Zum Inhalt springen

Risiko

BYOD (Bring Your Own Device) — zusätz­li­che Daten­schutz-Risi­ken für Unternehmen

“BYOD” ist in aller Mun­de, zu Recht. Hin­ter dem Kür­zel ver­ber­gen sich zahl­rei­che Risi­ken und Unan­nehm­lich­kei­ten für Admi­nis­tra­to­ren und Unter­neh­mer. Doch “Bring Your Own Device” ist All­tag! Immer mehr Arbeit­neh­mer nut­zen ihre eigent­lich pri­va­ten Mobil­te­le­fo­ne, Smart­phones und Note­books beruf­lich für ihren Arbeitgeber.

IT-Admi­nis­tra­to­ren kämp­fen dadurch mit Wild­wuchs in der IT-Land­schaft und fürch­ten die hier­durch ent­ste­hen­den Sicher­heits­lü­cken — zu Recht! Geschäfts­füh­rer und Unter­neh­mer ver­schlies­sen vor der all­täg­li­chen Situa­ti­on oft­mals die Augen und ris­kie­ren dabei so einiges.

Bei still­schwei­gen­der Dul­dung ver­liert das Unter­neh­men not­wen­di­ge Ein­fluss- und Kon­troll­mög­lich­kei­ten. Mög­li­che Fol­gen: Daten­schutz­ver­stös­se, Sicher­heits­lecks und die dar­aus resul­tie­ren­den Image-Schä­den durch nega­ti­ve Presseberichte.

Was vie­le nicht wis­sen, die recht­li­chen Aspek­te die­ser The­ma­tik sind umfang­reich: Urhe­ber­rechts­ver­let­zun­gen, Lizenz­pro­ble­me, Haf­tungs­fra­gen, Ver­stö­ße gegen han­dels- und steu­er­recht­li­che Vor­schrif­ten, IT-Sicher­heit und Daten­schutz. Wol­len Sie als Unter­neh­mer dafür gera­de ste­hen, wenn Ihr Mit­ar­bei­ter per­so­nen­be­zo­ge­ne Daten Ihres Unter­neh­mens auf sei­nem pri­va­ten Mobil­ge­rät spei­chert und die­se dann mit einem der zahl­rei­chen Cloud-Diens­te syn­chro­ni­siert? Mit gro­ßer Wahr­schein­lich­keit liegt hier­für kei­ne vor­ge­schrie­be­ne Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung vor -> Buß­geld­ri­si­ko.

Unser Tipp:

  • Sor­gen Sie für kla­re Ver­ein­ba­run­gen und Richt­li­ni­en in Ihrem Unter­neh­men und inves­tie­ren Sie in die not­wen­di­ge IT-Infrastruktur.
  • Oder fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten! Sie haben kei­nen, dann spre­chen Sie uns an!

 

Bild­nach­weis: about​pi​xel​.de /​Was­ser­test © Kel­ler­meis­ter

Wohl­tä­ter oder Geschäf­te­ma­cher: Was steckt hin­ter sozia­len Netzwerken?

Bald begrüßt Face­book den Nut­zer Num­mer 1.000.000.000, jeder vier­te Deut­sche ist schon “drin”. Doch was steckt dahin­ter? Eine Mis­si­on, die Welt etwas bes­ser zu machen? Oder doch nur rei­ne Geschäf­te­ma­che­rei im Ange­sicht von über vier Mil­li­ar­den US-Dol­lar Umsatz im Jahr 2011. Schät­zun­gen vor dem geplan­ten Bör­sen­gang gehen von einem Unter­neh­mens­wert von 100 Mil­li­ar­den US-Dol­lar aus. Doch was macht die­sen vir­tu­el­len Wert aus? Die per­so­nen­be­zo­ge­nen Daten der Nut­zer, die zuhauf frei­wil­lig in die Daten­ban­ken des Kon­zerns geschau­felt werden.

