Home / Aktuelles & Termine / it.sec blog

Nach Ansicht der hessischen Aufsichtsbehörde ist der Einsatz von Office 365 als Cloud-Lösung derzeit nicht datenschutzkonform möglich:

 

- Es wird dabei eine sehr große Menge an Telemetrie-Daten (Funktions- und Diagnosedaten, Textausschnitte oder Betreffzeilen von E-Mails etc.) an Microsoft übermittelt, deren Verwendungszweck nicht hinreichend von Microsoft dargelegt werden konnte.

 

- Es bleibt unklar, inwiefern die Daten der anlasslosen Massenüberwachung amerikanischer Sicherheitsbehörden ausgesetzt sind.

 

Derzeit ist ein Vorlageverfahren beim EuGH anhängig, in welchem geprüft wird, ob die Instrumente zur Datenübermittlung in die USA, wie der Angemessenheitsbeschluss der EU-Kommission („Privacy Shield“), einen ausreichenden Schutz für die Rechte und Freiheiten der betroffenen Personen bewirken (vgl. EuGH: Rechtssache C-311/18: Vorabentscheidungsersuchen des High Court (Irland), eingereicht am 9. Mai 2018 — Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems).

 

- Microsoft bietet seinen Kunden in Europa das Cloud-Modell durch die Option der deutschen Datentreuhand nicht mehr an. Dabei wurden die Zugriffe auf die Daten in der Cloud durch die T-Systems International GmbH überwacht.

 

Aufgrund dieser Punkte ist derzeit der Einsatz von Office 365 insbesondere im öffentlichen Bereich unzulässig, da „die digitale Souveränität staatlicher Datenverarbeitung“ hierdurch gefährdet würde.

 

Die Aufsichtsbehörden bemühen sich wohl, hier eine Lösung mit Microsoft zu finden. Laut der Aufsichtsbehörde in Mecklenburg-Vorpommern müssen sie jedoch „teilweise monatelang [auf Antworten von Microsoft] warten, da offenbar eine aufwendige microsoftinterne Abstimmung mit dem Hauptsitz in Redmond (USA) erforderlich“ ist (vgl. 14. TB der Aufsichtsbehörde MV, Ziffer 7.1.4, S. 30).

 

Sofern also auch namhafte Anbieter von Cloud-Lösungen sich nicht an die Vorgaben der DSGVO halten (können), werden deren Kunden ihre bereits etablierte Prozesse auch immer wieder umstellen müssen.

 

Denn, was für Microsoft gilt, gilt ebenso für die Cloud-Lösungen von Google und Apple.

 

Behörden und Unternehmen sollten dies bei der Beschaffung ihrer Technik daher immer berücksichtigen.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Am 26.07.2019 hat das Security Team der A1 Digital den ersten Hackathon in Wien veranstaltet und ein Team der it.sec Penetrationstester war zur Unterstützung dabei.

 

Ein Hackathon oder auch hack day / hackfest ist ein Event mit einem definierten Ziel bzw. Fokus und kann genutzt werden um verschiedene Projekte und Ziele zu bearbeiten. Hierbei kann der Fokus auf der Entwicklung einer bestimmten Anwendung liegen oder auch auf der Entwicklung verschiedener Anwendungen mit derselben Funktion.

 

Beim Hackathon der A1 Digital wurde jedoch ein anderer Fokus gesetzt. Ziel war es einen Tag lang Seiten aus dem DACH-Raum zu analysieren und Schwachstellen zu identifizieren. Hierbei wurden nur Seiten in den Scope aufgenommen, welche auch eine offizielle Freigabe in Form eines Bug-Bounty-Programms hatten.

