Digitalwirtschaft kritisiert neue EU-Datenschutzregeln

Die Digitale Wirtschaft sieht mit der Datenschutzgrundverordnung (DSGVO), die ab Mai in allen Mitgliedstaaten der EU gilt, erhebliche Risiken auf die Unternehmen zukommen. „Derzeit entstehen insbesondere international tätigen Unternehmen hohe Kosten für die Umsetzung der DSGVO, da die Überprüfung sämtlicher Datenverarbeitungsprozesse erforderlich ist, um rechtliche Lücken und Anpassungsbedarf zu definieren“, sagte der Vorstandschef des Verbands der Internetwirtschaft Eco, Oliver Süme, dem „Handelsblatt“ (Donnerstagsausgabe). „Insbesondere für innovative, datengetriebene Geschäftsmodelle wird das Geschäft dadurch nicht unbedingt einfacher.“ Ähnlich äußerte sich der Präsident des IT-Verbands Bitkom, Achim Berg.

„Werden sie besonders streng ausgelegt, können einige der Vorgaben datenbasierte Geschäftsmodelle erschweren oder gar verhindern“, sagte Berg dem „Handelsblatt“. Matthias Wahl, Präsident des Bundesverbands Digitale Wirtschaft (BVDW), sieht vor allem Unternehmen, die mit der Entwicklung neuer Technologien am Anfang stehen, „in Existenzgefahr“, wenn Datenschutzbehörden bei Einzelfragen anderer Meinung sein sollten. Im Zweifel könnten solche Fälle vor dem Europäischen Gerichtshof (EuGH) landen. Bis dann aber eine Entscheidung falle, könnten Jahre vergehen. „Das kann oftmals das Aus für Innovationen bedeuten“, sagte Wahl der Zeitung. Bitkom-Chef Berg befürchtet zudem für manche Unternehmen Bußgeldzahlungen, weil ihnen nicht klar sei, wie die DSGVO zu lesen und anzuwenden ist. „Rechtsunsicherheit ist bei vielen Unternehmen vorhanden, da sie nicht einschätzen können, wie streng die jeweilige Datenschutzbehörde die neuen Regelungen auslegt und wie sie nach dem Stichtag schon die Umsetzung der neuen Vorgaben prüfen wird. Viele hoffen, dass dieser Krug zunächst einmal an ihnen vorüber geht.“ Auch der BVDW-Chef bemängelt fehlende Rechtsklarheit und Anwendungsfreundlichkeit bei den neuen Regeln. „Selbst Datenschutzbeauftragte sind der Meinung, dass eine 100-prozentige Umsetzung unmöglich sein wird“, sagte er. Dieser Auffassung ist auch Berg. „Die Mehrheit der Unternehmen wird es bis zum Stichtag nicht schaffen, alle Anforderungen umzusetzen“, sagte er. „Es hakt bei wichtigen Details.“ Viele wünschten sich deshalb zusätzliche Auslegungshilfen von der EU und den Datenschutzbehörden. „Für nicht wenige rächt sich jetzt, dass sie das Thema Datenschutz zu lange vernachlässigt haben“, sagte Berg. „Oft schuf man nicht einmal einfachste organisatorische Voraussetzungen für den Datenschutz.“ BVDW-Präsident Wahl sprach von „nicht unerheblichen“ Umsetzungskosten, die aber alternativlos seien. „Wer hier nicht gründlich ist, gefährdet gegebenenfalls die Existenz seines Unternehmens.“

Originalquelle: dts

Auf dem Weg zur Datenschutz-Grundverordnung

Mit einem Online-Test können Unternehmen prüfen, ob sie auf dem Weg zur Datenschutz-Grundverordnung schon gut vorbereitet sind.
Die Verordnung gilt ab dem 25. Mai 2018. Sie wirkt unmittelbar und direkt. Die bisher für Unternehmen einschlägigen Regelungen des deutschen Datenschutzrechts werden damit weitgehend durch die Verordnung ersetzt. Damit sind eine Reihe von Änderungen in den datenschutzrechtlichen Anforderungen für den Umgang mit personenbezogenen Daten verbunden. Bestehende Verfahren müssen in sechs Monaten dem neuen Recht entsprechen.