“Das Geschäft mit den Daten” titelt der NDR und stellt einen TV-Bei­trag vom 02.04.2012, 22:00 Uhr in sei­ner Media­thek online. Schau­en Sie rein und erfah­ren Sie in einer Drei­vier­tel­stun­de mehr über die Funk­ti­ons­wei­sen von Face­book, die Beweg­grün­de des Unter­neh­mens und die Moti­va­ti­on der Nut­zer, öffent­lich so vie­le Daten und Infor­ma­tio­nen über sich preiszugeben.

  • Das Geschäft mit den Daten, NDR

Der SWR hat in 2011 einen sati­ri­schen Bei­trag über die Funk­ti­ons­wei­sen und Fea­tures online gestellt. Auch die­sen soll­ten Sie sich nicht ent­ge­hen lassen.

Viel Spaß beim Schauen

 

Ist Ihr Web­auf­tritt daten­schutz­kon­form? Mit Sicher­heit mit dem Zer­ti­fi­kat a.s.k. websecure

Kaum ein Unter­neh­men kommt ohne Web­auf­tritt aus heut­zu­ta­ge. Der Auf­tritt im World Wide Web ist zu mehr her­an­ge­wach­sen als die ursprüng­li­che digi­ta­le Visi­ten­kar­te. Mit zahl­rei­chen Funk­tio­nen wird um die Gunst der Besu­cher gebuhlt. News­let­ter, Kon­takt­for­mu­la­re, Stel­len­aus­schrei­bun­gen, Gewinn­spie­le, Social Media, Daten­schutz­er­klä­rung oder auch das Impres­sum haben natur­ge­mäß ihre Tücken und ber­gen das Risi­ko von Abmah­nun­gen und Buß­gel­dern. Prä­sen­tie­ren Sie Ihren Web­sei­ten-Besu­chern das Daten­schutz-Zer­ti­fi­kat a.s.k. websecu­re und demons­trie­ren damit den daten­schutz­kon­for­men Umgang mit per­so­nen­be­zo­ge­nen Daten Ihrer Webseite.

Und so ein­fach kom­men Sie zum Ziel:

  1. Schi­cken Sie uns mit dem unten­ste­hen­den For­mu­lar die URL Ihrer Web­sei­te und Ihre Kon­takt­da­ten. Sie erhal­ten zeit­nah Ihr Angebot.
  2. Nach Auf­trags­ver­ga­be folgt ein umfang­rei­cher Check Ihres Web­auf­tritts. Im Anschluß liegt Ihnen ein detail­lier­ter Ergeb­nis- und Maß­nah­men­be­richt vor.
  3. Jetzt gilt es für Sie, die iden­ti­fi­zier­ten Schwach­stel­len zu beseitigen.
  4. Nach posi­ti­ver Nach­prü­fung erhal­ten Sie das Daten­schutz-Zer­ti­fi­kat a.s.k. websecu­re.

 

Die Prüf­punk­te

  1. Impres­sum
  2. Daten­schutz­er­klä­rung (Umfang und Inhalt)
  3. Web­track­ing Umsetzung
  4. News­let­ter Umsetzung
  5. Online-Buchun­gen /​ Kon­takt­for­mu­la­re
  6. Stel­len­an­ge­bo­te online
  7. Social Media Inte­gra­ti­on /​ Umset­zung
  8. Zuläs­sig­keit der Datenerhebun
  9. Con­tent Manage­ment Sys­tem (CMS)

 

a.s.k. web­se­cu­re

Das Daten­schutz-Zer­ti­fi­kat a.s.k. web­se­cu­re hat eine Gül­tig­keit von 12 Mona­ten und kann nach ent­spre­chen­der Nach­prü­fung ver­län­gert werden.

Inter­es­se? Dann ein­fach For­mu­lar aus­fül­len — wir mel­den uns mit einem Ange­bot bei Ihnen und machen Ihren Web­auf­tritt sicher.

