lawpilots goes international: Neue Sprachen erhältlich!

Damit Unternehmen aus allen EU-Ländern ihre Mitarbeiter schulen können, bietet unser Partner lawpilots seinen E-Learning-Kurs Datenschutz für Mitarbeiter nun auch in weiteren Sprachen an.

Aktuell gibt es  das Onlinetraining in Deutsch (Datenschutz für Mitarbeiter), Englisch (Data protection for employees), Französisch (Protection des données pour les employés), Italienisch (La protezione dei dati per il personale) und Spanisch (Protección de datos para empleados).

Datenschutz in Europa ist wichtig, insbesondere seit dem Wirksamwerden der Datenschutz-Grundverordnung (DSGVO), die in allen Unternehmen angewendet werden muss. Bei Missachtung der neuen Regelungen drohen Unternehmen hohe Bußgelder, welche bis zu 20 Millionen Euro oder 4% des jährlichen Umsatzes betragen können. Daher müssen alle Mitarbeiter von Unternehmen entsprechend den gesetzlichen Anforderungen geschult werden.

lawpilots bietet innovative und praxisnahe Online-Schulungen rund um das Thema der Digitalisierung. Das Motto von lawpilots „Recht. Einfach. Verstehen.“ ist ein zentrales Versprechen an alle Kunden, welches in unseren spielerisch-gestalteten E-Learning-Kursen Anklang findet. In nur 45 Minuten lernen Mitarbeiter alles Wichtige zum Thema Datenschutz im Berufsleben. Nach erfolgreichem Abschluss der Schulung erhalten die Teilnehmer ein Zertifikat. Damit erfüllen Unternehmen die gesetzlichen Schulungspflichten im Datenschutz und sind in Zeiten von Cybergefahren auf der sicheren Seite!

Cloud Act: transnationaler Datenzugriff erlaubt! – Über die Hintergründe

Der Cloud Act ist ein US-amerikanischer Act der sich mit dem Zugriff von US-Behörden auf im Ausland gespeicherte Daten von US-Unternehmen sowie dem Zugriff ausländischer Behörden auf in den USA gespeicherte Daten befasst. Er erging im Rahmen eines haushaltsrechtlichen Acts. Dem vorausgegangen war ein Verfahren der US-Regierung gegen Microsoft wegen der Herausgabe von in Irland gespeicherten Daten.  Konkret ging es hierbei um das E-Mail-Postfach eines Outlook-Nutzers, der des Drogenhandels verdächtigt wurde. Seine Daten waren auf einem irischen Server gespeichert. Microsoft widersetzte sich zunächst dem Herausgabeverlangen mit der Begründung, dessen Rechtmäßigkeit habe sich nach irischem Recht zu richten. Nachdem ein Gericht die Herausgabe der Daten gegenüber Microsoft angeordnet hatte, hob das Berufungsgericht diese Entscheidung wieder auf. Die US-Regierung ging hiergegen wiederum vor und brachte die Sache vor den Supreme Court. Dessen Entscheidung kam man mit dem Erlass des Cloud Act jedoch zuvor. Auf Antrag der US-Regierung wurde das Verfahren vom Supreme Court daraufhin eingestellt.

Wozu gibt es eigentlich den Cloud Act und was regelt dieser?

Der Cloud Act beruht auf den Erwägungen, dass Bemühungen der Regierung der Vereinigten Staaten zum Schutz der öffentlichen Sicherheit durch die Unfähigkeit, auf außerhalb der Vereinigten Staaten gespeicherte aber in der Obhut von US-Dienstleistern befindliche Daten zuzugreifen, behindert werden. Zudem gäbe es vermehrt Anfragen ausländischer Regierungen auf die Daten von US-Dienstleistern zu Zwecken der Kriminalitätsbekämpfung zugreifen zu dürfen. Die US-Dienstleister würden hierdurch in eine schwierige Situation gebracht, da entweder ausländisches Recht die Herausgabe von Daten verlangen kann, die nach US-amerikanischem Recht nicht herausgegeben werden dürfen, oder die Herausgabe an US-Behörden nach ausländischem Recht verboten sein kann. Diese potentiellen Probleme widersprüchlicher Verpflichtungen sollen nun durch internationale Abkommen gelöst werden. (Vgl. hierzu „congressial findings“ zum Cloud Act)

Konkret geht es um eine Änderung des „United States Code“ (USC), der eine Sammlung und Kodifikation des allgemeinen und permanenten Bundesrechts der Vereinigten Staaten darstellt. Straf- und Strafprozessrechtliche Fragen sind dort in Titel 18 geregelt, der wiederum 601 Kapitel enthält. Das 121. Kapitel besteht aus den Paragraphen 2701-2712 und beschäftigt sich mit dem staatlichen Zugriff auf elektronisch gespeicherte Daten.

Hier wird an den § 2703 (Required disclosure of customer communications or records) der bisher aus den Absätzen (a) – (g) bestand ein weiterer Absatz (h) eingefügt. Dieser Absatz ist das Kernstück des Cloud Act und beschreibt ein besonderes gerichtliches Verfahren, das im Falle einer oben beschriebenen Konfliktsituation Anwendung finden soll. Dieses Verfahren ist speziell für solche Fälle vorgesehen und auf anderem Wege kann ein Unternehmen nun nicht mehr die Herausgabe von Daten mit der Begründung verweigern, dass das Recht des Landes in dem die Daten gespeichert sind, entgegen steht.

Welche Voraussetzungen müssen gegeben sein?

Antragsvoraussetzung für dieses Verfahren ist zunächst, dass der zur Herausgabe aufgeforderte Dienstleister vernünftigerweise davon ausgeht, dass es sich bei dem Betroffenen nicht um einen US-Bürger handelt und, dass eine Herausgabe mit erheblicher Wahrscheinlichkeit gegen das ausländische Recht eines Staates verstoßen würde, der sich zuvor im Sinne des Cloud Act qualifiziert hat (Zur Qualifizierung eines ausländischen Staates ist es notwendig, dass sich der Staat zuvor in einem bilateralen Vertrag verpflichtet, bestimmte grundrechtliche und rechtsstaatliche Voraussetzungen zu erfüllen, insbesondere bezüglich Datenschutz und Privatsphäre. Zudem muss ein dem Cloud Act vergleichbarer Rechtsschutz geschaffen werden.)

Anschließend wird – nachdem der Behörde, die die Daten verlangt, Gelegenheit zur Stellungnahme gegeben wurde – durch das Gericht eine umfangreiche Abwägung vorgenommen, ob im Hinblick auf die Gesamtheit der Umstände die Interessen der Justiz sowie die Schwere des Verstoßes gegen das ausländische Recht eine Aufhebung oder Abänderung des Herausgabeverlangens erforderlich ist. Dies jedoch nur, wenn der Betroffene tatsächlich kein US-Bürger ist und nicht in den USA lebt.

Bei dieser Abwägung sollen dann „soweit angemessen“ berücksichtigt werden:

  • die Interessen der Vereinigten Staaten, einschließlich der Untersuchungsinteressen der Regierungsstelle, die die Offenlegung verlangt
  • die Interessen der qualifizierten ausländischen Regierung an der Verhinderung einer verbotenen Offenlegung
  • die Wahrscheinlichkeit, den Umfang und die Art der Sanktionen gegen den Anbieter oder Mitarbeiter des Anbieters aufgrund uneinheitlicher gesetzlicher Anforderungen
  • falls bekannt, den Ort und die Nationalität des Betroffenen, dessen Kommunikation herausverlangt wird und die Art und den Umfang seiner Verbindung mit den USA bzw. mit dem Staat, der die Herausgabe verlangt
  • Art und Umfang der Verbindungen und der Präsenz des Anbieters in den Vereinigten Staaten
  • die Bedeutung für die Untersuchung der zu veröffentlichenden Informationen
  • die Wahrscheinlichkeit eines rechtzeitigen und effektiven Zugangs zu den Informationen, die durch Mittel offengelegt werden müssen, die weniger schwerwiegende negative Folgen haben würden
  • ggf. die Untersuchungsinteressen der ausländischen Behörde, die ein Rechtshilfeersuchen stellt


Ausblick

Grundsätzlich entfaltet das Verfahren Suspensivwirkung (die Daten dürfen jedoch keinesfalls gelöscht werden). Das Gericht kann diese aber aufheben, wenn eine sofortige Vorlage zur Abwendung eines Schadens erforderlich ist. Offen sind die Auswirkungen auf den Datenverkehr mit der EU. Wenn die EU sich entsprechend qualifizieren lässt (wovon ausgegangen werden kann) ließe sich eine DSGVO-Konformität durch einen Angemessenheitsbeschluss der Kommission herstellen. Es könnte sich zudem auch um eine Zusammenarbeit nach Art. 50 handeln.

 

Die DSGVO kommt: das sollten Unternehmen jetzt beachten

Am 25. Mai 2018 muss die Datenschutz-Grundverordnung umgesetzt werden. Mit ihr gehen zahlreiche Neuerungen bezüglich datenschutzrechtlicher Vorgaben einher. Diese betreffen die inhaltlichen Anforderungen an die Rechtmäßigkeit von Datenverarbeitungen, aber auch formale Verfahren wie Dokumentation und Informationspflichten. Da die Verordnung anders als Richtlinien keiner Übergangszeit oder Umsetzung bedarf, wirkt sie ab dem 25. Mai in der von der EU erlassenen Form unmittelbar auch in Deutschland. Unternehmen, die bisher ihre Prozesse noch nicht an den Vorgaben der DSGVO orientiert haben, sollten mit dieser Umstellung sofort beginnen, da es viele Prozesse innerhalb des Unternehmens gibt, die von den Veränderungen betroffen sind. Dieser Artikel soll einen Überblick über die wichtigsten von der DSGVO betroffenen Felder und die rechtlichen Anforderungen an die jeweilige Umstellung geben. Insbesondere die Transparenzvorschriften der Datenschutz-Grundverordnung sind mit einem erheblich höheren Aufwand verbunden als es die bisherige Regelung im Bundesdatenschutzgesetz hergibt. Demgemäß ist mit einem besonderen Augenmerk der Aufsichtsbehörden gerade auf diesen Bereich zu rechnen. Um den erheblichen Bußgelddrohungen der DSGVO zu entgehen sollten Unternehmen daher vor allem ihre Informations- und Dokumentationsprozesse möglichst transparent gestalten.

