Zum Inhalt springen

Prüfung

BayL­DA: Wie rechts­kon­form ist Ihr Coo­kie-Ban­ner? Ein­wil­li­gungs­ma­nage­ment auf Web­sei­ten auf dem Prüfstand

BayL­DA (Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht) star­tet Prüf­ak­ti­on für Coo­kie-Ban­ner und Consent-Management

Das eine oder ande­re Unter­neh­men mit Sitz in Bay­ern hat bereits Post vom BayL­DA erhal­ten. Hin­ter­grund: In einem ers­ten Durch­lauf zur Prü­fung der Rechts­kon­for­mi­tät von Coo­kie-Ban­nern und dem Con­sent-Manage­ment hat das BayL­DA im ers­ten Schwung bei 350 Unter­neh­men kon­kre­te Grün­de gefun­den, deren Umset­zung zu bean­stan­den. Dem BayL­DA miß­fiel dabei unter ande­ren, dass

  • bereits Pro­zes­se rund um Coo­kies und Daten­über­tra­gun­gen in Gang gesetzt wer­den, sobald die Web­sei­te auf­ge­ru­fen wird, noch bevor mit dem Besu­cher im Hin­blick auf not­wen­di­ge Ein­wil­li­gun­gen (Con­sent-Manage­ment) inter­agiert wird (§ 25 TTDSG) und
  • es auf der ers­ten Ebe­ne im Con­sent-Manage­ment sel­ten eine ein­fa­che Opti­on zur Ableh­nung (Nicht-Ein­wil­li­gung) für den Besu­cher zur Ver­fü­gung steht bzw. durch des­sen Feh­len nach Sicht­wei­se des BayL­DA kei­ne rechts­wirk­sa­me Ein­wil­li­gung im Sin­ne von 25 Abs. 1 S. 2 TTDSG wie auch Art. 6 Abs. 1 lit. a DSGVO vorliegt.

“Trotz der nun gesetz­lich klar fest­ge­schrie­be­nen Ein­wil­li­gungs­pflicht für Zugrif­fe auf End­ein­rich­tun­gen, also bei­spiels­wei­se das Set­zen von Coo­kies oder das Aus­le­sen von Wer­be-IDs und ande­ren Iden­ti­fi­ern, erhal­ten wir wei­ter­hin eine sehr hohe Anzahl an Beschwer­den und Kon­troll­an­re­gun­gen in die­sem Bereich”, so das BayL­DA zur Moti­va­ti­on für die­se anlass­los Prüfaktion.

Im Zuge des­sen wur­den auch Apps und deren Ver­hal­ten im og. Kon­text geprüft. Im Gegen­zug zur auto­ma­ti­sier­ten Prü­fung der Umset­zung auf Web­sei­ten, gestal­tet sich die App-Prü­fung lt. BayL­DA deut­lich aufwendiger.

“Die Prü­fung knüpft zunächst am Ein­satz einer sehr ver­brei­te­ten Con­sent-Manage­ment-Platt­form (CMP) an, soll in wei­te­ren Durch­läu­fen aber auf wei­te­re CMP-Anbie­ter und damit eine noch grö­ße­re Zahl von Web­sei­ten aus­ge­dehnt wer­den”, schreibt das BayL­DA in sei­ner Pres­se­mit­tei­lung vom 09.02.2024. Wer also als Unter­neh­men, Frei­be­ruf­ler oder Ver­ein mit Sitz in Bay­ern bei den bis­her 350 Bean­stan­dun­gen noch nicht dabei war, hat gute Chan­cen, zukünf­tig doch noch Post vom BayL­DA zu erhalten.

Anfor­de­run­gen an ver­ant­wort­li­che Stel­len sowie Ergeb­nis­se aus die­ser Prüf­ak­ti­on wer­den suk­zes­si­ve im Abschnitt “Daten­schutz­prü­fun­gen” auf der Web­sei­te des BayL­DA ver­öf­fent­licht. Rein­schau­en lohnt sich.

Wer übri­gens etwas zum The­ma Coo­kies auf unse­rer Web­sei­te erfah­ren möch­te, bit­te hier ent­lang.

Coro­na App — hof­fent­lich sicher zur nächs­ten Pandemie

In unse­rem Bei­trag vom 23.03.2020 zum Ein­satz von mobil­ge­rä­te­ba­sier­ter Gesund­heits­prä­ven­ti­on haben wir berich­tet, dass eine Coro­na App auch hier­zu­lan­de geplant ist, sowie über Aspek­te, die aus Daten­schutz­sicht sorg­fäl­tig zu prü­fen und zu pla­nen sind. 

