Datenschutz und Datensicherheit sind super spannende Themen. Finden Sie nicht auch? Ach, nein?

Trotzdem sind Sie irgendwie hier auf meinem Blog gelandet. Das freut mich. Auch, wenn Sie die Themen nicht so spannend finden wie ich. Dennoch werden sie Sie berühren. Das ist zwangsläufig so, wenn Sie beruflich tätig sind oder in einem Verein engagiert. Oder wenn Sie gemeinnützig unterwegs sind. Immer werden Sie konfrontiert sein mit Themen des Datenschutzes und der Datensicherheit.

Dieser Blog behandelt beide Themen. Schwerpunkt ist eher der Datenschutz, also die gewissermaßen die Organisation der Datensicherheit. Aber ich gehe auch gern auf Themen der Datensicherheit ein, weil es da immer wieder spannende neue Entwicklungen gibt, die berichtenswert sind. Weil Datensicherheit aber doch eher ein Thema für Spezialisten ist, habe ich die beiden Themen getrennt, auch wenn sie in der Realität eng zusammengehören. Sie können sie oben in der Menüleiste einzeln anwählen. Wenn Sie hier auf der Startseite bleiben, erscheinen alle Artikel chronologisch von aktuell bis klassisch.

Mein Ansatz bei der Datenschutz- und Datensicherheits-Beratung ist ein sehr pragmatischer. Ich erzähle meinen Klienten nicht, was nicht geht. Vielmehr versuche ich Wege zu finden, die praktikabel und rechtskonform sind. Das funktioniert in vielen Fällen.

Ich wünsche Ihnen viel Erkenntnis beim Lesen dieses Blogs. Und wenn Sie Spannendes entdecken, würde es mich ganz besonders freuen. Diskutieren Sie gern mit mir und nutzen die Kommentar-Funktion für Widerspruch und Zustimmung. Gern übrigens auch für Fragen.

Das EUGH-Urteil zum EU-US Privacy Shields

Der Europäische Gerichtshof (EUGH) hat den EU-US Privacy Shield für ungültig erklärt. Die Erklärung bedeutet in der Praxis, dass seit dem 16.07.2020 Verantwortliche und Auftragsverarbeiter auf der Basis des Shields keine personenbezogenen Daten mehr in den USA verarbeiten lassen dürfen.

Die Standardvertragsklauseln hingegen wurden vom EUGH nicht für ungültig erklärt. Allerdings betont der EUGH, dass sie nur deshalb nicht pauschal für ungültig erklärt wurden, weil sie – entgegen dem Shield – keine abschließende, rechtsverbindliche Untersuchung beinhalte, ob die bestehenden Gesetze u.a. hinsichtlich der Zugriffe von Behörden aus Gründen eines nationalen Sicherheitsinteresses mit Blick auf die EU-Gesetzgebung als angemessen zu erachten seien.

Damit liegt der Ball wieder im Feld der Verantwortlichen und Auftragsverarbeitern in der EU, die sich über die Standardvertragsklauseln vertraglich abgesichert hatten. Denn, so stellt das Gericht fest, die in den Standardvertragsklausen vorgesehenen Schutzmechanismen wären ja grundsätzlich erweiterbar und könnten so ein angemessenes Schutzniveau herstellen.

In der Praxis heißt das wohl, dass Verantwortliche und Auftragsverarbeiter für jeden Datenexport in ein Drittland zu untersuchen haben, ob der Empfänger die Zusicherungen der Vertragsklauseln einhalten kann oder ob lokale Gesetze ihm dies verbieten, was angesichts des Cloud Acts jedenfalls für die USA praktisch unmöglich ist. Zwar gibt es theoretisch die Möglichkeit, dass US-Unternehmen sich gegen die Herausgabe von personenbezogenen Daten aufgrund des Cloud Acts wehren können, wenn diese Nicht-US-Bürgern gehören bzw. diese nicht in den USA leben und das Unternehmen damit das Recht einer anderen Nation verletzen würde. Allerdings gilt das ausschließlich für Staaten, die mit den USA ein Abkommen über den Cloud Act abgeschlossen haben. Dies hat, außer Großbritannien, bisher kein einziges Land oder Staatenbund getan, also auch nicht die Europäische Union.

Es geht sogar noch weiter. Stellen der Verantwortliche oder der Auftragsverarbeiter fest, dass die vereinbarten Standarddatenschutzklauseln von dem Importeur nicht einzuhalten sind, hat er dies seiner zuständigen Datenschutzaufsichtsbehörde zu melden. Gleichzeitig ist selbstverständlich jeglicher Export personenbezogener Daten sofort zu unterlassen.

Fazit und Rat:

Exportieren Sie derzeit personenbezogene Daten in die USA auf Grundlage des EU-US Privacy Shields, also der Zertifizierung US-Amerikanischer Unternehmen zu diesem Shield, richten Sie sich darauf ein,  den Export sofort (hoffentlich vorübergehend) einzustellen! Das betrifft praktisch alle großen US-Amerikanischen Unternehmen der Internetwirtschaft, also Google, Facebook, Apple, Zoom & Co.

Versuchen Sie mit Vertragspartnern, die Sie beeinflussen können, Standarddatenschutzklauseln zu vereinbaren.

