Dänische Aufsichtsbehörde für Datenschutz erklärt viele Cookie-Banner für rechtswidrig

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Erst vorgestern habe ich meinen Kunden neueste Informationen zu Google Analytics von den deutschen Aufsichtsbehörden schicken müssen und nun kommt es sogar aus dem Ausland noch “schimmer” – Wir in Deutschland haben es vielleicht doch nicht am Schwersten wegen “diesem Datenschutz”. 😉

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig

Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig

Die dänische Datenschutzaufsichtsbehörde erlies vor kurzem eine explosive, aber bisher wenig beachtete Entscheidung zum Einholen einer Einwilligung für das Setzen von Cookies. Nach ihrer Ansicht sind unter anderem Cookie-Banner bzw. Cookie-Consent-Tools rechtswidrig, die den Websitebesucher vor die Wahl zwischen „OK“ und „Details anzeigen / Cookie Einstellungen“ stellen.

Beschwerde gegen üblichen Cookie-Banner

Das Dänische Meteorologische Institut (kurz: DMI) bietet auf ihrer Website vor allem Wettervorhersagen an und setzte zunächst einen Cookie-Banner ein. Die ursprüngliche Beschwerde aus 2018 richtete sich noch gegen einen Banner mit automatisch vorab ausgewählter Einwilligung. Nach der ursprünglichen Beschwerde gab das DMI eine neue Website in Auftrag. Deren Consent-Lösung gibt dem Nutzer bei dem erstmaligen Besuch zwei Möglichkeiten: Der Nutzer kann auf „OK“ (d.h. alle Cookies akzeptieren und weiter) oder „Cookie Einstellungen“ klicken. Nur bei Auswahl von „Cookie Einstellungen“ öffnet sich ein Menü, in dem die Cookies Präferenzen nach Zwecken „Erforderlich“, „Funktionell“, „Statistik“ und „Marketing“ eingestellt werden können.

Screenshot-Cookie-Banner-DMI

Übersetzt: „DMI und Dritte verwenden Cookies, um dmi.dk nützlicher zu machen und Ihnen eine bessere Erfahrung sowie Statistiken und gezieltes Marketing zu bieten. Wenn Sie auf OK klicken, stimmen Sie dem zu. Sie können Cookies auswählen und abwählen, indem Sie auf Cookie-Einstellungen klicken. Sie können Ihre Einwilligung jederzeit widerrufen. Lesen Sie mehr darüber und über Cookies auf dmi.dk in unserer Cookie-Richtlinie.“

Ähnliche Cookie-Consent-Lösungen sind auch dabei sich in Deutschland zu etablieren und werden etwa auf den Websites von Heise oder Volkswagen genutzt.

Screenshot Cookie-Banner heise

Zudem schaltet das DMI Bannerwerbung über das Google Werbenetzwerke auf der Website, wobei personenbezogene Daten mit Google geteilt werden, um die Anzeigen zu personalisieren. Der Beschwerdeführer wollte hier eine gemeinsame Verantwortlichkeit feststellen lassen.

Das DMI vertrat hingegen die Ansicht, seine aktuelle (neue) Cookie-Lösung stelle eine klare Einwilligungserklärung dar. Nutzer müssten im Einklang mit der EuGH Rechtsprechung zu Planet 49 aktiv einwilligen, bevor Cookies gesetzt werden und der Inhalt der Website angezeigt wird. Zudem sei eine differenzierte Einwilligung möglich, da Nutzer durch Auswahl von „Details anzeigen“ einigen Cookies zustimmen, und andere abwählen können. Dabei sind hier keine Kategorien von Cookies vorangewählt. Es werden zudem keine persönlichen Daten gesammelt und weitergegeben, bis die Besucher eingewilligt haben. In der Einwilligungserklärung werde außerdem darüber informiert, dass das DMI die Werbenetzwerke von Google nutzt.

Entscheidung der Aufsichtsbehörde

Wirklich neu und interessant an der Entscheidung sind die Einlassungen zur Ausgestaltung einer wirksamen Einwilligungserklärung für Cookies auf der Website. (Zusammen mit der Entscheidung veröffentlichte man zusätzlich eine dänische Orientierungshilfe für Telemedienanbieter.) Die dänische Aufsicht spricht sich nämlich entschieden gegen die seit dem Planet 49 Urteil weit verbreiteten Nudging-Lösungen zum Einholen einer Einwilligung für das Setzen von Cookies aus. So stellte man fest, dass die aktuelle Lösung des DMI zur Erlangung der Einwilligung in die Verarbeitung personenbezogener Daten aus den folgenden drei Gründen keine wirksame Einwilligung darstellt.

Keine freiwillige Einwilligung

Die dänische Datenschutzbehörde führt aus, dass der Zweck des Erfordernisses der Freiwilligkeit einer Einwilligung darin bestehe, Transparenz für die betroffene Person zu schaffen. Zudem soll der betroffenen Person die Wahl und Kontrolle über ihre personenbezogenen Daten geben werden. Daher gelte die Einwilligung nicht als freiwillig erteilt, wenn die betroffene Person keine echte und freie Wahl treffen kann.

Ein wichtiges Element bei der Beurteilung, ob die Zustimmung freiwillig ist, sei daher das Prinzip der „Granularität“. Danach muss für Verarbeitungsvorgänge, die mehreren Zwecken dienen, für jeden Zweck eine separate Einwilligung eingeholt werden. Diesem Erfordernis der Granularität werde die Lösung des DMI nicht gerecht, da der Besucher durch Auswahl von „OK“ seine Einwilligung gleichzeitig für mehrere unterschiedliche Verarbeitungszwecke erteilt. Nach Einschätzung der dänischen Datenschutzaufsichtsbehörde gibt die Erhebung personenbezogener Daten für verschiedene Zwecke auf der Grundlage einer einzigen Einwilligung dem Besucher keine ausreichende freie Wahl, die Zwecke zunächst zu identifizieren und dann granular zu entscheiden.

Zudem sei die Möglichkeit unzureichend, die Erfassung personenbezogener Daten für verschiedene Zwecke erst durch Auswahl des Buttons „Details anzeigen“ einzusehen und zu managen. Denn diese Option befindet „einen Klick entfernt“ und es ist nicht möglich, bei der ersten Interaktion mit dem Cookie-Banner das Setzen von bestimmten Cookies direkt abzulehnen.

Keine informierte Einwilligung

Die dänische Datenschutzaufsichtsbehörde betont, dass es für eine informierte Einwilligung zumindest erforderlich ist über die die Identität des für die Verarbeitung Verantwortlichen und die Zwecke der Verarbeitung aufzuklären.

Dies sei bei dem Banner des DMI nicht der Fall, da die Informationen über die (gemeinsamen) für die Verarbeitung Verantwortlichen – in diesem Fall Google – nicht ausreichend klar seien. Das DMI habe nämlich nicht transparent genug dargelegt, dass Bannerwerbung über das Werbenetzwerk von Google auf der Website geschaltet wird, da nicht Google, sondern die Werbenetzwerke von Google – DoubleClick und AdSense – genannt werden. Das sei für die Nutzer intransparent, da diese Produktnamen den betroffenen Personen nicht gängig seien.

Verstoß gegen den Grundsatz der Transparenz

Nach Ansicht der dänischen Datenschutzaufsichtsbehörde folgt aus dem Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO, dass es ebenso leicht sein muss, die Einwilligung in die Verarbeitung personenbezogener Daten abzulehnen, wie sie zu erteilen. Die derzeitige Struktur der Einwilligungslösung des DMI erfülle diese Transparenzanforderung nicht. Einem Besucher der Website ist es nicht möglich, die Verarbeitung personenbezogener Daten durch Cookies direkt abzulehnen. Der Besucher muss sich dafür zunächst die „Cookie Einstellungen“ anzeigen lassen. Ein solcher „One-Click-Away“-Ansatz ist nach Ansicht der Datenschutzaufsichtsbehörde nicht transparent, da er einen zusätzlichen Schritt erfordert, damit die betroffene Person die Einwilligung zur Verarbeitung personenbezogener Daten verweigern kann

Ebenso ist es nach Ansicht der Datenschutzaufsichtsbehörde nicht mit dem Grundsatz der Transparenz vereinbar, dass die Möglichkeit keine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, nicht den gleichen „Kommunikationseffekt“ hat. Das bedeutet diese Möglichkeit wird nicht auf den ersten Blick so klar kommuniziert wie die Möglichkeit eine Einwilligung zu erteilen. Hierdurch würde die betroffene Person indirekt dazu gedrängt, eine Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen.