Datenschutzerklärung

Bisher vorhandene Datenschutzerklärungen sollten dringend überarbeitet werden. Wichtigste Ursache hierfür ist die Erweiterung der Informationspflichten nach der DSGVO im Vergleich zur bisherigen Rechtslage nach dem BDSG.

So regelt Art. 13 DSGVO, dass der betroffenen Person u.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der Datenverarbeitung mitgeteilt werden, und sofern die Datenverarbeitung auf Artikel 6 Abs. 1 lit. f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder Dritten verfolgt werden. Allgemein muss der Betroffene über alle Betroffenenrechte informiert werden. Darunter fallen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht.Dabei ist zu berücksichtigen, dass der betroffenen Person die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Dabei lässt die DSGVO eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist auf die Verständlichkeit der Informationen zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast. Die Dokumentation der Umsetzung dieser Vorgaben, vor allem in der Datenschutzerklärung ist dabei empfehlenswert. Verstöße gegen die Abwägungs- und Dokumentationspflichten sind nach der DSGVO mit hohen Bußgeldern bewehrt, sie können bis zu 4% des Jahresumsatzes oder 20 Millionen Euro betragen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Ist Rechtsgrundlage der Datenverarbeitung eine Einwilligung, so ist zu beachten, dass diese nach der DSGVO formfrei möglich ist. Gemäß Art. 7 Nr. 3 DSGVO ist der Betroffene immer über sein Widerrufsrecht bezüglich der Einwilligung aufzuklären. Unter bestimmten Voraussetzungen kann die unter dem BDSG eingeholte Einwilligung auch nach Inkrafttreten der DSGVO fortgelten. Bezüglich des Widerrufs der Einwilligung sollten Unternehmen nicht nur auf die entsprechende Aufklärung des Betroffenen achten, sondern auch Prozesse zur unkomplizierten Umsetzung des Widerspruchsrechts sowie der sonstigen Betroffenenrechte achten.

Bezüglich der in der DSGVO verankerten Konzepte des Privacy by Design und Privacy by Default, also datenschutzfreundlicher technischer Voreinstellungen, ist zu beachten, dass der Betroffene den gesamten Prozess der Datenverarbeitung transparent nachverfolgen können muss. Auch hierfür kann eine entsprechend formulierte Datenschutzerklärung die richtige Grundlage sein.

Auftragsdatenverarbeiter

Entsprechend den erhöhten Anforderungen an Information und Dokumentation ist vor allem auf eine genaue Dokumentation im Zusammenhang mit Auftragsdatenverarbeitern zu achten. Art. 14 DSGVO regelt entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst, sondern von Dritten (z.B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens, das sich an Auskunfteien etc. wendet, sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar, hinzukommt jedoch die Pflicht, die Quelle aus der die Informationen stammen, mitzuteilen. Anders als im Rahmen des Artikel 13 müssen die Informationen nicht sofort übermittelt werden, ausreichend ist eine Frist von maximal einem Monat nach der Datenverarbeitung. Um diesen Informationspflichten gerecht werden zu können, müssen Unternehmen alle Anweisungen und die Zusammenarbeit mit Auftragsdatenverarbeitern genau dokumentieren. Dies kann auch das Risiko von Bußgeldzahlungen wegen Verstößen gegen das Transparenzgebot minimieren.

Bei der Einbindung von Auftragsdatenverarbeitern ist neben den Dokumentationspflichten zudem auf genaue Haftungsregelungen- und Vereinbarungen zu achten, die Risikosphären abgrenzen und mögliche Regress-Möglichkeiten beinhalten. Dadurch kann das wirtschaftliche Risiko von Verstößen gegen die DSGVO minimiert werden, da im Außenverhältnis grundsätzlich das Unternehmen haftet, das sich Auftragsdatenverarbeitern bedient, es jedoch unbillig wäre, wenn das Unternehmen allein die Kosten für Verstöße tragen müsste. Daher sollten Unternehmen darauf achten, im Innenverhältnis gegen Auftragsdatenverarbeiter vorgehen zu können.

Datenpannen und Meldepflichten

Bezüglich Datenpannen sind die unternehmensinternen Prozesse darauf zu überprüfen ob Notfallsysteme existieren, die Mitarbeitern etwa darüber Auskunft geben, wie Cyber-Angriffe technisch abzuwehren sind, wie die Meldepflichten gemäß Art. 33 und 34 DSGVO umzusetzen sind und welche Mitarbeiter des Unternehmens als Ansprechpartner dienen. Nach einer aktuellen Studie des Unternehmensverbands bitkom sind nur 4 von 10 Unternehmen mit einem Notfallsystem auf Cyber-Angriffe vorbereitet.

Recht auf Datenübertragbarkeit

Im Rahmen der Betroffenenrechte stellt vor allem das Recht auf Datenübertragbarkeit gemäß Art. 20 eine gänzliche Neuerung im Vergleich zur bisherigen Rechtslage dar. Dieser Fall behandelt vor allem die Situation des Einstellens personenbezogener Daten bei einem Sozialen Netzwerk und den Wunsch des Wechsels des Anbieters. In diesem Fall soll der Betroffene vom Erst-Anbieter die automatische Übertragung seiner Daten in einem gängigen, maschinenlesbaren und elektronischen Format auf den neuen Anbieter verlangen können. Unternehmen müssen also die technischen Voraussetzungen für dieses Format und eine entsprechende Übertragbarkeit schaffen. Das Recht auf Datenübertragbarkeit soll vor allem Anbieter-Wechsel erleichtern, vor denen Kunden u.U. wegen zu hoher Hürden durch den Neuaufbau von Accounts etc. zurückschrecken würden. Neben der Möglichkeit, die Übertragung nach Herausgabe der Daten selbst durchzuführen, hat der Betroffene zudem die Möglichkeit eine automatische Übertragung vom Erst- auf den Zweitanbieter zu verlangen. Das Recht auf Datenübertragbarkeit ist in dieser Form erstmals in der DSGVO zu finden und kann neben sozialen Medien etwa auch in HR-Systemen beim Arbeitgeberwechsel Anwendung finden.

Privacy by Design/Default

Artikel 25 DSGVO enthält Vorgaben zu Privacy by Design und Privacy by Default. Unternehmen sollten daher überprüfen ob ihre Datenverarbeitungsprozesse den Vorgaben an datenschutzfreundliche technische Voreinstellungen entsprechen.

Branchenspezifische Besonderheiten

Daneben beinhaltet die DSGVO einige Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten. Unternehmen sollten daher branchenspezifisch überprüfen ob die von ihnen verarbeiteten personenbezogenen Daten den besonderen diesbezüglichen Anforderungen der DSGVO entsprechen.

Mitarbeiter-Schulungen

Zudem ist Unternehmen aus vielerlei Gründen zu empfehlen, Mitarbeiter bezüglich der Neuerungen der DSGVO zu schulen. Nicht nur die rechtzeitige Umsetzung von Meldepflichten, sondern auch die Durchführung von Interessenabwägungen oder das Einholen von Einwilligungen können im Einzelfall bußgeldbewehrte Risiken schaffen, die durch Schulungen vermieden werden können. Insbesondere Mitarbeiter mit direktem Kundenkontakt sowie die IT-Abteilungen sollten hier im Vordergrund stehen.

HR und Betriebsrat

Nicht nur die Verarbeitung personenbezogener Daten von Kunden, sondern auch die Daten von Mitarbeitern sind von den Umstellungen der DSGVO betroffen. Betriebsrat und HR-Department sollten daher ebenfalls über die Umstellungen der DSGVO informiert werden. So kann etwa das Recht auf Datenübertragbarkeit unter Umständen auch beim Wechsel des Arbeitgebers bezüglich der in HR-Systemen gespeicherten Daten Anwendung finden.

Fazit und Handlungsempfehlung für Unternehmen

Unternehmen ist zu empfehlen, die weitere Rechtsprechung und Gesetzgebung auf deutscher wie europäischer Ebene weiter zu verfolgen wie etwa die Empfehlungen der Artikel-29-Datenschutzgruppe und ähnlicher Kommentierungen. Auch wir halten Sie in Sachen DSGVO weiter auf dem Laufenden.

Cyber-Angriffe: Bedrohungslage, Angriffsarten und Meldepflichten

Im Frühjahr und Sommer 2017 ereigneten sich binnen kurzer Zeit viele Cyber-Angriffe auf Krankenhäuser, Unternehmen und Behörden. So legte eine Schadsoftware im Mai 2017 viele Krankenhäuser und Praxen des britischen Gesundheitsdienstes NHS lahm. Lange Zeit war unklar ob auch ein Zugriff auf besonders sensible Patientendaten erfolgt war. Als Reaktion auf die Angriffe verlangte die britische Innenministerin, dass der NHS seine IT-Systeme besser schütze. Trotz der unbestritten vorhandenen, kriminellen Energie der Angreifer, ging also auch und gerade ein Vorwurf an die vom Angriff betroffenen Unternehmen.
Ähnliche Reaktionen erfolgten nach Cyberattacken auf das dänische Unternehmen Maersk, das die größte Transportschifffahrtsgesellschaft der Welt betreibt und das britische Unternehmen Reckitt Benckiser, das viele Drogerie-Produkte vertreibt. Auf beide Unternehmen erfolgte ein Angriff durch NotPetya-Trojaner. Reckitt Benckiser prognostizierte für 2016 einen Umsatzrückgang von zwei Prozent, weil die installierte Anti-Viren-Software nicht in der Lage war den Trojaner abzuwehren. Nach den Unternehmensangaben von Maersk waren auch installierte Windows-Updates nicht in der Lage den Schaden zu verhindern.
Eine Studie des Digitalverbandes Bitkom, die im September 2017 veröffentlich wurde, stellte fest, dass nur 4 von 10 Unternehmen auf Cyber-Angriffe durch ein Notfallsystem vorbereitet sind. Insbesondere kleinere und mittlere Unternehmen verfügen nicht über entsprechende Absicherungen. Bei Betreibern kritischer Infrastrukturen (KRITIS), z.B. Energievesorgern, liegt die Zahl nur unwesentlich höher. Notfallsysteme enthalten in Schriftform Maßnahmen, die sofort eingeleitet werden müssen, wenn Cyber-Angriffe erkannt werden. Neben dem Ziel den Angriff abzuwehren, kann auf diesem Weg auch der Schutz personenbezogener Daten verbessert werden. Die Maßnahmen können dabei vielschichtig sein, etwa in der sofortigen Einholung von Rechtsrat, der Verständigung der Aufsichtsbehörden und der Betroffenen (zu den entsprechenden Meldepflichten s. weiter unten) oder einem Verhaltenskodex für Mitarbeiter bestehen.

