Der Schutz der Daten - DSGVO im Überblick und in der Praxis (Teil 2) - Prozesswärme
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
WIRTSCHAFT & MANAGEMENT
Der Schutz der Daten – DSGVO im Überblick
und in der Praxis (Teil 2)
von Peter Klatecki
D atenschutz nach der DSGVO betrifft alle
Bürger der EU; ausnahmslos. Als Betrof-
fener, dessen Daten geschützt werden, und
DNS: Das Internet funktioniert mithilfe
von Adressen im TCP/IP-Protokoll. Diese
werden durch Nummern gebildet. Jeder
lich die s.g. „Erwachsenenseiten“ blockiert.
OpenDNS gehört inzwischen allerdings
zum US-Unternehmen Cisco.
natürlich als Unternehmer oder Mitarbeiter Anbieter (Server) im Internet muss über eine
von Betrieben, die diese Verordnung erfüllen eindeutige IP-Adresse erreichbar sein. Men- Beispiel: Strava
müssen. Was ist wirklich wichtig, was braucht schen merken sich (Domain-)Namen aller- Ein Beispiel, wie unvorteilhafte Voreinstel-
man für die tägliche Arbeit? dings viel leichter. Die Webseite des Verlages lungen ernsthafte Konsequenzen haben
In Teil 1 (PW 8/2018) ging es um die ist im Internet über die V4-IP 136.243.165.142 können, zeigt das Beispiel des Social-Net-
Grundlagen, folgend aus den Regelungen zu erreichen. Die Anfrage in einem Brow- work Strava. Strava sammelt die GPS-Daten
der DSGVO. Hier folgt die Bedeutung für ser nach „www.vulkan-verlag.de“ wird vom von Fitnesstrackern. Benutzer können über
die Praxis, grundlegende Maßnahmen und angesprochenen DNS-Server in diese Num- diese Geräte ihre Lieblingsrouten für das
Umsetzungsvorschläge. Anmerkung: Eine mer übersetzt. Dann kann die Seite aufge- tägliche Jogging oder ihre Fahrradausflüge
abschließende und rechtssichere Darstel- rufen und dargestellt werden. an das Network melden und damit den
lung ist leider nicht möglich, da letztinstanz- Nun kann das Nutzerverhalten an dem anderen Benutzern bekannt machen. Stra-
liche Urteile erst viel später zu erwarten sind. jeweils zuständigen DNS-Server protokol- va erzeugt daraus eine Weltkarte mit den
liert und ausgewertet werden, was auch eingezeichneten Strecken. Auf dunklem
Technische und organisa- ausführlich geschieht. Hintergrund werden die Wege als „helle“
torische Maßnahmen (TOM) IBM, die Global Cypher Alliance und Linien dargestellt. Je heller die Linie, desto
Es gibt zwei Grundforderungen im aktuel- Andere betreiben seit einiger Zeit eigene mehr Personen nutzen diese Strecke.
len Datenschutzrecht: DNS-Server unter dem Namen Quad9, die Nun nutzen auch Soldaten solche Tra-
„Privacy by Design“, also Schutz durch ausdrücklich keinerlei Daten sammeln und cker bei ihrem täglichen Training, teilweise
Technikgestaltung. Dahinter steht der auch Phishingseiten oder Seiten mit Mal- haben sie diese vom Dienstherrn erhalten,
Gedanke, dass Datenschutz am besten zu ware (Schadsoftware) blockieren sollen. Der um die Fitness der Truppe zu fördern. Befin-
gewährleisten ist, wenn das im Verarbei- Betrieb finanziert sich durch Spenden und det man sich im Auslandseinsatz ist die Wahl
tungsvorgang technisch berücksichtigt durch Beiträge der öffentlichen Hand. der Strecke eingeschränkt, unter Umständen
und integriert ist. In jedem Router (und auch in jedem sogar gefährlich. Auf Strava waren plötzlich
„Privacy by Default“, Schutz durch Endgerät) kann der DNS-Server manuell Laufstrecken zu sehen, welche eindeutig
datenschutzfreundliche Voreinstellungen. voreingestellt werden. Die Adresse der auf militärische Anlagen in Krisengebieten
Danach sind Grundeinstellungen eben Quad9 Server lautet: 9.9.9.9 (IP V4) bzw. schließen ließen. Angezeigt wurden Routen
schutzfreundlich vorzusehen. Hiermit sol- 2620:fe::fe (IP V6). Ein weiterer Anbieter von in der Einöde von Afghanistan und anderen
len insbesondere jene Nutzer geschützt geschützten DNS Diensten ist Cloudflare. Konfliktgebieten. Die Soldaten liefen eben
werde, welche sich weniger mit der Tech- Die versprechen ebenso „Privacy First“. um ihr Lager herum, immer am Zaun lang.
