> externer Datenschutzbeauftragter > Datenschutz Webseiten Webshops

Gefahren im Internet – Wieso unverschlüsselte Kontaktformulare Datenschutz-Risiken verursachen

unverschlüsselte Kontaktformulare DatenschutzDie Verwendung unverschlüsselter Kontaktformulare auf Websites birgt erhebliche Gefahren – sowohl für die Nutzer als auch die Betreiber von Internetangeboten. Neben dem Interesse der Betroffenen am Schutz ihrer personenbezogenen Daten stellen sich zudem Fragen nach der Haftung des Anbieters.

Ihr externer Datenschutzbeauftragter erklärt, wieso unverschlüsselte Kontaktformulare Datenschutz-Risiken hervorrufen können und zeigt Ihnen sowohl Lösungen als auch Maßnahmen auf, die Sie zur Risikominimierung ergreifen können.

Die Funktionsweise der unverschlüsselten Datenübertragung im Internet

Die Übertragung von Informationen in Datennetzwerken wie dem Internet erfolgt mit Hilfe von Übertragungsprotokollen. Ein äußerst geläufiges Übertragungsprotokoll ist etwa http (Hypertext Transport Protocol), das im Wesentlichen dafür genutzt wird, Websites in Webbrowsern darzustellen. Dazu sendet der Webclient (Nutzer) mittels Browser eine Anfrage (bspw. in Form einer Web-Adresse) an den Webserver. Dieser verarbeitet die Anfrage und sendet eine Antwort als html-Datei zurück. Die html-Datei beinhaltet neben unterschiedlichen unsichtbaren Informationen (Header) auch die eigentlichen Inhalte (Body) der Website in codierter Textform. Diese werden durch den Webbrowser ausgelesen und dem Nutzer grafisch dargestellt. Eine umgekehrte Kommunikation, nämlich die Übertragung von Daten des Webclients an den Webserver ist ebenfalls über http möglich, wobei dazu serverseitig ein zusätzliches Programm oder Skript eingesetzt werden muss.

Problem http – Kontaktformulare ohne Verschlüsselung

Problematisch an der Datenübertragung mittels http ist, dass die übermittelten Informationen uneingeschränkt auslesbar sind. Die transportierten Inhalte können also von allen Rechnern oder sonstigen Netzwerkteilnehmern, die sich insbesondere im gleichen Netzwerk befinden, mitgelesen werden. Dies mag auf den ersten Blick unkritisch erscheinen, schließlich sind die vom Webserver abgerufenen Inhalte meist ohnehin jedem zugänglich. Die Möglichkeit der einfachen Überwachung der aufgerufenen Inhalte  durch Dritte führt allerdings dazu, dass ein systematisches Profil des Nutzers erzeugt werden kann. Darüber hinaus stellt sich aus datenschutzrechtlicher Sicht ein weiteres gravierendes Problem dar: Die Übermittlung von Daten des Webclients an den Webserver erfolgt bei der Verwendung http-basierter Kontaktformulare vollkommen unverschlüsselt. Somit können personenbezogene Daten, die der Nutzer über ein Kontaktformular eingibt, durch Unbefugte abgefangen und missbraucht werden.

Konsequenzen und Bedeutung unverschlüsselter Kontaktformulare 

Da die Übermittlung personenbezogener Daten mittels Kontaktformular einerseits sehr bedeutsam für die Funktionalität etlicher Internetangebote ist, der Schutzbedarf der betroffenen Personen jedoch ebenfalls sehr hoch zu gewichten ist, überrascht es nicht, dass der Gesetzgeber hier die Notwendigkeit einer Regelung entdeckt hat. Mit dem Inkrafttreten des IT-Sicherheitsgesetzes am 14. August 2016 wurde dem Telemediengesetz (TMG) eine Bestimmung hinzugefügt (§13 Abs. 7 TMG), die Websitebetreiber verpflichtet, ihre Dienste gegen die Verletzungen des Schutzes personenbezogener Daten zu sichern. Insbesondere und explizit nennt der Gesetzgeber, die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens, als entsprechend adäquate Sicherungsmaßnahme. Die Unterlassung der Vornahme ausreichender Schutzmaßnahmen ist als Ordnungswidrigkeit bußgeldbewährt.

Mögliche Lösung – Verschlüsselung des Kontaktformulars mit https

Eine Möglichkeit der verschlüsselten Übertragung der Daten beim Einsatz von Kontaktformularen bietet die Verwendung von http in Verbindung mit TLS (Transport Layer Security), deren kombinierte Anwendung https (http Secure) bezeichnet wird. TLS ist als Fortentwicklung des bekannteren SSL Protokolls (Secure Socket Layer) zu verstehen. Die Anwendung der älteren SSL-basierten Verschlüsselung ist mittlerweile nicht mehr empfehlenswert, da sie als unsicher gilt. Allerdings werden TLS und SSL häufig synonym verwendet, sodass im Zweifelsfalle stets zu klären ist, welche Technologie tatsächlich zum Einsatz kommt.

Mit Hilfe des kryptographischen Protokolls TLS kann die Datenübertragung verschlüsselt und damit ungleich sicherer gestaltet werden. Ein wesentlicher Bestandteil des TLS-Protokolls ist der sog. Handshake: Vor der Übertragung von Daten zwischen Webclient und Webserver muss zwischen den beiden Kommunikationsteilnehmern eine gesicherte Verbindung aufgebaut werden. Der Server übersendet dabei dem Client auf dessen Anfrage (Eingabe der https-Adresse) ein Zertifikat, wodurch die tatsächliche Identität des Servers bestätigt werden soll. Nach der Prüfung der Gültigkeit des Zertifikats durch den Client wird ein gemeinsamer Sitzungsschlüssel erzeugt, der beidseitig für die Ver- und Entschlüsselung benötigt wird. Die Informationen, die über die entstandene gesicherte Verbindung übermittelt werden, können zwar ausgelesen aber nicht dekodiert werden, da nur Client und Server über diesen individuellen Sitzungsschlüssel verfügen. Eine verschlüsselte und somit gesicherte ÜbertrVerschlüsselung Datenschutzagung von personenbezogenen Daten des Webclients an den Webserver, unter Zuhilfenahme eines Kontaktformulars, ist nun also möglich. Zu erkennen ist die sichere Verbindung an dem grünen Schlosssymbol in der Adressleiste des Browsers.

Voraussetzung für die Implementierung von TLS ist der Erwerb eines Zertifikates für den Webserver. Die eigentliche Implementierung des Zertifikates und des TLS-Protokolls erfolgt in der Regel recht unkompliziert durch den Hosting-Dienstleister. Gleichwohl sollte bei der Umstellung auf TLS und https einiges beachtet werden. Ihr externer Datenschutzbeauftragter berät Sie gerne zum näheren Vorgehen.

Weitere Vorteile der Implementierung von https für Kontaktformulare

Die Erreichbarkeit einer Website über https dient zuvorderst der Sicherheit der übermittelten Daten und damit auch dem Datenschutz. Zudem kann die Implementierung der Verschlüsselung, in Abhängigkeit zu den Möglichkeiten des konkreten Webauftrittes, gesetzlich vorgeschrieben sein. Daneben gibt es aber noch mehr gute Gründe für die Umstellung Ihrer Website auf https. Die Außenwirkung Ihres Internetauftritts gewinnt durch die gewissenhafte Einbindung von Verschlüsselungsmöglichkeiten an Seriosität. Ein weiterer nicht zu vernachlässigender Effekt ist, dass Websites in https von Suchmaschinen wie Google gegenüber Websites in http bevorzugt und damit besser gerankt und prominenter aufgelistet werden.

Fazit

Die Umstellung Ihrer Website von http auf https kann viele positive Effekte mit sich bringen. In erster Linie dient sie der (gesetzlich angezeigten) Sicherung von personenbezogenen Daten. Ob Sie von der gesetzlichen Pflicht zur Einbindung von Verschlüsselungsverfahren betroffen sind, kann Ihnen Ihr externer Datenschutzbeauftragter erläutern. Ebenso unterstützen wir Sie gerne bei der Umsetzung und erklären Ihnen, worauf Sie bei der Umstellung achten müssen und welches Vorgehen sich bei der Übermittlung personenbezogener Daten im Internet generell empfiehlt. Die Verwendung von Kontaktformularen ohne Verschlüsselung ist in jedem Fall als äußerst kritisch zu betrachten, da unverschlüsselte Kontaktformulare Datenschutz-Risiken verursachen können. Sollten Sie nach wie vor unverschlüsselte Kontaktformulare auf Ihrer Website anbieten, empfehlen wir Ihnen dringend tätig zu werden.

Sofern Sie weitere Fragen zur datenschutzkonformen Verschlüsselung von Kontaktformularen, zur Implementierung von https oder anderen datenschutzrechtlichen Bereichen haben, holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

 

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Online-Skimming und EC-Karten-Skimming – Welche Gefahren für den Datenschutz Skimming verursacht

Datenschutz SkimmingFür die Meisten dürfte EC-Karten-Skimming, das Ausspähen bzw. Abschöpfen von Zahlungsdaten, nicht neu sein, allerdings hört man vermehrt, dass bei der Bestellung in Online-Shops Zahlungsdaten ausgespäht werden. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 09.01.2017 von mehr als 1000 deutschen Online-Shops berichtet, die derzeit von Online-Skimming betroffen seien.

Ihr externer Datenschutzbeauftragter erklärt, welche Gefahren für den Datenschutz Skimming verursachen kann und worauf Betroffene als auch verantwortliche Stellen, wie zum Beispiel Banken und Online-Shops, achten sollten.

Vorgehensweise bei EC-Karten- und Online-Skimming

Bei Skimming, zu deutsch Abschöpfen, werden Zahlungsinformationen ausgespäht. Bei EC-Karten-Skimming setzten die Täter überwiegend auf manipulierte Geldautomaten, dabei werden an den Bankautomaten vollständige Frontplatten angebracht oder die Täter installieren vor den Kartenlesegeräten manipulierte Einschubschächte. Mit den manipulierten Lesegeräten werden die Kartendaten ausgelesen und auf gefälschte Karten kopiert. Zeitgleich wird der PIN des Betroffenen / der Betroffenen mittels Kamera oder Tastatur-Attrappe aufgezeichnet. Neben veränderten Bankautomaten wurden allerdings auch manipulierte Türöffner identifiziert. Auch hier setzen die Täter auf Einschubschächte, die das Auslesen der Kartendaten ermöglichen. Dürften die meisten Bankkunden von dieser Masche bereits gehört haben und sensibler im Umgang mit ihren EC- und Kreditkarten verfahren, so könnte die Information, dass Täter ähnliche Vorgehensweisen bei der Bestellung in Online-Shops anwenden, allerdings neu sein.

Wie das Bundesamt für Sicherheit in der Informationstechnik berichtet, nutzen die Täter Sicherheitslücken in veralteten Programmen der Shops, dabei seien Online-Shops, die auf der Software Magento beruhen, betroffen. Die Cyber-Kriminellen schleusen eine Programm-Code ein, womit die Zahlungsdaten an die Täter übermittelt werden.