Mitt­ler­wei­le wur­de kurz vor der geplan­ten Ver­öf­fent­li­chung eine lauf­fä­hi­ge Ver­si­on der Coro­na App von TÜVit geprüft und es gibt Nach­hol­be­darf.  Gegen­über hei​se​.de äußern die Prü­fer u.a. Kri­tik an dem kurz­fris­ti­gen Start­ter­min. Ins­ge­samt habe man laut TÜVit wie­der­holt die (sogar kos­ten­freie) Prü­fung ange­bo­ten und letzt­lich unter Zeit­druck durch­füh­ren müssen. 

Ange­sichts des­sen, dass inzwi­schen eine Locke­rung und Anti-„Maulkorb“-Demo die ande­re jagt und seit mehr als 7 Jah­ren die dro­hen­de SARS-Pan­de­mie und deren Bekämp­fungs­me­tho­dik bekannt ist (Bun­des­tags­druck­sa­che 17/​12051 aus 2012 /​ 2013, Sei­ten 5, 55 ff. ), kann man hier nicht unbe­dingt von einem agi­len Kri­sen­ma­nage­ment sprechen.

Sicher­heitsaspek­te der neu­en Coro­na App 

Die Prü­fung der Coro­na App erfolg­te im Auf­trag des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in Bezug auf Sicher­heits­maß­ga­ben und Ein­hal­tung der ange­kün­dig­ten Pri­vat­sphä­re­stan­dards wie z.B. der Standortermittlung. 

Eine Schwach­stel­le bestün­de laut TÜVit dar­in, dass Pati­en­ten zwar ver­schlüs­selt abspei­chern kön­nen, posi­tiv auf Coro­na getes­tet wor­den zu sein, um etwa­ige Kon­tak­te mit Infi­zier­ten zu prü­fen, die genutz­te Ver­schlüs­se­lungs­lo­gik jedoch feh­ler­haft ist. So bestehe die Mög­lich­keit, einen Teil der Logik ohne grö­ße­re Schwie­rig­kei­ten aus­zu­le­sen, um belie­big Falsch­mel­dun­gen infi­zier­ter Per­so­nen zu generieren. 

Damit könn­te die gesam­te Daten­hal­tung und somit auch der ange­dach­te Nut­zen der App ad absur­dum geführt wer­den und bewusst pro­vo­zier­te Fehl­alar­me noch grö­ße­re Ver­un­si­che­rung bei den Bür­gern ver­ur­sa­chen. Die­ser Angriffs­punkt ist in Fach­krei­sen seit gerau­mer Zeit bekannt. 

Dass man bei der­lei Umset­zun­gen gegen destruk­tiv moti­vier­te IT-Exper­ti­se nicht hin­rei­chend auf­rüs­tet, son­dern IT-Exper­ten wie etwa Daten­schutz­auf­sichts­be­hör­den als Brem­ser hin­stellt, wenn die­se begrün­de­te Sicher­heits­be­den­ken anmel­den, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prü­fung wur­de der Quell­code ver­öf­fent­licht. Hier besteht insb. bei einem Mul­ti­mil­lio­nen-Pro­jekt kei­ne Not­wen­dig­keit. Dafür kann sich die Hacker­sze­ne schon ein­mal im Vor­feld ein­le­sen. Ande­rer­seits woll­te man gera­de in Bezug auf die herr­schen­den Daten­schutz­be­den­ken mit größt­mög­li­cher Trans­pa­renz reagieren. 

Daten­schutz und Pri­vat­sphä­re 

In Bezug auf die Pri­vat­sphä­re lässt TÜVit Posi­ti­ves ver­lau­ten. Bei dem geprüf­ten Ent­wick­lungs­stand der Coro­na App sei von Leaks nicht aus­zu­ge­hen und uner­war­te­te Track­ing­lo­gik habe man in der Ver­si­on nicht fest­stel­len können.

Die Ent­wick­lung und Sicher­heits­do­ku­men­ta­ti­on der Coro­na App wur­de vom BSI u.a. durch Pene­tra­ti­ons­tests (Pen­tests) und Über­prü­fun­gen von Pro­gramm­code beglei­tet. Dabei konn­ten Schwach­stel­len gesich­tet und sei­tens der Ent­wick­lung beho­ben wer­den. Die Sicher­heits­do­ku­men­ta­ti­on kommt zu dem Schluss, dass die Coro­na App “alle für die­se App zutref­fen­den Anfor­de­run­gen aus der tech­ni­schen Richt­li­nie TR 03161 – Sicher­heits­an­for­de­run­gen an Digi­ta­le Gesund­heits­an­wen­dun­gen” des BSI erfüllt. Und auch zukünf­tig wird die Wei­ter­ent­wick­lung der App vom BSI beglei­tet. Die zuge­hö­ri­ge Pres­se­mit­tei­lung fin­den Sie hier.