Arbeiten Sie mit Standarddatenschutzklauseln, rate ich dazu, zumindest einen hohen Datensicherheitsstandard mit dem Vertragspartner zu vereinbaren. Die Standarddatenschutzklauseln dürfen zwar nicht verändert werden, aber es darf durchaus etwas zusätzliches vereinbart werden. Die Nutzung einer sicheren europäischen Cloud wäre eine wirksam Maßnahme, die eine Chance hat, bei deutschen Aufsichtsbehörden die Ernsthaftigkeit der Bemühungen um die Herstellung des – unter den gegebenen Umständen – bestmöglichen Schutzes der personenbezogenen Daten von Betroffenen zu gewährleisten. Im Zweifel wird eine europäische Datenschutzaufsichtsbehörde genau so etwas verlangen. Und wenn Sie den Nachweis nicht erbringen können, zusätzliche Sicherheitsmaßnahmen ergriffen zu haben ist der Vorwurf des Organisationsversagens nicht weit.

Noch einmal zurück zum eigentlichen Thema: Erscheint Ihnen der erste Absatz zu dem EU-US Privacy Shield ein wenig dünn? Nun, mehr ist in der Tat darüber (fast) nicht zu sagen. Der Shield ist ungültig. Ein früherer Bundeskanzler hätte gesagt: Basta! Fast bedeutet natürlich, dass denn doch noch ETWAS zu sagen ist. Der EUGH hat es durchaus offen gelassen, einen weiteren Versuch zu starten, doch noch ein allgemein-verbindliches Instrument zu schaffen. Er hat es jedoch mit seiner offenen, ja fast arrogant zu nennenden, Kritik an der ältesten Demokratie der Welt den USA nicht leichter gemacht, ihre Gesetze an die Erfordernisse europäischer Datenschutzvorstellungen anzupassen. Der EUGH, der Europäische Gerichtshof, stellt nämlich lapidar fest, dass die Überwachungsprogramme durch US-Sicherheitsbehörden nicht verhältnismäßig seien. Die USA müssen sich bewegen, aber auch Europa muss sich geschmeidig zeigen. Ohne ernsthafte Bemühungen beider Seiten machen sich entweder sämtliche US-amerikanische Unternehmen, die europäische personenbezogene daten verarbeiten oder sämtliche europäische Unternehmen, die Daten durch US-amerikanische Unternehmen verarbeiten lassen strafbar. Das kann nicht im Interesse einer gedeihlichen Zusammenarbeit zwischen den USA und de EU liegen. Derzeitige Machtverhältnisse ändern daran nichts.

Ohne jedes Patentrezept zur Lösung dieser Probleme, aber immerhin mit einem gewissen Durchblick zur Sachlage des Drittländerverkehrs stehe ich Ihnen gern mit Rat und Tat zur Verfügung. Das Kapitel V der DS-GVO, also die Artikel 44 bis 50 enthalten so manche kleine Überraschung, die eine Übermittlung unter Umständen doch noch rechtmäßig möglich machen kann.

Kontakt:

Dirk Wolf

Tel.: +49 511 54294-44

Mobil/Telegram: +49 171 3831577

E-Mail: dirk.wolf@skriptura.de

Stand: 03.08.2020

Foto: tagesschau.de

Wie wird das Bußgeld für Verstöße gegen die DS-GVO berechnet?

Das Bußgeldkonzept sieht ein fünfstufiges Verfahren vor, mit dem die Höhe des Bußgeldes errechnet wird.

Schritt 1: Das Unternehmen wird einer Größenklasse zugeordnet

Das Bußgeldkonzept benennt zunächst vier Größenklassen – zu welcher ein Unternehmen gehört, bestimmt der weltweit erzielte Vorjahresumsatz:

  1. Größenklasse A: Kleinstunternehmen mit bis zu 2 Millionen Euro Jahresumsatz
  2. Größenklasse B: Kleinunternehmen mit einem Jahresumsatz zwischen 2 und 10 Millionen Euro
  3. Größenklasse C: Mittlere Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen Euro
  4. Größenklasse D: Großunternehmen mit einem Jahresumsatz von mehr als 50 Millionen Euro

Mit dieser Einteilung der KMU folgt die Datenschutzkonferenz der Empfehlung der EU-Kommission (2003/361/EG).

Um einzelne Unternehmen noch konkreter einordnen zu können, sieht das Konzept dann für jede Größenklasse weitere Untergruppen vor, die sich ebenfalls am Jahresumsatz orientieren. Es gibt Untergruppen von AI bis AIII, BI bis BIII, CI bis CVII und DI bis DVII.

Beispiele: Untergruppe AI umfasst Kleinstunternehmen mit einem Jahresumsatz bis zu 700.000 Euro, Untergruppe AII solche mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro. Unternehmen, die zwischen fünf und 7,5 Millionen Euro erwirtschaften, gehören zur Untergruppe BII, solche mit 75 bis 100 Millionen zu DII – und alle mit einem Jahresumsatz von mehr als 500 Millionen Euro zu DVII.

Schritt 2: Der mittlere Jahresumsatz wird bestimmt

Ist ein Unternehmen einer Untergruppe zugeordnet, wird der mittlere Jahresumsatz ermittelt.

Beispiele: Für die Untergruppe AI (bis zu 700.000 Euro Jahresumsatz) liegt der mittlere Jahresumsatz bei 350.000 Euro. Für die Untergruppe AII (700.000 bis 1,4 Millionen Euro) bei 1.050.000 Euro. Für die Untergruppe BII (zwischen fünf und 7,5 Millionen Euro Jahresumsatz) bei 6,25 Millionen Euro und für die Untergruppe DII (75 bis 100 Millionen Euro Jahresumsatz) bei 87,5 Millionen Euro. Bei Untergruppe DVII (Jahresumsatz von mehr als 500 Millionen Euro wird der konkrete Jahresumsatz zugrunde gelegt.

