> externer Datenschutzbeauftragter > internationaler Datentransfer / Datenschutz

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Ob die Amazon Cloud via Prime wirklich kostenlos ist und wieso auch Prime-Kunden das Thema „Cloud Datenschutz“ bei Amazon-Drive berücksichtigen sollten

Cloud DatenschutzAnbieter von Clouds, insbesondere Storage Clouds, erfreuen sich immer größerer Beliebtheit, wobei dies eher nicht für den Cloud Datenschutz gilt, da diese Thematik sowohl von den Anbietern als auch von den Nutzern eher stiefmütterlich behandelt wird. Durch die zunehmende Digitalisierung greifen wir immer seltener auf Papier und Stift zurück, wir erfassen unsere Unterlagen lieber direkt in digitaler Form. Es ist uns möglich überall Videos und Fotos zu erstellen, digital zu speichern und Musik herunterzuladen. Diese Vielzahl an Fotos, Videos und anderen Dateien führt allerdings zu einem für uns ziemlich nervtötenden Problem, dass meistens mit dem Hinweis: „Ihr Speicher ist voll!“ beginnt.  Viele Verbraucher greifen aus diesem Grund auf Cloud-Lösungen zurück, da diese in den meisten Fällen – abhängig vom Anbieter und dem erforderlichen Speicherplatz – vermeintlich kostenlos sind bzw. erscheinen. Des Weiteren können die Verbraucher – je nach Anbieter – von unterschiedlichen Endgeräten und völlig ortsunabhängig auf die Daten in der Cloud zugreifen. Ein weiterer Vorteil ist, dass die Handhabung ziemlich einfach ist und der Zugriff auf Dateien, Bilder etc. sogar anderen Personen erlaubt werden kann. Kurzer Exkurs: Beim Cloud-Einsatz oder der Nutzung sonstiger IT-Systeme in Unternehmen, Behörden oder sonstigen verantwortlichen Stellen werden in derartigen Fällen geeignete Zugriffsrechte respektive Benutzerrollen / Rollenverzeichnisse abgestimmt und definiert.

Neben den zahlreichen Vorteilen führt Cloud Storage jedoch zu zahlreichen Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter informiert Sie im Folgenden über die Risiken für Privatpersonen und „verantwortliche Stellen“ und erklärt, worauf sie – ganz besonders – achten sollten.

„ Cloud Datenschutz “ – die Risiken für Privatpersonen

Für Privatpersonen sind die Risiken meist überschaubar, da sie ihre eigenen privaten Daten in eine Cloud auslagern, allerdings sollten sich auch Privatpersonen bewusst machen, dass sie dem Cloud-Anbieter zumindest theoretischen Zugriff auf ihre privaten Informationen, Videos und Bilder gewähren, EGAL WIE PRIVAT DIESE SIND. Für Prime-Anbieter mag das Angebot von Amazon zwar ansprechend sein, da die Nutzung der Amazon Cloud als Zusatz für Fotos unbegrenzt und für weitere Dateien bis zu 5 GB kostenlos ist, allerdings sollten die Nutzer nicht vergessen, dass sie für den Speicherplatz möglichweise mit ihren Daten und noch viel schlimmer mit ihrer Privatsphäre bezahlen. Zudem sollte beachtet werden, das große Unternehmen ihre Strategie schnell ändern können, vor allem, wenn sie sehen, dass ein gewisses „Abhängigkeitsverhältnis“ der Nutzer entstanden ist. Das beste –erst jüngst aufgetretene – Beispiel ist die Änderung der Nutzungsvereinbarung von WhatsApp, die eine Übermittlung personenbezogener Daten an Facebook erlauben soll. Bei der Übernahme vor etwa zwei Jahren wurde dies noch vollkommen ausgeschlossen. Möchten Sie mehr zu diesem Thema erfahren, dann lesen Sie unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“. Auch bei Amazon kann deshalb nicht ausgeschlossen werden, dass eine zukünftige Änderung der Strategie weitere Risiken für die Nutzer hervorruft. Nutzer sollten sich daher immer die Frage stellen: „Wie wichtig sind mir die Daten und wie schlimm wäre es, wenn ein Dritter diese (privaten) Daten sehen würde?“

„Cloud Datenschutz“ – die Risiken für „verantwortliche Stellen“

Auch für „verantwortliche Stellen“ spielt das Thema „ Cloud Datenschutz “ im Zusammenhang mit Amazon Prime eine große Rolle. Zwar bietet Amazon derzeit kein Prime für Unternehmen, Behörden oder sonstige „verantwortliche Stellen“, allerdings ist nicht auszuschließen, dass ihre Mitarbeiter Prime-Kunden sind und kostenlos von der Cloud-Lösung Gebrauch machen könnten. Auch Vereine sind zu den sogenannten „verantwortlichen Stellen“ zu zählen und müssen sich daher an das Bundesdatenschutzgesetz halten.  Doch gerade in Vereinen oder Stiftungen dürfte das Risiko einer Nutzung von „kostenlosen Diensten“ als besonders hoch einzustufen sein, da möglichst keine Kosten verursacht werden sollen. Dies gilt zwar auch für Unternehmen oder Behörden, die Freigabeprozesse sind hier allerdings regelmäßig zumindest etwas besser.

Die Nutzung von Cloud-Lösungen ohne die Kenntnis der Geschäftsleitung, der IT-Abteilung und des Datenschutzbeauftragten bzw. sonstiger Beratungs- und Entscheidungsträger fällt unter den Oberbegriff „Schatten-IT“ und kann zu erheblichen Gefahren für „verantwortliche Stellen“ führen. Möchten Sie mehr zum Thema „Schatten-IT“ erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Die Nutzung von Cloud-Diensten, wie „Amazon Drive“, führt allerdings nicht nur zu Datenschutz-Gefahren und Datenschutz–Risiken, wenn die Mitarbeiter diese heimlich nutzen. Diese Datenschutzbedenken können auch bestehen, wenn die „verantwortliche Stelle“ über die Nutzung informiert wurde. Der Grund für das hohe Risiko für eine Organisation liegt in der Datenübermittelung. Werden personenbezogene Daten in eine Cloud ausgelagert, so reicht für die Datenübermittlung bereits aus, dass der Cloud-Anbieter theoretisch auf die Daten zugreifen kann. Eine Datenerhebung, -verarbeitung und -nutzung darf, laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG), allerdings nur erfolgen, wenn eine gesetzliche Grundlage oder informierte Einwilligungen der Betroffenen dies erlauben.

Werden personenbezogene Daten an einen Cloud-Anbieter innerhalb der EU/des EWR übermittelt, erfolgt dies meistens im Rahmen einer Auftragsdatenverarbeitung, da die Cloud-Anbieter die Daten ausschließlich nach Weisung der „verantwortlichen Stelle“ (Cloud-Nutzer) verarbeiten dürfen. Eine Auftragsdatenverarbeitung gemäß § 11 BDSG wird als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht erforderlich ist.