 

Neben dem Identifizieren von Schwachstellen ging es natürlich auch um den Austausch von Techniken und Vorgehensweisen sowie das Socializing bei Mate und Pizza.
Der erste Hackathon kann durchaus als sehr erfolgreich gewertet werden. Es wurden sowohl von Mitarbeitern der A1 Digital als auch von Mitarbeitern der it.sec verschiedene Schwachstellen identifiziert. Einige konnten leider nicht ausgenutzt werden oder waren nicht im Scope der Bug-Bounty-Programme, andere jedoch warten aktuell auf eine Bewertung durch den jeweiligen Anbieter - hoffentlich dann auch mit der Auszahlung eines Bounties.

 

Da der erste Hackathon auf ganzer Linie ein Erfolg war, wird es sicher einen 2. Hackathon bei der A1 Digital geben und vielleicht auch einen weiteren bei der it.sec.

 

Wir bedanken uns bei allen Teilnehmern und freuen uns auf den nächsten Hackathon!

 

Michael Bieder, BSc
IT-Security Consultant

In einer Vielzahl von Gesetzen werden die Aufgaben von Behörden geregelt, die hierzu notwendigerweise die personenbezogenen Daten der Bürger verarbeiten müssen.

 

Umso wichtiger ist es, dass insbesondere Behörden-Mitarbeiter dem Datenschutz einen hohen Stellenwert beimessen, um das Vertrauen in das Verwaltungshandeln nicht zu erschüttern.

 

Dennoch kommt es vor, dass sich einzelne Mitarbeiter dieser Daten auch zu privaten Zwecken bedienen:

 

So rief eine Mitarbeiterin eines Einwohnermeldeamtes vielfach Daten ihr bekannter Personen unbefugt, d.h. ohne dienstliche Veranlassung, ab. Ein Polizeibeamter wiederum nutzte Datenbanken des Kraftfahrbundesamtes sowie der Bundesnetzagentur, um mit einer Person privat Kontakt aufzunehmen.

 

Bekannt wurden die Fälle entweder durch die betroffenen Bürger selbst oder durch entsprechend in den Behörden vorgenommene Schutzmaßnahmen, indem bspw. die Abfragen von Daten(sätzen) protokolliert und die Protokolldaten auf Plausibilität hin ausgewertet wurden.

 

Bei solchen Datenschutzverstößen kann die Aufsichtsbehörde Bußgelder auch gegen diejenigen verhängen, die den Verstoß in eigener Person begangen haben. Im ersten Fall stellte die Aufsichtsbehörde einen Strafantrag, was zu einer Geldstrafe von 4.950 € inkl. Kündigung des Arbeitsverhältnisses führte. Im anderen Fall verhängte die Aufsichtsbehörde ein Bußgeld von 1.400 €.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat im Juni seinen Tätigkeitsbericht für 2018/2019 veröffentlicht und damit einen Einblick in die aktuellen datenschutzrechtlichen Entwicklungen in der Schweiz gegeben. Mit diesen Themen hat sich der EDÖB in seinem Bericht befasst:

 

Totalrevision des Datenschutzgesetzes

 

Die Totalrevision des Datenschutzgesetzes (DSG) in der Schweiz steht immer noch aus. In einem ersten Teil wurde bereits das Schengen-Datenschutzgesetz (SDSG) verabschiedet, dessen Geltung sich auf die Datenerhebung der Strafverfolgungsbehörden des Bundes beschränkt. Das SDSG soll durch das totalrevidierte DSG jedoch wieder aufgehoben werden. Ein Abschluss der Beratungen der Totalrevision des DSG von 1992 ist aber noch nicht in Sicht. Dadurch entstehen Wettbewerbsnachteile bei Schweizer Unternehmen, die ihren Kunden – genauso wie ihre Konkurrenten in den Staaten der EU und des EWR – einen den europäischen Standards entsprechenden Schutz bieten wollen.

