berlin, hat zum Inkrafttreten der DSGVO am 25. Mai 2018 ihre Arbeit in Berlin aufgenommen. Sie vertritt Schweizer Unternehmen, die über keine EU-Niederlassung verfügen, jedoch in der EU aktiv und damit von der DSGVO betroffen sind.

 

Das Angebot Externer EU-Vertreter nach DSGVO baut auf einem pauschalisierten Angebot von 12 Monaten Laufzeit auf. Für Unternehmensgruppen bieten wir reduzierte Pauschalen.
Erfahren Sie hier mehr über das konkrete Angebot und vereinbaren Sie ein kostenloses Erstgespräch für eine Ist-Analyse.

 

Nutzen Sie unser DSGVO-Know-how als entscheidenden Marktvorteil

Wir bieten unseren in der EU tätigen Kunden die Möglichkeit, die Anforderung, einen Vertreter in der EU zu benennen, durch die Beauftragung unserer Tochterfirma Swiss Infosec (Deutschland) GmbH als Vertreterin zu erfüllen.

 

Der EU-Vertreter nach DSGVO hat primär zum Ziel, den EU-Aufsichtsbehörden den Verkehr mit den von der DSGVO erfassten Unternehmen ausserhalb der EU zu erleichtern. So können sich die Behörden an den Vertreter halten, um ihm etwaige Verfügungen zuzustellen oder benötigte Unterlagen einzufordern.

 

Als externer EU-Vertreter erbringen wir in Ihrem Auftrag und in enger Zusammenarbeit mit Ihnen folgende Leistungen:

  • Ansprechperson für die EU-Aufsichtsbehörden für sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO
  • Anlaufstelle für betroffene Personen für sämtliche Fragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO
  • In offiziellen Verzeichnissen aufgeführte Kontaktadresse als EU-Vertreter im datenschutzrechtlichen Zusammenhang
  • Beratung in datenschutzrechtlichen Themen inkl. Informationssicherheit

 

Vertrauen langjähriger Kunden als Antrieb für EU-Vertretung

Wir freuen uns über das in uns gesetzte Vertrauen unserer Kunden, die uns dazu bewogen haben, eine EU-Vertretung in Berlin zu gründen.

 

Entlastung für Schweizer Unternehmen ohne EU-Niederlassung
Da eine grosse Zahl der Schweizer Unternehmen, die in der Europäischen Union tätig sind und dort selber keine Niederlassung haben, von der DSGVO betroffen sind und die Bestellung einer Vertretung in der EU deshalb einem grossen Kundenbedürfnis entspricht, hat die Swiss Infosec AG das Tochterunternehmen Swiss Infosec (Deutschland) GmbH mit Sitz in Berlin gegründet.
Unsere Datenschutzexperten übernehmen für diese Unternehmen vor Ort die Vertreterfunktion und stellen sicher, dass Sie Artikel 27 DSGVO-konform erfüllen.

 

EU-Vertretung: Informieren Sie sich jetzt über die Pflichten dieser Funktion

Wollen Sie in einem Ihrer europäischen Zielmärkte aktiv werden ohne dort eine Niederlassung zu haben?
Dann bietet sich das Angebot «Externer EU-Vertreter» der Swiss Infosec (Deutschland) GmbH als ideale und schnelle Lösung zur einfachen Einhaltung der Konformität nach DSGVO an.

 

Gerne stehen wir Ihnen beratend und unterstützend zur Seite und freuen uns über Ihre unverbindliche Anfrage.
+41 41 984 12 12, infosec@infosec.ch

 

Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!
Wir sind interessiert an:

 

08/2018

1. Erlaubnistatbestand Pseudonymisierung/Anonymisierung

Wie bereits dargestellt stellen sowohl Anonymisierung als auch Pseudonymisierung Verarbeitungen im Sinne von Art. 4 Ziff. 2 DS-GVO dar. Nach Art. 6 sowie Art. 9 DS-GVO ist die Verarbeitung personenbezogener Daten verboten, ausser es existiert ein Erlaubnistatbestand.

 

1.1. Einwilligung

Existiert kein gesetzlicher Erlaubnistatbestand, so ist zur Pseudonymisierung oder Anonymisierung die Einholung einer rechtsgültigen Einwilligung der betroffenen Person bzw. Personen erforderlich. Hierbei sind alle die von der DS-GVO genannten Vorgaben / Rahmenbedingungen einzuhalten.

 

1.2. Sonderfall Forschung

Die DS-GVO privilegiert Verarbeitungen personenbezogener Daten zum Zwecke der Forschung an unterschiedlichen Stellen. Insbesondere enthält die DS-GVO privilegierende Bestimmungen für wissenschaftliche und historische Forschungszwecke. Hinsichtlich der Nutzung besonderer Kategorien personenbezogener Daten findet sich in Art. 9 Abs. 2 lit. j DS-GVO ein datenschutzrechtlicher Erlaubnistatbestand zur Nutzung von Daten zu Zwecken der wissenschaftlichen Forschung. Hiernach ist eine Verarbeitung gestattet, wenn die Verarbeitung gemäss Art. 89 Abs. 1 DS-GVO erforderlich ist und ein nationales oder europäisches Recht für die Nutzung existiert, welches den besonderen Anforderungen von Art. 89 Abs. 1 DS-GVO genügt.

 

2. Betroffenenrechte

2.1. Anonyme Daten und Betroffenenrechte

Entsprechend ErwGr. 26 gelten für anonyme Daten die Anforderungen der DS-GVO nicht. Damit gelten auch nicht die aus den Art. 12 bis 22 DS-GVO resultierenden Anforderungen hinsichtlich der Erfüllung der Betroffenenrechte. Dies bezieht sich jedoch nicht auf die Zeit vor der Anonymisierung. Denn dann sind die jeweiligen Betroffenenrechte sehr wohl vollumfänglich zu beachten. Somit ist bei einer Anonymisierung die betroffene Person ggf. u. a. hinsichtlich des Vorgehens einer Anonymisierung und – sofern vorhanden – der Zweckänderung bei der Verarbeitung der Daten zu informieren.

 

2.2. Pseudonyme Daten und Betroffenenrechte

Pseudonyme Daten gelten als personenbezogene Daten, daher gelten auch die Betroffenenrechte voll umfänglich. Pseudonyme Daten weisen die Besonderheit auf, dass der Verantwortliche die betroffene Person nicht identifizieren kann. Das wiederum macht es notwendig, dass jegliche Kommunikation mit der betroffenen Person nur über die Personen laufen kann, welche die Daten (ursprünglich) erhoben haben, d. h. welche die betroffene Person kennen und die ggf. mittels einer Zuordnungstabelle eine Re-Identifizierung vornehmen können.

 

2.3. Information bei Zweckänderung

Häufig erfolgt eine Anonymisierung/Pseudonymisierung von Daten, um die Daten zu einem anderen Zweck als den ursprünglichen zu verwenden. Gemäss Art. 13 Abs. 4, 14 Abs. 4 DS-GVO muss der Verantwortliche vorher (also insbesondere noch vor der Pseudonymisierung/Anonymisierung) der bzw. den betroffenen Personen Informationen über diesen anderen Zweck und alle anderen massgeblichen Informationen gemäss Art. 14 Abs. 2 DS-GVO zur Verfügung stellen.

 

3. Privacy by Design/Default

Entsprechend Art. 25 DS-GVO muss die Pseudonymisierung bzw. Anonymisierung über den vollständigen Lebenszyklus der Daten, d. h. von der Erhebung bis zur endgültigen Vernichtung, aufrechterhalten werden. Änderungen in der technischen Entwicklung müssen während dieser Zeit betrachtet, bzgl. der Auswirkungen auf die pseudonymisierten/anonymisierten Daten bewertet und ggf. erforderliche Massnahmen abgeleitet und umgesetzt werden.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

08/2018

1. Personenbezogene Daten: Entsprechend Art. 4 Ziff. 1 DS-GVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Damit fallen nicht nur Informationen darunter, welche direkt eine Person identifizieren, sondern auch alle Informationen, welche über Zwischenschritte eine Person identifizieren. D. h. soweit und solange die Informationen aus sich heraus Rückschluss auf eine einzelne Person zulassen, handelt es sich um Daten einer bestimmten Person.

 

Der Begriff „identifizierbar“ muss daher im Sinne von „als Einzelperson wahrnehmbar“ bzw. einer „Einzelperson zuordenbar“ verstanden werden. Die Identifizierbarkeit ist damit Dreh- und Angelpunkt hinsichtlich der Beurteilung, ob Daten als anonym oder pseudonym angesehen werden können.

 

2. Pseudonymisierung

Der Begriff der Pseudonymisierung wird in Art. 4 Ziff. 5 DS-GVO definiert. Dort heisst es:

 

„"Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Massnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

 

Dieser Definition folgend charakterisiert eine Pseudonymisierung daher Nachfolgendes:

  • Die Pseudonymisierung ist eine Verarbeitung personenbezogener Daten.
  • Pseudonyme Daten sind Daten, die ohne weitere Informationen einer spezifischen Person nicht zuordenbar sind.
  • Die zur Zuordenbarkeit benötigten Informationen stehen dem Verantwortlichen nicht zur Verfügung, sondern
    • werden gesondert aufbewahrt und
    • sind durch technische und organisatorische Massnahmen vor dem Zugriff durch den Verantwortlichen geschützt.
  • Für den Verantwortlichen besteht bei der Verarbeitung pseudonymisierter Daten keine Möglichkeit der Identifizierung der betroffenen Person.

Hinweis: ErwGr. 26 führt aus, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

 

3. Pseudonyme Daten

Entsprechend der in der DS-GVO enthaltenen Definition von Pseudonymisierung sind demnach pseudonyme Daten solche Daten, welche der oder die Verantwortlichen keiner spezifischen Person zuordnen können, jedoch für andere durch die Einbeziehung weitergehender Informationen („Zuordnungsregeln“) die grundsätzliche Möglichkeit der Zuordnung besteht. Dafür ist es nicht erforderlich, dass die betroffene Person durch die „Re-Identifizierung“ mit bürgerlichem Namen zu identifizieren ist1. Ausreichend ist vielmehr, wenn durch das Datum bzw. die Daten die betroffene Person individualisiert wird und Aussagen über deren sachliche und persönliche Verhältnisse möglich sind; ein Name muss nicht vorhanden sein.

 

4. Anonyme Daten

Entsprechend ErwGr. 26 DS-GVO sollten die Vorgaben der DS-GVO nicht für anonyme Daten gelten. D. h. für anonyme Daten gelten die Anforderungen der DS-GVO nicht. Jedoch muss der Verantwortliche, u. a. der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO folgend, zu jedem Zeitpunkt der Verarbeitung (und damit insbesondere auch während der gesamten Speicherdauer) nachweisen können, dass es sich um anonyme Daten handelt.

 

Daraus ergibt sich im Umkehrschluss, dass anonyme Daten weder direkt personenbezogene Daten noch pseudonymisierte Daten sein können. D. h., anonyme Daten sind Daten, bei denen keine Zuordnungsmöglichkeit zu einer spezifischen betroffenen Person existiert.

 

5. Anonymisierung

Anonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

 

Zur Klarstellung: Sowohl pseudonyme als auch anonyme Daten sind daher für den Verantwortlichen keiner spezifischen betroffenen Person zuordenbar. Der Unterschied zwischen anonymen und pseudonymen Daten liegt darin, dass bei pseudonymen Daten ausserhalb der Zugriffsmöglichkeiten des Verantwortlichen grundsätzlich eine Zuordnungsmöglichkeit besteht oder bestehen könnte, bei anonymen Daten hingegen für niemanden eine Zuordnungsmöglichkeit vorhanden ist.

 

Da es sich sowohl bei der Pseudonymisierung als auch bei der Anonymisierung um eine Verarbeitung gemäss Art. 4 Ziff. 2 DS-GVO handelt, ist daher auch für eine Anonymisierung bzw. Pseudonymisierung von Gesundheitsdaten ein Erlaubnistatbestand gem. Art. 9 Abs. 2,4 DS-GVO bzw. Art. 6 Abs. 1, 2 DS-GVO für Daten, die nicht zu den besonderen Kategorien zählen, erforderlich.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

08/2018

Die vorliegende Ausarbeitung bezieht sich auf Daten in der Gesundheitsversorgung, d. h. besondere Kategorien von Daten im Sinne der DS-GVO. Grundsätzlich ist eine Pseudonymisierung oder Anonymisierung natürlich auch bei anderen Daten sinnvoll. Die vorliegend dargestellten Ausführungen / Methoden sind daher i. d. R. auch auf diese Daten übertragbar.

 

Diese Ausarbeitung stellt keine Verhaltensregel i.S.v. Art. 40 Abs. 2 lit. d DS-GVO dar, sondern beschreibt, welche Rahmenbedingungen beim Vorgehen bzgl. Anonymisierung oder Pseudonymisierung aus Sicht der DS-GVO mindestens beachtet werden sollten. Weiterhin werden einige Methoden zu dieser Thematik vorgestellt, ohne dass diesbezüglich von den Verfassern ein Anspruch auf Vollständigkeit bzgl. der Darstellung erhoben wird.

 

Allgemeines

Im Rahmen der folgenden Darstellung werden des Öfteren Beispiele zur Veranschaulichung genutzt. Alle Beispiele basieren auf dem folgenden onkologischen Beispieldatensatz:

 

 2018 08 02 12h49 22

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

08/2018


Sowohl die Pseudonymisierung als auch die Anonymisierung wird verwendet um Risiken der Verarbeitung für von der Verarbeitung betroffene Personen zu verringern. D. h. die Methoden stellen Massnahmen dar, welche dem Schutz von personenbezogenen Daten dienen. In Bezug auf die Pseudonymisierung schrieb der europäische Gesetzgeber in ErwGr. 28 DS-GVO: „Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann […] die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen“.

 

Wie aus dieser Formulierung ersichtlich wird, kann es einen oder auch mehrere Verantwortliche geben. Art. 4 Ziff. 7 DS-GVO definiert „Verantwortlicher“ als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Entsprechend wird in Art. 26 DS-GVO erklärt, unter welchen Umständen eine Verarbeitung durch gemeinsam Verantwortliche erfolgen kann. Dies gilt selbstverständlich auch für die Pseudonymisierung oder auch die Anonymisierung, die jeweils eine Verarbeitung darstellen. Und auch diese Verarbeitungen können von einem oder auch von mehreren gemeinsam Verantwortlichen durchgeführt und genutzt werden.

 

Eine Pseudonymisierung ersetzt nicht zwangsläufig andere Datenschutzmassnahmen, sondern ist eher als begleitende Massnahme zu verstehen (ErwGr. 28 S. 2 DS-GVO). Die DS-GVO nennt die Pseudonymisierung als begleitende Massnahme an verschiedenen Stellen wie z. B.:

  • Art. 6 Abs. 4 DS-GVO, um bei Zweckänderung geeignete Garantien für die Sicherheit abzubilden
  • Art. 25 Abs. 1 DS-GVO, als eines der Mittel, um „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ („Privacy by Design/Privacy by Default“) umzusetzen
  • Art. 32 Abs. 1 lit. a DS-GVO, als eine der zu berücksichtigenden Anforderungen bei der Gewährleistung eines angemessenen Schutzniveaus
  • Art. 89 Abs. 1 DS-GVO, als eine mögliche Massnahme, um Rechte und Freiheiten betroffener Person bei der Verarbeitung personenbezogener Daten von im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken zu gewährleisten.

Anonyme oder pseudonyme Daten können z. B. genutzt werden für:

  • Schulungszwecke
  • Krankheitsregister
  • Klinische Studien
  • Statistische Auswertungen/Analysen.

Art. 40 Abs. 2 lit. d DS-GVO verweist darauf, dass Verhaltensregeln die Pseudonymisierung personenbezogener Daten konkreter ausgestalten können. Demnach enthalten die Vorgaben der DS-GVO die Rahmenbedingungen, unter welchen eine Pseudonymisierung anwendbar ist. Bzgl. der Ausgestaltung der Pseudonymisierung gibt es aber Bedarf an Auslegung. Dies will diese Ausarbeitung leisten: eine Klarstellung, wie mit Pseudonymisierung und Anonymisierung mit Geltung der DS-GVO umzugehen ist.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

08/2018

Schon 2005 wurde auf der 27. Internationalen Konferenz der Beauftragten für Datenschutz und den Schutz der Privatsphäre in Montreux in Bezug auf genetische Daten Folgendes festgehalten:

 

„Die Datenschutzbeauftragten

1.    […]

7.    Sind sich bewusst, dass aufgrund des rasch wachsenden Kenntnisstandes im Bereich der Genetik Daten über die menschliche DNA zu den sensibelsten überhaupt werden können, und dass die Gewährleistung eines angemessenen rechtlichen Schutzes dieser Daten angesichts der beschleunigten Wissensentwicklung wachsende Bedeutung erlangt,

8.    […]“

 

Aktuellere Untersuchungen haben ergeben, dass genetische Daten nicht als anonym angesehen werden können. Genetische Daten können daher maximal pseudonymisiert werden bzw. als pseudonym angesehen werden.

 

Biomaterial und Einwilligung

Biomaterial enthält durch seinen genetischen Inhalt prinzipiell auch Daten, durch die Rückschlüsse auf etwaige dem Betroffenen verwandte Personen wie beispielsweise Kinder, Eltern und/oder Enkel möglich sind. Unter den Vorgaben der DS-GVO können diese Daten mittels Einwilligung kaum verarbeitet werden, da eine Einwilligung immer nur für die eigenen Daten, nicht aber für die Daten Dritter gegeben werden kann.

 

Daraus folgt, dass wenn eine Person heute beispielsweise Biomaterial abgibt, so kann ein heute noch nicht geborenes Enkelkind dieser Person aufgrund der Kenntnis dieses gespendeten Biomaterials in der Zukunft durch eine Erkrankung diskriminiert werden, die heute noch gar nicht bekannt ist, die aber dem Erbgut innewohnt. Auch diesen Personen muss ein „Recht auf Nichtwissen“ zugestanden werden, eine Einwilligung der das Biomaterial abgebenden Person kann dies nicht legitimieren.

 

Daher wird für die Verarbeitung derartiger personenbezogener bzw. personenbeziehbarer Daten ein gesetzlicher Erlaubnistatbestand benötigt. Wenn seitens der Gesellschaft ein Konsens besteht, dass die Vorratsdatenspeicherung von Biomaterial mit recht allgemeiner Zweckbindung („medizinische Forschung“) gewünscht ist, muss somit ein Gesetz diese Forschung explizit erlauben, so dass eine Einwilligung nicht benötigt wird. Denn eine Einwilligung alleine des Spenders wird kaum die damit verbundene Verarbeitung der über Dritte (= Verwandte) enthaltenen Informationen legitimieren können.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

08/2018

1. Identifizierung der direkten und indirekten identifizierenden Daten

Will man eine Pseudo- bzw. Anonymisierung durchführen, müssen in einem ersten Schritt sowohl direkte als auch indirekte Identifikationsmerkmale im Datensatz identifiziert und bzgl. der Notwendigkeit der Änderung/Löschung hinsichtlich des Prozesses einer Pseudonymisierung oder Anonymisierung bewertet werden.