Auswirkungen auf Deutschland

Was die dänische Aufsichtsbehörde entscheidet, hat natürlich zunächst keinen direkten Einfluss auf Verantwortliche in Deutschland. Schließlich ist hier einer der jeweiligen Landesdatenschutzbeauftragten nach Art. 55 DSGVO, § 40 BDSG für Unternehmen zuständig. Von der Entscheidung geht dennoch eine große Signalwirkung aus. Sie ist zumindest ein erstes Anzeichen, wohin die bevorstehende europäische Reise beim Einholen einer Einwilligung zum Setzen von Cookies nach den Vorgaben der E-Privacy-Richtlinie und DSGVO gehen könnte.

Bei diesem Thema unken die deutschen Aufsichtsbehörden bekanntermaßen schon länger rum. Seit Herausgabe der Orientierungshilfe für Tracking-Anbieter ist hierzulande nicht wirklich viel passiert. Rechtskräftige und öffentlichkeitswirksame Entscheidungen der Behörden? Bislang Fehlanzeige. Nur ein gemeinsames Vorgehen gegen das Real Time Bidding ohne Einwilligung hat man nun neulich angekündigt. Bei dem Thema Einwilligung zur Speicherung von Cookies hingegen, kommt wohl erst wieder Schwung in die Sache nach der Verkündung des entsprechenden BGH-Urteils am 28. Mai.

Interessant wird es auch sein zu sehen, wie sich die unterschiedliche Auslegung, bzw. schwerpunktmäßige Durchsetzung, der DSGVO durch die nationalen Datenschutzaufsichtsbehörden auf den Wettbewerb im europäischen Binnenmarkt auswirken wird. Sollte die dänische Behörde die in der Entscheidung herausgearbeiteten Grundsätze nun konsequent auf die Wirtschaft anwenden, dürfte davon auch hier gerade Angebote nationaler Online-Zeitungen von geringeren Werbeeinnahmen betroffen sein. Wenn die Aufsichtsbehörden der anderen EU-Länder bei der Durchsetzung nicht ähnlich scharf nachziehen, dürfte man vorerst auf dem Markt der europäischen Presseverleger wohl das Gegenteil des im Erwägungsgrund 2 aufgestellten Ziels, der Stärkung und des Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts, erreichen.

Cookie Fatigue – ein weiterer Akt

Die dänische Datenschutzaufsichtsbehörde scheint insbesondere bei dem aufgestellten Erfordernis der Granularität von dem Bild eines eher unmündigen Bürgers auszugehen. Ein Nutzer der auf „Ok“, „Einverstanden“ oder ähnliche Buttons klickt und darauf hingewiesen wird, dass er damit in sämtliche Cookies einwilligt, sollte diese selbstbestimmte Entscheidung treffen können. Vielen Nutzern ist das wahrscheinlich auch ganz recht, weil sie ungestört surfen wollen. Sie sind froh, wenn die lästigen Banner mit nur einem statt drei oder mehr Klicks verschwinden. Das ist wahrscheinlich ernüchternd für Aufsichtsbehörden, aber Datenschutz ist den meisten Nutzern nun mal lästig oder egal.

Interessierte Nutzer haben zudem die Möglichkeit ohne erheblichen Mehraufwand – ein Klick bedeutet einen zusätzlichen Zeitaufwand von ein bis zwei Sekunden – detaillierte Informationen einzusehen. Die Entscheidung der dänischen Datenschutzaufsichtsbehörde hat in dieser Hinsicht den Charakter einer „Zwangsbeglückung“. Sollte sich dieser Ansatz europaweit durchsetzen dürfte die „Cookie Fatigue“ – der allgemeine Cookie-Überdruss der Bevölkerung – weiter zunehmen.

Das Ende der Manipulation?

Andererseits leuchtet das Argument der dänischen Datenschutzaufsichtsbehörde ein, dass die Ablehnung der Einwilligung ebenso leicht möglich sein soll wie die Erteilung einer Einwilligung. Schließlich setzen Websitebetreiber gezielt auf sogenannte „Dark Patterns“, indem sie Nutzer durch die Menüführung die Erteilung der Einwilligung oder ähnliches nahelegen. Das dies durchaus gut funktioniert, legen erste wissenschaftliche Untersuchungen nahe.

Meist reichen schon einfache Dinge, Buttons für eine Einwilligung sind grün, die für eine Ablehnung von Cookies hingegen ausgegraut oder „Ja“-Buttons sind groß und prominent platziert und Buttons zur Ablehnung versteckt am Seitenrand. Besucher, die möglichst schnell ihrem eigentlichen Anliegen im Internet nachgehen wollen, werden so dazu verleitet, alle Cookies zu akzeptieren. So hat eine Untersuchung ergeben, dass Nutzer Entscheidungen gegen ihre Interessen treffen, sobald sie nur den geringsten Aufwand zum Schutz ihrer Daten betreiben müssen. Die Begründung der Forscher ist, dass anscheinend alle Dinge, bei denen Nutzer etwas selbst aktiv tun müssen, um ihre Daten zu schützen, zum Scheitern verurteilt sind. Das sogenannte Privatsphären-Paradoxon: Menschen ist Datenschutz wichtig, sie wollen sich aber nicht damit auseinandersetzen.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:

TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:

HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Aufsichtsbehörde erklärt viele Cookie-Banner für rechtswidrig.

Patientendaten aus französischer Medizin-Cloud offen im Internet

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Wichtig zu wissen ist, oft liegt es nur an der Konfiguration von Zugriffsrechten bzw. Einstellungen zur Erreichbarkeit von außen – heißt, derjenige der eine IT-Umgebung verwaltet verzichtet manchmal auf die höchstmögliche Sicherheit oder ist manchmal einfach faul – das Schlimmste aber wäre, er weiß es nicht besser! Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Patientendaten aus französischer Medizin-Cloud offen im Internet

Patientendaten aus französischer Medizin-Cloud offen im Internet

In einer offenen Datenbank waren intime Patientendaten zu Schönheitsoperationen einsehbar. Womöglich sind auch deutsche Ärzte und Patienten betroffen.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Das Beitragsbild stammt von mir. Hier geht’s zum Original: Patientendaten aus französischer Medizin-Cloud offen im Internet.

Wer eignet sich als betrieblicher Datenschutzbeauftragter? Geht nebenbei als DSB? Wer unterliegt welchem Interessenkonflikt?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Es wird aufgeräumt mit dem Mythos Nebenbei-DSB und welche Interessenkonflikte bei wem und in welcher Funktion auftreten können. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Wer eignet sich als betrieblicher Datenschutzbeauftragter?

Wer eignet sich als betrieblicher Datenschutzbeauftragter?

In der Vergangenheit haben wir bereits oft berichtet, was Voraussetzungen und Aufgaben des Datenschutzbeauftragten sind. Hier soll nun ergänzend erläutert werden, welche Personen in einem Unternehmen bzw. Betrieb sich grundsätzlich eignen oder nicht eignen, um die Position bekleiden zu können.

Eignungskriterien aus der DSGVO?

Unabhängig davon, ob man gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, macht es wegen der rechtlichen und technischen Komplexität Sinn, jemanden mit dieser Aufgabe zu betrauen. Falls man diese intern vergeben möchte, stellt sich aber schnell die Frage, wer das Amt überhaupt übernehmen darf.

Dreh- und Angelpunkt ist hierbei Art. 38 Abs. 3 und 6 DSGVO:

„(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (…)

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Daraus leitet sich allgemein ab, dass der Datenschutzbeauftragte weisungsfrei agieren und zuverlässig sein muss. Insbesondere bei betrieblichen Datenschutzbeauftragten ist darauf zu achten, das eine mögliche Interessenkollision vermieden wird.

Bei welchen Personen entstehen typischerweise Interessenskonflikte?

In der Literatur und Praxis haben sich bestimmte Personengruppen herausgebildet, bei denen das Vorliegen von Interessenskonflikten grundsätzlich bejaht werden kann. Diese sollte man also gar nicht erst näher in Betracht ziehen, selbst wenn sie sich fachlich für die Position des betrieblichen Datenschutzbeauftragten eignen würden.

Geschäftsführung / Vorstand

Insbesondere bei jungen Startup-Unternehmen beweisen sich Geschäftsführer als Allrounder und versuchen auch Datenschutzthemen zu bearbeiten. Dies erfolgt meist aus der Not heraus, dass noch kein passendes Personal vorhanden ist und/oder das vorhandene Budget keine externe Beratung zulässt. Hier ist dringend zu empfehlen, diese Doppelrolle schnell zu separieren.