Anders ist es allerdings bei Cloud-Anbietern außerhalb der EU/des EWR, so z. B. bei Amazon, da die Datenübermittlung auch als solche eingestuft wird. Eine Übermittlung an einen Cloud-Anbieter erfordert eine Rechtsgrundlage oder die informierte Einwilligung. Zudem müssen sich „verantwortliche Stellen“ darauf einstellen, dass sie ein „angemessenes Datenschutzniveau“, mittels EU-Standardvertragsklauseln, Binding Corporate Rules oder anderer vertraglicher Grundlagen und Datenschutz-Maßnahmen, herstellen müssen.  Der Grund ist, dass in den sogenannten Drittländern (außerhalb EU/des EWR) i. d. R. kein „angemessenes Datenschutzniveau“ herrscht. Dies führt für „verantwortliche Stellen“ zu einem erheblichen (Mehr-)Aufwand und zu zahlreichen Risiken, zu deren Reduzierung ein fachkundiger und zuverlässiger externer Datenschutzbeauftragter beitragen kann.

Maßnahmen, die „verantwortliche Stellen“ ergreifen sollten, um Risiken und Gefahren rund um „Cloud Datenschutz“ zu minimieren, sind u. a.:

  • Cloud-Anbieter innerhalb der EU/des EWR wählen,
  • Verträge zur Auftragsdatenverarbeitung mit den Cloud-Anbietern abschließen,
  • Cloud-Anbieter ausreichend prüfen bzw. durch einen Datenschutzbeauftragten prüfen lassen,
  • Mitarbeiter schulen und sensibilisieren, da der Faktor „Mensch“ im Zusammenhang „Cloud Datenschutz“ die größte Rolle spielt,
  • Klare Regelungen innerhalb der „verantwortlichen Stelle“ mittels Betriebsvereinbarung, Dienstvereinbarungen oder Richtlinien treffen.

Haben Sie weitere Fragen zu der Thematik „Cloud Datenschutz“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Pokémon Go vs. Sicherheit – Gratis-Apps gefährden Ihren Datenschutz (Bezahlung durch personenbezogene Daten) und Menschen im Straßenverkehr

PokéballDas Software-Unternehmen „Niantic“ verwandelte unsere Straßen, durch die Veröffentlichung der kostenlosen Applikation (App) „Pokémon Go“, über Nacht in große Spielflächen.  „Pokémon Go“ hat zu einem regelrechten Hype geführt, da das Spiel, anderes als in den 90-er Jahren, die Monsterjagd im „Real Life“ (echte Welt) ermöglicht und zudem sowohl für Android als auch Apples iOS-Geräte kostenlos erscheint. Das Spiel lässt die Herzen vieler Gamer auf der ganzen Welt höherschlagen, wobei der Blick durch die rosarote Brille zahlreiche Risiken, insbesondere aus Datenschutzsicht, nicht erkennen lässt. Selten wurde der Eingriff in die Privatsphäre in solch einer Form ignoriert und bejubelt, wie dies derzeit durch die zahlreichen Pokémon-Fans erfolgt. Ihr externer Datenschutzbeauftragter / Datenschutzberater informiert über die Risiken und Gefahren, die von vermeintlich „kostenlosen“ Apps ausgehen.

Wie funktioniert „Pokémon Go“?

Um „Pokémon Go“ spielen zu können, sind nur wenige Schritte erforderlich. Hat man die Applikation im App-Store (iTunes / Google Play Store)  heruntergeladen, so muss man sPikachu mit Hundich lediglich mit seinem Google-Konto anmelden und schon kann der Nutzer auf Monsterjagd gehen. Alternativ besteht die Möglichkeit, dass sich der Nutzer ein Trainer-Club-Konto anlegt, indem er sich auf der Pokémon-Webseite mit seiner E-Mail-Adresse anmeldet. Die Verschmelzung zwischen der realen und der virtuellen Welt gelingt, indem der Nutzer der App den Zugriff auf seinen Standort und die Kamera gewährt. Mittels „Pokémon-Go“ können nicht nur Pokémon gesucht und gefangen werden, sondern Kämpfe zwischen Pokémon-Jägern ausgetragen, Pokémon-Eier ausgebrütet und Items an sogenannten Pokéstops gesammelt werden.

Neben moralischen Fragen, ob beispielsweise das Gelände des Konzentrationslagers Auschwitz-Birkenau als „Spielwiese“ angemessen ist, ereigneten sich auch einige Verkehrsunfälle. Mitten in das Spielgeschehen vertieft, kletterten bereits Gamer über fremde Gartenzäune, was zur Vermutung von Überfällen führte, bei deren vermeintlicher Abwehr sogar Baseballschläger zum Einsatz kamen. Somit könnte die Applikation zu erheblichen (Datenschutz-)Risiken führen.

Gefahren für den Datenschutz bei Pokemon Go?

Die Frage, ob „Pokémon Go“ Risiken für den Datenschutz darstellt, sollte bejaht werden, da die Nutzer dem Hersteller der Software zahlreiche Zugriffsrechte einräumen. Verlangte das Software-Unternehmen „Niantic“ bei der Anmeldung der iPhone-Nutzer zunächst den vollen Zugriff auf die Google-Konten (einschließlich z. B: Google Drive, E-Mail-Account „Gmail“), so räumten sie nach steigender Kritik einen Fehler ein und begrenzten den Zugriff auf die Google-Accounts.

Schenkt man der Aussage des Herstellers, dass es sich um ein Versehen gehandelt hat und die Zugriffsrechte eingeschränkt wurden, Vertrauen, so verbleiben nichtsdestotrotz weitere Risiken. Die Hersteller versuchen sich neben der, für die Funktion der App, notwendigen Zugriffsrechte auf den Standort und die Kamera, weiteren Zugriff auf Medien, Fotos, Dateien und Kontakte zu verschaffen.

Mit jeder Nutzung der App werden die Informationen, die mit dem Google-Konto oder der E-Mail-Adresse verknüpft werden, nach und nach verdichtet, wodurch ganze Benutzerprofile erstellt werden könnten. Der Gamer gibt somit durch die Nutzung von „Pokémon Go“ mit jedem Schritt ein Stück von seiner Privatsphäre auf und trägt aktiv zum „gläsernen Menschen“ bei.

Eine weitere Problematik ist, dass die gesammelten personenbezogenen Daten nicht in Deutschland bzw. in der europäischen Union oder des europäischen Wirtschaftsraums verarbeitet werden, sondern eine Übermittlung an die Server in den USA erfolgt. Laut Gesetzgeber handelt es sich um ein Drittland, dass kein angemessenes Datenschutzniveau besitzt, wobei das Safe-Harbor-Abkommen, auf das sich „Niantic“ in der Datenschutzverpflichtung bei der alternativen Anmeldung mit dem Pokémon-Club-Konto bezieht, ungültig ist.  An dieser Stelle der kleine ergänzende und entscheidende Hinweis für alle, die etwas tiefer in der Materie sind: Das Safe-Harbor-Abkommen wurde bereits im Oktober durch den Europäischen Gerichtshof (EuGH) gekippt.  Gestützt auf dieses Abkommen darf keine Übermittlung mehr stattfinden. Derartige Entwicklungen gelten auch für App-Entwickler / Spiele-Entwickler und dürfen nicht außer Acht gelassen werden.