 

Denn zahlreiche Schweizer Unternehmen geraten in den Anwendungsbereich der Datenschutzgrundverordnung (DSGVO). So z.B. wenn ein Schweizer Unternehmen eine Niederlassung in der EU hat, Waren oder Dienstleistungen in der EU anbietet oder das Verhalten von Kunden in der EU beobachtet (z.B. deren Surfverhalten), um personalisierte Angebote zu unterbreiten. Das Nebeneinander von DSGVO und DSG führt aber zu Rechtsunsicherheit auf Seiten der Unternehmen, die durch das totalrevidierte DSG aufgelöst werden kann. Es bleibt daher zu hoffen, dass die Totalrevision des Datenschutzgesetzes nicht mehr allzu lange auf sich warten lässt.

 

Swiss-US Privacy Shield

 

Im Herbst 2018 wurde das Swiss-US Privacy Shield in Brüssel überprüft und in dem Zusammenhang auch Verbesserungen durch die US-Behörden vorgenommen. So wurde beispielsweise verstärkt nach „false claims“ gesucht, d.h. nach Unternehmen die sich fälschlicherweise als Swiss-US Privacy Shield zertifiziert ausgaben. Unternehmen werden außerdem regelmäßiger auf Schwachstellen überprüft und die US Behörden überwachen die Zertifizierung strenger.

 

Im Berichtsjahr wurden dem EDÖB zwei „false claims“ gemeldet und es wurden zehn berechtigte Beschwerden von Betroffenen aus der Schweiz bei unabhängigen Beschwerdestellen (Independent Recourse Mechanism) eingereicht. Dies zeigt, dass die Rechtsinstrumente des Swiss-US Privacy Shield bisher nur wenig genutzt werden. Vor einer offiziellen Beschwerde wird jedoch in der Regel erst das zertifizierte Unternehmen selbst angegangen und die Datenschutzverletzung vermutlich bereits auf diesem Weg beseitigt. Außerdem ist das Übereinkommen auch erst seit April 2017 in Kraft.

 

Trotz einiger Schwachstellen, konnte die Funktionsweise des Swiss-US Privacy Shield insgesamt verbessert werden. Seit dessen Inkrafttreten haben sich bereits rund 2900 US-Unternehmen zertifizieren lassen.

 

Überprüfung des Datenschutzniveaus

 

Die Europäische Kommission hat der Schweiz zuletzt 2000 ein angemessenes Datenschutzniveau attestiert und nun angekündigt das Schweizer Datenschutzniveau auf Grundlage der DSGVO neu zu bewerten und den Angemessenheitsentscheid 2020 zu veröffentlichen. Für die Schweiz wäre es natürlich von Vorteil, wenn dies aufgrund des totalrevidierten DSG bewertet würde und nicht aufgrund des alten DSG von 1992. Ein entscheidendes Kriterium für den Angemessenheitsbeschluss ist nach Aussage der Europäischen Kommission auch das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) des Europarates, das seit Oktober 2018 zur Unterzeichnung vorliegt.

 

Es besteht die Gefahr, dass die EU der Schweiz den Angemessenheitsbeschluss entzieht, wenn die Schweiz ihre Änderungen zum Datenschutz nicht rechtzeitig verabschieden. Wir werden die Entwicklungen daher im Blick behalten, um in diesem Fall zeitnah bei unseren Kunden mit EU-Standardvertragsklauseln reagieren zu können.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Die Gesellschaft für Informatik (GI), gemeinnütziger Verein zur Interessenvertretung der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik, hat unter aktiver Mitwirkung der it.sec in der Funktion als Sprecher des GI-Fachbereichs Sicherheit Stellung bezogen zur Nationalen Strategie für Künstliche Intelligenz (KI) der Bundesregierung.

