Archiv für die Kategorie: ‘Datenschutz’

Berufliche WhatsApp-Nutzung illegal – zumindest fast immer

Mittwoch, 10. Dezember 2014

Aus aktuellem Anlass sei darauf hingewiesen: Für Firmen in Deutschland – und auf Grund des vergleichbaren Datenschutzniveaus sogar in ganz Europa – ist die Nutzung der beliebten App WhatsApp illegal. Und zwar immer dann, wenn sich auf dem Smartphone personenbezogene Daten befinden, für die die Firma verantwortlich ist. Z. B. darf ein Vertriebsmitarbeiter mit den Telefonnummern der Kunden auf seinem Smartphone kein WhatsApp auf seinem Smartphone installiert haben.

Dies gilt selbstverständlich auch, wenn Smartphones in Kombination privat / beruflich genutzt werden: Die Firma muss sicherstellen, dass entweder WhatsApp nicht auf dem Smartphone ist oder keine Kundenadressen / Telefonnummern auf dem Smartphone gespeichert sind.

Der Grund

Der Grund ist relativ einfach: Die App WhatsApp überträgt sämtliche Kontaktdaten zu den Servern des Unternehmens in den USA. Dieses Recht lässt sich WhatsApp einräumen

WhatsApp will periodically access your address book or contact list on your mobile phone to locate the mobile phone numbers of other WhatsApp users (“in-network” numbers)

und nutzt dieses Recht nach Beobachtungen auch. Und die Übertragung von personenbezogenen oder personenbeziehbaren Daten (Namen, Telefonnummern etc. gehören selbstverständlich dazu) ist ohne die entsprechende Rechtsgrundlage mit dem Betroffenen (also der Person, deren Daten übertragen werden) und insbesondere in ein Land mit einem geringen Datenschutzniveau wie den USA illegal.

Fazit

Das Fazit ist kurz und einfach: WhatsApp hat auf Firmensmartphones oder anderen, beruflich genutzten Smartphones nichts verloren. Und auch Privatnutzer sollten sich überlegen, ob es ihren Kontakten recht ist, dass Kontaktdaten zu WhatsApp übertragen werden.

„Lenor-Testwochen“ – Datenschutz bei Procter & Gamble

Sonntag, 7. September 2014

Beim Zappen durch die private Fernsehwelt sah ich gestern einen Werbespot der Firma Procter & Gamble für deren Marke „Lenor“. Procter & Gamble  möchte eine neue Waschmittelmarke etablieren und bietet in den „Lenor Testwochen“ „Testen ohne Risiko: Zufrieden oder Geld zurück“. Wie leider inzwischen üblich, fand sich auf dem Bildschirm ein „Sternchen“ mit dem Hinweis auf „Teilnahmebedingungen“, die aus dem Werbespot nicht direkt hervorgingen und die ich mir auf der Webseite – unter Datenschutzgesichtspunkten – einmal genauer angesehen habe. Denn die Erfahrung zeigt, dass auch Konzerne nichts zu verschenken haben.

Datenerfassung mit Papierformular: hui

Procter & Gamble sagt zu, den Kaufpreis des getesteten Produktes zu überweisen, wenn man mit dem Produkt nicht zufrieden ist. Hierzu muss als Kaufnachweis der Kassenbon sowie Kontaktdaten und Bankverbindung zugesandt werden. Hierfür bietet Procter & Gamble zwei Möglichkeiten an:

  1. das Herunterladen, Ausfüllen und Einsenden eines Formulares sowie
  2. das Online-Ausfüllen eines Formulares, bei dem der Scan des Kassenbons hochgeladen wird.

Die Teilnahmebedingungen und das Formular zum Herunterladen fallen positiv auf: Es werden nur die notwendigen Daten erfasst, bei der E-Mail-Adresse wird auf die Freiwilligkeit der Angabe hingewiesen, es wird dargestellt „Die Erhebung Ihrer persönlichen Daten erfolgt ausschließlich im Rahmen dieser Aktion unter Einhaltung der Datenschutzgesetze. Ihre Daten werden nach Rückerstattung des Kaufbetrages wieder gelöscht.“ Da ist sogar der Datenschützer zufrieden.