Der Datenschutzbeauftrage übt maßgeblich eine kontrollierende Funktion innerhalb des Unternehmens aus. Die Geschäftsführung, der Vorstand oder ähnliche Funktionen in einer Organisation hingegen definieren intern die Unternehmensziele und vertreten das Unternehmen nach außen hin. Sie treffen als allgemein Unternehmensentscheidungen, bei denen insbesondere wirtschaftliche Interesse wie Kosteneinsparungen und Gewinnmaximierungen eine große Rolle spielen. Wenn die Geschäftsleitung auch als Datenschutzbeauftragte agiert, würde sie sich selber bei dieser Entscheidungsfindung kontrollieren müssen. Dass dies selten funktioniert, zeigt uns die Geschichte. Nicht umsonst ist die Gewaltenteilung ein tragendes Verfassungsprinzip unseres Rechtsstaates. Eine solche Gewaltenteilung ist gleichfalls bei der Stellung des Datenschutzbeauftragten erforderlich, damit dieser effizient und unvoreingenommen seine Aufgaben wahrnehmen kann.

Aber nicht nur die Problematik der Selbstkontrolle schreit förmlich nach Interessenskonflikt. Zudem besteht durch die Doppelrolle die Gefahr, dass Mitarbeiter sich scheuen, Datenpannen oder sonstige Defizite im Bereich Datenschutz und -sicherheit zu melden. Zu groß ist die Sorge, dass die Meldung für sich oder andere arbeitsrechtliche Konsequenzen haben könnte. Dem Datenschutzbeauftragten kommt insofern nicht nur eine Vertrauensposition zu, sondern auch eine neutrale Stellung innerhalb des Unternehmens.

IT-Manager

IT-Manager haben naturgemäß einen sehr guten Gesamtüberblick über die Datenverarbeitungsvorgänge im Unternehmen. Sie müssen sich bereits Fragen zur IT- und Datensicherheit stellen – ein Vorgang, der über Art. 32 DSGVO Überschneidungen zum Datenschutz aufweist – und haben deshalb oftmals auch schon ein sehr gutes Grundverständnis für Datenschutz. Es liegt also nahe, eine solche Person mit der Aufgabe eines betrieblichen Datenschutzbeauftragten zu betrauen. Allerdings ist auch hier Vorsicht geboten.

Bereits im Jahre 2016 hatte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilungen darauf hingewiesen, dass bei einem „IT-Manager“ die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter besteht. Das BayLDA verhing wegen dieser Doppelbesetzung ein Bußgeld gegen ein Unternehmen. Es begründete die Entscheidung damit, dass der IT-Manager

„gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.“

In dieser Pressemitteilung wird leider nicht ausgeführt, was die konkreten Aufgaben des IT-Managers des betroffenen Unternehmens waren. Falls man sich doch dazu entschließen sollte, eine Person aus der IT-Abteilung zum Datenschutzbeauftragten ernennen zu wollen, dann muss man anhand der konkreten Aufgaben sicherstellen, dass dessen Unabhängigkeit gewahrt ist. Dies geht nur, wenn eine andere Person letztlich die operativen Entscheidungen trifft.

Vertriebsleiter (bei direktem Vertrieb) und Leiter der Personalverwaltung

Unter der Aufsicht des Vertriebsleiters werden viele Kundendaten verarbeitet, bei dem Leiter der Personalverwaltung sind es die Beschäftigtendaten. Diese Abteilungsleiter verantworten ebenfalls maßgebliche Datenverarbeitungstätigkeiten im Unternehmen. Der Ausführende würde sich abermals selber kontrollieren und damit seine „Arbeitsleistung“ hinsichtlich datenschutzrechtlicher Gesichtspunkte bewerten müssen. Insoweit bestehen die gleichen Bedenken wie beim IT-Manager, sodass hier eine Interessenkollision besteht.

Interne Revision

Große Unternehmen verfügen in der Regel über eine interne Revision, welche eine interne Kontrollinstanz darstellt. Zu ihren Aufgaben gehören u. a.:

  • Prüfung der Einhaltung gesetzlicher, satzungsmäßiger oder sonstigen Vorschriften und Weisungen
  • Überwachung aller Geschäftsvorgänge auf ordnungsgemäße Bearbeitung
  • Vorschläge für die Verbesserung der innerbetrieblichen Organisation erarbeiten
  • Untersuchung der Wirtschaftlichkeit
  • ggf. Überprüfung der IT, soweit es hierfür keine separate Revision gibt
  • unmittelbare Berichte an die Geschäftsführung.

Ähnlich wie dem Datenschutzbeauftragten hinsichtlich Verarbeitungsvorgänge von personenbezogenen Daten steht der Revision ein uneingeschränktes Informationsrecht zu. Da die Revision bereits selber eine kontrollierende Aufgabe wahrnimmt, könnte dies zwar für das Vorliegen der entsprechenden Fachkunde sprechen. Allerdings muss man sich hier die Frage stellen, wer eigentlich wen kontrollieren darf. Soweit die Revisionsabteilung selber personenbezogene Daten verarbeitet, unterliegt sie der Kontrolle des Datenschutzbeauftragten.

Auf der anderen Seite ist der Datenschutzbeauftragte weisungsfrei und unterliegt damit in seinem Aufgabenbereich nicht der Kontrolle durch die Revision. Insbesondere wenn sich aus dem Gesetz eine Pflicht zur Benennung eines Datenschutzbeauftragten ergibt, spricht die Pflicht zur Verschwiegenheit aus §§ 6 Abs. 5 S. 2 und 38 Abs. 2 BDSG gegen eine Personenidentität. Wie schon bereits erwähnt ist der Datenschutzbeauftragte auch eine Vertrauensperson.

Es wäre dann wie der seltsame Fall des Dr. Jekyll und Mr. Hyde: Mal kontrolliert man sich selber und mal darf man es nicht. Einerseits ist man Vertrauensperson und muss die erlangten Informationen vertraulich behandeln. Andererseits ist man der Geschäftsführung direkt unterstellt und soll daher im Rahmen von Audits vollumfänglich berichten. Auch wenn beide Instanzen eine Kontrollfunktion im Unternehmen wahrnehmen, verfolgen diese unterschiedliche Interessen. Damit beide ihre Kontrollfunktion entsprechend wahrnehmen können, ist auch hier eine strikte Trennung zwischen Revision und Datenschutzbeauftragter zu empfehlen.

Betriebsratsmitglied

Der Betriebsrat wacht und kontrolliert als Arbeitnehmervertretung, dass die Schutzvorschriften für die Arbeitnehmer durch den Arbeitgeber gewahrt werden. Der Datenschutzbeauftragte hat im Unternehmen wiederum eine neutrale Stellung inne und berät sowohl Arbeitgeber- als auch Arbeitnehmerseite. Wenn ein Betriebsratsmitglied nun als Datenschutzbeauftragter bestellt wird, könnte man sich fragen, inwieweit dieses neutral den Arbeitgeber beraten kann. 

Das Bundesarbeitsgericht sah in seinem Urteil vom 23.03.2011 – 10 AZR 562/09 keine Interessenkonflikte und führt u. a. aus:

Die bloße Mitgliedschaft im Betriebsrat und dessen EDV-Ausschuss macht die Klägerin für das Amt der Beauftragten für den Datenschutz nicht unzuverlässig. (…) Dass der betriebliche Datenschutzbeauftragte Kontroll- und Überwachungsbefugnisse gegenüber dem Arbeitgeber hat, macht ein Betriebsratsmitglied nicht generell für diesen Aufgabenbereich ungeeignet. Die Rechtsstellung des Arbeitgebers wird nicht dadurch unzulässig beeinträchtigt, dass er einem Datenschutzbeauftragten gegenübersteht, der zugleich die Rechte des Betriebsrats aus dem BetrVG wahrnimmt.“

Die richtige Besetzung – keine leichte Aufgabe

Es ist gar nicht so leicht, eine passende Person zu finden, die für das „Amt“ des betrieblichen Datenschutzbeauftragten geeignet ist. Einerseits soll sie die fachliche Expertise im Datenschutz aufweisen und die Datenprozesse im Unternehmen kennen. Andererseits darf es nicht zu Interessenkollisionen mit ihren anderen Aufgaben kommen. Dadurch scheiden viele Personen aus, die eigentlich einen guten Gesamtüberblick über das Unternehmen hätten. Da Datenschutz nunmehr alle Bereiche im Unternehmen betrifft, ist auch der zu erwartende Arbeitsaufwand nicht zu unterschätzen. Es kann daher geboten sein, diese Stelle als Vollzeitstelle zu behandeln und entsprechend auszuschreiben.