nik auskennen und befassen und dadurch Die Adressen der Cloudflare Server lauten: Es waren auch Rückschlüsse auf die Art der
eventuell Einstellungen wählen, die nicht 1.1.1.1 (IP V4) und 2606:4700:4700::1111 (IP Einrichtung möglich, indem etwa abgelau-
ihren Wünschen entsprechen. V6). Die gewählten Adressen erinnern ver- fene Start- und Landebahnen zu erkennen
Beide Forderungen zielen aber auch auf mutlich nicht zufällig an den Server von waren. Eine namhafte Anzahl von Geheim-
grundsätzliche Konzepte wie die Nutzer- Google (8.8.8.8). basen des Militärs wurde so offengelegt.
authentifizierung, Pseudonymisierung, Ano- Wer all diesen Servern nicht vertraut, Strava, der Dienst selbst, verweist dar-
nymisierung, Verschlüsselung und Weiteres. kann es mit den Servern von OpenDNS auf, dass man die Einstellung ja auf „Privat“
versuchen. Bei den Hauptadressen (IP-V4 ändern könne. Diese Strecken würden dann
Beispiel: DNS 208.67.222.222 und 208.67.220.220) wird nicht veröffentlicht. Mit dieser Einstellung
Als einfaches Beispiel für „Privacy by Schutz gegen Phishing versprochen. Fami- ist die Nutzung des Netzwerks jedoch
Default“ ist die Voreinstellung des DNS-Ser- lienschutz gibt es über 208.67.222.123 und nahezu ohne Sinn, die Protokollierung
vers im (firmen-)eigenen Router zu nennen. 208.67.220.123. Dort werden dann zusätz- könnte dann auch unterbleiben.
80 PROZESSWÄRME 01 | 2019WIRTSCHAFT & MANAGEMENT
Sicherheit der Verarbeitung wiesen und auf entsprechende Verhaltens- nennen. Damit können Mitarbeiter unbe-
Die genutzte Technik muss nach dem regeln eingeschworen werden. Die Mitar- absichtigt Zugriff auf Daten erlangen, für
aktuellen Datenschutzrecht risikoadäquat, beiter sind auf die dargestellten Aspekte die sie keine Berechtigung besitzen sollten.
unter Beachtung des „Stands der Technik“ im Folgenden zu sensibilisieren. Natürlich muss die Datensicherung
sein, so die Forderung. Ist bei einem freien Eine große Schwachstelle ist die Entsor- gewährleistet sein und eine Erfolgskont-
Autor noch ein Router seines Providers als gung von Dokumenten mit personenbe- rolle die Wiederherstellung im Fehlerfall
ausreichender Schutz anzusehen, gilt das mit zogenen Daten, ohne diese zu schreddern. sicherstellen. Es gilt: keine Datensicherung,
Sicherheit nicht für das Gesundheitswesen. Für Hacker und Detektive ist der Papierabfall kein Mitleid!
Hier ist als Grenze/Zugang zum Internet eine immer ein erfolgversprechender Angriffs-
deutlich komplexere Router/Firewall-Kombi- vektor und erste Wahl für den Einstieg in BYOD (Bring Your Own Device)
nation erforderlich. E-Mail-Verschlüsselung das sogenannte Social-Engineering. Es Hierunter sind nicht nur die privaten Gerä-
und die Nutzung von VPN-Zugängen beim sind viele Informationen zu finden, welche te der Mitarbeiter zu fassen, sondern auch
Zugriff auf Unternehmensinformationen das Bild von Personen ergänzen können Geräte von Geschäftspartnern, Kunden und
sind Standard. Die Unternehmens-IT muss (Abonnements, Bankverbindungen, Kun- Lieferanten etc. Diese Geräte entziehen sich
die Vertraulichkeit (beschränkter Zugriff), die denbeziehungen, politische Meinung usw.). der Kontrolle durch die IT-Abteilung. Möch-
Integrität und die Verfügbarkeit (Backup) von Eine weitere Gefährdung stellen die te man diesem Personenkreis Zugang zum
Daten sicherstellen. heutigen mobilen Speichermedien dar Internet über die firmeneigene Infrastruk-
(USB-Sticks, Speicherkarten und sonstige tur ermöglichen, so sind diese Geräte mit
Mobile Geräte Datenträger), und dies gleich in mehrfa- spezieller Firewall vom Produktionsnetz
Notebooks, Tablets, Smartphones, USB-Sticks cher Hinsicht. Diese Datenträger werden zu trennen. Für die WLAN-Struktur gilt das
und Rechner in betriebsfremder Umgebung leicht verloren oder gestohlen und damit Gleiche. Hier wird dann nur identifizierten
unterliegen einer höheren Gefährdung bzgl. ist keine Kontrolle mehr über die gespei- Geräten und Benutzern Zugriff gestattet.