Die Bedrohungslage

Cyberangriffe führen dabei häufig zu Imageschäden und enormen Kosten bei der Folgenbeseitigung und Verbesserung der IT-Systeme. Imageschäden entstehen dabei vor allem durch Identitäts- und Datendiebstahl und immer häufiger auch durch Cybererpressung. Das gezielte Lahmlegen von IT-Systemen durch DDoS-Attacken wie sie vor einigen Jahren gegenüber Sony erfolgte, könnte erhebliche Umsatzeinbußen bewirken. Insgesamt sind es also vor allem die Folgen der Cyberattacke und nicht die Attacke selbst, die erhebliche Schäden für die betroffenen Unternehmen bewirken.
Darüber hinaus treffen Unternehmen im Falle von Cyber-Angriffen wichtige Meldepflichten bei sog. „Datenpannen“. Werden diese verletzt, so drohen Bußgeldzahlungen (und weitere Imageschäden). Nach Inkrafttreten der EU-Datenschutzgrundverordnung im Mai 2018 werden diese Bußgelder erheblich erhöht. Unternehmen sollten daher dringend darauf achten, diese Meldepflichten zu wahren, um die entstandenen Schäden im Falle von Cyber-Angriffen möglichst einzugrenzen und im Rahmen zu halten.

Angriffsarten

„Jeder mit dem Internet verbundene Computer ist Angriffen ausgesetzt“
Doch welche Arten von Angriffen drohen konkret? Die Mittel und Methoden für Cyber-Angriffe sind heute sehr vielfältig:

  • Spam-Mail
  • Schadsoftware (Mal- oder Junkware)
  • Drive-by-Exploits
  • Brute-Force Angriffe
  • DDoS-Attacken
  • Phishing-Mails
  • Ransomsoftware

Bei den hier aufgezählten Angriffsmethoden handelt es sich lediglich um die prominentesten Varianten. Sie bilden daher nur einen kleinen Ausschnitt ab.
Gegenmaßnahmen sind bezüglich der überwiegenden Zahl der Angriffsarten auf technischer Ebene zu ergreifen. Spamfilter sind heute bereits Standard und erkennen den größten Teil fragwürdiger E-Mails. Brute-Force Angriffe machen sich bspw. schlechte Passwortsicherheit zu Nutze, sodass hier ein besonderer Schwerpunkt bei der Verbesserung der eigenen IT-Sicherheit liegen sollte. Regelmäßige Passwortwechsel erhöhen im Allgemeinen den Schutz vor Brute-Force Angriffen.
Der Faktor Mensch und dessen Sensibilisierung darf jedoch ebenso wenig vernachlässigt werden. Diese „Schwachstelle“ wird insbesondere beim sog. Social Engineering durch Phishing-Mails ausgenutzt. Bei Angriffen dieser Art versuchen Kriminelle, ihre Opfer dazu zu verleiten selbständig eigene Daten preiszugeben, eigenhändig Malware auf ihrem System zu installieren oder Schutzmaßnahmen zu umgehen. Dabei gehen die Täter sehr geschickt vor, indem sie Neugier und andere menschliche Schwächen ausnutzen, um so Zugriff auf sensible Daten zu erhalten. Waren diese in der Vergangenheit oftmals schon bei oberflächlicher Betrachtung als potentielle Angriffe erkennbar, etwa weil sie durch fragwürdige Absender, schlechte deutsche Sprache oder gar in Fremdsprachen verfasst, auffielen, werden diese E-Mails zunehmend professioneller und unauffälliger. Gute deutsche Grammatik, seriöse Absenderadressen und teilweise persönliche Ansprache des Empfängers, machen die Identifizierung immer schwieriger und die Gefahr für Unternehmen und Einzelpersonen damit umso größer.
Zur Informationen über mögliche Schutzmaßnahmen bei Cyber-Angriffen dient die Website des Bundesamtes für Sicherheit in der Informationstechnik.

Meldepflichten

Liegt ein Cyberangriff auf personenbezogene Daten vor, wird häufig von einer „Datenpanne“ gesprochen. Eine solche liegt z.B. bei unberechtigtem Zugriff Dritter auf Datensammlungen vor. Unberechtigt ist ein solcher Zugriff immer dann, wenn keine Legitimationsgrundlage hierfür besteht. Wie nach der bisherigen Rechtslage auch, liegt eine solche Rechtfertigung nach der neuen EU-Datenschutzgrundverordnung vor allem dann vor, wenn der Betroffene eingewilligt hat (Art. 6 Abs.1 a DSGVO) oder die Interessen des Zugreifenden diejenigen des Betroffenen überwiegen (Art. 6 Abs.1f DSGVO). Ein solches Interesse dürfte im Falle eines Cyber-Angriffs nur höchst selten angenommen werden können und ist daher restriktiv auszulegen, zumal öffentliche Interessen wie Sicherheitsaspekte bereits eigene Rechtfertigungsnormen in der DSGVO erfahren. Zu erwähnen ist, dass eine Datenpanne auch beim Verlust eines Datenträgers oder anderen Verstößen gegen datenschutzrechtliche Vorschriften angenommen werden kann. Auch in diesen Fällen können Meldepflichten entstehen. Sie sind also nicht auf den Fall von Cyberangriffen beschränkt.

Wegen des unmittelbaren Betroffenseins des Rechts auf informationelle Selbstbestimmung bestehen Meldepflichten beim unberechtigten Zugriff auf personenbezogene Daten mittlerweile in erheblichem Umfang. Waren Unternehmen früher noch stärker von der Verlockung getrieben „Datenpannen“ unter den Teppich zu kehren, wird heute durch strenge Regelungen versucht, eine solche Vertuschung auszuschließen.
Meldepflichten ergeben sich aus:

  • dem Bundesdatenschutzgesetz (BDSG)
  • dem Bundesdatenschutzgesetz (BDSG NEU)
  • dem Telemediengesetz (TMG)
  • dem Telekommunikationsgesetz (TKG)
  • dem IT- Sicherheitsgesetz (ITSG)

sowie aktuell besonders relevant:

  • Der EU-Datenschutzgrundverordnung (EU-DSGVO)

Die Grundvorschrift zu den datenschutzrechtlichen Meldepflichten bildet der § 42a BDSG. Aus diesem ergibt sich für Unternehmen die Pflicht, im Fall eines begründeten Verdachtes über den Verlust und den Zugriff auf Daten – auf welchem Weg auch immer – die Datenschutz-Aufsichtsbehörde und die Betroffenen zu informieren. Eine solche Benachrichtigung hat dabei unverzüglich zu erfolgen. Zu beachten ist insofern, dass im Rahmen des § 42a BDSG allein der Verlust von Daten der entsprechenden Datenkategorien noch nicht zu einer Meldepflicht führt. Vielmehr wurde vom Gesetzgeber – als Korrektiv – zusätzlich das Erfordernis einer drohenden schwerwiegenden Beeinträchtigung der Rechte des Betroffenen als Folge des Verlustes eingefügt. Ob eine solche gegeben ist, ist einzelfallabhängig und sollte erst nach erfolgter rechtlicher Beratung entschieden werden. Wichtig ist, dass § 42a BDSG sich nicht auf alle Arten von personenbezogenen Daten, sondern nur auf besonders sensible Daten bezieht. Erfasst sind besondere Arten personenbezogener Daten gemäß § 3 Abs.9 BDSG (z.B. zu Sexualität oder ethnische Herkunft), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten mit straf- oder ordnungswidrigkeitsrechtlichem Bezug sowie personenbezogene Daten, die sich auf Bank- und Kreditkartenkonten beziehen. Eine Einbeziehung von Telemedienanbietern in den Kreis der Meldepflichtigen ergibt sich aus den Verweisungen des § 15a TMG. Sie treffen Meldepflichten im Falle unrechtmäßiger Kenntniserlangung von personenbezogenen Daten durch Dritte. §15a TMG verweist dabei auf § 42a BDSG, der damit entsprechend gilt. Der Begriff der Telemedienanbieter ist nach der Rechtsprechung weit zu verstehen, sodass in der Praxis jeder Betreiber einer Webseite als solcher angesehen werden kann. Die daraus resultierenden Meldepflichten bestehen als Spezialnorm unabhängig beziehungsweise neben denen des BDSG, was häufig übersehen wird. Besonders zu beachten ist diesbezüglich, dass es sich insofern nicht um besonders sensible Daten handeln muss. Für eine parallele Anwendung von TMG und BDSG genügt es, wenn Bestands- oder Nutzungsdaten betroffen sind, soweit § 42a BDSG im Wege der Verweisung des TMG zur Anwendung kommt. Für Telekommunikationsdienstleister ergeben sich Meldepflichten gegenüber der Bundesnetzagentur und den Bundesdatenschutzbeauftragen aus § 93 Abs.3 TKG i.V.m. § 109a TKG, falls eine Datenschutzverletzung festgestellt wurde.

Problematisch ist die Kategorisierung im Hinblick auf die Meldepflichten des § 15 a TMG aktuell vor allem im Bereich der Webshopbetreiber. Es ist nicht abschließend geklärt unter welchen Umständen die Meldepflicht für Webshopbetreiber ausgelöst wird. Nach dem Wortlaut des § 15 a TMG liegen Bestandsdaten, die eine Meldepflicht auslösen, dann vor, wenn diese zur Nutzung des Telemediums erhoben werden. Klassisches Beispiel für die Nutzung von Telemedien sind aktuell Streaming-Plattformen wie etwa Netflix oder Itunes. Die in diesem Zusammenhang erhobenen Daten (wie bspw. Name, Alter etc.) werden zur Nutzung des entsprechenden Telemediums (etwa zur Berücksichtigung von Altersbeschränkungen) gebraucht. Demgegenüber dienen die von Webshops erhobenen Daten (Name, Anschrift, Passwort) vor allem zur Eingehung und Erfüllung von Kaufverträgen. Trotz der sichtbaren Unterschiede der angebotenen Leistungen behandelt die Rechtsprechung beide Fällen momentan gleich. Die personenbezogenen Daten, die ein Webshop über den Nutzer speichert, werden als Bestandsdaten eingeordnet, soweit sie unmittelbar die Nutzung des Shops betreffen, und lösen bei Zugriff Dritter die Meldepflicht nach § 15a TMG aus. Als Inhaltsdaten, die im Falle rechtswidrigen Zugriffs keine Meldepflicht auslösen, würden diese nach aktueller Lage allenfalls dann gelten, wenn der Nutzer des Shops als „Gast“ bestellt, ohne seine Daten zu speichern.
Bezüglich Telekommunikationsdiensten trifft die Anbieter bei Verletzung des Schutzes personenbezogener Daten eine Meldepflicht gemäß § 93 Abs.3 TKG in Verbindung mit § 109a Abs.1 Satz 2 in Verbindung mit § 109 Abs.2 TKG.