Zudem wird in der „Pokémon Go“-Datenschutzrichtlinie erläutert, dass sich „Niantic“ das Recht einräumt, personenbezogene Daten ggf. an die „The Pokémon Company“ und die „The Pokémon Company International“ sowie an die Regierung und an die Strafverfolgungsbehörden zu übermitteln.

Können Privatpersonen noch selbst über die Weitergabe ihrer Daten entscheiden, liegt in Unternehmen, Vereinen, Behörden etc., die (Haupt-)Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten bei der “verantwortlichen Stelle“. Stellt eine „verantwortliche Stelle“ dienstliche Mobiltelefone zur privaten Nutzung zur Verfügung oder erlaubt im Rahmen von Bring Your Own Device, kurz BYOD, das Arbeiten mit privaten Smartphones, so könnte diese ebenfalls mit „Pokémon Go“ oder anderen (kostenlosen) Apps konfrontiert werden.

Welche Risiken ergeben sich für „verantwortliche Stellen“?

Erhebt, verarbeitet oder nutzt eine „verantwortliche Stelle“ personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben.

Erlaubt der Arbeitgeber seinen Mitarbeitern die private Nutzung von dienstlichen Mobiltelefonen, so neigen Mitarbeiter häufiger zur Installation von Apps, wie „Pokémon-Go“ oder „WhatsApp“, die sie privat nutzen möchten. Bei einer erlaubten Verwendung von privaten Endgräten zu dienstlichen Zwecken kann ebenfalls nicht ausgeschlossen werden, dass sich „risikobehaftete“ Applikationen auf den Mobiltelefonen befinden. Die Vermischung zwischen Daten und Programmen, die sowohl dienstlicher als auch privater Natur sind, kann zu vielen Problemen und Risiken für „verantwortliche Stellen“ führen.

Befinden sich auf den Endgeräten dienstliche Informationen, wie Kontaktdaten von Kunden und Ansprechpartnern der „verantwortlichen Stelle“, und ein Mitarbeiter erlaubt einer App, wie „Pokémon Go“ den Zugriff auf die Kontaktdaten, so dürfte bereits von einer Datenübermittlung ausgegangen werden. Diese Übermittlung benötigt, wie bereits erläutert, eine Rechtsgrundlage oder eine (freiwillige) informierte Einwilligung, die die Übermittlung erlauben. Zudem müsste im Fall von „Pokémon Go“ sowie im Rahmen von „WhatsApp“ ein angemessenes Datenschutzniveau hergestellt werden, da in beiden Fällen eine Übermittlung an Server in den USA (Drittland) erfolgt. Möchten Sie mehr über die Risiken von „WhatsApp“ erfahren, dann lesen Sie doch unsere Beiträge „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“.

Wie können sich Privatpersonen und „verantwortliche Stelle“ schützen?

Privatpersonen und „verantwortlichen Stellen“ sollte klar sein, dass insbesondere kostenlose Apps in den meisten Fällen „Datenkraken“ sind, die zwar kein Geld kosten, allerdings bezahlen Nutzer häufig mit ihrer Privatsphäre und ihren persönlichen Daten (sogenannte personenbezogene Daten). Aus diesem Pokémon Go DatenschutzGrund sollte bewusster mit der Installation von Applikationen und mit der Vergabe von Zugriffsrechten umgegangen werden.

Im Fall von „Pokémon Go“ hat der Nutzer die Möglichkeit bereits im Anmeldeverfahren den Zugriff auf Kontakte, Medien und Dateien zu verweigern. Nutzen Sie diese Möglichkeit also!Datenschutz bei Pokemon Go

Zudem können Pokémon-Fans sowohl mit einem Android-Gerät als auch mit einem iPhone Pokémon Go Datenschutzdie Zugriffsrechte derPokemon Go Datenschutz Applikation unter den Datenschutz-Einstellungen einsehen und einschränken. In vielen Fällen verlieren die Apps durch die Einschränkung der Zugriffsrechte allerdings an Komfort und Benutzerfreundlichkeit, wie im Fall von „WhatsApp“. Wird der Zugriff auf die Kontakte verweigert, so können die Rufnummern nicht synchronisiert werden und der „WhatsApp“-Nutzer muss diese gesondert eintragen.

„Verantwortlichen Stellen“ ist dringendst anzuraten, eine Privatnutzung von dienstlichen Mobiltelefonen zu untersagen. Möchte oder kann die „verantwortliche Stelle“ dies nicht, so sollten die Mitarbeiter zum richtigen Umgang mit personenbezogenen Daten geschult und zudem sollten klare Vereinbarungen, mittels Richtlinie oder Betriebsvereinbarung, geschlossen werden. Des Weiteren ist der Einsatz eines Mobile-Device-Management-Systems (MDM), um dienstliche Mobiltelefone besser verwalten zu können und Datenschutz-Risiken –auch bei privater Nutzung- zu minimieren, zu empfehlen.

Wie es mit „Pokémon Go“ weitergeht, bleibt abzuwarten, wobei die Hysterie zur Gamescom im August 2016 nochmals zunehmen könnte.  Viele Pokémon-Fans spekulieren bereits, ob zur Gamescom eine große Bombe in Form von „legendären Pokémon“, die man in „freier Wildbahn“ nicht findet, platzen soll. Sollten sich diese Gerüchte bestätigen, dann würde dies den Kampf der „Pokémon-Trainer“ auf ein neues Level katapultieren und das Thema Datenschutz weiter zurückdrängen.

Möchten Sie mehr zu diesem Thema erfahren? Setzen Sie bereits private Mobiltelefone ein oder erlauben Sie eine dienstliche Nutzung der privaten Endgeräte? Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten? Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„Hörst du mich oder lauscht du schon?“ – Auswirkungen von Alexa, Siri und Google auf den Datenschutz

Der gläserne Mensch

„Wie wird das Wetter morgen in Berlin?“, „Suche im Internet nach Datenschutz!“ oder „Ruf Mama an!“  sind Fragen oder Befehle, die wir alltäglich in unsere Smartphones reinsprechen. Allerdings fragen sich nur die Wenigsten, was mit den integrierten Mikrofonen geschieht, wenn wir nicht mit unseren „kleinen Helfern“ kommunizieren. Aus diesem Grund ist es kaum verwunderlich, dass Google und Amazon für ihre neusten Erfindungen, „Google Home“ und „Amazon Echo“, viel Zuspruch erhalten haben. Neben Google und Amazon, die ihre Produkte bereits vorgestellt bzw. auf den Markt gebracht haben, plant auch Apple mit „Siri“, die Eroberung der Wohnzimmer.