Wei­te­re Infor­ma­tio­nen zu Daten­schutz- /​ tech­ni­schen Aspek­ten lie­fert eine Stu­die aus die­ser Woche (09.06.2020) der Unis Darm­stadt, Mar­burg und Würzburg. 

Prüf­auf­trag der Coro­na App war limi­tiert 

Laut TÜVit wur­de der Auf­trag zur Durch­leuch­tung der Ent­wick­lung auf bestimm­te Berei­che begrenzt. Aus­ge­nom­men von der Prü­fung waren Sys­tem­fea­tures von Apple /​ Goog­le und das Backend des eigent­li­chen Daten­ser­vers. Fer­ner sei die Ver­schlüs­se­lungs­lo­gik für die auf dem Mobil­ge­rät gespei­cher­ten Daten nicht Gegen­stand der Prü­fung gewesen. 

Fazit zum aktu­el­len Stand der Coro­na App 

Das Vor­ge­hen bei der Sicher­heit der Coro­na App steht in Wider­spruch zu dem Bestre­ben, Ver­trau­en in die­sen Lösungs­an­satz zu stär­ken. Es stellt sich die Fra­ge, ob nicht die­je­ni­gen, wel­che die Coro­na App ger­ne instal­lie­ren, um sich und Mit­bür­ger zu schüt­zen, ohne­hin mit gesun­dem Men­schen­ver­stand an Prä­ven­ti­ons­maß­nah­men her­an­ge­hen, wäh­rend ande­ren Anwen­dern ein wei­te­rer Schritt in die Unmün­dig­keit vor­ge­legt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit und mäßi­gem Mar­ke­ting las­sen an einem posi­ti­ven Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit en Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Daten­schutz-Bericht 2020 der Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein — Teil 2

Anwen­dung der DSGVO

Daten­schutz /​ IT-Sicher­heit — All­ge­mei­nes 

Bei der Anwen­dung der DSGVO warnt das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein vor „Schnell­schüs­sen“. Viel­mehr sei hier­bei sorg­fäl­tig zu eva­lu­ie­ren. Bei der ger­ne dis­ku­tier­ten Fin­dung der rich­ti­gen Rechts­grund­la­ge für eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten läge das Augen­merk ins­be­son­de­re auf Art. 6 Abs. 1 b und f DSGVO — (vor)vertragliche Maß­ga­ben und berech­tig­te Inter­es­sen — sowie wei­ter­füh­ren die Ein­wil­li­gung nach Buch­sta­ben a der zitier­ten Vorschrift. 

Daten­schutz­be­auf­trag­ten einer Ein­rich­tung kämen ins­be­son­de­re Beratungs‑, Unterrichtungs‑, Über­wa­chungs- und Prüf­auf­ga­ben zu. Die den Ver­ant­wort­li­chen per Gesetz oblie­gen­den Daten­schutz-Pflich­ten dürf­ten jenen nicht über­ge­hol­fen werden. 

Poli­ti­sche Ansich­ten sind nach EU-Daten­schutz­recht beson­ders sen­si­ble Infor­ma­tio­nen, die „immer einer spe­zi­fi­schen Rechts­grund­la­ge“ bedürf­ten. Eben­so geschützt sei­en pri­va­te Adressdaten. 

Ein zwin­gend zu beach­ten­des Pos­tu­lat ange­sichts der fort­schrei­ten­den Digi­ta­li­sie­rung einer­seits und der teils recht ein­sei­tig ergrif­fe­nen Schutz­maß­nah­men von Privatdaten. 

Bei jed­we­der Her­stel­lung von Ton­auf­zeich­nun­gen müs­sen Rechtsgrundlage(n) und ange­mes­se­ne Trans­pa­renz für die Betrof­fe­nen impli­zit sein. 

Im Rah­men der Ver­ar­bei­tung zur werb­li­chen Anspra­che sind die Maß­ga­ben von Treu und Glau­ben ein­schlä­gig und der Adres­sat muss den werb­li­chen Cha­rak­ter leicht erken­nen können. 

Daten­schutz in Online-Prä­sen­zen 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein hat an sämt­li­che Web­sei­ten­be­trei­ber in Form einer Pres­se­mit­tei­lung appel­liert, genutz­te Ana­ly­se­diens­te wie Goog­le Ana­ly­tics u.ä. sowie deren im Daten­schutz rechts­kon­for­men Ein­satz zu prüfen. 