Online-Formular: eher pfui

Da Procter & Gamble an mehreren Stellen darauf aufmerksam macht, dass sie die Portokosten für die Einsendung des Kassenbons nicht übernähmen, werfe ich einen Blick auf das Online-Formular – und wundere mich. Hier wird Datenschutz offensichtlich nicht ernst genommen, sondern im Gegensatz dagegen verstoßen. Procter & Gamble schreibt in der verlinkten Datenschutzerklärung: „P&G hält die Datenschutzgesetze des jeweiligen Landes ein.“ Leider offensichtlich nicht immer. Im Online-Formular

 

Lenor-Testwochen: Online-Formular

wird

  • die Angabe des Geburtsdatums zwingend gefordert – zusätzlich zu einer Erklärung, dass der Teilnehmer mindestens 18 Jahr alt sei,
  • auch die Angabe der E-Mail-Adresse ist als Pflichtfeld markiert – im Papierformular wird ausdrücklich auf die Freiwilligkeit hingewiesen,
  • das Einverständnis, dass die Daten „elektronisch und für schriftliche, telefonische oder elektronische Marketingaktivitäten und Marktforschung genutzt werden“ dürfen, wird zwingend verlangt:

    Zwangszustimmung zur Werbung

    Zwangszustimmung zur Werbung

Diese Punkte sind nach dem Bundesdatenschutzgesetz BDSG nicht erlaubt.

Ich werde Procter & Gamble bzw. die von Procter & Gamble offensichtlich beauftragte Agentur, denn die auf der Webseite genannte E-Mail-Adresse ist lauf Whois nicht auf Procter & Gamble sondern auf eine Firma „Projekt Service GmbH“ in Mainz registriert, um Stellungnahme bitten und, wenn eine Antwort erfolgt, diese gerne auch hier veröffentlichen.

Mein Rat

Seien Sie als Unternehmen konsequent und konsistent im Datenschutz: positive Eindrücke bekommen sonst schnell einen schalen Beigeschmack und untergraben die Glaubwürdigkeit.

 

 

Datenschutz und Trockenbau: Die Wandfrage, über die Absicherung von IT-Räumen

Donnerstag, 13. Februar 2014

Einbruchsschutz gehört zur IT-Sicherheit und damit auch zum Thema Datenschutz. Gerade in Büroneubauten werden Wände überlicherweise in Trockenbautechnik gesetzt. Ein Ständerwerk, welches üblicherweise mit Decke und Boden verbunden ist, wird durch Gipskartonplatten abgedeckt und z.B. mit Dämmwolle gefüllt. Eine solche Bauweise ist normalerweise billiger als klassisch gemauerte Wände. Doch jeder weiß: Gipskartonplatten sind bei weitem nicht so stabil wie Stahlbeton. Damit widersteht eine Wand aus Gipskartonplatten auch einem Eindringling weniger lang als massives Mauerwerk.

Praktische Versuche zeigen, dass auch bei doppelter Beplankung, es werden also zwei Gipskartonplatten aneinandergelegt und bilden eine Seite der Wand, analog wird auf der anderen Wandseite verfahren, ein Durchtreten der Wand möglich ist. Für den Datenschutz ist das natürlich ein unzulässiger Zustand. Doch wie kann hier gehandelt werden, wie kann die Trockenbauweise mit dem Datenschutz in Übereinstimmung gebracht werden? Schließlich besteht insbesondere bei Serverräumen eine höhere Sicherheitsnotwendigkeit. Empfehlungen findet man z.B. beim BSI, dem Bundesamt für Sicherheit in der Informationstechnik, im sogenannten „Grundschutzhandbuch“ für den Brandschutz, nicht jedoch hinsichtlich des Einbruchsschutzes. In Bezug auf den Einbruchsschutzes wird in Punkt M 1.19 lediglich darauf hingewiesen, dass geeignete und den örtlichen Gegebenheiten angepasste Maßnahmen zu ergreifen sind.