Die Audioanlagen mit integrierten Mikrofonen sollen als alltägliche Helfer dienen. Mit Hilfe dieser Anlagen können wir nicht nur erfragen, wie das Wetter wird oder wie lange unser Supermarkt geöffnet hat, sondern auch Nachrichten versenden, Reservierungen verschieben, Einkaufslisten schreiben, Playlisten auf allen WLAN-Lausprechern des Hauses hören oder einen Film abspielen. Zudem soll es uns möglich sein, das Licht ein- bzw. auszuschalten oder die Raumtemperatur zu regulieren. Die zahlreichen Funktionen sollen uns den Alltag vereinfachen, allerdings sollte nicht vergessen werden, dass wir für den Komfort womöglich mit unseren Daten zahlen. Wenn die Vielzahl an Informationen gesammelt, gespeichert und verknüpft wird, werden wir dann nicht zu „gläsernen Menschen“ und welche Auswirkungen haben die Assistenten „Alexa“, „Siri“ und „Google“ auf den Datenschutz?

Wieso sind Amazon Echo, Google Home und Apples Siri so attraktiv?

Um die intelligenten Anlagen zu verwenden, benötigt der Endverbraucher nicht viel IT-Know-how, denn um die Helfer zu aktivieren, reichen die Aktivierungswörter, „Alexa“ für „Amazon Echo“, „Ok Google“ für „Google Home“ und die, noch nicht vorgestellte, Anlage von Apple wird voraussichtlichen wieder auf „Hey Siri“ hören.

Damit „Amazon Echo“, das einzige Gerät, dass bereits im Handel in den USA erhältlich ist, funktioniert, sollte es mit dem WLAN verbunden werden. Dies erfolgt, indem „Amazon Echo“ zunächst ein eigenes WLAN erstellt, in das sich der Nutzer mit seinem Smartphone einwählen kann. Nach diesem Schritt ist ein Zugriff auf „Amazon Echo“ sowie das Anpassen des WLANs und weiterer Einstellungen möglich. Des Weiteren kann die Anlage mit anderen Geräten, die bereits vernetzt sind, gekoppelt werden. Die Vernetzung von Geräten im Haus und die Fernsteuerung mittels Smartphones, Tablets oder anderen Endgeräten, ist bekannt unter dem Begriff „Smart Home“. Für die intelligente Haussteuerung gibt es eine Vielzahl an Anbietern, die eine Steuerung von Heizungen, Fenstern, Türen, Rollläden etc. ermöglichen.

Darüber hinaus können Verbraucher in den USA über „Amazon Echo“, Dienstleistungen des Taxi-Konkurrenten „Uber“, der Pizzadienste „Dominos“ und des Streaming-Dienstes „Spotify“ nutzen.  Die Amazon-Assistentin „Alexa“ soll die Verbraucher zudem bei Amazon-Online-Bestellungen unterstützen. Eine weitere Kooperation ist Amazon mit Ford eingegangen. Dies führt dazu, dass Echo-Nutzer, mittels In-Car-Systems „Ford Sync“, Geräte im Haus aus dem Fahrzeug steuern können und umgekehrt. Zum Beispiel kann die Raumtemperatur für Zuhause aus dem Auto reguliert und umgekehrt die Tank-Reichweite von Zuhause erfragt werden.

„Google Home“ soll ebenfalls über eine Smart-Home-Anbindung verfügen. Zudem soll „Google Home“ eine Vielzahl an Apps, wie WhatsApp, MyTaxi, Ticketmaster, OpenTable etc., unterstützen, wodurch die Nutzer Tickets erwerben, Tische reservieren und Nachrichten schreiben können. „Google Home“ ist eine Erweiterung von „Google Now“, die zukünftig die Wohnzimmer erobern soll.

Bezüglich der „Haushaltshilfe“ von Apple gibt es derzeit keine konkreten Informationen, allerdings dürfte Apple zeitnah ein vergleichbares Produkt auf den Markt bringen.

Datenschutz-Risiken von Google Home, Amazon Echo und Siri

Insbesondere Datenschützer und Datenschutzbeauftragte sind in Hinblick auf die intelligenten „Helfer“ kritisch. Die Bundesdatenschutzbeauftrage, Andrea Voßhoff, warnte vor den Geräten, da die integrierten Mikrofone eine dauerhafte Überwachung ermöglichen.

Datenschutz-Risiken von Google Home, Amazon Echo, Siri

Um die Aktivierungswörter „Alexa“, „Hey Siri“ und „Ok Google“ zu erfassen, müssen die Geräte jede Konversation mithören, was das ständige Abhören zumindest möglich macht. Allerdings behaupten die Hersteller, dass eine Übermittlung der Daten an die Server erst nach Aktivierung der „Haushaltshelfer“ erfolgt. Schenkt man den Herstellern, trotz fehlender Transparenz in Hinblick auf die Erfassung, Verarbeitung und Nutzung der Daten, Vertrauen, so dürfte die Übermittlung der Daten nach der Aktivierung ebenfalls als kritisch angesehen werden.

Der Grund für die Kritik aus Datenschutzsicht ist, dass Google, Amazon und Apple, mit Hilfe von „Google Home“, „Amazon Echo“ und „Siri“, eine Vielzahl an personenbezogenen Daten erfassen, verarbeiten und nutzen können. Sollte die Übermittlung an die Server tatsächlich, wie von den Herstellern behauptet, erst nach der Aktivierung erfolgen, reichen die erfassten Daten aus, um ganze Nutzerprofile zu erstellen.

Ebenfalls kritisch ist, dass eine Übermittlung an die Server in den USA erfolgt. Laut Gesetzgeber handelt es sich um ein Drittland ohne angemessenes Datenschutzniveau. Durch die Nutzung der intelligenten „Haushaltshelfer“ schränken die Nutzer nicht nur ihre Privatsphäre ein und riskieren zu „gläsernen Menschen“ zu werden, sondern können auch die Privatsphäre und das Recht auf informationelle Selbstbestimmung von Personen einschränken, die auf etwaige Funktionen bzw. Geräte bewusst verzichten. Ein Beispiel ist, der Zugriff auf Kontakte und die Übermittlung der personenbezogenen Daten, wie dem Namen, der Rufnummer etc., an die Server in den USA. Eine Übermittlung personenbezogener Daten ist im Datenschutz nur erlaubt, wenn eine Rechtsgrundlage oder die informierte Einwilligung des Betroffenen vorliegt. Zudem sollte ein angemessenes Datenschutzniveau sichergestellt werden.

Insbesondere für Unternehmen, Vereine, Behörden etc. dürfte eine Nutzung der kleiner „Helfer“ zu zahlreichen Problemen und Risiken führen. Aus diesem Grund sollten die „verantwortlichen Stellen“, wie Unternehmen, Vereine, Behörden etc., auf die Nutzung von „Google Home“, „Amazon Echo“ und Apples „Siri“ verzichten. Zudem ist es ratsam, dass Mitarbeiter sensibilisiert werden, damit sie diese Geräte nicht für dienstliche Zwecke nutzen und bewusster mit personenbezogenen Daten umgehen.

Fazit

Die kleinen „Helfer“ würden den Alltag sicherlich um ein Vielfaches erleichtern, da viele Aufgaben im Handumdrehen erledigt werden könnten. Der erhöhte Komfort sollte die potenziellen Nutzer allerdings nicht vergessen lassen, dass ihre Daten übermittelt und gespeichert werden. Jeder Nutzer, der von diesen Geräten Gebrauch machen möchte, sollte sich bewusst sein, dass er eine Stück Privatsphäre gegen den Komfort eintauscht.