 

Eine gezielte Förderung der KI ist begrüßenswert, doch muss diese auch sicher, robust, resilient, nachvollziehbar, vertrauenswürdig und datenschutzkonform sein. Hierzu müssen erst noch geeignete technische und rechtliche Voraussetzungen geschaffen werden:

 

  • Nötig ist eine sichere und gegenüber Störungen robuste Entwicklung der KI durch konsequente Verankerung des Prinzips Security by Design und einem ausreichenden Schutz der Integrität der KI-Systeme und der davon verarbeiteten Daten.
  • Ferner bedarf es einer fundierten Abschätzung der Folgen eines unzureichenden Wirklichkeitsmodells, da ein KI-System durch fehlerhafte Modellierung oder unzureichenden Trainingsdaten sonst zufällig auftretende Korrelationen lernt, die keinen inhaltlichen Zusammenhang besitzen oder diskriminierende Strukturen sogar noch verfestigen können.

 

Der Wortlaut der kompletten Stellungnahme der GI ist abrufbar unter https://gi.de/fileadmin/GI/Allgemein/PDF/2018-12-05_Stellungnahme_KI_Strategie_.pdf

 

Die KI-Strategie der Bundesregierung ist wiederum abrufbar unter https://www.bmbf.de/files/Nationale_KI-Strategie.pdf

 

Bernhard C. Witt

 

Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit

 

bcwitt@it-sec.de

LfDI Baden-Württemberg verhängt Bußgeld gegen Polizeibeamten

 

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat ein Bußgeld von 1.400 Euro gegen einen Polizeibeamten verhängt. Damit wurde das erste Bußgeld nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gegen einen Mitarbeiter einer öffentlichen Stelle verhängt.

 

Der Polizeibeamte wollte die Daten einer privaten Zufallsbekanntschaft in Erfahrung bringen und nutzte dafür seine dienstliche Benutzerkennung, um über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahrbundesamtes die Halterdaten ihres Autos abzufragen. Diese Daten nutzte er wiederum, um bei der Bundesnetzagentur ihre Festnetz- und Mobilfunknummer zu erfragen. Anschließend kontaktierte er die Frau telefonisch. All das geschah ohne dienstlichen Bezug oder Einwilligung der Geschädigten, ausschließlich zu privaten Zwecken. Damit verarbeitete der Polizeibeamte die dienstlich erlangten personenbezogenen Daten rechtswidrig zu privaten Zwecken.

 

Bei der Höhe des Bußgeldes wurde berücksichtigt, dass es sich um einen Erstverstoß handelte und nur eine Person betroffen war. Das Bußgeld ist mittlerweile rechtskräftig.

 

Das zeigt, dass auch für Mitarbeiter öffentlicher Stellen keine Ausnahmen gelten und sie sich genauso an den Datenschutz halten und Bußgelder bei rechtswidriger Datenverarbeitung zu privaten Zwecken befürchten müssen.

 

Britische Datenschutzbehörde kündigt Rekordstrafen an

 

Die britische Datenschutzbehörde will ein Bußgeld von 183,39 Millionen Pfund, das sind umgerechnet etwa 204 Millionen Euro, gegen British Airways wegen Verstoßes gegen die DSGVO verhängen. Das entspricht etwa 1,5 Prozent des weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr und wäre das bislang höchste Bußgeld seit Inkrafttreten der DSGVO.

 

Hacker verschafften sich 2018 Zugriff auf persönliche Daten und Kreditkarteninformationen mit CVV-Sicherheitsnummern von rund 500.000 Kunden, die in einem bestimmten Zeitraum Flüge mit ihrer Kreditkarte bezahlt hatten. Grund dafür waren nach Ansicht der Datenschutzbehörde gravierende Sicherheitsmängel bei British Airways.

 

Auch gegen die Hotelkette Marriott hat die britische Datenschutzbehörde ein hohes Bußgeld angekündigt – 99,2 Millionen Pfund, umgerechnet etwa 110 Millionen Euro. Das entspricht etwa 3 Prozent des weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr.

 

Auch hier wurden bei einem Hack 2018 Kundendaten abgegriffen. Betroffen waren rund 339 Millionen Gästeaufzeichnungen, davon waren allerdings „nur“ 30 Millionen Personen in Europa betroffen.