Zu Face­book Fan­page Betrei­bern und Face­book selbst wur­de klar­ge­stellt, dass bei­de Grup­pen die Anfor­de­run­gen der Gemein­sa­men Ver­ant­wort­lich­keit nach Art. 26 DSGVO nicht erfül­len. Die Pflicht zum Abschluss einer ent­spre­chen­den Ver­ar­bei­tungs­ver­ein­ba­rung betref­fe sowohl Face­book als auch die hie­si­gen Fan­page Betreiber. 

Künst­li­che Intel­li­genz = Arti­fi­ci­al Intel­li­gence 

Bei Ent­wick­lung, Imple­men­tie­rung und Anwen­dung von KI sol­le auf eine ange­mes­se­ne Imple­men­tie­rung von grund­rechts- und wer­te-rele­van­ten Momen­ten geach­tet wer­den. Ent­spre­chen­de Anrei­ze könn­ten bei­spiels­wei­se durch För­der­ge­ber gesetzt werden. 

TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men 

  • ver­trau­li­che Infor­ma­ti­on sei im Fax­ver­sand nur bedingt geschützt. Bei Trans­port und Emp­fang wer­den „erheb­li­che Risi­ken für die Ver­trau­lich­keit der Inhal­te“ gese­hen. In jedem Fall muss der kon­kre­te und rich­ti­ge Emp­fän­ger sicher­ge­stellt werden 
  • Ver­ant­wort­li­che sei­en dar­auf ver­wie­sen, „peni­bel“ zu beach­ten, dass per­so­nen­be­zo­ge­ne Daten von Beschäf­tig­ten aus­schließ­lich auf Basis von und in den Gren­zen der Erfül­lung ihrer Auf­ga­ben erfolgt. Ein pas­sen­des und detail­lier­tes Berech­ti­gungs­kon­zept sind der Grund­stein für rich­ti­gen Beschäf­tig­ten­da­ten­schutz — u.a. Bestand­teil des Daten­scchutz Quick-Checks 
  • auch der Trans­port von Daten im Wagen soll­te durch ein gewis­ses Maß an tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) gesi­chert sein 
  • Kre­dit­in­sti­tu­te rief das ULD auf, bei der Wei­ter­ga­be per­so­nen­be­zo­ge­ner Bank­da­ten Trans­port- sowie Inhalts­ver­schlüs­se­lung zu implementieren 

Daten­schutz bei Gesund­heits­in­for­ma­tio­nen 

Das ULD kon­sta­tier­te, dass 

  • Kran­ken­häu­ser und Kliniken 
  • Arzt‑, Zahn­arzt­pra­xen 
  • Pfle­ge­ein­rich­tun­gen, ‑diens­te 
  • Apo­the­ken und ver­gleich­ba­re Einrichtungen 

durch ihren Umgang mit beson­de­re Kate­go­rien per­so­nen­be­zo­ge­ner Daten die­se gene­rell zu ver­schlüs­seln haben — ins­be­son­de­re bei mobi­len Devices und Speichermedien. 

Exter­nen Dienst­leis­tern zur Ver­nich­tung von Pati­en­ten­un­ter­la­gen sind mit­tels einer AVV „detail­lier­te Vor­ga­ben zur beab­sich­tig­ten Daten­ver­ar­bei­tung“ auf­zu­er­le­gen und eine schrift­li­che Ver­pflich­tung auf das Daten­ge­heim­nis mit Durch­griff auf den Auf­trags­ver­ar­bei­ter der ärzt­li­chen Schwei­ge­pflicht nach § 203 StGB durchzuführen. 

Video­über­wa­chung und Daten­schutz 

Video­über­wa­chung soll­te nur in den Gren­zen der recht­li­chen Zuläs­sig­keit und auf der Grund­la­ge einer ange­mes­se­nen Sach­kennt­nis erfol­gen. Die Daten­schutz­be­auf­trag­ten und Lan­des­da­ten­schutz­be­hör­den kön­nen hier­zu beraten. 

Die Video­über­wa­chung muss in Umklei­de­be­rei­chen grund­sätz­lich aus­blei­ben. Auch für Berei­che, in denen das Ver­hal­ten von Per­so­nen über län­ge­re Zeit auf­ge­zeich­net wird, wie in Trai­nings­be­rei­chen, schloss das ULD eine Zuläs­sig­keit aus. 

Aller­dings dürf­te es aller Vor­aus­sicht nach auch für die­se Fall­ge­stal­tun­gen Schran­ken geben, die eine Video­über­wa­chung im Rah­men einer stren­gen Rechts­gü­ter­ab­wä­gung erlauben. 