Die Meldepflichten nach der EU-DSGVO

Das System der Meldepflichten erfährt durch die neue EU-Datenschutzgrundverordnung, die am 25. Mai 2018 in gilt, eine Reform. Die Meldepflichten sind nun in zwei separaten Artikel geregelt und werden danach unterschieden ob sie gegenüber den Datenschutzaufsichtsbehörden (Artikel 33 DSGVO) oder dem Betroffenen (Artikel 34 DSGVO) bestehen.

Die Mitteilungspflichten gegenüber den Aufsichtsbehörden:
Art. 33 DSGVO enthält im Vergleich zu § 42a BDSG verschärfte Anforderungen an die Meldepflichten. Zunächst regelt Art. 33 DSGVO, dass „Im Falle einer Verletzung des Schutzes personenbezogener Daten“ der Verantwortliche eine unverzügliche Meldepflicht gegenüber der zuständigen Aufsichtsbehörde hat, der er („möglichst“) binnen 72 Stunden nachzukommen hat. Diese Meldepflicht besteht nur dann nicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Sollte der Verantwortliche seiner Meldepflicht nicht binnen 72 Stunden nachkommen, so hat er die Fristversäumnis zu begründen. Hierfür genügt grundsätzlich kein bloßes Organisationsverschulden oder die Fahrlässigkeit oder fehlende Kenntnis der Meldepflichten bei Mitarbeitern. Unternehmen ist es daher dringend anzuraten ihre Mitarbeiter rechtzeitig über die Meldepflichten der DSGVO zu schulen um den hohen Bußgelddrohungen der Art. 82ff. DSGVO zu entgehen.
Erster wesentlicher Unterschied zu § 42a BDSG ist, das alle Arten von personenbezogenen Daten und nicht nur solche besonderer Art umfasst sind. Berücksichtigt man diese Tatsache so wird deutlich, wie weit der Anwendungsbereich der Meldepflichten nach Art. 33 DSGVO bei der „Verletzung des Schutzes personenbezogener Daten“ ist. Denn Art. 4 Nr.12 DSGVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung (…) führt“. Damit sind mehr als die klassischen „Datenpannen“, sondern nahezu jegliche Gefahren für personenbezogene Daten erfasst.
Zudem wird die erhöhte Wahrscheinlichkeit von Meldepflichten durch Art. 33 DSGVO im Vergleich zu § 42a BDSG dadurch deutlich, dass kein „unrechtmäßiges Übermitteln“ und keine „unrechtmäßige Kenntnisnahme“ durch Dritte mehr erforderlich sind, sondern die bloße Verletzung der Sicherheit personenbezogener Daten (z.B. durch bloßen Verlust eines Datenträgers) genügt.
Eingeschränkt wird diese Weite lediglich durch den Ausschluss der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Dabei besteht gemäß Erwägungsgrund 75 ein solches Risiko insbesondere, wenn für die betroffene Person ein physischer, materieller oder immaterieller Schaden drohe. Ein solcher sei eher dann anzunehmen, wenn besonders sensible Daten, die Aufhebung einer Pseudonymisierung, Daten von Kindern oder Daten in großer Menge oder einer großen Zahl von Personen betroffen sind.

Werden Auftragsdatenverarbeitern entsprechende Verletzungen der Datensicherheit bekannt, so haben sie gemäß Art. 33 Abs. 2 DSGVO eine Meldepflicht gegenüber dem sie beauftragenden Unternehmen, das dann wiederum eine Meldepflicht gegenüber den Aufsichtsbehörden hat.
Art. 33 Abs.3 DSGVO konkretisiert den Inhalt der Meldepflichten gegenüber den Aufsichtsbehörden. Sie hat zu enthalten:
1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die entsprechenden Informationen können gemäß Art. 33 Abs.4 DSGVO auch nachgereicht werden, wenn sie innerhalb der 72 Stunden-Frist nicht gleich bereitgestellt werden können. Art. 33 Abs.5 DSGVO beinhaltet neben der Meldepflicht auch eine Dokumentationspflicht aller relevanten Vorgänge. Dieser sollten Unternehmen unbedingt nachkommen. Zum einen wird dadurch den Aufsichtsbehörden die Schadensbehebung erleichtert, zum anderen können Unternehmen damit u.U. Nachweise über erbrachte technische Schutzmaßnahmen erbringen und damit die Bußgeldzahlungen minimieren.

Die Mitteilungspflichten gegenüber der betroffenen Person
Führt die Verletzung des Schutzes personenbezogener Daten zu einem „hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“, so besteht neben der Mitteilungspflicht an die Aufsichtsbehörden auch eine Mitteilungspflicht gegenüber der betroffenen Person (Art. 34 DSGVO). Diese Mitteilung hat in klarer und einfacher Sprache zu erfolgen und hat einen ähnlichen Inhalt wie die Mitteilungspflicht gegenüber den Aufsichtsbehörden. Erwägungsgrund 86 verweist darauf, dass die betroffene Person insbesondere darüber informiert werden sollte, wie sie die Folgen der Verletzung minimieren kann. Zudem sei die Mitteilung in Absprache mit den Aufsichtsbehörden und gegebenenfalls mit den Strafverfolgungsbehörden zu erfolgen. Eine unverzügliche Benachrichtigung sei etwa geboten, um einen unmittelbar drohenden Schaden abzuwenden, etwas mehr Zeit bestehe, wenn etwa fortlaufende Verletzungen vorlägen.

Diese Mitteilungspflicht ist ausgeschlossen, wenn vor der datenschutzrechtlich relevanten Verletzung ausreichend dafür Sorge getragen wurde, dass Dritte von den Daten keine unbefugte Kenntnis erlangen (Art. 34 Abs.3a DSGVO). Art. 34 Abs.3a DSGVO nennt als Beispiel die Verschlüsselung von Daten, die etwa im Falle des Verlusts eines Datenträgers verhindern, dass Dritte Zugriff auf die Daten nehmen können. Gleiches gilt, wenn der Verantwortliche nach der Verletzung entsprechende Maßnahmen ergreift und dadurch das hohe Risiko für die Verletzung der Rechte und Freiheiten natürlicher Personen beseitigt (Art. 34 Abs.3b DSGVO). Im Unterschied zur Mitteilungspflicht gegenüber den Aufsichtsbehörden ist hier also die Kenntniserlangung durch Dritte ein wesentliches Ausschlusskriterium. Zu beachten ist, dass trotz dieses Ausschlusskriteriums auch bei ausreichendem Schutz vor Kenntniserlangung durch Dritte, die Mitteilungspflicht gegenüber den Aufsichtsbehörden nach Art. 33 DSGVO bestehen bleibt. Ist die Benachrichtigung der einzelnen betroffenen Personen nur mit unverhältnismäßigen Aufwand möglich, so genügt eine öffentliche Bekanntmachung oder ähnliche Mitteilung (wie z.B. eine E-Mail über den zentralen Kundenverteiler).
Wichtig ist, dass Erwägungsgrund 87 ausdrücklich darauf verweist, dass sie die Meldepflichten nicht in bloßen Pflichten zur Mitteilung erschöpfen. Vielmehr haben Unternehmen dafür Sorge zu tragen, dass Verletzungen auch unverzüglich erkannt werden können. Die Verletzung dieser Pflicht kann ebenfalls die hohen Bußgelddrohungen der DSGVO auslösen.

Fazit

Am 25. Mai 2018 treten mit der DSGVO selbst auch ihre hohen Bußgelddrohungen in Kraft. Sie können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen. Um diese Bedrohungen zu verringern, sollten Unternehmen Cyber-Angriffe rechtzeitig erkennen und ihre Meldepflichten wahren, was vor allem durch entsprechende Mitarbeiterschulungen im Bereich IT-Sicherheit gewährleistet werden kann. Neben Investitionen in die Cyber-Sicherheit können damit Vorwürfe an das eigene Verschulden ebenso minimiert werden, wie Bußgeldzahlungen.

ISiCO ist Mitglied der Allianz für Cybersicherheit des BSI

Wir präsentieren Ihnen unsere Mitgliedschaft bei der Allianz für Cybersicherheit! Damit erweitern wir unsere Partnerschaften mit anerkannten Initiativen, um uns mit anderen Branchenexperten über die Themen Cybersicherheit und Datenschutz auszutauschen.
Als anerkannter Experte für Datenschutz, IT-Sicherheit und Compliance sind wir überzeugt davon, dass unsere Kenntnisse über diese Themenbereiche die Initiative bereichern wird.

Was ist die Allianz für Cybersicherheit?

Die Allianz für Cybersicherheit ist eine Kampagne des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. Diese wurde in Kooperation mit dem Digitalverband BITKOM gegründet und dient dazu, in Zeiten der Cyberkriminalität aktuelle und fundierte Informationen zur Verbesserung der IT-Sicherheit bereitzustellen. Des Weiteren können sich Mitglieder dieses Programms untereinander austauschen, um Gefahren, wie z.B. Netzangriffe oder Datenlecks, vorzubeugen.

Das Teilnehmerfeld der Allianz für Cybersicherheit ist breit gefächert und deckt annähernd alle Branchen der öffentlichen Verwaltung, Ökonomie und Forschung ab. Daher liefert die Initiative ideale Grundvoraussetzungen, um sich mit anderen Mitgliedern über fachliche Dialoge auszutauschen.

Die Herausforderungen des Datenschutzes in einer digitalisierten Welt

Diese Absichten überschneiden sich mit den Aufgaben und Diensten der ISiCO Datenschutz GmbH. Unser Ziel ist es, Unternehmen u.a. auf die Herausforderungen im Zuge der kommenden Datenschutz-Grundverordnung (DSGVO) vorzubereiten und sie bei der Umsetzung zu unterstützen. Die DSGVO wird am 25. Mai 2018 in der gesamten Europäischen Union wirksam und bringt weitreichende Veränderungen in Datenschutz und Datensicherheit für Unternehmen mit sich. Bei Nichteinhaltung der neuen Datenschutzregeln kommen auf Unternehmen je nach Jahresumsatz zum Teil drastische Bußgelder zu.