[vfb id=8]

 

Hei­te­res Rät­sel­ra­ten mit Spam — solan­ge der Anhang nicht geöff­net wird

Ein Tag, wie jeder andere

Das Email-Pro­gramm wird geöff­net, unzäh­li­ge neue Nach­rich­ten sor­tie­ren sich in die Post­fä­cher. “Ah, Post von Pay­pal”, mitt­les Dop­pel­klick geöff­net, schließ­lich nutzt man den Dienst ja gele­gent­lich. Und dann liest man fol­gen­den Text:

 

Sehr geehr­ter PayPal-Mitglied,

auf­grund eines auto­ma­ti­sier­ten Abglei­ches Ihrer Kun­den­da­ten mit Vergleichsstatistiken
wur­de das Risi­ko eines Zah­lungs­aus­falls f�r Ihr Kon­to als �ber­durch­schnitt­lich hoch
ein­ge­stuft Um wei­ter­hin pro­blem­los Ihr Pay­Pal-Kon­to nut­zen zu k�nnen, bit­ten wir Sie
Ihre Daten — als Sicher­heit bei Zahlungsausf�llen — bei uns erneut zu registrieren. 

Ihre Daten k�nnen Sie mit­hil­fe des beigef�gten For­mu­lars hin­ter­le­gen. Wir bitten
die Unan­nehm­lich­kei­ten zu ent­schul­di­gen, die­ses Vor­ge­hen ist aller­dings aufgrund
ver­mehr­ter Betrugs­ver­su­che erforderlich.

Mit freund­li­chen Gr��en, Ihr Pay­Pal Kundenservice
—————————————————————————————–
Copy­right � 1999–2012 Pay­Pal. All rights reser­ved Pay­Pal Deutschland &
�ster­reich Pty Limi­t­ed ABN 76 977 185 389 (AFSL 304572)

 

Über­ra­schung

Im Anhang ein klei­nes HTML-For­mu­lar. Ein erneu­ter Klick bräch­te dann die Überraschung:

PHISH/Paypal.A0

Ziel: Pay­pal

 All­ge­mein Es wird beab­sich­tigt fol­gen­de Infor­ma­tio­nen zu bekommen:
    • Kreditkarte
    • Per­so­nen­be­zo­ge­ne Information
    • Pay­pal Zugangsdaten

Phis­hing Methode:
    • URL link

 

Wohl dem, der sol­che Anhän­ge erst gar nicht öff­net oder wenn doch, zumin­dest über aktu­el­le Schutz­soft­ware ver­fügt, um dem Daten­ver­lust vor­zu­beu­gen und nicht Opfer eines — in die­sem Fall sehr offen­sicht­li­chen — Daten­dieb­stahls zu werden.

 

Mein Tipp

Fül­len Sie den Lücken­text und erset­zen Sie die Son­der­zei­chen sinn­ge­mäß. Danach: löschen 🙂

 

Zeit zu Han­deln: Goog­le Web­pro­to­koll vor dem 01.03.2012 löschen

Zum 01.03.2012 beglückt uns Goog­le mit neu­en Daten­schutz­be­stim­mun­gen. Und wie immer alles nur zum Woh­le der Nutzer 😉

Ab die­sem Tag erhal­ten wir per­so­na­li­sier­te Goog­le-Such­ergeb­nis­se, ob uns das passt oder nicht. Aus­lö­ser ist das sog. Web­pro­to­koll, das hin­ter jedem Goog­le Account geführt wird. Wie üblich, ist die­ses stan­dard­mä­ßig akti­viert. Die­ses Pro­to­koll zeich­net alle Akti­viä­ten — auch diens­te­über­grei­fend — des Nut­zers auf, sofern man über einen Goog­le Account eines der Diens­te ver­fügt. Bis­her durf­ten die­se Daten nicht ver­eint wer­den, der 01. März 2012 ändert dies. Mit den neu­en Daten­schutz­be­stim­mun­gen, eine für alle Diens­te, kann Goog­le die­se Daten nun zusam­men­füh­ren. Und das ganz unab­hän­gig davon, ob es Alt- oder Neu­da­ten sind. Grund genug, die vor­han­de­nen Daten zu löschen und die Auf­zeich­nung neu­er Daten einzuschränken.

Wie das geht, ver­rät das Com­pu­ter­ma­ga­zin “Chip” in einem Arti­kel samt anschau­li­cher Bild-Anlei­tung.