AV — Daten­schutz bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag 

Die Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten an Auf­trags­ver­ar­bei­ter ist dem Betrof­fe­nen zum Zeit­punkt der Erhe­bung sei­ner per­so­nen­be­zo­ge­nen Daten mit­zu­tei­len — sie­he auch das The­ma Informationspflichten. 

Die Ein­hal­tung der Mel­de­pflich­ten obliegt regel­mä­ßig dem Ver­ant­wort­li­chen. Die­ser kann den Auf­trags­ver­ar­bei­ter aller­dings zu den ent­spre­chen­den Mel­dun­gen zuläs­si­ger­wei­se auto­ri­sie­ren, sofern die Auto­ri­sie­rung aus der Mel­dung für Auf­sichts­be­hör­de „klar und beweis­bar“ nach­voll­zieh­bar ist. 

Es emp­fiehlt sich, Dienst­leis­ter und deren TOM regel­mä­ßig zu kon­trol­lie­ren oder nach­prü­fen zu lassen. 

Web­site des ULD 

Die­se und vie­le wei­te­re sehr auf­schluss­reich gestal­te­te The­men zum Daten­schutz, der IT-Sicher­heit und Poli­tik hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein mit dem vor­lie­gen­den Bericht veröffentlicht. 

Für die wei­ter­füh­ren­de Lek­tü­re des Ori­gi­nals bit­te hier klicken. 

Daten­schutz-Bericht 2020 der Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein — Teil 1

Das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein hat sei­nen Tätig­keits­be­richt 2020 für den Berichts­zeit­raum 2019 veröffentlicht. 

Ins­ge­samt wur­den 758 Bera­tun­gen durch­ge­führt und 959 Ver­fah­ren in der Zustän­dig­keit des ULD ange­legt, davon 680 auf Grund von Beschwer­den gegen Unter­neh­men und 279 gegen Behörden. 

Des Wei­te­ren wur­den 37 War­nun­gen, 26 Ver­war­nun­gen und 2 Anord­nun­gen gegen­über Ein­rich­tun­gen aus­ge­spro­chen. Auf Geld­bu­ßen wur­de in dem Zeit­raum 2019 ver­zich­tet. In 26 Fäl­len führ­te man Prü­fun­gen ohne zu Grun­de lie­gen­de, anlass­be­zo­ge­ne Beschwer­den durch, 13 davon bei nicht­öf­fent­li­chen Einrichtungen. 

Ver­let­zun­gen von Daten­schutz und Mel­de­pflicht 

Die ins­ge­samt 349 in Sachen Daten­pan­nen eröff­ne­ten Ver­fah­ren stel­len natur­ge­mäß nur einen Anteil der täg­lich gemel­de­ten oder ander­wei­tig dem ULD zur Kennt­nis gelang­ten Daten­schutz-Ver­let­zun­gen dar. Eben­so natur­ge­mäß, dass das ULD von der Dun­kel­zif­fer an Daten­pan­nen, die nicht gemel­det, son­dern im Nach­hin­ein fest­ge­stellt wer­den, nicht ange­tan ist. 

hier wür­de ich als tipp ergän­zen .. Daher auch in die­sem Kon­text der Tipp, nicht nur für unse­re Kun­den in Schles­wig-Hol­stein J, den Sie von uns auch sicher­lich aus Prä­sen­ta­tio­nen und Vor­ort­ter­mi­nen ken­nen: Daten­pan­nen immer doku­men­tie­ren und — zumin­dest intern an Ihren DSB — mel­den. Ent­war­nen lässt sich immer noch. 

Daten­pan­nen — Infor­ma­ti­ons­si­cher­heit /​ Daten­schutz 

Eben­falls kri­ti­sche Wor­te fin­det das ULD in Bezug auf das Umset­zungs­ni­veau der Infor­ma­ti­ons­si­cher­heit. Es gebe hier noch viel Nach­hol­be­darf, zumal Ver­let­zun­gen der Infor­ma­ti­ons­si­cher­heit wie u.a. auch Cyber­an­grif­fe man­gels per­so­nen­be­zo­ge­ner Daten häu­fig nicht ein­mal in einer Mel­dung resultieren. 

Für eine „ver­ant­wor­tungs­vol­le Digi­ta­li­sie­rung“ hält der vor­lie­gen­de Bericht dazu an, dass sämt­li­che Ein­rich­tun­gen das Schutz­ni­veau in Sachen Infor­ma­ti­ons­si­cher­heit ein­schließ­lich Daten­schutz auf den Prüf­stand brin­gen mögen. Sen­si­bi­li­sie­rung der Mit­ar­bei­ter sei nicht zu vernachlässigen. 