Da das Risiko für Firmen sehr hoch ist und viele sich noch nicht mit den neuen Vorschriften auseinandergesetzt haben, empfehlen wir eine fundierte und fachliche Beratung.

Studien sind alarmierend: Unternehmen haben Schwierigkeiten mit der IT-Sicherheit

Laut einer aktuellen Studie der Heise-Tochter techconsult hat jede vierte Firma Probleme mit dem eigenen IT-Netzwerk. Die Sicherheit der IT-Systeme sollte jedoch unter keinen Umständen vernachlässigt werden, da in der Folge Cyberangriffe leicht passieren können. Folglich hätten Unternehmen umfassende Reputations-Probleme, bei der das Image und die Wahrnehmung in der Öffentlichkeit stark in Mitleidenschaft gezogen werden kann. Außerdem sei den Verantwortlichen der zeitliche Aufwand zu hoch und es würden zu viele Mitarbeiter der IT-Abteilung in Anspruch genommen werden.

Der Studie nach liegt die größte Problematik in der Anfälligkeit der internen Netzwerke, die einen normalen Betriebsablauf beeinträchtigen können. Um dem vorzubeugen wird zu einer ordentlichen Wartung der Infrastruktur geraten, um potentielle Angriffsziele sicherer zu gestalten. Das IT-Netzwerk ist das wichtigste Instrument in einer funktionierenden Infrastruktur eines jeden Unternehmens und muss dementsprechend geschützt und up-to-date gehalten werden.

Falls auch Sie Beratung für die Sicherheit Ihrer IT-Systeme benötigen, kontaktieren Sie uns! Unser Expertenteam der ISiCO Datenschutz ist gerne für Sie da und unterstützt Sie in wichtigen Fragen zu Datenschutz und Datensicherheit sowie der IT-Sicherheit.

Datenschutzrechtliche Anforderungen an Gesundheits- und Fitness-Apps:

In den letzten Jahren hat der technologische Fortschritt rasanten Einzug in nahezu alle Bereiche der Industrie erhalten. Die Verbindung von IT und Medizinprodukten hat sich für viele Unternehmen zu einem Milliardengeschäft entwickelt.

Mögliche Anwendungsgebiete dieser Verknüpfungen sind etwa Kontaktlinsen, die Diabetikern die Messung ihres Blutzuckerspiegels ohne Nadelstiche ermöglichen und die Ergebnisse auf dem Smartphone, einem eigenen Messgerät oder sogar in sozialen Medien anzeigen. Sowohl Apple als auch Google bieten Apps an, mittels derer die sog. „Basics“ der Gesundheitsdaten wie Herzrhythmus, Puls und Hauttemperatur erfasst und die ermittelten Daten auf dem Smartphone bzw. auf den Servern von Ärzten und Krankenhäusern gespeichert werden können.

Besonders große Aufmerksamkeit erregte eine Untersuchung von Gesundheits-, Fitness und Lifestyle-Apps, die von der Bundesdatenschutzbeauftragten und den Datenschutzbeauftragten der Länder im Jahr 2016 durchgeführt wurde. Dabei wurde insbesondere kritisiert, dass Hersteller, Betreiber und Verkäufer entsprechender Apps häufig die Informationsrechte der Betroffenen missachteten oder verletzten. So würden entsprechende Anfragen häufig mit pauschalen Verweisen auf die Datenschutzerklärung oder wegen angeblicher Nicht-Zuständigkeit abgewiesen. Problematisch bei der Durchsetzung der datenschutzrechtlichen Anforderungen war, dass viele der betroffenen Unternehmen nur mit Serviceniederlassungen und nicht mit Geschäftssitzen in Deutschland vertreten waren.
Zudem kam die Untersuchung zu dem Ergebnis, dass viele der untersuchten Datenschutzerklärungen unverständlich seien. Sie seien oft zu lang, zu fachspezifisch und zum Teil nicht einmal in deutscher Sprache formuliert gewesen. Zudem erfolge häufig ein Verweis auf die generelle Datenschutzerklärung des Unternehmens, ohne dass der besonders schützenswerte Charakter von Gesundheitsdaten und deren Verarbeitung im Einzelfall berücksichtigt würde.
Zudem würden die erhobenen Daten häufig an Dritte weitergegeben, ohne dass der Nutzer erfahre, um wen es sich dabei konkret handele, wenn etwa auf die Weitergabe der Daten an „verbundene Unternehmen, zu Forschungs-und Marketingzwecken“ verwiesen werde. Dies sei insbesondere vor dem Hintergrund besorgniserregend, dass durch Gesundheits- und Fitness-Apps oft eine Vielzahl von Daten erhoben werde, die ein präzises Bild vom Tagesablauf des jeweiligen Nutzers gebe und eine Profilbildung ermögliche.

Veränderungen durch die DSGVO

Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung („DSGVO“) in den EU-Mitgliedstaaten. Mit ihr unterliegen viele datenschutzrechtliche Aspekte einer inhaltlich verschärften Regelung. Insbesondere die Transparenz- und Informationspflichten gegenüber dem Betroffenen unterliegen strengen Anforderungen. Unter Geltung der DSGVO drohen damit Herstellern und Betreibern von Gesundheits- und Fitness-Apps im Falle ähnlicher Vernachlässigungen, wie sie die Datenschutzbeauftragten des Bundes und der Länder feststellten, hohe Bußgelder.

Im Einzelnen enthält die DSGVO folgende Besonderheiten:

Allgemein sind die Informationspflichten durch die DSGVO gegenüber der betroffenen Person im Vergleich zum bisher geltenden Bundesdatenschutzgesetz (BDSG) deutlich gestiegen. So regelt Artikel 13 DSGVO, dass der betroffenen Person u.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie das Bestehen von Auskunfts- und Widerspruchsrechten mitgeteilt werden. Gleiches gilt für die Rechtsgrundlage der Datenverarbeitung. Vor allem die Angabe des Zwecks der Datenverarbeitung sollte die Hersteller und Betreiber von Gesundheits- und Fitness-Apps aufhorchen lassen. Der bloße Verweis auf „Forschungs- und Marketingzwecke“ dürfte dann nicht mehr genügen, vielmehr muss im Einzelnen genau belegt werden, ob und wofür die Daten noch benötigt werden und dem Betroffenen damit die Möglichkeit der gezielten Einwilligung gegeben werden. Daneben muss der Betroffene über alle Betroffenenrechte informiert werden, also über seine Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und auf Datenübertragbarkeit. Diese Informationen müssen sich auf die konkrete Datenverarbeitung der Gesundheits-Apps beziehen und dürfen nicht durch einen allgemeinen Verweis auf die allgemeine Datenschutzerklärung des Unternehmens ersetzt werden. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht. Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden müssen. Die möglicherweise nachträgliche Profilbildung durch Analysetools der App-Betreiber ist daher unzulässig, wenn der Betroffene nicht von Anfang an darüber informiert wird und eine Widerspruchsmöglichkeit erhält.

Dabei verlangt Artikel 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Die DSGVO lässt eine schriftliche oder auch elektronische, auf spezielle diesbezügliche Anforderung des Betroffenen sogar eine mündliche Übermittlung der Informationen genügen. Demgemäß sind unverständliche, unvollständige oder nicht in deutscher Sprache verfasste Datenschutzerklärungen, wie sie die Datenschutzbeauftragten für viele Gesundheits-Apps feststellten, ein klarer Verstoß gegen eine zentrale DSGVO-Vorschrift.

Artikel 14 DSGVO regelt entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen (z.B. einer Versicherung) selbst, sondern von Dritten (z.B. vom Betreiber der App für eine Versicherung) erhoben wurden. Die Informationspflichten des Verantwortlichen sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar. Hinzu kommt jedoch die Pflicht, die Quelle aus der die Informationen stammen, mitzuteilen. Benutzt die Versicherung hierfür mehrere Apps oder Apps mit ständig aktualisierter Version, ist auf die jeweils aktuell genutzten Varianten zu verweisen.

Enthält die DSGVO spezielle Vorschriften für Gesundheitsdaten?

Ursprünglich war in der DSGVO ein Artikel 81 „Verarbeitung personenbezogener Daten für Gesundheitszwecke“ vorgesehen, dieser entfiel jedoch nach den Beratungen zur letzten Fassung. Insgesamt ist die DSGVO bezüglich Gesundheitsdaten sehr zurückhaltend. Jedoch stellen alle Daten, die von Gesundheits- oder Fitness-Apps, Wearables, Smart Watches usw. erfasst werden, „Gesundheitsdaten“, im Sinne von Artikel 4 Nr. 15 DSGVO dar. Dazu zählt bereits die Information, dass jemand gesund ist oder Kontaktlinsen trägt.
Grundsätzlich ist die Verarbeitung von personenbezogenen Daten nach der DSGVO unzulässig. Sie kann jedoch vor allem dann zulässig werden, wenn eine Einwilligung des Betroffenen vorliegt, eine Interessenabwägung zu dem Ergebnis führt, dass die Interessen des datenerhebenden Unternehmens (z.B. wirtschaftlicher Art) die Rechte und Interessen der Betroffenen Person überwiegen oder eine gesetzliche Grundlage für die Datenverarbeitung besteht.
Für Gesundheitsdaten enthält Artikel 9 DSGVO jedoch eine besondere Regelung. Während die Verarbeitung „einfacher“ (nicht besonderer) Kategorien personenbezogener Daten wie beschrieben durch Einwilligung, Interessenabwägung oder gesetzliche Grundlage rechtmäßig sein kann, bleibt die Verarbeitung von Gesundheitsdaten gemäß Artikel 9 Abs. 1 DSGVO verboten.
Lediglich in den Fällen des Artikel 9 Abs. 2 DSGVO wird die Rechtsfolge des Verbotes, also das „Verboten Sein“ und seine Konsequenzen (z.B. Bußgeldzahlungen) ausgeschlossen. Bei der Auslegung der Ausnahmetatbestände des Artikels 9 Abs. 2 DSGVO ist das grundsätzliche Verbot der Verarbeitung von Gesundheitsdaten demnach zu berücksichtigen, sodass die Ausnahmetatbestände eng auszulegen sind.
Zu beachten ist zudem, dass durch die Spezialregelung des Artikels 9 DSGVO die Verarbeitung von Gesundheitsdaten nur unter den Voraussetzungen des Artikels 9 Abs. 2 DSGVO und nicht unter den allgemeinen Erlaubnistatbeständen der DSGVO (v.a. nicht durch eine Interessenabwägung gemäß Artikel 6 Abs. 1 lit. f DSGVO) zulässig ist.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wann können Gesundheitsdaten verarbeitet werden?