„ Datenschutz Skimming “ – Wie sich Betroffene vor Skimming schützen können  

Betroffenen ist anzuraten sowohl beim Einsatz von EC-Karten bzw. Kreditkarten als auch bei Bestellungen in Online-Shops etwas vorsichtiger zu sein, da neben Skimming auch Phishing zum Datenklau führen kann. Wenn Sie mehr zu den Gefahren durch Phishing erfahren möchten, dann lesen Sie dich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Neben dem sensiblen Umgang sind ansonsten die Möglichkeiten der Betroffenen zum Schutz vor Skimming sehr eingeschränkt, da diese in dem meisten Fällen zunächst von dem Klau / Abfluss ihrer Daten nichts bemerken.

„ Datenschutz Skimming “ – Was verantwortliche Stellen beachten sollten

Sind die Möglichkeiten der Betroffenen zum Schutz ihrer personenbezogenen Daten vor Cyber-Kriminellen überschaubar, so gilt dies allerdings nicht für verantwortliche Stellen, insbesondere nicht für die Anbieter von Online-Shops.

Gemäß § 13 Abs. 7 des Telemediengesetztes (TMG) sind Betreiber von Online-Shops verpflichtet, ihre Systeme durch technische und organisatorische Vorkehrungen gegen unerlaubte Zugriffe und Störungen zu schützen. Zu diesen technischen Vorkehrungen gehört unter anderem das zeitnahe Einspielen von Sicherheitsupdates. Laut § 16 Abs. 2 Nr. 3 TMG handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50000 Euro bestraft werden kann, wenn der Betreiber vorsätzlich oder fahrlässig über eine in § 13 Abs. 7 Nr. 1 und 2 Buchstabe a genannte Pflicht zur Sicherstellung verstößt.

Des Weiteren sollten sowohl Banken als auch Betreiber von Online-Shops beachten, dass die gemäß § 42a BDSG dazu verpflichtet sind, Betroffene und die Aufsichtsbehörde über den Datenverlust durch Skimming, Phishing oder andere Formen von Datenklau/Datenverlust (gilt auch bei Verlust eines USB-Sticks mit personenbezogenen Daten) zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten.

Das schlimmste Szenario (Worst-Case) dürfte sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten, wie bei Skimming üblich, gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann.

Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Möchten Sie mehr zum Thema Datenpanne erfahren, dann lesen Sie unseren Beitrag „Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG“ und erfahren Sie, wie Sie sich gegen Datenpannen schützen können.

Falls Sie mehr zum Thema „ Datenschutz Skimming “ erfahren möchten oder sich nicht sicher sind, ob die getroffenen organisatorischen und technischen Vorkehrungen den datenschutzrechtlichen Bestimmungen genügen, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Datenschutz im Internet – Surfen mit Mozillas Browser Firefox Klar

Firefox Klar DatenschutzSeit kurzer Zeit gibt es auch in Deutschland Mozillas mobilen Browser „Firefox Klar“ für das Betriebssystem iOS. Viele Nutzer stellen sich die Frage, ob Firefox Klar oder die Browsererweiterung des Content-Blockers „Klar by Firefox“ Datenschutz-Risiken minimiert. Die Entwickler aus dem Hause Mozilla versprechen den Nutzern mit Firefox Klar jedenfalls eine höhere Privatsphäre und damit einen verbesserten Datenschutz.

Ihr externer Datenschutzbeauftragter informiert über den neuen Browser und erklärt, ob Firefox Klar für mehr Datenschutz im Internet sorgt und Datenschutz-Probleme sowie Datenschutz–Risiken lösen kann.

Datenschutz mit Firefox Klar – Wie Firefox Klar Datenschutz und eine höhere Privatsphäre schafft

Datenschutz im InternetUmgesetzt wird die Sicherung der Privatsphäre des Nutzers unter anderem durch den im Browser integrierten „Tracking-Blocker“, welcher verhindert, dass der Nutzer von Werbe- und Analysenetzwerken verfolgt wird.

Werbe- und Analysenetzwerke sorgen dafür, dass Sie über mehrere Netzwerke hinweg identifiziert werden können. Wird Ihnen auf einer Internetseite Werbung für ein Produkt angezeigt, welches Sie zuvor auf einer anderen Internetseite begutachtet haben, steckt dahinter ein Werbe- und Analysenetzwerk. Durch den Einsatz dieser Form des Marketings kann Werbung äußerst zielgerichtet erfolgen. Durch den „Tracking Blocker“ des Browsers Firefox Klar werden diese Netzwerke blockiert. Positiver Nebeneffekt dieser Funktion ist, dass Werbung weitestgehend ausgeblendet wird. Das Blockieren kann allerdings auch dazu führen, dass einzelne Funktionen von Webseiten nicht mehr genutzt werden können. Klar by FirefoxDies führt zwar zu mehr Datenschutz im Internet für den Nutzer, allerdings könnte die eingeschränkte Nutzerfreundlichkeit („Usability“) auch dazu führen, dass die Nutzerzahlen nach einem kurzfristigen Ansturm wieder rückläufig sein werden.

  1. Der Entwickler Mozilla empfiehlt für diesen Fall, die Internetseite in Firefox oder Safari zu öffnen und bietet dafür in Firefox Klar einen Button an, welcher die Seite auf den genannten Browsern öffnet.
  2. Ebenso existiert ein Löschbutton, der den gesamten Browserverlauf entfernt und somit verhindert, dass Dritte nachvollziehen können, auf welchen Webseiten Sie waren. Eine Löschfunktion für den Verlauf existiert zwar bereits in anderen bzw. nahezu allen gängigen Browsern, Firefox Klar bietet für den Nutzer lediglich einen vereinfachten Weg der Funktionsnutzung.

Surfen mit Mozillas Browser Firefox KlarWeiterhin kann der Nutzer innerhalb der Einstellungen des Browsers selbst und recht einfach bestimmen, welche Inhalte durch Firefox Klar geblockt werden sollen. So lassen sich mitunter Social-Tracker blocken, so dass beispielsweise der Tweet-Button auf Twitter oder auch Like- und Teilen-Buttons auf Facebook verschwinden. Dies hat den Vorteil, dass Social-Media Plattformen wie Facebook, Twitter und Co., das Surfverhalten nicht mehr überwachen können.

Optional lässt sich bei Firefox Klar das Laden von Webfonts (individuelle Schriftarten auf Webseiten) unterbinden, was regelmäßig die Surfgeschwindigkeit und vermutlich auch den genutzten Traffic erhöht. Außerdem ist in Firefox Klar ein Content-Blocker enthalten, der in den iOS-Einstellungen aktivierbar ist. Mit diesem werden Werbe- und Analysenetzwerke auch für Safari blockiert. Möchten Sie weiterhin Safari nutzen, ist auch dies kein Problem. Durch Verschieben des Schiebereglers lässt sich Firefox Klar für Safari aktivieren und die beschriebenen Funktionen in Safari nutzen.

Fazit

Die Funktionen, die Firefox Klar mit sich bringt, dürften für die meisten Nutzer nicht neu sein, da die Einstellungen auch bei der Nutzung anderer Browser eingestellt werden können, allerdings werden diese Funktionen sehr nutzerfreundlich verpackt und lassen sich durch nur wenige Klicks aktivieren. Dazu kommt, dass viele Funktionen, wie die blockierte Werbeverfolgung oder die blockierte Verfolgung durch Social-Media-Buttons, bereits nach Installation des Browsers aktiviert sind. Der Entwickler Mozilla legt, wie schon erwähnt, seinen Schwerpunkt auf die Privatsphäre des Nutzers. Wer mehr Privatsphäre mit wenig Klicks sucht, sollte einen Blick auf Firefox Klar  werfen, allerdings können nicht nur mit Firefox Klar Datenschutz-Risiken minimiert werden.

Wünschen Sie sich mehr Privatsphäre,  Sicherheit und Datenschutz im Internet beim Surfen, möchten allerdings Ihren bisherigen Browser nutzen, dann lesen Sie unseren Beitrag „Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“ oder „JavaScript deaktivieren – Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.“. Gerne können Sie auch direkt Kontakt zu uns aufnehmen oder fordern Sie ein unverbindliches Angebot zum Datenschutz an.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

JavaScript deaktivieren – Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.

JavaScript deaktivieren - Datenschutz mit Chrome, Firefox, Internet Explorer, Safari und Co.In der heutigen Zeit beinhaltet fast jede Webseite JavaScript, eine Skriptsprache, die in Browsern läuft. Die Aufgabe von JavaScript ist es, Webseiten für einen bestimmten Zweck funktional zu gestalten. Dies geschieht, indem durch bestimmte Aktionen am eigenen Rechner (z.B. Mausklick oder Texteingabe) Programmcodes ausgeführt werden, die von einem anderen Rechner stammen. Beispiele hierfür sind die Suchfunktion in Google, das Abspielen von YouTube-Videos etc. Der Programmcode kann jedoch ein Sicherheitsrisiko für den Rechner sein, insbesondere wenn der Urheber des Codes nicht eindeutig bestimmbar ist.

Gerade dann, wenn Sie als „Administrator“ an Ihrem Rechner eingeloggt sind und sich auf unbekannte, nicht vertrauenswürdige Internetseiten begeben, setzen Sie Ihren Computer möglicherweise einem Infektionsrisiko (u.a. mit Viren, Trojanern) bei der Anwendung von JavaScript aus.

Daher raten wir Ihnen, JavaScript zu deaktivieren, wenn Sie

  • als Administrator eingeloggt sind
  • und auf unbekannten, nicht autorisierten Internetseiten unterwegs sind.

Generell ist Administratoren zu empfehlen für den Arbeitsalltag nicht mit ihrem „Admin-Konto“ eingeloggt zu sein, sondern einen weiteren Benutzer für sich anzulegen. Hierdurch wird eine zusätzliche Sicherheitshürde geschaffen.

Sollten Sie jedoch auf vertrauenswürdige Webseiten zugreifen oder diese nutzen wollen, ist der Gebrauch von JavaScript in der Regel unbedenklich.

Ihr externer Datenschutzbeauftragter informiert Sie im Folgenden, wie Sie JavaScript deaktivieren können, dabei wird auf die gängigen Browser Chrome, Firefox, Internet Explorer und Safari eingegangen.

JavaScript deaktivieren – Beim Einsatz von Google Chrome

JavaScript deaktivieren

JavaScript können Sie in Chrome deaktivieren, indem Sie auf den Menü-Button rechts im Fenster klicken und „Einstellungen“ auswählen.

Scrollen Sie anschließend nach unten und klicken Sie auf den Link „Erweiterte Einstellungen anzeigen“, dann auf „Datenschutz“.

Datenschutz mit Chrome

Klicken Sie danach auf den Button „Inhaltseinstellungen…“.

JavaScript deaktivieren - Google Chrome

Suchen Sie nun die Kategorie „JavaScript“. Aktivieren Sie dort die Option „Ausführung von JavaScript für keine Webseite zulassen“.