Auf der anderen Seite sollten „Amazon Echo“, „Google Home“ und „Siri“ nicht verteufelt werden, da die Mehrheit der potentiellen Nutzer bereits intelligente „Helfer“ mit Mikrofonen, Smartphones genannt, mich sich trägt.

Können Privatpersonen noch selbst über die Weitergabe ihrer Daten entscheiden, liegt in Unternehmen, Vereinen, Behörden etc., die (Haupt-)Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten bei der “verantwortlichen Stelle“.

Erhebt, verarbeitet oder nutzt eine „verantwortliche Stelle“ personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben. Sollen die kleinen „Helfer“ für dienstliche Zwecke eingesetzt werden und es findet eine Übermittlung personenbezogener Daten statt, so müsste sich die „verantwortliche Stelle“ von jedem Betroffenen eine informierte Einwilligung einholen.   Der damit verbundene Aufwand dürfte in den meisten Fällen viel höher sein als der Nutzen durch die intelligenten „Helfer“. Aus diesem Grund sollten die Verantwortlichen die dienstliche Nutzung von „Smart Home“, „Amazon Echo“ und „Siri“ verbieten oder zumindest die Prozesse rund um den Einsatz optimal gestalten. Ferner sollten Mitarbeiter geschult sowie ggf. Betriebsvereinbarungen, Richtlinien zum richtigen Umgang mit personenbezogenen Daten geschaffen werden.

Haben Sie weiteres Interesse am Themengebiet „Google Home“, „Amazon Echo“ und „Siri“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten? Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Datenschutz-Brexit – Auswirkungen auf die Datenübermittlung aus der Europäischen Union (EU) nach Großbritannien

Der Datenschutz-Brexit kann ernsthafte Folgen bei der Datenübermittlung zwischen der Europäischen Union (EU) – Großbritannien mit sich bringen. Brands Consulting, Ihr externer Datenschutzbeauftragter, informiert über Auswirkungen des Brexit und Maßnahmen.

Brexit Datenschutz Datenübermittlung EU GroßbritannienHintergrund des Brexit

Während der Europameisterschaft 2016 entscheiden sich die Briten im „Referendum über die Mitgliedschaft von Großbritannien in der Europäischen Union“ für einen Austritt aus der Europäischen Union (EU). Dabei hat mit 51,9 % der Stimmen die knappe Mehrheit „leave the European Union“ („die Europäische Union verlassen“) angekreuzt. Der sogenannte Brexit ist dabei ein griffiges Kunst- und Kofferwort, das sich aus dem englischen „Britain“ für „Großbritannien“ und „exit“ für „Ausgang“ oder „Austritt“ zusammensetzt.

Auswirkungen auf die Wirtschaft

Die Auswirkungen auf die Wirtschaft werden dieser Tage zahlreich diskutiert. Sofortige Auswirkungen zeigte das Britische Pfund, das auf ein 31-Jahres-Tief fiel. Folgt man dem Hashtag #Brexit haben viele Bürger Bedenken hinsichtlich der bisher geltenden Freizügigkeit, durch die es EU-Bürgern zusteht:

  • in einem anderen EU-Land Arbeit zu suchen,
  • zu arbeiten, ohne dass eine Arbeitserlaubnis erforderlich wäre,
  • zu diesem Zweck dort zu wohnen,
  • selbst nach Beendigung des Beschäftigungsverhältnisses dort zu bleiben,
  • hinsichtlich Zugang zu Beschäftigung, Arbeitsbedingungen und aller anderen Sozialleistungen und Steuervorteile genauso behandelt zu werden, wie die Staatsangehörigen des Aufnahmelandes.

Diese und auch weitere Auswirkungen auf die Wirtschaft, wie der Export und Import aus bzw. in die EU, hängen natürlich stark von den Verhandlungen über den Austritt ab. Derartige Verhandlungen können auch den Datenschutz betreffen.

Die EU-Datenschutz-Grundverordnung und der Brexit

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) wurde am 14. April 2016 durch das Europäische Parlament (kurz EU-Parlament oder EP) beschlossen. Veröffentlicht wurde die EU-DSGVO am 04.05.2016 im Amtsblatt der Europäisches Union (ABl.) und tritt damit am 25.05.2016 in Kraft. Nach einer zweijährigen Übergangsfrist wird die Datenschutz-Grundverordnung damit ab dem 25.05.2018 in Kraft anwendbar. Während des Beschlusses über die EU-DSGVO waren zwar bereits Überlegungen über einen möglichen Brexit den Medienberichten zu entnehmen, datenschutzrechtlich wurde zum Austritt aus der EU allerdings (noch) nichts geregelt. Was bedeutet dies nun?

Datenübermittlung Drittland – Grundlegende Veränderungen beim Datenaustausch

Mit dem Austritt der Briten aus der EU, einer damit fehlenden EU-Mitgliedschaft, wird Großbritannien im Sinne des Datenschutzrechtes zum „Drittland“. Unternehmen und natürlich auch Konzerne innerhalb des eigenen -internationalen- Konzernverbundes können die Datenweitergabe oder den Datenzugriff somit nicht mehr allein auf einen Vertrag zur Auftragsdatenverarbeitung (gemäß § 11 BDSG) stützen. Es dürften, wenn Verhandlungen / Kommissionsentscheidungen bis dahin keine anderweitigen Ergebnisse bringen, die gleichen Maßnahmen erforderlich sein, wie bei einer Datenübermittlung in die USA, China oder auch Indien. Bei diesen Ländern handelt es sich nicht um ein sogenanntes „sicheres Drittland mit einem angemessenen Datenschutzniveau“, das mit dem EU-Recht (respektive Bundesdatenschutzgesetz / EU-Datenschutz-Grundverordnung) hinreichend vergleichbar ist

Erste Prüfstufe (Zulässigkeit):

Die Verantwortliche Stelle (Unternehmen, Behörde, …) muss sich vergewissern, ob eine Übermittlung zulässig ist. Gemäß § 4 Abs. 1 BDSG ist das Erheben, Verarbeiten und Nutzen nur zulässig, sofern durch das Gesetz oder eine andere Rechtsvorschrift erlaubt oder angeordnet oder der Betroffene (freiwillig) eingewilligt hat.