Mehr Infor­ma­tio­nen zu Goo­gles neu­en Daten­schutz­be­stim­mun­gen fin­den Sie in einem lesens­wer­ten Bei­trag von daten​schutz​be​auf​trag​ter​-info​.de

BSI emp­fiehlt Über­prü­fung von PCs auf Schad­soft­ware “DNS-Chan­ger” /​ Repair Tool zum Down­load von Avira

Bonn /​ Wies­ba­den, 11. Janu­ar 2012. Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) warnt vor dem Befall von PC- und MAC-Sys­te­men  mit der Schad­soft­ware “DNS-Chan­ger”. Ab sofort ist eine sol­che Über­prü­fung mit Hil­fe der Web­sei­te https://​www​.dns​-ok​.de ganz ein­fach möglich.

Inter­net­kri­mi­nel­le kön­nen die Netz­werk­kon­fi­gu­ra­ti­on von PC- und Mac-Sys­te­men durch den Ein­trag neu­er DNS-Ser­ver mit der Schad­soft­ware “DNS-Chan­ger” mani­pu­liert haben. Das DNS (Domain Name Sys­tem) ist einer der wich­tigs­ten Diens­te im Inter­net, wel­cher für die Umset­zung von Namen (URLs) in IP-Adres­sen ver­ant­wort­lich ist. Im Fal­le einer Infek­ti­on mit der Schad­soft­ware lei­tet der Web­brow­ser die Benut­zer bei Abfra­ge popu­lä­rer Web­sei­ten unbe­merkt auf mani­pu­lier­te Sei­ten der Kri­mi­nel­len um, wo betrü­ge­ri­sche Akti­vi­tä­ten wie bei­spiels­wei­se die Ver­brei­tung angeb­li­cher Anti­vi­ren­soft­ware, Klick­be­trug oder nicht lizen­zier­ter Medi­ka­men­ten­ver­kauf statt­fin­den. Zudem konn­ten die Kri­mi­nel­len gezielt mani­pu­lier­te Wer­be­ein­blen­dun­gen an infi­zier­te Rech­ner sen­den, Such­ergeb­nis­se mani­pu­lie­ren und wei­te­re Schad­soft­ware nachladen.

In Deutsch­land sind nach Anga­ben der ame­ri­ka­ni­schen Bun­des­po­li­zei FBI der­zeit bis zu 33.000 Com­pu­ter täg­lich betrof­fen. Mit der Inter­net­sei­te https://​www​.dns​-ok​.de kön­nen Inter­net­nut­zer ab sofort eigen­stän­dig prü­fen, ob ihr Sys­tem von dem Schad­pro­gramm “DNS-Chan­ger” betrof­fen ist. Beim Auf­ruf die­ser Inter­net­adres­se erhal­ten Nut­zer, deren Com­pu­ter­sys­tem von dem Schad­pro­gramm mani­pu­liert wur­de, eine Warn­mel­dung mit roter Sta­tus­an­zei­ge. Ergänzt wird die­ser Hin­weis durch eine Rei­he von Emp­feh­lun­gen, mit denen die Anwen­der die kor­rek­ten Sys­tem­ein­stel­lun­gen wie­der­her­stel­len sowie ggf. die Schad­soft­ware vom Sys­tem ent­fer­nen kön­nen. Ist dage­gen der Rech­ner des Inter­net­nut­zers nicht betrof­fen, erhält der Besit­zer die Mel­dung mit einer grü­nen Sta­tus­mel­dung, dass sein Sys­tem kor­rekt arbeitet.

Die Über­prü­fung erfolgt aus­schließ­lich über den Auf­ruf der Web­site https://​www​.dns​-ok​.de, es wird kei­ne Soft­ware gestar­tet oder her­un­ter­ge­la­den. Zur Rei­ni­gung des Rech­ners kön­nen die Betrof­fe­nen bei­spiels­wei­se die unter https://​www​.bot​frei​.debereit­ge­stell­ten Pro­gram­me wie den “DE-Clea­ner” nutzen.