Diebstahl und Ausspähung. Die Benutzung cherten Daten möglich, es sei denn effek-
darf nur nach Passwort/Pin/Biometrie mög- tive Verschlüsselung verhindert den Zugriff. Fehler beim Datenschutz
lich sein. Die Geräte sollten nur für den Ein- Ein beliebter Angriffsvektor, um Schad- Eindeutige Fehler liegen in folgenden Fäl-
satzfall notwendige Daten enthalten und software in Unternehmen einzuschleusen, len vor:
Verschlüsselung (Bitlocker/Veracrypt) nutzen. ist nach wie vor einen speziell präparierten Es ist ein unkontrollierter Zugang zu
Auch sollte nur für den Einsatzfall notwendi- USB-Stick im Unternehmensbereich zu „ver- Betriebsräumen, und damit zu Rechnern am
ge Software installiert sein. lieren“. Angefangen mit dem Parkplatz bis Firmennetz, möglich. In diesen Büros liegen
Die Rechner sind beim Verlassen immer hin zum Waschraum der Geschäftsleitung. vielleicht noch vertrauliche Unterlagen offen
zu sperren und bei Nichtbenutzung sicher Irgendjemand wird diesen finden und am auf dem Tisch. Schwache Passwörter und
zu verwahren (vor fremdem Zugriff weg- Firmen-PC neugierig prüfen, was wohl dar- deren „Speicherung“ auf Zetteln unter der
schließen). Unmittelbare Sperrung des auf zu finden ist. Oder Betriebsfremde haben Tastatur leisten ein Übriges. Schlecht gewar-
Rechners, ohne die Programme zu beenden, die Möglichkeit, Sticks direkt an Rechnern tete Hard- und Software erlaubt ungewoll-
erreicht man durch die Tastenkombination zu platzieren (etwa bei Wartung oder Reini- ten Zugriff auf Informationen.
WIN+L (Windows). Nach erneutem Login gung). Je nach Berechtigungsstufe können Am Telefon oder im Gespräch werden
ist ein Weiterarbeiten direkt möglich. Unter die Schäden durch dann automatisch ausge- nicht nur unbedingt nötige Informatio-
Mac OS kann man Ähnliches erreichen, führte Software erheblich sein. Auf diese Art nen weitergegeben. Für einen Anrufer ist
indem man unter „Einstellungen“ die Einga- wurden 2010 Uranzentrifugen im Iran zerstört es nicht von Belang, aus welchem Grund
be eines Passwortes nach Bildschirmschoner (StuxNet), das interne Netzwerk der Anlage jemand nicht zu erreichen ist. Diskussionen
oder Bildschirmabschaltung verlangt. Der war nicht mit der Außenwelt verbunden. oder Informationsaustausch auf dem Flur
Bildschirm kann mit der Tastenkombination Auf der anderen Seite können durch sollten sich nicht um Interna und schon gar
Shift+Ctrl+Eject abgeschaltet werden. mobile Datenträger unbemerkt große nicht um personenbezogene Daten drehen.
Die Umsetzung obiger Maßnahmen Datenmengen aus dem Unternehmen Es befinden sich unnötige Daten auf
schützt nicht nur persönliche Daten, son- gebracht werden. Arbeitsrechnern. Diese Daten sind, nach-
dern auch gespeicherte Firmengeheimnisse. Viele Daten werden versehentlich offen- dem kein Zugriff mehr nötig ist, in der fir-
gelegt, indem z. B. beim E-Mail-Versand meninternen Serverstruktur zu archivieren
Datenschutzverletzungen eine falsche Adresse angegeben wird, ohne und vom Arbeitsrechner zu löschen.