 

Die zur Verarbeitung vorgesehenen Daten sind also in drei Kategorien einzuteilen:

  1. Direkte Identifikationsmerkmale: Alle Daten, welche eine direkte Identifizierung zulassen. Beispiele für direkte Identifikationsmerkmale sind insbesondere Namen (der bürgerlicher Name sowie alle sonstige Namen wie beispielsweise der Rufname oder der Chat Name), unter denen die Person bekannt ist.
  2. Indirekte Identifikationsmerkmale: Alle Daten, welche in Verbindung mit anderem indirektem oder externem Wissen eine Identifikation potentiell ermöglichen. Beispiele für indirekte Identifikationsmerkmale sind:
    • Personenbezeichner (z. B. Patienten-ID, Sozialversicherungsnummer, Steuernummer, Autokennzeichen, Kontonummer, Versicherungsnummer, Geburtsdatum)
    • Erscheinungsmerkmale (z. B. Körpergrösse, Haarfarbe, Kleidung, Tätowierungen)
    • Biometrische Kennzeichen (z. B. Gesicht, Stimmprofile, Fingerabdrücke)
    • Genetische Daten
    • Digitale Zertifikate, welche eine Identifikationsmöglichkeit beinhalten (z. B. Zertifikate zur elektronischen Unterschrift)
    • Identifikationsmerkmale basierend auf elektronischer Kommunikation (z B. Telefonnummer, Faxnummer, E-Mailadresse, IP-Adresse)
    • Demographische Daten (z. B. Religion, Geburtsland, Muttersprache, Vorstrafen)
    • Zuordnungsmerkale (z. B. Beruf, Funktion, Anschriften, Vorstrafen, Name der Mutter/des Vaters)
    • Ausreisservariablen (z. B. seltene Diagnosen, Behandlungsbesonderheiten, körperliche Fehlbildungen, für die untersuchte Population untypische Merkmale).

      Je nachdem, welche weiteren Informationen dem oder den Verantwortlichen zur Verfügung stehen, sind indirekte Identifikationsmerkmale ggf. als direkte Identifikationsmerkmale anzusehen.

  3. Nicht identifizierende Daten: alle anderen Daten, die weder direkte oder indirekte Identifikationsmerkmale darstellen.

 

Gerade bei der Analyse der sogenannten indirekten Identifikationsmerkmale ist häufig eine individuelle, kontextbezogene Betrachtung erforderlich. So kann bspw. in einem Fall die Haarfarbe ein indirektes Identifikationsmerkmal darstellen, durch die eine Person eindeutig identifizierbar wird. In anderen Fällen beinhaltet das Datum „Haarfarbe“ vielleicht keine Re-Identifikationsmöglichkeit. Desgleichen können medizinische Bilddaten neben den zur Identifizierung geeigneten Metadaten (z. B. DICOM StudyUID) auch in sich selbst eine Identifikationsmöglichkeit enthalten, z. B. wenn eine 3D-Rekonstruktion des Kopfes eine Gesichtserkennung ermöglichen würde.

 

2. Arten von Pseudonymen und ihre Unterscheidungsmöglichkeiten

Pseudonyme können einerseits durch den Inhaber der Zuordnungsregel unterschieden werden:

  1. Pseudonyme werden ausschliesslich vom Betroffenen selbst vergeben. Ein Beispiel hierfür ist der „Nickname“ des Nutzers im Chat.
  2. Pseudonyme werden natürlich auch vom ursprünglichen Verarbeiter vergeben, wie dies beispielsweise bei der IP-Adress-Vergabe durch einen Internet-Provider erfolgt.
  3. Pseudonyme können von einem vertrauenswürdigen Dritten vergeben werden, wie dies beispielsweise häufig bei der Einschaltung einer sog. Trusted-Third-Party in medizinischen Forschungsnetzen geschieht.

Eine andere Unterscheidungsmöglichkeit bzgl. Pseudonyme besteht in der Art ihrer Erzeugung:

  1. Das Pseudonym wird durch eine schlüsselabhängige Einweg- oder Hashfunktion aus invarianten Daten (Bsp. Identitätsdaten) erzeugt.
  2. Das Pseudonym wird (willkürlich) nach einem festen Einweg-Algorithmus vom Benutzer aus einem Geheimnis (z. B. Passphrase) erzeugt.
  3. Das Pseudonym wird (zufällig) frei gewählt oder nach einem Zufallsverfahren erzeugt.

Eine dritte Unterscheidungsmöglichkeit bei Pseudonymen besteht in ihrer gesellschaftlichen Verwendung. Pseudonyme können als

  • Personenpseudonyme, z. B.
    • Öffentliches Personenpseudonym (z. B. Telefonnummer)
    • Nichtöffentliches Personenpseudonym (z. B. Kontonummer)
    • Anonymes Personenpseudonym (z. B. Genom)

oder auch als

  • Rollenpseudonyme, wie beispielsweise
    • Geschäftsbeziehungspseudonym (z. B. Chat- Name)
    • Transaktionspseudonym (z. B. PIN, TAN)

genutzt werden.

 

3. Methoden zur Pseudonymisierung/Anonymisierung

Sowohl bei der Pseudonymisierung als auch bei der Anonymisierung gibt es unterschiedliche Methoden, die im Einzelfall danach evaluiert werden sollten, wie mit ihnen am besten der individuell verfolgte Zweck erreicht werden kann.

 

3.1. Nichtangabe

Das zu schützende Datum wird bei dieser Methode nicht verwendet, sondern weggelassen, z. B. durch Löschung oder Nicht-Exportieren von Spalten einer Tabelle einer Datenbank oder auch von Teilbereichen der Werte.

 

Beispiel: Die Daten aus Tabelle 1 wurden durch Weglassen von Vorname und Nachname sowie Tag und Datum beim Geburtsdatum wie auch die letzten Ziffern bei ICD entpersonalisiert:

 

2018 08 02 14h01 12

 

Allerdings muss man dabei darauf achten, dass sich durch Nichtangabe von Teilbereichen auch die Information selbst ändert. So kann bspw. die Verringerung des Wertes des ICD im obigen Beispiel zu einer ggf. nicht unerheblichen Änderung der Diagnosen führen:

 

2018 08 02 14h03 29

Insofern gilt es die Anwender darüber aufzuklären, dass gewisse Daten verändert wurden:

 

3.2. Maskierung/Ersetzung

Zu schützende Daten werden mit einem konstanten oder sich ändernden Wert, Zeichen oder Zeichenkette ersetzt.

 

Beispiel: Die Daten aus Tabelle 1 wurden maskiert, indem der Tag und der Monat des Datums jeweils auf „01“ geändert wurden, die Namen auf feste Zeichenkette unter Beibehaltung der Geschlechterzuordnung:

 

2018 08 02 14h04 51

 

3.3. Mischung/Shuffeling

Bei der Nutzung dieser Methode werden die in den Datensätzen enthaltenen Werte getauscht („verwürfelt“). Dabei ist zu beachten, dass etwaige, eine Person eindeutig identifizierende Informationen wie bspw. eine Telefonnummer oder eine Kreditkartennummer zur Auflösung des Personenbezugs noch zusätzlich mit einer weiteren Methode verfremdet werden müssen, um einen Personenbezug ausschliessen zu können.

 

Die Grundlage für diese Durchmischung sollte eine Zufallsverteilung sein, die jedem Datenfeld die Daten bzw. Teilmenge der Daten eines anderen Datenfeldes zuordnet, wodurch letztlich ein neuer Datensatz gebildet wird. Bei einer zufälligen Vertauschung ist grundsätzlich nicht auszuschliessen, dass ein Datensatz auf sich selbst abgebildet wird, wodurch im Ergebnis keine Veränderung stattfinden würde. Dies ist natürlich durch entsprechende Vorkehrungen auszuschliessen.

 

Beispiel: Die Daten aus Tabelle 1 werden untereinander vermischt, um so die Identifizierung auszuschliessen:

 

2018 08 02 14h09 03

 

3.4. Varianzmethode

Bei dieser Methode werden Daten, die auf Zahlen basieren, dadurch verfremdet, dass die Zahlenwerte in festgelegten, zufällig erhöhten oder verringerten Streuungsintervallen geändert werden.

 

Beispiel: Das Geburtsdatum aus Tabelle 1 wurde mittels der Varianzmethode bearbeitet, wodurch das Geburtsdatum willkürlich verändert wurde, die statistische Aussage der Tabelle jedoch erhalten blieb:

 

2018 08 02 14h10 36

 

3.5. Kryptografische Methoden

Hierbei kommen Verschlüsselungs- und/oder Hash-Algorithmen zum Einsatz. Dabei ist zu beachten, dass kryptografische Eigenschaften wie Blocklänge, Ausgabealphabet und Kollisionen der jeweils verwendeten Methoden Auswirkungen auf das Ergebnis der Anonymisierung haben. Weiterhin ist zu beachten, dass hier kryptografische Methoden im speziellen Kontext der Anonymisierung bzw. Pseudonymisierung betrachtet werden, d. h. einige Betrachtungen im anderen Kontext ggf. zu anderen Ergebnissen führen können.

 

3.5.1. Rahmenbedingungen abklären

Mit der Fachseite, welche die pseudonymisierten oder anonymisierten Daten verarbeiten will, müssen die Randbedingungen geklärt werden. So muss z. B. geklärt werden, ob

  • der Zeichensatz (arabisch, deutsch, …),
  • die Zeichenart (numerisch, Buchstabenerhalt, Sonderzeichen bleibt Sonderzeichen),
  • Zeichenlänge

bei der Pseudonymisierung/Anonymisierung erhalten bleiben sollen.

 

Weiterhin können funktionelle Anforderungen wie z. B.

  • Kollisionsfreiheit; d. h. unterschiedliche Eingaben führen immer zu unterschiedlichen Ergebnissen, so dass die Unterschiede erhalten bleiben und ggf. Datensätze trotz Pseudonymisierung/Anonymisierung zusammengeführt werden können,
  • Eindeutigkeit; gleiche Eingaben führen immer zu gleichen Abbildungen,
  • Erhalt der statistischen Verteilung

hinzukommen.

Grundsätzlich gilt: Je mehr Randbedingungen an die Pseudonymisierung bzw. Anonymisierung seitens der Fachseite gestellt werden, umso grösser wird das Risiko der Re-Identifizierbarkeit durch statistische Analysen.

 

3.5.2. Verschlüsselungsverfahren

Moderne kryptografische Methoden sind nahezu ausschliesslich Binärchiffren, die sich in Block- und Stromchiffren sowie in symmetrische und asymmetrische Verfahren unterteilen lassen. Hierbei ist Folgendes zu beachten:

  1. Stromchiffren müssen zum Erhalt von Eigenschaften mehrfach denselben Schlüsselstrom verwenden, was die kryptografische Stärke der Verfahren abschwächt. Daher sind Stromchiffren für die Pseudonymisierung/Anonymisierung i.d.R. eher ungeeignet.
  2. Den Vorteilen im Umgang mit dem Schlüsselmaterial stehen bei asymmetrischen Verfahren sehr hohe Performance-Einbussen und relativ grosse Chiffrat-Blöcke entgegen.

Dabei erhalten Binärchiffren weder den Zeichensatz noch die Zeichenart oder die Zeichenlänge. Jedoch sind Binärchiffren sowohl kollisionsfrei als auch eindeutig.

 

Andere Verschlüsselungsverfahren können Anforderungen bzgl. Zeichenart, Zeichensatz und Zeichenlänge ggf. erhalten. Dieses ist z. B. bei entsprechender Implementierung beim symmetrischen Verfahren „One-Time-Pad“ der Fall. Hier wiederum kann ggf. die Anforderung der Eindeutigkeit nicht mehr gegeben sein.

 

D. h., ob eine Verschlüsselung zur Anonymisierung/Pseudonymisierung genutzt werden kann, ist abhängig von den Anforderungen der Fachabteilung.

 

3.5.3. Hash-Funktionen

Hash-Funktionen (auch: kryptografische Checksumme oder Einwegfunktion genannt) bilden eine beliebig lange Eingabedatenmenge auf einen binären String fester Länge ab. Somit können auch Hash-Funktionen weder den Zeichensatz noch die Zeichenart oder die Zeichenlänge erhalten. Die Möglichkeit der Kollisionsfreiheit ist abhängig von der Ausgabelänge und dem Algorithmus. Bei MD5 beispielsweise ist nachgewiesen, dass Kollisionsfreiheit nicht gegeben ist. Die Anforderung der Eindeutigkeit wird von Hash-Funktionen gewährleistet.

 

3.5.4. Salt

„Salt“ (= „Salz“) bezeichnet in der Kryptografie eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hash-Funktion angehängt wird, um die Entropie der Eingabe zu erhöhen, was letztlich zu einer höheren Streuung des Ergebnisses führt. Hierdurch kann z. B. verhindert werden, dass Originaldaten bspw. mit Hilfe von Rainbow-Tabellen identifiziert werden können.

 

Stand heute wird eine Entropie von 100 Bit als resistent gegen Brute-Force Angriffe mit hohem Angriffspotential angesehen. D. h. der Wertebereich muss eine Mindeststreuung von 2100 bzw. 1030 haben. Zu jedem Datensatz sollte ein eigener Salt existieren, um den grösstmöglichen Schutz zu erhalten. Werden alle Datensätze mit ein und derselben Zeichenfolge kombiniert, so wird dies als „Pepper“ bezeichnet.

 

Bei der Überprüfung eines Datums wird jedoch nicht jedes Mal ein neuer Salt erzeugt, da sich sonst der entstandene Hashwert von dem gespeicherten unterscheidet und somit der Wahrheitsgehalt der Information nicht überprüft werden kann. D. h. die Anforderung der Eindeutigkeit wäre nicht mehr gegeben. Deshalb wird – sofern die Eindeutigkeit eine einzuhaltende Anforderung darstellt - bei der Generierung der zur jeweiligen Information verwendete Salt zusammen mit dem entstandenen Hashwert gespeichert. Dabei müssen Salt und Hashwert natürlich voneinander getrennt aufbewahrt werden, der Salt unbedingt geheim gehalten werden, da ansonsten der Schutz abgeschwächt wird.

 

3.6 Was wird wann mit welcher Methode erreicht?

2018 08 02 14h12 09

 

3.7 k-Anonymität

Direkte und indirekte Identifikationsmerkmale werden zu Gruppen mit gleichen Inhalten zusammengefasst, d. h. die Identifikationsmerkmale so verändert, dass die Merkmale zu Gruppen zusammengefasst werden können. Damit sind die hinter den Daten stehenden Individuen nicht mehr unterscheidbar, d. h. eine eindeutige Identifikation ist nicht mehr möglich.

 

Um k-Anonymität zu erreichen, können alle oben beschriebenen Methoden eingesetzt werden. Dabei gilt: Je grösser die Gruppe, je grösser ist das Mass an Anonymität bzw. je kleiner ist die Wahrscheinlichkeit als Angehöriger einer Gruppe mit bestimmten Merkmalen identifiziert zu werden.

 

Der Parameter k definiert bei der k-Anonymität die Mindestgrösse der Gruppen. Er ist damit gleichzeitig das Mass der Anonymität. In einer Gruppe von k Individuen liegt die Wahrscheinlichkeit bei 1/k ein einzelnes Individuum korrekt zu identifizieren.

 

In der Literatur wird ein Schwellwert von mindestens 5 angegeben, d. h.: Bei jeder Auswertung umfasst das Ergebnis zu jedem Zeitpunkt des Auswertungszeitraumes mindestens 5 Betroffene, sodass kein Rückschluss auf Einzelpersonen gegeben ist. Kann eine Rückführbarkeit auf eine Personengruppe unter 5 Personen nicht ausgeschlossen werden, sind sowohl der Schwellwert aus auch die Merkmale/Items für die jeweilige Auswertung so zu definieren, dass trotzdem der Identifikationsschutz gewährleistet ist.

 

3.8. Beispiele bzgl. Vorgehen

2018 08 02 14h13 28

 

4. Darstellung des Risikos der Re-Identifizierung

Eine Re-Identifizierung kann Teil des geplanten Ablaufes sein, wenn eine Re-Identifikation unter zuvor festgelegten Bedingungen beabsichtigt erfolgt, z. B. Kontaktierung des Patienten, da die Verarbeitungsergebnisse Einfluss auf seine Behandlung haben. Erfolgt eine Re-Identifikation als ungeplantes, insbesondere nicht beabsichtigtes Ereignis, kann eine derartige Re-Identifikation Risiken für die betroffene Person bergen.

 

4.1. Risikodarstellung

Entscheidend für die Beurteilung des Risikos ist bereits das Vorhandensein der abstrakten Möglichkeit zur Identifikation von Betroffenen. Dabei sind die wesentlichen Risikofaktoren für eine Re-Identifizierung statistische Strukturen und Zusatzwissen. Selbst wenn Datensätze hoch effektiv und nach den aktuellsten kryptologischen Methoden geschützt sind, können statistische Auffälligkeiten dazu führen, dass ein Personenbezug - ggf. auch nur teilweise - wiederhergestellt werden kann. Dieses Risiko wird durch Verfügbarkeit von Zusatzwissen erheblich verstärkt.

 

Beispiel: Die nachfolgende Tabelle scheint zunächst anonyme Daten zu enthalten.

 

2018 08 02 14h14 26

 

2018 08 02 14h15 49

 

Existiert hingegen auch nur ein teilweise möglicher Zugriff auf die Originaldaten aus Tabelle 9, so ist eine Re-Identifikation der Daten aus Tabelle 8 möglich: Nur Frau Richter und Herr Schröder wohnen in einem Bereich, dessen PLZ mit „1011“ beginnt und durch die Geschlechtsangabe ist eine eindeutige Zuordnung möglich. Die Daten sind also nicht als anonyme Daten anzusehen, sondern als pseudonyme Daten.

 

4.2 Grundbedingung für eine Prüfung

Bei einer Prüfung des Ergebnisses einer Pseudonymisierung/Anonymisierung muss sowohl das Vorgehen der Verarbeitung, also die Methodik und der Umsetzung der Methodik beurteilt werden, wie das vorhandene Ergebnis. Dafür ist es erforderlich, dass alles nachvollziehbar dokumentiert wurde. Die/Der Prüfende benötigt:

  • Eine ausführliche Dokumentation der Methodik,
  • eine detaillierte Darstellung der Umsetzung der Methodik,
  • die Ergebnistabellen.

 

Bei den Ergebnissen ist darauf zu achten, dass auch statistische Kennzahlen Informationen zu einzelnen Individuen beinhalten können:

  • Ein Mittelwert basierend auf wenigen Beobachtungen kann ggf. Rückschlüsse bzgl. gering besetzter Gruppen beinhalten. Um diese Randgruppen identifizieren und diese bzgl. einer Möglichkeit des Rückschlusses auf einzelne Individuen prüfen zu können, muss neben der Fallzahl immer auch Minimum, Maximum und Standardabweichung angegeben werden.
  • Die Angabe von Perzentilen (Prozentränge) bei einer geringen Fallzahl beinhaltet nahezu immer die Möglichkeit von Rückschlüssen auf einzelne.

 

Hochfellner empfiehlt als Mindestgrössen:

  • Mindestens 20 Beobachtungen für die Ausgabe von Mittelwerten
  • Mindestens 40 Beobachtungen für die Ausgabe von 50%-Perzentilen
  • Mindestens 80 Beobachtungen für die Ausgabe von 25%- oder 75%-Perzentilen
  • Mindestens 200 Beobachtungen für die Ausgabe von 10%- oder 90%-Perzentilen
  • Mindestens 400 Beobachtungen für die Ausgabe von 5%- oder 95%-Perzentilen
  • Mindestens 2000 Beobachtungen für die Ausgabe von 1%- oder 99%-Perzentilen

4.3 Risikobeurteilung

Gemäss den Anforderungen von Art. 25 DS-GVO sind sowohl „zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung [also der Planung der Verarbeitung] als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Massnahmen“ zu treffen, welche die Rechte der betroffenen Personen schützen. Auch Art. 32 DS-GVO verlangt abhängig vom Risiko für die betroffenen Personen die Ergreifung geeigneter Massnahmen zum Schutz der betroffenen Person.

 

Daher muss zwingend das Risiko, welches durch eine Re-Identifikation für die betroffene Person existieren kann, beurteilt werden. Dazu werden Risiken am besten einerseits in Kategorien eingeteilt, welche eine Zuordnung der Risiken in individuelle und Individuen übergreifende Risiken erlaubt, z. B. sein:

  • Strukturelle Risiken, beispielsweise gesellschaftlich-politische Risiken (wie z. B. die Informationsmacht, die gegenüber einem Individuum gewonnen wird) oder wirtschaftliche Risiken;
  • Individuelle Risiken, wie z. B. die Erhöhung individueller Verletzlichkeit für Straftaten, da jemand erfährt, wo betroffene Personen angreifbar sind;
  • Risiken für Gesellschaft und Individuum, z. B. durch Bildung von Persönlichkeitsprofilen oder Fremdbestimmung oder auch die Enttäuschung von Vertraulichkeitserwartungen.