Wählen sie danach unten rechts „Fertig“ aus, um die Einstellung zu übernehmen. Bei einer Aktivierung bzw. Deaktivierung von JavaScript besteht die Möglichkeit unter „Ausnahmen verwalten…“ JavaScript für bestimmte Webseiten zu aktivieren bzw zu deaktivieren.

JavaScript deaktivieren – Beim Einsatz von Mozilla Firefox

JavaScript deaktivieren - Mozilla FirefoxGeben Sie in die Adressleiste „about:config“ ein und drücken Sie die Eingabetaste.

Falls eine Warnmeldung kommt klicken Sie auf „Ich bin mir der Gefahr bewusst!“.

Geben Sie nun in das Suchfeld „javascript.enabled“ ein und ändern Sie den Wert für eine Deaktivierung von JavaScript auf „false“ mit einem Doppelklick auf „true“.

Datenschutz mit FirefoxKlicken Sie auf den „Reaload“-Button um die Seite neu aufzurufen.

JavaScript deaktivieren – Beim Einsatz vom Internet Explorer

Datenschutz mit dem Internet ExplorerIm ersten Schritt wählen Sie in der Internetoption in der Menüleiste „Extras“ aus und klicken auf „Internetoptionen“.

JavaScript deaktivieren - Internet ExplorerDanach ist die „Zone“ auszuwählen, in der JavaScript aktiv sein soll. Sie haben dabei die Wahl „vertrauenswürdige Seiten“ auszuwählen oder JavaScript für alle Internetseiten zu aktivieren bzw. zu deaktivieren. Daraufhin fahren sie mit „Stufe anpassen“ fort.

JavaScript deaktivieren

Nun gelangen Sie zu den Feineinstellungen der ausgewählten Zone, wo Sie JavaScript unter den Begriff „Active Scripting“ finden, dieses können Sie nun Aktivieren oder Deaktivieren.

JavaScript deaktivieren – Beim Einsatz von Apple Safari

JavaScript deaktivieren - Apple SafariGehen Sie in der Menüleiste auf „Safari“ und klicken Sie auf „Einstellungen“.

Datenschutz mit SafariKlicken Sie daraufhin auf „Sicherheiten“, wo Sie einen Haken für die Aktivierung von JavaScript setzen können oder den Haken entfernen können, um JavaScript zu deaktivieren.

JavaScript deaktivieren – Was sind die Folgen?

Es sollte Ihnen bewusst sein, dass die Deaktivierung von JavaScript zu Einschränkungen bei der Nutzerfreundlichkeit führen kann. Einige Funktionen auf Webseiten sind regelmäßig nicht mehr im vollen Umfang nutzbar und Bedienelemente funktionieren nicht mehr oder nur eingeschränkt.

JavaScript selbst stellt üblicherweise kein Sicherheitsrisiko dar. Vielmehr ist es die fehlerhafte Implementierung im Webbrowser, die ein Sicherheitsleck bildet. Die Implementierung im Webbrowser wird jedoch immer besser umgesetzt. Ein guter Rat wäre daher Ihren Webbrowser immer auf dem aktuellsten Stand zu halten und nicht auf unbekannten Seiten bzw. insbesondere nicht auf unseriös erscheinenden Seiten zu surfen.

Weitere Gefahrenquellen für den Datenschutz auf Ihrem PC

Die Ausführung von JavaScript ist mit Sicherheit nicht die einzige Gefahrenquelle in Bezug auf sogenannte „aktive“ Inhalte (z.B. Änderung der Seiteninhalte bei Mausklick auf einen Link). Andere Techniken, welche darauf basieren, Inhalte auf Ihrem Rechner auszuführen, können ebenso ein Risikopotenzial bieten. Zu diesen Techniken gehören unter anderem Silverlight, Java-Applets, ActiveX-Controls, VBScript und Adobe Flash (Actionscript).

Interessieren Sie sich für das Thema „Schutz im Web“, so könnten unsere Beiträge „Cookies anzeigen, entfernen und löschen — Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.“ sowie „Angriffe in Facebook, E-Mail & Co. — Wenn Phishing Datenschutz-Probleme hervorruft“ interessant für Sie sein.

Haben Sie weitere Frage zum Thema „JavaScript deaktivieren“ oder möchten Sie mehr zur Thematik „Datenschutz im Internet“ erfahren, dann nehmen Sie gerne Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ Datenschutz Cookies “ – Damit Sie als Webseitenbetreiber, Appanbieter, Developer und Entwickler niemandem „auf den Keks gehen“

Datenschutz CookiesDie Thematik rund um „ Datenschutz Cookies “ beschäftigt seit Langem nicht nur Datenschutzbeauftragte und Datenschützer, sondern vermehrt Webseitenbetreiber, Appanbieter, Developer und Entwickler sowie Privatpersonen. Bei Cookies handelt es sich um kleine Textdateien, die beim Besuch von Webseiten vom Internet-Browser im temporären Speicher abgelegt werden und bei einem erneuten Besuch von der Internetseite ausgelesen werden können. Zwar kann der Einsatz von Cookies viele Vorteile mit sich bringen, allerdings sollten die Nachteile – insbesondere in Hinblick auf den Datenschutz – nicht ignoriert werden. Wenn Sie mehr zu den Vor- und Nachteilen erfahren möchten, dann lesen Sie unseren Beitrag „Cookies vs. Datenschutz – Warum Cookies Datenschutzbeauftragten nicht schmecken?“.

Ein Streitpunkt ist der datenschutzkonforme Einsatz von Cookies, da Uneinigkeit darüber besteht, ob die Vorschriften der EU-Datenschutzrichtlinie für elektronische Kommunikation, auch ePrivacy-Richtlinie genannt, in Deutschland umgesetzt wurden und viele Webseitenbetreiber somit nicht wissen, wie Sie Cookies einsetzen dürfen und wann bzw. auf welchem Weg Sie Webseitenbesucher über den Einsatz informieren sollten.

Ihr externer Datenschutzbeauftragter erklärt im Folgenden, was Webseitenbetreiber, Appanbieter, Developer und Entwickler (gemeinsam „Webseitenbetreiber“ genannt) zum Thema „ Datenschutz Cookies “ wissen sollten.

Datenschutz Cookies – Was Webseitenbetreiber wissen sollten

Die ePrivacy-Richtlinie, weicht, wie bereits erläutert, ein wenig von den Vorschriften in Deutschland ab, wodurch Unklarheiten bei

  • der Informationspflicht über den Einsatz von Cookies
  • und bei der Einwilligung der Seitenbesucher bestehen.

Art. 5 Abs. 3 der EU-Richtlinie (RL 2009/136/EG) sieht vor, dass der Seitenbesucher bereits bei der Speicherung von Informationen über den Einsatz von Cookies informiert wird. Wohingegen laut § 13 Abs. 1 S. 2 des Telemediengesetzes (TMG) eine Informationspflicht erst bei Speicherung personenbezogener Daten besteht.

In diesem Zusammenhang ist zudem unklar, ob es ausreichend ist, die Webseitenbesucher über den Einsatz von Cookies und über das Widerspruchrecht zu informieren („Opt-Out“) oder ob das Einholen von Einwilligungen erforderlich ist („Opt-In“).

Trotz der aktuellen Rechtsunsicherheit sollte auf die Verwendung von Cookies aufmerksam gemacht werden, da zum einen die Speicherung von IP-Adressen erfolgt und zum anderen Webseitenbetreiber, die gewisse Google-Produkte oder –Dienste, wie AdSense, nutzen, seit 2015 von Google eine Hinweispflicht auferlegt bekommen haben.

Die Verpflichtung von Google für Webseitenbetreiber und Appanbieter sowie die steigende Sensibilität der Webseitenbesucher führt bereits jetzt zu einem rasanten Anstieg der Cookie-Hinweise. Aufgrund der Zunahme der Webseitenbetreiber und Appanbieter, die auf die Verwendung aufmerksam machen, werden Cookie-Hinweise inzwischen als Standard einer guten Webseite angesehen, weshalb auch Sie auf die Verwendung hinweisen sollten. Zwar finden sich auf der Google-Unternehmensseite keine Konsequenzen für Appanbieter oder Webseitenbetreiber, die nicht über den Einsatz informieren, allerdings schreibt Google vor, dass Betroffenen Informationen offengelegt und Einwilligungen eingeholt werden sollen. Zudem bietet Google Hilfestellungen für Webseiten- und Appbetreiber, die nicht wissen, wie sie die Richtlinie umsetzen sollen, an.

Maßnahmen, die Webseitenbetreiber ergreifen sollten

Datenschutz Cookie-HinweisAls Webseiten-  und Appbetreiber sollten Sie Betroffene, bspw. mittels Plug-In, über die Verwendung von Cookies aufmerksam machen und informierte Einwilligungen einholen. Ob Sie den Hinweis am Seitenanfang, -ende oder anderweitig platzieren ist Ihnen überlassen. Wichtig ist jedoch, dass der Hinweis gut erkennbar ist und über die Verwendung von Cookies informiert. Es ist zudem anzuraten, die Datenschutzerklärung in dem Cookie-Hinweis zu verlinken. Alternativ kann auch auf eine Cookie-Richtlinie verwiesen und diese verlinkt werden.

Datenschutzerklärung CookiesDie Datenschutzerklärung sollte, wenn nicht gesondert auf eine Cookie-Richtlinie der Webseite oder App verwiesen wird, ebenfalls Informationen zur Verwendung von Cookies enthalten.

Hinsichtlich des Einsatzes von Cookies wird sich zeigen, wohin der Weg der Webseiten- und Appbetreiber gehen wird, allerdings sollte nicht nur der Einsatz von Cookies datenschutzkonform erfolgen, da zahlreiche Faktoren, so insbesondere eine vollständige Datenschutzerklärung, eine große Rolle spielen.

Aufgrund der hohen Außenwirkung einer Webseite müssen Webseiten- und Appbetreiber, bei falschen Umgang mit personenbezogenen Daten, Cookies und Datenschutz, mit Sanktionen und (einem erheblichen) Imageverlust rechnen. Sie sollten daher keineswegs an fachkundiger Beratung und Unterstützung durch einen internen/externen Datenschutzbeauftragten („externer Datenschutzbeauftragter“) sparen.

Haben Sie Fragen zum Thema „ Datenschutz Cookies “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Cookies anzeigen, entfernen und löschen – Datenschutz mit Firefox, Safari, Chrome, Internet Explorer und Co.

Cookies anzeigen, entfernen und löschenDurch den Einsatz von Cookies können Benutzerprofile der Webseitenbesucher erstellt werden, wodurch das Setzen von Cookies Datenschutz-Risiken hervorrufen kann. Aus diesem Grund gewinnt sowohl für Webseitenbetreiber als auch für Webseitenbesucher die Thematik weiterhin an Bedeutung. In dem Beitrag „Cookies vs. Datenschutz – Warum Cookies Datenschutzbeauftragten nicht schmecken?“ haben wir bereits einen Einblick in die Thematik gewährt. Nun wollen wir Webseitenbesucher, die Cookies anzeigen, entfernen oder löschen möchten, unterstützen.