28 Länder der EU – 28 Fragen

Der Online-Test soll eine spielerische Standortbestimmung auf dem Weg zur Umsetzung der Datenschutzanforderungen sein. In Anlehnung an die Anzahl der EU-Mitgliedsländer gibt es 28 Fragen mit jeweils drei Antwortmöglichkeiten. Es handelt sich dabei nicht um ein Wissensquiz, bei dem richtige Antworten zur DS-GVO gesucht werden. Vielmehr sollen Verantwortliche unterstützt werden, datenschutzrechtliche Brennpunkte im eignen Haus zu erkennen.

Als Ergebnis erhält jeder Teilnehmer eine detaillierte Auswertung zu den gewählten Antworten sowie eine Beschreibung, wie nach unserer Ansicht die Anforderungen umzusetzen wären.
Fortlaufende Informationen

Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen informiert fortlaufend über aktuelle Entwicklungen und über Grundsatzfragen der EU-Datenschutzreform. Ein Baustein sind die Kurzpapiere der Datenschutzkonferenz.

Der Online-Test wurde vom Bayerischen Landesamt für Datenschutzaufsicht entwickelt.

Quelle: LDI NRW 

Titelbild via Marian Weyo/Shutterstock.com

EuGH-Generalanwalt bestätigt Rechtsauffassung der Aufsichtsbehörden gegenüber Facebook und Fanpagebetreibern

Im Verfahren des Unabhängigen Landeszentrums Datenschutz (ULD) gegen die Wirtschaftsakademie Schleswig-Holstein hat der Generalanwalt des Europäischen Gerichtshofs, Yves Bot, seine Schlussanträge vorgelegt. Darin bestätigt er sowohl die Auffassung des ULD über die datenschutzrechtliche Verantwortung von Betreibern von Facebook Fanpages als auch die seit langem durch den HmbBfDI und andere europäische Datenschutzbehörden (Belgien, Frankreich, Spanien, Niederlande) vertretene Rechtsaufassung, dass auf die Aktivitäten von Facebook in den Mitgliedstaaten grundsätzlich das nationale Datenschutzrecht Anwendung findet, obwohl Facebook seine europäische Hauptniederlassung in Irland betreibt. Anknüpfungspunkt für die nationale Aufsicht ist, wie der Generalanwalt ausdrücklich bestätigt, dass Facebook Germany, deren Sitz sich in Hamburg befindet, in Deutschland effektiv und tatsächlich eine Tätigkeit mittels einer festen Einrichtung ausübt und damit eine Niederlassung betreibt.

Hierzu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Die Schlussanträge des Generalanwalts enthalten klare Vorschläge für den EuGH hinsichtlich der seit Jahren schwelenden Rechtsstreitigkeiten zwischen den Aufsichtsbehörden auf der einen und Facebook sowie den Betreibern von Facebook Fanpages auf der anderen Seite. Soweit der EuGH dem Generalanwalt folgt, werden die Aktivitäten von Facebook in Europa nach Maßgabe des geltenden Rechts auch weiterhin durch die unabhängigen nationalen Datenschutzbehörden überwacht werden. Ich gehe davon aus, dass unsere Anordnung zum geplanten Datenaustausch zwischen WhatsApp und Facebook im Hinblick auf deutsche Nutzer weiterhin fort gilt. Gleichzeitig ist den Betreibern von Fanpages zu raten, den weiteren Verlauf des Verfahrens vor dem EuGH zu beobachten: Künftig könnten diese als für die Datenverarbeitung Verantwortliche hinsichtlich der von den Besuchern dieser Seite erhobenen Daten neben Facebook in die datenschutzrechtliche Verantwortung genommen werden.“

Die Schlussanträge des Generalanwalts finden sich hier:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=195902&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=700535

Quelle: hmbbfdi, 25.10.2017

Keine Google-Links mehr zu Insolvenzdaten auf unzulässigen gewerblichen Internetangeboten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in den letzten Monaten zahlreiche Eingaben von Bürgerinnen und Bürgern erhalten, die sich über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine beschwert haben. Der HmbBfDI konnte nun durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt.

Personenbezogene Daten in Insolvenzverfahren, dazu zählen u.a. Name, Adresse, Verfahrensstand sowie Aktenzeichen, sind nach Maßgabe der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekV) durch eine zentrale, länderübergreifende Veröffentlichung im Internet bekannt zu machen. Die InsoBekV enthält für das amtliche Portal auch Vorschriften zur Beschränkung der Auffindbarkeit und zur Löschung von Bekanntmachungen. Insbesondere werden Suchmaschinen durch eine sog. robots.txt-Datei erfolgreich ausgeschlossen.