Zudem gilt es zu beachten, je großer das Unternehmen und komplexer die Datenprozesse werden, desto eher kann eine Person alleine die relevanten Themen nicht mehr alleine bearbeiten. In der Praxis hat sich daher zunehmend die Kombination aus internem Datenschutzkoordinator und externen Datenschutzbeauftragten bewährt. Über die Stellung und die Aufgaben eines Datenschutzkoordinators hatten wir bereits ausführlich berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Wer eignet sich als betrieblicher Datenschutzbeauftragter?.

Influencer & Co. – Manipulation im Internet?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Den Link zum Original finden Sie unten, weil der Link hier nicht einbaubar war.

Influencer & Co. – Manipulation im Internet?

Kaum ein Begriff hat die Öffentlichkeit in den letzten Jahren so sehr geprägt wie der des „Influencers“. Influencer sind inzwischen wichtige Meinungsführer für Unternehmen aus allen Branchen geworden, da sie deren Produkte über digitale Plattformen direkt präsentieren können. Doch wo Licht ist, ist auch Schatten. Die Gefahren von Einflussnahme und Meinungsbildung durch Influencer über digitale Plattformen sind größer als je zuvor.

Instagram, Facebook – und was noch?

Wer das Wort Influencer hört, denkt fast immer an die bekannten Marketing-Plattformen unserer Zeit. Instagram, YouTube und Co. lassen grüßen. Das ist auch nachvollziehbar, schließlich hat Instagram, welches übrigens zum Datenkraken von Mark Zuckerberg gehört, bereits im Juni 2018 die 1-Milliarde-Marke bei den Nutzerzahlen geknackt. Gefühlt ist jeder Star (und wer sich für einen hält) auf diesen Plattformen zu finden, wo man sein scheinbar perfektes Leben mit seinen Followern teilen kann.

Als Influencer sind im Allgemeinen Personen zu verstehen, welche durch eine hohe Social-Media-Präsenz ein ausgeprägtes Netzwerk und Follower aufgebaut haben. Dadurch haben Influencer eine hohe Reichweite. Sie genießen ein hohes Ansehen bei ihren Followern und haben dadurch die Möglichkeit, die Meinung der Empfänger zu einem Thema zu beeinflussen. Influencer nehmen dabei allerdings nicht nur eine gewichtige Rolle im Online-Marketing ein, sondern können auch gezielt zur Meinungsmache in anderen Bereichen eingesetzt werden.

Safer Internet Day

Influencer richten sich dabei mit ihren (Werbe-)Botschaften zumeist an diejenigen, welche erfahrungsgemäß die größte Affinität zur digitalen Welt aufweisen, nämlich an Kinder und Jugendliche. Der diesjährige „Safer Internet Day“ stand unter dem Motto „Idole im Netz. Influencer & Meinungsmacht.“ Der Safer Internet Day wurde von der Europäischen Kommission ins Leben gerufen und findet seit 2004 jedes Jahr im Februar statt.

Dieser Aktionstag verfolgt insbesondere das Ziel, Heranwachsende als größte Zielgruppe für Online-Technologie zu schützen. In Deutschland wird der Safer Internet Day vom Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien in Zusammenarbeit mit den einzelnen Landesdatenschutzbehörden organisiert.

Beeinflussung und Meinungsmacht

Mit dem Motto in diesem Jahr hat der Safer Internet Day sicherlich den Zeitgeist getroffen. Der Begriff des Influencers polarisiert schon seit Jahren. Die Bandbreite reicht dabei von großer Bewunderung bis hin zu völliger Ablehnung dieses „Berufes“.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, hat dazu eine klare Meinung geäußert:

„Für die politische Meinungsbildung ist es wichtig, die Zusammenhänge einer manipulativen Datenverarbeitung zu erkennen. Spätestens seit dem Cambridge-Analytica-Skandal ist klargeworden, dass Daten nicht nur für eine zielgenaue Werbung verwendet werden; persönliche Daten werden auch zur politischen Manipulation der Nutzer*innen auch über sog. Influencer verwendet. Mit diesen Mechanismen müssen insbesondere junge Wähler*innen vertraut gemacht werden.“

Prof. Dr. Kugelmann spielt hier auf den Skandal an, in welchem das britische Datenanalyseunternehmen unrechtmäßig Daten für Donald Trump in dessen Wahlkampf 2016 ausgewertet haben soll. Eine nicht unerhebliche Rolle sollen hier diverse Influencer gespielt haben, welche durch gezielte Anzeigen die Anhänger Trumps Wähler mobilisiert und potenzielle Wähler von Hillary Clinton abgeschreckt haben.

Zusammenhänge begreifen – manipulative Datenverarbeitung?

Der Aktionstag hat wie gesagt das Ziel, Kindern und Jugendlichen Zusammenhänge zwischen verschiedenen Datenverarbeitungen und Informationsaustausch einerseits und einer möglichen Manipulation aufzuzeigen. Dies ist sicherlich begrüßenswert. Je mehr über eine einzelne Person bekannt ist, desto einfacher ist es, ihn zu manipulieren und ihn in eine bestimmte Richtung zu locken. Tracking und jegliche Art von Profiling machen es möglich.

Das kann die Einflussnahme auf Wahlergebnisse sein, aber auch die Bildung einer politischen Meinung, bis hin zum Rechtsextremismus. Das galt immer schon im realen Leben und gilt ebenso auch in der virtuellen Welt des Internets. Dort ist eine bewusste Einflussnahme im Regelfall sogar noch leichter, weil der einzelne „Täter“ auf Grund einer immer noch starken Anonymität deutlich schwerer zu identifizieren ist.

Ein Beispiel dafür ist die sogenannte Hasskriminalität. Dabei geht es um politisch motivierte Straftaten, bei denen das Opfer nach einer tatsächlichen oder scheinbaren Zugehörigkeit zu einer bestimmten Personengruppe ausgewählt wird. Auch hier kann jeder Einzelne durch bewusste Meinungsmache gesteuert werden, indem man beispielsweise über eine bestimmte Gruppe Unwahrheiten oder Verleumdungen verbreitet. Um dies einzudämmen, hat das Bundesjustizministerium kürzlich einen Gesetzesentwurf veröffentlicht. Dass dieser Entwurf in seinen Forderungen im Einzelnen zu weit geht, steht auf einem anderen Blatt. Er zeigt aber, dass der Gesetzgeber grundsätzlich die Notwendigkeit einer gewissen Regulierung erkannt hat.

Datenschutz kommt nie zu früh

Gerade bei Kindern und Jugendlichen ist die Gefahr auf Grund der geringen Lebenserfahrung am größten, einer Manipulation gleich welcher Art und zu welchem Zweck ausgesetzt zu sein. Heranwachsende sind erfahrungsgemäß nicht in der Lage, komplexe Sachverhalte in ihrer kompletten Bedeutung zu erfassen. Aktuell erfreut sich die Plattform TikTok bei der Jugend großer Beliebtheit. Allerdings nimmt es dieses Videoportal mit dem Datenschutz nicht sehr genau. Es ist daher von enormer Wichtigkeit, Heranwachsende dafür zu sensibilisieren, dass das Internet und Social Media nicht nur eine Vielzahl von Möglichkeiten bieten, sondern gleichzeitig verantwortungsvoll zu nutzen sind.

Zwar hätten Studien ergeben, dass digitale Medien weniger negative Auswirkungen hätten als zunächst befürchtet. Allerdings wird dabei selbst in Frage gestellt, inwiefern die Studien tatsächlich verlässlich sind. Dies lässt sich sicherlich unter anderem auf die Schnelllebigkeit der digitalen Welt zurückführen. Darüber hinaus ist möglicherweise der Zeitraum, der bewertet worden ist, noch zu kurz, um wirklich aussagekräftige Ergebnisse erzielen zu können.

Dennoch können Aufklärung und Datenschutz nie zu früh anfangen. Das gilt selbstverständlich nicht nur für Heranwachsende, sondern für uns alle. Der Schutz unserer Privatsphäre und damit eine gesellschaftliche Verantwortung liegen in unseren Händen. Aus diesem Grund sind solche Aktionstage ein guter Anfang.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original:

Influencer & Co. – Manipulation im Internet?