Im Folgenden erklärt Ihr externer Datenschutzbeauftragter, wie Webseitenbesucher in Erfahrung bringen, ob Cookies gesetzt werden und wie sich Cookies entfernen und blockieren lassen.

Cookies anzeigen, entfernen oder löschen – Beim Einsatz von Mozilla Firefox

Firefox - Cookies anzeigenWenn Sie Mozilla Firefox nutzen, können Sie ganz einfach feststellen, ob die Webseite, die Sie gerade besuchen, Cookies setzt. Diese Informationen finden Sie entweder über die Informationsschaltfläche „i“ -> Weitere Informationen -> Sicherheit oder in der Menüleiste unter Extras -> Seiteninformationen -> Sicherheit.

Firefox - Cookies anzeigen 2Nun können Sie sehen, ob die Internetseite Cookies setzt und wie häufig Sie die Seite bereits besucht haben. Wählen Sie Cookies anzeigen, erhalten Sie die Möglichkeit die gespeicherten Cookies der Webseite, die Sie gerade besuchen, zu sehen und zu entfernen.

Firefox - Cookies anzeigen, entfernenSofern Sie an dieser Stelle eine andere Webseitenadresse bzw. Homepage oder URL eintragen, lassen sich auch von der gewählten Webseite die Cookies anzeigen und entfernen.

Firefox - Cookies löschen, sperrenDes Weiteren können Sie Cookies unter den Einstellungen in Mozilla Firefox sperren, entfernen bzw. löschen. Dafür müssen Sie auf den Button Menü öffnen (rechts auf der Webseite) -> Einstellungen -> Datenschutz auswählen. Unter der Rubrik „Datenschutz“ können zum einen Cookies gelöscht werden. Dafür sollten Sie einzelne Cookies löschen auswählen. Nach dem Sie einzelne Cookies löschen gewählt haben, öffnet sich ein Fenster und Sie haben die Möglichkeit nach Cookies zu suchen sowie einzelne oder alle Cookies zu löschen.

Firefox - Cookies blockierenDes Weiteren können Sie, wenn Sie unter Firefox wird eine Chronik: (in der Dropdown-Liste) -> nach benutzerdefinierten Einstellungen anlegen wählen, weitere Einstellungen vornehmen. Dabei können Sie Webseiten benennen, die immer oder nie Cookies setzen dürfen, Cookies von Drittanbietern verbieten bzw. erlauben oder die Gültigkeit von Cookies festlegen.

Cookies anzeigen, entfernen oder löschen – Beim Einsatz von Safari

Safari - Cookies anzeigenNutzen Sie Safari, dann haben Sie die Möglichkeit unter Einstellungen -> Datenschutz -> Websitedaten verwalten… festzustellen, welche Seiten Cookies setzen. Zudem können Sie nach Webseiten suchen und einzelne Cookies sowie alle Cookies entfernen.

Safari - Cookies löschen, sperrenMöchte man Cookies aktivieren bzw. blockieren, so können unter Einstellungen -> Datenschutz Änderungen vorgenommen werden.  Nutzer können unter anderem entscheiden, ob Cookies immer blockiert bzw. erlaubt werden. Zudem können sie den Einsatz von Cookies für einzelne Webseiten erlauben. Neben dem Blockieren von Cookies kann Betreibern von Webseiten, das Website- Tracking (Aufzeichnen von Aktivitäten auf der Webseite) verboten werden. Rufen Sie Inhalte von einer Webseite auf, so fügt Safari die Aufforderung, dass Sie keine Aufzeichnung wünschen, hinzu, allerdings kann es sein, dass diese Aufforderung ignoriert wird.

Cookies anzeigen, entfernen oder löschen – Beim Einsatz von Google Chrome

Chrome - Cookies anzeigenMit Google Chrome können Cookies ebenfalls ganz einfach blockiert oder gelöscht werden. Dafür sollte man das Symbol Mehr (ganz rechts neben der URL-Leiste) -> Einstellungen auswählen. Danach sollten Sie nach unten scrollen und Erweiterte Einstellungen wählen. Unter den erweiterten Einstellungen finden Sie nun die Datenschutz-Einstellungen. Die Einstellungen für Cookies können Sie nun unter Inhaltseinstellungen vornehmen.Chrome - Cookies sperren, löschen

  1. Möchten Sie Cookies löschen, dann klicken Sie auf Alle Cookies und Websitedaten…. In der Liste werden alle gesetzten Cookies angezeigt. Um alle Cookies zu entfernen, wählen Sie bitte Alle entfernen. Möchten Sie einzelne Cookies löschen, können Sie diese über die Suche finden. Chrome -Cookies löschenFahren Sie dann über die einzelnen Webseiten und es erscheint auf der rechten Seite ein „x“. Klicken Sie auf das x-Symbol und die Cookies werden entfernt.
  2. Unter Punkt 2 haben Sie die Möglichkeit für alle Webseiten, das Setzen von Cookies zu blockieren bzw. zu erlauben. Auch können Sie Drittanbieter-Cookies blockieren oder die Löschung nach Schließen des Browsers festlegen.
  3. Haben Sie Cookies für alle Webseiten blockiert, so haben Sie unter Punkt 3 die Möglichkeit Ausnahmen zu verwalten.

Chrome - Cookies sehenMit Google Chrome können Sie des Weiteren prüfen, ob Cookies tatsächlich blockiert wurden. Besuchen Sie eine Webseite, die keine Cookies setzen darf, so erscheint in der URL-Leiste ein „Cookie“-Symbol mit einem roten „x“. Wenn Sie darauf klicken, sehen Sie, dass die besuchte Seite keine Cookies setzen darf bzw. haben Sie die Möglichkeit für die besuchte Webseite das Setzen von Cookies zu erlauben.

Cookies anzeigen, entfernen oder löschen – Beim Einsatz vom Internet Explorer

Internet Explorer - Cookies entfernenSetzt man den Internet Explorer ein, so können ebenfalls Cookie-Einstellungen vorgenommen werden. Möchte man Cookies löschen, so sollte das Rädchen-Symbol Extras (rechts neben der URL-Leiste) ->  Sicherheit -> Browserverlauf löschen gewählt werden. Setzen Sie ein Häkchen bei Internet Browser - Cookies sperrenCookies und Websitedaten und wählen Sie Löschen.

Um Cookies zu blockieren, haben Sie beim Internet Explorer zwei Möglichkeiten. Unter Extras -> Internetoptionen -> Registerkarte ->  Datenschutz können Sie entweder durch Bewegen des Schiebereglers zwischen Einstellungen wählen oder Sie klicken auf Erweitert.

Unter den erweiterten Datenschutz-Einstellungen können Sie Cookies von Erstanbietern und Drittenanbietern annehmen oder blocken. Wählen Sie bestätigen, dann werden Sie beim Besuch von Webseiten zur Annahme aufgefordert und können den Einsatz von Cookies bestätigen.

 

Hinweis: Sollten Sie Cookies blockieren, so könnte es sein, dass Ihnen – unabhängig vom Browser – Webseiten nicht vollständig angezeigt werden können.

Exkurs: Sichere Verbindung durch Verschlüsselung

Jeder Webseitennutzer dürfte es spätestens, wenn etwas in einem Online-Shop bestellt wird, kennen. Im Rahmen der Bestellung werden personenbezogene Daten eingegeben. Angefangen vom Namen und der Verschlüsselung DatenschutzAnschrift geben wir häufig personenbezogene Bank- oder Kreditkartendaten in ein Online-Formular ein. Haben Sie sich auch schon mal gefragt, ob die Daten sicher sind und wer diese Informationen lesen kann?

Wir erklären Ihnen, worauf Sie auf jeden Fall achten sollten, damit Sie wissen, ob die Daten sicher an den Webseitenbetreiber übermittelt werden. Achten Sie darauf, dass beim Besuch der Webseite, spätestens aber bei der Eingabe der Daten, ein „grünes Schloss“ in der URL-Zeile bzw. Browserzeile erscheint. Ist ein grünes Schloss zu erkennen, ist eine SSL-Verschlüsselung implementiert. Unter der Schaltfläche i“ -> Weitere Informationen -> Sicherheit  können Sie unter technische Details nachlesen, um welche Verschlüsselung es sich handelt.

Datenschutz VerschlüsselungEine verschlüsselte Verbindung erschwert unberechtigten Personen das Mitlesen der übermittelten sensiblen (personenbezogenen) Daten.

Ein weiterer Tipp für Webseitenbesucher ist, dass Sie auf den Link achten. Betrüger verwenden häufig Webseiten, die den Originalen ähneln, allerdings fällt bei genauem Hinsehen auf, dass sich der Link von der originalen Seite unterscheidet. Dabei werden zum Beispiel einzelne Buchstaben ausgetauscht, die dem Webseitenbesucher nicht direkt ins Auge fallen. Aus Brands-Consulting.eu würde zum Beispiel Brinds-Consulting.eu oder Brands-Consuting.eu werden.

Wenn Sie mehr zu diesem Thema erfahren möchten, dann lesen Sie doch unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Haben Sie weitere Fragen zum Thema „Cookies anzeigen, entfernen oder löschen“ oder zur Thematik „Datenschutz Webseiten“?  Dann nehmen Sie gerne direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ IP-Adressen Datenschutz “ – Die Entscheidung des Europäischen Gerichtshofs und seine Auswirkungen

IP-Adressen DatenschutzDer europäische Gerichtshof (EuGH) hat vor wenigen Tagen eine bedeutende Entscheidung hinsichtlich „ IP-Adressen Datenschutz “ getroffen. Jedes Gerät innerhalb eines Computernetzwerkes benötigt eine IP-Adresse, wobei die Kurzform IP für Internet Protocol, zu deutsch Internet Protokoll steht. Die IP-Adresse ist notwendig, damit jedes Gerät eindeutig identifizierbar ist und Daten versendet sowie empfangen werden können. Die Frage, ob IP-Adressen personenbezogene Daten sind, beschäftigt Datenschutzbeauftragte und Datenschützer schon seit Jahren. Nun hat der EuGH eine Entscheidung getroffen.

Ihr externer Datenschutzbeauftragter informiert, wie sich der EuGH bezüglich „ IP-Adressen Datenschutz “ entschieden hat und welche Auswirkungen zu erwarten sind.

„ IP-Adressen Datenschutz “ – Die Entscheidung des EuGHs

Die IP-Adresse ist mit einer Wohnanschrift vergleichbar. Wird eine Bestellung im Internet durchgeführt, benötigt der Online-Shop die Lieferanschrift, damit der Postbote die Ware abliefern kann. Ähnlich verhält es sich mit der IP-Adresse, die es ermöglicht, dass Daten vom Versender an den korrekten Empfänger übermittelt werden können.

Ist die Rede von IP-Adressen, so darf zwischen statischen und dynamischen IP-Adressen unterschieden werden.  Bei der sogenannten dynamischen IP-Adresse handelt es sich um eine Internetprotokoll-Adresse, die sich anders als die statische IP-Adresse, regelmäßig ändert. Wählt man sich ins Internet ein, bekommt man vom Provider, z. B. der Telekom oder durch 1&1, eine IP-Adresse zugewiesen.