Schritt 3: Der wirtschaftliche Grundwert wird ermittelt

Ist der mittlere Jahresumsatz der Untergruppe, zu dem ein Unternehmen gehört, errechnet, wird dieser Betrag durch 360 geteilt. Das Ergebnis bildet den sogenannten wirtschaftlichen Grundwert – und damit die Basis für die weitere Festlegung des Bußgelds.

Beispiele: Für Untergruppe AI ergibt die Rechnung 350.000 Euro geteilt durch 360 einen wirtschaftlichen Grundwert von 972 Euro, für Untergruppe AII ergibt sich ein Wert von 2917 Euro, für Untergruppe BII von 17.361 Euro und Untergruppe DII von 243.056 Euro und Untergruppe DV von 972.222 Euro.

Schritt 4: Aus der Schwere der Tat wird ein Multiplikationsfaktor abgeleitet

Um den Schweregrad eines Verstoßes gegen die DSGVO zu ermitteln, werden die Umstände des Einzelfalls bewertet. Der Kriterienkatalog, der diese möglichen Umstände beschreibt, steht in Artikel 83, Absatz 2 DSGVO. Zu ihnen gehört etwa die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, den diese erlitten haben. Außerdem beispielsweise die Frage, wie gut der Betroffene mit der Aufsichtsbehörde zusammengearbeitet hat – und etwa auch, ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden.

Diese Umstände führen laut Bußgeldkonzept zu einem Faktor, mit dem der wirtschaftliche Grundwert multipliziert wird. Aus dieser Rechnung ergibt sich dann das vorläufige Bußgeld.

Das Bußgeldkonzept sieht vier Schweregrade eines Verstoßes vor: leicht, mittel, schwer, sehr schwer. Außerdem wird unterschieden zwischen „formellen“ und „materiellen“ Verstößen. Je nach Art und Schwere des Verstoßes liegt der Faktor zwischen 1 und 12 – bei sehr schweren Verstößen mitunter sogar noch höher.

Schritt 5: Das vorläufige Bußgeld wird final angepasst

Das in Schritt 4 errechnete vorläufige Bußgeld wird abschließend noch einmal überprüft und gegebenenfalls angepasst. Dabei kommen – nochmals – alle Umstände zum Tragen, die für oder gegen einen Betroffenen sprechen. Dazu gehört etwa die Frage, ob er fahrlässig gehandelt hat oder vorsätzlich. Auch gibt es Ermäßigungen bei einer sehr langen Verfahrensdauer – oder wenn dem Unternehmen durch das Bußgeld die Zahlungsunfähigkeit droht.

Wie sieht eine Beispielrechnung aus?

Ein durchschnittlicher Bäckerbetrieb in Deutschland erwirtschaftet mit gut 24 Mitarbeitern 1.343.000 Euro Umsatz pro Jahr. Angenommen, der Chef eines solchen Betriebes betreibt einem Online-Shop, über den er Hochzeitstorten verkauft, und achtet nicht darauf, die Website und die dort erhobenen Daten DSGVO-konform zu sichern. Dann müsste er mit einer Bußgeldforderung wie folgt rechnen:

Schritt 1:

Mit 1.343.000 Euro Jahresumsatz fällt die Bäckerei in die Größenklasse der Kleinstunternehmen mit bis zu zwei Millionen Euro Jahresumsatz – und dort wiederum in die Untergruppe AII jener Unternehmen mit einem Jahresumsatz zwischen 700.000 und 1,4 Millionen Euro.

Schritt 2:

Der mittlere Jahresumsatz dieser Untergruppe beträgt 1.050.000 Euro.

Schritt 3:

Geteilt durch 360 ergibt dies einen wirtschaftlichen Grundwert von 2917 Euro.

 Schritt 4:

Weil in der Beispielrechnung nur wenige Personen betroffen sind, der Bäcker ohne Vorsatz gehandelt und die Datenschutzbestimmungen ansonsten beachtet hat, ordnet die Aufsichtsbehörde den Verstoß als formellen Verstoß des Schweregrads „leicht“ ein – und legt den Faktor 2 fest. Mit diesem Faktor wird der wirtschaftliche Grundwert von 2917 Euro multipliziert. So ergibt sich ein vorläufiges Bußgeld von 5834 Euro.

Schritt 5:

Weil sich das Bußgeldverfahren lange hingezogen hat, was eine andauernde Belastung des Unternehmers über eine erhebliche Zeitspanne hinweg bedeutete, legt die Behörde das Bußgeld abschließend auf 5000 Euro fest.

Wie verbindlich ist das Bußgeldkonzept?

Das aktuelle Bußgeldkonzept gilt nur für deutsche Behörden – und auch nur solange, bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat. Nach meiner Einschätzung kommt das nicht vor Mitte 2021.

Bis es soweit ist, bildet das Konzept der deutschen Datenschutzkonferenz Grundlage für die Sanktionspraxis der deutschen Aufsichtsbehörden. Ergänzungen und Änderungen sind dabei möglich.

Was sagt uns das EUGH-Urteil zu Facebook Like-Buttons wirklich?