 

In beiden Fällen handelt es sich bisher nur um eine Ankündigung, d.h. die Unternehmen haben jetzt zunächst die Möglichkeit dazu Stellung zu nehmen. Beide Unternehmen haben bereits angekündigt von dieser Möglichkeit Gebrauch zu machen. Erst im Anschluss entscheidet die Datenschutzbehörde über die endgültige Höhe der Bußgelder. Es bleibt also abzuwarten, was am Ende von den Rekordstrafen übrigbleibt.

 

Datenpanne bei Meldebehörden

 

Parteien, Wählergruppen und andere Träger von Wahlvorschlägen können nach § 50 Abs. 1 BMG von der Meldebehörde Daten von Wahlberechtigten für personalisierte Wahlwerbung erhalten. Wenn man das nicht möchte, muss man dieser Übermittlung der Daten widersprechen, § 50 Abs. 5 BMG. Viele Bürger kennen diese Regelung jedoch nicht, weshalb bei den letzten Europa- und Kommunalwahlen zahlreiche Beschwerden beim LfDI Baden-Württemberg eingegangen sind.

 

In dem Zusammenhang gab es aber auch massive Datenpannen bei den Meldebehörden, die zu rechtswidrigen Datenübermittlungen führten. So wurden Daten von Nichtwahlberechtigten oder Personen, für die Auskunftssperren eingetragen sind, übermittelt. Eine Auskunftssperre kann beispielsweise eingetragen werden, wenn für eine Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann, § 51 Abs. 1 BMG. Durch diese Datenpannen erhielten dann beispielsweise auch Säuglinge und Kleinkinder personalisierte Wahlwerbung.

 

Solche Vorfälle können bereits durch einfache Maßnahmen vermieden oder jedenfalls reduziert werden – wie etwa durch Sensibilisierung und Schulung von Mitarbeitern oder durch Anwendung des Vier-Augen-Prinzips.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Dass Office-Dokumente, die per E-Mail eingehen, nicht vorbehaltlos vom Anwender geöffnet werden dürfen, da sie Schadsoftware beinhalten können, ist mittlerweile schon bekannt. Doch dieses Mal ist nicht die bei Hackern beliebte Makro-Funktion das Problem, sondern die sogenannte Power-Query-Funktion.

 

Mit dieser Power-Query-Funktion ist es nun möglich, dass Daten in dem Excel aus externen Quellen geladen werden. Dies klingt im Grunde nicht schlecht, da damit Preise oder sonstige Daten immer aktuell gehalten werden können. In den Einstellungen ist es auch möglich diese Aktualisierungsrate zu präzisieren. Dabei kann angegeben werden, ob die Datei nur beim Öffnen aktualisiert werden soll oder ob auch während des Bearbeitens der Datei eine Hintergrundaktualisierung laufen soll.

 

Die Sicherheitslücke der Power-Query-Funktion ist für einen Angreifer nicht schwierig auszunutzen. Beim Einbinden der externen Quellen, kann ein Angreifer einfach auf eine Schadsoftware verlinken. Je nach Schadsoftware oder Motiv könnte ein Angreifer versuchen, den Computer zu übernehmen, wichtige Daten zu löschen oder zu verändern.

 

Die Power-Query-Funktion basiert auf dem sogenannten Dynamic Data Exchange (DDE) Protokoll. Da Microsoft schon vor längerer Zeit bemerkte, dass DDE genutzt werden kann, um Schadsoftware zu übertragen, wurde Microsoft Excel 2016 mit einem Sicherheitsmechanismus versehen. Ab Excel 2016 muss der Benutzer einen Doppelklick auf die Zelle durchführen, um das Aktualisieren der externen Daten zu ermöglichen. Dieser Sicherheitsmechanismus konnte jedoch schon ausgehebelt werden. Ein Angreifer muss dafür eine ältere Excel-Version mit der schadhaften Power-Query-Funktion generieren und verschicken. Excel 2016 öffnet diese älteren Versionen ohne Probleme, jedoch ohne Sicherheitsmechanismus. Die Bestätigung bzw. der Doppelklick des Benutzers wird bei älteren Versionen nicht benötigt und die Aktualisierung bzw. die Ausführung der Schadsoftware wird automatisch vorgenommen.