Trennt man die Internetverbindung und wählt sich erneut ein, so erhält man eine neue IP-Adresse, wodurch die Privatsphäre etwas höher ist als bei einer statischen IP-Adresse.

Bei der Frage, ob es sich bei IP-Adressen, um personenbezogene Daten handelt, herrschte bisher Uneinigkeit, insbesondere wenn es um dynamische IP-Adressen ging. Der Rechtsstreit zwischen dem Abgeordneten der Piratenpartei, Patrick Breyer, und der Bundesrepublik Deutschland, der seit fast zehn Jahren andauert, verdeutlicht die Unklarheit bzw. Uneinigkeit hinsichtlich der Klassifizierung von IP-Adressen.

Patrick Breyer hatte 2007 die Bundesrepublik Deutschland verklagt, weil die Bundesministerien IP-Adressen der Webseiten-Besucher speicherten. Die Frage, ob die Bundesministerium Protokolldateien, wie unter anderem die IP-Adresse der Besucher und den Zeitpunkt des Aufrufs, speichern dürfen, beschäftigte zunächst die deutschen Instanzen bis der Rechtsstreit vor dem Europäischen Gerichtshof landete.

„ IP-Adressen Datenschutz “ – Handelt es sich bei dynamischen IP-Adressen um personenbezogene Daten?

Der Europäische Gerichtshof hat hinsichtlich „IP-Adressen Datenschutz“ entschieden, dass es sich bei der sogenannten dynamischen IP-Adresse unter gewissen Voraussetzungen um ein personenbezogenes Datum handelt. In der Pressemitteilung Nr. 112/16 des Europäischen Gerichtshofs vom 19. Oktober 2016 zur Rechtssache C-582/14 heißt es: „Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zulassen.“

Zwar kann zunächst nur der Provider in Erfahrung bringen, wer hinter der dynamischen IP-Adresse steckt, allerdings können Webseiten-Betreiber für die Strafverfolgung, zum Beispiel bei Cyberattacken oder bei Urheberrechtsverletzungen, Informationen zu den IP-Adressen in Erfahrung bringen. Aus diesem Grund sollten dynamische IP-Adressen als personenbezogene Daten angesehen werden.

„ IP-Adressen Datenschutz “ – Dürfen die Daten vom Betreiber einer Webseite gespeichert werden?

EuGH DatenschutzAufgrund der Entscheidung, dass es sich bei IP-Adressen um personenbezogene Daten handelt, sollten Webseiten-Betreiber das Telemediengesetz (TMG), insbesondere § 15 TMG berücksichtigen. Im Sinne von § 15 TMG ist eine Erhebung und Verarbeitung von personenbezogenen Daten des Betroffenen nur für Abrechnungszwecke erlaubt. Die Erhebung der IP-Adressen dürfte – für andere Zwecke als für die Abrechnung – nur erfolgen, wenn informierte Einwilligungen der Betroffenen eingeholt werden.

Der EuGH sieht dies allerdings an. Laut dem Urteil des europäischen Gerichtshofs vom 19.10.2016 in der Rechtssache C-582/14 steht das Verbot, die IP-Adressen zu einem anderen Zweck als der Abrechnung zu erheben, der EU-Richtlinie entgegen. Im Sinne von Art. 7 Buchst. f der Richtlinie 95/46/EG (EU-Richtlinie) dürfen personenbezogene Daten verarbeitet werden, wenn die Verarbeitung „zur Verwirklichung des berechtigten Interesses“ notwendig ist und die Grundrechte der Betroffenen nicht überwiegen.

Laut dem EuGH liegt im Fall der Bundesministerien ein „berechtigtes Interesse“ vor, da sie die IP-Adresse zum Schutz gegen Cyberangriffe und somit zur Aufrechterhaltung der Webseiten erheben und verarbeiten.

Fazit

Das Urteil des europäischen Gerichtshofes widerspricht teilweise dem deutschen Datenschutzrecht bzw. der überwiegenden Auslegungen der deutschen Lehre, da eine Erhebung und Verarbeitung der IP-Adressen bei „berechtigtem Interesse“ erlaubt werden soll, wobei – anderes als im deutschen Datenschutzrecht – ein berechtigtes Interesse bei der generellen Funktionsfähigkeit der Webseite vorliegen könnte. Des Weiteren heißt es in der Pressemitteilung Nr. 112/16 des EuGH, dass das deutsche Datenschutzrecht dadurch die Tragweite der EU-Richtlinie einschränkt.

Die Entscheidung zum Thema „IP-Adressen Datenschutz“, respektive zum Umgang mit personenbezogenen Daten, könnte vor allem in Hinblick auf die EU-Datenschutzgrundverordnung (EU-DSGVO) interessant sein. Die EU-DSGVO ist am am 25.05.2016 in Kraft getreten und ist nach einer zweijährigen Übergangsfrist ab dem 25.05.2018 in Kraft anwendbar. Das Ziel ist es den Datenschutz in der EU zu vereinheitlichen, allerdings sieht auch die EU-DSGVO in Art. 6 Buchst. f die Verarbeitung bei „berechtigten Interessen“ vor. Es bleibt zunächst abzuwarten, inwieweit das deutsche Datenschutzrecht diesbezüglich angepasst wird.

Haben Sie Fragen zum Thema „IP-Adressen Datenschutz“ oder möchte Sie mehr zur EU-Datenschutzgrundverordnung erfahren? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Cookies vs. Datenschutz – Warum Cookies Datenschutzbeauftragten nicht schmecken?

Cookies DatenschutzDer IT-Abteilung, Ihrem Datenschutzbeauftragten und mit Sicherheit auch Ihnen ist der Begriff „Cookies“ nicht nur als Plätzchen bekannt. Doch was haben Cookies (wir meinen keine Plätzchen-Krümel) auf dem Computer zu suchen und wieso ist der Einsatz von Cookies seit Jahren ein häufig diskutiertes und zudem sehr umstrittenes Thema? Ihr externer Datenschutzbeauftragter informiert sie.

Was sind Cookies?

Im technologischen Sinn beschreibt ein Cookie eine kleine Textdatei, die beim Besuch von Internetseiten vom Internet-Browser lokal im temporären Speicher abgelegt werden. Entwickelt wurden Cookies, um den Internetbesuch eines Nutzers komfortabler zu gestalten. Die von der Webseite hinterlegten Textdateien enthalten Informationen zum Webserver und werden bei einem erneuten Aufruf von der betreffenden Seite ausgelesen. Doch bringt dies nicht auch Gefahren mit sich?

Vorteile von Cookies

Hauptanwendungsgebiet von Cookies sind soziale Netzwerke oder E-Mail-Konten, um Anmeldedaten zu speichern. Weiterhin kommen sie beispielsweise bei der Warenkorb-Funktion einiger E-Commerce-Seiten zum Einsatz. Die Internetseite merkt sich den vorherigen Aufruf des Nutzers und macht so bei verschlüsselten Seiten eine erneute Anmeldung entbehrlich. Trotz der zahlreichen Vorteile für Webseitenbetreiber und Seitenbesucher, sorgt die Thematik, insbesondere bei Datenschützern, für Bauchschmerzen.

Nachteile von Cookies

Das Setzen von Cookies ist aus Datenschutzsicht kritisch, insbesondere wenn der Betroffene weder zu der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten einwilligt noch über die Datenerhebung bzw. Datenspeicherung informiert wird. Der wohl größte Nachteil von Cookies besteht darin, dass hierdurch Profile über die Surfgewohnheiten von Nutzern erstellt werden können. Diese Nutzerprofile ermöglichen persönlich zugeschnittene Werbung oder Werbe-E-Mails (Newsletter), wobei man Cookies von Drittanbietern, welche ihre Daten auf dem Rechner platzieren, obwohl sie nur als Werbung auf der besuchten Seite auftauchen, äußerst kritisch betrachten sollte. Diese sog. Tracking-Cookies speichern explizit die IP-Adresse, um Profile zu erstellen und für Marketingzwecke gezielt personalisierte Werbung anzubieten.

Was kann ich gegen Cookies machen?

Bei nahezu jedem Browser besteht die Option, die Cookie-Nutzung auszuschalten oder zu begrenzen. Des Weiteren können meistens alle bis dahin gespeicherten Cookies gelöscht werden. Wer allerdings nicht auf den Komfort verzichten möchte, für den bieten manche Browser eine Anwendung, mittels der kontrolliert werden kann, welche Cookies von einer Seite verwendet werden. Gleichzeitig können einzelne Cookies gelöscht oder auf Dauer gesperrt werden.

Rechtslage zu Cookies

Fraglich ist noch immer, ob ein Besucher gleich beim Aufruf der Website in die Verwendung von Cookies einwilligen muss (Opt-in), oder ob es ausreicht, wenn er nachträglich widersprechen kann (Opt-out). Grund ist die, im Jahr 2009, eingeführte EU-Richtlinie, die bis heute in Deutschland nicht ausreichend umgesetzt ist. Unklarheiten bestehen zum einen bei der Informationspflicht über den Einsatz von Cookies und zum anderen bei der Einwilligung der Seitenbesucher. Die EU-Richtlinie (Art. 5 Abs. 3 RL 2002/58/EG) sieht vor, dass der Seitenbesucher bereits bei der Speicherung von Informationen über den Einsatz von Cookies informiert werden muss. Wohingegen laut § 13 Abs. 1 S. 2 des Telemediengesetzes (TMG) eine Informationspflicht erst bei Speicherung personenbezogener Daten bzw. bei Beginn dieses Verfahrens zu erfolgen hat.

Die selbe Problematik existiert in Hinblick auf die Einwilligung des Seitenbesuchers. Die EU-Richtlinie legt fest, dass die Einwilligung bei einer Speicherung von Informationen erforderlich ist, wobei das Telemediengesetz erst bei Speicherung personenbezogener Daten, auf eine Einwilligung verpflichtet.

Sie haben eine Frage hierzu? Sprechen Sie doch mit Ihrem (betrieblichen) Datenschutzbeauftragten. Sie haben noch keinen Datenschutzbeauftragten? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft

Bildschirmfoto 2016-07-04 um 13.21.02Für die meisten Internet-Nutzer dürfte die Information, dass im World Wide Web (WWW) zahlreiche Gefahren lauern, nicht neu sein. Zu den Bedrohungen zählen unter anderem Schadprogramme, wie Viren, trojanische Pferde (Trojaner), Spyware etc., und Phishing-Angriffe.

Der Begriff „Phishing“ setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen, die bereits bestens beschreiben, welches Ziel mit Phishing-Angriffen verfolgt wird. Betrüger versuchen zumeist, mittels gefälschter E-Mails und Webseiten, an Zugangsdaten, Passwörter, Kreditkartennummern oder sonstige vermeintlich wertvolle Datensätze zu gelangen.  Die gefälschten E-Mails und Webseiten können auf den ersten Blick sehr professionell wirken, sodass häufig zahlreiche Personen auf die Phishing-Attacken reinfallen.

Brands Consulting, Ihr externer Datenschutzbeauftragter, informiert Sie über die Auswirkungen einer Phishing-Attacke auf den Datenschutz und wie Sie sich vor Phishing-Angriffen schützen können.