.

Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar

Betrügern ist es gelungen, sich von einer staatlichen Firma in Puerto Rico 2,6 Millionen US-Dollar zu beschaffen. Das klappte über eine Phishing-Mail.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Phishing: Puerto Rico verliert über E-Mail-Betrug 2,6 Millionen US-Dollar.

Warum das Passwort nicht mehr ständig geändert werden muss

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man kann auf den “ständigen Wechsel” von Passwörtern dann verzichten, wenn das Passwort stattdessen wirklich komplex ist.

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Warum das Passwort nicht mehr ständig geändert werden muss

Warum das Passwort nicht mehr ständig geändert werden muss

Hat der Passwortwahnsinn nun endlich ein Ende? Das grundlose, regelmäßige Ändern von Passwörtern ist aus dem IT-Grundschutz-Kompendium des BSI gestrichen worden. Dürfen Mitarbeiter jetzt aufatmen, weil sie sich nicht alle paar Monate komplexe Passwörter neu merken müssen und woher kommt der Mythos ständig sein Passwort ändern zu müssen?

Seit 2003 gilt es als Standard, dass Passwörter…

  1. komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen) und
  2. alle 90 Tage gewechselt werden sollen.

Zu „verdanken“ haben wir diesen Technologiestandard einem gewissen Mr. Bill Burr, der 2003 als Mitarbeiter des National Institute of Standards and Technology (NIST) den „NIST Special Publication 800 – 63. Appendix A“ verfasste. Das NIST legt als US-Behörde die Technologiestandards für die USA fest. Seine Empfehlungen fanden darüber hinaus erhebliche internationale Resonanz und waren seither absoluter Sicherheitsstandard bei der Vergabe von Passwörtern.

Was ist ein starkes Passwort?

Bereits 2017 revidierte das NIST jedoch seine Position (aktuelle Version). Und ihr Erfinder Bill Burr äußerte sich in einem Interview mit dem Wall Street Journal im gleichen Jahr sehr deutlich, indem er sagte, dass er auf dem falschen Dampfer gewesen sei und den Passwortwahnsinn bereue.

Seine Empfehlungen beruhten, seinen Aussagen zufolge, maßgeblich auf einem Paper der 80er Jahre. Und tatsächlich war das Wissen über Passwörter und vor allem über das User-Verhalten zu dieser Zeit nicht ausreichend erforscht – mal abgesehen davon, dass die vorhandenen Daten (Passwortsammlungen) mit den heutigen Datenmengen nicht vergleichbar sind.

Seit 2017 empfiehlt das NIST:

  • lange, statt komplizierte Passwörter zu verwenden, d.h. nicht weniger als 8 Zeichen, besonders sicher wäre auch ein kompletter Satz
  • Sonderzeichen erhöhen die Sicherheit des Passwortes nicht wesentlich, vor allem, weil die Algorithmen von Hackern diese Varianten zügig bei sogenannten Brute-Force-Attacken durchtesten
  • Passwortdopplungen sollten vermieden werden
  • keine regelmäßigen Änderungen der Passwörter, wenn nicht Anhaltspunkte für eine Kompromittierung vorliegen (Vermutung Hackerangriff etc.), da Nutzer bei zu häufigen Wechseln dazu neigen, unsichere Chiffren einzusetzen, um sich die vielen Passwörter noch merken zu können

Empfehlungen des BSI

Jüngst scheint das BSI (Bundesamt für Sicherheit in der Informationstechnik) endlich „Gnade“ walten zu lassen. Bis vor kurzem hielt das BSI in seinem IT-Grundschutz-Kompendium noch eisern an den NIST-Vorgaben fest. Anfang des Monats wich es in seinen Angaben vom zwanghaften Passwörterwechsel jedoch ab. Die Hinweise lauten nun u. a. wie folgt:

„ORP.4.A22 Regelung zur Passwortqualität [IT-Betrieb] (B)

In Abhängigkeit von Einsatzzweck und Schutzbedarf MÜSSEN sichere Passwörter geeigneter Qualität gewählt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit der Benutzer in der Lage ist, das Passwort mit vertretbarem Aufwand regelmäßig zu verwenden.“

„ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B)

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.“

Die wichtigsten Punkte zu Passwörtern

Zusammenfassend die wichtigsten Punkte zu Passwörtern:

  • Passwörter müssen geheim gehalten werden (Zettel mit den Passwörtern an Bildschirmen oder Tastaturen sind absolut inakzeptabel)
  • dasselbe Passwort sollte nicht für unterschiedliche Zwecke verwendet werden
  • umso länger das Passwort, umso besser (es empfehlen sich auch vollständige Sätze)
  • zu komplizierte Passwörter gefährden die Sicherheit
  • Sonderzeichen oder Zahlen sind gut, wenn das Passwort dadurch nicht zu kompliziert wird und im schlechtesten Fall häufig so verwendet wird (Bsp. Pa$$w0rd)
  • grundlose Passwortwechsel sind zu vermeiden
  • wenn ein Passwort gewechselt wurde, darf es nicht wiederverwendet werden und auch marginale Veränderungen reichen nicht aus

Insgesamt wäre es ratsam für Unternehmen, wenn sie ihre Mitarbeiter auf den sicheren Umgang bei der Verwendung von Passwörtern hinweisen würden. Anbieten würde sich zum Beispiel eine Einweisung beim Arbeitsbeginn und der erstmaligen Einrichtung. Außerdem können IT-Richtlinie oder ein Handbuch die laufenden Prozesse unterstützen. Wiederholende Schulungen können zu dem helfen diese Aspekte im Bewusstsein der Mitarbeiter zu verankern.

Beliebt ist nicht gleich sicher

Auch beim größten Verständnis für hohen Frust bei grundlosen, aufgedrängten Passwortwechseln ist die hohe Stellung der standardisierten IT-Sicherheit nicht zu unterschätzen. In Zeiten, in denen viele User noch Passwörter (gern auch dasselbe für alle Accounts) benutzen, wie 12345, qwertz oder der Evergreen password/t, hat man den Eindruck, dass Hacker geradezu eingeladen werden sollen (Liste der beliebtesten Passwörter). Mit den wenigen, oben genannten Tipps stärkt man jedoch seine Sicherheit und tritt dem ein oder anderen Hackerangriff wirksam entgegen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Warum das Passwort nicht mehr ständig geändert werden muss.

Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Und auch bei der IT-Sicherheit gilt, wer die Grundlagen im Griff hat, der setzt sich viel weniger Gefahr aus – Nehmen Sie Ihre IT-Dienstleister und IT-Partner deswegen unbedingt auch an die Kandarre. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019

Im Jahr 2019 sind wieder zahlreiche Sicherheitslücken und IT-Bedrohungen in den Medien diskutiert worden. Dass diese nicht bloß von theoretischer Natur sind, können wir aus unserer Berufspraxis bestätigen. Ein paar Szenarien, die das letzte Jahr bei uns häufig vorgekommen sind, möchte ich im Folgenden kurz vorstellen.

Emotet, die andauernde Bedrohung

Eine Schadsoftware, die das letzte Jahr vermutlich an niemandem vorbeiging, ist Emotet. Meist wird diese erst bemerkt, wenn die eigenen Daten verschlüsselt sind. Eine Infektion liegt aber oft Wochen bis Monate vorher schon vor. Ein Anzeichen ist u.a., dass E-Mails in Ihrem Namen an Ihre Kontakte verschickt werden. Diese haben dem angezeigten Namen nach Ihre E-Mail-Adresse, die eigentliche E-Mail-Sendeadresse ist jedoch eine andere. Die Mails beziehen sich im schlimmsten Fall auch auf den Inhalt ihrer Unterhaltungen.

Sofern Emotet, und im Laufe der Zeit auch Trickbot, alle relevanten Daten (Zugangsdaten, Kontaktlisten etc.) abgezogen haben, wird eine Ransomware nachgeladen und ausgeführt.

Die Infektion erfolgt bei den meisten via E-Mail. Dort ist eine Office-Datei mit einem Makro angehängt. Wird das Makro ausgeführt, lädt es mittels PowerShell weitere Schadsoftware nach. Am einfachsten schützt man sich davor, indem man das Laden von Makros per Gruppenrichtlinie untersagt.