 

Weiterhin müssen Risiken hinsichtlich der Bedeutung erfasst werden, d. h. eine Quantifizierung vorgenommen werden. Naturgemäss wird das jeweilige Risiko nur abgeschätzt werden können, sodass das Risiko entsprechend einem zuvor definierten Skalenniveau eingeteilt werden kann, z. B.:

 

2018 08 02 14h16 50

 

Entsprechend ErwGr. 26 DS-GVO wird eine objektive Bewertung bzgl. des Risikos verlangt. Die deutsche Datenschutzkonferenz veröffentlichte ein Kurzpapier „Risiko für die Rechte und Freiheiten natürlicher Personen, welches auch Hinweise bzgl. der Schweregradbeurteilung aus Sicht der deutschen Aufsichtsbehörden enthält.

 

5 Aufbau und Struktur einer Verfahrensbeschreibung

Entsprechend Art. 30 DS-GVO müssen Verarbeitungstätigkeiten in einem Verzeichnis geführt werden. Dies gilt selbstverständlich auch für die Verarbeitung im Rahmen einer Pseudonymisierung oder Anonymisierung. Darüber hinaus enthält Art. 32 Abs. 3 DS-GVO eine implizite Aufforderung, dass die ergriffenen technischen und organisatorischen Massnahmen, zu denen sowohl die Pseudonymisierung als auch die Anonymisierung gehören, einer Nachweisfähigkeit genügen müssen. Somit ist es erforderlich, dass die Verfahren hinreichend genau beschrieben werden.

 

Eine entsprechende Beschreibung der Durchführung einer Pseudonymisierung bzw. Anonymisierung sollte folgende Informationen enthalten:

  • Beschreibung der Verarbeitung, für welche die Daten erhoben wurden;
  • Beschreibung der Verarbeitung, für welche die Anonymisierung oder Pseudonymisierung benötigt wird;
  • ID des für die Verarbeitung der personenbezogenen Daten Verantwortlichen;
  • ID des für die Verarbeitung der anonymisierten oder pseudonymisierten Daten Verantwortlichen;
  • Beschreibung des Verfahrens, mit welchem eine Anonymisierung oder Pseudonymisierung durchgeführt wird;
  • Beschreibung, welche Daten für die Anonymisierung oder Pseudonymisierung ausgewählt wurden sowie eine Begründung, warum diese Daten relevant bzgl. einer Identifikationsmöglichkeit waren, andere nicht;
  • ID der Person oder des automatisierten IT-Systems, welches die Anonymisierung oder Pseudonymisierung durchführt;
  • Bei einer Anonymisierung der Nachweis der Anonymität, d. h. der Nachweis der Nicht-Beziehbarkeit der verarbeiteten Daten auf eine identifizierte oder identifizierbare natürliche Person;
  • Umgang mit ggf. zur Anonymisierung oder Pseudonymisierung genutzten kryptographischen Schlüssel oder einer entsprechenden Verknüpfungstabelle; hierzu gehört insbesondere auch
    • eine Beschreibung dessen, was geschieht, wenn die Organisation ihren Betrieb hinsichtlich der Anonymisierungs- oder Pseudonymisierungsaktivitäten einstellt,
    • eine Beschreibung, in welchen Bereichen und für welche Anwendungen die kryptographischen Schlüssel oder die entsprechenden Verknüpfungstabelle verwendet werden
    • eine Beschreibung des Gültigkeitszeitraum (aus welchem sich letztlich auch der späteste Zeitpunkt zur Validierung der durchgeführten Pseudonymisierung oder Anonymisierung ergibt),
    • eine Beschreibung der Möglichkeiten und Verfahren zur Verknüpfung mit Alt-Daten oder neu hinzugekommenen Daten, sofern die Möglichkeit vorhanden ist;
  • Ausführliche Beschreibung, unter welchen Umständen die Pseudonymisierung durch wen auf welche Art umkehrbar ist und welche Berechtigung hierzu von wem erforderlich ist;
  • Festlegung der Beschränkungen, denen der Empfänger der anonymisierten oder pseudonymisierten Daten unterliegt, z. B. vertragliche Regelungen oder die vereinbarten Verarbeitungsgrundsätze zu informationsbezogenen Aktionen mit diesen Daten, insbesondere bzgl. Weiterleitung und Aufbewahrung wie beispielsweise:
    • Der Empfänger darf die Daten nicht öffentlich zugänglich machen.
    • Der Empfänger muss die Daten vor unberechtigtem Zugriff schützen.
    • Der Empfänger darf die Daten nur intern nutzen, um entpersonalisierte Daten zu erzeugen und erst diese dürfen öffentlich zugänglich gemacht oder an Kunden veräussert werden.
    • Der Empfänger muss die Daten zerstören, wenn die Verarbeitung hinsichtlich der vereinbarten Zwecke beendet wurde und kein weiterer rechtlicher Aufbewahrungsgrund für die Daten mehr existiert.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de

 

08/2018

Die Datenschutz-Grundverordnung (DS-GVO) gilt ab dem 25. Mai 2018. Sie führt erstmals in allen EU-Mitgliedstaaten unmittelbar geltendes europäisches Datenschutzrecht für Unternehmen, Privatpersonen und die öffentliche Verwaltung ein. Dies zwingt zu einer weitgehenden Neuausrichtung der bisherigen Datenschutzkonzepte und zu einem grundlegenden rechtlichen Umdenken

 

Autoren: Eugen Ehmann, Martin Selmayr, Jan Philipp Albrecht, Ulrich Baumgartner, Nikolaus Bertermann, Martin Braun, Horst Heberlein, Dirk Heckmann, Jörg Hladjk, Hans-Georg Kamann, Achim Klabunde, Rainer Knyrim, Thomas Kranig, Paul Nemitz, Anne Paschke, Bertram Raum, Stephanie Schiedermair, Alexander Schiff, Martin Schweinoch, Robert Selk, Michael Will, Thomas Zerdick

ISBN-10: 3406720064

08/2018

Lösungen zur Erhöhung der Cyberresilienz für Unternehmen und Behörden


Das Thema Cybersecurity ist so aktuell wie nie, denn im Cyberspace lassen sich nur schwer Grenzen in Bezug auf den Zugang zu Informationen, Daten und Redefreiheit setzen. Kriminelle nutzen die Lücken oft zu ihrem Vorteil aus. Die Vielzahl der IT-Systeme, ihre unterschiedlichen Nutzungsarten und ihre Innovations- und Lebenszyklen haben zu hohen Sicherheitsrisiken für Unternehmen und staatliche Einrichtungen geführt

 

Autoren: Michael Bartsch, Stefanie Frey

ISBN-10: 3658216549

08/2018

Handlungsfähig bei Non-Compliance und Cyberkriminalität


Praxisnah gewährt das Buch Einblick in die Mechanismen von Wirtschaftskriminalität und Non-Compliance. Im Fokus der Betrachtung stehen dabei die verschiedenen Ausprägungen menschlicher Risiken. Ziel des Buches ist es,  Verantwortliche effektiv dabei zu unterstützen, Risikofaktoren und deren Frühwarnindikatoren rechtzeitig zu erkennen und proaktiv zu agieren.

 

Autor: Sonja Stirnimann

ISBN-10: 3658208120

07/2018

Der rechtliche Rahmen der DSGVO und die wichtigsten Bestimmungen, die US-Rechtsstreitigkeiten betreffen

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die die EU-Datenschutzrichtlinie von 1995 ersetzt. Die DSGVO soll einen stärkeren und einheitlicheren Datenschutz für Einzelpersonen in der EU sowie für aus der EU exportierte personenbezogene Daten gewährleisten und damit die Einhaltung der Verordnung durch aussereuropäische Unternehmen erleichtern. Die DSGVO trat am 24. Mai 2016 in Kraft und musste 2 Jahre später, am 25. Mai 2018, umgesetzt worden sein.

 

Nach der DSGVO gilt für alle EU-Mitgliedsstaaten ein einheitliches Regelwerk. Die Auswirkungen der DSGVO sind weitreichend und betreffen die meisten Unternehmen mit Sitz in der EU sowie Unternehmen mit Sitz im Ausland, die personenbezogene Daten verarbeiten, die in der EU oder von in der EU ansässigen Personen erhoben werden. Die DSGVO legt die Messlatte für die Einhaltung im Vergleich zur Richtlinie deutlich höher. Sie sieht unter anderem strengere Beschränkungen für die Verwendung personenbezogener Daten vor, gibt dem Einzelnen mehr Durchsetzungsrechte und erfordert mehr Transparenz. Die DSGVO erhöht auch die Strafen bei Nichteinhaltung drastisch auf mehr als 20 Millionen Euro oder 4 % des weltweiten Umsatzes, was die Aufmerksamkeit des oberen Managements auf sich zieht. Darüber hinaus können Einwohner der EU nach dem DSGVO nun auch "materielle oder immaterielle" Schäden infolge von Datenschutzverletzungen geltend machen. Dies kann dazu führen, dass US-Unternehmen in jedem der 28 EU-Mitgliedstaaten oder in mehreren Mitgliedstaaten aufgrund von Verstössen, die Einwohner mehrerer EU-Länder betreffen, gerichtlich belangt werden.

 

Wichtig für US-Unternehmen ist, dass die DSGVO die Art und Weise, wie die Beweisführung im Zusammenhang mit US-amerikanischen Rechtsstreitigkeiten erfolgt, erheblich beeinflussen kann. Die DSGVO beschränkt insbesondere die Umstände, unter denen personenbezogene Daten aus der EU exportiert werden dürfen. Daher muss jede Überprüfung von Dokumenten, die ausserhalb der EU durchgeführt wird und personenbezogene Daten betreffen, die in der EU erhoben oder gespeichert werden, in Übereinstimmung mit der DSGVO erfolgen. Darüber hinaus lagern viele globale Unternehmen E-Discovery und die Überprüfung von Prozessdokumenten an Dienstleister ausserhalb der EU aus. Die Folge ist, dass sich die Anbieter von solchen Dienstleistungen damit kämpfen, die Auswirkungen der DSGVO auf ihren Betrieb vollständig zu verstehen.

 

Wenn die Übermittlung von Daten in die USA zu Beweisführungszwecken erforderlich ist, müssen die Prozessbeteiligten Vorkehrungen treffen, wie die Verwendung von Suchbegriffen und Datenbeschränkungen, um die Menge der gesammelten und in die USA übermittelten Daten zu begrenzen. Im Hinblick auf die im Rahmen des DSGVO verfügbaren finanziellen Sanktionen sollten Unternehmen eine sorgfältige Einzelfallprüfung der Grundlage für die Übermittlung personenbezogener Daten in die USA oder in andere Länder ausserhalb der EU zur Verwendung für die Beweisführung oder für staatliche oder interne Untersuchungen vornehmen.

 

Wie im Folgenden detailliert erläutert, gehören zu den Möglichkeiten der Risikominderung im Rahmen der DSGVO:

  1. Minimierung der tatsächlich übertragenen Datenmenge, die für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist,
  2. Wo immer möglich Verschlüsselung, Redaktion oder Anonymisierung personenbezogener Daten,
  3. Nutzung internationaler Verträge (Rechtshilfeabkommen) zur Rechtfertigung der Datenübermittlung,
  4. Abschluss von Standardvertragsklauseln mit Dritten, die personenbezogene Daten verarbeiten,
  5. Verarbeitung und Speicherung der Daten in der EU, insbesondere vor der Redaktion oder Anonymisierung, und
  6. Abschluss einer Schutzanordnung, die die Möglichkeit der Parteien, auf personenbezogene Daten aus der EU zuzugreifen und diese in Rechtsstreitigkeiten zu verbreiten, einschränkt.

 

Was abgedeckt wird

"Personenbezogene Daten" im Sinne der DSGVO sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person (eine "betroffene Person"). Eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Ortsdaten, Online-Identifikator oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser Person spezifisch sind.

 

Die Definition der personenbezogenen Daten ist nach der DSGVO weitgehend unverändert. Die explizite Einbeziehung von Standortdaten, Online-Identifikatoren und genetischen Daten in die Definition von "personenbezogenen Daten" bedeutet, dass Online-Identifikatoren wie IP-Adressen und Cookies in vielen Fällen als personenbezogene Daten betrachtet werden, wenn sie ohne grossen Aufwand wieder mit einer betroffenen Person verknüpft werden können. Es gibt keinen Unterschied zwischen personenbezogenen Daten über Personen in ihrer öffentlichen, privaten oder beruflichen Eigenschaft. Alle Informationen über eine Person, die der Definition entspricht, sind durch die DSGVO geschützt.

 

Besondere Kategorien personenbezogener Daten unterliegen einem zusätzlichen Schutz. "Besondere Kategorien personenbezogener Daten" sind persönliche Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Daten über Gesundheit oder Sexualleben und sexuelle Orientierung, genetische Daten oder biometrische Daten offenbaren. Generell müssen Unternehmen stärkere Gründe für die Verarbeitung besonderer Kategorien personenbezogener Daten haben als für die Verarbeitung von "personenbezogenen Daten" erforderlich sind.”

 

Die DSGVO gilt für jedes Rechtsgebilde, das Daten von in der EU ansässigen Personen sammelt sowie für jede in der EU ansässige Person (der "Verantwortliche"), sowie für jedes Rechtsgebilde, das Daten im Auftrag des Verantwortlichen verarbeitet (der "Auftragsverarbeiter"), wie z.B. ein Anbieter von eDiscovery oder ein Anbieter von Unterstützungsleitungen bei Rechtsstreitigkeiten. Die Verordnung gilt auch für Verantwortliche und Auftragsverarbeiter mit Sitz ausserhalb der EU, wenn sie personenbezogene Daten von in der EU ansässigen Personen erheben oder verarbeiten.

 

Rechtmässigkeit der Verarbeitung

Nach der DSGVO darf ein Unternehmen personenbezogene Daten nur dann verarbeiten, wenn dafür eine gesetzliche Grundlage besteht. Nach § 6 DSGVO ist eine Verarbeitung nur zulässig, wenn und soweit mindestens einer der folgenden Punkte zutrifft:

  • Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt.
  • Die Verarbeitung ist notwendig für die Erfüllung eines Vertrages, an dem die betroffene Person beteiligt ist, oder um auf Verlangen der betroffenen Person vor Abschluss eines Vertrages Massnahmen zu ergreifen.
  • Die Verarbeitung ist notwendig, um einer gesetzlichen Verpflichtung nachzukommen, der der Verantwortliche unterliegt.
  • Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse oder in Ausübung der dem Verantwortlichen übertragenen hoheitlichen Befugnisse durchgeführt wird.
  • Die Verarbeitung ist für die Zwecke der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, aufgehoben, insbesondere wenn die betroffene Person ein Kind ist.

 

Strenge Regeln gelten, wenn Zustimmung als rechtmässige Grundlage für die Verarbeitung verwendet wird:

  • Der Verantwortliche muss nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.
  • Wird die Einwilligung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, so ist der Antrag auf Einwilligung in klarer, verständlicher und leicht zugänglicher Form in klarer und verständlicher Sprache zu stellen.
  • Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf muss so einfach wie die Einwilligung sein.
  • Die Einwilligung muss ausdrücklich für die erhobenen Daten und die Verwendung der Daten erfolgen.
  • Die Einwilligung für Kinder muss vom Elternteil oder der Aufsichtsperson des Kindes erteilt und nachprüfbar sein.
  • Die Verantwortlichen müssen in der Lage sein, ihre "Einwilligung" nachzuweisen (Opt-in).

 

Auf absehbare Zeit ist es unwahrscheinlich, dass die Unternehmen über die notwendigen Genehmigungen verfügen, um Daten für Rechtsstreitigkeiten ausserhalb der EU zu übermitteln. Darüber hinaus ist eine Einwilligung nicht möglich, wenn der Betroffene nicht vollständig über den Zweck der Übermittlung informiert werden kann, z.B. bei internen Untersuchungen. Folglich müssen sich die Unternehmen auf eine der anderen Grundlagen für die rechtmässige Verarbeitung der Daten wie oben beschrieben verlassen.

 

Darüber hinaus hat die EU bei der Ausarbeitung der DSGVO spezielle Bestimmungen hinzugefügt, die deutlich machen, dass Unternehmen bei Rechtsstreitigkeiten in den Vereinigten Staaten und anderswo den Datenschutz in der EU respektieren müssen. Nach Artikel 48 kann "jede Entscheidung eines Gerichts und jede Entscheidung einer Verwaltungsbehörde eines Drittlandes, die die Übermittlung oder Offenlegung personenbezogener Daten verlangt, nur dann anerkannt oder vollstreckbar sein, wenn sie auf einem internationalen Abkommen, wie z.B. einem Rechtshilfeabkommen, beruht.....".

 

Da die meisten Mitgliedsstaaten keine Rechtshilfeabkommen mit den Vereinigten Staaten haben und selbst die bestehenden Abkommen oft nicht die vorprozessuale Beweisführung in den USA abdecken, stellt diese Bestimmung ein Hindernis für die Beweissammlung in den Vereinigten Staaten und anderswo dar.

 

Gründe für die Übermittlung personenbezogener Daten ausserhalb der EU

Unter der Annahme, dass ein Unternehmen über eine legitime Grundlage für die Verarbeitung der relevanten personenbezogenen Daten verfügt, scheinen die Artikel 46 und 49 DSGVO die nützlichsten Mechanismen zu bieten, die es Unternehmen ermöglichen, Daten zur Überprüfung von Dokumenten oder zur Unterstützung bei Rechtsstreitigkeiten ausserhalb der EU zu übermitteln. Datenübermittlungen auf der Grundlage einer Einwilligung sind zwar möglich, sie werden jedoch in Rechtsstreitigkeiten kaum hilfreich sein, da die Einwilligung der betroffenen Person und nicht des Unternehmens, das die Daten erhoben hat, eingeholt werden muss.

 

Die Standardvertragsklauseln der EU (Artikel 46 Absatz 3 Buchstabe a) eignen sich besonders gut für Datenübertragungen im Zusammenhang mit der Überprüfung von Dokumenten, bei denen eine Vielzahl von Anbietern, wie z. B. ein eDiscovery-Anbieter, ein Anbieter von Dokumentenprüfungen, Vertragsanwälte oder Anwaltskanzleien, Zugang zu den Daten benötigen. Wie oben erwähnt, dürfen Standardvertragsklauseln jedoch nur verwendet werden, wenn die Daten aus Gründen übermittelt werden, die nach der DSGVO als legitim angesehen werden. Auch die derzeit gültigen Standardvertragsklauseln erfüllen nicht alle Anforderungen der DSGVO für den Transfer zwischen Verantwortlichen und Verarbeitern, wie im Folgenden ausführlich erläutert. Bestehende Standardvertragsklauseln müssen daher ggf. an die DSGVO angepasst werden.

 

Im Gegensatz zu ihrem Vorgänger (der Richtlinie) legt die DSGVO zahlreiche Pflichten des Verbeiters fest, die in einem Vertrag mit dem Verantwortlichen oder in einem "anderen Rechtsakt nach dem Unionsrecht oder dem Recht der Mitgliedstaaten" (Artikel 28) festgelegt werden müssen. Die DSGVO ermächtigt die Europäische Kommission und die Aufsichtsbehörden (d.h. die Datenschutzbehörden der EU-Mitgliedstaaten), Standardvertragsklauseln zur Erfüllung dieser Anforderungen festzulegen. Soweit uns bekannt ist, hat bisher keiner von ihnen einen Entwurf für geänderte Standardvertragsklauseln vorgelegt.