Zweite Prüfstufe (Angemessenes Datenschutzniveau im Zielstaat)

Hinsichtlich des angemessenen Datenschutzniveaus wird eine Gesetzgebung im Zielland vorausgesetzt, die ein Datenschutzrecht vorsieht, das mit der europäischen Datenschutzrichtlinie (perspektivisch der EU-Datenschutz-Grundverordnung) vergleichbar ist. Daraus folgt, dass ein ungehinderter Datenfluss innerhalb der EU / des Europäischen Wirtschaftsraumes (EWR) erfolgen kann. Die Staaten des EWR sind, neben den EU-Mitgliedsstaaten, die Länder: Island, Norwegen und Liechtenstein. Auf dieser zweiten Prüfstufe bestehen ferner keine Vorbehalte gegen Datenübermittlungen an Stellen in Staaten, denen die Europäische Kommission (EU-Kommission)  in einer Angemessenheitsentscheidung ein angemessenes Datenschutzniveau attestiert hat (Art. 25 Abs. 6 EG-DatSchRL). Eine Angemessenheitsentscheidung wurde für folgende Länder durch die EU-Kommission, durch das in Art. 31 Abs 2 EG-DatSchRL geregelte Verfahren, getroffen:

– Andorra

– Argentinien

– Australien (Achtung: Sonderfall bei Fluggastdatensätzen (PNR-Daten))

– Färöer

– Israel

– Isle of Man

– Jersey

– Kanada (Achtung: Sonderfall bei Fluggastdatensätzen (PNR-Daten))

– Neuseeland

– Schweiz

– Uruguay

– Bis zum 05.10.2016 auch die USA bei Unterwerfung unter Safe-Harbor (wurde mit Urteil v. 06.10.2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt)

Fazit –  Datenschutz-Brexit

Durch den Brexit greift die EU-Datenschutz-Grundverordnung nicht mehr in Großbritannien. An die EU-DSGVO muss sich allerdings gehalten werden, wenn innerhalb der EU Waren und / oder Dienstleistungen angeboten werden. Damit kann die EU-DSGVO zwar nicht in Großbritannien gelten, allerdings für Unternehmen aus Großbritannien, die innerhalb der EU tätig werden.

Für den Datenaustausch zwischen Unternehmen, Konzernen (auch zwischen den eigenen Konzernunternehmen) gilt es frühzeitig geeignete Maßnahmen (z. B. ausreichendes Schutzniveau) zu ergreifen, die unter anderem sein können:

  • Vertragsschluss und Einsatz von EU-Standardvertragsklauseln
  • Unterwerfung der Konzernunternehmen unter Binding Corporate Rules (verbindliche Unternehmensregelungen, kurz BCR), verbunden mit weiteren Maßnahmen wie Datenschutzmanagement- und Datenschutzschulungssystem
  • Beteiligung der Aufsichtsbehörden
  • Mehrparteienvertrag

Ihr Datenschutzbeauftragter sollte Sie hierzu bestens beraten können. Gerne stehen wir Ihnen auch als externer Datenschutzbeauftragter oder als Datenschutzberater zur Verfügung. Sprechen Sie uns an – nehmen Sie Kontakt auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

 


 

Unser Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

 

Unsere Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne/n]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

EU-US-Privacy-Shield – Schutzschild für den Datenschutz oder nur Safe Harbor 2.0?

halloween-1013943_640Am 06.10.2015 erklärte der Europäische Gerichtshof das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen den USA und der Europäischen Union für rechtswidrig, da die Daten europäischer Nutzer auf amerikanischen Servern nicht sicher seien.

Daraufhin handelten die Europäische Union und die USA ein neues Abkommen aus. Hiernach sollen Daten, die aus der Europäischen Union in die USA übermittelt werden, besser geschützt werden. Erste schriftliche Entwürfe des Safe-Harbor-Nachfolgers legte die EU-Kommission am 29.02.2016 vor.

Das neue Abkommen zur Datenübermittlung zwischen der Europäischen Union und den USA trägt den Namen „EU-US Privacy Shield“. Diese Vereinbarung soll die rechtliche Grundlage zur Übermittlung personenbezogener Daten aus einem Mitgliedstaat der Europäischen Union an Unternehmen in den USA bilden. Zudem soll das Abkommen eine massenhafte und anlasslose Überwachung durch amerikanische Sicherheitsbehörden verhindern, so die EU-Kommission.

Eine endgültige Entscheidung in Hinblick auf das EU-US-Privacy-Shield-Abkommen steht derzeit noch aus, da der Entwurf sowohl den Datenschutzbehörden der EU-Mitgliedsstaaten, den Mitgliedsstaaten selbst sowie dem Europäischen Parlament und dem Europäischen Rat zur Prüfung vorliegt. Inzwischen gibt es allerdings viele Kritiker, unter anderem deutsche Verbraucherschützer und Datenschutzbeauftragte, die das Abkommen ablehnen und Nachbesserungen fordern.

Kernpunkte des EU-US-Privacy-Shield

  • Selbstverpflichtung von US-Unternehmen zur Einhaltung angemessener Datenschutzregeln, damit eine Durchsetzbarkeit nach US-amerikanischem Recht gewährleistet wird.
  • Rechtsschutzmöglichkeiten für EU-Bürger in einem mehrstufigen Beschwerde- und Eskalationsverfahren, falls ein zertifiziertes Unternehmen hiergegen verstößt.
  • Sanktionen für zertifizierte Unternehmen, die gegen Datenschutzregeln verstoßen.
  • Entscheidungen von Europäischen Datenschutzaufsichtsbehörden sollen von US-Unternehmen, die sich auf das EU-US-Privacy-Shield-Abkommen verpflichteten, akzeptiert und befolgt werden.
  • Jährliche Evaluierung des EU-US Privacy-Shield-Abkommens durch die EU und die USA.
  • Garantien gegen einen massenhaften Zugriff auf Daten durch US-Behörden. Der Zugriff von Geheimdiensten und Gerichten auf Daten von EU-Bürgern soll strengen Vorgaben, sowie einer Überwachung unterliegen. Zudem soll der Zugriff auf Einzelfälle beschränkt sein (kein massenhafter Datenabgriff).

Sechs Ausnahmen für eine „massenhafte“ Datenerfassung

Zugleich wird aber, entgegen der Ansage der Kommission, nach wie vor eine „massenhafte“ Datenerfassung in sechs Fällen gestattet. Die US-Behörden definieren sechs Gründe, die eine Datenüberwachung erlauben:

  • Abwehr von internationaler Spionage
  • Terrorismusbekämpfung
  • Das Interesse der Vereinigten Staaten an der Entwicklung, dem Besitz sowie der Verbreitung und Verwendung von Massenvernichtungswaffen
  • Schutz vor Cyber-Bedrohungen
  • Abwehr von Gefahren für US-Streitkräfte und der Alliierten
  • Bekämpfung transnationaler krimineller Bedrohungen, einschließlich illegaler Finanzierungen und der Flucht vor Sanktionen wegen Steuerhinterziehung

Einsatz eines Ombudsmanns

Laut den veröffentlichten Dokumenten soll auch ein Ombudsmann im US-Außenministerium eingerichtet werden, an den sich EU-Bürger zunächst wenden können, wenn sie Beschwerden oder Nachfragen zu der Handhabe ihrer Daten durch US-Sicherheitsbehörden haben. Die Federal Trade Commission (kurz FTC) will zudem strenger darauf achten, dass die beteiligten Unternehmen ihre Zusagen einhalten.

Im Falle einer Beschwerde hat die Beantwortung durch die beteiligten Unternehmen binnen 45 Tagen zu erfolgen. Erhält der Betroffene innerhalb dieser Frist keine Rückmeldung, so steht ihm sowohl ein kostenloses Schiedsverfahren als auch eine Beschwerde bei nationalen Datenschutzbeauftragten offen.