und Verstöße es zu bemerken, oder leichtfertig „an alle“
geantwortet wird. Angriffsszenarien
Typische Schwachstellen Von Seiten der Infrastruktur ist ein zu Entgegen der allgemeinen Ansicht finden
An erster Stelle sind hier die Mitarbeiter zu kompliziertes, vielleicht auch historisch typische Angriffe auf Daten im Unterneh-
nennen. Diese müssen regelmäßig unter- gewachsenes Rechtesystem in Servern zu men nicht durch technisches Hacking,
www.prozesswaerme.net 81WIRTSCHAFT & MANAGEMENT
Ziele von Cyberangriffen nicht öffentlich wurden. Die den Datenschutz innerhalb von 72 h der
Schwachstelle des Zielsys- zuständigen Aufsichtsbehörde bekannt zu
tems ist in der Öffentlichkeit machen. Diese Pflicht entfällt, wenn der Ver-
Einzelperson unbekannt und demzufolge stoß „voraussichtlich nicht zu einem Risiko
28,60%
40,00%
Gesundheit/Soziales gibt es dagegen in der Regel für die Rechte und Freiheiten natürlicher Per-
Finanzen/Versicherungen keinerlei Verteidigung oder sonen führt“. Ein Beispiel: eine Personalakte
Industrie
Softwareupdates, welche die wird, ohne sie zu schreddern, in den Papier-
7,00% Öffentliche Verwaltung
Lücke schließen könnten. müll entsorgt. Dort verbleibt sie mehrere
7,00% Sonstige
7,80% 9,80%
Die israelische Firma Celleb- Stunden, kann aber noch vor der Abholung
rite bietet Software an, mit der (Entsorger) wieder geborgen werden. In die-
Bild 1: Ziele von Cyberangriffen angeblich jedes Smartphone sem Fall kann eine Meldung wohl unterblei-
(Quelle: hackmageddon.com) geknackt werden kann, auch ben. Die Akte hat das Firmengelände nicht
die neuesten Apple Modelle. verlassen, die erhaltene Aufmerksamkeit in
die Ausnutzung von Softwarefehlern und Dies bedeutet Kenntnis über Sicherheits- der Zeit im Papiermüll dürfte gegen Null
Schwachstellen über die Netzwerkverbin- lücken, die dem Hersteller selbst nicht gehen. Damit bestand keine Gefahr für die
dung, also über das Kabel, statt. In mehr als bekannt sind, sonst könnten diese durch ein Rechte des Betroffenen.
90 % aller Fälle geschieht dies über das s. g. Update geschlossen werden. Nach eigenen Allgemein gesprochen: Jeder einzelne
Social-Engineering (später Social Hacking), Angaben machen sie vor einem Verkauf Mitarbeiter ist gefordert, falls er Verstöße
über Datenklau mithilfe von Datenträgern der Software so eine Art „Ethikprüfung“. bemerkt. Bei personellen Vorgängen, etwa
oder durch persönlichen Einsatz. Social- Eine Abgabe an zweifelhafte Kunden soll die mündliche Weitergabe von geschütz-
Engineering verfolgt den Ansatz durch so unterbunden werden. Behörden kön- ten Daten, ist der jeweilige Vorgesetzte zu
spezifische, sehr persönliche Ansprache nen gegen Bezahlung auch einzelne Geräte informieren. Bei IT-bezogenen Vorfällen die
den Nutzer zu bestimmten Handlungen zu entsperren lassen. Nach eigenen Angaben EDV-Abteilung. Weiterhin sollte der Daten-
überreden. Je spezifischer die Informationen hat Cellebrite ca. 15.000 Kunden aus dem schutzbeauftrage informiert werden. Dort
über eine Person sind, desto einfacher kann Bereich Strafverfolgung und Militär. kann jeweils entschieden werden, ob eine
dieses Ziel in der Regel erreicht werden. Die Ziele aller sonstigen Angriffe liegen Meldung an die Landesbehörden notwen-
Nur der Rest (< 10 %) erfolgt über das hauptsächlich im gewinnen (stehlen) von dig ist oder nicht. Durch die knappe Fristset-
Einschleusen von Trojanern, Viren oder Daten oder in der Beschädigung der Repu- zung (mit erheblicher Strafandrohung s.u.)