Die DIN EN 1627 unterscheidet hinsichtlich des Einbruchsschutzes zwischen verschiedenen Widerstandsklassen (RC1N bis RC6), die den Widerstand beschreiben, den die Maßnahmen einem unterschiedlich ausgerüsteten Täter entgegen setzen. Die Widerstandszeit ist jedoch bei den üblichen Widerstandsklassen relativ gering. Beispielsweise werden Gebäude von Bauplanern häufig entsprechend RC2 ausgelegt. Hier wird der  Gelegenheitstäter betrachtet, der mit einfachen Werkzeugen, wie Schraubendreher, Zange und Keil versucht, das verschlossene und verriegelte Bauteil aufzubrechen. Es wird eine Widerstandszeit von 3 Minuten betrachtet. Bei der Widerstandsklasse RC3 wird eine Widerstandszeit von 5 Minuten betrachtet und der gewohnt vorgehende Täter versucht zusätzlich mit einem zweiten Schraubendreher und einem Kuhfuß das verschlossene und verriegelte Bauteil aufzubrechen. Erst bei noch höheren Widerstandsklassen werden weitere Werkzeuge berücksichtigt und die Widerstandszeit steigt auf bis zu 20 Minuten an.

Durch die Einbringung zusätzlicher Schichten in die Trockenbauwand kann auch die Stabilität der Trockenbauwand gegenüber einer Zerstörung gesteigert werden. Übliche Möglichkeiten sind hier eine oder mehrere Stahlplatten, die mit den Gipskartonplatten verbunden werden. Hersteller nennen hier bei beidseitiger Doppelbeplankung und zwei Stahlplatten von je 0,6mm Dicke eine Widerstandsklasse von RC3. Sicherer aber auch erheblich aufwändiger ist eine Einbringung und Verschweißung eines Gitters aus Bewehrungsstahl (Moniereisen).

Diese Überlegungen zeigen, dass eine Absicherung, die alleine auf einen hohen Widerstand setzt, sicherlich nicht genügend ist. Es ist also einerseits wichtig, dem Täter einen Widerstand entgegen zu setzen, so dass insbesondere Gelegenheitstäter wegen des Widerstandes aufgeben. Gerade erfahrene Täter mit dem ausgewählten Angriffsziel werden durch solche Maßnahmen zwar behindert, vermutlich aber nicht abgewehrt. Hier ist es zusätzlich notwendig, die dem Täter zur Verfügung stehende Gesamtzeit maximal einzuschränken, z.B. durch eine Alarmanlage, deren Alarm auch ein menschliches Eingreifen, sei es durch einen Sicherheitsdienst oder die Polizei, auslöst.

Erst beide Maßnahmen gemeinsam, also die Erhöhung der Widerstandszeit gemeinsam mit einer Verkürzung der möglichen Handlungszeit, führen zu einer sinnvollen Absicherung der IT und bilden damit einen Baustein des Datenschutzes.

Datenschutz in der Arztpraxis

Mittwoch, 20. November 2013

Vom 20. November bis zum 23. November 2013 findet in Düsseldorf wieder die Medica statt. Dies ist für mich der Anlass, für niedergelassene Ärztinnen und Ärzte ein besonderes Paket zum Thema Datenschutz in der ärztlichen Praxis zu schnüren. Informationen zu diesem Paket finden Sie auf meiner Webseite unter http://ing-buero-ludwig.de/arztpraxis/

Datenschutz im Handwerk: Artikel in Computern im Handwerk 9/2013

Donnerstag, 31. Oktober 2013

Auch im Handwerk und im Baugewerbe ist Datenschutz ein Thema. Einen knappen Überblick über das Thema Datenschutz im Handwerk und wie man die Pflicht als Handwerksunternehmen zum Vertrauensaufbau nutzen kann, gebe ich im Artikel „Datenschutz als Wettbewerbsvorteil“ in „Computern im Handwerk, Fachmagazin für Bauhaupt- und Baunebengewerbe“ in der Ausgabe 9/2013, Seite 26.

Datenschutz im Autohaus: Probleme für Marken-Autohändler

Mittwoch, 30. Oktober 2013

Kürzlich sprach ich mit der Inhaberin eines Marken-Autohauses über die Datenschutzprobleme, mit denen ihr Haus konfrontiert ist. Gerade Autohäuser mit Herstellerverträgen, also alle Marken-Autohäuser, sitzen mit den Datenschutzanforderungen zwischen den Stühlen. Hier eine Lösung zu finden, die sowohl den mit den Herstellern getroffenen Verträgen als auch dem Gesetz genügt und vor allem auch praktikabel ist, ist nicht ganz einfach.