Zur voll­stän­di­gen Pres­se­mel­dung des BSI

Update 02.02.2012

Der bekann­te Her­stel­ler von Sicher­heits­soft­ware, Avi­ra stellt ein Repa­ra­tur-Tool zum frei­en Down­load zur Ver­fü­gung. Damit sol­len sich die Mani­pu­la­tio­nen des Tro­ja­ners “DNS-Chan­ger” wie­der rück­gän­gig gemacht wer­den kön­nen. Zum Down­load

Alle reden von der Cloud …

.. aber oft­mals ist gar nicht so klar, was damit eigent­lich gemeint ist. Ein Unter­neh­men spricht in Wer­be­kam­pa­gnen mas­siv Pri­vat­kun­den an, per­sön­li­che Daten und Doku­men­te doch ein­fach in der Cloud zu spei­chern, um “in”, “hip” und “tren­dy” zu sein. Ande­re Anbie­ter rich­ten sich mit etwas geziel­te­ren Infor­ma­tio­nen und Leis­tungs­be­schrei­bun­gen an Unter­neh­men und Unternehmer.

Neben der gan­zen Ver­wir­rung um die Defi­ni­ti­on beflü­geln wei­te­re Ver­kaufs­ar­gu­men­te wie Über­all-Zugriff und Kos­ten­ein­spar­po­ten­tia­le die Phan­ta­sie. Dar­über gera­ten die daten­schutz­recht­li­chen Aspek­te und Not­wen­dig­kei­ten einer sol­chen Out­sour­cing-Lösung schnell außer Acht.

Denn oft­mals wird ver­ges­sen: Cloud Com­pu­ting ist nach deut­schem Daten­schutz­recht klas­si­sche Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Und die­se bedarf eini­ger Vor­aus­set­zun­gen, die vor Inbe­trieb­nah­me umzu­set­zen und ein­zu­hal­ten sind. Zuwi­der­hand­lun­gen kön­nen nach § 43 BDSG mit Buß­gel­dern bis 50.000 EUR belegt wer­den. Da ist die Kos­ten­ein­spa­rung schnell wie­der aufgezehrt.

Drei Arti­kel kann ich zur ver­tie­fen­den Lek­tü­re wärms­tens empfehlen:

Sie wol­len mit Ihrem Unter­neh­men selbst in die Cloud? Dann bin­den Sie Ihren Daten­schutz­be­auf­trag­ten früh­zei­tig ein. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann wird es Zeit, spre­chen Sie mich an.

Hilf­rei­che Links
  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

2‑Klick-Lösung: Alter­na­ti­ve zum Face­book “Gefällt mir”- /​ Like-But­ton datenschutzkonform?

Der gest­ri­ge Blog­bei­trag Face­books “Gefällt mir” /​ “Like” nun bun­des­weit unter Beschuss vom 19.12.2011 hat auf Xing​.de die Fra­ge auf­ge­wor­fen, wie denn Daten­schutz­ver­stö­ße beim Ein­satz von social plug­ins wie dem “Gefällt mir”- /​ “Like”-Button von Face­book ver­mie­den wer­den kön­nen. Die Ant­wort ist recht sim­pel: zur Zeit eigent­lich nur durch den Ver­zicht auf den Ein­satz die­ser Plugins.

Da die­se Mög­lich­keit mit fort­schrei­ten­der Ver­net­zung und den sich aus sozia­len Netz­wer­ken bie­ten­den Umsatz­po­ten­tia­len für Unter­neh­men nicht sehr befrie­di­gend ist, wird fleis­sig an Alter­na­ti­ven gear­bei­tet, pro­gram­miert und argu­men­tiert. Allen vor­an steht hier zur Zeit die sog. 2‑Klick-Lösung. Die­se wird von zahl­rei­chen Sei­ten und Unter­neh­men in ver­schie­de­nen Aus­prä­gun­gen umge­setzt und pro­pa­giert. Ein recht bekann­ter Ver­tre­ter ist der hei­se Ver­lag, u.a. Her­aus­ge­ber des pro­fes­sio­nel­len Com­pu­ter­ma­ga­zins c’t.