Erpressungssoftware (s. g. RansomWare) tation des Unternehmens. DDoS Attacken ist in solchen Fällen immer umgehendes
durch Massenmails. Gegen die meisten die- (Distributed Denial of Service) machen Web- Handeln erforderlich, um drohende schmerz-
ser Angriffe hilft die Sensibilisierung und zugänge/Webseiten durch Überlastung zeit- liche Konsequenzen für das Unternehmen
Schulung von Mitarbeitern ungemein, da weise unbenutzbar und schaden so. Man und damit u. U. für den eigenen Arbeitsplatz
alle aktuellen E-Mail-Programme ange- denke nur an Online Casinos. In allen Fällen zu vermeiden.
hängte Software oder Skripte nicht mehr sind die Angriffe finanziell motiviert. Bild
automatisch ausführen. Der Angreifer ist 1 zeigt den prozentualen Anteil verschie- Bußgelder
hier immer auf die Mithilfe des Benutzers dener Angriffsziele. Nach den Einzelperso- Je nach Verstoß, je nach verletztem Artikel
angewiesen, um diese Routinen zur Aus- nen (40 %), führt der Bereich Gesundheit/ reichen die Bußgelder bis zu € 10 Mio. /2 %
führung zu bringen oder eine bestimm- Soziales (9,6 %), gefolgt von Finanzen/Ver- des weltweiten Jahresumsatzes oder bis
te Webseite zu besuchen und Code von sicherungen (7,8 %) und der Industrie (7,0 %) zu € 20 Mio. /4 % des weltweiten Jahres-
dort zu starten. Durch die unspezifische sowie der öffentlichen Verwaltung/Verteidi- umsatzes, je nachdem was höher ist. Die
Ansprache des Nutzers sind diese Versuche gung/Sozialsysteme (auch 7,0 %). eigentliche Höhe legen die Datenschutz-
normalerweise leicht zu identifizieren. Mitarbeiterschulung und Sensibilisie- behörden im Einzelfall fest. Gefordert in
Die nächste Stufe sind automatisierte rung ist Aufgabe der Firmen-Orga. Es ist der Verordnung ist aber, dass Bußgelder
Angriffe, welche auf bestimmte Hardware- Aufgabe der IT-Infrastruktur, technisch ein in jedem Fall „wirksam, verhältnismäßig
oder Softwarefehler zielen, um Zugriff auf möglichst hohes, dem Bedarf angepasstes und abschreckend“ sein sollen. Damit
die Datenbestände zu erlangen. Dies ist Schutzniveau zu bieten. Aus den Forde- sind, unternehmensabhängig, deutliche
das erwartete technische Hacking. Es ist rungen der DSGVO kann man durchaus Bescheide zu erwarten.
unstrittig, dass in Schubladen von Behör- die Pflicht zur Bereitstellung ausreichender
den oder auch kommerziell agierenden Finanzmittel ableiten. (DSGVO-) Abmahnungen
Unternehmen s. g. Zero-Day-Exploits lie- Die befürchtete Abmahnwelle ist bis heute
gen und auf ihren Einsatz warten. Diese Was tun, wenn man Verstöße (in Deutschland, Stand Oktober 2018) aus-
werden mit „Zero-Day“ bezeichnet, da sie bemerkt? geblieben. Dies mag daran liegen, dass
noch nicht im Einsatz waren und so auch Nach Artikel 33 DSGVO sind Verstöße gegen es eine direkte Abmahnung nach DSGVO
82 PROZESSWÄRME 01 | 2019WIRTSCHAFT & MANAGEMENT
wahrscheinlich gar nicht gibt. Bei dem Ins- Dazu handelt es sich bei der DSGVO um Prominente, müssen dies sowieso dulden.
trument der (kommerziellen) Abmahnung regionale (EU) Regeln, die auf ein globales Das KUG sollte bei Kunst und Meinungs-
handelt es sich um einen Weg, welcher nur Netz anzuwenden sind. Dies sorgte bei den freiheit weiter Vorrang haben. Es gab die
in Deutschland gegangen werden kann. EU-Unternehmen für Stress, meistens auch Möglichkeit, dies „offiziell“ zu regeln, nach
Wenn, dann sind Abmahnungen nach für Aktionismus, während Unternehmen Öffnungsklausel 85. In Schweden ist es so
Wettbewerbsrecht, speziell dem Gesetz außerhalb der EU doch deutlich entspann- umgesetzt worden. Immerhin hat das Bun-
gegen den unlauteren Wettbewerb, zu ter mit dem Thema umgehen. desinnenministerium am 14. Mai in einer
erwarten. Eben wie bisher auch. Allerdings Nach der EU-Verordnung für die Verar- Stellungnahme bekannt gegeben, dass das
ist Datenschutz ein Menschenrecht und beitung von Daten von Personen vor dem KUG weiterhin Vorrang haben soll. Eine sol-
nicht ein Recht als Marktteilnehmer. 16. Lebensjahr hat immer die Einwilligung che Stellungnahme ist allerdings juristisch
Einige Juristen vertreten auch die Auffas- der Eltern (Erziehungsberechtigten) vor- nicht bindend.