Die Hersteller verlangen eine weitgehende Datenweitergabe. Dies betrifft sowohl klassische personenbezogenen Daten wie Namen, Adresse und Kontaktdaten der Kunden, als auch – z.B. anlässlich von Werkstattbesuchen – Fahrzeugdaten, die dann jedoch einem konkreten Kunden zugeordnet werden.

Da der Hersteller diese Daten selbst vollumfänglich verarbeiten möchte, eine Verarbeitung also nicht im Auftrag der Werkstatt oder des Autohauses erfolgt, liegt eindeutig eine Datenweitergabe von personenbezogenen Daten vor.

Das Gesetz erlaubt so eine Weitergabe durch das Autohaus an den Hersteller jedoch nur unter klar definierten Voraussetzungen:

  1. Wenn es gesetzlich explizit erlaubt ist oder
  2. die Datenweitergabe erfolgt, um einen Vertrag – mit dem Kunden, nicht mit dem Hersteller – zu erfüllen oder
  3. der Kunde der Datenweitergabe explizit und aufgeklärt zugestimmt hat.

Eine gesetzliche Erlaubnis oder gar Verpflichtung eines Autohauses oder einer Werkstatt, Kundendaten an den Hersteller weiter zu geben, gibt es natürlich nicht.

Und auch um den Kaufvertrag oder den Reparaturvertrag mit einem Kunden zu erfüllen, ist eine Datenweitergabe nicht notwendig. Auch wenn der Herstellervertrag eine solche Datenweitergabe vorgibt, so kann daraus nicht gefolgert werden, dass der Kaufvertrag sonst nicht erfüllt werden könne. Der Kaufvertrag mit dem Kunden hat nichts mit der Beschaffung des Autos durch den Händler beim Hersteller zu tun.

Es bleibt also als Rechtsgrundlage für die Datenübermittlung durch das Autohaus an den Hersteller nur die Möglichkeit, für die Datenübermittlung die Einwilligung des Kunden einzuholen. An eine solche Einwilligung hat der Gesetzgeber einige Voraussetzungen geknüpft. So muss diese freiwillig sein, der Kunde muss sich über die Folgen der Einwilligung im klaren sein, der Kunde muss also wissen, zu welchen Zwecken seine Daten weiterverarbeitet werden, usw. Schon aus Nachweisgründen ist es sinnvoll, eine solche Einwilligung schriftlich einzuholen.

Wenn Sie Fragen hierzu haben oder Muster für eine solche Einwilligungserklärung benötigen oder erfahren möchten, wie man mit Transparenz diese zusätzlichen Aufwand so gestaltet, dass die Kundenbindung erhöht wird, so wenden Sie sich gerne an mich. Denn verantwortlich für die Einhaltung des Datenschutzes ist das Autohaus oder die Werkstatt, nicht der Hersteller.

Ein weiterer Fallstrick lauert bei der von den Herstellern vorgegebenen Qualitätskontrolle durch Kundenanrufe. Wird ein solcher Anruf nämlich nicht durch das Autohaus selbst durchgeführt, sondern z.B. ein externes Callcenter damit beauftragt, so benötigt dieses ja die Kundendaten, zumindest den Kundennamen und seine Telefonnummer. Normalerweise wird hier eine sogenannte Auftragsdatenverarbeitung vorliegen, also das Callcenter macht genau das mit den Daten, was das Autohaus ihm vorgibt, juristisch bleiben die Daten quasi beim Autohaus. Eine solche Auftragsdatenverarbeitung ist unkritisch, wenn bestimmte Formalien, die in §11 des BDSG aufgeführt sind, eingehalten werden, also der Vertrag zwischen dem Autohaus und dem Callcenter entsprechend aufgesetzt wird. Gerne unterstütze ich Sie hierbei.

Es gibt jedoch auch Konstruktionen, bei denen eine sogenannte Funktionsübertragung vorliegt. In diesem Fall verarbeitet das Callcenter die Daten des Kunden im eigenen Ermessen – die Daten werden damit vom Autohaus an das Callcenter weitergegeben. Und hier sind wir wieder, wie oben bei der Datenweitergabe an die Hersteller, bei der Notwendigkeit, ein Einverständnis beim Kunden einzuholen.