Kri­tik am Face­book “Gefällt mir”-Button

Die übli­che Ein­bin­dung des Face­book “Gefällt mir” — But­tons steht aus meh­re­ren Grün­den unter Beschuss der Daten­schutz­be­hör­den. Das beginnt bei der Erstel­lung von Benut­zer­pro­fi­len, unab­hän­gig von einer Anmel­dung bei Face­book, geht über die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an ein nicht-siche­res Land wie die USA und hört bei der feh­len­den Ein­wil­li­gung des Web­sei­ten­be­su­chers vor der gan­zen Erfas­sung und Über­tra­gung noch lan­ge nicht auf. Wer hier tie­fer in das The­ma ein­stei­gen will:

Was ist die 2‑Klick-Lösung?

Bei der alter­na­tiv dis­ku­tier­ten 2‑Klick-Lösung wird zuerst ledig­lich eine Gra­fik des Like-But­tons ange­zeigt, die selbst noch kei­ne akti­ven Funk­tio­nen ent­hält. Erst ein Klick auf die­se Gra­fik löst die Kon­takt­auf­nah­me zu Face­book und die Daten­über­tra­gung aus.

Das klingt doch gut

Ja, vom Ansatz her nicht ver­kehrt. Auch das ULD meint hierzu:

“Die Umset­zung führt zu einer daten­spar­sa­men Ein­bin­dung von Social Plug­ins, wie sie auch in der FAQ unter https://​www​.daten​schutz​zen​trum​.de/​f​a​c​e​b​o​ok/ beschrie­ben ist.”

Jedoch schränkt es die­se Lösung zugleich wie­der ein:

“Es muss jedoch beach­tet wer­den, dass mit­tels einer sol­chen infor­mier­ten Ein­wil­li­gung der Nut­ze­rin bzw. des Nut­zers nur die Daten­über­tra­gung an Face­book auf Ver­an­las­sung eines Web­sei­ten­be­trei­bers gerecht­fer­tigt wer­den kann. Dies ändert nichts dar­an, dass gegen­über Face­book nach unse­rer Ana­ly­se zur­zeit kei­ne wirk­sa­me Ein­wil­li­gung der Nut­ze­rin oder des Nut­zers vorliegt.”

Nicht der Weis­heit letz­ter Schluss

Dem­nach sind die Pro­ble­me durch die­se 2‑Klick-Lösung nicht vom Tisch. Der Web­sei­ten­be­trei­ber ver­fügt zwar damit über eine tech­ni­sche Umset­zung, die in punk­to Daten­schutz eine Ver­bes­se­rung dar­stellt, jedoch kei­ne recht­li­che Unbe­denk­lich­keits­be­schei­ni­gung sei­tens der Behör­den erhält. Es bleibt also nichts ande­res übrig, als die aktu­el­len Dis­kus­sio­nen und Reak­tio­nen auf­merk­sam wei­ter zu ver­fol­gen. Den ursprüng­li­chen Face­book Like-But­ton in unver­än­der­ter Form ein­zu­set­zen, erscheint wenig emp­feh­lens­wert. Jedoch soll­te jedem Web­sei­ten­be­trei­ber bewusst sein, dass ein Ersatz durch die 2‑Klick-Lösung eben­falls kei­ne Rechts­si­cher­heit mit sich bringt.

Vari­an­ten der 2‑Klick-Lösung

Es gibt zahl­rei­che Vari­an­ten und Abwand­lun­gen der 2‑Klick-Lösung. Bei­spiel­haft sei­en hier die Lösung von hei­se und der Anwalts­kanz­lei Fer­ner genannt. Für eini­ge Con­tent-Manage­ment-Sys­te­me wie Word­Press oder Joom­la sind wei­ter­hin sofort ein­setz­ba­re Addons /​ Plug­ins verfügbar.

 

Face­books “Gefällt mir” /​ “Like” nun bun­des­weit unter Beschuss

Bun­des­wei­te Unter­stüt­zung für Posi­ti­on des ULD

Am 08.12.2011 trat der sog. “Düs­sel­dor­fer Kreis”, ein Zusam­men­schluss der deut­schen Daten­schutz­be­hör­den zusam­men. Tags dar­auf folg­te eine ent­spre­chen­de Pres­se­mel­dung. Bun­des­weit stel­len sich die Lan­des­da­ten­schutz­be­hör­den hin­ter die Posi­ti­on des ULD (Unab­hän­gi­ges Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein), wonach der Ein­satz des sog. “Gefällt mir”-/Like-Buttons, sog. social plug­ins sowie von Face­book Fan­pages gegen deut­sches Daten­schutz­recht verstößt.