Als Forensiker stehen wir vor der Fragestellung, wie Emotet trotz Sicherheitsmaßnahmen in das Netzwerk eindringen konnte. Dabei geht es u.a. um die Suche nach dem Ursprungsrechner und dem Verbreitungsweg im Netzwerk.

Geöffneter Remote Desktop Protokoll Port

Für eine einfache Fernwartung oder Homeoffice wird oft ein Terminalserver o.Ä. betrieben und via RDP im Internet zur Verfügung gestellt. Dies hat zur Folge, dass über kurz oder lang Angreifer darauf aufmerksam werden und versuchen, via Brute-Force-Angriff in das System einzudringen. Gesellen sich noch einfache Benutzernamen und Passwörter hinzu, ist der erste Schritt in das Netzwerk schnell erledigt. Wer solche Systeme in seiner Verwaltung hat, sollte einen Blick in das Security-Log werfen. Nicht selten ist dieses voll von fehlgeschlagenen Anmeldeversuchen.

Spätestens seit „Bluekeep“ sollte bekannt sein, dass ein ungeschützter RDP-Zugriff aus dem Internet keine gute Idee ist. Ist ein RDP-Zugriff auf den Server aus der Ferne notwendig, sollte zuvor eine VPN-Verbindung hergestellt werden. Nur über diese sollte die Möglichkeit des Fernzugriffs bestehen. Idealerweise werden höhere Schutzmaßnahmen, wie z.B. eine Zwei-Faktor-Autorisierung, getroffen.

Ist über diesen Wegen ein Einbruch gelungen, können Forensiker dies nachweisen, sowie Aktivitäten auf dem System in einer Zeitleiste darstellen.

Microsoft Office 365 Account kompromittiert

Immer mehr Unternehmen migrieren in die Microsoft Office Cloud. Dies hat den Vorteil, dass man von nahezu überall auf seine Dokumente zugreifen, oder über Collaboration-Dienste wie Microsoft Teams, mit seinem Kollegen kommunizieren kann. Im Gegensatz zu den eigen betriebenen Systemen, braucht man sich auch nicht mehr seine eigene Webadresse für den E-Mail-Zugang merken, sondern kann sich über die Microsoft 365 Webseite direkt einloggen.

Dadurch ist es für einen Angreifer besonders attraktiv, diese Zugangsdaten zu erbeuten. Gut gemachte Phishing-Mails zielen darauf ab, dass sich das Opfer auf einer gefälschten Microsoftseite „einloggt“ und seine Zugangsdaten preisgibt. Mit diesen hat der Angreifer problemlos die Möglichkeit, meist auch unbemerkt, auf E-Mails, Kontakte und die interne Kommunikation zuzugreifen.

Im Folgenden wird dann die Kommunikation ausgespäht und zu einem passenden Zeitpunkt eine Zahlungsaufforderung von der gekaperten E-Mail-Adresse gesandt. Ein sogenannter CEO-Fraud gewinnt durch einen internen Absender deutlich an Glaubwürdigkeit. Auch hier kann eine Zwei-Faktor-Authentisierung helfen das Risiko zu minimieren.

Dauerbrenner Ransomware

Für einen schnellen wirtschaftlichen Erfolg ist der Einsatz von Ransomware ein probates Mittel für die Angreifer. Für professionelle Täter ist daraus inzwischen ein Business geworden. Es gibt „Ransomware as a Service“ sowie Baukästen, mit welchen man schnell seine persönliche Schadsoftware konfigurieren kann. Solche Täter sind auch eher geneigt, den Schlüssel für die verschlüsselten Daten herauszugeben, da andernfalls das „Geschäftsmodell“ in Gefahr ist. Ransomware gelangt u.a. über E-Mail-Anhänge, oder offene RDP-Ports auf die eigenen Systeme.

Hat ein Angreifer ausreichend Berechtigungen, wird oft versucht, anstelle einer Datei- eine Festplattenverschlüsselung vorzunehmen. Dank Bordmitteln, wie Bitlocker oder legitimer Software wie DiskCryptor, werden solche Angriffe auch von keiner Anti-Malware Software erkannt. Für Forensiker ist es bei solchen Systemen nicht mehr möglich Spuren zu sichern und den tatsächlichen Tathergang auf dem System zu rekonstruieren. Weiterhelfen können in einem solchem Fall Log-Dateien von Firewalls, Proxys oder anderen zentralen Komponenten, vorausgesetzt, diese sind im Vorwege adäquat konfiguriert.

Zur Schadensminimierung hilft in den meisten Fällen von Verschlüsselung eine gut implementierte Backup-Strategie.

Regelmäßige Überprüfung der IT-Sicherheit

IT-Sicherheit ist ein laufender Prozess, der niemals „fertig“ ist. Eine regelmäßige Überprüfung der Firewall-Regeln, Rückspielen von Backups und Prüfen der Logfiles sollte bei den Administratoren zur Routine werden. Umgesetzte Maßnahmen sollten auf ihre Wirkung hin untersucht werden, heißt, man sollte sich z.B. fragen: „Greift meine neue Gruppenrichtlinie wirklich auf allen Clients?“ Oft werden kurze „Workarounds“ eingerichtet und anschließend im Betrieb vergessen. So geraten bestehende Sicherheitslücken in Vergessenheit und führen zu ernstzunehmenden Sicherheitsvorfällen.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Aus unserer Praxis: Häufige IT-Forensik-Fälle 2019.

Vielleicht doch lieber einen externen DSB benennen – DSB-Kündigungsschutz für 1 Jahr bleibt auch bei Abberufung bestehen: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Man verstehe mich nicht falsch, interne betriebliche DSB sind fachlich gut, zuverlässig und arbeiten bestimmt ordentlich. Sie sind aber immer abhängige Beschäftigte, die ihren Arbeitgeber kontrollieren und überwachen müssen.

Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten

Die Änderung des Schwellenwertes durch das 2. DSAnpUG für die zwingende Bestellung eines Datenschutzbeauftragten von 10 auf 20 datenverarbeitende Mitarbeiter soll besonders kleinere Unternehmen entlasten. Diese Änderung wirft jedoch Fragen hinsichtlich der Stellung des internen Datenschutzbeauftragten in den davon betroffenen Unternehmen auf. Diese sollen vor dem Hintergrund eines aktuellen Urteils des Bundesarbeitsgerichts (BAG) näher betrachtet werden.

Änderungen des DSAnpUG

Am 26.11.2019 trat das 2. DSAnpUG mit wesentlichen Änderungen am Bundesdatenschutzgesetz in Kraft. Insbesondere gab es eine grundlegende Änderung bei der Pflicht zur Benennung eines Datenschutzbeauftragten. Nach der alten Rechtslage mussten Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, soweit in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Mit der Änderung wurde diese Grenze nun auf 20 Personen erhöht (vgl. § 38 Abs. 1 BDSG). Somit sind viele kleinere Unternehmen von der Pflicht, einen Datenschutzbeauftragten zu benennen, wieder befreit. Aktuell bestehen jedoch Rechtsunsicherheiten dahingehend, ob mit dem Wegfall der Verpflichtung zur Benennung eines Datenschutzbeauftragten auch der Sonderkündigungsschutz entfällt.

Abberufung Kündigung

Oft werden bei der Diskussion die Begriffe Kündigung und Abberufung miteinander vermischt, weshalb diese klar voneinander zu trennen sind. Benennt ein Unternehmen einen internen Datenschutzbeauftragten, handelt es sich dabei um eine Person, die bereits ein Mitarbeiter des betreffenden Unternehmens ist und somit in einem Arbeitsverhältnis mit ihm steht. Das bedeutet, dass diese Person zunächst lediglich von seiner Funktion als Datenschutzbeauftragter abberufen werden kann. An seiner Anstellung im Unternehmen ändert sich dadurch erstmal nichts.

Denn interne Datenschutzbeauftragte von öffentlichen sowie von nicht-öffentlichen Stellen genießen einen besonderen Kündigungsschutz nach § 6 Abs. 4 bzw. § 38 Abs. 2 BDSG. Das bedeutet, dass eine Kündigung des Arbeitsverhältnisses während ihrer Tätigkeit nur aus wichtigem Grund möglich ist (vgl. § 6 Abs. 4 BDSG i.V.m. § 626 BGB). Zudem wirkt dieser Schutz zugunsten des Datenschutzbeauftragten nach. Nach Ende der Tätigkeit als Datenschutzbeauftragter ist eine ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres weiterhin unzulässig, sofern kein wichtiger Grund besteht, der eine fristlose Kündigung rechtfertigt.