Zunächst ermöglicht Artikel 9 Abs. 2 lit. a DSGVO die Verarbeitung personenbezogener Daten durch eine Einwilligung des Betroffenen. Wird diese durch die Datenschutzerklärung eingeholt, so ist auf die o.g. Informations- und Transparenzpflichten zu achten. Insbesondere muss eine Einwilligung auf der Grundlage vollständiger Informationen und aufgrund von Freiwilligkeit erfolgen. Dabei ist das Koppelungsverbot zu befolgen, wonach die Einwilligung grundsätzlich nicht mit der Zustimmung zur Verarbeitung von personenbezogener Daten kombiniert werden darf, die für den Vertragszweck nicht erforderlich sind (z.B. Marketingzwecke).
In Anbetracht der Beanstandungen der Datenschutzbeauftragten von Bund und Ländern ist zudem zu bemerken, dass die Weitergabe von Daten von Gesundheits-Apps an Dritte (z.B. Versicherungen nach dem Modell des „Connected Cars“ zur Ermittlung der Versicherungsprämien) ohne Einwilligung unzulässig ist.
Unternehmen ist dringend zu raten, die Gesetzgebung der EU und der Mitgliedstaaten genau zu verfolgen, da Artikel 9 Abs. 2 lit. a DSGVO den jeweiligen Gesetzgebern die Möglichkeit gibt, bestimmte Bereiche der Verarbeitung von Gesundheitsdaten „einwilligungsfest“ zu machen. Machen die Gesetzgeber von dieser Möglichkeit Gebrauch, wäre die Verarbeitung von Gesundheitsdaten, trotz einer Einwilligung unrechtmäßig.
Artikel 9 Abs. 2 DSGVO enthält eine Vielzahl von Verbotsausnahmen, die auch für Gesundheits-Apps greifen können. Ein Beispiel ist etwa die Sicherung lebenswichtiger Interessen, wenn die betroffene Person nicht mehr in der Lage ist, eine Einwilligung zu erteilen (z.B. bei Identifizierung der betroffenen Person bei einem von einer App angezeigten Herzinfarkt). Ebenso stellt die vorherige offensichtliche Veröffentlichung von Daten durch den Betroffenen (etwa das Posten einer erbrachten Gewichtsreduktion oder sportlichen Leistung, die per App (z.B. Runtastic) getrackt wurde) eine Verbotsausnahme dar. Daneben können auch die EU und die Mitgliedstaaten Regelungen erlassen, durch die die Verarbeitung von Gesundheitsdaten ermöglicht wird.

Spezialfall: Individuelle und Öffentliche Gesundheit

Neben der Einwilligung sind jedoch die wichtigsten Verbotsausnahmen des Artikels 9 Abs. 2 die Sicherung der individuellen (Artikel 9 Abs. 2 lit. h DSGVO) und öffentlichen (Artikel 9 Abs. 2 lit. i DSGVO) Gesundheit.
Die individuelle Gesundheit kann es gebieten, bestimmte Krankheiten und Symptome des Betroffenen fachgerecht zu behandeln und dabei auf die hierfür erforderlichen Daten zurückzugreifen. In einem solchen Fall eine Einwilligung zu fordern, könnte den Behandlungserfolg beeinträchtigen. Dabei ist es irrelevant ob die Daten per App erhoben wurden oder nicht.
Die öffentliche Gesundheit erfasst vor allem Fälle von sich ausbreitenden Gesundheitsgefahren, wie Epidemien, deren Ausbreitung per App getrackt wird oder die Erleichterung des Abrechnungssystems in Krankenhäusern. Fraglich ist, wie die Ausnahmemöglichkeit der „Qualitätssicherung für Medizinprodukte“ zu verstehen ist. Aktuell fehlt ein allgemeines Gütesiegel für Medizinprodukte, sodass es fragwürdig ist, an welchem Maßstab dieses Merkmal zu messen ist.
Wichtig ist, dass Artikel 9 Abs. 3 DSGVO für die Fälle des Artikel 9 Abs. 2 DSGVO verlangt, dass die Daten von fachkundigem Personal, das zur Verschwiegenheit verpflichtet ist, verarbeitet werden. Neben Berufsgeheimnisträgern wie Ärzten, kommt dabei somit auch sonstiges Personal in Betracht. Betreiber von Gesundheits-Apps sollten allerdings streng darauf achten, die Verpflichtung ihrer Mitarbeiter zur Verschwiegenheit genau zu dokumentieren.

Worauf ist bei App-Betreibern aus den USA zu achten? EU-US-Privacy-Shield

Viele App-Anbieter haben ihren Firmensitz in den USA, sodass die Daten auf US-Servern gespeichert werden. Aktuell ist unklar, wie die Rechtslage bezüglich des EU-US-Privacy-Shield sich weiterentwickeln und ob der Europäische Gerichtshof (EuGH) vor diesem Hintergrund Datenübertragungen in die USA für rechtmäßig befinden wird. Insbesondere für Gesundheitsdaten dürfte der EuGH hier eine besonders strenge Auslegung praktizieren, die Unternehmen dringend befolgen sollten. Irrelevant ist, ob die Unternehmen einen Geschäftssitz oder nur Servicezentralen in Deutschland haben. Die DSGVO findet immer dann Anwendung, wenn personenbezogene Daten innerhalb der EU oder mit Bezug zur EU erhoben werden.

Privacy by Design und Default

Die DSGVO verlangt gemäß den Grundsätzen des Privacy by Design und Privacy by Default datenschutzfreundliche, technische Voreinstellungen für Geräte und Software, die im Falle ihrer Missachtung ebenfalls bußgeldbewehrt ist. Insbesondere aufgrund des sensiblen Charakters von Gesundheitsdaten ist hier eine besondere Gründlichkeit geboten, die im Zweifel durch rechtliche Beratung abgesichert werden sollte. Insbesondere sollte die App dergestalt ausgerichtet sein, dass die Datenverarbeitung nicht über das Maß hinausgeht, in das der Nutzer eingewilligt hat.

Fazit und Handlungsempfehlung

Unternehmen sollten bei der Entwicklung und dem Anbieten von Gesundheits-Apps vor allem die Vorgaben der DSGVO zu Transparenz und dem besonderen Schutz von Gesundheitsdaten berücksichtigen. Die Bußgelder der DSGVO für Datenschutzverstöße können bis zu 4% des Jahresumsatzes oder 20 Millionen Euro betragen und sind damit deutlich höher als nach der bisherigen Rechtslage. Bei Gesundheits-Apps befinden sich einige rechtliche Entwicklungen noch im Ungewissen und sollten daher genauestens verfolgt und im Zweifel durch rechtliche Beratung verständlich gemacht werden.

Artificial Intelligence & Datenschutz: Was bedeutet die DSGVO für Künstliche Intelligenz?

Die Zeiten, dass Künstliche Intelligenz nur aus Hollywood Blockbustern bekannt war, in denen sich beispielsweise menschenähnliche Roboter zunächst scheinbar im Sinne des Menschen betätigen und später dann gegen ihn richten, sind vorbei. Künstliche Intelligenz ist längst in unserem Alltag angekommen, ob eher unscheinbar im Bereich der Suchmaschinen-Optimierung, wo mit Hilfe von Algorithmen passgenaue Suchergebnisse oder Werbung auf unsere Interessen angezeigt werden oder im eigenen Wohnzimmer, wo smarte Lautsprecher unseren Alltag erleichtern sollen. Immer mehr Unternehmen setzen außerdem auf Künstliche Intelligenz und Machine Learning, um Prozesse zu optimieren, Prognosen zu generieren oder für autonome Diagnoseverfahren.

Mit der im Mai 2018 endgültig in Kraft tretenden EU-Datenschutzgrundverordnung erfährt der Datenschutz eine Reform, die Unternehmen vor enorme Herausforderungen stellt. Insbesondere die Rechte der Betroffenen, also natürliche Personen, deren personenbezogene Daten verarbeitet werden, werden mit der Datenschutzgrundverordnung gestärkt.

Mit dem Recht auf Löschung (oder auch „Recht auf Vergessenwerden“) enthält die Datenschutzgrundverordnung ein Recht, mit dem betroffene Personen von dem datenverarbeitenden Unternehmen unter bestimmten Voraussetzungen verlangen kann, dass ihn betreffende Daten unverzüglich gelöscht werden. Kommen Unternehmen ihrer Pflicht zur Datenlöschung nicht nach, drohen hohe Bußgelder. Dies wird sich als schwierig erachten, wenn Unternehmen personenbezogene Daten für Machine Learning verwenden. Hier sind klare Leitlinien für die Interessenabwägung zwischen informationeller Selbstbestimmung und Datensparsamkeit einerseits und dem Interesse des datenverarbeitenden Unternehmens andererseits zu entwickeln.

Daneben wird mit der Datenschutzgrundverordnung das Auskunftsrecht betroffener Personen verstärkt. So haben betroffene Personen nicht nur ein Recht darauf zu erfahren, welche personenbezogenen Daten wie verarbeitet werden. Sie haben außerdem bei Bestehen einer automatisierten Entscheidungsfindung das Recht auf aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Hier stellt sich für Unternehmen die Frage wie diese Anforderungen unter Berücksichtigung der hohen Transparenzanforderungen und Informationspflichten der Datenschutzgrundverordnung für den Betroffenen verständlich zu erfüllen sind, ohne dass wertvolle Informationen (wie beispielsweise Algorithmen) offengelegt werden müssen.

Mit der Datenschutz-Folgenabschätzung, ebenfalls eine Anforderung aus der Datenschutzgrundverordnung, führt der Verordnungsgeber ein Instrument für unternehmerische Risikoanalysen ein, die bereits in der frühen Planungsphase eines Projekts den Blick auf Schwachstellen, die sonst erst in der späteren und vor allem kostenintensiveren Implementierungsphase berücksichtigt würden. So können z. B. Softwareentwickler frühzeitig auf mögliche Datenschutzrisiken hingewiesen werden, die Entwicklern möglicherweise zunächst nicht als kritisch erscheinen. Der weitere Entwicklungsprozess kann besser abgestimmt und im gegenseitigen Austausch erfolgen. Gerade beim Machine Learning ist es wichtig, dass der Input, die Prozesse und das Ergebnis der Datenverarbeitung durch autonome Maschinen kritisch und aus datenschutzrechtlicher Sicht geprüft werden.