Auf welchem Weg erfolgen Phishing-Angriffe?Bildschirmfoto 2016-07-06 um 16.57.50

Die Täter versuchen in den meisten Fällen über gefälschte E-Mails und Webseiten an sensible Daten zu gelangen. Phishing-Attacken über andere Kommunikationskanäle, wie SMS oder Anrufe, können allerdings nicht ausgeschlossen werden. Meistens geben sich die Täter als Banken, Online-Shops oder andere Firmen aus, die aufgrund von abgelaufen Kreditkarten, zu aktualisierenden Kontoeinstellungen, nicht gezahlter Rechnungen etc. den Kontakt zu den Betroffenen suchen. In den gefälschten E-Mails befinden sich meistens Verlinkungen zu gefälschten Webseiten, die einem Anmeldeportal ähneln und die Betroffenen zur Eingabe der Zugangsdaten, Passwörter etc. verleihen sollen. Das Ausspähen von Zugangsdaten im Bereich der sozialen Medien, wie Facebook, Twitter etc. ist ebenfalls keine Seltenheit mehr.

Ähnlich aussehende Domainnamen sind weitere Methoden, die Betroffene auf gefälschte Seiten führen sollen. Möglichkeiten, die sich den Tätern bieten, sind zum Beispiel die Buchstaben „ä“, „ö“ und „ü“ oder die Verwendung von kyrillischen Buchstaben, die sich beispielsweise beim „a“ nicht unterscheiden. Wird die Beispiel-Adresse: http//:www.ihr-externer-datenschutzbeauftragte-baender.com/ gefälscht und heißt nun http//:www.ihr-externer-datenschutzbeauftragte-bänder.com/, wird dies den wenigstens Betroffenen auffallen.

Eine weitere Möglichkeit um Zugangsdaten auszuspähen, ist der Einsatz von Trojanern. Der Betroffene besucht eine infizierte Webseite oder erhält eine E-Mail bzw. eine SMS mit einem Link oder einem Anhang. Beim Öffnen installiert sich der Betroffene ein Schadprogramm auf sein Endgerät. Das trojanische Pferd läuft, ohne Wissen des Betroffenen im Hintergrund und kann sämtliche Zugangsdaten ausspionieren.

Welche Auswirkungen haben Phishing-Angriffe auf den Datenschutz?

Das Ausspähen von Daten bei Privatpersonen, insbesondere von Kreditkarten- und Kontodaten, kann für die betroffenen Personen zu einem hohen finanziellen Schaden führen, wobei eine Phishing-Attacke bei Unternehmen, Behörden, Vereinen etc., neben einem beträchtlichen finanziellen Schaden, zu einem hohen Imageverlust führen kann.

Bei einer Phishing-Attacke werden in der Regel, wie bereits erläutert, Benutzerkennungen, Kreditkartenummer oder sonstige, teilweise sensible, Datensätze ausgespäht. Bei diesen Daten bzw. Informationen handelt es sich um personenbezogene Daten, die vom Datenschutzrecht geschützt werden sollen. Besteht beispielsweise die Gefahr, dass personenbezogene Daten der Mitarbeiter, Kunden oder Lieferanten ausgespäht worden sind, ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern führen Datenpannen zu einem erheblichen Imageverlust. Oder möchten Sie etwa Ihre persönlichen Daten einem Unternehmen anvertrauen, das diese verliert?

Neben den personenbezogenen Daten sollte, jeder „verantwortlichen Stelle“ (wir erinnern uns: sogenannte „verantwortliche Stellen“ können z. B.: Behörden, Unternehmen, Vereine oder Stiftungen sein) der Schutz von weiteren sensiblen Daten, wie Betriebsgeheimnissen, am Herzen liegen.

Wie kann ich mich vor Phishing-Attacken schützen?

Die Internet-Kriminalität hat sich mit der Technik weiterentwickelt, wodurch Betroffenen die Unterscheidung zwischen gefälschten und originalen Webseiten, SMS sowie E-Mails erschwert wird. Nichtsdestotrotz lassen sich zahlreiche Maßnahmen ergreifen, um das Risiko, „Opfer“ einer Phishing-Attacke zu werden, drastisch zu minimieren.

Eine dieser Maßnahmen ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen. Privatpersonen und verantwortliche Stellen sollten sich allerdings nicht ausschließlich auf die Filter-Programme verlassen, da die Täter regelmäßig Änderungen vornehmen, wodurch die Filter-Programme umgangen werden können.

Der Faktor Mensch spielt bei Phishing-Attacken eine erheblich große Rolle. Um so wichtiger ist es, dass feste Mitarbeiter, aber insbesondere auch Praktikanten, Freiberufler, ehrenamtliche Hilfskräfte oder sonstige Aushilfen geschult bzw. sensibilisiert werden.

Anzeichen für gefälschte SMS, E-Mails und Webseiten können sein:

  • Nachrichten in fremder Sprache oder in schlechtem Deutsch (Grammatikfehler, fehlende Umlaute, kyrillische Buchstaben, fehlende Sonderzeichen),
  • Absender, die nicht zugeordnet werden können (z.B. die Rechnung eines Online-Shops, den man nicht kennt),
  • Unpersönliche Anrede (z.B. „Sehr geehrte Damen und Herren“, „Sehr geehrter Kunde“ oder besonders kreativ „Hallo“),
  • Die Aufforderung, eine Datei zu öffnen oder einem Link zu folgen,
  • Link-Adresse und anzuzeigender Text verweisen auf verschiedene Webseiten siehe Beispiel 3 (Um die tatsächliche Adresse zu sehen, kann mit dem Cursor über über den Link fahren. Nicht anklicken!),
  • Die Aufforderung, personenbezogene Daten, wie PIN, TAN, Passwörter etc. anzugeben,
  • Die Drohung mit Konsequenzen, wenn eine, meist sehr knapp bemessene, Frist nicht eingehalten wird (z.B. „Wir bitten Sie schnellstmöglich unserer Forderung nachzukommen, ansonsten sind wir gezwungen ein Inkassobüro zu beauftragen“, „Falls Sie der Zahlung bis XXX nicht nachkommen, werden wir Ihnen weitere Kosten des MahnverfahrenBildschirmfoto 2016-07-06 um 16.50.46s und der Verzugszinsen in Rechnung stellen“ oder die verlockende und weniger ermahnende Variante„Sie haben gewonnen! Nur Heute!“)
  • Die Absenderadressen sind gefälscht,
  • Das Kürzel https:// fehlt.

Beispiel 1

Phishing Datenschutz

Beispiel 2

Phishing Datenschutz

Beispiel 3

Phishing Datenschutz

Auf Phishing-Angriff reingefallen – Wie gehen Sie vor?

Sollten Sie auf einen Angriff reingefallen sein und einen Link geöffnet bzw. sensible Daten übermittelt haben, dann sollten Sie schnell reagieren. Zum einen sollten Sie, wenn Sie Mitarbeiter in einem Unternehmen, einer Behörde etc. sind, die IT-Abteilung unverzüglich informieren, damit diese den Rechner auf Schadprogramme untersuchen kann. Wurden Benutzerkennungen und Passwörter eingegeben, so sollten diese UNVERZÜGLICH —-> also SOFORT geändert werden.

Den „Opfern“ einer Phishing-Attacke ist zudem anzuraten, eine Strafanzeige bei der Polizei zu erstatten. „Verantwortliche Stelle“ sollten des Weiteren prüfen, ob die Täter Zugriff auf Informationen / Daten der „verantwortlichen Stellen“ hatten. Kann nicht ausgeschlossen werden, dass Unbefugte auf Informationen zugreifen konnten, so sollte geprüft werden, um welche Art der Daten es sich handelt. Gelangen personenbezogene Daten an Unbefugte, so sollten, wie bereits erläutert, Betroffene und die Aufsichtsbehörde über die Datenpanne informiert werden. Dieser Informationspflicht muss insbesondere bei besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten und zwar UNVERZÜGLICH (ohne schuldhaftes Zögern) nachgegangen werden.

Ob und inwieweit dieser Informationspflicht nachgegangen werden muss, hängt dabei von den einzelnen Gegebenheiten ab und kann nicht pauschal beantwortet werden. Umso wichtiger ist es einen Datenschutzbeauftragten einzuschalten, damit dieser den Sachverhalt prüfen und die erforderlichen Maßnahmen einleiten kann.

Haben Sie noch Fragen zu Phishing-Angriffen – sowie zum richtigen Verhalten bei einer Datenpanne oder einem Datenverlust? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie Kontakt zu uns auf oder fordern Sie sich direkt ein unverbindliches Datenschutz-Angebot an.

Unser Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

Unsere Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne/n]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Cyberattacke bei eBay – Datenschutzpannen auch in Großunternehmen und Konzernen

ebay-cyberangriff - externer (betrieblicher)Datenschutzbeauftragter

Das US-amerikanische Unternehmen eBay Inc. bzw. Nasdaq: EBAY (eBay) ist Betreiber des weltweit größten Internetauktionshauses. Das Unternehmen wurde –nach eigenen Angaben im Zeitraum Ende Februar – Anfang März 2014- das Opfer einer kriminellen Handlung durch Hackerangriff. Die Angreifer hatten es auf Datensätze, die Namen, Adresse und verschlüsselte Passwörter der Nutzer beinhalten, abgesehen.  Von Unternehmensseite riet man schnellstmöglich zur Passwortänderung. Uns liegt der Schutz der personenbezogenen Daten am Herzen, deshalb haben wir umgehend sämtliche eBay-Passwörter geändert.

ebay-cyberangriff-passwort-aendern - Datenschutzbeauftragten fragen

Die gefährdeten Datensätze seien:

  • Benutzernamen
  • Passwörter
  • E-Mail
  • Adresse
  • Geburtsdatum und
  • Telefonnummern.

Ausgeschlossen wurden Finanzdaten oder weitere personenbezogene Daten der Betroffenen und des gesamten Personenkreises der eBay-Nutzer.

Bis dato liegen keine Hinweise auf kriminelle Zugriffe auf Mitgliedskonten, so auch Konto- und Kreditkarteninformationen oder auf alternative Bezahlmethoden, wie Paypal vor. Die Bekanntgabe erfolgte heute in englischer Sprache auf der Webseite der eBay Inc. unter ebayinc.com.

26.05.2014 – Nachtrag – E-Mail an deutschsprachige Mitglieder “WICHTIG PASSWORTÄNDERUNG”

Heute, mitten in der Nacht, sendete eBay eine Aufforderung zur Passwortänderung an seine Mitglieder. Hierbei wurden keine Anhänge versendet. Löschen Sie daher bitte auf jeden Fall -E-Mails mit Anhang-, da es sich hierbei mit sehr hoher Wahrscheinlichkeit um eine Phishing-Attacke nach dem Hack handelt.

Wenn sich auch Großkonzerne nicht vollkommen vor Datenschutzpannen schützen können, wie sieht es dann in Ihrem Unternehmen aus? Investieren Sie genügend zeitliche und finanzielle Ressourcen in Datenschutz und Datensicherheit? Fragen Sie doch Ihren Datenschutzbeaufragten, wenn Sie denn einen haben…

Fordern Sie schnell Ihr unverbindliches Angebot an.