 

„Internetseiten, die den Like-Button von Facebook einbinden, müssen eine Einwilligung der Nutzer einholen. Das hat der Europäische Gerichtshof jetzt festgestellt. Betreiber der Internetseite sind damit verantwortlich für die Erhebung und Übermittlung der Daten. …“ Sagt in einem Videoeinspieler Welt.de, das gemeinsame Internetportal der angesehenen Tageszeitung „Die Welt“ und dem Fernsehsender N24 aus dem Hause Axel Springer. Aber stimmt diese Meldung überhaupt?

In einer ersten Meldung hatte auch netzpolitik.org, eine mindestens ebenso angesehene Plattform des gleichnamigen Vereins, die sich selbst laut Wikipedia als „Mittelding zwischen Nichtregierungsorganisation und Medium, vergleichbar mit einer Mischung aus Greenpeace und taz“ sieht, gemeldet „dass Webseitenbetreibende aufgrund des EuGH-Urteils eine Einverständniserklärung einholen müssen“. netzpolitik.org hat das später korrigiert und auch welt.de schreibt in ihrem Artikel unterhalb des Videos, dass es so einfach denn doch nicht ist.

Was hat also der EUGH tatsächlich entschieden?

Die klagende und sich am Ende im Recht sehende Verbraucherzentrale NRW (e.V.) äußert sich wesentlich zurückhaltender. Ihre Headline auf der Internetseite verbraucherzentrale.de lautet „EUGH-Urteil: Like-Button von Facebook nur mit Info an Nutzer“. Aha. Das klingt doch schon ganz anders. Und es bestätigt meine „ständige Predigt“ von der Wunderwaffe „Transparente Information“. Werden die NutzerInnen von Internetseiten transparent darüber informiert, was mit ihren personenbezogenen Daten dort passiert, braucht es in der Regel KEINE ausdrückliche Einwilligung. Dafür erforderlich ist, dass, gemäß Artikel 12 DS-GVO, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu informieren ist. Dazu hat es sich bewährt, in einem deutlich sichtbaren Bereich auf diese transparente Erklärung hinzuweisen. Ein Beispiel: „Bevor Sie sich hier anmelden, lesen Sie bitte diese wichtigen Informationen zum Datenschutz und zur DSGVO.“ Statt „anmelden“ kann es natürlich auch heißen „Bevor Sie diese Seite betreten…“.

Transparente Information ist allerdings nur die Grundlage. Sie wird von der DS-GVO gefordert, ohne dass damit „Privilegien“ verbunden sind. Dazu müssen den NutzerInnen einfache Zugänge zur Verfügung gestellt werden, mit denen Sie sich gegen die Nutzung ihrer personenbezogenen Daten zu Werbezwecken wirksam schützen können. In einem Newsletter ist das der altbekannt „Abbestellen-Link“. Auf einer Website könnte das ein Link zu einer Auswahl-Seite sein.

Bedarf es einem Zwang zur Auswahl?

Genau an dieser Stelle trennt sich der ideologisch aufgeladene Datenschützer vom Praktiker (merke: „Datenschutz-Praktiker Dirk Wolf 😉 ). Der Ideologe will die NutzerInnen dazu zwingen, sich aktiv zu entscheiden. Der Praktiker lässt den NutzerInnen die Auswahl: sie können sich zu einer aktiven Wahl entscheiden, sie können sich aber auch dazu entschließen, dass es ihnen vollkommen gleichgültig ist, was mit ihren Daten passiert. So, wie wir es beispielsweise Facebook-NutzerInnen ja auch gestatten, einen für manche unglaublichen „Datenstrip“ hinzulegen. Oder sie sich mit, zugegeben, immer noch viel zu versteckten Einstellung auf Facebook, sehr gut vor dem Zugriff durch die Öffentlichkeit zu schützen. Wohlgemerkt, vor dem Zugriff durch die Öffentlichkeit. Das gilt (derzeit?) noch nicht für Facebook selbst, die die Daten hemmungslos nutzen für die Werbung ihrer zahlenden Kunden (zu denen ich übrigens auch zähle, und auch ich schätze die zielgruppengenaue Auswahl).

Um rechtssicher den Facebook Like-Button und andere Tracking-Methoden einsetzen zu können, bedarf es aber noch mehr. So muss eine Interessenabwägung stattfinden, wenn auf Basis des Artikel 6 Abs. 1 (f) die Verarbeitung personenbezogener Daten auf die „berechtigte Interessen“ abgestellt werden soll. Berechtigte Interessen des Websitebetreibers oder Dritter allein reichen nicht. Es muss abgewogen werden, ob die schutzwürdigen Interessen der Betroffenen den berechtigten Interessen nicht überwiegen. Das muss schriftlich dokumentiert werden (auch elektronisch) und selbstverständlich gehört das auch ins Verarbeitungsverzeichns. Das alles bitte sorgsam erledigen – oder einen Fachmann fragen. Oder besser: einen Datenschutz-Praktiker!

Fazit:

Genau hinsehen, was im Urteil wirklich steht und nicht den Schlagzeilen aufmerksamkeitshaschender Medien allzu schnell hinterherlaufen!

 

PS      Im aktuellen Fall hat der EUGH gar nichts entschieden. Er hat lediglich dem anfragenden Oberlandesgericht Düsseldorf Hinweise zur seiner Entscheidung geliefert, indem es festgestellt hat, dass Website-Betreiber gemeinsam Verantwortlichen gem. Artikel 26 DS-GVO sein können.