Die Durchführung einer Datenschutz-Folgenabschätzung kommt zudem einer weiteren Anforderung der Datenschutzgrundverordnung nach: Datenschutz durch Technikgestaltung (Privacy-by-Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default). Privacy-by-Design einerseits soll Hersteller ermutigen, bereits bei der Entwicklung Datenschutz und Privatsphäre zu beachten. Neben Privacy-by-Design sollen Produkte außerdem standardmäßig datenschutzfreundlich eingestellt sein (Privacy-by-Default).

Fest steht – Künstliche Intelligenz, Machine Learning und das Internet der Dinge werden schon bald viele Lebensbereiche verändern und revolutionieren. Die Umsetzung der Anforderungen der Datenschutzgrundverordnung (insbesondere die der Transparenzpflicht und die Rechte betroffener Personen) hinsichtlich der Entwicklung und des Einsatzes von Künstlicher Intelligenz hingegen bleibt eine große Herausforderung.

Lesen Sie unseren umfassenden Beitrag zum Thema Künstliche Intelligenz und Datenschutz: Anwendungsfälle

Über den Vortrag

Am 1.3. hält unser Kollege Dennis Kurpierz einen Vortrag auf dem AI Summit.
Wann? 16:30 Uhr
Thema: Artificial Intelligence & Data Protection: Was bedeutet die Datenschutz-Grundverordnung für Künstliche Intelligenz?

Über den AI Summit

Am 1. März 2018 findet der 1. AI Summit im Rahmen des Big Data Summits statt. Die Events werden von bitkom ausgerichtet. Die Veranstaltung soll eine Plattform zum Erfahrungsaustausch zwischen Entscheidern und für die strategische Orientierung im Bereich der Künstlichen Intelligenz bieten.
bitkom: „Rund 700 Entscheider der Datenwirtschaft, Anwender fortgeschrittener Big-Data- und AI-Lösungen, Vertreter der Politik, Technologieanbieter, Strategie- und Innovationsberater sowie Wissenschaftler kommen zusammen, um

  • sich im schnellen Wandel der IT strategisch zu orientieren,
  • sich über Praxiserfahrungen, Initiativen zur Weiterentwicklung der Rahmenbedingungen und neueste Ergebnisse der Forschung und Entwicklung auszutauschen,
  • Kooperationen anzubahnen, Projekte voranzubringen und innovative Lösungen live vor Ort zu diskutieren.“

DSGVO: Verzeichnis der Verarbeitungstätigkeiten – Dokumentationspflichten

Durch die DSGVO werden Unternehmen insbesondere erhöhte Rechenschaftspflichten in Bezug auf den Datenschutz auferlegt. Relevant ist insoweit vor allem die Dokumentation von Datenverarbeitungen und Maßnahmen zur Wahrung des Datenschutzes.

Einen Spezialfall zur Umsetzung der sog. Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO stellt die Vorschrift des Art. 30 DSGVO dar, die die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten (im Folgenden: VVT) regelt, das heißt aller datenschutzrechtlich relevanten Vorgänge im Unternehmen. Art. 30 Abs. 1 DSGVO enthält eine Übersicht über den Mindestinhalt eines solchen Verzeichnisses. Demgemäß müssen mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten benannt werden. Insbesondere müssen ferner Angaben zum Zweck der Datenverarbeitung, zu den Kategorien der verwendeten Daten und zu Empfängern bzw. Empfängerkategorien enthalten sein. Zudem sind Übermittlungen von personenbezogenen Daten an Drittländer zu dokumentieren, Angaben zu Löschfristen vorzunehmen sowie technische und organisatorische Maßnahmen zu benennen.

Das VVT ist schriftlich oder elektronisch aufzusetzen und den Aufsichtsbehörden auf Anfrage vorzulegen. Unternehmen sollten sich auf Grund Umfang und Komplexität der Anforderungen bei der Erstellung und Pflege des VVTs Rechtsrat einholen und sich diesbezüglich an den Behördenhinweisen zur Erstellung des VVT orientieren.

ISiCO auf Expansionskurs: Erweitertes Portfolio, neue Webseite!

Die ISiCO expandiert und erweitert ihr Leistungsportfolio. Dies war Anlass für einen neuen Webseitenauftritt ( www.isico-datenschutz.de ) des Beratungsunternehmens. Mit ihrem neuen Auftritt passt die ISiCO nicht mehr nur inhaltlich, sondern nunmehr auch optisch zum Zeitgeist der Digital Natives und damit zu ihrem technisch versierten Kundenstamm.
Webseitenbesucher erhalten bei ISiCO auch in Zukunft umfassende Informationen zum Portfolio sowie wichtige Fachinhalte zu den Themen Datenschutz, Risikoanalyse, IT-Sicherheit und Zertifizierung. Neu sind u.a. die DSGVO-Software, die Unterseite „Branchen“ sowie das E-Learning-Angebot mit dem Kooperationspartner lawpilots.

Neue Anforderungen erfordern neue Lösungen
Die ISiCO bietet zeitgleich mit dem Rebrush eine neue Leistung an: Die Do-it-yourself DSGVO-Software. Die Do-it-yourself Lösung bietet Unternehmen volle Transparenz beim Analyse- und Umsetzungsprozess der neuen gesetzlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO).

Neben der DSGVO-Software wird außerdem der Bereich Zertifizierung weiter ausgebaut. Neben der ISMS-Zertifizierung bietet die ISiCO zudem das hauseigene ISiCO-Datenschutzsiegel an.

Mit seinem neuen Kooperationspartner lawpilots bietet das Beratungsunternehmen innovative und praxisnahe E-Learning-Kurse für Mitarbeiter in den Bereichen Datenschutz und IT-Sicherheit.

Mit ihrem erweiterten Leistungsportfolio stellt die ISiCO zukunftsweisende Themen mehr in den Fokus. Die Beratungsfirma bietet Lösungen für die neuen Anforderungen durch die EU-Datenschutzreform und berät Unternehmen zu den rechtlichen Herausforderungen der Digitalisierung.

Technisch und optisch am Puls der Zeit!
Prägend für das überarbeitete Seitendesign ist der klar strukturierte Aufbau, welcher eine intuitive Navigation ermöglicht, über die Nutzer schnell und einfach zu den gewünschten Inhalten gelangen. Mit ihrem responsiven Design passt sich die Website automatisch an das jeweilige Endgerät an, egal ob es sich um PC, Notebook, Tablet oder Smartphone handelt. Farblich abgesetzte Informationskästen informieren den Nutzer zielführend und ohne Umwege über aktuelle Fokusthemen.

Macht fit für die Praxis: Der ISiCO-Blog „News & Wissen“
Expertenwissen für den direkten Einsatz im Unternehmen: Nutzer erhalten branchenübergreifend wichtige Informationen zu Studien, Gerichtsentscheidungen und Co. sowie wertvolle Tipps für die Praxis und werden informiert über die neuesten Entwicklungen aus IT-Sicherheit und Datenschutz. Damit liefert die ISiCO einen echten Mehrwert für ihre Besucher.
Neu ist die Filterfunktion nach Branchen: Blog-Nutzer können einfach zwischen den einzelnen Bereichen wählen und damit die für sie wichtigen Inhalte sofort lesen.
Das Ziel der ISiCO ist es, Unternehmen mit dem Blog auf die (rechtlichen) Herausforderungen des digitalen Business vorzubereiten und sie fit in Sachen Datenschutz, IT-Sicherheit und Datenschutz-Compliance zu machen.

ISiCO überzeugt mit branchenübergreifendem Know-how!
Unter dem Menüpunkt „Branchen“ können sich Besucher ab sofort über die spezifischen Herausforderungen der Branchen Ad-Tech, Finance, E-Commerce, HR, Energy, Internet of Things, Logistik, Mobilität, Pharma & Health sowie Tourismus informieren. Die Implementierung von IT-Sicherheits- und Datenschutzstandards sowie die Anforderungen der Datenschutz-Grundverordnung nehmen dabei in allen Ressorts einen großen Stellenwert ein.

Eine neue Perspektive: Karriere bei ISiCO
Der stetige Expansionskurs der ISiCO verlangt neben den vielen neuen Mitarbeitern auch einen neuen Menüpunkt. Unter „Karriere“ können sich Interessierte über aktuelle Stellenangebote sowie die individuellen Mitarbeitervorteile bei der Beratungsfirma informieren. In Kürze folgt ein Recruiting-Film, in welchem potentielle Bewerber einen authentischen Eindruck von ISiCO sowie ihrem zukünftigen Team bekommen.

Mit neuen Kollegen, neuen Leistungen sowie einem überarbeiteten Webseitenauftritt ist die ISiCO dafür gewappnet, den anspruchsvollen Kundenstamm und ihre interessierten Blogleser weiterhin optimal zu beraten und zu informieren.

Welche Auswirkungen hat der Brexit auf transnationale Datentransfers?

Das Generaldirektorat “Justiz und Verbraucher” der Europäischen Kommission veröffentliche am 9. Januar 2018 ein alarmierendes Positionspapier unter der Bezeichnung “Notice to stakeholders”, das die datenschutzrechtlichen Aspekte des Austritts des Vereinigten Königreichs aus der EU zum Gegenstand hat.

Hintergrund

Bekanntlich wird das Vereinte Königreich zum 30.03.2019 aus der EU austreten. In dem Positionspapier stellt die Kommission fest, dass, sofern in einer Austrittsvereinbarung nicht etwas anderes geregelt wäre, das Recht der Europäischen Union auf Großbritannien ab dem Zeitpunkt des Austritts aus der EU keine Anwendung mehr finden würde. Großbritannien wäre dann als “Drittstaat” (third country) anzusehen.

“Angesichts der erheblichen Unsicherheiten, insbesondere hinsichtlich des Inhalts einer möglichen Austrittsvereinbarung”, so die Kommission, “werden alle Beteiligten, die personenbezogene Daten verarbeiten, an die rechtlichen Auswirkungen erinnert, die zu berücksichtigen sind, wenn das Vereinigte Königreich ein Drittland wird.”

Bedingungen für eine rechtskonforme grenzüberschreitende Datenübermittlung

Vorbehaltlich etwaiger Übergangsregelungen, würden zum Zeitpunkt des Austritts des Vereinigten Königreichs die unionsrechtlichen Vorschriften für die Übermittlung personenbezogener Daten in Drittstaaten gelten. Bisher hatten sich viele Unternehmen erhofft, dass es nach dem Brexit eine Angemessenheitsentscheidung der Komission für das Vereinigte Königreich geben würde. Diese Entscheidung hätte einen freien Datenfluss zwischen der EU und dem Vereinigten Königreich auch nach dem Brexit gesichert. Derartige Absichten der Kommission sind in ihrem Positionspapier jedoch nicht erkennbar.