Die Datenschutzerklärung gemäß § 13 TMG auf Webseiten – ein Buch mit sieben Siegeln?

Welches Unternehmen kann es sich in der heutigen Zeit noch leisten auf eine Webseite zu verzichten? Dabei ist es völlig nebensächlich, ob es sich um eine Internetpräsenz zur reinen Vorstellung des Unternehmens, zu Werbezwecken oder um einen direkten Vertriebskanal, beispielsweise in der Form eines Onlineshops , handelt. Die Frage sollte somit eher heißen: „Warum überhaupt auf eine Webseite verzichten?”? Obwohl der Hintergrund bei Behörden und Vereinen ein anderer ist, verzichten auch sie –wohlwissend- nicht mehr auf eine Darstellung im World Wide Web (www).

Rechtsgrundlagen

Gemäß § 13 Abs. 1 Telemediengesetz (TMG) hat ein Diensteanbieter (Webseitenbetreiber) den Nutzer (Besucher einer Webseite) -sofern nicht bereits erfolgt- verständlich zu informieren über:

  • Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten
  • die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

Dies bedeutet, dass Nutzer einer Webseite -möglichst früh- über den Umgang (Erhebung, Verarbeitung und Nutzung) mit den personenbezogenen Daten informiert werden. Allgemein üblich erfolgt dies durch eine Datenschutzerklärung. Nicht nur dem Nutzer stehen Rechte zu, was ein Gefahrenpotenzial / Risiko für Webseitenbetreiber bedeutet, auch begeht, wer keine angemessene Datenschutzerklärung bereithält, einen Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) und kann abgemahnt werden.

Korrektes Einbinden der Datenschutzerklärung

Anders als bei der Datenschutzerklärung wissen die Verantwortlichen einer Homepage schon länger, dass ein Impressum nach § 5 TMG auf einer Homepage zur Verfügung gestellt werden muss. Natürlich schützt Unwissenheit nicht vor Strafe, binden Sie daher sowohl das Impressum als auch die Datenschutzerklärung gut sichtbar auf Ihrer Homepage ein!

Bestmöglich sollte der Link zum Impressum (grüner bzw. linker Pfeil – siehe Darstellung) direkt sichtbar sein, sobald eine Homepage besucht wird. Dies bedeutet bereits auf der Startseite ohne scrollen und ohne Suche. In Anlehnung an diese Vorgabe, sollte auch der Link zur Datenschutzerklärung direkt zu sehen sein. Idealerweise befinden sich die Verlinkung zur Datenschutzerklärung und zum Impressum -wie hier- direkt nebeneinander (rechter bzw. roter Pfeil – siehe Darstellung).

Datenschutzerklärung Impressum § 13 TMG (Telemediengesetz) , § 5 TMG - Datenschutzbeauftragter

 

Inhalt der Datenschutzerklärung

Wie zuvor erläutert, soll die Datenschutzerklärung dem Nutzer einer Webseite Aufschluss darüber geben, welche Daten auf bzw. mittels der Webseite erhoben, verarbeitet oder genutzt werden.

Nutzung der Webseite

Die Verdeutlichung funktioniert natürlich am besten am praktischen Beispiel.

Auszug der Datenschutzerklärung von Brands Consulting:

„Datenschutz – Nutzung der Webseite

Bei jedem Zugriff auf www.IhreDomain.de werden Daten protokolliert, was auch für den Aufruf von Dateien gilt. Hierbei nutzen wir Ihre IP-Adresse, um Daten zu sammeln, dies geschieht unter anderem über Ihren Browser, Ihren Computer und Ihre auf www.IhreDomain.de besuchten Unterseiten.

Wir verwenden keine erfassten Daten von Ihnen, um Sie persönlichen zu identifizieren, sondern vor dem Hintergrund der Optimierung des Webauftrittes.”

Kommentierung:

Der Nutzer wird hier eindeutig darüber informiert, dass Daten von ihm gesammelt, aber diese lediglich zur Optimierung der Webseite verwendet werden. Gewöhnlich bedeutet dies schlichtweg u. a.: Wie lange halten sich Nutzer auf einer Webseite bzw. Unterseiten auf, welche Seiten besuchen Sie und wie kamen Sie auf die Homepage (Direktzugriff, von einer Suchmaschine wie Google oder über eine verweisende Homepage). Wichtig ist auch der Hinweis, dass kein Bezug zur Person hergestellt wird.

Kommunikation via E-Mail, Kontaktformular, Telefon oder Telefax

Ratsam ist es ebenfalls darüber zu informieren, wo personenbezogene Daten angegeben und übermittelt werden können und was mit diesen Daten geschieht.

Auszug der Datenschutzerklärung von Brands Consulting:

„Datenschutz – Kommunikation via E-Mail, Kontaktformular, Telefon oder Telefax

Sollten Sie mit uns via E-Mail, Telefax, Telefon oder über eines der nutzbaren Kontaktformulare in Verbindung treten, nutzen wir Ihre Angaben zur Kontaktaufnahme und zu Werbezwecken, wie wir sie gemäß Ihrem Wunsch aus Ihrer Anfrage ableiten können. Eine Weitergabe an Dritte erfolgt nicht, es sei denn es besteht eine gesetzliche Verpflichtung hierzu. Der Nutzung Ihrer Angaben können Sie jederzeit widersprechen. Ferner verweisen wir darauf, dass bei der Datenübertragung im Internet (z. B. via E-Mail) Sicherheitslücken auftreten können. Ein lückenloser Schutz vor dem Zugriff durch Dritte ist nicht möglich.”

Kommentierung:

In vorliegendem Auszug wird klar darauf hingewiesen, dass keine Weitergabe der Daten an Dritte erfolgt, es sei denn, dass es hierzu eine gesetzliche Verpflichtung gibt. Eine derartige Pflicht könnte z. B. durch eine Auflage der Finanzbehörden oder bei Straftaten bzw. Verdachtsfällen entstehen.

Erst kürzlich wurde eine Sicherheitslücke beim zuvor als besonders sicheren Verfahren der SSL-Verschlüsselung bekannt. Es empfiehlt sich daher die Nutzer auch über potenzielle Risiken zu informieren. Gemäß dem Hinweis „im Internet ist nichts sicher”.

Nutzung von Webanalysediensten

Durch Webanalysedienste, so auch beim vermutlich führende „Google Analytics”, werden regelmäßig Daten ins Ausland übertragen. Aus der Sicht eines Datenschützers (wie Ihrem Datenschutzbeauftragten) ist dies natürlich als kritisch zu werten. Da Brands Consulting zum Zeitpunkt der Erstellung dieser Abhandlung nicht Google Analytics einsetzt, wurde hierfür der nachfolgende Passus für die Datenschutzerklärung entwickelt:

„Nutzung von Google Analytics

Die Webseite www.IhreDomain.de benutzt den Webanalysedienst „Google Analytics” der Google Inc., durch den sogenannte „Cookies” (kleinere Textdateien) auf Ihrem Computer gespeichert werden. Mittels dieser „Cookies” ist eine Analyse der Benutzung der Webseite möglich. Die durch ein Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden in der Regel an einen Server der Google Inc. in die USA übertragen und dort auch gespeichert.

Im Regelfall wird IP-Adresse von Google innerhalb von Mitgliedsstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR) zuvor gekürzt. In Ausnahmefällen kann Ihre volle IP-Adresse an einen US-Server der Google Inc. übertragen und somit erst in den USA gekürzt werden.

Im Auftrag von www.IhreDomain.de wird die Google Inc. diese Informationen dazu benutzen, um Ihre Webseiten-Nutzung auszuwerten. Diese erhobenen Daten werden nicht mit anderen Daten von Google zusammengeführt.

Sofern Sie keine Speicherung von Cookies wünschen, können Sie dies durch entsprechende Einstellung in Ihrem Browser verhindern. Allerdings weisen wir explizit darauf hin, dass Ihnen in diesem Fall nicht sämtliche Funktionen von www.IhreDomain.de zur Verfügung stehen. Für Fälle, in denen Sie lediglich die Verarbeitung der Daten durch die Google Inc. verhindern möchten, können Sie auf der nachfolgenden Webseite ein sogenanntes Browser-Plugin downloaden und installieren: http://tools.google.com/dlpage/gaoptout?hl=de “

Nutzung von Webseite-Werbediensten

Auch bei den Webseiten-Werbediensten werden regelmäßig Daten ins Ausland übertragen. Somit sollte auch hier eine Regelung getroffen und ein Betroffener (Nutzer der Webseite) informiert werden. Der vermutlich weltweit führende in diesem Bereich ist Google AdSense. Unter Google AdSense ist ein Onlinedienst der Google Inc. zu verstehen, der Werbung auf Websites außerhalb des Google-Netzwerks darstellt. Webseitenbetreiber können hierüber auf Ihren Webseiten Werbung von anderen Webseitenbetreibern veröffentlichen. Diejenigen, die Werbung inserieren, zahlen dafür Geld und diejenigen, die Werbung auf der „eigenen” Homepage zulassen, erhalten dafür entsprechend eine Vergütung.

Aus der Sicht des Datenschützers ist selbstverständlich auch diese Übertragung der Daten als kritisch zu werten. Da Brands Consulting zum Zeitpunkt der Erstellung dieser Abhandlung Google AdSense nicht einsetzt, wurde hierfür der nachfolgende Passus entwickelt:

Nutzung von Google AdSense

Die Webseite www.IhreDomain.de benutzt den Webdienst „Google AdSense” der Google Inc., durch den sogenannte „Cookies” (kleinere Textdateien) auf Ihrem Computer gespeichert werden. Mittels dieser „Cookies” ist eine Analyse der Benutzung der Webseite möglich. Ergänzend verwendet AdSense sogenannte „Web Beacons”, dies sind unsichtbare Grafiken, durch die Informationen über den Besucherverkehr auf www.IhreDomain.de ausgewertet werden können.

Die Informationen der Cookies und Web Beacons über Ihre Benutzung von www.IhreDomain.de sowie Ihre IP-Adresse werden an einen US-Server der Google Inc. übertragen und dort gespeichert. Diese Informationen können an Vertragspartner der Google Inc. weitergegeben werden. Google wird hierbei Ihre IP-Adresse nicht mit anderen Daten von Google zusammengeführt. Sofern Sie keine Speicherung von Cookies wünschen, können Sie dies durch entsprechende Einstellung in Ihrem Browser verhindern. Allerdings weisen wir explizit darauf hin, dass Ihnen in diesem Fall nicht sämtliche Funktionen von www.IhreDomain.de zur Verfügung stehen.

Durch die Nutzung www.IhreDomain.de erklären Sie sich mit der Erhebung, Verarbeitung und Nutzung Ihrer Daten durch Google in der zuvor benannten Art und Weise sowie zu dem zuvor beschriebenem Zweck einverstanden.