Kopplungsverbot

Das Oberlandesgericht Frankfurt hat in einer inzwischen rechtskräftigen Entscheidung vom 26. Juni diesen Jahres das sogenannte Kopplungsverbot gekippt.

1. Was ist das Kopplungsverbot?

Es war unter Werbetreibenden ein gängiges Modell: Gibst Du mir Deine E-Mail-Adresse und die Einwilligung, Dir Werbung zu schicken, schenke ich Dir etwas. Zum Beispiel ein E-Book oder irgendein Gimmick. Unter der alten Datenschutzgesetzgebung war das unter bestimmten Umständen erlaubt, allerdings gab es Einschränkungen. So musste die Einwilligung sich klar und eindeutig auf die zu beziehende Werbung beziehen.

2. Warum hat die DS-GVO das Kopplungsverbot angeblich verschärft?

Im Prinzip hatte sich durch die DS-GVO erst einmal nichts geändert. Allerdings waren viele Experten der Meinung, dass durch die unklaren Formulierungen des Artikel 7 DS-GVO und der zugehörigen Erwägungsgründe eine wirksame Einwilligung gar nicht mehr eingeholt werden könne.

3. Was hat das OLG Frankfurt geurteilt?

Das OLG Frankfurt hat nun im Urteil 6 U 6/19 festgestellt, dass das sehr wohl weiter möglich ist. Es hat entschieden, dass der Deal „Daten gegen Leistung“ durchaus auch unter der DS-GVO Gültigkeit behält.

4. Was heißt das für Werbetreibende?

Wer die Bedingungen der DS-GVO einhält, also vor allem der Dokumentationspflicht genügt (Double-opt-in), darf wieder im vollen Umfang „Daten gegen Leistung“ betreiben. Dafür gilt natürlich weiterhin:

  • Ordentliche Information gem. Art. 13 DS-GVO bei der Erhebung der Daten
  • Einwilligung muss klar und verständlich formuliert sein
  • Unbedingtes Widerrufsrecht des Betroffenen

Um das Geschäft „Daten gegen Leistung“ zu betreiben, ist es sehr hilfreich, sich professionell auszurüsten. So ist ein leistungsstarker E-Mail-Service unverzichtbar. Ein hervorragender Dienstleister, mit dem ich seit Jahren sehr gut zusammenarbeite, ist Klick-Tipp. Klick-Tipp ist ein deutscher Anbieter mit Sitz in der Europäischen Union, der alles mitbringt, um erfolgreich professionelles Online-Marketing umzusetzen. Klick-Tipp bietet ein hoch informatives Webinar an, in dem aufgezeigt wird, welche Chancen für deutsche Unternehmen im Bereich E-Mail-Marketing liegen. Klicken Sie auf folgenden Link, um sich einen Termin zum Webinar zu sichern. Es ist kostenlos. Schauen sie hier: https://dirkwolf.de/klick-tipp

TOM-Konzept

Technische und organisatorischen Maßnahmen

Die vorliegende Ausarbeitung betrifft die technischen und organisatorischen Maßnahmen (TOM), die der Verantwortliche für die Verarbeitung personenbezogener Daten zu treffen hat, um die Sicherheit dieser Daten sicherzustellen. Sie muss zwingend überarbeitet werden und darf auf keinen Fall ohne eine intensive Beschäftigung mit ihr eingesetzt werden.

Technische und organisatorischen Maßnahmen sind auf Verlangen dem betrieblichen (auch externen) Datenschutzbeauftragten und gegebenenfalls auch den Aufsichtsbehörden vorzulegen. Sie dienen außerdem den Verantwortlichen dazu, die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters auf einen ausreichenden Schutz der personenbezogenen Daten zu prüfen, die der Auftragsverarbeiter für den Verantwortlichen verarbeitet.

Hinweis zum Gebrauch

Die vorliegenden TOM sind so aufgebaut, dass sie den Artikeln der DS-GVO folgen. Bitte lesen Sie jeden einzelnen Punkt durch und vergleichen ihn mit der Situation in Ihrem Unternehmen. Ist es genau so, wie beschrieben, können Sie den Punkt übernehmen, ist es etwas anders, ändern Sie bitte die Beschreibung entsprechend. Trifft der Punkt auf Ihr Unternehmen nicht zu – beispielsweise „Klimaanlage im Serverraum“, wenn Sie gar keinen Serverraum haben – löschen Sie ihn bitte ganz. Haben Sie eine Maßnahme umgesetzt, die hier nicht erwähnt wird, vermerken Sie diese Maßnahme bitte an passender Stelle in den TOM. So kommen Sie zu einem individuellen TOM-Konzept.

Wenn Sie alles verstanden haben, können Sie diesen Text bis hierher löschen und das Dokument unter einem für Sie passenden Namen in Ihrem Datenschutzordner speichern.