Das ULD sah ‘über den Tel­ler­rand´ 

Inspi­ra­ti­on für Sen­si­bi­li­sie­run­gen konn­te man im Aus­tausch mit einem unse­rer Nach­bar­län­der erhalten: 

  • Akti­ons­ta­ge „Löschen/​Schreddern“ 
  • „Gami­fi­ca­ti­on“ Ansät­ze von Daten­schutz mit Preis (Obst/​Schokoriegel) 
  • Daten­schutz­quiz und Datenpannensimulation 
  • anony­mi­siert rea­li­sier­te Phishing-Tests 
  • Selbst­da­ten­schutz mit Mehr­wert für die Beschäftigten 
  • im Team pro­du­zier­te Kurz­vi­de­os für Schulungszwecke 

gehör­ten dazu. Eine wei­te­re Klar­stel­lung, dass Daten­schutz per se leben­dig ist und unrich­ti­ger­wei­se manch­mal als tro­cken und läs­ti­ges Bei­werk ange­se­hen wird. 

Auch in Unter­neh­men und kom­mu­na­len Ein­rich­tun­gen las­sen sich sol­che Aktio­nen und Work­shops durch­füh­ren. Für Anfra­gen und Anre­gun­gen neh­men Sie ger­ne Kon­takt zu uns auf. 

Für eine Ver­ein­heit­li­chung von Daten­schutz­stan­dards und Ver­ständ­nis­fra­gen sieht das ULD eine regel­mä­ßi­ge Kom­mu­ni­ka­ti­on über Erfah­run­gen als sehr wich­tig an. Im genann­ten Nach­bar­land Öster­reich ist dies bereits ver­bind­li­che Vorschrift. 

Infor­ma­ti­ons­frei­heit und Daten­schutz auf (inter)nationaler Ebe­ne 

Das ULD stellt klar, dass auch die inner­staat­li­che Abstim­mung unter Daten­schutz­be­hör­den auf Bun­des- und Lan­des­ebe­ne in Sachen Daten­schutz und Infor­ma­ti­ons­frei­heit in ange­mes­se­nem Maße auf­recht zu erhal­ten ist. Bei der Infor­ma­ti­ons­frei­heit exis­tie­re ledig­lich ein Gre­mi­um für die Zuar­beit der IFK. Noch sei­en nicht alle Bun­des­län­der ver­tre­ten man­gels ent­spre­chen­der Infor­ma­ti­ons­frei­heits- oder Transparenzportalen. 

Daten­ethik und Daten­si­cher­heit 

Die Daten­ethik­kom­mis­si­on der Bun­des­re­gie­rung hat ein Gut­ach­ten erstellt, das sich ins­be­son­de­re mit Algo­rith­men, KI und Big Data befasst. Betont wer­den unter ande­rem Mög­lich­kei­ten der Regu­lie­rung von algo­rith­mi­schen Sys­te­men. Das ULD for­dert — weni­ger banal als es zunächst klin­gen mag — die Bun­des­re­gie­rung als Auf­trag­ge­be­rin des Gut­ach­tens der Daten­ethik­kom­mis­si­on auf, die Inhal­te aus­wer­ten und in die wei­te­re Pla­nung ein­flie­ßen zu las­sen. In die­sem Zusam­men­hang moniert das ULD ein teils inkon­sis­ten­tes Agie­ren von Bund und Län­dern für /​ wider eine grund­wer­te­ori­en­tier­te, zukunfts­fä­hi­ge Digi­ta­li­sie­rung wie etwa Inhal­te in Gesetz­ge­bungs­ent­wür­fen, die „eine Kri­mi­na­li­sie­rung von Anbie­tern bestimm­ter daten­schutz­freund­li­cher Tech­ni­ken“ nahe­leg­ten. (§ 126a StGB). 

Man möch­te eine „Chan­ce auf bes­se­re Sicher­heit“ nicht ver­tan wissen. 

Die per Innen­mi­nis­ter­kon­fe­renz 2019-06 in Pla­nung gege­be­nen „Zugriffs­er­leich­te­run­gen“ auf Mes­sen­ger und Smart Home Anwen­dun­gen hält das ULD in die­ser Form für nicht grundrechtsvereinbar. 