Allerdings werden die dort abrufbaren Daten regelmäßig und systematisch von Drittanbietern ausgelesen und auf eigenen Internetangeboten erneut in der Weise veröffentlicht, dass Suchmaschinen sie auch namensbezogen indexieren. Diese Angebote nutzen gezielt die hohe Aufmerksamkeit bei Insolvenzdaten für eigene kommerzielle Zwecke und lenken die Nutzer auf fragwürdige und sicherheitsgefährdende Werbeangebote. Die Betreiber dieser Angebote konnten bisher nicht ermittelt werden, so dass Betroffene nicht bei diesen direkt gegen die Veröffentlichungen vorgehen können.

Die Auffindbarkeit von Informationen über die Insolvenzverfahren der Betroffenen bei bloßer Namenssuche stellt einen erheblichen Eingriff in deren Recht auf informationelle Selbstbestimmung dar. Das persönliche und berufliche Ansehen sowie die künftigen Entfaltungsmöglichkeiten sind negativ betroffen. Die Informationen können erhebliche Auswirkungen auf die Teilnahme am geschäftlichen Verkehr haben, da sie abschreckende Wirkung auf potentielle Vertragspartner haben. Davon können auch existenzielle Bereiche wie Miet- oder Arbeitsverhältnisse betroffen sein.

Zudem erfolgt durch die Auffindbarkeit über Suchmaschinen bei bloßer Namenssuche eine Übermittlung der Informationen aus Insolvenzverfahren auch an Nutzer ohne ein diesbezügliches Informationsinteresse. Nutzer, die im Einzelfall ein Informationsinteresse haben, können sich über das Portal der Amtsgerichte, Auskunfteien oder durch direkte Nachfrage informieren. Die Auffindbarkeit der Insolvenzinformationen über allgemeine Suchmaschinen ist dafür nicht erforderlich.

Vor dem Hintergrund der Abrufproblematik hat auch die Bund-Länder-Kommission für Informationstechnik in der Justiz die Justizverwaltungen der Länder gebeten, Vorschläge zur Anpassung der bundesweiten Regelungslage der öffentlichen Bekanntmachungen in Insolvenzverfahren zu entwickeln. Zu berücksichtigen sind dabei die im nächsten Jahr geltende Europäische Datenschutzgrundverordnung und die Anbindung an das europäische Justizportal. Hierbei wirkt der HmbBfDI mit, um die datenschutzrechtliche Situation der Betroffenen zu verbessern.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Es ist zu begrüßen, dass Google verschiedene Internetangebote, die unzulässig Insolvenzdaten veröffentlichen, nicht mehr verlinkt. Für die Betroffenen hat die dauerhafte Auffindbarkeit ihrer Insolvenzdaten durch einfache Namenssuche, insbesondere im Zusammenhang mit Verbraucherinsolvenzen, eine erhebliche Prangerwirkung. In Fällen wie diesem, in denen die Seitenbetreiber nicht ermittelbar sind, hat das Recht auf Vergessenwerden gegenüber Suchmaschinen eine besondere Bedeutung für die Betroffenen.“

Quelle: hmbbfdi, 15.8.2017

Vorratsdatenspeicherung: Verbraucherzentralen unterstützen Aussetzung

Der Verbraucherzentrale Bundesverband (VZBV) unterstützt die Aussetzung der Vorratsdatenspeicherung durch die Bundesnetzagentur. „Eine Speicherung von Daten ohne jeden Anlass ist aus Verbrauchersicht ein massiver Eingriff in das Grundrecht auf informationelle Selbstbestimmung“, sagte VZBV-Chef Klaus Müller dem „Handelsblatt“. „Verbraucher müssen die Kontrolle über ihre Daten behalten.“

Die Bundesnetzagentur hatte am Mittwoch die Pflicht zur Vorratsdatenspeicherung für Internet-Provider und Telefonanbieter ausgesetzt und sich dabei auf einen Beschluss des Oberverwaltungsgerichts Münster aus der vergangenen Woche berufen. Nach Auffassung der Richter verstößt die deutsche Rechtslage zur Vorratsdatenspeicherung nach einem Urteil des Europäischen Gerichtshofs vom Dezember 2016 gegen europäische Datenschutzrichtlinien.