 

Ein weiteres Mittel der Datenübermittlung ist die Begründung, Ausübung oder Abwehr von Rechtsansprüchen nach § 49 Abs. 1 Buchst. e DSGVO. Diese Bestimmung kann die beste Rechtfertigung für Datenübertragungen im Zusammenhang mit Rechtsstreitigkeiten, einschliesslich der vorgerichtlichen Beweisführung, bieten. Während diese Ausnahme nach der Richtlinie durch Rechtsvorschriften in einigen EU-Ländern begrenzt wurde, werden diese Ausnahmen nach der DSGVO begrenzter sein.

 

Artikel 49 Absatz 1 Buchstabe d DSGVO ermöglicht die Übermittlung von Daten aus wichtigen Gründen des öffentlichen Interesses. Dieser Ansatz unterstützt zwar nicht die Datenübermittlung im Zusammenhang mit zivilgerichtlichen Verfahren, kann aber für Strafverfolgungsersuchen und behördliche Ermittlungen gelten. Nach Artikel 49 Absatz 4 muss der "wichtige Grund" jedoch entweder von der EU oder von den Mitgliedstaaten anerkannt werden. Daher kann sich die Datenübermittlung im Rahmen dieser Bestimmung auf Situationen beschränken, die sowohl im öffentlichen Interesse der EU als auch der USA liegen, wie etwa die Bekämpfung der Geldwäsche oder der öffentlichen Gesundheit.

 

Wenn die oben genannten Möglichkeiten zur Übermittlung von Beweissicherungsdaten nicht zur Verfügung stehen, ermöglicht Artikel 49 Absatz 1 Nummer 2 eine begrenzte Übertragung einzelner Daten für zwingende berechtigte Interessen der übermittelnden Partei, wenn folgende Kriterien erfüllt sind:

 

  • Die Übertragung ist nicht wiederholend und betrifft nur eine begrenzte Anzahl von betroffenen Personen.
  • Die Übermittlung ist notwendig für zwingende, berechtigte Interessen der übermittelnden Stelle, die nicht durch die Interessen oder Rechte und Freiheiten der betroffenen Person ausser Kraft gesetzt werden.
  • Die übermittelnde Stelle hat alle Umstände der Datenübermittlung geprüft und geeignete Sicherheitsvorkehrungen getroffen.
  • Die zuständige Datenschutzbehörde wurde über die Übermittlung informiert.
  • Die betroffenen Personen wurden über die beabsichtigte Datenübermittlung informiert.

 

Unabhängig davon, auf welches Übermittlungsverfahren sich ein Unternehmen stützt, sollte die übermittelte Datenmenge das Minimum sein, um den Zweck zu erreichen, für den die Daten übermittelt werden, und es müssen weiterhin geeignete technische und organisatorische Verfahren zum Schutz der relevanten Daten eingerichtet werden. Die Antworten auf einen Beweisantrag oder eine Vorladung müssen so eingegrenzt werden, dass sie sich nur auf die Informationen und Treuhänder konzentrieren, die für das betreffende Thema unmittelbar relevant sind.

 

Überlegungen zur Auswahl eines Anbieters von Prozessunterstützungsdienstleistungen

Die DSGVO erlegt den Verarbeitern neben den Pflichten der Verantwortlichen auch unmittelbar gesetzliche Compliance-Verpflichtungen auf. Der Verarbeiter ist ausserdem verpflichtet, personenbezogene Daten gemäss den Anweisungen des Verantwortlichen zu verarbeiten. Infolgedessen werden Verantwortliche Verarbeiter benötigen, die viele der für den Verantwortlichen geltenden Anforderungen erfüllen müssen.

 

Darüber hinaus dürfen die Verantwortlichen nur solche Verarbeiter benennen, die ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Massnahmen bieten, um sicherzustellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht. Daher müssen viele Verantwortliche ihre bestehenden Vereinbarungen mit den Verarbeitern neu verhandeln, um diese Vereinbarungen mit der DSGVO in Einklang zu bringen.

 

Die Vereinbarung zwischen einem Verantwortlichen und dem Verarbeiter muss schriftlich erfolgen und umfasst die Dauer, Art und Zweck der Verarbeitung, die Art der verarbeiteten Daten sowie die Pflichten und Rechte des Verantwortlichen. Gemäss Artikel 28 Absatz 1 DSGVO muss der Verarbeiter im Rahmen der schriftlichen Vereinbarung zwischen einem Verantwortlichen und dem Verarbeiter Folgendes vereinbaren:

 

  • Nur nach den dokumentierten Anweisungen des Verantwortlichen handeln;
  • Verpflichtung aller Mitarbeitenden, die die relevanten Daten verarbeiten, zur Vertraulichkeit;
  • Gewährleistung der Sicherheit der von ihm verarbeiteten personenbezogenen Daten;
  • Beachtung der Anforderungen der DSGVO bezüglich der Bestellung von Unterverarbeitern;
  • Durchführung von Massnahmen zur Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten und der Rechte der betroffenen Personen;
  • Unterstützung des Verantwortlichen bei der Einholung von Genehmigungen durch die Datenschutzbehörden, falls erforderlich;
  • Nach Wahl des Verantwortlichen die personenbezogenen Daten am Ende der Beziehung zurückzugeben oder zu vernichten; und
  • Dem Verantwortlichen alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung der DSGVO nachzuweisen.

 

Bei der Auswahl eines Dienstleisters zur Prozessunterstützung, der mit dem Umgang mit EU-geschützten personenbezogenen Daten beauftragt ist, sollten Unternehmen die folgenden Überlegungen berücksichtigen:

 

Datenschutz durch Technikgestaltung (Data Protection by Design)

Nach Artikel 25 DSGVO ist der Datenschutz in die Entwicklung von Geschäftsprozessen für Produkte und Dienstleistungen einzubeziehen. Ein Datenverarbeiter muss geeignete technische und organisatorische Massnahmen ergreifen, die darauf ausgerichtet sind, die Datenschutzgrundsätze der DSGVO über den gesamten Verarbeitungszyklus hinweg umzusetzen. Dies setzt voraus, dass die Privatsphäre-Einstellungen standardmässig auf einem hohen Niveau eingestellt sind. Unter anderem sollte der Verarbeiter Massnahmen ergreifen, um sicherzustellen, dass standardmässig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind, und dass personenbezogene Daten nur dann verarbeitet werden, wenn dies für den jeweiligen Zweck erforderlich ist.

 

Sicherheit

Verarbeiter wie auch Verantwortliche sind verpflichtet, angemessene Sicherheits- und Organisationsmassnahmen zum Schutz personenbezogener Daten zu ergreifen. Welche Massnahmen als angemessen erachtet werden, hängt von einer Vielzahl von Faktoren ab, darunter die Art und Sensibilität der Daten, die Risiken für Personen, die mit einem Sicherheitsverstoss verbunden sind, die Kosten der Implementierung und die Art der Verarbeitung. Diese Massnahmen können bei der Arbeit mit anonymisierten oder redigierten Daten etwas lockerer sein. Gegebenenfalls ist auch eine regelmässige Überprüfung der Wirksamkeit von Sicherheitsmassnahmen erforderlich.

 

Datenschutzbeauftragter

Sowohl die Verantwortlichen als auch Verarbeiter sind verpflichtet, in bestimmten Situationen Datenschutzbeauftragte (DSB) zu benennen, auch dann, wenn die Datenverarbeitung eine regelmässige Überwachung der betroffenen Personen in grossem Umfang erfordert oder wenn die Kernaktivitäten der Verarbeitung grosse Mengen sensibler Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten umfassen. Die Hauptaufgabe des DSB besteht darin, den Verarbeiter bei der Einhaltung der DSGVO zu unterstützen. Der DSB sollte auf der Grundlage der Kenntnis der Datenschutzgesetze und -praktiken benannt werden. Der DSB muss über eine gewisse Unabhängigkeit verfügen und ist die Anlaufstelle für alle betroffenen Personen und die Aufsichtsbehörde.

 

Einschränkung der Unterverarbeitung

Damit ein Verarbeiter im Rahmen der DSGVO einen Unterauftrag erteilen kann, muss er die vorherige schriftliche Zustimmung des Verantwortlichen einholen. Während die DSGVO den Verantwortlichen ein hohes Mass an Kontrolle in Bezug auf die Fähigkeit des Verarbeiters, Unteraufträge zu vergeben, gibt, muss der Verarbeiter den Verantwortlichen über neue Unterprozessoren informieren und ihm Zeit zum Einspruch geben. Der Hauptdatenverarbeiter ist auch verpflichtet, die gleichen Vertragsbedingungen, die er mit dem Verantwortlichen hat, in jedem Untervertrag mit einem Unterauftragsverarbeiter zu reflektieren und bleibt dem Verantwortlichen gegenüber für die Handlungen oder Unterlassungen eines Unterauftragsverarbeiters haftbar.

 

Nachweis der Compliance

Der Verarbeiter muss die Einhaltung der DSGVO nachweisen können. Verarbeiter sind verpflichtet, über alle Arten von Verarbeitungstätigkeiten Buch zu führen. Dazu gehören Angaben über die Verantwortlichen und Unterauftragsverarbeiter von personenbezogenen Daten, DSBs, die Art der Verarbeitung, Angaben über etwaige Übermittlungen in Drittländer sowie eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen. Diese Aufzeichnungen sind der Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.

 

Übermittlung in Drittländer

Jede Übermittlung personenbezogener Daten, die zur Verarbeitung nach der Übermittlung in ein Drittland bestimmt sind, unterliegt besonderen Beschränkungen in Kapitel V der DSGVO. Ein Verantwortlicher oder Verarbeiter darf personenbezogene Daten nur dann in ein Drittland übermitteln, wenn der Verantwortliche oder Verarbeiter angemessene Garantien gegeben hat und wenn nach der Übermittlung durchsetzbare Rechte und wirksame Rechtsmittel für die betroffenen Personen zur Verfügung stehen. Dies ist ein Bereich, der in Verträgen zwischen Verantwortlichen und Verarbeitern geklärt werden sollte. Geeignete Schutzvorkehrungen können auf verschiedene Weise getroffen werden, unter anderem in Form von verbindlichen Unternehmensregeln oder Standardvertragsklauseln.

 

Verletzungen des Schutzes personenbezogener Daten

Nach der DSGVO ist der Verantwortliche verpflichtet, die Aufsichtsbehörde unverzüglich zu informieren. Die Meldung eines Datenverstosses unterliegt keinem De-minimis-Standard und muss der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Datenverstosses gemeldet werden (Artikel 33). Einzelpersonen müssen benachrichtigt werden, wenn eine nachteilige Auswirkung festgestellt wird (Artikel 34).

 

Schlussfolgerungen

Die DSGVO belastet und birgt erhebliche Risiken für Unternehmen, die in den USA und anderen Ländern ausserhalb der EU in Rechtsstreitigkeiten und Ermittlungen verwickelt sind. Die Beschränkungen der DSGVO in Bezug auf die Verwendung personenbezogener Daten und die Übermittlung personenbezogener Daten ausserhalb der EU sind sorgfältig zu beachten, um sicherzustellen, dass solche Verwendungen und Übertragungen sowohl zulässig als auch von minimalem Umfang sind. Es ist zusätzlich darauf zu achten, dass Drittanbieter, die zur Unterstützung bei Rechtsstreitigkeiten oder zur Überprüfung von Dokumenten ausserhalb der EU eingesetzt werden, die Verpflichtungen von Verarbeitern und Unterauftragnehmern nach der DSGVO einhalten.

 

Lawtechnologytoday.org; David M. Klein; 01./08.06.2018

http://www.lawtechnologytoday.org/2018/06/the-impact-of-the-gdpr-on-litigation-support-services-part-ii/

 

07/2018

2020 ist jetzt das vermutliche Umsetzungsjahr

Die grosse Kammer hat als Erstrat die Totalrevision des Datenschutzgesetzes und weiterer verwandter Erlasse an die Hand genommen und einen Grundsatzentscheid gefällt: Sie möchte die Vorlage teilen und zuerst die Anpassungen ans europäische Recht vornehmen.

 

Konkret geht es um die zu den Schengen-Verträgen gehörende EU-Richtlinie 2016/680, die innerhalb einer vorgegebenen Frist umgesetzt werden muss. Die Anpassung bildet die Voraussetzung dafür, dass die Europäische Kommission die Schweiz weiterhin als Drittstaat mit einem "angemessenen Datenschutzniveau" anerkennt.

 

Somit bliebe die grenzüberschreitende Datenübermittlung weiterhin möglich. Dies ist insbesondere für die Schweizer Wirtschaft von zentraler Bedeutung. Inhaltlich handelt es sich um den Schutz von Personendaten im Strafrecht.

 

Eine Aufteilung der Vorlage bringe viele Vorteile mit sich, sagte Kommissionssprecher Matthias Jauslin (FDP/AG). Mit diesem Vorgehen könne die Totalrevision des Datenschutzgesetzes ohne Zeitdruck angegangen werden. Nur so werde das Parlament der grossen Komplexität der Thematik gerecht.

 

Die Datenschutzorganisation Swiss Data Alliance und die Konferenz der schweizerischen Datenschutzbeauftragten (privatim) stützten im Vorfeld der Nationalratsdebatte dieses Vorgehen. Zuerst solle nur ein Gesetz für die öffentliche Hand geschaffen werden, bevor jenes für Privatpersonen angepasst werde.

 

Eine linke Minderheit um den Aargauer SP-Nationalrat Cédric Wermuth lehnte die Etappierung der Vorlage ab und wollte diese ursprünglich an die Kommission zurückweisen. Sie war der Ansicht, dass zwei kurz aufeinander folgende Revisionen des Datenschutzgesetzes für die betroffenen Akteure zu Mehraufwand und Rechtsunsicherheiten führen würden.

 

Den Rückweisungsantrag zog die Minderheit schliesslich zurück, weil dies das Gesetzgebungsverfahren zusätzlich verzögern würde. Wermuth setzte seine Hoffnung derweil in den Ständerat. Er erwarte, dass die kleine Kammer die Doppelspurigkeiten eliminiere und den Entwurf des Datenschutzgesetzes integral beraten wolle.

 

Nach der Grundsatzdebatte ging es im Nationalrat ruhiger zu. Die Anpassungen betreffend die Schengener Zusammenarbeit im Strafrechtsbereich waren weitgehend unbestritten. Dies schlug sich auch in der Gesamtabstimmung nieder: Die grosse Kammer nahm die Vorlage schliesslich mit 174 zu 5 Stimmen bei 2 Enthaltungen an.

 

Das dürfte bei der zweiten Etappe anders aussehen. "Viele Fragen sind noch offen", sagte Kommissionssprecher Jauslin. Diese würden derzeit in den vorberatenden Kommissionen der Räte diskutiert.

 

Das Ziel sei, die gesamte Revision bis Ende 2019 zu verabschieden. "Es geht um Ihre Daten, das betrifft uns alle", sagte Jauslin, während er mit der 241 Seiten dicken Gesetzesfahne hantierte.

 

Der Bundesrat will das Datenschutzgesetz den technologischen und gesellschaftlichen Entwicklungen anpassen. Das heutige Datenschutzgesetz stammt aus dem Jahr 1993, als das Internet noch in den Kinderschuhen steckte.

 

Die Bürgerinnen und Bürger in der Schweiz sollen mit der Totalrevision einen besseren Schutz ihrer Daten erhalten: Unternehmen, die Daten erheben, sollen die betroffenen Personen künftig über die Erhebung informieren müssen.

 

Zudem soll der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) gestärkt und unabhängiger werden. Derzeit kann er gegenüber Unternehmen lediglich Empfehlungen abgeben. Neu soll er von Amtes wegen oder auf Anzeige hin eine Untersuchung eröffnen können. Bei Bedarf soll er auch vorsorgliche Massnahmen veranlassen und bei Abschluss der Untersuchung eine Verfügung erlassen können. Für Sanktionen wären jedoch weiterhin die Gerichte zuständig. Der Höchstbetrag der Bussen soll künftig bei 250'000 Franken liegen.

 

Justizministerin Simonetta Sommaruga zeigte sich bei der Vorstellung des Entwurfs im Nationalrat überzeugt, dass mit dem neuen Gesetz die Daten der Bürgerinnen und Bürger besser geschützt und die Kontrollmöglichkeiten über die Daten verbessert werden.

 

Die vom Nationalrat vorgeschlagene Etappierung der Vorlage kommentierte Sommaruga nicht ausführlich. Sie bezweifle aber, dass dadurch die Arbeit des Parlaments vereinfacht werde. "Ich weiss nicht, ob Sie sich damit wirklich einen Dienst erweisen." Das Geschäft geht nun an den Ständerat, der sich in der Herbstsession damit befassen wird.

 

Sda.ch; 12. Juni 2018

https://www.parlament.ch/de/services/news/Seiten/2018/20180612110836523194158159041_bsd096.aspx

 

07/2018

Eine Handreichung des Landesbeauftragten für Datenschutz Brandenburg

Was sind Informationspflichten und wann muss ich ihnen nachkommen?

 

Die Informationspflichten nach Art. 13 und Art. 14 DS-GVO verpflichten Sie als Verantwortlichen dazu, den betroffenen Personen, also beispielsweise Ihren Kunden/Patienten etc., Informationen über die sie betreffende Verarbeitung ihrer personenbezogenen Daten zu geben. Nur wenn die betroffene Person weiss, dass ihre personenbezogenen Daten bei Ihnen verarbeitet werden, hat sie die Möglichkeit, ihre Rechte, insbesondere ihr Auskunftsrecht nach Art. 15 DS-GVO, Ihnen gegenüber geltend zu machen.

 

Es gibt zwei Wege, wie Sie als Verantwortlicher Daten von betroffenen Personen erhalten können. Zum einen gibt es die Direkterhebung der personenbezogenen Daten bei der betroffenen Person selbst (Art. 13 DS-GVO). Zum anderen können die personenbezogenen Daten der betroffenen Person bei einem Dritten erhoben werden (Art. 14 DS-GVO). Dies nennt man Dritterhebung.

 

In beiden Fällen müssen Sie der betroffenen Person sämtliche in Art. 13 Abs. 1 DS-GVO bzw. 14 Abs. 1 DS-GVO aufgelisteten Informationen mitteilen. Davon sind unter anderem Ihr Name und Ihre Kontaktdaten als Verantwortlicher, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten und die Zwecke und Rechtsgrundlage(n) für die Verarbeitung umfasst. Darüber hinaus müssen Sie die in Art. 13 Abs. 2 DS-GVO bzw. 14 Abs. 2 DS-GVO genannten Informationen zur Verfügung stellen, damit eine faire und transparente Verarbeitung der Daten gewährleistet wird. Dabei handelt es sich unter anderem um die Speicherdauer der personenbezogenen Daten und den Hinweis an die betroffene Person, dass sie ein Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs,- Widerspruchs,- und Datenübertragbarkeitsrecht gegenüber dem Verantwortlichen, also Ihnen, hat. Bei der Direkterhebung (Art. 13 DS-GVO) müssen Sie der betroffenen Person die gesetzlichen Informationen zum Zeitpunkt der Erhebung der Daten mitteilen bzw. zur Verfügung stellen. Wie dies in der Praxis ausgestaltet werden kann, siehe unten Nr. 2).

 

Bei der Dritterhebung (Art. 14 DS-GVO) werden die Daten der betroffenen Person ohne deren Kenntnis bei einem Dritten erhoben. Es ist daher nicht möglich, die betroffene Person in diesem Moment zu informieren. Daher sind Sie als Verantwortlicher verpflichtet, der betroffenen Person spätestens innerhalb eines Monats nach Erhebung der Daten beim Dritten die in Art. 14 Abs. 1 und 2 DS-GVO geforderten Informationen mitzuteilen bzw. zur Verfügung zu stellen. Falls die Daten zur Kommunikation mit der betroffenen Person selbst verwendet werden oder falls eine Offenlegung der Daten an einen anderen Empfänger beabsichtigt ist, müssen die Informationen spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung erteilt werden.

 

Ausnahmen von den Informationspflichten sind gegebenenfalls unter Berücksichtigung anderer anwendbarer Gesetze möglich.