Behör­den 

Die Lan­des­da­ten­schutz­be­hör­de Schles­wig-Hol­stein for­dert Behör­den und sons­ti­ge öffent­li­che Stel­len des Bun­des­lan­des auf, einen behörd­li­chen Daten­schutz­be­auf­trag­ten zu benen­nen und „mit den erfor­der­li­chen Res­sour­cen“ aus­zu­stat­ten,  sofern bis­lang nicht erfolgt. 

Hand­lungs­be­darf sah die Lan­des­da­ten­schutz­be­hör­de bei der Wei­ter­ent­wick­lung von IT-Ver­fah­ren der Lan­des­po­li­zei. Die­se müss­ten in der Lage sein, Aus­künf­te an Betrof­fe­ne „umfas­send und zeit­nah“ zu ertei­len. Unter dem Titel „Null Daten­pan­nen­mel­dun­gen im Poli­zei­be­reich?!“ pos­tu­liert die Lan­des­be­auf­trag­te für Daten­schutz Schles­wig-Hol­stein, „gesetz­li­che Pflich­ten müs­sen ernst genom­men wer­den.“ Auch für den Jus­tiz­be­reich gel­te, dass Mel­de­pflicht von Daten­pan­nen umfas­send zur Kennt­nis genom­men und umge­setzt wer­den sollte.

Schles­wig-Hol­stein und die Kom­mu­nen sei­en — mit Unter­stüt­zung des ULD — in der Ver­ant­wor­tung einer daten­schutz­kon­for­men Umset­zung des Onlinezugangsgesetzes. 

Fort­set­zung folgt ..

Land­kreis Wun­sie­del im a.s.k. Daten­schutz AKDB Sicherheits-Check

Ende 2014 hat sich das Land­rats­amt Wun­sie­del dem AKDB Check 250 von a.s.k. Daten­schutz unter­zo­gen. Vor dem Hin­ter­grund ste­tig zuneh­men­der Daten­men­gen in Kom­mu­nen und den tech­ni­schen Her­aus­for­de­run­gen für Daten­schutz und Daten­si­cher­heit , aber auch ange­sichts der Fül­le sich ändern­der Geset­zes­la­gen ist es fast unmög­lich, in allen Berei­chen auf dem Lau­fen­den zu bleiben.

„Die eige­nen Ver­hält­nis­se mit den Bestim­mun­gen des BSI-Grund­schutz­ka­ta­lo­ges abzu­glei­chen, ist eine Her­ku­les­auf­ga­be“, so Wal­ter Zim­met, IT-Lei­ter im Land­rats­amt. „Unse­re IT-Abtei­lung kon­trol­liert sich selbst­ver­ständ­lich regel­mä­ßig selbst“, sagt Land­rat Karl Döh­ler. Doch auf­grund der zahl­rei­chen Her­aus- und Anfor­de­run­gen im Daten­schutz und in der Daten­si­cher­heit hat sich das Land­rats­amt Wun­sie­del zur Durch­füh­rung des AKDB Check 250 durch a.s.k. Daten­schutz ent­schie­den. „Vom äuße­ren Blick eines unab­hän­gi­gen Gut­ach­ters ver­spra­chen wir uns her­aus­zu­fin­den, wo wir bereits gut auf­ge­stellt sind und wo noch Ver­bes­se­rungs­be­darf beherrscht.“

Im Rah­men eines ein­tä­gi­gen Work­shops vor Ort wur­den knapp 250 Prüf­punk­te zu sicher­heits- und daten­schutz­re­le­van­ten The­men abge­ar­bei­tet. Im Nach­gang wur­den ers­te Schwach­stel­len besei­tigt, noch bevor der fina­le Audit-Bericht vor­lag. Das Ergeb­nis: über­durch­schnitt­lich! „Es brach­te uns eine gute Bewer­tung, for­dert aber auch, stän­dig wei­ter an der Daten­si­cher­heit zu arbei­ten“, fasst Land­rat Karl Döh­ler das Ergeb­nis des Audits zusammen.

Haben auch Sie für Ihre Kom­mu­ne Inter­es­se an den AKDB Checks 250 oder 650? Dann spre­chen Sie uns an. Selbst­ver­ständ­lich kann das Prüf­sche­ma auch auf nicht-baye­ri­sche Kom­mu­nen ange­wen­det werden.