Wachsende Diskrepanz zwischen digitalen Grundrechten und staatlicher Sicherheitspolitik

Die gestrigen Nachrichten zu rechtspolitisch drängenden Fragen der digitalen Welt könnten kaum widersprüchlicher sein: einerseits wird mit dem Beschluss des OVG Münster die Vorratsdatenspeicherung rechtlich in Frage gestellt, andererseits beschließt der Bundestag eine Regelung, die künftig die Online-Durchsuchung und Quellen-TKÜ zu polizeilichen Standardmaßnahmen macht und damit massiv in die Grundrechte eingreift.

Der Beschluss des OVG Münster kam mit deutlicher Ansage: der EuGH hat sich in der Vergangenheit wiederholt mit der Vorratsdatenspeicherung auseinandergesetzt. Insbesondere nach seiner Entscheidung aus dem Jahr 2016 zur verpflichtenden Speicherung von Kommunikationsdaten auf Vorrat in anderen Mitgliedstaaten war klar vorhersehbar, dass die deutsche Regelung dem vorrangigen Recht der EU nicht entspricht. Der Beschluss des OVG dürfte damit das Ende der Vorratsdatenspeicherung in Deutschland einläuten. Als Konsequenz sollte nun eine Nichtanwendung der Speicherpflichten das rechtsstaatliche Gebot der Stunde sein.

Die Signale weisen jedoch in eine andere Richtung: parallel hat der Bundestag gestern eine Änderung der Strafprozessordnung zur Ausdehnung staatlicher Eingriffe in die Integrität und Vertraulichkeit informationstechnischer Systeme beschlossen. Diese sind rechtsstaatlich fragwürdig, gefährden die IT-Sicherheit und wurden in einem wenig transparenten Verfahren in das Parlament eingebracht. Am Ende droht dieser Regelung vor dem Bundesverfassungsgericht absehbar das, was mit der Vorratsdatenspeicherung schrittweise geschieht.

Hierzu Prof. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Statt immer wieder neue rechtsstaatliche Korrekturen durch die Gerichte herauszufordern, sollte die Politik mit Augenmaß und Einsicht ihrer Verantwortung für die Grundrechte der Bürger nachkommen.“

Quelle: hmbbfdi, 23.6.2017

Verbot des Datenaustauschs durch den HmbBfDI zwischen WhatsApp und Facebook vorerst bestätigt

Das Verwaltungsgericht Hamburg hat mit seiner heutigen Entscheidung im vorläufigen Rechtsschutzverfahren bestätigt, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf. Dies ist Gegenstand einer Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Facebook Ireland Ltd. wurde untersagt, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Kauf von WhatsApp durch Facebook 2014 haben die Unternehmen öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht werden. Durch Einführung neuer Nutzungsbedingungen teilte WhatsApp den Nutzern im August 2016 jedoch mit, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer besteht dabei nicht.

Der Hamburgische Datenschutzbeauftragte hält diese Praxis für rechtswidrig und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, wurde der Sofortvollzug angeordnet. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.

Facebook hat gegen die Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel war es, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag hat das Gericht heute zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sieht. Facebook kann sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich ist. Ferner stellt das Gericht klar, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorliegen. Im Ergebnis nimmt das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach werden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit. Die Frage nach der Anwendbarkeit des nationalen Rechts lässt das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht. Die Entscheidung hat erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn hier gilt ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit wird auch der Kritik vieler meiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen. Einen Massenabgleich von Daten gegen den Willen Betroffener wird und darf es in der EU nicht geben. Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen.“

Quelle: hmbbfdi, 25.4.2017

Unzulässige Datenübermittlungen in die USA

Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen  wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:
„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten,  erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.“

Quelle: hmbbfdi, 6.6.2016

Datenschutz in Ihrem Unternehmen: Was Sie beachten sollten

In unserem fortgeschrittenen Informationszeitalter stellt Datenschutz eine wachsende Herausforderung dar. Dies gilt insbesondere für Unternehmen, und zwar nicht nur für Großunternehmen, bei denen Milliardensummen auf dem Spiel stehen, sondern auch für kleinere Unternehmen, für die digitale Datenlecks in gewissen Fällen sogar existenzgefährdend sein können. Um Ihre IT-Systeme sicher gegen Angriffe von außen zu halten, kostet es viel Zeit, Engagement, und nicht zuletzt Wissen. Wissen ist hier der springende Punkt, denn anders als man oftmals zu denken vermag, muss effektiver Datenschutz für Ihr Unternehmen nicht zwingend teuer oder ungeheuerlich kompliziert sein. Insbesondere wenn Ihr Unternehmen sich noch in Kinderschuhen befindet, könnte die vorliegende Übersicht über die Grundlagen des Datenschutzes für Unternehmen eine hilfreiche Stütze sein.