Fazit

Die Kritik an dem Abkommen dürfte derzeit nicht ganz unbegründet sein, da dieses weiterhin einige Schwachstellen aufweist. Ein Kritikpunkt könnte sich dadurch ergeben, dass das gesamte Prinzip des Privacy Shields auf Freiwilligkeit beruht und die EU-Kommission somit keine Handlungsmöglichkeiten gegenüber nicht zertifizierten Unternehmen haben dürfte.

Diese Problematik sollte sich allerdings ab 2018 mit der EU-Datenschutzgrundverordnung (EU-DSGVO) ändern, denn dann greift innerhalb der gesamten Europäischen Union das Marktortprinzip. Bieten US-Unternehmen Waren und Dienstleistungen an EU-Bürger an und haben in diesem Rahmen Zugriff auf personenbezogene Daten, so müssen sie sich, entsprechend des Marktortprinzips, an die europäischen Grundsätze halten.

Ein weiter Punkt ist der Einsatz des Ombudsmanns. Stellen Betroffene Datenschutzverletzungen fest, so ist eine unparteiische Ansprechperson sicherlich sinnvoll, jedoch ist zu erwarten, dass Betroffene nicht immer über einen Datentransfer informiert werden. Auch kritisieren Verbraucherschützer die Schiedsverfahren, die nach US-Recht verhandelt werden sollen und zu erheblichen Anwaltskosten führen. Trotz der vielen Kritik erfasst das Abkommen wichtige Ansätze für eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA und es ist abzuwarten, wie die einzelnen Instanzen im Hinblick auf das EU-US-Privacy-Shield entscheiden, wobei die ersten Äußerungen  des europäischen Datenschutzbeauftragten und des europäischen Parlaments zum EU-US-Privacy-Shield sehr kritisch waren.

Was ist Unternehmen zu raten?

Unternehmen sollten sich über aktuelle Entwicklungen informieren und ihre Datenübermittlungen bei Bedarf anpassen. „Safe Harbor“ basierte Datenübermittlungen in die USA werden von den Datenschutzaufsichtsbehörden bei Bekanntwerden aufgegriffen und geahndet. Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) führte erst kürzlich Prüfungen bei 35 international agierenden Hamburger Unternehmen durch. Im Ergebnis erhielten zumindest drei Unternehmen Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA. Es ist daher wichtig auf eine geeignete Rechtsgrundlage umzustellen (z. B. Standardvertragsklauseln).

Sind Sie unsicher, ob das neue Abkommen auch Ihr Unternehmen betrifft? Falls Sie einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt zu uns auf und klären Sie durch professionelle Beratung alle Fragen rund um das Thema des EU-US-Privacy-Shield-Abkommens.

Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?

twitter-292993_640Wie WhatsApp am 05.04.2016 verkündete, wären nun alle Nachrichten, Bilder und Dateien, die über den Nachrichtendienst verschickt werden, auf dem kompletten Weg vom Absender bis zum Empfänger zu schützen.

Die End-to-End-Encryption (E2EE) oder zu deutsch Ende-zu-Ende-Verschlüsselung werde aktiv, wenn beide WhatsApp-Nutzer die neueste Version der App verwenden. Diese Verschlüsselungstechnik war bisher nur für Android-Nutzer verfügbar. Nach Aussagen des Unternehmens haben dadurch weder Dritte noch WhatsApp selbst Möglichkeiten die Nachrichten zu lesen.

Funktionsweise der E2E-Technik?

Einfach gesagt können bei einer End-to-End-Verschlüsselung nur Sender und Empfänger den Inhalt einer Datei entziffern, da lediglich sie die Informationen (Schlüssel) zum Entschlüsseln besitzen. Dritte, die einen Dateiverlauf  „hacken“, sind prinzipiell nur in der Lage zu erkennen, wer mit wem kommuniziert. Einen Schlüssel zum Entschlüsseln des Inhalts aber müsste ein Überwacher errechnen. Heutige kryptografische Systeme sind so konzipiert, dass dies so gut wie unmöglich ist beziehungsweise sehr lange Zeit in Anspruch nehmen würde.

Wie ist zu erkennen, ob die Verschlüsselung aktiv ist?

Schloss - Verschluesselung Whatsapp - Ende zu EndeDer Aufbau der verschlüsselten Verbindung und des notwendigen Schlüsselaustauschs erfolgt komplett im Hintergrund. Ob ein Chat verschlüsselt ist oder nicht, können Nutzer allerdings erkennen. WhatsApp weist in der Übergangsphase  mit dem Text „Nachrichten, die Sie in diesem Chat senden, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt.“ auf den Beginn von verschlüsselten Chats hin. Zudem zeigt ein Schloss-Symbol in den Einstellungen jedes Chats, ob dieser verschlüsselt ist oder nicht.keine Verschluesselung Whatsapp

Letzteres kann passieren, wenn „die Person am anderen Ende“ noch eine ältere WhatsApp-Version verwendet. In Gruppenchats ist es bereits ausreichend, dass ein Mitglied über eine ältere („veraltete“) Version verfügt, damit die Ende-zu-Ende-Verschlüsselung für den gesamten Chat nicht möglich. WhatsApp-Nutzer werden daher auf diesem Wege dazu angehalten immer ein Update auf die aktuelle Version durchzuführen. Dies kann sich positiv, aber auch negativ für Nutzer auswirken.Sicherheitscode Whatsapp Verschluesselung-Android

Des Weiteren können WhatsApp-Nutzer bestätigen, ob sie wirklich mit dem gewünschten Gegenüber kommunizieren. Dazu haben beide einen sogenannten einmaligen Sicherheitscode, in der Form eines QR-Codes, der durch den Chatpartner gescannt werden kann. Alternativ existiert eine 60-stellige Nummer, die verglichen werden kann, sollte das Scannen des Codes nicht möglich sein. Das Bestätigen des Chatpartners soll den Nutzern zusätzliche Sicherheit, z. B. bei Diebstahl der SIM-Karte, geben. Passiert dies einem Chatpartner und ein Fremder verifiziert sich mit der Nummer in WhatsApp, so sind die alten Inhalte zum einen nicht ersichtlich, zum anderen kann man sich anzeigen lassen, ob sich die Sicherheitsnummer geändert hat.

Verschlüsselung nur eine Geste?

Das Programm das WhatsApp zur Verschlüsselung nutzt ist ein Open-Source-Tool, d. h. der Quellcode ist theoretisch für JEDEN offen lesbar und kann somit von externen Spezialisten auf versteckte Hintertüren überprüft werden.

Zum Schutz der WhatsApp-Nutzer vor Hackerangriffen verwendet das Open Source-Protokoll Forward Secrecy. Hierdurch werden kurzlebige Schlüssel zum Absichern jeder einzelnen Nachricht verwendet. Ein Überwacher, der WhatsApp-Nachrichten irgendwie mitschneidet, speichert und dann auch noch in den Besitz des Schlüssels eines Teilnehmers gelangt, soll damit weder alte Chats nachträglich, noch künftige Chats entschlüsseln können.