sung, dass die DSGVO eine s. g. abschließen- zuliegen. Die Diskussionen mit den Eltern Im privaten Bereich (also ohne wirt-
de Regelung darstellt. Das heißt sie enthält und ihren pubertierenden Kindern, wenn schaftlichen Hintergrund) ist die DSGVO
alle Sanktionsmöglichkeiten. Damit bliebe diese z. B. ein neues Spiel auf ihrem Smart- ja ohnehin nicht anwendbar. Damit ist
dem Abmahnwilligen bei festgestellten Ver- phone spielen möchten und dafür Daten ausdrücklich die private Verwendung
stößen die Meldung an die Datenschutzbe- abgeben sollen, sind bestimmt amüsant. sozialer Netze davon auch nicht erfasst.
hörden. Ob die DSGVO wirklich „abschlie- Diese Altersgrenze liegt in vielen Ländern Hochladen und damit Veröffentlichen von
ßend“ ist, ist jedoch aktuell noch strittig. darunter, in den USA beispielsweise bei Bildern aus dem Urlaub, von daheim oder
Generell bei Abmahnungen gilt: Die 13 Jahren. Das Social-Network SnapChat auf der Straße ist nach wie vor vom KUG
Abwehr einer Abmahnung sollte immer hat eine deutliche Anzahl von Nutzern, gedeckt. Bilder mit einzelnen oder einer
über einen Anwalt erfolgen. Zuerst muss welche jünger als 16 Jahre sind. Nach dem kleinen Gruppe von Personen als Haupt-
geprüft werden, ob der behauptete Ver- 25. Mai hätten all diese Konten bis zur aus- motiv unterliegen wie bisher dem Recht
stoß überhaupt vorliegt und dann, ob drücklichen Einwilligung durch die Eltern am eigenen Bild (Persönlichkeitsrecht) und
die Abmahnung selbst einwandfrei ist. gesperrt werden müssen. Davon ist mir diese müssen ihr Einverständnis zur Veröf-
Auf keinen Fall sind unmittelbar Unterlas- nichts bekannt. Es bleibt natürlich auch die fentlichung erklären.
sungserklärungen zu unterschreiben (die Frage, ob bei gemeinsamem Erziehungs- Rechtlich in den Vordergrund tritt in
gelten lebenslang) oder Zahlungen, auch recht auch beide Elternteile Einverständnis der beruflichen (= nicht privaten) Foto-
keine Teilzahlungen, zu leisten. Das könnte erklären müssen. Diese rechtliche Klärung grafie immer mehr die Datenverarbeitung
schon eine Anerkenntnis darstellen. Ist der wird spannend sein. zur Erfüllung von Verträgen oder zur
Hinweis auf einen abmahnfähigen Regel- Wahrung berechtigter Interessen, die aus-
verstoß berechtigt, sollte dieser Verstoß Auswirkungen drückliche Einwilligung tritt zurück. Soll
umgehend beseitigt werden und anschlie- ein Fotograf etwa eine Hochzeit ablichten
ßend eine eigenformulierte (Anwalt) Unter- Die Sache mit den Fotos oder Passfotos anfertigen, bedarf es kei-
lassungserklärung abgegeben werden. Digitalfotografie ist Datenverarbeitung nach ner gesonderten Einwilligung des oder
Merke auch: Eine unberechtigte Abmah- DSGVO, wenn Gesichter von Personen abge- der Betroffenen fotografiert zu werden.
nung stellt selbst einen Wettbewerbsver- bildet sind oder Personen an anderen Merk- Zur Veröffentlichung, z. B. im Schaufens-
stoß dar! malen eindeutig identifiziert werden können. ter oder auf der Webseite des Fotografen,
Diese Fotografie ist erlaubt für „hauptberufli- hingegen schon.