 

Anlage Technische und organisatorische Maßnahmen

1.Vertraulichkeit (Art. 32 Abs. 1 Buchstabe b DSGVO)

  • Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

 

  • Bereiche sind in verschiedene Sicherheitsbereiche unterteilt
  • Zugänge sind gegen unbefugten Zugang gesichert
  • Alarmanlage (Einbruchmeldesystem)
  • Zugangsauthentisierung (Schlüsselregelung, Chipkartensystem)
  • Sicherheitsschlösser
  • Besucherregelung (Begleitung, Besucherausweis, Protokollierung)
  • Sicherheits- und Wachdienst (Wochenende);
  • Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

    • Zugangsschutz zu allen DV-System durch Benutzerauthentisierung
    • Es existieren Passwortkonventionen
    • Authentisierung mit Benutzername / Passwort
    • Zuordnung von Benutzerrechten
    • Sperren von externen Schnittstellen (USB etc.)
    • Erstellung und Zuordnung von Benutzerprofilen
    • Einsatz von Anti-Viren-Software
    • Einsatz einer Hard- und Software-Firewall
    • Verschlüsselung (bei entsprechendem Bedarf);
  • Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
  • Regelungen und Verfahren zum Anlegen, Ändern und Löschen von Berechtigungsprofilen
  • Prozess zur Beantragung, Genehmigung, Vergabe und Rückgabe von Zugriffsberechtigungen ist implementiert
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
  • Einsatz von Aktenvernichtern
  • Sichere Aufbewahrung von Datenträgern
  • Ordnungsgemäße Vernichtung von Datenträgern;

 

  • Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Trennung von Produktiv und Testsystem
  • Es werden nur solche Daten erhoben, gespeichert und verarbeitet die unmittelbar dem eigentlichen Zweck dienen.
  • Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • Technische und Operative Regelung und Maßnahmen zur Sicherstellung der getrennten Verarbeitung;

Pseudonymisierung (Art. 32 Abs. 1 Buchstabe a DSGVO; Art. 25 Abs. 1 DSGVO) Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen; Bitte beschreiben, so vorhanden. Ansonsten komplett löschen!

  1. Integrität (Art. 32 Abs. 1 Buchstabe b DSGVO)
  • Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • Es findet eine Protokollierung statt
  • Die Festlegung ist dokumentiert und den betroffenen Mitarbeitern bekannt
  • Die Verbindung zu den Backendsystemen ist geschützt
  • Es existiert eine Verfahrensregelung über den Einsatz von Datenträgern
  • Datenträgerverwaltung – Durchführung regelmäßiger Bestandskontrollen
  • Es gibt Regelungen zur datenschutzkonformen Vernichtung von Datenträgern.
  • Die Vernichtung wird dokumentiert.
  • Bei Übertragungen werden dem Stand der Technik entsprechenden Verschlüsselungsverfahren eingesetzt;
  • Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (Protokollierung)
  • Es existiert eine Dokumentation der Eingabeberechtigungen;
  1. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchstabe b DSGVO)
  • Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Es existiert ein Backup-Konzept
  • Verantwortliche Personen und Vertreter sind benannt
  • Unterbrechungsfreie Stromversorgung (USV)
  • Klimaanlage im Serverraum
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverraum
  • Regelmäßige Prüfung von Notstromaggregat und Überspannungsschutzeinrichtung sowie permanente Überwachung der Betriebsparameter
  • Lagerung von Datensicherungen in feuer- und wassergeschützten Datensicherheitsschränken, bzw. zusätzlich extern;

 

  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 Buchstabe d DSGVO; Art. 25 Abs. 1 DSGVO)
    • Datenschutz-Leitlinien sind vorhanden;
    • Vorfalls-Reaktionsplan;
    • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
    • Auftragskontrolle

Serie „Europäische Datenschutz-Grundverordnung (DS-GVO)“ 1.3

Teil 1 Grundlagen

1.3. Räumlicher Anwendungsbereich

Der räumliche Anwendungsbereich einer Verordnung definiert, wo sie gilt. Der Artikel 3 „Räumlicher Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:

  1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
  2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
    1. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
    2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
  3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung findet also Anwendung, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen in der (Europäischen) Union erfolgt. Und zwar unabhängig davon, ob sie auf dem Boden der Union stattfindet oder nicht.

Was konkret mit „personenbezogen Daten“ und „Verarbeitung“ gemeint ist lesen Sie hier.

„Verantwortlicher“ meint die Person, Behörde, Organisation oder juristische Person (Unternehmen), die über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Der Begriff ersetzt die „Verantwortliche Stelle“ aus dem BDSG (alt).

Absatz 1 sagt also aus, dass der Verantwortliche, der in der Union eine Niederlassung hat (gleichgültig, ob das die Hauptniederlassung, die einzige Niederlassung oder eine Zweigstelle eines großen Unternehmens ist), wenn er personenbezogene Daten verarbeitet, er sich an die DS-GVO halten muss. Dabei ist völlig gleichgültig, ob es sich um Daten von EU-Bürgern oder um Daten von Nicht-EU-Bürgern handelt. Und eben ist es auch unabhängig davon, ob die Server, mit denen das geschieht in Kalifornien oder in Katalonien stehen.

Abs. 2 regelt, dass sich auch jene Verantwortliche, die ihren Sitz nicht in der EU haben, sich an die DS-GVO halten müssen, wenn sie ihre Waren und Dienstleistungen Menschen anbieten, die sich in der EU aufhalten. Das heißt auch, dass die DS-GVO auf alle Menschen angewendet wird; nicht etwa nur auf EU-Bürger. Dafür genügt es aber nicht, dass man einen Dienst oder einen Shop aus der heraus EU erreichen kann. Wenn man beispielsweise die Seite https://amazon.com aufruft, gilt für den Verantwortlichen die DS-GVO nicht. Ruft man hingegen in Deutschland die Seite http:// amazon.de auf, hat sich der Verantwortliche an die DS-GVO zu halten. Festzumachen ist das aber nicht etwa an der Endung „.de“, sondern allein daran, ob sich der Anbieter an Menschen in der EU wendet. Das ist zum Beispiel daran erkennbar, dass die Landessprache verwendet wird, und/oder die Bezahlung in der landesüblichen Währung angeboten wird. Entscheidend ist auch, ob überhaupt in das Land geliefert wird. Es kann also durchaus dazu kommen, dass ein US-Bürger, der während seines Urlaubs in Europa bei Amazon in Europa einkauft, vor dem Missbrauch seiner personenbezogenen Daten durch den US-Konzern Amazon durch die DS-GVO geschützt wird.