 

2) Muss ich die betroffene Person schriftlich informieren oder reicht ein Verweis auf meine Webseite, auf der ich die Informationen bereitstelle?

Die DS-GVO schreibt keine bestimmte Form für die Informationspflichten vor. Die Informationen sind der betroffenen Person gemäss Art. 12 Abs. 1 DS-GVO in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, zu übermitteln. Falls es von der betroffenen Person verlangt wird, können die Informationen auch mündlich erteilt werden.

 

Unabhängig von der Form müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.

 

Grundsätzlich sollten die Informationen, wenn möglich, mit dem gleichen Medium übermittelt werden, mit dem die Kommunikation mit der betroffenen Person geführt wird. In der Offline-Kommunikation, also per Brief, Fax, Telefonat oder bei persönlicher Anwesenheit des Kunden/ Patienten etc., würde das allerdings dazu führen, dass mehrseitige Informationsblätter mitgeschickt bzw. ausgehändigt werden oder die betroffene Person (beim Telefonat) auf Verlangen ausführlich mündlich informiert werden muss. In diesem Zusammenhang sei auf das Working Paper 260 der Art.-29-Gruppe hingewiesen, dass eine Vereinfachung für die Praxis vorschlägt. Danach ist es denkbar, dass die Informationserteilung abgeschichtet und mittels verschiedener Medien erfolgen kann.

 

Dieser „Medienbruch“ kann so ausgestaltet werden, dass die erste „Informationsschicht“ mit den wichtigsten Informationen mittels Brief/Fax, Telefonat oder in Anwesenheit der betroffenen Person mitgeteilt wird.

 

In der ersten „Informationsschicht“ sollten daher die (detaillierten) Zwecke der Verarbeitung, die Identität des Verantwortlichen, eine Beschreibung der Rechte der betroffenen Person und die Verarbeitung, die sich am stärksten auf die betroffene Person auswirkt sowie die Verarbeitung, die überraschend sein könnte, genannt werden. Ausserdem sollte die betroffene Person der ersten „Informationsschicht“ entnehmen können, welche Folgen die Verarbeitung für sie hat. Auch durch dieses gestaffelte Verfahren erfüllen Sie als Verantwortlicher Ihre Informationspflicht.

 

Ob Sie als Verantwortlicher von der Abschichtung der Informationspflichten Gebrauch machen möchten oder ob Sie die Informationen gebündelt mittels eines einzigen Mediums übermitteln, liegt in Ihrem Ermessen. Ein alleiniger Hinweis nur auf Ihre Webseite, ohne dass Sie zumindest die wichtigsten Informationen vorab mittels des gewählten Kommunikationsmediums mitteilen, genügt in der Offline-Kommunikation allerdings nicht.

 

Praxisbeispiele

 

Bei der Kommunikation per Brief oder Fax können die weitergehenden Informationen (zweite „Informationsschicht“) dann z.B. durch Abrufen eines Links und/oder Scannen eines QRCodes, die auf eine Webseite mit den vollständigen Informationen nach Art. 13 und 14 DSGVO führen, übermittelt werden. Der Link und/oder QR-Code können auf den Brief/das Fax gedruckt werden oder per E-Mail nachgeschickt werden.

 

Bei einem Telefonat (z.B. einem Verkaufs-, Beratungsgespräch) können der betroffenen Person die weitergehenden Informationen im Anschluss an das Telefonat zugesendet werden. Dies kann per Brief/Fax oder E-Mail geschehen, die jeweils einen Link und/oder QR-Code mit Weiterleitung auf die entsprechende Webseite mit den vollständigen Informationen enthalten.

 

In Anwesenheit der betroffenen Person (z.B. bei einem Beratungsgespräch oder einem Arztbesuch) können Sie Ihre Informationspflichten dadurch erfüllen, dass Sie oder Ihre Mitarbeiter die Kunden/Patienten etc. zwingend aktiv auf einen ausliegenden Flyer hinweisen, auf dem die wichtigsten Informationen als Kurzfassung abgedruckt sind. Für die weitergehenden Informationen kann dann wieder mittels Link und/oder QR-Code auf die Webseite mit den vollständigen Informationen verwiesen werden. Wir empfehlen, dass es einen eigenen Flyer allein für die Kurzfassung der Informationen gibt, damit diese für die betroffene Person leicht auffindbar sind. Als Standort bietet sich der Empfangstresen an, den die betroffene Person passieren muss und an dem sie von Ihnen oder Ihren Mitarbeitern angesprochen werden kann.

 

Zusätzlich zum Flyer ist es erforderlich, dass es dem Patienten/Kunden in Ihrer Praxis/in Ihren Räumen als Dienstleister ausserdem möglich ist, die vollständigen Informationen ohne Internetzugang abzurufen. Wie dies konkret ausgestaltet wird, ist Ihnen überlassen. Denkbar wären beispielsweise ein Aushang mit den vollständigen Informationen oder ausliegende Informationsblätter.

 

Sollte sich der erste Kontakt per Telefon oder persönlicher Vorsprache darauf beschränken, dass die betroffene Person lediglich einen Termin vereinbaren möchte, so müssen die Informationen nach Art. 13 und 14 DS-GVO zu diesem Zeitpunkt noch nicht mitgeteilt bzw. zur Verfügung gestellt werden. Es genügt, wenn Sie den Kunden, Patienten etc. entsprechend informieren, wenn er zum Termin erscheint.

 

In der Online-Kommunikation, also beispielsweise per E-Mail, können die Informationspflichten dadurch erfüllt werden, dass Sie in der E-Mail einen gut sichtbaren Link setzen, der auf Ihre Webseite verweist, auf der Sie die vollständigen, nach Art. 13 und 14 DS-GVO notwendigen Informationen, wie die personenbezogenen Daten der betroffenen Person im Rahmen Ihrer konkreten Tätigkeit (Beratung, Arztbesuch etc.) verarbeitet werden, darstellen.

 

Falls die Kontaktaufnahme mit Ihren Kunden/Patienten etc. dadurch entsteht, dass diese eine Online-Maske ausfüllen, so muss auch hier ein gut auffindbarer Link gesetzt werden, der zu einer Seite mit den vollständigen Informationen über die betreffende Verarbeitung führt. Auch hier gilt aber, dass bei einer ausschliesslichen Kommunikation zur Terminvereinbarung die Informationspflichten zu diesem Zeitpunkt noch nicht erfüllt werden müssen.

 

3) Muss ich nachweisen, dass ich die Informationspflichten erfüllt habe?

Ja, Sie als Verantwortlicher müssen nachweisen, dass Sie die Informationspflichten eingehalten haben, Art. 5 Abs. 1 lit. a, Abs. 2 DS-GVO. Am sichersten wäre es, sich den Erhalt der Informationen von der betroffenen Person per Unterschrift bestätigen zu lassen. Allerdings kann dies in der Praxis sehr umständlich sein. Sie als Verantwortlicher können die konkrete Ausgestaltung der Nachweise selbst festlegen. Wir empfehlen, die Erfüllung der Informationspflichten schriftlich zu dokumentieren bzw. zu verakten, um sich vor Auseinandersetzungen zu schützen. Mögliche Varianten sind unten aufgelistet.

 

Praxisbeispiele

 

In der schriftlichen Kommunikation (E-Mail, Fax, Brief) ist der Nachweis der Informationspflichten durch den Sendebericht oder eine Kopie des Ausgangsschreibens möglich.

 

In der mündlichen Kommunikation per Telefon kann per Telefonvermerk oder Eintrag im elektronischen System zu der betroffenen Person nachgewiesen werden, dass die wichtigsten Informationen übermittelt und auf die Webseite mit den vollständigen Informationen hingewiesen wurde. Hierbei geht es nicht um die telefonische Terminvergabe, siehe oben.

 

In Anwesenheit der betroffenen Person kann ebenfalls durch Eintrag nachgewiesen werden, dass die betroffene Person aktiv aufgefordert worden ist, sich den Flyer zu nehmen und dass dieser die Möglichkeit gegeben wurde, die vollständigen, auch in der Praxis/den Räumen des Verantwortlichen als Dienstleister ausliegenden Informationen zur Kenntnis zu nehmen bzw. dass auf die Webseite hingewiesen wurde. Ob der Eintrag elektronisch durch Setzen eines Hakens im Verwaltungssystem oder durch Stempel in der Papierakte, beispielsweise Patientenakte, vollzogen wird, entscheiden Sie. Die Informations- und damit die Nachweispflicht entsteht nicht, wenn die betroffene Person lediglich vorbeikommt, um persönlich einen Termin zu vereinbaren, siehe oben.

 

Durch standardisiert ablaufende Prozesse oder eine allgemeine Übung in Ihrem Unternehmen wird die Erfüllung der neuen Informations- und Dokumentationspflichten für Sie und Ihre Mitarbeiter allmählich zur Routine werden. Durch immer gleich ablaufende Arbeitsschritte im ersten Kontakt mit Ihrem Kunden/Patienten minimieren Sie das Risiko, diese Pflichten zu vergessen und damit einen Verstoss gegen die DS-GVO zu begehen. Auch Schulungen bzw. regelmässige Kontrollen Ihrer Mitarbeiter tragen dazu bei, ein höheres Bewusstsein für die Bedeutung der Informations- und Dokumentationspflichten zu schaffen.

 

4) Wer muss die Informationspflichten erfüllen, wenn es sich um gemeinsame Verantwortliche i. S. d. Art. 26 DS-GVO handelt?

Eine gemeinsame Verantwortlichkeit zweier oder mehrerer Verantwortlicher liegt vor, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dies unterscheidet sie von der Auftragsverarbeitung nach Art. 28 DS-GVO. Die gemeinsam Verantwortlichen müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtungen aus der DS-GVO erfüllt. Hierbei muss auch geregelt werden, wer welchen Informationspflichten aus Art. 13 und 14 DS-GVO nachkommt. Dies zu bestimmen bleibt den gemeinsam Verantwortlichen selbst überlassen. Insofern können Sie als Verantwortlicher sich mit Ihrem/Ihren ebenfalls verantwortlichen Partner(n) absprechen. Bitte beachten Sie, dass das Wesentliche dieser Vereinbarung der betroffenen Person zur Verfügung gestellt werden muss.

 

Lda.brandenburg.de; 18.06.2018

https://www.lda.brandenburg.de/media_fast/4055/Infoblatt_Informationspflichten.pdf

 

07/2018

Ob Datenschutzrichtlinie, Datenschutzgesetz 2000, Datenschutz-Grundverordnung, DSRL-JI, das DSG 2018 oder die letzten veröffentlichten Stellungnahmen der Art-29-Datenschutzgruppe zur DSGVO: Das ”Handbuch Datenschutzrecht“ bietet einen umfassenden Überblick über das gesamte geltende Datenschutzrecht. Es unterstützt Sie dabei, die Gemeinsamkeiten und Unterschiede zur neuen DSGVO auszumachen und zu erkennen, ob und inwieweit Anpassungen bei der Umstellung auf die DSGVO vorgenommen werden müssen.

 

Autor: Ekkehard Diregger

ISBN-10: 3707338312

07/2018

und des neuen Bundesdatenschutzgesetzes für Unternehmen (KMU)


Dieses Buch gibt Unternehmen eine praxisbezogene Anleitung zur Umsetzung des neuen europäischen Datenschutzrechts. So unterschiedlich wie die jeweiligen Formen der Zusammenarbeit von Unternehmen sind, so vielfältig sind auch die zu klärenden Detailfragen in den jeweiligen Arbeitsprozessen.

 

Autor: Brigitte Batke-Spitzer

ISBN-10: 3955543668

Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen des TMG und TKG

 

Autoren: Kai-Uwe Plath, Thomas Becker, Patrick von Braunmühl, Axel Freiherr von dem Bussche, Jan-Michael Grages, Nils Hullen, Valerian Jenny, Wulf Kamlah, Niclas Krohm, Michael Kuhnke, Jan Dirk Roggenkamp, Lutz Schreiber, Katrin Stamer, Jörn Wittmann

ISBN-10: 3504560754

06/2018

Datenschutzrecht wird der EU-Datenschutzgrundverordnung angepasst

Die Regierung hat an ihrer Sitzung vom 8. Mai den Bericht und Antrag betreffend die Totalrevision des Datenschutzgesetzes zuhanden des Landtags verabschiedet. Ziel der Gesetzesvorlage ist es, das liechtensteinische Datenschutzrecht an die neue europäische Datenschutzgrundverordnung anzupassen.

 

Die europäische Datenschutzgrundverordnung wird in der EU am 25. Mai 2018 verpflichtend anwendbar. Die EU hat diese mit der Intention erarbeitet, sichere Rahmenbedingungen für das digitale Zeitalter zu schaffen. Durch die EWR-Mitgliedschaft ist die Verordnung auch in Liechtenstein anzuwenden. Ab voraussichtlich Juli 2018 – nach deren Übernahme in das EWR-Abkommen – wird die Datenschutzgrundverordnung auch für Liechtenstein unmittelbar gelten.

 

"Für Liechtenstein als starken Wirtschaftsstandort und Teil des Binnenmarkts sind zeitgemässe Datenschutzbestimmungen von hoher Bedeutung", so Justizministerin Aurelia Frick. "Durch den neuen Rechtsrahmen erhalten einerseits die Bürgerinnen und Bürger eine bessere Kontrolle über ihre Daten, andererseits profitieren Unternehmen von der Wettbewerbsgleichheit in Europa." Um den spezifischen Gegebenheiten des Landes zu entsprechen, wird die Europäische Datenschutzgrundverordnung in Liechtenstein mit nationalen Regeln ergänzt. "Die Regierung hat bei der Revision des Datenschutzgesetzes den ihr zur Verfügung stehenden Spielraum bestmöglich genutzt, um die Anliegen unseres Wirtschaftsstandorts optimal umzusetzen", sagt Aurelia Frick. Zudem seien spezifisch liechtensteinische Bedürfnisse in die Gesetzesvorlage mit eingeflossen – wie zum Beispiel der Wunsch, die Ahnenforschung weiterführen zu können.

 

Der neue nationale Datenschutz-Rechtsrahmen wird voraussichtlich Ende 2018 in Kraft treten. Das bedeutet, dass zwischen der Übernahme der Datenschutzgrundverordnung in den EWR im Juli und dem Inkrafttreten der neuen nationalen Datenschutzregeln einige Monate liegen werden. Um entsprechende Probleme und "Lücken" in der Übergangszeit zu vermeiden, soll das aktuell geltende Datenschutzgesetz schnellstmöglich mit einzelnen Bestimmungen ergänzt werden. Dabei geht es vor allem um die Kompetenzen der Datenschutzstelle in Bezug auf die Datenschutzgrundverordnung. So wird zum Beispiel die gesetzliche Grundlage geschaffen, damit die Datenschutzstelle ab Übernahme der Verordnung in das EWR-Abkommen am Europäischen Datenschutzausschuss teilnehmen und als federführende Aufsichtsbehörde tätig sein kann.

 

Aufgrund der Übernahme der Datenschutzgrundverordnung wird nicht nur das Datenschutzgesetz einer Totalrevision unterzogen; der neue Rechtsrahmen erfordert auch die Anpassung von rund 120 Spezialgesetzen.

 

Presseportal.ch; ots/ikr; 08.05.2018

https://www.presseportal.ch/de/pm/100000148/100815360

 

06/2018

Im Rahmen der sich entwickelnden ergänzenden Vorgaben zur Umsetzung der DSGVO bzw. der Ausnutzung der verschiedenen Öffnungsklauseln führen wir nachfolgend eine leicht redigierte Liste aus dem deutschen Bundesland Baden-Württemberg auf, die die für gewisse Verarbeitungsvorgänge im nicht-öffentlichen Bereich zwingend durch den Verantwortlichen (Controller) durchzuführenden Datenschutz-Folgenabschätzungen aufzeigt. Es zeigt sich bereits jetzt, dass selbst innerhalb eines Landes (Deutschland) sich diese Listen mehr oder weniger stark voneinander unterscheiden bzw. Nationen individuell diesbezüglich andere Anforderungen haben. Ebenso ist davon auszugehen, dass sich diese Vorgaben national weiterentwickeln und/oder ändern werden und es deshalb ratsam ist, sich der anzuwendenden nationalen und EU-weiten relevanten Gesetzgebung bewusst zu und diese entsprechend anzuwenden.

 

A Gesetzliche Grundlage

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (EU-Datenschutz-Grundverordnung – DS-GVO) regelt im Abschnitt 3 „Datenschutz-Folgenabschätzung und vorherige Konsultation“ des Kapitels IV „Verantwortlicher und Auftragverarbeiter“ die Rahmenbedingungen zur sog. Datenschutz-Folgenabschätzung (kurz: DSFA; im Englischen Data Protection Impact Assessment oder DPIA). Artikel 35 DS-GVO nennt dabei die Grundsätze, bei welchen Fällen eine DSFA durchzuführen ist und was diese enthält. Artikel 36 DS-GVO beschreibt das besondere Verfahren der Konsultation des Verantwortlichen bei der Aufsichtsbehörde bei Fortbestehen hoher Risiken auch nach Anwendung der auf Grundlage der DSFA festgelegten verhältnismäßigen technischen und organisatorischen Maßnahmen.

Grundlage dieses Dokuments ist Art. 35 Abs. 4 DS-GVO:

„Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.“

Die vorliegende Liste beinhaltet ausschließlich Verarbeitungsvorgänge aus dem nicht-öffentlichen Bereich, darunter auch solche, die mit dem Angebot von Waren und Dienstleistungen für betroffene Personen in mehreren Mitgliedsstaaten verbunden sind. Sie unterliegt daher aufgrund von Art. 35 Abs. 6 DS-GVO dem Kohärenzverfahren gemäß Art. 63 DS-GVO.

Führt ein Verantwortlicher Verarbeitungsvorgänge aus, die in Art. 35 Abs. 3 DS-GVO oder der vorliegenden Liste aufgeführt sind, ohne vorab eine DSFA durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DS-GVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DS-GVO einschließlich der Verhängung von Geldbußen gemäß Art. 83 Abs. 4 DS-GVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DS-GVO offen.

Die in dem Dokument dargestellte Liste wird nachfolgend als „Muss-Liste“ bezeichnet – gängige Begriffe in anderen Ländern sind hierfür auch „Blacklist“ und „Positivliste“.

 

B Ziel dieses Dokuments

Ziel des Dokuments ist es, einen Entwurf für die Liste nach Art. 35 Abs. 4 DS-GVO zu entwickeln, der auch auf europäischer Ebene diskutiert und nach Art. 35 Abs. 6 DS-GVO im Kohärenzverfahren gemäß Art. 63 DS-GVO behandelt werden kann, sofern die Bedingungen hierzu erfüllt sind. Berücksichtigt werden bisherige Veröffentlichungen von anderen Aufsichtsbehörden und Fachgremien, insbesondere das Working Paper 248 rev.01 „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt““ der Art. 29 Datenschutzgruppe sowie die umfangreichen internen Kommentierungen im Rahmen der UAG DSFA.


Das Dokument hat nicht den Anspruch der Vollständigkeit, wenngleich versucht wird, möglichst viele der DSFA-pflichtigen Verarbeitungsvorgänge zu berücksichtigen. Auf Grund der Schnelllebigkeit im digitalen Umfeld kann dieses Dokument nur als „lebendiges“ Papier angesehen werden, das ständigen Änderungskontrollen hinsichtlich der Aufnahme neuer Verarbeitungen in die Liste der Verarbeitungsvorgänge unterliegt. Die DSK wird hierfür einen Prozess erarbeiten, wie Verarbeitungstätigkeiten für die Muss-Liste vorschlagen, beurteilt und aufgenommen werden. Änderungen an Einträgen der Muss-Liste werden dokumentiert, so dass die Muss-Liste eine entsprechende Versionshistorie erhalten wird.