Kritik an der Verordnung che, angestellte Fotojournalisten“. Bilder auf Webseiten vom Sommerfest,
In der Presse wurde Kritik laut, dass z. B. Also für die freien Journalisten und für von nicht kommerziellen Vereinen, soll-
ein Blogger mit ein paar Euro Einkommen die anderen nicht? ten unproblematisch sein (berechtigtes
im Monat (nahezu) die gleichen Pflich- Vor dem 25. Mai wurde dies durch das Interesse). Es ist jedoch eine gute Idee,
ten hat wie ein multinationaler Konzern. Kunst-Urheber-Gesetz (KUG), erlassen 1907, eine ausdrückliche Einwilligung von den
Wenn man Datenschutz als Menschenrecht letzte Änderung von 2001, geregelt. Bilder in der Öffentlichkeit handelnden Perso-
begreift, können die Anforderungen auch und deren Veröffentlichung waren erlaubt, nen (etwa dem Vorstand) einzuholen. Die
nicht abweichend geregelt sein. Natürlich wenn einzelne Personen nicht erkennbar Meldung zur Veröffentlichung an eine
muss dieser Blogger keine so großen Inves- als Hauptmotiv dargestellt wurden. Also Tageszeitung mit einem Bild wäre dann
titionen in Abläufe, Mitarbeiterschulung in Berichten von Demonstrationen, über rechtlich gesichert. Bei Bildern von Kin-
und Hardware vornehmen wie ein Kon- Konzerte und Festivals oder bei Dorffesten dern (Kita) ist die Einwilligung der Erzie-
zern, aber er muss den Datenschutz nach usw. Dieses Gesetz stand über dem Recht hungsberechtigten vor der Veröffentli-
DSGVO in seinem Verantwortungsbereich auf das eigene Bild, wenn man selbst nur chung, besser vor dem Fotografieren,
gewährleisten. Erläuterungen findet man „zufällig“ mit abgebildet wurde. Personen einzuholen. Dies ist aber keine Folge der
im Erwägungsgrund 13. des öffentlichen Lebens und Interesses, DSGVO, das galt bisher auch.
www.prozesswaerme.net 83WIRTSCHAFT & MANAGEMENT
Am 18.06.2018 urteilte das Oberlandes- und das Recht auf „Übertragen werden“ Webseite nutzen zu können, ohne sich mit
gericht Köln hierüber (Az.: 15 W 27/18). Als können nicht erfüllt werden. Außerdem den angezeigten Datenschutzinformatio-
Kern des Urteilsspruches kann man sagen: ergibt sich durch den Datentransfer in die nen zu befassen und diese Genehmigung
Fotos als Dokument der Zeitgeschichte USA ein geringeres Schutzniveau. Seit 2016 etwa einzuschränken. Die Schutzabsicht
oder im öffentlichen Interesse unterliegen verschlüsselt WhatsApp „Ende zu Ende“ der Verordnung, der Betroffene als Herr
nicht der DSGVO sondern dem Kunstur- und wirbt damit. Den wenigsten Nutzern über seine Daten, wird damit natürlich
heberrechtsgesetz als übergeordnetem ist bekannt, dass nur die Texte und nicht völlig unterlaufen.
Recht, möglich nach Klausel 85 DSGVO. übertragene Bilder verschlüsselt werden.
Unter besonderer Berücksichtigung der Die Bundesbehörden in den USA werden Warum nun das Ganze?
Pressefreiheit gelte hier ausschließlich vermutlich nach wie vor Zugriff auf die Daten sind das neue Gold. Inzwischen
deutsches Recht. Texte haben. Amerika hat immerhin sogar werden unfassbare Mengen an Informa-
Einwilligung nach DSGVO ist also nötig, wenn: Exportbeschränkungen für Verschlüsse- tionen täglich gesammelt, ausgewertet
■■ der/die Abgebildete(n) erkennbar ist/ lungssoftware erlassen und das Schutzni- und gespeichert. Über jeden, der jemals
sind und keine Ausnahme des KUG veau beschränkt. Entsprechende Software, das Internet genutzt hat, gibt es Profile.
greift auch Open-Source, wird vorab vom BIS Google ist keine Suchmaschine, Face-
■■ das Foto einem unbeschränkten Per- (Bureau of Industry and Security) überprüft. book ist kein Darstellungsmedium, Whats-
sonenkreis zugänglich gemacht wird Es sind keinerlei Maßnahmen bekannt, App ist keine Kommunikationssoftware.
■■ wenn Kinder fotografiert werden, intime welche diese Schwierigkeiten abschließend Dies sind Werbeagenturen mit Zusatzfunk-
Situationen abgebildet sind, sensible beseitigen können, um DSGVO-konform tionen, um die Nutzer zu gewinnen und zu
Daten erkennbar sind. zu werden. halten. Anders sind die jährlich gemeldeten
Einwilligung ist nicht nötig, wenn: Dies führt dazu, dass Firmen dazu über- Milliardengewinne mit kostenfreien Diens-
■■ eine der Ausnahmen des KUG greift gehen, die Installation und Nutzung von ten auch nicht zu erreichen.