Ferner stellt Abs. 2 auch die Menschen unter Schutz, deren Verhalten beobachtet wird, sofern sie sich in der EU aufhalten. Diese Bestimmung ist aufgenommen worden für Unternehmen, die ihre Dienstleistungen nicht diesen Bürgern anbieten, sondern die Menschen beobachten, die sich in der EU befindenden, um diese Informationen an Unternehmen zu verkaufen, die wiederum Waren und Dienstleistungen in der EU anbieten.

Abs. 3 schließt letzte Lücken, indem sie ausdrücklich auch die Gebiete einschließt, die außerhalb Europas liegen, die aber dem Recht der EU unterstehen. Dabei geht es um ehemalige Kolonien, deren Bürger die Staatsangehörigkeit eines europäischen Landes besitzen.

Artikel 3 DS-GVO weitet den räumlichen Anwendungsbereich damit im Vergleich mit dem BDSG erheblich aus. Wann immer es irgendeinen Bezug zur EU gibt, verlangt die EU, die DS-GVO anzuwenden. Es wird interessant sein, zu beobachten, wie das beispielsweise gegenüber US-amerikanischen Internetgiganten durchgesetzt wird.

 

Serie „Europäische Datenschutz-Grundverordnung (DS-GVO)“ 1.2

Teil 1 Grundlagen

1.2. Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich einer Verordnung definiert, in welchen Fällen sie gilt. Der Artikel 2 „Sachlicher Anwendungsbereich“ der DS-GVO zunächst im Wortlaut:

  1. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
  2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
    1. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
    2. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
    3. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
    4. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
  3. Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
  4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

Das bedarf einiger Erklärungen für juristische Laien. Die Verordnung soll also immer dann gelten, wenn personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden.

Es muss also zunächst geklärt werden, was personenbezogene Daten sind. Es handelt sich dabei um alle Informationen über identifizierte oder identifizierbare natürliche Personen. Natürliche Personen sind in Abgrenzung zu juristischen Personen (Firmen, Behörden, Vereine usw.) schlicht Menschen. Identifizierbar sind natürliche Personen, wenn eine direkte Zuordnung über Name, Kennziffer, Standortdaten, Online-Kennung, besondere Merkmals usw. möglich ist. Es müssen also nicht bspw. der Name und die Adresse bekannt sein, um personenbezogene Daten zu sein. Wenn anhand von Daten ein einzelner Mensch (wieder)erkannt werden kann, handelt es sich um personenbezogene Daten. Selbst wenn die Personenbezogenheit nicht direkt, sondern nur indirekt mithilfe der Daten Dritter hergestellt werden kann, fallen sie unter die DS-GVO. Allerdings muss diese indirekte Möglichkeit auch tatsächlich bestehen; eine rein theoretisch bestehende Möglichkeit, die aber nicht ausgeübt werden kann, reicht dafür nicht aus. Alle Informationen in Wort, Schrift, Bild, Audio oder Video heißt, dass wirklich selbst banalste Tatsachen, wie zum Beispiel, dass die Person zwei Arme hat, personenbezogene Daten sind. Es gibt im Zusammenhang mit personenbezogenen Daten keine irrelevanten Informationen.

Nachdem wir geklärt haben, was personenbezogene Daten sind, wenden wir uns der ganz oder teilweise automatisierten Verarbeitung zu. Auch hier ist zunächst zu klären, was Verarbeitung bedeutet. Artikel 4 Nummer 2 DS-GVO definiert Verarbeitung als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“. Das ist zweifellos eine Vereinfachung gegenüber der Regelung im Bundesdatenschutzgesetz (BDSG), das in § 11 noch zwischen erheben, verarbeiten und nutzen unterschieden hat. Die DS-GVO schenkt uns die Definition, dass schlicht alles, was mit personenbezogenen Daten passiert „verarbeiten“ ist.

Wenn also eine Verarbeitung personenbezogener Daten ganz oder teilweise automatisiert, das heißt mithilfe von Computern, passiert, soll die DS-GVO zur Anwendung kommen.

Aber auch wenn die Verarbeitung nicht automatisiert erfolgt soll die DS-GVO gelten. Allerdings nur dann, wenn die Daten in einem Dateisystem gespeichert werden oder werden sollen. Hier gilt es nun einen weitverbreiteten Irrtum zu korrigieren. Ein Dateisystem ist gemäß Artikel 4 Nummer 6 DS-GVO „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“ Dateisysteme sind also bei weitem nicht nur in Computern zu finden, sondern bspw. auch in Akten. Selbst in Schuhkartons gesammelte Zettel mit personenbezogenen Daten sind ein Dateisystem, wenn sie nach bestimmten Kriterien zugänglich sind. Das ist im Zweifel sogar dann schon anzunehmen, wenn sie einfach in chronologischer Reihenfolge übereinander liegen, schlicht, weil der letzte Zettel immer obenauf gelegt wird. Letzteres könnte bspw. für Messe-Notizen gelten, die immer gleich nach einem Gespräch in einen vorbereiteten Karton gelegt werden. Selbst wenn die Zettel gar nicht streng übereinander gelegt werden, sondern ohne jedes System einfach abgelegt werden, stellen sie ein Dateisystem dar, wenn die Absicht besteht, sie später, in welcher Form auch immer, zu sortieren.