Im Klar­text heißt es im Beschluss der obers­ten Aufsichtsbehörden:

“In Deutsch­land ansäs­si­ge Unter­neh­men, die durch das Ein­bin­den von Social Plug­ins eines Netz­wer­kes auf sich auf­merk­sam machen wol­len oder sich mit Fan­pages in einem Netz­werk prä­sen­tie­ren, haben eine eige­ne Ver­ant­wor­tung hin­sicht­lich der Daten von Nut­ze­rin­nen und Nut­zern ihres Ange­bots. Es müs­sen zuvor Erklä­run­gen ein­ge­holt wer­den, die eine Ver­ar­bei­tung von Daten ihrer Nut­ze­rin­nen und Nut­zer durch den Betrei­ber des sozia­len Netz­wer­kes recht­fer­ti­gen kön­nen. Die Erklä­run­gen sind nur dann rechts­wirk­sam, wenn ver­läss­li­che Infor­ma­tio­nen über die dem Netz­werk­be­trei­ber zur Ver­fü­gung gestell­ten Daten und den Zweck der Erhe­bung der Daten durch den Netz­werk­be­trei­ber gege­ben wer­den können.

Anbie­ter deut­scher Web­sites, die in der Regel kei­ne Erkennt­nis­se über die Daten­ver­ar­bei­tungs­vor­gän­ge haben kön­nen, die bei­spiels­wei­se durch Social Plug­ins aus­ge­löst wer­den, sind regel­mä­ßig nicht in der Lage, die für eine infor­mier­te Zustim­mung ihrer Nut­ze­rin­nen und Nut­zer not­wen­di­ge Trans­pa­renz zu schaf­fen. Sie lau­fen Gefahr, selbst Rechts­ver­stö­ße zu bege­hen, wenn der Anbie­ter eines sozia­len Netz­wer­kes Daten ihrer Nut­ze­rin­nen und Nut­zer mit­tels Social Plug­in erhebt. Wenn sie die über ein Plug­in mög­li­che Daten­ver­ar­bei­tung nicht über­bli­cken, dür­fen sie daher sol­che Plug­ins nicht ohne wei­te­res in das eige­ne Ange­bot einbinden.”

Zur Vor­ge­schich­te

Im August 2011 hat das ULD aus­ge­wähl­te Stel­len in Schles­wig-Hol­stein auf Basis die­ser Rechts­auf­fas­sung auf­ge­for­dert, auf “Gefällt mir”-/Like-Buttons und Fan­pages zu ver­zich­ten. Gegen die­se Anord­nun­gen wur­de Wider­spruch ein­ge­legt, das ULD rech­net mit Kla­ge­er­he­bung noch im Dezem­ber 2011. Den kom­plet­ten Ablauf mit zahl­rei­chen wei­te­ren Rah­men­in­for­ma­tio­nen kön­nen Sie hier nachlesen.

Wel­ches Risi­ko besteht für Webseitenbetreiber?

“Nach einem Gespräch mit Wirt­schafts­po­li­ti­kern der CDU- und der FDP-Land­tags­frak­ti­on weist das ULD noch­mals dar­auf hin, dass es kurz­fris­tig nicht gegen klei­ne­re schles­wig-hol­stei­ni­sche Unter­neh­men wegen Face­book-Fan­pages oder „Gefällt mir“-Buttons vor­ge­hen wird”, so der Wort­laut in der Pres­se­mel­dung vom 09.12.2011. Dies soll­te jedoch nicht dahin­ge­hend ver­stan­den wer­den, mit der Nut­zung ein­fach fort­zu­fah­ren. Der Rechts­ver­stoß bleibt bestehen.