 

Von Microsoft wird die Power-Query-Funktion nicht als Sicherheitslücke angesehen. Somit wird laut Mimecast derzeit kein Fix angeboten, sondern nur ein Workaround, um der potenziellen Schadsoftware aus dem Weg zu gehen.

 

Der Workaround von Microsoft empfiehlt die Deaktivierung der Power-Query-Funktion. Dafür gibt es zwei Möglichkeiten. Eine Möglichkeit wäre es die Funktion über die Benutzeroberfläche zu deaktivieren. Zweite Variante wäre die DDE-Funktion in der Registry zu deaktivieren. Genaue Vorgehensweise für die Deaktivierung kann direkt im offiziellen Workaround nachgelesen werden.

Kathrin Hufnagl

IT Security Consultant

Mit der Datenschutzgrundverordnung (DSGVO) trat letztes Jahr auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Dieses regelt in § 38 BDSG, dass Unternehmen ab zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen. Hier wurde seitens Deutschlands die Öffnungsklausel in der der DSGVO genutzt. Kein anderes Land innerhalb der EU ist bei diesem Punkt derart streng.

 

Der Bundestag hat nun beschlossen, diese Schwelle auf 20 Mitarbeiter anzuheben. Dem muss der Bundesrat noch zustimmen. Begründet wird diese Änderung mit der Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.

 

Zu beachten ist jedoch, dass Unternehmen unabhängig von der Anzahl ihrer Mitarbeiter die Anforderungen der DSGVO erfüllen müssen. D.h. inhaltlich ändert sich durch diesen Beschluss für kleinere Unternehmen nichts. Ihnen wird lediglich die Möglichkeit eingeräumt die Anforderungen der DSGVO auch ohne einen Datenschutzbeauftragten zu erfüllen. Dann ist die Geschäftsführung und Vorstandschaft gefragt den Datenschutz im Unternehmen/Verein rechtskonform umzusetzen. Was ohne entsprechende Fachkunde oft schwierig werden kann.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin

In Italien wurde von den Aufsichtsbehörden ein Bußgeld nach der Datenschutzgrundverordnung (DSGVO) in Höhe von über 2 Millionen Euro verhängt. Dieses richtete sich gegen ein Unternehmen, das über ein albanisches Callcenter Telemarketing und Teleselling Maßnahmen ohne eine entsprechende Einwilligung durchgeführt hat.

 

Das Callcenter wurde im Auftrag des Unternehmens zur Akquisition neuer Kunden tätig und benutzte dafür Telefonnummern aus dem eigenen Kundenstamm. Auf den Kundenstamm der italienischen Firmen wurde nicht zugegriffen.

 

Die zuständige Finanz- und Zollpolizei Guardia di Finanzia stellte fest, dass die kontaktierten betroffenen Personen nicht über ihre Rechte informiert wurden und auch keine schriftliche Einwilligung zur Erhebung und Verarbeitung der personenbezogenen Daten zu Marketingzwecken vorlag. Der Verantwortliche konnte seine Informationspflichten nicht durch die Vorlage der Verträge erfüllen, weil diese den betroffenen Personen erst im Anschluss übermittelt wurden. Die Verträge wurden auch nicht durch die betroffenen Personen unterschrieben, es befand sich darauf lediglich ein Kürzel des Mitarbeiters des Verantwortlichen. Eine Information der betroffenen Personen während des Telefongesprächs fand nicht statt. Das Callcenter besaß kein Skript, das den betroffenen Personen die entsprechenden Informationen zur Verfügung stellen sollte.