Auskunftsrecht

Gemäß § 34 Abs. 1 BDSG hat die verantwortliche Stelle (also Sie als Webseitenbetreiber bzw. Ihr Unternehmen) dem Betroffenen Auskunft zu erteilen über:

  • die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen
  • den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werdenden
  • Zweck der Speicherung.

Auszug der Datenschutzerklärung von Brands Consulting:

„Auskunftsrecht

Selbstverständlich können Sie jederzeit im Rahmen Ihres Auskunftsrechtes erfahren, welche Daten wir über Sie und zu welchem Zweck gespeichert haben. Sofern Sie hiervon oder von Ihrem Recht auf Löschung bzw. Sperrung Gebrauch machen, so bitten wir Sie uns dies schriftlich per Post mit einer ausreichenden Legitimation mitzuteilen. Die Postanschrift finden Sie im Impressum.”

Kommentierung:

Der Vorliegende Passus wurde somit aufgenommen, um den Besucher auf das Auskunftsrecht hinzuweisen. Ergänzend weiß der Leser der Datenschutzerklärung direkt, wie er seine Anfrage zu stellen hat. Aus der Sicht des Unternehmens stellt dies eine Arbeitserleichterung dar, da der Prozess direkt aufgezeigt und gleichzeitig überprüft werden kann, ob es sich um den legitimen Inhaber der personenbezogenen Daten (Besuch der Webseite) handelt. Auch hier zeigt sich wieder, dass auch im Datenschutz umsetzbare Prozesse geschaffen und gelebt werden sollten.

Externe Links und Informationen auf der Webseite

Es ist nicht unüblich, dass von Webseiten auf andere verlinkt wird.

Auszug der Datenschutzerklärung von Brands Consulting:

Externe Links und Informationen auf der Webseite

Für externe Links und die dadurch zugänglich gemachten Angebote Dritter übernehmen wir keine Haftung. Ferner weisen wir darauf hin, dass die Informationen auf www.IhreDomain.de ausschließlich der Informationsbeschaffung dienen und keinerlei rechtliche Bindungswirkung erzielen.”

Kommentierung:

Es ist völlig nebensächlich, ob eine Webseite zum Beispiel aus Gründen der Suchmaschinenoptimierung (SEO) oder auch weil die Rechte an einem Beitrag beim Betreiber der anderen Seite liegen, verlinkt wird. Festzuhalten ist nur, dass man sich von den verlinkten Seiten insofern abgrenzen sollte als das man hierfür keine Haftung übernimmt. Gewöhnlich besteht hier auch keine Möglichkeit zur Einflussnahme. Der Hinweis, dass durch die Inhalte keine rechtliche Bindungswirkung erzielt werden soll und diese lediglich der Informationsbeschaffung dienen, ergibt sich daraus, dass Informationen auf einer Homepage gewöhnlich keine gezielte Einzelberatung ersetzen. Für die Mehrheit wird daher der Auszug wie folgt abgeändert:

Regelmäßig praxistauglicher Auszug bzw. Abänderung für Webseiten außerhalb der Beratungsbranche / für Unternehmen ohne die Notwendigkeit zur Produkt- oder / Dienstleistungsberatung:

Externe Links

Für externe Links und die dadurch zugänglich gemachten Angebote Dritter übernehmen wir keine Haftung.”

Weitere Passus in Datenschutzerklärungen

Abschließend und für alle Fälle kann man eine Vorlage für eine passgenaue Datenschutzerklärung schwer erstellen. Hier ist es notwendig eine gezielte Prüfung auf Datenschutzkonformität durchzuführen. Dies gilt zum Beispiel beim Einsatz von:

  • Plugins, wie Facebook oder Google+1 oder Twitter
  • Online-Bewerbungssystemen

Dies begründet sich z. B. durch den Einsatz der 2-Klick-Variante bei Facebook für mehr Datenschutz.

Sprechen Sie dazu Ihren Datenschutzbeauftragten an. Gut ist, wenn Sie einen haben und auch wissen,  wer es ist und dieser -natürlich- tätig wird. Brands Consulting bietet für Datenschutzbeauftragte Unterstützungen in der Form von Beratungsleistungen an, außerdem stellen wir gerne den Datenschutzbeauftragten für Ihr Unternehmen, Ihren Verein oder Behörde.

Datenschutzerklärung für Ihre Homepage

Mit Verlinkung („Follow-Link”) auf Brands Consulting dürfen Sie die die nachfolgende Datenschutzerklärung gerne für Ihre Homepage verwenden. Ersetzten Sie dabei bitte www.IhreDomain.de durch Ihre Webseitenadresse/n.

Datenschutzerklärung in Textform

Datenschutz – Nutzung der Webseite

Bei jedem Zugriff auf www.IhreDomain.de werden Daten protokolliert, was auch für den Aufruf von Dateien gilt. Hierbei nutzen wir Ihre IP-Adresse, um Daten zu sammeln, dies geschieht unter anderem über Ihren Browser, Ihren Computer und Ihre auf www.IhreDomain.de besuchten Unterseiten.

Wir verwenden keine erfassten Daten von Ihnen, um Sie persönlichen zu identifizieren, sondern vor dem Hintergrund der Optimierung des Webauftrittes.

Datenschutz – Kommunikation via E-Mail, Kontaktformular, Telefon oder Telefax

Sollten Sie mit uns via E-Mail, Telefax, Telefon oder über eines der nutzbaren Kontaktformulare in Verbindung treten, nutzen wir Ihre Angaben zur Kontaktaufnahme und zu Werbezwecken, wie wir sie gemäß Ihrem Wunsch aus Ihrer Anfrage ableiten können. Eine Weitergabe an Dritte erfolgt nicht, es sei denn es besteht eine gesetzliche Verpflichtung hierzu. Der Nutzung Ihrer Angaben können Sie jederzeit widersprechen. Ferner verweisen wir darauf, dass bei der Datenübertragung im Internet (z. B. via E-Mail) Sicherheitslücken auftreten können. Ein lückenloser Schutz vor dem Zugriff durch Dritte ist nicht möglich.

Nutzung von Google Analytics

Die Webseite www.IhreDomain.de benutzt den Webanalysedienst „Google Analytics” der Google Inc., durch den sogenannte „Cookies” (kleinere Textdateien) auf Ihrem Computer gespeichert werden. Mittels dieser „Cookies” ist eine Analyse der Benutzung der Webseite möglich. Die durch ein Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden in der Regel an einen Server der Google Inc. in die USA übertragen und dort auch gespeichert.

Im Regelfall wird IP-Adresse von Google innerhalb von Mitgliedsstaaten der Europäischen union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EWR) zuvor gekürzt. In Ausnahmefällen kann Ihre volle IP-Adresse an einen US-Server der Google Inc. übertragen und somit erst in den USA gekürzt werden.

Im Auftrag von www.IhreDomain.de wird die Google Inc. diese Informationen dazu benutzen, um Ihre Webseiten-Nutzung auszuwerten. Diese erhobenen Daten werden nicht mit anderen Daten von Google zusammengeführt.

Sofern Sie keine Speicherung von Cookies wünschen, können Sie dies durch entsprechende Einstellung in Ihrem Browser verhindern. Allerdings weisen wir explizit darauf hin, dass Ihnen in diesem Fall nicht sämtliche Funktionen von www.IhreDomain.de zur Verfügung stehen. Für Fälle, in denen Sie lediglich die Verarbeitung der Daten durch die Google Inc. verhindern möchten, können Sie auf der nachfolgenden Webseite ein sogenanntes Browser-Plugin downloaden und installieren: http://tools.google.com/dlpage/gaoptout?hl=de

Nutzung von Google AdSense

Die Webseite www.IhreDomain.de benutzt den Webdienst „Google AdSense” der Google Inc., durch den sogenannte „Cookies” (kleinere Textdateien) auf Ihrem Computer gespeichert werden. Mittels dieser „Cookies” ist eine Analyse der Benutzung der Webseite möglich. Ergänzend verwendet AdSense sogenannte „Web Beacons”, dies sind unsichtbare Grafiken, durch die Informationen über den Besucherverkehr auf www.IhreDomain.de ausgewertet werden können.

Die Informationen der Cookies und Web Beacons über Ihre Benutzung von www.IhreDomain.de sowie Ihre IP-Adresse werden an einen US-Server der Google Inc. übertragen und dort gespeichert. Diese Informationen können an Vertragspartner der Google Inc. weitergegeben werden. Google wird hierbei Ihre IP-Adresse nicht mit anderen Daten von Google zusammengeführt. Sofern Sie keine Speicherung von Cookies wünschen, können Sie dies durch entsprechende Einstellung in Ihrem Browser verhindern. Allerdings weisen wir explizit darauf hin, dass Ihnen in diesem Fall nicht sämtliche Funktionen von www.IhreDomain.de zur Verfügung stehen.

Durch die Nutzung www.IhreDomain.de erklären Sie sich mit der Erhebung, Verarbeitung und Nutzung Ihrer Daten durch Google in der zuvor benannten Art und Weise sowie zu dem zuvor beschriebenem Zweck einverstanden.

Auskunftsrecht

Selbstverständlich können Sie jederzeit im Rahmen Ihres Auskunftsrechtes erfahren, welche Daten wir über Sie und zu welchem Zweck gespeichert haben. Sofern Sie hiervon oder von Ihrem Recht auf Löschung bzw. Sperrung Gebrauch machen, so bitten wir Sie uns dies schriftlich per Post mit einer ausreichenden Legitimation mitzuteilen. Die Postanschrift finden Sie im Impressum.

Externe Links

Für externe Links und die dadurch zugänglich gemachten Angebote Dritter übernehmen wir keine Haftung.

Diese Datenschutzerklärung wurde zur Verfügung gestellt durch Brands Consultingexterner Datenschutzbeauftragter – die zugehörige Webseite ist www.Brands-Consulting.eu .

Datenschutzerklärung als HTML-Code

Sie möchten lieber den HTML-Code für Ihre Webseite? Senden Sie uns einfach eine kurze E-Mail, in der Sie uns Ihre Webseite/n mitteilen – bestmöglich auch Ihre Telefonnummer. Wir setzen uns schnellstmöglich mit Ihnen in Verbindung, damit Sie das gewünschte Ergebnis (fertige Datenschutzerklärung) einbinden können.

 

Ihr Weg zum Angebot

Wir übernehmen sehr gerne die Funktion des externen (betrieblichen) Datenschutzbeauftragten für Ihre Firma, Behörde oder Ihren Verein. Sprechen Sie uns unverbindlich an!

Variante 1 – persönlicher Kontakt auf Wunsch mit Rückrufservice

Nehmen Sie direkten Kontakt mit Ihrem persönlichen Ansprechpartner auf, ganz nach Ihren Wünschen auch mit Rückrufservice.

Variante 2 – Fragebogen ausfüllen, übersenden, Angebot erhalten

Als Alternative zum persönlichen Kontakt haben Sie die Möglichkeit den Fragebogen zum Datenschutz-Angebot ausgefüllt an uns zu übersenden. Wir senden Ihnen umgehend Ihr unverbindliches Angebot zu und setzen uns für Rückfragen direkt mit Ihnen in Verbindung.