Mit Augen­maß

Es sind alle Betei­lig­ten (Diens­te-Anbie­ter, Nut­zer und Behör­den) gefor­dert, an den Sach­ver­halt mit Augen­maß her­an­zu­ge­hen und eine Lösung zu fin­den, die am Ende den Anfor­de­run­gen und Bedürf­nis­sen aller Betei­lig­ten und dem The­ma Daten­schutz gerecht wird. Ein kom­plet­tes bun­des­wei­tes Ver­bot des Face­book “Gefällt mir”- /​ Like-But­tons, der hier stell­ver­tre­tend für zahl­rei­che ande­re Ser­vices die­ser Art steht, wür­de im Zeit­al­ter der Tech­no­lo­gi­sie­rung, Media­li­sie­rung und Ver­net­zung einen nicht zu unter­schät­zen­den Wett­be­werbs­nach­teil für deut­sche Unter­neh­men bedeuten.

Quel­len:

 Zum The­ma auf die­sem Blog:

Hilf­rei­che Links
  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Bild­nach­weis

about​pi​xel​.de /​ Vor­sicht in s/​w © petereh­mann

Daten­schutz in Unter­neh­men — der fei­ne Unter­schied zwi­schen Theo­rie und Praxis

“Daten­schutz 2011” lau­tet eine Stu­die des TÜV Süd zum The­ma Daten­schutz in Unter­neh­men. Vier Mona­te lang von Dezem­ber 2010 bis März 2011 befrag­te man mit­tel­stän­di­sche Unter­neh­men in Deutsch­land und wer­te­te die Daten aus. Fazit: für die meis­ten teil­neh­men­den Unter­neh­men nimmt Daten­schutz einen hohen Stel­len­wert ein, doch es gibt gro­ße Defizite.

Gera­de im Bereich der Doku­men­ta­ti­on und Richt­li­ni­en klaf­fen Lücken, und somit fehlt “eine zuver­läs­si­ge Steue­rung von Ver­fah­ren und Pro­zes­sen im Bereich der Daten­si­cher­heit“, erklärt Dr. Wer­ner Degen­hardt, Aka­de­mi­scher Direk­tor an der Lud­wig-Maxi­mi­li­ans-Uni­ver­si­tät Mün­chen, wel­che mit dem TÜV Süd die Stu­die durchführte.

Wei­ter­hin feh­le es bei neu­en oder geän­der­ten Ver­fah­rens­wei­sen an einer Prü­fung auf Ein­hal­tung der Richt­li­ni­en und Geset­ze zum Daten­schutz. „Gera­de die­ses Ver­hal­ten ist jedoch die Ursa­che für die anhal­ten­de Wel­le von Daten­schutz­ver­let­zun­gen”, führt Degen­hardt wei­ter aus.

Grö­ße­re Defi­zi­te gäbe es eben­falls beim Kri­sen­ma­nage­ment im Umgang mit Daten­schutz­ver­let­zun­gen. Betrach­tet man die Ver­fah­rens­wei­sen nam­haf­ter Mar­ken­un­ter­neh­men bei Daten­pan­nen in der jün­ge­ren Ver­gan­gen­heit, so bestä­tigt die Stu­die die­se Wahr­neh­mung zumin­dest für eini­ge Unter­neh­men [Anm. des Autors]. Feh­len­de kla­re Vor­ga­ben zur Ver­fah­rens­wei­se im Pan­nen­fall ste­hen der sofor­ti­gen Besei­ti­gung der Pro­ble­me sowie der vor­ge­schrie­be­nen Infor­ma­ti­on an die Betrof­fe­nen im Wege.

Die Emp­feh­lung des TÜV Süd für Unter­neh­men, denen die not­wen­di­gen Res­sour­cen und /​  oder das not­wen­di­ge Daten­schutz-Know-How feh­len: Nut­zung eines exter­nen Bera­ters für Daten­schutz und Daten­si­cher­heit und die Bestel­lung eines exter­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten (wenn die Bestell­pflicht vorliegt).

Sie sind sich nicht sicher? Spre­chen Sie mich an. Sie wün­schen ein Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten? Nut­zen Sie das Ange­bots­for­mu­lar, selbst­ver­ständ­lich ver­schlüs­selt und sicher.

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.
Die mobile Version verlassen