Vielmehr erinnert die Kommission an die weiteren bestehenden datenschutzrechtlichen Mechanismen zur Sicherstellung einer rechtmäßigen Übermittlung personenbezogener Daten in Drittstaaten:

  • Von der Kommission erarbeitete Standardvertragsklauseln (Standard Model Clauses):
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)
  • Genehmigte Verhaltensregelungen in Verbindung mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Verarbeiters in dem Drittstaat
  • Genehmigte Zertifizierungsmechanismen zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Verarbeiters in dem Drittstaat.

Daneben könne eine Datenübermittlung auf der Grundlage sogenannter Ausnahmeregelungen erfolgen. Diese ermöglichen Datenübermittlungen etwa bei einer bestehenden Einwilligung des Betroffenen oder zur Durchführung eine Vertrags, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde.

Zudem arbeite die Kommission mit Datenschutzbehörden an der Erstellung der durch die Datenschutz-Grundverordnung neu etablierten Instrumente zur Übermittlung personenbezogener Daten in Drittstaaten (z. B. genehmigte Verhaltensregeln und Zertifizierungsmechanismen, die verbindliche Zusagen der Verantwortlichen und der Auftragsverarbeiter aus dem datenempfangenden Drittstaat enthalten).

Schließlich stellt die Kommission klar, dass die Vorbereitung auf den Austritt des Vereinigten Königreichs aus der EU nicht nur Sache der EU und der nationalen Behörden, sondern auch eine Angelegenheit ist, die private Parteien gleichermaßen betrifft.

Fazit

Unternehmen, die personenbezogene Daten (z.B. im Rahmen einer Auftragsverarbeitung) in das Vereinigte Königreich übermitteln, sollten dieses deutliche Warnsignal der Kommission ernst nehmen und frühzeitig vertragliche Vorkehrungen treffen, um eine zulässige Datenübermittlungen über den Ärmelkanal auch nach dem 30.03.2019 sicherstellen zu können.

Passwortsicherheit – Wie sich Führungskräfte, Management und IT richtig schützen

Viele Menschen nutzen den Jahreswechsel, um neuen Vorsätzen nachzugehen. Unabhängig von persönlichen Zielen, sollte man als Internetnutzer darüber nachdenken, wie es um die eigene Sicherheit im Web steht. Viele User nutzen einfache Passwörter, die leicht geknackt werden können. Laut einer repräsentativen Umfrage des Digitalverbandes Bitkom Research, nutzen 32 Prozent der 1.017 Probanden für unterschiedliche Online-Dienste das gleiche Passwort. Cyberkriminelle haben somit leichtes Spiel.
Mit unserem ISiCO-Leitfaden zeigen wir, wie Sie sich im Jahr 2018 korrekt im Netz verhalten und auf diese Weise Cyberattacken vorbeugen.
Auf der organisatorischen Seite ist den Mitarbeitern zunächst die notwendige Sensibilität für das Thema „Sichere Passwörter“ zu vermitteln und woran sich ein sicheres Passwort ausmacht:

  • Mindestlänge von Passwörtern (z.B. 10 Zeichen)
  • Komplexitätsanforderungen (z.B. Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen)
  • Regelmäßige Änderung von Passwörtern (z.B. alle 90 Tage)
  • Geheimhaltung von Passwörtern

Bitkom empfiehlt zusätzlich die Nutzung von Passwortmanagern. Mit diesen können alle Passwörter in einer verschlüsselten Datei gespeichert werden, welche mit einem extra Passwort geschützt sind. Der große Vorteil: Man muss sich nur noch ein Passwort merken anstelle von vielen verschiedenen. Außerdem sollten regelmäßige Updates berücksichtigt werden. So zum Beispiel empfiehlt es sich auf dem Computer befindliche Programme und Softwares (Virenscanner oder Betriebssysteme) immer aktuell zu halten.

Für Unternehmer und Führungskräfte stellen sich allerdings spezifischere Anforderungen an die Passwortsicherheit. Das Management sollte zunächst mit gutem Vorbild vorangehen und die Wichtigkeit der Informationssicherheit im Unternehmen hervorheben. Ausgangspunkte können sein:

  • Informationssicherheits-Management-Systeme nach ISO/IEC 27001
  • Passwort-Management gemäß ISO/IEC 27002 bzw. IT-Grundschutz
  • Passwort- oder Kryptographie Richtlinien
  • Schulungen und Workshops zum sicheren Umgang mit Passwörtern

Den IT-Verantwortlichen kommt die Aufgabe der Implementierung sicherer, vorkonfigurierter IT-Prozesse und Anwendungen zu. Grundlegende Anforderungen lauten:

  • Passwörter dürfen niemals im Klartext abgespeichert werden
  • Passwörter sind mit anerkannten Verfahren zu hashen (z.B. SHA-256)
  • Passwörter sind vor dem hashen mit einer zufälligen Zeichenfolge zu versehen, dem Salt, um die systematische Rückführung von Hashes zu erschweren
  • Passwörter sollten von einer Mehr-Faktor-Authentifizierung begleitet werden

Das Fazit dürfte im Rahmen steigender Cyberangriffe stets ähnlich ausfallen: Statt in Aktionismus zu verfallen, sollten längerfristige Sicherheitsprozesse implementiert werden, die das Management selbst anstößt (z.B. ein ISMS nach ISO/IEC 27001). Risikobasierte Ansätze sind hierbei Pflicht, um sich gerade nicht vom vorgenannten Aktionismus treiben zu lassen („Schlagzeile: 100 Millionen gestohlene Passwörter bei Firma XYZ“), sondern von konkreten Risiken und Bedürfnissen der eigenen Organisation.

 

Überwachung der Internetnutzung am Arbeitsplatz – Ist das zulässig?

„Recht auf Privatleben Vs. Recht auf Kontrolle“ – Der Europäische Gerichtshof für Menschenrechte (EGMR) entscheidet zur Zulässigkeit von Überwachungsmaßnahmen der Internetnutzung am Arbeitsplatz.

Der Fall
Ein rumänischer Arbeitnehmer hatte über den zur geschäftlichen Kommunikation eingerichteten Yahoo Messenger – trotz ausdrücklichen Verbots der privaten Internetnutzung – mit seiner Verlobten und seinem Bruder persönliche Mitteilungen ausgetauscht. Wenig später wurde der Mann gekündigt. Das Unternehmen hatte die Chats des Mitarbeiters aufgezeichnet und ausgewertet. In Rumänien klagte der 38-Jährige vergeblich gegen seine Entlassung.

Das Urteil
Der Gerichtshof stellte fest, dass Anweisungen des Arbeitgebers das private soziale Leben am Arbeitsplatz nicht auf Null reduzieren dürfen. Die Achtung des Privatlebens und die Vertraulichkeit der Korrespondenz bleibt bestehen, auch wenn diese gegebenenfalls eingeschränkt werden kann.

Nach Auffassung des Gerichtshofs verstößt die Annahme, dass der Inhalt von Mitteilungen in jeder Phase des Disziplinarverfahrens zugänglich sei, gegen den Grundsatz der Transparenz. Vor Einleitung von Überwachungstätigkeiten müsse eine Warnung des Arbeitgebers erfolgen, insbesondere wenn sie auch den Zugang zu den Inhalten der Mitteilungen der Arbeitnehmer umfassen. Die Überwachungsmaßnahme müsse darüber hinaus verhältnismäßig sein.

Der Arbeitgeber als Telekommunikationsanbieter / Fernmeldegeheimnis
Nach überwiegender Ansicht der deutschen Datenschutzbehörden wird der Arbeitgeber zum Telekommunikationsanbieter und unterliegt damit dem Fernmeldegeheimnis, wenn er die private Internetnutzung explizit erlaubt oder zumindest duldet. Gemäß § 88 Abs. 3 TKG ist es ihm damit untersagt, sich über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes seiner technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt der Telekommunikation zu verschaffen. Ein Zugriff auf die private Kommunikation – insbesondere auf den Inhalt – ist damit grundsätzlich unzulässig. Der Arbeitgeber muss sich in jedem Fall durch den Arbeitnehmer vom Fernmeldegeheimnis befreien lassen und die Einwilligung des Arbeitnehmers in die Protokollierung und mögliche Überwachung einholen.
Auswirkungen des Urteils:
Straßburg zufolge ist die Überwachung der privaten Kommunikation – wenn überhaupt – nur unter sehr engen Grenzen möglich. Richtlinien zur privaten Internetnutzung müssen klar und transparent ausgestaltet sein. Der Arbeitgeber darf überhaupt nur dann auf den tatsächlichen Inhalt der betreffenden Mitteilungen zugreifen, wenn der Arbeitnehmer hinreichend genau davon unterrichtet worden ist, dass eine Protokollierung stattfindet und Kontrollen möglich sind. In welcher Form die Warnung erfolgen muss, geht aus dem Urteil nicht hervor. Allein schon aus Nachweisgründen sollte die Warnung jedenfalls schriftlich vor Einleitung der konkreten Überwachungsmaßnahme erfolgen.
Die konkrete Überwachungsmaßnahme an sich – insoweit in Übereinstimmung mit dem BAG – muss darüber hinaus verhältnismäßig sein. Als Grund für einen Zugriff auf den Inhalt kommen allenfalls konkrete Anhaltspunkte auf eine Straftat oder auf besonders schwere Pflichtverstöße durch den Mitarbeiter (z.B. Verrat von Betriebsgeheimnissen) in Betracht.

Empfehlung für die Praxis
Arbeitgeber sollten ihre Richtlinien zur privaten Internetnutzung eingehend prüfen. Vor allem die Kontrollrechte müssen klar definiert sein.
Folgende Punkte müssen zwingend geregelt werden:
– private Internetnutzung erlaubt / verboten
– Befreiung des Arbeitgebers vom Fernmeldegeheimnis (wenn Internetnutzung erlaubt)
– Hinweis, dass die Internetnutzung protokolliert wird
– Hinweis, dass Kontrollen durchgeführt werden können; wichtig dabei:
a) in welcher Phase
b) aus welchem Grund
c) auf welche Art
d) und in welchem Umfang auf Inhalte der Kommunikation zugegriffen werden kann

Vor Einleitung der tatsächlichen Überwachungsmaßnahme sollte eine schriftliche Warnung bzw. Abmahnung erfolgen!

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.