 

Wichtiger Hinweis:

Wird die Verarbeitungstätigkeit eines Verantwortlichen in der vorliegenden Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen wäre. Stattdessen ist es Aufgabe des  Verantwortlichen, im Wege einer Vorabprüfung einzuschätzen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist und damit die Voraussetzungen des Art. 35 Abs. 1 Satz 1 DS-GVO erfüllt. Zum Begriff des Risikos wird auf die Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (WP 248 Rev. 01 17/DE angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017) der Art. 29 Datenschutzgruppe und das Kurzpapier Nr. 18 „Risiken für die Rechte und Freiheiten natürlicher Personen“ der DSK verwiesen.

 

C Liste nach Art. 35 Abs. 4 DS-GVO

Maßgebliche Kriterien zur Einordnung von Verarbeitungsvorgängen sind in der Leitlinie in WP 248 der Art. 29 Gruppe ab Seite 10 ff. wie folgt zu entnehmen:

  1. Bewerten oder Einstufen (Scoring) (“Evaluation or scoring”)
  2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung (“Automated-decision making with legal or similar significant effect”)
  3. Systematische Überwachung (“Systematic monitoring”)
  4. Vertrauliche oder höchst persönliche Daten (“Sensitive data or data of a highly personal nature”)
  5. Datenverarbeitung in großem Umfang (“Data processed on a large scale”)
  6. Abgleichen oder Zusammenführen von Datensätzen (“Matching or combining datasets”)
  7. Daten zu schutzbedürftigen Betroffenen (“Data concerning vulnerable data subjects”)
  8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (“Innovative use or applying new technological or organisational solutions“)
  9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert (“When the processing in itself prevents data subjects from exercising a right or using a service or a contract”)

Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, so ist vielfach ein hohes Risiko gegeben und eine DSFA durch den Verantwortlichen durchzuführen. In wenigen Einzelfällen mag es jedoch auch vorkommen, dass nur eines der genannten Kriterien erfüllt wird und dennoch auf Grund eines hohen Risikos des Verarbeitungsvorgangs eine DSFA notwendig wird.

Das Ergebnis der Vorabprüfung und die zugrunde gelegten Einschätzungen der im Zuge der Verarbeitungstätigkeit möglicherweise auftretenden Schäden sowie die resultierende Schwere und Eintrittswahrscheinlichkeit der Risiken sind zu dokumentieren.

 

Nachfolgend die NICHT abschliessende veröffentlichte Liste:

 

1 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DS-GVO handelt.

 

Typisches Einsatzfeld

Betrieb eines Insolvenzverzeichnisses

Beispiel: Ein Unternehmen bietet ein umfassendes Verzeichnis über Privatinsolvenzen an

 

Typisches Einsatzfeld

Sozialleistungsträger

 

Typisches Einsatzfeld

Große Anwaltssozietät

 

2 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Umfangreiche Verarbeitung von Daten über den Aufenthalt von Personen

 

Typisches Einsatzfeld

Fahrzeugdatenverarbeitung – Car Sharing / Mobilitätsdienste

Beispiel: Ein Unternehmen bietet einen Car-Sharing-Dienst oder andere Mobilitätsdienstleistungen an und verarbeitet hierfür insbesondere umfangreich Positions- und Abrechnungsdaten

 

Typisches Einsatzfeld

Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren

Beispiel: Ein Unternehmen erhebt Daten, die Fahrzeuge über ihre Umgebung generieren und ermittelt daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren

 

Typisches Einsatzfeld

Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.

 

Beispiel: Ein Unternehmen verarbeitet die GPS- und WLAN-Daten von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können.

 

Typische Einsatzfelder

Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes

 

3 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern: die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden, die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können.

 

Typisches Einsatzfeld

Fraud-Prevention-Systeme

 

Beispiel: Zur Prävention von Betrugsfällen verarbeitet der Betreiber eines Online-Shops umfassende Datenmengen. Das Ergebnis der Prüfung ist ein Risikowert, der darüber entscheidet, ob einem Käufer der Rechnungskauf als Zahlungsart angeboten wird oder nicht.

 

Typische Einsatzfelder

Scoring durch Auskunfteien, Banken oder Versicherungen

 

Beispiel: Eine Auskunftei führt ein Scoring im Hinblick auf die Vertrauenswürdigkeit von Personen durch. Eine Bank führt Scoring durch, um das Ausfallrisiko der Rückzahlungen von Personen zu bestimmen. Eine Versicherung führt ein Scoring durch, um das Risiko einer Person im Hinblick auf bestimmte Eigenschaften oder Aktivitäten der Person zur Bestimmung der Höhe einer Versicherungspolice zu bestimmen.

 

4 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und 10 DSGVO durch Auftragsverarbeiter, denen von einem Gericht oder einer Verwaltungsbehörde eines Drittlands die Pflicht auferlegt werden kann, diese Daten entgegen Art. 48 DSGVO zu exportieren oder offenzulegen

 

Typisches Einsatzfeld

Einsatz von Dienstleistern mit Sitz außerhalb der EU durch pädagogische Einrichtungen

 

Beispiel: Datenverarbeitung von personenbezogenen Schülerdaten gemäß Art. 9 Abs.1 DS-GVO in einer öffentlichen Cloud (z. B. in einem digitalen Klassenbuch – Dokumentation von Fehlzeiten, Entschuldigungen oder anderen Dokumentationen).

 

Typisches Einsatzfeld

Einsatz von Dienstleistern mit Sitz außerhalb der EU durch medizinische Leistungserbringer

 

5 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Mobile und für die betroffenen Personen intransparente opto-elektronische Erfassung öffentlicher Bereiche

 

Typisches Einsatzfeld

Fahrzeugdatenverarbeitung – Umgebungssensoren

 

Beispiel: Ein Unternehmen erhebt Daten, die Fahrzeuge über ihre Umgebung generieren und ermittelt daraus beispielsweise freie Parkplätze oder verbessert Algorithmen zum automatisierten Fahren

  

6 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

 

Typisches Einsatzfeld

Betrieb von Bewertungsportalen

 

Beispiel: Ein Online-Portal bietet Nutzenden die Möglichkeit an, Leistungen von Selbstständigen öffentlich feingranular zu bewerten. Online-Bewertungsportal bspw. für Ärzte, Selbstständige oder Lehrer.

 

Typisches Einsatzfeld

Inkassodienstleistungen – Forderungsmanagement

 

Beispiel: Ein Unternehmen verarbeitet für seine Kundschaft in großem Umfang personenbezogene Daten von Schuldnern, insbesondere Vertragsdaten, Rechnungsdaten und Daten über Vermögensverhältnisse von Schuldnern zur Geltendmachung von Forderungen. Ggf. werden Daten an Auskunfteien übermittelt

 

Typisches Einsatzfeld

Inkassodienstleistungen – Factoring

 

Beispiel: Ein Unternehmen lässt sich in großem Umfang Forderungen übertragen um diese auf eigenes Risiko geltend zu machen. Es verarbeitet hierfür insbesondere Vertragsdaten, Rechnungsdaten, Scoring-Daten und Informationen über Vermögensverhältnisse von Schuldnern. Ggf. werden Daten an Auskunfteien übermittelt.

 

7 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die betroffenen Personen ergeben, oder diese in andere Weise erheblich beeinträchtigen

 

Typisches Einsatzfeld

Einsatz von Data-Loss-Prevention Systemen, die systematische Profile der Beschäftigten erzeugen

 

Beispiel: Zentrale Aufzeichnung des Internetverlaufs und der Aktivitäten am Arbeitsplatz mit dem Ziel, von Seiten des Verantwortlichen unerwünschtes Verhalten (z.B. Versand interner Dokumente) zu erkennen.

 

Typisches Einsatzfeld

Geolokalisierung von Beschäftigten

 

Beispiel: Ein Unternehmen lässt Bewegungsprofile von Beschäftigten erstellen (per RFID, Handy-Ortung oder GPS) zur Sicherung des Personals (Wachpersonal, Feuerwehrleute), zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten (LKW mit Ladung, Geldtransport) oder zur Koordination von Arbeitseinsätzen im Außendienst.

 

8 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der betroffenen Personen

 

Typisches Einsatzfeld

Betrieb von Dating- und Kontaktportalen

 

Beispiel: Ein Webportal erstellt Profile der Nutzenden, um möglichst passende Kontaktvorschläge zu generieren.

 

Typisches Einsatzfeld

Betrieb von großen sozialen Netzwerken

 

9 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern: die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden, die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen

 

Typisches Einsatzfeld

Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden

 

Beispiel: Eine Unternehmen mit umfangreichem Stamm an natürlichen Personen als Kundinnen und Kunden analysiert Daten über deren Kaufverhalten und die Nutzung der eigenen Webangebote einschließlich des eigenen Webshops, verknüpft mit Bonitätsdaten von dritter Seite und Daten aus der Werbeansprache über soziale Medien einschließlich der vom Betreiber des sozialen Medium bereitgestellten Daten über die angesprochenen Mitglieder, um Informationen zu gewinnen, die zur Steigerung des Umsatzes eingesetzt werden können.

 

10 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den betroffenen Personen oder zur Bewertung persönlicher Aspekte der betroffenen Personen

 

Typisches Einsatzfeld

Telefongespräch-Auswertung mittels Algorithmen

 

Beispiel: Ein Callcenter wertet automatisiert die Stimmungslage der Anrufenden aus

 

11 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der betroffenen Personen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum

 

Typisches Einsatzfeld

Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.

 

Beispiel: Ein Unternehmen verarbeitet die GPS- und WLAN-Daten von Passantinnen/Passanten und Kundinnen/Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können.

 

Typisches Einsatzfeld

Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes

 

12 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der betroffenen Personen

 

Typisches Einsatzfeld

Telefongespräch-Auswertung mittels Algorithmen

 

Beispiel: Ein Callcenter wertet automatisiert die Stimmungslage der Anrufenden aus

 

13 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die betroffenen Personen nicht erkennen können

 

Typisches Einsatzfeld

Einsatz von RFID/NFC durch Apps oder Karten

 

Beispiel: Eine Bank setzt die NFC-Technologie bei Geldkarten ein, um den Zahlungsverkehr zu erleichtern

 

14 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von betroffenen Personen

 

Typisches Einsatzfeld

Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten

 

Beispiel: Ein Unternehmen verwendet Kundenkarten, welche das Einkaufsverhalten der Kundinnen und Kunden erfassen. Als Anreiz zur Verwendung der Kundenkarte erhält jede Kundin und jeder Kunde mit jedem Einkauf Treuepunkte. Mithilfe der gewonnenen Daten erstellt der Anbieter umfassende Kundenprofile.

 

15 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Anonymisierung von besonderen personenbezogenen Daten nach Art. 9 DS-GVO, falls diese (ggf. vermeintlich) anonymen Daten an Dritte weitergegeben oder zu nicht nur internen statistischen Zwecken verarbeitet werden sollen

 

Typisches Einsatzfeld

Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DS-GVO

 

Beispiel: Umfangreiche besondere personenbezogene Daten werden durch ein Apothekenrechenzentrum oder eine Versicherung anonymisiert und zu anderen Zwecken selbst verarbeitet oder an Dritte weitergegeben.

 

16 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b anzusehen ist – sofern eine nicht einmalige Datenerhebung mittels Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden

 

Typisches Einsatzfeld

Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten

 

Beispiel: Eine Ärztin oder ein Arzt nutzt ein Webportal oder bietet eine App an, um Patientinnen und Patienten detailliert und systematisch zu behandeln.

 

17 Maßgebliche Beschreibung der Verarbeitungstätigkeit

Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DS-GVO – auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b anzusehen ist – sofern die Daten mittels Sensoren erhoben, an einer zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit der betroffenen Person zu bestimmen

 

Typisches Einsatzfeld

Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

 

Datenschutzzentrum.de; bow; 02.06.2018

https://datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20180525_LfD-SH_DSFA_Muss-Liste_V1.0.pdf

 

06/2018

Europarat aktualisiert sein wegweisendes Übereinkommen

Der Europarat hat ein Änderungsprotokoll zur Aktualisierung seiner Datenschutzkonvention, bekannt als „Konvention 108“, verabschiedet. Ziel ist die Stärkung des Schutzes personenbezogener Daten auf globaler Ebene.

Gegenstand der Aktualisierung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen rechtsverbindlichen internationalen Vertrag mit weltweiter Bedeutung auf diesem Gebiet, sind die Herausforderungen, welche die Verwendung neuer Informations- und Kommunikationstechnologien für den Schutz der Privatsphäre darstellen, sowie die Stärkung des Konventionsmechanismus zur Gewährleistung ihrer wirksamen Umsetzung.

 

Das Protokoll schafft einen soliden und flexiblen multilateralen Rechtsrahmen, der den grenzüberschreitenden Datenverkehr erleichtern und dabei wirksame Schutzmechanismen bei der Verwendung personenbezogener Daten garantieren soll. Es bildet eine Brücke zwischen verschiedenen Regionen der Welt und ein Bindeglied zwischen unterschiedlichen normativen Rahmen, darunter der neuen Gesetzgebung der Europäischen Union, die ab dem 25. Mai 2018 verbindlich anzuwenden ist und im Zusammenhang mit grenzüberschreitendem Datenverkehr auf die Konvention 108 Bezug nimmt.

 

Generalsekretär Thorbjørn Jagland erklärte: „Die häufigen Verstöße gegen das Recht auf Datenschutz sind in unseren Gesellschaften ein Anlass zu großer Beunruhigung geworden. Die aktualisierte Konvention bietet einen starken Rechtsrahmen zur Verhütung von Missbrauch. Die Staaten sollten dem Vertrag unverzüglich beitreten und sicherstellen, dass die Datenschutzvorschriften in der Praxis eingehalten und umgesetzt werden.“

 

Die Neufassung des Vertrags wurde vom Ministerkomitee des Europarates bei seiner 128. Sitzung in Helsingör verabschiedet. Auf der Grundlage der „Konvention 108“, die mehr als 50 Vertragsstaaten hat, steht die aktualisierte Konvention als einzigartige weltweite Norm weiterhin allen Ländern der Welt offen.

 

Der aktualisierte Vertrag hält an Bestimmungen auf der Ebene von allgemeinen Grundsätzen fest und bleibt technologieneutral. Dadurch wird den Vertragsstaaten ein Ermessensspielraum bei deren Umsetzung in ihrer nationalen Gesetzgebung eingeräumt.

Das Protokoll enthält relevante Neuerungen wie die Verpflichtung, Datenschutzverstöße zu melden, die Konsolidierung des Verhältnismäßigkeitsprinzips bei der Datenverarbeitung und die Verankerung des Grundsatzes der Datenminimierung. Es stärkt außerdem die Rechenschaftspflicht der für die Datenverarbeitung Verantwortlichen sowie die Transparenz der Verarbeitung, die für die Aufrechterhaltung des Vertrauens in das digitale Umfeld wesentlich sind.

Die aktualisierte Fassung der Konvention verlangt, dass bei der Verarbeitung personenbezogener Daten der Grundsatz des „eingebauten Datenschutzes“ angewandt wird und führt zusätzliche Schutzmaßnahmen für betroffene Personen im Umfeld algorithmischer Entscheidungsprozesse ein, wie das Recht, Kenntnis über die der Datenverarbeitung zugrundeliegende Logik zu erlangen, sowie das Widerspruchsrecht. Das Protokoll stärkt darüber hinaus die Rolle des Konventionsausschusses, der die Einhaltung durch die Vertragsstaaten der Konvention überprüfen wird, und öffnet den Vertrag für den Beitritt der Europäischen Union und internationaler Organisationen.

 

Coe.int; bow; 01.06.2018

https://www.coe.int/de/web/portal/-/enhancing-data-protection-globally-council-of-europe-updates-its-landmark-convention

 

06/2018

Ihr Leitfaden für die sichere Umsetzung der EU-Datenschutz-Grundverordnung.


Seit dem 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in der EU in Kraft. Viele Website-Betreiber sind von den zahlreichen Neuerungen in der Rechtsprechung betroffen. Ob auch Sie betroffen sind und welche konkreten Maßnahmen Sie umsetzen sollten, erfahren Sie in diesem Buch

 

Autoren: Christian Solmecke, Sibel Kocatepe

ISBN-10: 3836265532

DS-GVO in der Personalarbeit

 

Autor: Axel von Walter

ISBN-10: 3648111388

05/2018

Der aktuelle Stand der EU-Datenschutzgrundverordnung

 

Einleitung
Im Januar 2012 schlug die Europäische Kommission eine Reihe legislativer Massnahmen vor zur Aktualisierung und Modernisierung der Datenschutzrichtlinie von 1995 (Richtlinie 95/46/EG) und des Rahmenbeschlusses von 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (Rahmenbeschluss 2008/977/JI). Ziel dieser Reform ist es, EU-weit einheitliche, an das digitale Zeitalter angepasste Regeln zu schaffen, die Rechtssicherheit zu verbessern und das Vertrauen der Bürgerinnen und Bürger und Unternehmen in den digitalen Binnenmarkt zu stärken. Die Reform umfasst eine Mitteilung der Kommission, die deren Ziele darlegt, sowie zwei Rechtsakte: eine Datenschutz-Grundverordnung (DSGVO) über den Datenschutz und eine Richtlinie für den Bereich Polizei und Justiz.

Am 14. April 2016 schloss das Europäische Parlament seine mehr als vierjährige Arbeit mit der Annahme der vorgeschlagenen Texte ab. Die sich aus der Datenschutz-Grundverordnung ergebenden Vorschriften werden ab dem 25. Mai 2018 in allen Mitgliedstaaten unmittelbar anwendbar sein. Die EU-Länder haben bis zum 6. Mai 2018 Zeit, die Richtlinie in ihrem nationalen Recht umzusetzen.

 

Die Datenschutz-Grundverordnung (DSGVO)
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung oder DSGVO) wurde vom Europäischen Parlament am 14. April 2016 angenommen und tritt am 25. Mai 2018 in Kraft. Ab diesem Zeitpunkt ist die DSGVO für alle Akteure, die auf dem Gebiet der Europäischen Union tätig sind, unmittelbar anwendbar. Nach EU-Recht ist eine Verordnung in ihrer Gesamtheit verbindlich, sobald sie in Kraft tritt (sie kann nicht selektiv angewendet werden). Sie ist in der gesamten EU unmittelbar anwendbar, ohne dass eine Umsetzung in den einzelnen Mitgliedstaaten erforderlich ist – dies im Gegensatz zur Richtlinie. Die neuen Bestimmungen sehen unter anderem vor, dass die Bürgerinnen und Bürger mehr Kontrolle über ihre Personendaten haben, dass die Unternehmen stärker zur Verantwortung gezogen werden, dass gleichzeitig deren Meldepflichten abgebaut werden und dass die Rolle der Datenschutzbehörden gestärkt wird. Dieses für Europa grundlegende Dokument wird auf eine Vielzahl von Schweizer Unternehmen direkte Auswirkungen haben.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

05/2018

Wann und wo kommt die DSGVO zur Geltung?

Gegenüber der Richtlinie 95/46/EG hat sich der sachliche Anwendungsbereich grundsätzlich nicht verändert. Die DSGVO „gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ (Art. 2 § 1 DSGVO). Sie betrifft alle personenbezogenen Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen, und unterscheidet nicht zwischen der Bearbeitung durch eine natürliche oder eine juristische Person des öffentlichen oder privaten Rechts. Artikel 2 § 2 DSGVO sieht vier Ausnahmen vor. Die DSGVO „findet keine Anwendung auf die Verarbeitung personenbezogener Daten:

 

  1. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
  2. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
  3. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
  4. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.“

Die DSGVO gilt für das Bearbeiten von Daten natürlicher Personen ungeachtet der Staatsangehörigkeit oder des Wohnorts dieser Personen. Das bedeutet, dass wenn Personendaten einer natürlichen Person mit Wohnsitz in der Schweiz in einem Mitgliedstaat der Europäischen Union bearbeitet werden, fallen diese in den Anwendungsbereich der DSGVO.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

05/218

Gegenüber der Richtlinie 95/46/EG wurde der Anwendungsbereich erweitert. Er umfasst nun das Kriterium der Zielgruppe (extraterritoriale Anwendung). Diese Erweiterung steht auch im Einklang mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH), der sich 2014 im Fall von Google Spanien für die extraterritoriale Anwendung der Richtlinie ausgesprochen hat (C-131-12).