Was genau bedeutet Datenschutz für Unternehmen? Es lässt sich generell zwischen den wichtigsten sechs Teilbereichen des Datenschutzes für Unternehmen unterscheiden:

  • IT-Security-Personal einschließend Mitarbeitertraining
  • Firewalllösungen
  • Malwareschutz
  • Softwareupdates
  • Zugangsschutz
  • Datenverschlüsselung

IT-Security-Personal und Mitarbeitertraining

Idealerweise unterhält Ihr Unternehmen Personal, dass für die Sicherheit Ihrer IT-Systeme zuständig ist. Eine alternative Lösung wäre es, die IT-Sicherheit Ihres Unternehmens einem externen IT-Security-Dienstleiter zu überlassen. Viele kleinere Unternehmen verfügen allerdings nicht über die nötigen finanziellen Ressourcen sowohl für die eine, als auch für die andere Lösung. In jedem Fall sollten alle Ihre Mitarbeiter zu einem gewissen Grad in IT-Sicherheit geschult sein. Das bedeutet vor allem, dass es genügend Trainingsmaterial für Ihre Mitarbeiter gibt, das ihnen ihre Verantwortung für den Datenschutz Ihres Unternehmens deutlich macht.

Firewalllösungen

Firewalls dienen dazu, unerwünschte Eingriffe in Ihr Unternehmensnetzwerk zu unterbinden, und sind somit ein unerlässlicher Bestandteil Ihres Datenschutzkonzeptes. Firewalllösungen gibt es wie Sand am Meer, manche teuer und manche sogar vollkommen kostenfrei. Es liegt an Ihnen rauszufinden, welche Lösungen am besten zu Ihrem Unternehmen passen. Sie sollten dabei schauen, wie Ihre Prioritäten gelagert sind. Wenn, zum Beispiel, in Ihrem Unternehmen viele brisante Daten mit E-Mails versendet werden, sollten Sie sich nach der Firewall erkundigen, die den bestmöglichen Schutz Ihres E-Mailverkehrs bieten könnte.

Malwareschutz

Der Begriff „Malware“ schließt alle Computerschädlinge mit ein, so auch Viren, Trojaner, und Rootkits. Effektiver Malwareschutz mit nur einer einzelnen Softwarelösung ist eine Utopie. Es ist besser, für jede Art von Schädling eine spezialisierte Software parat zu haben. Auch hier haben Sie die Qual der Wahl über eine Vielzahl an wertiger Software. Mittlerweile gibt es eine Reihe von Onlineressourcen, die es sich zur Aufgabe gemacht haben, verschiedene Malwareschutzprogramme zu vergleichen und ausgiebig zu testen. Hervorzuheben von diesen Onlineressourcen sind AV-Comparatives und AV-Test, die beide aufgrund ihrer fachlichen Qualität und Benutzerfreundlichkeit sehr populär in der Onlinegemeinde sind.

Softwareupdates

Softwareupdates können lästig sein, aber Ihre Software immer auf dem neuesten Stand zu halten, sollte für Sie höchste Priorität haben, denn ältere Softwareversionen, insbesondere von vielgenutzter Software wie PDF-Lesern oder E-Mailclients, können signifikante Sicherheitslecks aufweisen.

Zugangsschutz

Alle Ihre Computer sollten mindestens mit einem Benutzernamen und einem Passwort von unbefugten Zugang geschützt werden. Dabei sollten Sie beachten, dass für jede Mitarbeiterposition ein Account mit angemessenen Befugnissen besteht. Ein Administratoraccount sollte nur benutzt werden, wenn es absolut notwendig ist; so zum Beispiel, um Softwareupdates durchzuführen.

Datenverschlüsselung

Datenverschlüsselung dient ähnlich wie der Zugangsschutz dazu, Unbefugten dem Zugang zu geschützten Informationen zu verwehren. Anders als beim Zugangsschutz werden bei der Datenverschlüsselung jedoch in der Regel nicht ganze Computersysteme, sondern gewisse Dateien geschützt. Auch bei der Datenverschlüsselung wird mit Passwörtern gearbeitet. Bei der Wahl zwischen verschiedener Datenverschlüsselungssoftware kommt es vor allem darauf an, wie schwer es die Software Unbefugten macht, Passwörter zu knacken.