Zu beachten ist, dass für die Geltung des besonderen Kündigungsschutzes für Unternehmen die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten eine zwingende Voraussetzung ist. In § 38 Abs. 2 BDSG heißt es für die Datenschutzbeauftragten nicht-öffentlicher Stellen:

„§ 6 Absatz 4, 5 Satz 2 und Absatz 6 [BDSG] finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

§ 6 Absatz 4 BDSG: „Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. […]“

Freiwillig eingesetzte Datenschutzbeauftragte genießen daher keinen besonderen Kündigungsschutz und dieser kann somit logischerweise auch nicht nachwirken. Fraglich ist aber, was nun für Datenschutzbeauftragte gilt, welche zwar nach der alten Rechtslage verpflichtend bestellt worden sind, nun aber nicht mehr benannt werden müssten, da das Unternehmen weniger als 20 Mitarbeiter hat, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Entfall des Sonderkündigungsschutzes bei sinkender Beschäftigtenanzahl

Aktuell wird man noch keine rechtssichere Antwort auf die Frage nach dem Entfall des Sonderkündigungsschutzes für diese Datenschutzbeauftragte geben können. Jedoch lässt sich aus einem erst kürzlich ergangenen Urteil des Bundesarbeitsgerichts eine Tendenz herauslesen. Das BAG hatte zu entscheiden, wann der Sonderkündigungsschutz für einen betrieblichen Datenschutzbeauftragten endet, wenn die Beschäftigtenzahl im Unternehmen unter den gesetzlich vorgeschriebenen Wert absinkt.

Die Entscheidung beruht jedoch noch auf der alten Rechtslage. Zudem ging es im dortigen Sachverhalt um die Unterschreitung des Schwellenwertes durch schwankenden Personalbedarf und nicht durch eine nachträgliche Anhebung des Schwellenwertes durch den Gesetzgeber. Dennoch lassen sich die Argumente und Wertungen des BAG auf die aktuelle Fragestellung zum Wegfall des besonderen Kündigungsschutzes übertragen.

In der Entscheidung des BAG heißt es:

„Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF.“

Der Sonderkündigungsschutz, welcher einem betrieblichen Datenschutzbeauftragten nach alter Rechtslage zukam, erlischt also, sobald das Unternehmen unter den entsprechenden Schwellenwert fällt. Jedoch greift weiterhin die im Gesetz verankerte nachwirkende einjährige Kündigungsschutzfrist.

Rechtssichere Antwort liefert nur eine Prüfung des Einzelfalls

Nach der Entscheidung des BAG wird die Tendenz wohl dazu hingehen, dass der Sonderkündigungsschutz auch bei nachträglicher Anhebung des Schwellenwerts durch den Gesetzgeber entfällt. Insbesondere ist es naheliegend, dass die Benennung eines Datenschutzbeauftragten, der aufgrund der Gesetzesänderung nicht mehr verpflichtend ist, leichter zu beenden sein muss. Anderenfalls würde das Ziel des Gesetzgebers, die kleineren Unternehmen zu entlasten, ins Leere laufen. Solange jedoch noch keine Entscheidungen vorliegen, muss im Einzelfall geprüft werden, ob ein Weg vor das Arbeitsgericht eingeschlagen werden sollte.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: BAG zum Sonderkündigungsschutz des Datenschutzbeauftragten.

Hacker kapern Facebooks Twitter- und Instagram-Accounts

IT-Security

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Hacker kapern Facebooks Twitter- und Instagram-Accounts

Hacker kapern Facebooks Twitter- und Instagram-Accounts

Die Hackergruppe OurMine hat die offiziellen Twitter- und Instagram-Accounts von Facebook gekapert.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Hacker kapern Facebooks Twitter- und Instagram-Accounts.

Alkolock: Sicherheit im Verkehr und im Datenschutz

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Alkolock: Sicherheit im Verkehr und im Datenschutz

Alkolock: Sicherheit im Verkehr und im Datenschutz

Jeden Tag sterben in Deutschland durchschittlich 8 Personen im Straßenverkehr und die Zahl der Verletzten ist sogar im vierstelligen Bereich. Bei einer Vielzahl von Verkehrsunfällen spielt leider der Alkoholkonsum eine nicht unerhebliche Rolle. Um die Verkehrssicherheit zu erhöhen, bieten einige Autohersteller den Einbau von sog. Alkohol-Interlock-Systemen, kurz Alkolock, an. Mit diesem Beitrag wird kurz erläutert, was es mit solchen Alkolocks auf sich hat und weshalb auch hier der Datenschutz Beachtung finden muss.

Funktionsweise von Alkolock

Ein Alkolock besteht aus zwei verschiedenen Elementen: Zunächst gibt es ein Alkohol-Handmessgerät, in dem der Fahrer oder die Fahrerin „reinpustet“ und welches den Alkoholwert in der Atemluft misst. Dieses sendet wiederum die Werte an das zweite Gerät. Bei diesem handelt es sich um ein Steuerelement, welches mit der Motorzündung verbunden ist. Nur wenn der gemessene Alkohol-Wert unter dem eingestellten Grenzwert liegt, lässt die Steuereinheit ein Starten des Motors zu.

Der für Deutschland einzustellende Wert ergibt sich aus § 24 a Abs. 1 StVG, wonach Fahrzeugführer eine Ordnungswidrigkeit begehen, wenn dieser

„0,5 Promille oder mehr Alkohol im Blut oder eine Alkoholmenge im Körper hat, die zu einer solchen Atem- oder Blutalkoholkonzentration führt“.

Der Alkolock verhindert also bereits den Beginn einer alkoholisierten Autofahrt und wirkt daher ähnlich wie ein guter Freund, der einem den Autoschlüssel wegnimmt. Dies ist natürlich wirksamer als Polizeikontrollen, die nur in Einzelfällen eine alkoholisierte Weiterfahrt unterbinden können, wenn sie mal jemanden erwischen.

Der Vollständigkeitshalber sollen noch die weiteren wichtigen Werte im Straßenverkehr für Autofahrer genannt werden:

  • Bereits bei einem Blutalkoholwert von 0,3 Promille besteht im strafrechtlichen Sinne eine sog. relative Fahruntüchtigkeit, soweit Ausfallerscheinungen wie Schlängellinien-Fahren, verlangsamte Reaktionen, Beeinträchtigungen des Sprachvermögens etc. hinzutreten.
  • Wird man mit Werten von mehr als 1,1 Promille erwischt, folgt die unwiderlegbare Vermutung, dass man nicht mehr fahrtüchtig sei.

Wenn neben der Fahruntüchtigkeit noch eine Gefährdung für Leib oder Leben anderer Menschen oder für Sachgüter hinzutritt, handelt es sich nicht mehr nur um eine Ordnungswidrigkeit, sondern um eine Straftat nach § 316c StGB.

Aktueller Stand der Nutzung

In den USA und Kanada werden solche Alkolocks bereits seit Jahren eingesetzt. Aber auch in unseren Nachbarländern ist deren Einsatz nicht neu. In den skandinavischen Ländern, Belgien, Polen und Frankreich haben Alkoholsünder meist die Wahl: Entweder dürfen diese für einen bestimmten Zeitraum nur noch mit eingebauten Alkolocks fahren. Oder aber sie müssen ihren Führerschein für eine wesentlich längere Zeit abgeben. In Schweden ist der Einbau von Alkolocks für Schulbus- und Taxifahrer als präventive Vorsichtsmaßnahme sogar gesetzlich vorgeschrieben.

In Deutschland wird der verpflichtende Einbau von Alkolocks zwar schon seit einigen Jahren diskutiert. Insbesondere ein Arbeitskreis des Deutschen Verkehrsgerichtstages empfiehlt den Einsatz von Alkolock im Rahmen von Straßenverkehrsdelikten unter Alkoholeinfluss. Fahrer sollen so die Möglichkeit haben, einem vollständigen Entzug der Fahrerlaubnis entgehen oder eine Sperrfrist verkürzen zu können. Eine Integration dieser Alternative in das deutsche Rechtssystem ist allerdings nicht so einfach, da der Besitz der Fahrerlaubnis an die Eignung und das Verantwortungsbewusstsein des Fahrers gebunden ist. Gemäß § 69 Abs. 2 StGB gelten Personen aber regelmäßig als ungeeignet zum Führen von Kraftfahrzeugen, wenn sie wegen Trunkenheit im Verkehr verurteilt wurden. Es entstünde also ein Wertungswiderspruch zu § 3 StVG, sodass Alkolocks lediglich bei bloßen Ordnungswidrigkeiten als Sanktionsalternative infrage käme.