 

Artikel 3 DSGVO regelt Folgendes:

  1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
  2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
    1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
    2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
  3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Die Anwendung der DSGVO hängt daher von den beiden folgenden Kriterien ab:

  1. dem Kriterium der Niederlassung (= Ort der Niederlassung des Verantwortlichen oder Auftragsbearbeiters; Artikel 3 § 1): Der Verantwortliche oder Auftragsbearbeiter hat seine Niederlassung in der Europäischen Union. In diesem Fall findet die Verordnung automatisch Anwendung, unabhängig davon, ob die Bearbeitung in der Union stattfindet oder nicht. In der Causa Weltimmo v. NAIH (C-230/14) hat der EuGH den Begriff der Niederlassung relativ breit und flexibel ausgelegt.

  2. dem Kriterium des Zielmarktes (= Wohnort der von Datenbearbeitung betroffenen Person; Art. 3 § 2): Die Niederlassung des Verantwortlichen befindet sich ausserhalb der Europäischen Union, aber die Bearbeitung betrifft Waren oder Dienstleistungen, die für Personen in der Union bestimmt sind, oder die Bearbeitung betrifft die Beobachtung des Verhaltens einer betroffenen Person, soweit deren Verhalten in der Union erfolgt. Bei Letzterem bezieht sich der europäische Gesetzgeber vor allem auf die Beobachtung des Verhaltens von Internetnutzerinnen und -nutzern. In der Praxis findet die DSGVO wohl dann Anwendung, wenn eine sich in einem Mitgliedstaat der EU aufhaltende Person, unabhängig von ihrer Staatsangehörigkeit oder ihres Wohnsitzes, direkt von einer Datenbearbeitung betroffen ist.

Bei der Beurteilung, ob die Verordnung zur Anwendung kommt, ist stets der Einzelfall und insbesondere die Absicht des Verantwortlichen zu berücksichtigen, Personen im Gebiet der Union Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

05/2018

Eines der Ziele der europäischen Reform besteht darin, die Kontrollmöglichkeiten betroffener Personen und die Erkennbarkeit zu erhöhen. Artikel 12 DSGVO verpflichtet den Verantwortlichen, Verfahren und Mechanismen vorzusehen, die es den betroffenen Personen ermöglichen, ihre Rechte auszuüben. In dieser Bestimmung ist der Grundsatz der Transparenz wie folgt verankert: Jede Information, die sich an die Öffentlichkeit oder an betroffene Personen richtet, muss einfach zugänglich und leicht verständlich sein. Sie muss prägnant und transparent sein sowie einfach und klar formuliert, insbesondere in Bezug auf Kinder. In der Regel werden Informationen schriftlich und unentgeltlich zur Verfügung gestellt. Die Verordnung regelt auch die damit zusammenhängenden Fristen. Alle in Artikel 12 aufgeführten Modalitäten gelten für alle in der Verordnung aufgeführten Rechte, nämlich:

 

  • Recht auf Information (Art. 13 und 14 DSGVO)
    Werden personenbezogene Daten über eine betroffene Person bei dieser selbst erhoben, so liefert der Verantwortliche ihr zum Zeitpunkt der Erhebung der Daten eine Reihe von Informationen. Der Verantwortliche muss die betroffene Person aber auch dann informieren, wenn die Daten nicht bei dieser selbst erhoben wurden.

  • Auskunftsrecht (Art. 15 DSGVO)
    Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung zu verlangen, dass personenbezogene Daten über sie bearbeitet werden bzw. dass keine Daten bearbeitet werden. Im Fall einer Bearbeitung hat sie das Recht, Zugang zu diesen Daten und zu einer Reihe zusätzlicher Informationen nach den Buchstaben a–h zu erhalten. Dieses Recht umfasst auch das Recht, eine Kopie der bearbeiteten Daten zu erhalten.

  • Recht auf Berichtigung (Art. 16 DSGVO)
    Die betroffene Person hat das Recht zu verlangen, dass ihre Daten so rasch wie möglich berichtigt oder ergänzt werden.

  • Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)
    Die betroffene Person hat das Recht zu verlangen, dass sie betreffende Daten so schnell wie möglich gelöscht werden, wenn einer der in § 1 genannten Gründe vorliegt. Wurden die Daten an andere Stellen übermittelt, so kommt das "Recht auf Vergessenwerden" zum Tragen: Der Verantwortliche muss alle angemessenen Massnahmen treffen, um die anderen Stellen davon in Kenntnis zu setzen, dass die betroffene Person die Löschung aller Verbindungen zu ihren persönlichen Daten beziehungsweise die Löschung aller Kopien oder Reproduktionen dieser Daten verlangt hat.

  • Recht auf Einschränkung der Bearbeitung (Art. 18 DSGVO)
    Die betroffene Person hat in bestimmten gesetzlich vorgesehenen Fällen das Recht, vom Verantwortlichen die Einschränkung der Bearbeitung ihrer Daten zu verlangen. Wird eine solche Einschränkung verlangt, so kann der Verantwortliche die Daten nur noch aufbewahren. Andere Bearbeitungen dieser Daten dürfen grundsätzlich nicht mehr erfolgen.

  • Recht auf Mitteilung (Art. 19 DSGVO)
    Dieser Artikel verpflichtet den Verantwortlichen, der betroffenen Person jede Berichtigung, Löschung oder Einschränkung der Datenbearbeitung mitzuteilen.

  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    Die betroffene Person hat das Recht, die Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, beispielsweise um den Dienstleistungsanbieter zu wechseln. Dieses Recht kann nur ausgeübt werden, wenn die Datenbearbeitung auf der Einwilligung der betroffenen Person oder auf einem Vertrag beruht.

  • Widerspruchsrecht (Art. 21 DSGVO)
    Die betroffene Person hat jederzeit das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Bearbeitung von sie betreffenden personenbezogenen Daten gestützt auf ein öffentliches oder berechtigtes Interesse zu widersprechen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling. Die betroffene Person hat auch jederzeit das Recht, der Bearbeitung ihrer Daten zu Direktmarketing-Zwecken zu widersprechen.

  • Recht auf Verzicht auf eine automatisierte Entscheidung im Einzelfall (Art. 22 DSGVO)
    Die betroffene Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschliesslich auf einer automatischen Bearbeitung beruht, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt ausdrücklich auch für Profiling.

  • Recht auf Benachrichtigung über Datenschutzverletzungen (Art. 34 DSGVO)
    Der Verantwortliche ist verpflichtet, die betroffene Person über Verletzungen des Schutzes personenbezogener Daten zu informieren, sofern damit ein hohes Risiko für die persönlichen Rechte und Freiheiten verbunden ist.

Die Verordnung sieht auch einen besonderen Schutz für Kinder vor, da diese sich der Risiken, Folgen und Rechte im Bereich des Datenschutzes weniger bewusst sind. Artikel 8 DSGVO sieht vor, dass im Fall von Diensten der Informationsgesellschaft, die einem Kind direkt angeboten werden, die Zustimmung zur Bearbeitung der Daten des Kindes vom Träger der elterlichen Verantwortung erteilt oder genehmigt werden muss (die Mitgliedstaaten können die Altersgrenze zwischen 13 und 16 Jahren frei festlegen).

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

05/2018

Welche Firmen in der Schweiz sind betroffen?

Aus dem Wortlaut der Verordnung und den Erwägungen geht hervor, dass die DSGVO in den folgenden Fällen auf Schweizer Unternehmen anwendbar ist:

 

Niederlassung in der EU (Artikel 3 § 1; Erwägung 22):

  • Bearbeitung personenbezogener Daten im Rahmen der Tätigkeit einer europäischen Zweigstelle oder einer Tochtergesellschaft2 eines schweizerischen Unternehmens in der Europäischen Union;
  • Auftragsverarbeiter: Bearbeitung personenbezogener Daten durch ein Schweizer Unternehmen3 im Auftrag eines europäischen Unternehmens.

Ein Auftragsverarbeiter im EU-Gebiet (z.B. IT-Dienstleister), der personenbezogene Daten für ein Schweizer Unternehmen bearbeitet, untersteht der DSGVO unabhängig davon, ob er Daten von Betroffenen in der Schweiz oder in der Union verarbeitet (Art. 3 § 1 DSGVO). Er muss dann sowohl die in der Verordnung festgelegten besonderen Pflichten der Auftragsverarbeiter (vgl. Artikel 28, 30 §2 und 37 DSGVO) als auch die sich aus dem schweizerischen Recht ergebenden Anforderungen (vgl. Art. 10a DSG) einhalten. Der Auftragsverarbeiter wird wahrscheinlich im Falle einer Datenschutzverletzung die Verantwortung übernehmen müssen. Dies bedeutet jedoch nicht, dass der für die Verarbeitung Verantwortliche in der Schweiz der Verordnung unterliegt.

 

Zielgruppe in der EU (Artikel 3 § 2; Erwägungen 23 und 24):

  • Bearbeitung personenbezogener Daten von Personen mit Aufenthalt in der EU durch ein Unternehmen mit Sitz in der Schweiz, soweit es diese Daten für seine Waren- und Dienstleistungsangebote in der EU bearbeitet, unabhängig davon, ob eine Zahlung erforderlich ist oder nicht (Art. 3 § 2 Buchstabe a) DSGVO);

Beispiel 1: Ein in der Schweiz ansässiges Unternehmen verkauft Uhren über einen Online-Shop an Personen mit Wohnsitz in Frankreich, Belgien, Portugal, Finnland und Griechenland. Die DSGVO ist anwendbar, weil das Schweizer Unternehmen seine Waren Personen in der EU anbietet.


Die DSGVO enthält keine genaue Definition des Begriffs Waren- und Dienstleistungsangebot. In der Erwägung 23 heisst es, es müsse festgestellt werden, „ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten.“ Um dies festzustellen, ist es notwendig, eine Reihe von Hinweisen zu berücksichtigen, wie zum Beispiel „die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden.“

 

In einem speziellen Zusammenhang (siehe verbundene Rechtssachen C-585/08 und C-144/09) hat der EuGH bereits geprüft, ob das Angebot von Waren und Dienstleistungen als an den Mitgliedstaat der Union gerichtet angesehen werden kann. In diesem Zusammenhang hat er auch folgende Faktoren berücksichtigt: die Angabe einer Telefonnummer mit internationaler Vorwahl, die Wegbeschreibung aus einem Mitgliedstaat zu dem Ort, wo der Dienst angeboten wird (z. B. Beschreibung der Anreise aus dem Ausland zu einem Hotel in der Schweiz), die Erwähnung auf der Website einer internationalen Kundschaft mit Sitz in verschiedenen EU- Mitgliedstaaten, die Nutzung einer anderen First-Level-Domain als derjenigen des Mitgliedstaats, in dem der Dienst angeboten wird (z. B. www.beispiel.ch ist auch unter www.beispiel.fr und www.beispiel.eu abrufbar).

 

„Die blosse Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, [ist] hierfür [aber] kein ausreichender Anhaltspunkt.“

Die Auflistung dieser Faktoren ist allerdings nicht abschliessend und die Frage muss immer von Fall zu Fall analysiert werden.

 

  • Bearbeitung personenbezogener Daten von Personen mit Wohnsitz in der EU durch ein in der Schweiz ansässiges Unternehmen, soweit diese Daten zum Zweck der Beobachtung des Verhaltens der betroffenen Personen innerhalb der Union bearbeitet werden (Art. 3 § 2 Bst. b DSGVO).

 

In Bezug auf die Beobachtung des Verhaltens und die Bestimmung, ob eine Bearbeitung als solche gilt, hält die Erwägung 24 fest: „Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die ein Profil von einer natürlichen Person erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.“

 

Es geht insbesondere um verhaltensbasierte Werbung, wie sie die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 2/2010 zur Werbung auf Basis von Behavioural Targeting definiert: „Werbung, die auf der Beobachtung des Verhaltens von Personen über einen Zeitraum hinweg basiert. Werbung auf Basis von Behavioural Targeting versucht, die Charakteristika dieses Verhaltens durch die Handlungen (wiederholte Besuche von Websites, Interaktionen, Schlüsselwörter, Produktion von Online-Inhalten usw.) zu untersuchen, um ein konkretes Profil zu erstellen und den betroffenen Personen dann Werbung zu senden, die auf ihre aus den Daten erschlossenen Interessen zugeschnitten ist.“

 

Beispiel 2: Ein Hotelier im Engadin erstellt von seinen italienischen, schwedischen, deutschen und polnischen Gästen Profile, um ihnen Angebote für andere Aufenthalte machen zu können. Die DSGVO ist anwendbar, soweit das Profil auf der Grundlage eines Verhaltens in der EU erstellt wird.

 

Beispiel 3: Der Betreiber einer Website setzt Webtracking ein, um die Besucherbewegungen oder das Surfverhalten von Internetnutzern zu registrieren, und kann Rückschlüsse auf deren Interessen, Vorlieben oder Gewohnheiten erhalten. Die DSGVO ist wahrscheinlich anwendbar.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf


2 In Erwägungsgrund 22 wird klargestellt, dass eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraussetzt. Die Rechtsform einer solchen Einrichtung ist dabei nicht ausschlaggebend.
3 Sofern das Schweizer Unternehmen beabsichtigt, Waren oder Dienstleistungen für in der EU sich aufhaltende Personen anzubieten.

05/2018

Welche Aufgaben müssen von der DSGVO betroffene Unternehmen in der Schweiz wahrnehmen?

Eine der wichtigsten Neuerungen gegenüber der Richtlinie 95/46/EG ist die Verankerung des Grundsatzes der Rechenschaftspflicht („accountability“) des Verantwortlichen (vgl. Art. 5 § 2 DSGVO), wonach dieser die Einhaltung der allgemeinen Grundsätze (vgl. Art. 5 § 1 DSGVO) aktiv nachweisen können muss. Auf dieser Grundlage wurde das Prinzip der Beweislastumkehr eingeführt4. Die Verordnung sieht insbesondere die folgenden Pflichten vor:

  • Artikel 24 DSGVO hält fest, dass der Grundsatz der Verantwortlichkeit mit dem risikobasierten Ansatz einhergeht, wonach der Verantwortliche die Wahrscheinlichkeit und den Grad der Gefährdung der Rechte und Freiheiten von Personen zu Beginn einer Bearbeitung objektiv beurteilen muss. Der Verantwortliche muss daher Kontrollmechanismen und -systeme innerhalb seiner Einrichtung etablieren, um sicherzustellen, dass die Konformität der Bearbeitung während des gesamten Vorgangs gewährleistet ist, und um dies nachweisen zu können.

  • Artikel 25 DSGVO verlangt, dass der Datenschutz bei Produkten und Dienstleistungen bereits in der Planungsphase berücksichtigt werden: Die Grundsätze des Datenschutzes müssen schon bei der technischen Ausgestaltung berücksichtigt werden („privacy by design“); Produkte und Dienstleistungen müssen mit datenschutzfreundlichen Voreinstellungen angeboten werden („privacy by default“).

  • Artikel 30 DSGVO sieht vor, dass jeder Verantwortliche oder sein Vertreter ein Register der unter seiner Verantwortung ausgeführten Bearbeitungstätigkeiten (in elektronischer Form) führen muss. Der Inhalt des Registers ist in Artikel 30 § 1 DSGVO detailliert beschrieben. Dieses Register muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen (vgl. Art. 30 § 5 DSGVO).

  • Artikel 35 DSGVO sieht die Durchführung einer Datenschutz-Folgenabschätzung vor, wenn die Bearbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge haben kann.5 In den Fällen, in denen diese Voranalyse zur Identifizierung spezifischer Risiken führt, ist der Verantwortliche verpflichtet, vor der Bearbeitung die Datenschutzbehörde zu konsultieren; ist ein Datenschutzverantwortlicher ernannt worden, so ist dieser zu konsultieren. In bestimmten Fällen ist eine Datenschutz-Folgenabschätzung obligatorisch (vgl. Artikel 35 § 3). Die inhaltlichen Mindestanforderungen sind in Artikel 35 § 7 aufgeführt.

 

Die Sicherheit der Bearbeitungsvorgänge ist in der Verordnung als Grundprinzip verankert:

  • Artikel 32 DSGVO verpflichtet den Verantwortlichen, angemessene organisatorische und technische Massnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei muss er den Stand der Technik, die Implementierungskosten, die Art, den Umfang, die Umstände und den Zweck der Bearbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigen. Die Verordnung nennt beispielsweise die Verschlüsselung oder Pseudonymisierung und Mittel zur dauerhaften Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit und der Belastbarkeit der Systeme. Darüber hinaus muss der Verantwortliche Massnahmen treffen, „um sicherzustellen, dass [dem Verantwortlichen und dem Auftragsbearbeiter] unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet“ (vgl. Art. 32 § 4).

 

Daraus leitet sich neu die Pflicht ab, der Aufsichtsbehörde Verletzungen des Schutzes personenbezogener Daten zu melden. In einigen Fällen muss die Verletzung auch der betroffenen Person gemeldet werden:

  • Artikel 33 DSGVO sieht ein Meldesystem bei Verletzungen des Schutzes personenbezogener Daten vor („data breaches“). Die Verletzung wird definiert als „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ (Art. 4 § 12 DSGVO). Könnte die Verletzung Risiken für die Rechte und Freiheiten natürlicher Personen zur Folge haben, muss der Verantwortliche dies der Aufsichtsbehörde unverzüglich bzw. möglichst innerhalb von 72 Stunden melden (Art. 33 § 1). Der Auftragsbearbeiter muss den Verantwortlichen über jede Verletzung unverzüglich informieren, sobald er davon Kenntnis hat. Der Inhalt der Meldung ist in Artikel 33 § 3 DSGVO geregelt. Schliesslich muss der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten dokumentieren, einschliesslich aller mit der Verletzung zusammenhängenden Fakten, der Auswirkungen und der ergriffenen Abhilfemassnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen nach diesem Artikel ermöglichen.

  • Artikel 34 DSGVO regelt die Modalitäten der Mitteilung einer Verletzung des Datenschutzes an die betroffenen Personen. Hier gibt es jedoch keine Fristen. Die Idee dahinter besteht darin, es den betroffenen Personen zu ermöglichen, gegebenenfalls geeignete Massnahmen zu ergreifen, um die negativen Auswirkungen, die sich aus der Verletzung ergeben können, zu stoppen oder abzuschwächen.

In drei bestimmten Fällen (vgl. Art. 37 DSGVO) ist die Benennung eines Datenschutzbeauftragten zwingend, und zwar 1) für Behörden oder öffentliche Stellen, 2) für Unternehmen, die Bearbeitungen durchführen, die eine umfangreiche regelmässige und systematische Überwachung der betroffenen Personen erfordern, 3) für Unternehmen, die sensible Datenbearbeitungsvorgänge durchführen. Darüber hinaus erlaubt es die Verordnung, im Unionsrecht oder im Recht eines Mitgliedstaats die Benennung eines Datenschutzbeauftragten in Fällen vorzuschreiben, die in der DSGVO nicht vorgesehen sind. Eine Unternehmensgruppe kann auch einen einzigen Beauftragten benennen; diese Möglichkeit besteht auch für Behörden und öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Grösse (Art. 37 § 2 und 3). Die Eigenschaften, über die der behördliche Datenschutzbeauftragte verfügen muss, sind in Artikel 37 § 5 festgelegt.