Verbot des Datenaustauschs durch den HmbBfDI zwischen WhatsApp und Facebook vorerst bestätigt

Kein Massendatenabgleich zwischen Facebook und WhatsApp

Das Verwaltungsgericht Hamburg hat mit seiner heutigen Entscheidung im vorläufigen Rechtsschutzverfahren bestätigt, dass WhatsApp die Daten deutscher Nutzer nicht an Facebook übermitteln darf. Dies ist Gegenstand einer Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Der Facebook Ireland Ltd. wurde untersagt, die Telefonnummer sowie weitere personenbezogene Daten von WhatsApp-Nutzern zu erheben und zu speichern, wenn die Betroffenen nicht wirksam eingewilligt haben.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Kauf von WhatsApp durch Facebook 2014 haben die Unternehmen öffentlich zugesichert, dass die Daten der Nutzer nicht ohne deren wirksame Einwilligung ausgetauscht werden. Durch Einführung neuer Nutzungsbedingungen teilte WhatsApp den Nutzern im August 2016 jedoch mit, dass ihre Daten nun auch an Facebook übermittelt würden. Eine Wahl für die Nutzer besteht dabei nicht.

Der Hamburgische Datenschutzbeauftragte hält diese Praxis für rechtswidrig und hat daher den Datenaustausch im Anordnungsweg untersagt. Um die Nutzer effektiv zu schützen, wurde der Sofortvollzug angeordnet. Sonst hätte die Gefahr bestanden, dass der Datenaustausch durchgeführt wird, solange Facebook Rechtsmittel zur Verfügung stehen.

Facebook hat gegen die Anordnung im vorläufigen Rechtsschutzverfahren das Verwaltungsgericht angerufen. Ziel war es, die sofortige Vollziehung aufheben zu lassen. Diesen Antrag hat das Gericht heute zurückgewiesen und inhaltlich klargestellt, dass es für den geplanten Datenaustausch keine rechtliche Grundlage sieht. Facebook kann sich nicht auf die Wahrung eigener Geschäftszwecke berufen, da der vollständige Datenaustausch weder zum Zweck der Netzsicherheit oder der Unternehmensanalyse noch zur Werbeoptimierung erforderlich ist. Ferner stellt das Gericht klar, dass keine wirksamen Einwilligungen der WhatsApp-Nutzer für einen Datenaustausch mit Facebook vorliegen. Im Ergebnis nimmt das Verwaltungsgericht im Rahmen des einstweiligen Rechtsschutzverfahren eine klare Abwägung vor: Danach werden die Interessen der ca. 35 Millionen deutschen WhatsApp-Nutzer höher gewichtet als das wirtschaftliche Interesse von Facebook an einer Aussetzung der sofortigen Vollziehbarkeit. Die Frage nach der Anwendbarkeit des nationalen Rechts lässt das Gericht dabei teilweise offen, denn selbst für den Fall, dass nur irisches Recht anwendbar sein sollte, müsse EU-Datenschutzrecht befolgt werden. Facebook sei daher ohnedies verpflichtet, ein rechtmäßiges Einwilligungsverfahren einzuführen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Nach diesem Beschluss wird es einen Massenabgleich der Daten inländischer Nutzerinnen und Nutzer zwischen WhatsApp und Facebook auch weiterhin nicht geben. Das ist eine gute Nachricht für die vielen Millionen Menschen, die täglich den Messenger-Dienst von WhatsApp in Deutschland nutzen. Sie sind nicht schutzlos. Das Gericht hat für eine im vorläufigen Rechtsschutzverfahren deutliche Weise herausgearbeitet, dass der geplante Datenaustausch dem nationalen Datenschutzrecht widerspricht. Die Entscheidung hat erhebliche Ausstrahlungswirkung auch in Richtung EU. Denn hier gilt ja bereits heute mit der EU-Datenschutzrichtlinie – und ab Mai 2018 mit der Datenschutzgrundverordnung erst recht – ein vergleichbares Datenschutzniveau. Damit wird auch der Kritik vieler meiner Kollegen aus den anderen Mitgliedstaaten an dem geplanten Datenaustausch Rechnung getragen. Einen Massenabgleich von Daten gegen den Willen Betroffener wird und darf es in der EU nicht geben. Ein ordnungsgemäßes und transparentes Einwilligungsverfahren, das die Rechte aller Betroffenen respektiert, ist der einzig gangbare Weg. Diese Linie werden wir auch im weiteren Verlauf des Verfahrens konsequent verfolgen.“

Quelle: hmbbfdi, 25.4.2017