Trotz Verschlüsselung bleiben Datenschutzlücken

Kritische Stimmen bleiben. Hierbei geht es um die Natur des Programms selbst. Mit Installation des Programms wird der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht und diese werden unverschlüsselt an die WhatsApp-Server in Californien (USA) weitergegeben. Auch wenn niemand die Inhalte der Nachrichten einsehen kann, ist es möglich Nutzungsprofile zu erstellen und auszuwerten.

Weiterhin ist zu bemängeln, dass beim Nutzen zunächst die Handynummer unverschlüsselt an die Server übermittelt wird, während WhatsApp die Identität abrufen kann. Für eine Weitergabe der Daten wäre nach EU-Datenschutzrecht -streng genommen- die Zustimmung jedes Kontakts des jeweiligen Nutzers notwendig, ehe auch dessen Daten an WhatsApp weitergegeben werden. Das Problem besteht hier weniger bei angemeldete WhatsApp-Nutzern, sondern liegt vielmehr bei den Rufnummern (sog. personenbezogenes Datum) und damit verknüpft den dadurch identifizierbaren Personen, die WhatsApp NICHT NUTZEN (möchten).

Ebenfalls ließe sich argumentieren, dass nach der Abschaffung des Safe-Harbor-Abkommens für die Weitergabe der Daten in die USA eine Vorabgenehmigung der zuständigen nationalen Datenschutzbehörde nötig sei.

Die Alternative sind Messenger, die europäische Server mit schärferem Datenschutzrecht nutzen oder solche Messenger, die nicht auf Telefonnummern angewiesen sind.

Inwiefern nutzen Sie innerhalb Ihrer Verantwortlichen Stelle/n (Unternehmen, Firma, Konzern, Verein, Körperschaft des öffentlichen Rechts …) WhatsApp zur Kommunikation mit oder durch Angestellte, Mitarbeiter, Beamte, … oder auch Praktikanten oder können dies zumindest nicht ausschließen?

Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt, fordern Sie ein kostenloses Angebot zum Datenschutz an und klären Sie durch professionelle Beratung alle Fragen rund um das Thema Datenschutz, z. B. um die WhatsApp-Verschlüsselung oder den Einsatz sonstiger Messanger.

Datenschutzbeauftragter Österreich / Datenschutz in österreichischen Unternehmen – das Datenschutzgesetz 2000 (DSG 2000)

Die Globalisierung tangiert Individuen, Gesellschaften, Institutionen und Staaten unter anderem in den Bereichen Politik und Wirtschaft. Es ist daher mehr als verständlich, dass sie auch Auswirkungen auf die Einhaltung des Datenschutzes in verflochtenen Unternehmen hat, die es zu beachten gilt. In Deutschland regelt insbesondere das Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten. Sofern die entsprechenden Voraussetzungen erfüllt werden, ist ein Datenschutzbeauftragter nach § 4f BDSG zu bestellen. Aber auch ohne die Verpflichtung zur Bestellung eines Datenschutzbeauftragten müssen die Bestimmungen des Datenschutzes eingehalten werden. Doch wie sieht die Situation bei den österreichischen Nachbarn aus?

Rechtsgrundlagen

In Österreich besteht das Grundrecht auf Datenschutz. Das Datenschutzgesetz 2000 (DSG 2000) regelt den Schutz personenbezogener Daten. Österreich setzt damit die Richtlinie 95/46/EG der Europäischen Gemeinschaft  zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in nationales Recht um. Darüberhinaus können weitere Gesetze Anwendung finden, so z. B. das Gesundheitstelematikgesetz 2012 (GTelG 2012) bei der Verwendung personenbezogener elektronischer Gesundheitsdaten durch Gesundheitsdiensteanbieter.

Relevanz des Datenschutzgesetzes 2000 (DSG 2000)

Das DSG 2000 regelt den Schutz personenbezogener Daten und enthält Maßnahmen zur Datensicherheit. Die Einhaltung / Wahrung des Datenschutzes kontrollierten und steuerten die Österreichische Datenschutzkommission und der Datenschutzrat bis zum Ende des Jahres 2013. Die Datenschutzbehörde löste dann zum 01. Januar 2014 die Datenschutzkommission ab. Darüberhinaus haben auch Bürger die Möglichkeit zivilrechtlich gegen Verstöße vorzugehen, um beispielsweise die Richtigstellung bei fehlerhaften Daten einzuklagen.

Datenschutzbeauftragter Österreich

Anders als durch das Bundesdatenschutzgesetz in Deutschland existiert die Funktion des Datenschutzbeauftragten nach dem Datenschutzgesetz 2000 in Österreich nicht. Es ist daher kein (externer) Datenschutzbeauftragter Österreich zu bestellen, die Aufgaben zum Datenschutz sollten aber klar verteilt werden. Bestellen Sie doch einfach einen (externen) Datenschutzkoordinator, (externen) Datenschutzmanager oder (externen) Datenschutzberater. Das DSG 2000 sieht eine Regelung zur Verarbeitung und Weitergabe von Daten vor.

Datenverarbeitungsregister

So ist ein Datenverarbeitungsregister durch die Datenschutzbehörde zum Zweck der Information der Betroffenen zu führen, § 16 Abs. 1 DSG 2000.  Logischerweise muss durch die betroffenen Unternehmen eine Meldung erfolgen (Meldepflicht), der hierfür vorgesehene Weg ist die elektronische Meldung, nach § 17 Abs. 1a DSG 2000 gewöhnlich an die durch den Bundeskanzler bereit zu stellende Internetanwendung.

Schadensersatz und Strafen

Schadensersatz

Nach einem Urteil des Obersten Gerichtshofs (OGH) ist zivilrechtlich die Geltendmachung eines Schadens nach § 33 DSG 2000 möglich und einklagbar. Darüberhinaus sind Klagen von Mitbewerbern, z. B. nach § 1 UWG, denkbar.

Strafgerichtliche Bestimmungen

Sofern andere Gesetze keine strengere Strafe vorsehen, sieht das DSG 2000 eine Freiheitsstrafe von bis zu einem Jahr nach § 51 DSG 200 bei der Datenverwendung in Gewinn- und Schädigungsabsicht vor. In anderen Fällen können Freiheitsstrafen von bis zu 5 Jahren verhangen werden.

Verwaltungsstrafbestimmungen

Nach § 52 DSG 2000 ist in Österreich mit Geldstrafen von bis zu 10.000 bzw. bis zu 25.000 Euro zu rechnen.

Ihr Weg zum Angebot „Datenschutzbeauftragter Österreich“

Variante 1 – persönlicher Kontakt auf Wunsch mit Rückrufservice

Nehmen Sie direkten Kontakt mit Ihrem persönlichen Ansprechpartner auf, ganz nach Ihren Wünschen auch mit Rückrufservice.

Variante 2 – Fragebogen ausfüllen, übersenden, Angebot erhalten

Als Alternative zum persönlichen Kontakt haben Sie die Möglichkeit den Fragebogen zum Datenschutz-Angebot ausgefüllt an uns zu übersenden. Wir senden Ihnen umgehend Ihr unverbindliches Angebot zu und setzen uns für Rückfragen direkt mit Ihnen in Verbindung.