Für einen freiwilligen Einsatz dieser Alkolocks schrecken die hohen Kosten für Einbau und Wartung noch zu sehr ab. Diese liegen derzeit bei mehreren tausend Euro.

Zudem wurde im Rahmen einer Studie aus den USA festgestellt, dass die Ursachen für Alkoholfahrten nicht behoben werden und daher die Wiederholungsgefahr genauso hoch ist, wie wenn der Fahrer ohne Alkolock seine Sperrzeit abgewartet hätte. Nur eine Kombination aus Alkolock und verkehrspsychologischer Betreuung führen letztlich zu einer dauerhaften Verhaltensverbesserung.

Und was hat das mit Datenschutz zu tun?

Wenn man Alkohol zu sich nimmt, beeinträchtigt dies – je nach Alkoholmenge und Trinkfestigkeit – die kognitiven und physischen Fähigkeiten. Der Atemalkoholwert lässt also Rückschlüsse auf den temporären Gesundheitszustand einer Person zu. Wenn dieser „temporäre“ Zustand immer wieder gemessen wird, lässt sich zudem auf eine Alkoholsucht schließen. Es handelt sich damit um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Diese sind besonders sensibel und bedürfen daher eines höheren Schutzes. Die Messung der Atemluft und das Übermitteln des Wertes zwischen dem Messgerät an das Steuerelement stellt auch eine automatische Datenverarbeitung dar, sodass der Anwendungsbereich der DSGVO grundsätzlich eröffnet ist.

Darüber hinaus werden aber noch weitere Daten erhoben:

  • Datum und Uhrzeit der Atemprobe
  • ggf. Verweigerung der Atemprobe
  • Motorstart und -verweigerung.

Um Manipulationsversuche des Fahrers zu unterbinden, indem er beispielsweise seinen nüchternen Beifahrer pusten lässt, sind Erweiterungen der Geräte in Form von Kameras zur Durchführung von Gesichtserkennungen ebenfalls verfügbar.

Rechtsgrundlage für die Datenverarbeitung

Privatmann

Wenn man ein solches Alkolock-System freiwillig in sein privates Fahrzeug einbauen lässt, dann befindet man sich im persönlichen und familiären Bereich, für den nach Art. 2 Abs. 2 lit. c DSGVO die Bestimmungen der DSGVO keine Anwendung finden. In diesem Falle muss man sich als Privatperson erstmal keine weiteren Gedanken über die Rechtmäßigkeit der Datenverarbeitung machen.

Nichtöffentliche Stelle: Arbeitgeber

Anders sieht dies aber für einen Arbeitgeber aus, der Alkolocks in seinen Firmenfahrzeugen einbauen lassen will. Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, außer es liegt ein gesetzlicher Ausnahmegrund vor.

Die betroffenen Beschäftigten können natürlich gemäß Art. 9 Abs. 2 lit. a DSGVO in die Verarbeitung ihrer Gesundheitsdaten einwilligen. Dies muss aber einerseits freiwillig erfolgen, was mit Hinblick auf das typische Über- und Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten fragwürdig erscheint. Andererseits kann eine einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Dies stellt also im Arbeitsverhältnis keine taugliche Rechtsgrundlage dar. In Deutschland müssen zudem die Bestimmungen aus § 26 Abs. 1 und 2 BDSG (i. V. m. Art. 88 DSGVO) beachtet werden.

Art. 9 Abs. 2 lit. h und Abs. 3 DSGVO („Verarbeitung für die Beurteilung der Arbeitsfähigkeit des Beschäftigten“) scheitert daran, dass der Atemalkoholwert nicht durch Berufsgeheimnisträger oder andere der Geheimhaltungspflicht unterliegenden Personen erhoben wird. Allerdings könnte für Deutschland § 26 Abs. 3 S. 1 BDSG greifen. Dieser sieht eine solche Einschränkung nicht vor. Hier muss aber eine Interessenabwägung zwischen dem Interesse des Beschäftigten an einer Nichtverarbeitung seiner Gesundheitsdaten und den arbeitsrechtlichen Fürsorgepflichten des Arbeitgebers vorgenommen werden. Folgende Fragen muss man sich hierbei unter anderem stellen: Ist der Beschäftigte ein Berufsfahrer? Befördert er andere Personen, für die gewisse Fürsorgepflichten zu ergreifen sind?

Bei Vorliegen einer entsprechenden Kollektivvereinbarung kann ggf. § 26 Abs. 4 BDSG i. V. m. Art. 9 Abs. 2 lit. b und 88 DSGVO als Rechtsgrundlage in Betracht kommen.

Art. 9 Abs. 2 lit. c DSGVO („Schutz lebenswichtiger Interessen“) dürfte wohl als Rechtsgrundlage nur greifen, wenn sich eine Person im Vollrausch befindet und daher nicht mehr fähig ist, eine Einwilligung abzugeben. Und auch wenn dieser Rauschzustand für jeden offen erkennbar sein sollte, liegt nicht Art. 9 Abs. 2 lit. e DSGVO kumulativ vor, weil der – berauschte- Betroffene die Bekanntgabe wohl nicht willentlich gemacht hat. Dies wäre allerdings erforderlich.

Nichtöffentliche Stelle: Carsharing

Auch Carsharing-Unternehmen hätten ein Interesse daran, dass ihre Fahrzeuge nicht von alkoholisierten Personen genutzt werden. Zwar stehen sich hier Unternehmen und Nutzen gleichrangig gegenüber, sodass die Freiwilligkeit nicht wie im Arbeitsverhältnis von Anfang an als fragwürdig erscheint. Schwierig wird es aber dann, wenn die Weigerung zur Abgabe der Einwilligung zu der für den Nutzer nachteiligen Konsequenz führt, dass er das Fahrzeug nicht nutzen darf. Insoweit könnte hier ein Verstoße gegen das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO begründet werden.

Die Rechtsgrundlagen im Zusammenhang mit einem Arbeitsverhältnis passen hier nicht, da der Carsharing-Nutzer kein Beschäftigter ist.

Seit dem 26.11.2019 wurde der § 22 Abs. 1 Nr. 1 BDSG um einen weiteren Ausnahmegrund erweitert. Danach dürfen abweichend von Art. 9 Abs. 1 DSGVO Gesundheitsdaten durch nichtöffentliche verarbeitet werden, wenn dies

„aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist (…) und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen der Nummer 1 Buchstabe d und der Nummer 2 die Interessen der betroffenen Person überwiegen.“

In seinem Gesetzesentwurf zum 2. DSAnpUG-EU (S. 256) werden als erhebliche öffentliche Interessen u. a. die Bekämpfung von Pandemien, Katastrophenschutzes oder hinsichtlich Religionsdaten Präventions-und Deradikalisierungsprogramme aufgelistet. Nichtöffentliche Stellen, die besondere Daten geschäftsmäßig verarbeiten, sollen sich allerdings nicht hierauf stützen können. Für Carsharing-Unternehmen dürfte die Interessenlage nicht vergleichbar sein, sodass diese sich wohl nicht hierauf stützen können.

Datensicherheit

Die vom Alkolock erfassten Daten werden grundsätzlich verschlüsselt in dem Steuergerät gespeichert. Nur mit einer speziellen Software können diese Daten dann ausgelesen werden. Insbesondere wenn die Alkolocks durch Unternehmen eingesetzt werden, müssen die Zugriffsberechtigungen sowie die Bedingungen für eine Datenauswertung geregelt werden.

Don´t drink and drive!

Der deutsche Gesetzgeber muss noch einige Hürden nehmen, eh solche Alkolocks auf den deutschen Straßen alltäglich werden. Aber auch wenn diese Hürden beseitigt sind, werden weitere Fragen aufkommen. Wie ist schließlich damit umzugehen, wenn jemand immer wieder nur mit Hilfe des Alkolocks vom Fahren im alkoholisierten Zustand abgehalten wird? Dieser kennt dann ja anscheinend seine Grenzen nicht und wäre daher ungeeignet zum Führen von Fahrzeugen. Dürfen Behörden dann auf diese Daten zugreifen, um entsprechende Sanktionen vorzunehmen?

Bis dahin kann jeder seinen Anteil dazu beitragen, die Straßen sicherer zu machen und auf Alkohol am Steuer verzichten.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Alkolock: Sicherheit im Verkehr und im Datenschutz.