 

Schliesslich fördert die Verordnung die Ausarbeitung von Verhaltensregeln (Art. 40 und 41 DSGVO), um die ordnungsgemässe Umsetzung der Verordnung zu unterstützen. Die Verhaltensregeln müssen entsprechend den Besonderheiten der verschiedenen Datenbearbeitungssektoren und den spezifischen Bedürfnissen der Unternehmen entwickelt werden. Die Verhaltensregeln werden der nach Artikel 55 DSGVO zuständigen Datenschutzbehörde vorgelegt; diese gibt eine Stellungnahme zur Konformität mit der Verordnung ab. Mit den Artikeln 42 ff. wird ein Zertifizierungsmechanismus eingeführt.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf


4 Das Bayrische Landesdatenschutzamt hat ein Selbsteinschätzungstool für Unternehmen veröffentlicht: https://www.lda.bayern.de/tool/start.html

5 Um die für die Bearbeitung Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen zu unterstützen, stellt die Commission Nationale de l’Informatique et des Libertés (CNIL) auf ihrer Website kostenlos die Software PIA zur Verfügung: https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil. Eine deutsche Fassung ist ebenfalls verfügbar: https://github.com/LINCnil/pia/tree/master/src/assets/i18n

05/2018

Die DSGVO kann auch Ihren Personalstand beeinflussen

Kommt Artikel 3 § 2 DSGVO zur Anwendung, so verpflichtet Artikel 27 DSGVO den Verantwortlichen und den Auftragsbearbeiter, die nicht in der Union niedergelassen sind, schriftlich einen Vertreter zu benennen, sofern die Verordnung für ihre Bearbeitungstätigkeiten gilt. Dieser Vertreter muss in einem der Mitgliedstaaten ansässig sein, in dem die natürlichen Personen ihren Wohnsitz haben, deren personenbezogene Daten im Zusammenhang mit einem Waren- oder Dienstleistungsangebot bearbeitet werden oder deren Verhalten beobachtet wird (Art. 27 § 3).

 

Gemäss der Erwägung 80 DSGVO ist der Vertreter insbesondere die Kontaktstelle für die Aufsichtsbehörden (vgl. Art. 58 DSGVO) und die betroffenen Personen, und zwar in allen Fragen der Bearbeitung personenbezogener Daten. Der Vertreter muss ein Register aller Kategorien von Tätigkeiten zur Bearbeitung personenbezogener Daten erstellen, die unter seiner Verantwortung durchgeführt werden (vgl. Art. 30 DSGVO). Er kann auch Durchsetzungsverfahren unterworfen werden, wenn der Verantwortliche oder der Auftragsbearbeiter gegen die Verordnung verstösst. Es muss aber betont werden, dass dies die Verantwortung des Verantwortlichen oder des Auftragsbearbeiters gegenüber den Behörden und den betroffenen Personen in keiner Weise beeinflusst, da die Benennung unabhängig von Gerichtsverfahren erfolgt, die gegen den Verantwortlichen oder den Auftragsbearbeiter eingeleitet werden könnten.

 

Artikel 27 § 2 bestimmt, dass diese Benennung nicht gilt für:

  1. „eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer
    Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der
    Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder

  2. Behörden oder öffentliche Stellen.“


Sanktionen

Ein sich änderndes Strafregime
Die DSGVO gesteht im Gegensatz zum schweizerischen Recht den Aufsichtsbehörden zu, selbst Geldbussen zu verhängen, wenn eine Reihe von Voraussetzungen erfüllt ist. Jede Aufsichtsbehörde muss sicherstellen, dass die für Verstösse gegen die DSGVO verhängten Sanktionen wirksam, verhältnismässig und abschreckend sind. Auch sieht die Verordnung eine ganze Reihe von abschreckenden Massnahmen (vgl. Art. 58 § 2 RGPD) vor, z. B. Mahnungen, Verwarnungen, förmliche Bekanntmachungen, vorübergehende oder dauerhafte Beschränkungen der Bearbeitung. Unter all diesen Instrumenten müssen die Datenschutzbehörden dasjenige auswählen, das dem Ziel der Einhaltung der Vorschriften am besten gerecht wird.

 

Als letztes Mittel können Verantwortliche mit Geldbussen von bis zu 20 Millionen Euro oder 4 Prozent ihres weltweiten Jahresumsatzes belegt werden. Artikel 83 DSGVO listet die Bedingungen auf, die bei der Bestimmung der Höhe der Strafe zu berücksichtigen sind.

 

Dabei ist jedoch zu beachten, dass gegebenenfalls auch der aus einem Gerichtsverfahren resultierende Schadenersatz sowie Zinsen zu zahlen sind.

 

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, März 2018; bow

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2018/EU%20DSGVO.pdf.download.pdf/Die_EU_DSGVO_und_ihre_Auswirkungen_auf_die_Schweiz_DE_V2.pdf

 

Lösungen zur praktischen Umsetzung Textbeispiele, Musterformulare, Checklisten

 

Autor: Grit Reimann

ISBN-10: 3410279814

Mit EU-Datenschutzgrundverordnung

 

Autoren: Peter Wedde, Stefan Brink, Isabel Eder, Nadja Häfner-Beil, Heinz-Peter Höller, Silvia Mittländer, Marc-Oliver Schulze, Regina Steiner

ISBN-10: 3766366920

Grundlagen und europarechtliche Neugestaltung

 

Autoren: Giselher Rüpke,‎ Kai von Lewinski,‎ Jens Eckhardt

ISBN-10: 3406501990

04/2018

Die Datenschutz-Grundverordnung (DS-GVO), die am 25. Mai 2018 in Kraft treten soll, wird einen modernisierten, auf dem Prinzip der Rechenschaftspflicht beruhenden Handlungsrahmen für die Überprüfung der Einhaltung der Datenschutzvorschriften in Europa bieten. Den Kern dieser neuen Rechtsgrundlage werden für viele Einrichtungen Datenschutzbeauftragte (DSB) bilden, die die Einhaltung der Bestimmungen der DS-GVO erleichtern.

 

Nach der DS-GVO sind Verantwortliche und Auftragsverarbeiter unter bestimmten Voraussetzungen verpflichtet, einen DSB zu ernennen. Diese Pflicht besteht für alle Behörden und öffentlichen Stellen (unabhängig von der Art der verarbeiteten Daten) wie auch für sonstige Einrichtungen, die – als Kerntätigkeit – systematisch und in großem Umfang Einzelpersonen überwachen oder in großem Umfang besondere Kategorien von personenbezogenen Daten verarbeiten.

 

In Fällen, in denen die DS-GVO die Bestellung eines DSB nicht ausdrücklich vorschreibt, können Einrichtungen es mitunter für zweckmäßig erachten, einen solchen auf freiwilliger Basis zu ernennen. Die Artikel-29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen.

 

Das dem DSB zugrundeliegende Konzept ist nicht neu. Wenngleich nach der Richtlinie 95/46/EG keine Einrichtung zur Ernennung eines DSB verpflichtet ist, hat sich die Praxis der Ernennung eines DSB in zahlreichen Mitgliedstaaten im Laufe der Jahre immer mehr verbreitet.

 

Vor dem Erlass der DS-GVO argumentierte die WP29, dass der DSB ein wichtiger Akteur im Bereich der Rechenschaftspflicht sei und dass die Ernennung eines DSB die Einhaltung der Vorschriften erleichtere und überdies Unternehmen als Wettbewerbsinstrument diene. DSB erleichtern nicht nur die Einhaltung der Bestimmungen, indem sie etwa Instrumente zur Anwendung bringen, die der Einhaltung der Rechenschaftspflicht dienen (wie etwa die Erleichterung oder Durchführung von Datenschutz-Folgenabschätzungen und -Überprüfungen), sondern fungieren darüber hinaus auch als Mittler zwischen den maßgeblichen Interessenträgern (z. B. Aufsichtsbehörden, betroffene Personen und für die Geschäftsführung zuständige Stellen einer Einrichtung).

 

DSB sind im Falle der Nichteinhaltung der DS-GVO nicht persönlich verantwortlich. Aus der DS-GVO geht klar hervor, dass es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters ist, sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt (Artikel 24 Absatz 1). Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist der Verantwortliche oder der Auftragsverarbeiter verantwortlich.

 

Dem Verantwortlichen oder dem Auftragsverarbeiter kommt zugleich eine wichtige Rolle dabei zu, die Voraussetzung dafür zu schaffen, dass der DSB seinen Aufgaben wirksam nachgehen kann. Die Ernennung eines DSB stellt hierbei nur einen ersten Schritt dar: Um ihren Aufgaben wirksam nachgehen zu können, müssen DSB auch über hinreichende Eigenständigkeit und genügend Ressourcen verfügen.

 

In der DS-GVO werden die Bedeutung des DSB als Schlüsselfigur im neuen Data-Governance-System anerkannt und die Bedingungen für seine Ernennung, Stellung und Aufgaben dargelegt. Ziel dieser Leitlinien ist es, die einschlägigen Bestimmungen der DS-GVO klarzustellen, um die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung der gesetzlichen Vorgaben zu unterstützen und den DSB bei ihrer Tätigkeit Hilfestellung zu leisten. Die Leitlinien enthalten zugleich Empfehlungen für bewährte Verfahren, denen die in verschiedenen EU-Mitgliedstaaten gesammelten Erfahrungen zugrunde liegen. Die WP29 wird die Umsetzung dieser Leitlinien beaufsichtigen und erforderlichenfalls im Detail ergänzen.

 

Nachfolgend finden Sie eine Zusammenfassung der WP29 zu den Anforderungen bezüglich eines Datenschutzbeauftragten, das gesamte Dokument finden Sie hier in allen EU-Sprachen: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

 

Welche Einrichtungen sind zur Benennung eines DSB verpflichtet?

Was bedeutet "Kerntätigkeit"?

Was bedeutet "umfangreiche Bearbeitung"?

Was bedeutet "regelmäßige und systematische Überwachung"?

Können Einrichtungen einen gemeinsamen DSB benennen? Wenn ja, unter welchen Voraussetzungen?

Wo sollte der DSB lokalisiert sein?

Kann ein externer DSB bestellt werden?

Über welche beruflichen Qualifikationen sollte der DSB verfügen?

Welche Ressourcen sollten Verantwortliche oder Auftragsverarbeiter dem DSB zur Verfügung stellen?

Wie wird die Ausübung der Pflichten und Aufgaben des DSB in vollständiger Unabhängigkeit gewährleistet? Was bedeutet "Interessenkonflikt"?

Was bedeutet "Einhaltung der Vorgaben in Bezug auf die Überwachung"

Ist der DSB im Fall der Nichteinhaltung der Datenschutzanforderungen persönlich verantwortlich?

Welche Funktion kommt dem DSB bei einer Datenschutz-Folgenabschätzung und beim Führen von Verzeichnissen zu Verarbeitungsvorgängen zu?

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 1 DS-GVO

Die Benennung eines DSB ist obligatorisch, wenn

  • die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (unabhängig von der Art der verarbeiteten Daten),
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Hierbei ist zu beachten, dass Rechtsvorschriften der Union oder der Mitgliedstaaten die Benennung eines DSB auch in anderen Fällen zwingend erforderlich machen können. Schließlich kann es auch in Fällen, in denen die Benennung eines DSB nicht obligatorisch ist, für eine Einrichtung zweckmäßig erscheinen, einen DSB auf freiwilliger Basis zu benennen. Die Artikel- 29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen. Wenn eine Einrichtung auf freiwilliger Basis einen DSB ernennt, so unterliegen dessen Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b und c DS-GVO

Als "Kerntätigkeit" lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind. Dazu gehören auch sämtliche Tätigkeiten, bei denen die Verarbeitung von Daten einen untrennbaren Bestandteil der Tätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellt. So ist beispielsweise die Verarbeitung von gesundheitsbezogenen Daten, wie etwa Krankenakten von Patienten, als Kerntätigkeit eines jeden Krankenhauses anzusehen, weshalb Krankenhäuser zur Benennung eines DSB verpflichtet sind.

 

Andererseits führen alle Einrichtungen gewisse Tätigkeiten wie etwa die Entlohnung ihrer Mitarbeiter oder Standard-IT-Support aus. Hierbei handelt es sich um Beispiele von für die Kerntätigkeit oder das Kerngeschäft der Einrichtung notwendigen Unterstützungsfunktionen. Trotz ihrer Notwendigkeit oder Unverzichtbarkeit werden solche Tätigkeiten gemeinhin eher als Nebenfunktionen denn als Kerntätigkeit angesehen.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b und c DS-GVO

In der DS-GVO ist nicht definiert, was unter "umfangreicher Verarbeitung" zu verstehen ist. Die WP29 empfiehlt, bei der Klärung der Frage, ob sich von einer umfangreichen Verarbeitung sprechen lässt, die folgenden Faktoren zu berücksichtigen:

  • die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung
  • das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten
  • die Dauer oder Permanenz der Datenverarbeitungstätigkeit
  • die geografische Ausdehnung der Verarbeitungstätigkeit

 

Beispiele für eine umfangreiche Verarbeitung stellen dar:

  • die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses
  • die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen ÖPNV nutzen (z.B. Nachverfolgung über Netzkarten)
  • die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-Food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter
  • die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank
  • die Verarbeitung personenbezogener Daten durch eine Suchmaschine zu Zwecken der verhaltensbasierten Werbung
  • die Verarbeitung von Daten (Inhalte, Datenverkehrsaufkommen, Standort) durch Telefon- oder Internetdienstleister

 

Keine umfangreiche Verarbeitung stellen die folgenden Beispiele dar:

  • die Verarbeitung von Patientendaten durch einen einzelnen Arzt
  • die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 1 Buchstabe b DS-GVO

Der Begriff der regelmäßigen und systematischen Überwachung ist in der DS-GVO zwar nicht definiert, erstreckt sich jedoch eindeutig auf jede Form der Verfolgung und Profilerstellung im Internet (auch zu Zwecken der verhaltensbasierten Werbung). Gleichwohl beschränkt sich der Begriff der Überwachung nicht auf die Online-Umgebung.

 

Folgende Tätigkeiten können eine regelmäßige und systematische Überwachung von betroffenen Personen darstellen: Betrieb eines Telekommunikationsnetzes, Anbieten von Telekommunikationsdienstleistungen, verfolgende E-Mail-Werbung, datengesteuerte Marketingtätigkeiten, Typisierung und Scoring zu Zwecken der Risikobewertung (zum Beispiel zu Zwecken der Kreditvergabe, zur Festlegung von Versicherungsprämien, zur Verhinderung von betrügerischen Handlungen oder zur Aufdeckung von Geldwäsche), Standortverfolgung (beispielsweise durch Mobilfunkanwendungen), Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten über in Kleidung integrierte Geräte (Wearables), Überwachungskameras oder vernetzte Geräte (zum Beispiel intelligente Stromzähler, intelligente Autos, Haustechnik usw.)

 

Die WP29 interpretiert den Begriff „regelmäßig“ als mindestens eine der folgenden Eigenschaften:

  • fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend
  • immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend
  • ständig oder regelmäßig stattfindend

 

Die WP29 interpretiert den Begriff „systematisch“ als mindestens eine der folgenden Eigenschaften:

  • systematisch vorkommend
  • vereinbart, organisiert oder methodisch
  • im Rahmen eines allgemeinen Datenerfassungsplans erfolgend
  • im Rahmen einer Strategie erfolgen

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 2 und 3 DS-GVO

Die Antwort ist ja. Artikel 37 Absatz 2 gestattet einer Unternehmensgruppe die Benennung eines gemeinsamen DSB, sofern dieser "von jeder Niederlassung aus […] leicht erreicht werden kann". Der Begriff der Erreichbarkeit bezieht sich auf die Aufgabe des DSB als Ansprechpartner für Betroffene und für die Aufsichtsbehörde, aber auch als einrichtungsinterne Ansprechpartner. Um die Erreichbarkeit des DSB sowohl intern als auch extern zu gewährleisten, ist dafür Sorge zu tragen, dass seine Kontaktdaten zur Verfügung stehen. Der DSB muss – gegebenenfalls mithilfe eines Teams – in der Lage sein, mit Betroffenen wirksam zu kommunizieren und mit den zuständigen Aufsichtsbehörden effektiv zusammenzuarbeiten. Dies bedeutet, dass die Kommunikation in der bzw. den von den Aufsichtsbehörden und dem Betroffenen verwendeten Sprache(n) erfolgen muss. Damit die Betroffenen den DSB kontaktieren können, ist es unverzichtbar, dass dieser (entweder physisch auf dem gleichen Gelände wie die Beschäftigten oder über eine Hotline oder andere sichere Kommunikationskanäle) persönlich erreichbar ist.

 

Mehrere öffentliche Einrichtungen und Stellen können in Anbetracht ihrer Organisationsstruktur und Größe einen gemeinsamen DSB benennen. Gleiches gilt für die erforderlichen Ressourcen und die Kommunikation: Da ein DSB eine Vielzahl von Aufgaben wahrzunehmen hat, ist es Sache des Verantwortlichen oder des Auftragsverarbeiters, dafür Sorge zu tragen, dass ein einzelner DSB trotz der Zuständigkeit für mehrere öffentliche Einrichtungen und Stellen in der Lage ist, diesen – gegebenenfalls mithilfe eines Teams – wirksam nachzugehen.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Die WP29 empfiehlt, die effektive Erreichbarkeit des DSB durch die Ernennung eines DSB mit Sitz in der Europäischen Union zu gewährleisten, unabhängig davon, ob der Verantwortliche oder der Auftragsverarbeiter in der Union niedergelassen ist. Jedoch ist nicht ausgeschlossen, dass in Situationen, in denen der Verantwortliche oder der Auftragsverarbeiter nicht in der Europäischen Union niedergelassen ist, ein außerhalb der EU niedergelassener DSB seine Aufgaben effektiver ausüben kann.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Die Antwort ist nein. Der DSB ist im Fall der Nichteinhaltung der Datenschutzanforderungen nicht persönlich verantwortlich. Es ist Aufgabe des Verantwortlichen oder des Auftragsverarbeiters, sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist der Verantwortliche oder der Auftragsverarbeiter verantwortlich.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 6 DS-GVO

Die Antwort ist ja. Der DSB kann ein Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters (interner DSB) sein oder seine Aufgaben im Rahmen eines Dienstleistungsvertrags erfüllen. Das bedeutet, dass ein externer DSB benannt werden kann, der seine Funktion auf Grundlage eines mit einer natürlichen oder juristischen Person geschlossenen Dienstleistungsvertrags ausübt.

 

Falls die Funktion des DSB von einem externen Dienstleister wahrgenommen wird, kann ein Team aus für diesen Dienstleister tätigen Personen die Aufgaben des DSB unter der Verantwortung eines ernannten primären und für den Kunden "zuständigen" Ansprechpartners in effizienter Weise ausführen. In diesem Fall ist es unverzichtbar, dass jedes Mitglied der externen Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in der DS-GVO genannten Anforderungen erfüllt.

 

Im Interesse der Rechtssicherheit und einer ordnungsgemäßen Organisation wird empfohlen, im Dienstleistungsvertrag eine klare Aufgabenverteilung innerhalb des externen DSB-Teams vorzusehen und eine einzelne Person als primären Ansprechpartner festzulegen, der zugleich für den Kunden "zuständig" ist.

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

04/2018

Benennung des DSB: Artikel 37 Absatz 5 DS-GVO

Der DSB ist auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens zu benennen, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage der Fähigkeit zur Erfüllung seiner Aufgaben.

 

Das erforderliche Niveau des Fachwissens sollte sich nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten richten. Wenn etwa eine Datenverarbeitungstätigkeit besonders komplex ist oder in großem Umfang sensible Informationen betrifft, bedarf der DSB unter Umständen eines höheren Maßes an Fachkompetenz und Unterstützung.

 

Die entsprechende Sachkunde und Erfahrung umfasst:

  • Fachkompetenz auf dem Gebiet des nationalen und europäischen Datenschutzrechts und der Datenschutzpraxis, einschließlich eines umfassenden Verständnisses der DS-GVO
  • Verständnis der jeweils durchgeführten Verarbeitungsvorgänge
  • Kenntnisse in den Bereichen IT und Datensicherheit
  • Kenntnis der jeweiligen Branche und Einrichtung
  • die Fähigkeit, eine Datenschutzkultur innerhalb der Einrichtung zu fördern.

 

 

Europäische Kommission; 20.03.2018; bow

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK