Home / Aktuelles & Termine / it.sec blog

Am 01.10.2019 erging ein entscheidendes Urteil des EuGH zum Einsatz von Cookies. Der EuGH hat Folgendes dabei klargestellt:

 

- Das Endgerät des Website-Besuchers und die in diesen Geräten gespeicherten Informationen sind Teil seiner Privatsphäre.

 

- Die Einwilligung in das Platzieren und Abrufen der Cookies muss durch eine aktive Handlung erfolgen, etwa durch Anklicken eines Kästchens. Der Haken darf nicht bereits voreingestellt sein.

 

- Der Website-Besucher muss vollständig über die verwendeten Cookies und deren Funktionsweise informiert werden.

 

Aus dem Urteil ergeben sich folgende Aufgaben für Website-Betreiber:

 

Cookies überprüfen

 

Auch wenn es im Urteil nicht explizit erwähnt wird, so dürfen für den Betrieb einer Website technisch notwendige Cookies auch weiterhin ohne Einwilligung eingesetzt werden, bspw. Cookies zur Benutzer-Authentifizierung im Log-In-Bereich einer Website. Für alle anderen - und das dürfte der Großteil der verwendeten Cookies sein - muss die Einwilligung eingeholt werden.

 

HINWEIS: Es ist notwendig, dass der Betreiber die Funktionsweise der Cookies und etwaige Empfänger kennt. Andernfalls kann er die Website-Besucher nicht ausreichend hierüber in der Datenschutzerklärung informieren.

 

 

Einwilligung einholen

 

Über ein Auswahlmenü muss es den Website-Besuchern möglich sein, die jeweiligen Cookies bzw. Cookie-Kategorien auszuwählen und sich hierüber gezielt zu informieren (u.a. zu den Zwecken, Empfängern und zur Speicherdauer), um dann zu entscheiden, ob sie diese aktivieren möchten oder nicht.

 

Bis zur Erteilung der Einwilligung oder wenn keine Einwilligung erteilt wird, dürfen die Cookies nicht platziert werden.

 

Widerruf beachten

 

Da die Website Besucher ihre erteilte Einwilligung auch jederzeit widerrufen können, sollte eine Widerrufslösung technisch implementiert werden.

 

 

Vorgaben der Aufsichtsbehörden umsetzen

 

Der EuGH hat in seinem Urteil die Auffassung der deutschen Aufsichtsbehörden vom 26. April 2018 bestätigt.

 

HINWEIS: Die Aufsichtsbehörden verlangen aber nicht nur eine Einwilligung für das Setzen von Cookies, sondern für alle Verfahren, bei denen potentiell Daten und Informationen zu den Website-Besuchern gesammelt werden, ohne dass dies für den Betrieb der Website erforderlich ist, bspw. auch für Verfahren zur Verfolgung der Website-Besucher durch Zählpixel oder Browser-Fingerprinting. Auch diese Verfahren sollten daher in die technische Einwilligungslösung einbezogen werden.

 

S. Kieselmann

 

Beraterin für Datenschutz

Wenn Unternehmen bei uns Penetrationstests beauftragen, kommt es vor, dass Web-Applikation-Firewalls (WAF) oder Intrusion-Prevention-Systeme (IPS) vorhanden sind, welche die eigentlichen Zielsysteme zusätzlich schützen. Diese Systeme greifen in den Datenstrom ein, versuchen Angriffe zu erkennen und blocken diese im Idealfall gleich ab, sodass die geschützten Systeme davon gar nichts mitbekommen. Oft haben wir Diskussionen darüber, ob diese Systeme für unsere Tests (zumindest für unsere Quell-IP-Bereiche) ausgeschaltet werden sollen oder nicht. Wir legen unseren Kunden im Normalfall nahe, die Systeme auszuschalten – warum, soll hier kurz beschrieben werden.

IDS und WAF Systeme aus Sicht des Sicherheitsmanagements

Intrusion Prevention Systeme (IPS) oder WAFs (Web-Applikation-Firewalls) werden i.d.R. (!) auf neudeutsch als „second line of defense“ oder „mitigierende Maßnahme“ betrachtet. Das bedeutet, dass sie unterstützend wirken, Risiken mindern, nicht aber die eigentliche Sicherheitsmaßnahme sind.

Bei „normalen“ IT-Systemen oder Web-Anwendungen gilt nach wie vor, dass diese dem „Stand der Technik“ entsprechend programmiert, gewartet und betrieben werden sollen. Dies umfasst beispielsweise eine sichere Programmierung, ein funktionierendes Patch- und Vulnerability Management (um bekannte Sicherheitslücken zu beseitigen), welches dazu führt, dass ausnutzbare Sicherheitslücken zeitnah beseitig werden und dadurch keine vermeidbaren Schwachstellen mehr vorliegen. Ein Penetrationstest dienst als sogenannte Wirksamkeitskontrolle. IPS und WAF Systeme sollten nicht dafür eingesetzt werden die Programmierfehler in der Web-Anwendung zu kaschieren oder sich den sicheren Betrieb von Serversystemen einzusparen.

IPS und WAF mindern also das Risiko, welches entsteht, wenn man Patches und Updates nicht zeitnah einspielen kann, Fehler bei der Wartung passieren, Sicherheitslücken übersehen wurden, irreparabel sind - oder neu eingebaut und noch nicht durch einen Penetrationstest aufgedeckt wurden. Diese Systeme funktionieren aber nur in engen Grenzen, auch daher stellen sie i.d.R. einen ZUSATZ-SCHUTZ dar, das Auffangnetz, wenn man so will.

Also an oder aus?

Für Penetrationstests schaltet man diese Systeme in aller Regel aus, um die Sicherheit der eigentlichen Systeme oder Anwendungen zu prüfen. Das ist ein wenig wie bei der Autoinspektion: nur weil der Airbag funktioniert, kann man nicht auf die Prüfung der Bremsen verzichten. Außerdem ist es schon deswegen notwendig die eigentlichen Sicherheitslücken zu kennen, weil IPS und insbesondere WAFs erst gut funktionieren können, wenn man sie konkret darauf adjustiert. Auch aus Compliance-Sicht ist dies üblicherweise das richtige Vorgehen.

Ausnahmen?

Ausnahmen sind gegeben, wenn man tatsächlich explizit die Funktion der IPS oder WAF testen will. Dies kann dann der Fall sein, wenn die eigentlichen Systeme schon geprüft wurden und man nun wissen möchte, ob der Zusatzschutz auch funktioniert. Oder aber – typischerweise – wenn die eigentlichen Zielsysteme sich einem normalen Sicherheitsmanagement entziehen, weil es sich z.B. um Embedded Devices, ICS oder Legacy Systeme handelt, die nicht gepatcht werden können aber Sicherheitslücken haben. Hier kann man in Ermangelung von Alternativen ein IPS oder eine WAF als erste Verteidigungslinie einsetzen.

Entscheidet man sich gegen eine Abschaltung, muss man bedenken, dass zeitlicher Mehraufwand beim Testen entsteht, da man nicht nur die eigentlichen Sicherheitslücken finden muss, sondern auch noch Wege die Schutzsysteme auszutricksen. Hierzu ist deutlich mehr Zeit erforderlich, oder die Ergebnisqualität leidet.

Daher ist es wichtig die Umstände, bzw. Zielsetzung des Tests vorab mit it.sec abzusprechen, damit Sie auch das bekommen, was Sie brauchen.

Holger Heimann

Geschäftsführer

Verwendet ein Internetnutzer die Google-Suchmaschine, wird seine Suche zu der jeweiligen Domain des Staates weitergeleitet, welche anhand seiner IP-Adresse identifiziert wird. Nutzt er also eine IP-Adresse, die ihn bspw. in Frankreich ansässig erscheinen lässt, werden ihm ggf. Einträge zu einem anderen Menschen gar nicht erst angezeigt, wenn er diesen anhand von dessen Namen sucht.

So musste Google gemäß der Entscheidung des EuGH vom 13.05.2014 Einträge zu einem Betroffenen, die ihn namentlich erwähnten samt Angaben zu seinen Schulden, „auslisten“. Die Links zu von Dritten veröffentlichten Internetseiten mit Informationen zu ihm tauchten dann in der Ergebnisliste auf die entsprechende Suchanfrage hin nicht mehr auf.

Mit seinem Urteil vom 24.09.2019 hat der EuGH nun klargestellt, wie weit diese „Löschpflicht“ von Google reicht: Hat eine betroffene Person ein Recht auf eine solche Auslistung, ergibt sich damit noch nicht, dass dieses Recht über das Hoheitsgebiet der Mitgliedstaaten hinausgeht. Das bedeutet, dass die Einträge zu dieser Person erst einmal weiterhin über Domains anderer Staaten, die keine EU-Mitglieder sind, abrufbar bleiben. Google muss die entsprechenden Einträge dort nicht auslisten, sondern nur wirksam verhindern, dass Internetnutzer in EU-Mitgliedstaaten diese Einträge in ihrer Ergebnisliste auffinden.

Der EuGH weist aber darauf hin, dass eine Aufsichtsbehörde dennoch in Einzelfällen befugt sein kann, Suchmaschinenbetreiber wie Google anzuweisen, die Einträge in allen Versionen ihrer Suchmaschine auszulisten, wenn eine Grundrechtsabwägung ergibt, dass das Recht der betroffenen Person auf Achtung ihres Privatlebens und auf Schutz der sie betreffenden personenbezogenen Daten höher zu werten ist als das Recht auf freie Information.

S. Kieselmann

Beraterin für Datenschutz

Die Bundesregierung will den verwundbaren Finanzsektor besser vor Cyberattacken schützen. Das Bundesfinanzministerium und die Deutsche Bundesbank haben ein Programm Namens TIBER-DE beschlossen, um die Widerstandsfähigkeit von Finanzunternehmen gegen Hackerangriffe zu stärken.

TIBER steht für „Threat Intelligence Based Ethical Red Teaming“ und unterscheidet sich von den üblicherweise durchgeführten Penetrationstests dergestalt, dass sie nicht nur auf Einzelsysteme abzielen, sondern szenariobasiert sind, weniger zeitlichen Restriktionen unterliegen, die reale Bedrohungslage berücksichtigen, Fachbereiche und teils auch Ländergrenzen überschreiten können - und damit realen Angreifern viel näher kommen.

TIBER ist zwar für den Finanzsektor geschaffen, kann aber auch für andere Branchen angewendet werden.

it.sec verfolgt die Entwicklung des Standards von Anbeginn und bietet TIBER Tests auf Basis jahrzehntelanger Erfahrung im Finanzsegment sowie bei Red-Team Assessments vollumfänglich (und mit Referenzen) an.

Mehr Informationen finden sich bei der FAZ und der Deutschen Bundesbank.

Holger Heimann

Geschäftsführer

it.sec GmbH & Co. KG

Die Datenschutzgrundverordnung (DSGVO) beschäftigt immer noch sehr viele Unternehmen, nun steht schon die Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung (ePVO)) vor der Tür. Ursprünglich sollte sie schon mit der DSGVO in Kraft treten, dies wird nun aller Wahrscheinlichkeit nach 2020 der Fall sein.

 

Die ePVO ist eine EU-Verordnung, die nach ihrem Inkrafttreten sofort innerhalb der EU gilt. Eine Umsetzung durch die Mitgliedsstaaten ist nicht erforderlich. Die ePVO soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie ist ein Spezialgesetz zur DSGVO und soll diese bezüglich elektronischer Kommunikationsdaten präzisieren und ergänzen.

 

Sachlicher Anwendungsbereich
Nach Art. 2 Abs. 2 des Entwurfs gilt die Verordnung für

 

  • die Verarbeitung von elektronischen Kommunikationsinhalten und von Metadaten der elektronischen Kommunikation, die im Zusammenhang mit der Bereitstellung und Nutzung von elektronischen Kommunikationsdiensten durchgeführt werden;
  • Informationen über die Endgeräte der Endverbraucher
  • das Angebot eines öffentlich zugänglichen Verzeichnisses der Endnutzer elektronischer Kommunikationsdienste;
  • die Versendung von Direktmarketing-Mitteilungen an die Endverbraucher.

 

Von der ePVO betroffen sind daher u.a.:

 

  • Messenger-Dienste
  • Internettelefonie
  • Webbasierte E-Mail-Dienste
  • Soziale Medien
  • Internetzugang

 

Wesentliche Inhalte

 

  • Endnutzer sollen in regelmäßigen Abständen von max. 12 Monaten an die Möglichkeit des Widerrufs ihrer Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten erinnert werden, Art. 4a Abs. 3 des Entwurfs.
  • Die Möglichkeit der Rufnummerunterdrückung soll den Endnutzern auf einfache Weise und kostenlos zur Verfügung gestellt werden, Art. 12 des Entwurfs.
  • Die Endnutzer sollen außerdem kostenlos die Möglichkeit bekommen eingehende Anrufe von bestimmten Rufnummern oder anonymen Quellen zu sperren und eine von einem Dritten veranlasste automatische Anrufweiterschaltung zur Endeinrichtung des Endnutzers abzuschalten, Art. 14 des Entwurfs.
  • Die Aufnahme personenbezogener Daten der Endnutzer in öffentlich zugängliche Verzeichnisse (z.B. Telefonbücher) ist nur mit Einwilligung des Endnutzers möglich. Die Mitgliedsstaaten dürfen hier jedoch eine Widerspruchslösung einführen, d.h. dass die Einwilligung des Endnutzers als erteilt gilt, solange er nicht widerspricht, Art. 15 des Entwurfs.
  • Direktwerbung ist nach Art. 16 des Entwurfs unerwünschte Kommunikation. Eine Direktwerbung über elektronische Kommunikationsdienste darf nur mit Einwilligung des Endnutzers erfolgen. Wurden die elektronischen Kontaktangaben durch den Verkauf eines Produkts oder einer Dienstleistung erlangt, dürfen diese nur für eigene ähnliche Produkte oder Dienstleistungen verwendet werden und nur dann, wenn dem Kunden ein Widerspruchsrecht eingeräumt wird.

 

Cookies
Derzeit lassen die meisten Browser Cookies zu, wenn der Nutzer nicht erweiterte Sicherheitseinstellungen aktiviert hat. In Deutschland verlangen die Aufsichtsbehörden aber schon jetzt, dass die Nutzer für das Setzen von Cookies mit einer Opt-In-Lösung ihre ausdrückliche Zustimmung erteilen. Die Aufsichtsbehörden im EU-Ausland sehen dies jedoch anders und verlangen datenschutzrechtlich momentan keine Zustimmung der Nutzer für den Einsatz von Cookies, sondern der Nutzer kann dem mithilfe der auf den meisten Webseiten genutzten Opt-Out-Lösung widersprechen. Diese Opt-Out-Lösung für den Einsatz von Cookies wird aber nach Inkrafttreten der ePVO nicht mehr ausreichend sein. Dadurch entfällt mit Inkrafttreten der ePVO die diesbezüglich herrschende Rechtsunsicherheit, da alle Webseiten in allen Mitgliedsstaaten dann einheitlich auf Grundlage der ePVO behandelt werden und eine solche Opt-In-Lösung implementieren müssen. Auch in Browsern sollen sich die Regel-Einstellungen dahingehend ändern, dass Cookies grundsätzlich gesperrt sind und die Aktivierung explizit durch die Nutzer vorgenommen werden muss.

 

Bußgelder
Art. 83 DSGVO soll auf die Verhängung von Bußgeldern nach der ePVO entsprechende Anwendung finden. Der Bußgeldrahmen liegt also auch bei Verstößen gegen die ePVO bei bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist.

 

Bußgelder kommen nach Art. 23 des Entwurfs insbesondere in Betracht bei

 

  • Verstößen gegen den Grundsatz der Vertraulichkeit und Kommunikation
  • unerlaubter Verarbeitung elektronischer Kommunikationsdaten
  • Verstößen gegen die Löschfristen der ePVO
  • Nichtbefolgung einer Anweisung der Aufsichtsbehörde

 

Die konsolidierte Entwurfsfassung der ePVO vom 12. Juli 2019 sieht eine Übergangsfrist von zwei Jahren vor. Trotzdem sollte man nicht bis zum letzten Tag warten, sondern sollte sich schon rechtzeitig auf die ePVO vorbereiten und an einer entsprechenden Umsetzung arbeiten. Dabei unterstützen wir Sie gerne, kommen Sie bei Fragen einfach auf uns zu.

 

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Die Aufsicht über die Einhaltung der Datenschutzgesetze obliegt in Deutschland den Aufsichtsbehörden der Bundesländer. Zu diesem Zweck sind die Aufsichtsbehörden mit entsprechenden Befugnissen ausgestattet, die es ihnen ermöglicht, die Einhaltung der Datenschutzgesetze u.a. durch Unternehmen zu überprüfen. Dazu gehört auch die Befugnis Unternehmen zur Bereitstellung der erforderlichen Informationen anzuweisen. Bei mangelnder Kooperation darf die Aufsichtsbehörde dieses Auskunftsverlangen mit einem Zwangsgeld durchsetzen. Dies entschied das VG Mainz am 09.05.2019 (Az. 1 K 760/18.MZ).

 

Hintergrund war der Folgende: Der Betreiber eines erotischen Tanzlokals hatte im Innen- und Außenbereich des Lokals Videokameras installiert. Der Landesbeauftrage für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz verlangte Auskunft über die Videoüberwachung, insbesondere deren Umfang, und legte dem Betreiber dafür einen Fragekatalog mit 16 Fragen vor. Diesem Auskunftsverlangen kam der Betreiber trotz wiederholter Aufforderung nicht oder nur unzureichend nach. Deshalb verhängte die Aufsichtsbehörde ein Zwangsgeld in Höhe von 5.000 Euro, gegen das der Betreiber Klage erhob.

 

Das VG Mainz wies die Klage als unbegründet ab. Das Zwangsgeld wurde rechtmäßig verhängt und war auch der Höhe nach angemessen. Die Aufsichtsbehörde hat einen Auskunftsanspruch gegenüber dem Verantwortlichen, dem dieser grundsätzlich nachkommen muss.

 

Mit diesem Urteil zeigt sich wieder einmal, dass sich eine Kooperation mit den Aufsichtsbehörden auszahlt. Dies vermeidet nicht nur etwaige Zwangsgelder, sondern wird bei Verhängung eines Bußgeldes sicher auch strafmildernd berücksichtigt.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

AppLocker ist eine geläufige Black- bzw. Whitelisting Technologie zur Zugriffsverwaltung auf Applikationen und Dateien durch Benutzer. Mittels AppLocker ist es beispielsweise möglich, den Zugriff auf ausführbare Dateien, Skripte, Windows Installer-Dateien, DLLs (Dynamic Link Libraries), o.ä. einzuschränken. In vielen Fällen wird AppLocker auf gehärteten Windows Systemen eingesetzt, um beispielsweise das Ausführen von Standardprogrammen wie cmd.exe oder powershell.exe zu unterbinden.

 

 

Mit einem einfachen Hack lassen sich AppLocker Einschränkungen jedoch unter gewissen Voraussetzungen umgehen. Dafür ist lediglich ein installiertes .NET Framework auf dem betroffenen System erforderlich. InstallUtil ist ein Tool, das Teil des .NET Frameworks ist und Benutzern die Installation und Deinstallation von Anwendungen über die Eingabeaufforderung ermöglicht. Da InstallUtil von Microsoft signiert ist und im Windows-Ordner vorgefunden wird, ist die Ausführung unter AppLocker standardmäßig erlaubt. Genau diese Tatsache ermöglicht schließlich die Umgehung von bestimmten AppLocker-Restriktionen, wie die Installation von ausführbaren Dateien.

 

 

Beispielsweise kann mit diesem Trick eine PowerShell-Umgebung auf einem System bereitgestellt werden, auf welchem PowerShell grundsätzlich von AppLocker blockiert wird. Der Security Spezialist Casey Smith veröffentlichte hierzu C#-Code (siehe: GitHub-Projekt InstallUtil-Powershell.cs), welcher auf dem betroffenen System mit dem im .NET-Framework enthaltenen Compiler in eine ausführbare Datei kompiliert werden muss. Um eine PowerShell-Umgebung zu schaffen, wird im C#-Code die DLL System.Management.Automation eingebunden. Diese DLL enthält eine Klasse Runspaces, welche die Interpretation und Ausführung von PowerShell-Instruktionen ermöglicht. Durch Überschreiben der Installationsroutine, welche bei Ausführung von InstallUtil aufgerufen wird, erfolgt die Instantiierung eines Objekts der Klasse Runspaces. Nebenbei wird in einer Endlosschleife Benutzereingaben von der von InstallUtil geöffneten Eingabeaufforderung gelesen. Diese Eingaben werden dabei als PowerShell-Befehle vom Runspaces-Objekt interpretiert und auf dem betroffenen System ausgeführt. Sollten auf dem System .exe-Dateien generell von AppLocker blockiert werden, kann der angegebene C#-Code auch als DLL kompiliert werden (siehe: GitHub-Projekt pshell.cs).

 

 

Mit der hier vorgestellten Methode ist es einem Angreifer möglich, beliebige DLLs als auch ausführbare Dateien zu laden und auszuführen. AppLocker-Restriktionen können damit effektiv ausgehebelt werden, was unter Umständen zu einer vollständigen Kompromittierung des betroffenen Systems führen kann. Um einen derartigen Angriff abzuwenden, können beispielsweise AppLocker-Pfadregeln definiert werden. Diese Regeln definieren Pfade, von welchen ausschließlich das Laden von DLLs sowie die Ausführung von ausführbaren Dateien erlaubt ist. Es sollten dabei nur Pfade erlaubt werden, die privilegierte Zugriffsberechtigungen für einen Schreibzugriff voraussetzen. Damit soll verhindert werden, dass Standardbenutzer DLLs oder ausführbare Dateien an definierten Pfaden ablegen und in weitere Folge für Angriffe verwendet werden können.

 

 

Dipl.-Ing. Christoph Leo Mahrl

 

IT Security Consultant

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ein Bußgeld in bis zu zweistelliger Millionenhöhe wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) angekündigt. Aus rechtlichen Gründen im laufenden Verfahren konnte die Sprecherin der Berliner Datenschutzbeauftragten jedoch nicht sagen, um welches Unternehmen es sich handelt.

 

Erst kürzlich hat die Berliner Datenschutzbeauftragte gegen ein ebenfalls nicht genanntes Unternehmen zwei Bußgelder in Höhe von insgesamt 200.000 Euro verhängt.

 

Bislang wurden durch die Datenschutzbeauftragten der Länder deutlich geringere Bußgelder erlassen. Die bislang höchsten Bußgelder wurden in Baden-Württemberg (80.000 Euro) und Berlin (50.000 Euro) verhängt. In Baden-Württemberg waren Gesundheitsdaten betroffen, in Berlin hatte eine Online-Bank unbefugt Daten ehemaliger Kunden verarbeitet.

 

Vielen Unternehmen ist gar nicht klar, welche Verstöße gegen die DSGVO überhaupt bußgeldbewehrt sind. Dies ist im Bußgeldkatalog der Art. 83 Abs. 4-6 DSGVO geregelt.

 

Art. 83 Abs. 4 DSGVO sieht ein Bußgeld in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor. Entscheidend ist dabei der höhere von beiden Beträgen. Ein solches Bußgeld kommt u.a. bei den folgenden Verstößen in Betracht:

 

  • Nichtvorhandensein datenschutzfreundlicher Technikgestaltung und Voreinstellungen
  • Fehlen von Joint-Control- oder Auftragsverarbeitungsverträgen
  • Fehlendes Verzeichnis von Verarbeitungstätigkeiten
  • Mangelnde Zusammenarbeit mit der Aufsichtsbehörde
  • Unzureichende technische und organisatorische Maßnahmen
  • Unterlassene Meldungen von Datenschutzverletzungen
  • Nicht durchgeführte Datenschutz-Folgenabschätzung
  • Fehlende Bennenung eines Datenschutzbeauftragten und fehlende Veröffentlichung der Kontaktdaten und Meldung an die Aufsichtsbehörde

 

Art. 83 Abs. 5 DSGVO gibt einen Bußgeldrahmen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor, wobei auch hier der höhere Betrag entscheidend ist. Ein solches Bußgeld kommt u.a. bei den folgenden Verstößen in Betracht:

 

  • Nichteinhaltung der Grundsätze der Verarbeitung (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit)
  • Nichteinholen einer erforderlichen Einwilligung
  • Verstoß gegen die Rechte der betroffenen Personen (Informationspflichten, Recht auf Auskunft, Datenübertragung, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht)
  • Übermittlung personenbezogener Daten an Empfänger in Drittländer
  • Nichtbefolgung einer Anweisung der Aufsichtsbehörde

 

Die Höhe des Bußgeldes orientiert sich u.a. nach den folgenden Kriterien:

 

  • Art, Schwere und Dauer des Verstoßes (berücksichtigt wird Art, Umfang oder Zweck der Verarbeitung, Zahl der betroffenen Personen, Ausmaß des erlittenen Schadens)
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortlichkeit unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
  • Frühere Verstöße
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde
  • Kategorieren betroffenener personenbezogener Daten
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
  • Einhaltung der in Bezug auf denselben Gegenstand bereits angeordneten Maßnahmen

 

Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von Bußgeldern unerlässlich.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 über die Konsequenzen einer Einbindung des Facebook-Like-Buttons auf der Website entschieden. Seitenbetreiber müssen die Nutzer in diesem Fall informieren und deren Einwilligung einholen.

 

Schon lange findet man den Like-Button als Social-Media-Plugin auch auf Webseiten außerhalb von Facebook. Die Seitenbesucher können dadurch ihre Meinung kundtun und Inhalte schnell und unkompliziert auf Facebook teilen.

 

Das Problem am Like-Button ist, dass die Website, auf der er eingebunden ist, Daten an Facebook überträgt – und zwar mit Öffnen der Website und unabhängig davon, ob der Like-Button betätigt wird oder man überhaupt bei Facebook angemeldet oder registriert ist. Zu diesen Daten gehören z.B. die IP-Adresse und Cookies.

 

Der EuGH hat sich nun mit der Frage beschäftigt, wer für den Like-Button verantwortlich ist, und hat sich – ähnlich wie bei seiner Entscheidung zu Facebook-Fanpage-Betreibern – für eine gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetreiber entschieden. Denn der Seitenbetreiber und Facebook entscheiden auch gemeinsam über die Mittel und Zwecke des Datentransfers. Dies gilt allerdings nur für die Erhebung und Übermittlung der Daten an Facebook, nicht jedoch für die spätere Datenverarbeitung durch Facebook.

 

Konsequenz dieses Urteils ist, dass die Webseitenbetreiber die Seitenbesucher hinsichtlich dieser Datenerhebung und -übermittlung informieren und deren Einwilligung diesbezüglich einholen müssen. Dies kann beispielsweise durch ein Pop-Up geschehen, das auf die Datenschutzerklärung verweist und in dem die Seitenbesucher explizit die Social-Media-Funktionen aktivieren können.