Haben Sie Fragen? Gerne können Sie mich telefonisch oder per E-Mail oder Brief erreichen, hier meine Kontaktdaten.

 

Das Verfahrensverzeichnis nach §4e / §4g BDSG

Sonntag, 13. Mai 2012

Immer wieder erreichen mich Fragen zum Verfahrensverzeichnis: Wie muss es aussehen? Wie umfangreich muss das „externe Verfahrensverzeichnis“ sein? …

Und mit gewissem Erstaunen beobachte ich, wie einige Unternehmen versuchen, mit reinen Marketingverzeichnissen, deren Informationsgehalt das Papier bzw. die Pixel nicht wert sind, auf denen sie erscheinen, sich um ihre Verpflichtungen nach dem BDSG herzumzudrücken. Ich denke, hier kann vielfach Vorsatz vermutet werden und jeder Kunde mag selbst entscheiden, wie viel Vertrauen er solchen Unternehmen entgegen bringt.

Auf einer kleinen Unterseite zum Thema Verfahrensverzeichnis habe ich einmal einige wichtige Punkte zum Verfahrensverzeichnis nach §4e (Anforderungen an das Verfahrensverzeichnis) und §4g (Hinweis auf das „Jedermannverzeichnis“) zusammengestellt.

Outsourcing und Datenschutz

Dienstag, 20. März 2012

Die Auslagerung von Aufgaben und Funktionen, die nicht zum Kerngeschäft eines Unternehmens gehören, ist Gang und Gäbe. Outsourcing schafft schlanke Strukturen, Flexibilität und hilft, Kosten zu sparen und die Unternehmensressourcen gezielt einzusetzen.

Doch Outsourcing bedeutet immer auch, Daten an die Outsourcing-Partner zu übermitteln. Und wenn es sich um personenbezogene Daten handelt, kommen der Datenschutz und das Bundesdatenschutzgesetz (BDSG) ins Spiel. Die hiermit verbundene Materie – „Datenverarbeitung im Auftrag (Auftragsdatenverarbeitung)“ oder „Funktionsübertragung“ ist sehr komplex.

Das akualisierte Informationsblatt „Outsourcing und Datenschutz“ aus der Informationsserie „Informationen zum Datenschutz“ des Ingenieurbüros Dr. Martin H. Ludwig gibt einen fundierten Überblick über die Zusammenhänge und zeigt auf, welche Punkte man bei der vertraglichen und inhaltlichen Gestaltung des Outsourcings bedenken muss.

Nehmen Sie mit mir Kontakt auf, wenn Sie das Informationsblatt oder weitere Informationen benötigen!

Metropolrad Ruhr – Nextbike GmbH und der Datenschutz

Mittwoch, 23. November 2011

Ein Beispiel aus der Realität

Eine gute Idee: Im Ruhrgebiet kann man an vielen Stellen kurzzeitig und kurzfristig ein Fahrrad mieten und auch an anderer Stelle zurückgeben. Gerade in dieser dichtbesiedelten Region ist dies ein sehr sinnvolles Angebot. Betrieben wird dieses von der Firma nextbike GmbH aus Leipzig.

Um die Fahrradmiete zu nutzen, musste man sich bei der nextbike GmbH registrieren, hierbei wurden auch personenbezogene Daten auf der Seite der nextbike GmbH erfasst: Name, Vorname, Adresse, E-Mail etc. Bei der Zahlungsart „Kreditkarte“ wurde man auf die Seite der Firma „RBS Worldpay“ umgeleitet und dort aufgefordert, die klassischen Kreditkartendaten einzugeben.

Ein Hinweis, dass die Adresse etc. von der nextbike GmbH an den Zahlungsdienstleister RBS Worldpay oder andere Dritte weitergegeben wurde, fand sich weder in den AGB, noch in den Datenschutzhinweisen.

Registrierte man sich, folgte eine Mail der „Royal Bank of Scotland (RBS)“ mit Zugangsdaten zum System der RBS und dort konnte man feststellen, dass sämtliche Kontaktdaten von der Firma nextbike GmbH weitergegeben worden waren. Ein klarer und eindeutiger Verstoß gegen das Bundesdatenschutzgesetz.