Einige Ausnahmen sieht Artikel 2 allerdings vor. Die wichtigste Ausnahme für alle, die nicht Behörde sind, ist, dass alle durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiteten personenbezogenen Daten nicht unter die DS-GVO fallen sollen.

Sender Policy Framework – SPF

Dieser Beitrag handelt von SPF (Sender Policy Framework). Mit SPF kann ein E-Mail-Server für den Versand von E-Mails mit einer bestimmten Absender-Adresse autorisiert werden. Damit lässt sich die Reputation eines E-Mail-Versenders wirksam steigern.

E-Mail-Versender können in den Einträgen für die Domain-Namen, den so genannten DNS-Servern (DNS=Domain Name System) hinterlegen, welchen IP-Adressen es gestattet ist, E-Mails in ihrem Namen zu versenden. Dabei kann jede Adresse (lupus@dirkwolf.de) oder auch eine komplette Domain (*@dirkwolf.de) einer oder mehreren IP-Adressen zugewiesen werden. Da die DNS-Server ohnehin abgefragt werden – DNS-Server lösen die für Menschen leichter verständlichen „Klarnamen“ wie www.dirkwolf.de in die für Computer leichter zu verarbeitenden IP-Adressen (5.9.121.204) auf – war es logisch, diese Information dort abzulegen. Der DNS-Server fungiert in diesem Fall also als Autorisierungs-Stelle.

Wird nun eine E-Mail versendet kann der Empfänger abfragen, ob im DNS-Server des Absenders eine Sender Policy Framework-Information hinterlegt ist. Hier zeigt sich schon die erste Einschränkung für die Wirksamkeit von SPF. Der Empänger kann, aber muss die Information nicht abrufen. Zwar beteiligen sich einige der großen Provider, wie zum Beispiel GMX, Microsoft mit Hotmail und outlook.com, web.de, Gmail oder Yahoo daran, andere, wie die Deutsche Telekom mit T-Online lassen SPF allerdings links liegen. Und bei vielen Hostern, die billige Hosting-Angebote unterbreiten, ist das Thema auch nicht beliebt, weil man sich darum dauerhaft kümmern muss.

Findet der empfangende Server eine gültige Information, kann er entscheiden, wie weiter mit der E-Mail umgegangen wird.

Man-in-the-middle-Angriff

Dieser Beitrag behandelt Man-in-the-middle-Angriffe auf Internet-Verbindungen zwischen Server (Website) und Client (Browser).

Bei Man-in-the-middle-Angriffen steht der Angreifer zwischen dem Webserver, der eine Website zur Verfügung stellt und dem Browser, mit dem diese aufgerufen wird. Gelingt es dem Angreifer, beiden vorzutäuschen, dass er der echte Kommunikationspartner ist, kann er nach belieben Daten abgreifen oder manipulieren. Beispielsweise könnte er im Falle einer Verbindung vom Kunden mit seiner Bank den Betrag einer Überweisung und die begünstigte Kontonummer ändern. Oder er könnte, wenn er denn Geheimdienst ist, die Kommunikation abhören und falsche Informationen einstreuen. Der Man-in-the-middle-Angriff ist also sehr ernst zu nehmen.

Man-in-the-middle-Angriffe fallen besonders leicht innerhalb eines Wireless Local Arrea Networks (WLAN). Vor allem öffentliche WLANs, bspw. an Flughäfen, Bahnhöfen oder in Cafés werden dazu genutzt. Dabei wird dem Browser entweder ein falscher Access Point vorgetäuscht oder der Angreifer erlangt Kontrolle über den Router.

Eine weitere Methode des Man-in-the-middle-Angriffs ist das Domain Name Server (DNS) Cache Poisoning. Domains (zum Beispiel https://dirkwolf.de) werden im Internet nicht direkt aufgerufen, sondern müssen über DNS zu den tatsächlich benötigten Internet Protocol-Adressen (IP-Adressen, zum Beispiel 5.9.121.204 für den Server, auf dem https://dirkwolf.de gehostet wird) geleitet werden. Beim DNS Cache Poisoning leitet der Angreifer statt auf die echte IP-Adresse auf eine vom ihm kontrollierte.

Schutz vor Man-in-the-middle-Angriffen bietet grundsätzlich die Verschlüsselung via SSL/TLS. Dazu muss entweder der Nutzer explizit https://… eingeben oder – was definitiv besser ist – der Server leitet alle Anfragen, egal ob https:// oder http://… auf eine verschlüsselte Seite um. Ist das so passiert, vereinbaren der Server, auf dem die Website gehostet ist und der Browser, der die Website aufruft, die Kommunikation verschlüsselt aufzubauen und den gesamten Inhalt nur verschlüsselt zu übermitteln.

Selbstverständlich haben mögliche Angreifer nach Wegen gesucht, auch das zu umgehen. Darauf reagiert die Internetgemeinde mit einer relativ neuen Abwehrmethode, der HTTPS Strict Transport Security (HSTS). Dazu lesen Sie hier mehr.