 

Das Bußgeld richtete sich nach Art. 83 Abs. 5 DSGVO und setzte sich zusammen aus 78 Verstößen gegen das Erhebungsverbot zu je 6.000 Euro/Verstoß und 155 Verstößen gegen das Verarbeitungsverbot zu je 10.000 Euro/Verstoß. Dabei wurde der einzelne Verstoß schon am unteren Ende des möglichen Strafrahmens gebildet. Die Höhe des Bußgeldes kam daher aufgrund der Vielzahl der Verstöße zustande.

 

Berücksichtigt wurden dabei u.a. der Mangel an der Einhaltung der Datenschutzbestimmungen, die fehlende Bezeichnung des Verantwortlichen, die kurze Zeitspanne zwischen den einzelnen Verletzungshandlungen, die Schwere der Verstöße bezüglich wirtschaftlicher und sozialer Tätigkeiten, das Verhalten des Verantwortlichen gegenüber der Guardia di Finanzia während der Ermittlungen, der Jahresabschluss des verantwortlichen Unternehmens aus 2016 und dass keine vorherigen Sanktionsverfahren vorlagen.

 

Hieran lässt sich wieder erkennen, dass die Datenschutzverstöße aufgrund einer Vielzahl von Aspekten bewertet werden und eine Kooperation mit den Aufsichtsbehörden strafmildern berücksichtigt werden kann.

 

Es zeigt aber auch, dass ein Verstoß gegen die DSGVO nicht auf die leichte Schulter zu nehmen ist. Achten Sie bei Telefonwerbung unbedingt darauf die Einwilligung der betroffenen Personen einzuholen, deren Daten Sie zum Zwecke der Telefonwerbung verarbeiten wollen.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Etwas mehr als ein Jahr ist es her, dass die Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) kurz bevor es mit der DSGVO ernst wurde verkündete, dass vor dem Einsatz von Tracking-Tools auf jeden Fall eine Einwilligung benötigt werde (wir berichteten, siehe Blog "Datenschutzkonferenz legt Regelung zur Einwilligung bei Cookies neu aus").

Daher beraten wir unserer Kunden seitdem entsprechend und weisen immer wieder darauf hin, dass eine explizite Einwilligung benötigt wird, und zwar bereits bevor das Tracking aktiv wird.

Das Bayerische Landesamt für Datenschutzaufsicht hat in den Wintermonaten viele Webseiten geprüft und kommt zu einem eindeutigen Ergebnis: Von 40 geprüften Webseiten war keine einzige Einwilligung wirksam.

Nun haben sich erfreulicherweise sowohl die DSK als auch der Landesbeauftrage für den Datenschutz und die Informationssicherheit Baden-Württemberg nochmals zu dem Thema geäußert. Demnach können prinzipiell auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO den Einsatz von Tracking-Tools rechtfertigen. Allerdings ist hier bekanntermaßen eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen der betroffenen Personen vorzunehmen, die tendenziell eher zugunsten der Nutzer ausfallen dürfte, zumindest wenn die Daten an Dritte weitergegeben werden. Der LfDI Baden-Württemberg geht jedoch davon aus, dass z.B. lokal installierten Trackingtools ohne Weitergabe der Daten an Dritte zumindest ohne Einwilligung aufgrund des berechtigten Interesses zulässig wären.

Sie können bestimmte Tracking-Tools also auch ohne vorherige Einwilligung einsetzen!

 

Dabei ist zwingend folgendes zu beachten:

 

  • Die Tools müssen lokal installiert sein.
  • Daten dürfen nicht an Dritte weitergeben werden.
  • In der Datenschutzerklärung muss über den Einsatz der Tools informiert werden. Dort darf auch der Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO nicht fehlen.

 

 

Wenden Sie sich bei Fragen gerne an uns.

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entlastung Entsorgung Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Integrität interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG Security by Design Seitenbetreiber SHA1 sicher Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Swiss-US Privacy Shield Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TKG TLS TMG Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mon Tue Wed Thu Fri Sat Sun
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31