 

Auch andere Anbeiter, wie z.B. Google, Twitter oder Pinterest, bieten solche Social Plugins an. Aufgrund des EuGH-Urteils sollten auch in diesen Fällen die Seitenbesucher entsprechend informiert und deren Einwilligung eingeholt werden. Andere Plugins, die ähnlich funktionieren, z.B. von Werbeanbietern, dürften davon ebenfalls betroffen sein.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Nach Ansicht der hessischen Aufsichtsbehörde ist der Einsatz von Office 365 als Cloud-Lösung derzeit nicht datenschutzkonform möglich:

 

- Es wird dabei eine sehr große Menge an Telemetrie-Daten (Funktions- und Diagnosedaten, Textausschnitte oder Betreffzeilen von E-Mails etc.) an Microsoft übermittelt, deren Verwendungszweck nicht hinreichend von Microsoft dargelegt werden konnte.

 

- Es bleibt unklar, inwiefern die Daten der anlasslosen Massenüberwachung amerikanischer Sicherheitsbehörden ausgesetzt sind.

 

Derzeit ist ein Vorlageverfahren beim EuGH anhängig, in welchem geprüft wird, ob die Instrumente zur Datenübermittlung in die USA, wie der Angemessenheitsbeschluss der EU-Kommission („Privacy Shield“), einen ausreichenden Schutz für die Rechte und Freiheiten der betroffenen Personen bewirken (vgl. EuGH: Rechtssache C-311/18: Vorabentscheidungsersuchen des High Court (Irland), eingereicht am 9. Mai 2018 — Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems).

 

- Microsoft bietet seinen Kunden in Europa das Cloud-Modell durch die Option der deutschen Datentreuhand nicht mehr an. Dabei wurden die Zugriffe auf die Daten in der Cloud durch die T-Systems International GmbH überwacht.

 

Aufgrund dieser Punkte ist derzeit der Einsatz von Office 365 insbesondere im öffentlichen Bereich unzulässig, da „die digitale Souveränität staatlicher Datenverarbeitung“ hierdurch gefährdet würde.

 

Die Aufsichtsbehörden bemühen sich wohl, hier eine Lösung mit Microsoft zu finden. Laut der Aufsichtsbehörde in Mecklenburg-Vorpommern müssen sie jedoch „teilweise monatelang [auf Antworten von Microsoft] warten, da offenbar eine aufwendige microsoftinterne Abstimmung mit dem Hauptsitz in Redmond (USA) erforderlich“ ist (vgl. 14. TB der Aufsichtsbehörde MV, Ziffer 7.1.4, S. 30).

 

Sofern also auch namhafte Anbieter von Cloud-Lösungen sich nicht an die Vorgaben der DSGVO halten (können), werden deren Kunden ihre bereits etablierte Prozesse auch immer wieder umstellen müssen.

 

Denn, was für Microsoft gilt, gilt ebenso für die Cloud-Lösungen von Google und Apple.

 

Behörden und Unternehmen sollten dies bei der Beschaffung ihrer Technik daher immer berücksichtigen.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anwendbarkeit Anwendung Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Bedrohung Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesarbeitsgericht Bundesfinanzministerium Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzniveau Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Deutsche Bundesbank Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einschränkungen Einwilligung Einwilligungserklärung Einwilligungserklärungen elektronische Kommunikation Empfänger Entlastung Entsorgung ePrivacy ePVO Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Kommision Europäische Union EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Finanzsektor Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto Framework freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien Hack hack day Hackathon hacken Hacker Hackerangriff hackfest Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Installation Integrität interner Datenschutzbeauftragter Intrusion-Prevention-Systeme Investition IP-Adresse IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Landesbeauftragte Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Like-Button Löschpflicht Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor nicht datenschutzkonform NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen öffentliche Stelle Office Office 365 Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware Schutzmaßnahmen schutzwürdige Interessen Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber SHA1 sicher Sicherheit Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchmaschine Supercomputer Risikolage Support Swiss-US Privacy Shield Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TIBER TIBER-DE TKG TLS TMG Totalrevision Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Videokamera Videoüberwachung Virus Vorteile WAF WannaCry Web-Applikation-Firewalls Webseite Webseiten Website Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff Zugriffsverwaltung zulässig Zulässigkeit Zusatzschutz zuständig Zwangsgeld § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31