Lesen Sie hier den voll­stän­di­gen Bericht auf Kommune21 oder laden Sie hier die PDF Ver­si­on herunter

[wpfi­le­ba­se tag=file path=‘presse/meldung_21206_IT+im+Selbst-Check.pdf’ tpl=download-button /​]

 

Quel­le: Kommune21

Erneut Hand­lungs­be­darf HPI stellt Daten­bank zu Iden­ti­täts­klau online

Neu­er Online Check nicht iden­tisch mit BSI

Bereits zwei Mal die­ses Jahr stell­te das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik ein Online Prüf-Tool zur Ver­fü­gung. Mit­tels die­ses Tools konn­ten Nut­zer tes­ten, inwie­weit ihre Email-Adresse(n) in Ver­bin­dung mit Web­log­ins bereits aktiv miß­braucht wurde(n). Mil­lio­nen Anwen­der haben die­ses Tool bis­her genutzt.

Eine etwas ande­re Daten­ba­sis bie­tet nun das HPI der Uni­ver­si­tät Pots­dam. Deren Tool prüft ein­schlä­gi­ge Foren und Boards, ob dort Email-Adres­se und /​ oder wei­te­re per­so­nen­be­zo­ge­ne Anga­ben inklu­si­ve Pass­wort öffent­lich zum Miß­brauch zur Ver­fü­gung gestellt wer­den. Zur Zeit umfasst die Daten­bank 171 Mil­lio­nen Einträge.

Nach Ein­ga­be einer Email-Adres­se erhält der Nut­zer zeit­nah eine Email mit genau­er Anga­be der kom­pro­mit­tier­ten Daten. Wenn kein Ein­trag gefun­den wur­de, wird kei­ne Email ver­sandt. Das bedeu­tet jedoch nicht, dass die­se Daten nicht ander­wei­tig bekannt sind und miß­braucht werden.

Top 10 der unsi­che­ren Passwörter

Obwohl die Tat­sa­che hin­läng­lich bekannt ist, wie ein eini­ger­ma­ßen siche­res Pass­wort aus­se­hen soll­te, fin­den sich in der Top 10 der Sta­tis­tik alte Bekann­te wie “123456”, “pass­word” und “qwertz” wie­der. Details über unsi­che­re Pass­wör­ter und Hil­fe­stel­lun­gen zu merk­ba­ren siche­ren Pass­wör­tern fin­den Sie hier im a.s.k. Daten­schutz-Blog

Zum Online Check des HPI: https://​sec​.hpi​.uni​-pots​dam​.de/​l​e​a​k​-​c​h​e​c​k​e​r​/​s​e​a​rch

Es lohnt sich, nicht nur alle pri­va­ten Email Adres­sen zu prü­fen, son­dern auch die geschäft­li­chen Daten einzubeziehen.

Daten­schutz-Zer­ti­fi­kat für Ihr Unter­neh­men — a.s.k. companysecure

Zei­gen Sie Ihren Kun­den und Auf­trag­ge­bern, das Ihr Unter­neh­men Daten­schutz ernst nimmt. Schaf­fen Sie Ver­trau­en! Wei­sen Sie den siche­ren und trans­pa­ren­ten Umgang mit dem The­ma Daten­schutz auf ein­fa­che Art und Wei­se nach.

In nur fünf Schrit­ten zum Daten­schutz-Zer­ti­fi­kat a.s.k. com­pa­nysecu­re.

 

 

  1. Pro­jekt­start mit Kick-off
  2. Vor­prü­fung und Bewer­tung: Vor­han­de­nes Daten­schutz­kon­zept, bestehen­de Richtlinien
  3. Daten­schutz-Audit vor Ort
  4. Umset­zung der not­wen­di­gen Maß­nah­men zur Sicher­stel­lung der Vorschriften
  5. Nach­prü­fung und Zer­ti­fi­kats­ver­ga­be im Erfolgsfall

 

 

Gleich­zei­tig schüt­zen Sie Ihr Unter­neh­men vor den Buß­geld­ri­si­ken des Bun­des­da­ten­schutz­ge­set­zes — § 43 BDSG. Sie behe­ben Män­gel in der tech­ni­schen und orga­ni­sa­to­ri­schen Umset­zung, erhö­hen dabei auto­ma­tisch die Sicher­heit. Gegen­über Ihren Auf­trag­ge­bern (im Fal­le eines Out­sour­cings oder auch bei Fern­war­tung und Sup­port­ar­bei­ten) bele­gen Sie die not­wen­di­gen Vor­aus­set­zun­gen im Rah­men der sog. Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG mühe­los. Ihre Kun­den wis­sen Ihr Enga­ge­ment in Sachen Daten­schutz eben­falls zu schätzen.

Wor­auf war­ten Sie noch? For­dern Sie gleich ein unver­bind­li­ches Ange­bot für den Erhalt des Daten­schutz-Zer­ti­fi­kats a.s.k. com­pa­nysecu­re für Ihr Unter­neh­men an.

[vfb id=8]

 

Die mobile Version verlassen