Die Intervention des sächsischen Datenschutzbeauftragten führte schließlich dazu, dass AGB und Datenschutzhinweise angepasst wurden, weniger Daten als Pflichtangaben erfasst wurden und eine Kontaktadresse des Datenschutzbeauftragten veröffentlicht wurde.

Empfehlungen

Offensichtlich hatte die Firma nextbike GmbH vor der Intervention des Landesdatenschutzbeauftragten keinen betrieblichen Datenschutzbeauftragten oder dieser war in die Prozesse nicht richtig eingebunden worden. Sonst wäre die Intervention des Landesdatenschutzbeauftragten sicherlich nicht notwendig gewesen, der Aufwand von AGB-Anpassungen usw. wäre gespart worden.

Dieses Beispiel aus der Praxis zeigt, wie wichtig datenschutzrechtliche Beratung für Unternehmen ist. Wenn Sie in Ihrem Unternehmen personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern erfassen oder verarbeiten: Sprechen Sie mich an und klären Sie so die Zulässigkeit der Datenverarbeitung ab. Das erspart Ihnen unangenehme Nachfragen von Aufsichtsbehörden und gibt Ihnen Rechtssicherheit.

Das haben wir schon immer so gemacht …

Freitag, 4. November 2011

Heute begegnete mir dieser Spruch leider wieder einmal, wörtlich lautete er: „Wir geben die Daten seit 20 Jahren in dieser Form weiter, da ist noch nie etwas passiert.“ Solche Aussagen zu hören, schmerzen jeden Datenschützer und auch jeden Betroffenen. Sie erlauben aber auch einen erschreckenden Einblick in die Mentalität vieler Verantwortlicher. Mein Gesprächspartner hatte Recht: Es war noch nie etwas passiert, kein Kunde hatte bisher nachgefragt und glücklicherweise waren auch noch keine Daten missbraucht worden. Trotzdem musste ich den Unternehmer aufmerksam machen. Zum einen ist sein Handeln illegal. Auch wenn es bisher noch nicht aufgedeckt wurde oder zu Schäden gekommen ist, ändert dies nichts an dem Gesetzesverstoß.

Viel schwerer wiegt jedoch das Risiko, welches er in Bezug auf seine Kunden, aber auch in Bezug auf sein eigenes Unternehmen eingeht. Seine Kunden vertrauen ihm Daten im Vertrauen darauf an, dass er mit den Daten korrekt umgeht und genau dieses Vertrauen enttäuscht er, wenn er nicht die notwendigen Maßnahmen zum Datenschutz durchführt. Er setzt dadurch seine Kunden wissentlich dem Risiko des Datenmissbrauchs aus. Aber er bringt auch sich selbst und sein Unternehmen in Gefahr: Wenn etwas passiert oder seine Vorgehensweise bekannt wird, drohen hoher Imageverlust, Schadenersatzforderung und Bußgeld. Und dies muss doch eigentlich nicht sein.

Im weiteren Gespräch kam heraus, dass Daten früher per Fax weitergegeben wurden und dies heute per E-Mail – wohlgemerkt unverschlüsselt – geschieht. Die Daten gehen immer zu den selben Empfängern, ein Wechsel der Empfänger findet nur sehr selten statt. Dass die Daten überhaupt übermittelt werden, kann der Kunde sich zwar denken, zumindest dann, wenn er sich mit dem Thema näher beschäftigt. Über die Datenweitergabe aufgeklärt wurde der Kunde jedoch nicht, geschweige denn seine Einwilligung eingeholt.

Um es klarzustellen: Ich bin bei diesem Unternehmen kein Datenschutzbeauftragter. Trotzdem habe ich den Unternehmer dringend angeraten, fachlichen Rat einzuholen und ihm folgende Lösung skizziert, die mit sehr wenig Aufwand unzusetzen ist:

  1. Der Unternehmer muss seine Kunden dringend über die Übermittlung der Daten aufklären und die Einwilligung zur Übermittlung einholen. Denn nach meiner ersten Anschauung greift keine Übermittlungserlaubnis z.B. nach § 28 (2) BDSG.
  2. Der Unternehmer sollte die Daten per E-Mail nur verschlüsselt, z.B. mit OpenPGP übertragen. Da es sich ja nur um wenige Empfänger handelt, ist es sehr einfach, ein solches Verfahren umzusetzen.