(Person der Zeitgeschichte, Personen WhatsApp auf Firmen-Handys zu untersa- Je spezifizierter ein Datensatz ist, desto
als Beiwerk etc.) gen. Continental setzte es im Juni 2018 um wertvoller ist er für die Werbeindustrie.
■■ ein berechtigtes Interesse des Veranstal- und untersagte die Nutzung auf mehr als Tabelle 1 zeigt die Kosten eines Kennzei-
ters oder Fotografen besteht (etwa bei 36.000 Mobilgeräten. chens beim Erwerb von Datensätzen. Auch
Vereinen oder Sportveranstaltungen). wenn die genannten Preise vielleicht nicht
Absolut tabu ist (ohne Einwilligung): Die Hinweis-Flut und der exakt sind, so verdeutlichen sie doch die
■■ wenn Kinder fotografiert werden, intime Einwilligungs-Tsunami Relationen.
Situationen abgebildet sind, sensible Seit dem 25. Mai werden die E-Mail-Postfä- Je gezielter Werbung platziert wird,
Daten erkennbar sind oder eine Person cher überschwemmt mit Meldungen, man desto teurer ist die Einblendung. Dafür
diskreditiert wird. möchte doch bitte bestätigen, dass man werden heute keine s. g. Cookies mehr
die „wichtigen Nachrichten“ (Newsletter) benötigt. Die bisher auf dem Rechner
Das „WhatsApp-Problem“ weiter erhalten möchte; also die Frage abgelegten kleinen Textdateien zum Ver-
Dies nur als Bezeichnung, es umfasst auch nach dem Re-Opt-In. Dabei war den meis- folgen des Nutzers werden durch aktuellere
verschiedene andere Messenger, Social- ten handelnden Unternehmen wohl nicht Methoden abgelöst. Stichworte sind hier
Media Dienste, Online-Spiele usw., welche bewusst, dass einmal nach dem alten BDSG
ungefragt Daten transferieren. gültig eingeholte Einwilligungen weiter Tabelle 1: Quelle: WDR Mediathek: Die
Das Adressbuch (z. B.) eines Nutzers mit ihre Gültigkeit behalten. Für die Empfänger tägliche Datenspur, Wie das
allen Kontakten einschließlich E-Mail-Adres- dieser Mails ist es auf jeden Fall interessant, digitale Ich entsteht
se und Telefonnummern wird an WhatsApp bei wie vielen solcher Newsletter man sich
und damit an Facebook übertragen. Es ist bereits „angemeldet“ hatte. Meistens war
völlig unklar, wohin und zu welchem Zweck es doch überraschend. Bei einigen wurde Rabattkarte X vorhanden € 0,80
diese Daten übertragen und verarbeitet mit Sicherheit erst die Einwilligung erteilt,
Politikinteresse € 1,40
werden. indem man den „weiteren Bezug“ bestä-
Aus Datenschutzsicht ergeben sich fol- tigte. Ähnlich inflationär sind die Anfragen Wohnort € 5,00
gende Probleme: nach der Erlaubnis zum Setzen von Cookies Jobwechsel € 5,50
Die ausdrückliche Einwilligung jedes beim Besuch von Webseiten. Umzug € 6,20
einzelnen Betroffenen dazu fehlt (in der Die große Anzahl von beidem führt Abnehmwunsch € 8,00
Regel), das Informationsrecht des jewei- dazu, dass Benutzer genervt diese Meldun- Kinder € 8,40
ligen Betroffenen kann nicht erfüllt wer- gen einfach reflexartig mit OK bestätigen
Heirat € 8,80
den („Download my Data“ ist nicht ausrei- um sich nicht aus Versehen von Informati-
Krankheit € 19,00
chend), das Recht auf „Vergessen werden“ onen auszusperren oder die aufgerufene
84 PROZESSWÄRME 01 | 2019WIRTSCHAFT & MANAGEMENT
Browser-Fingerprinting und Machine-Fin- nur vereinzelt (Urlaub oder beruflich), wie Jeder kann im privaten Bereich für sich
gerprinting. Hierbei wird aus verschiedenen werden diese Orte erreicht (zu Fuß, ÖPNV, entscheiden, wie weit die Bereitschaft geht,
Parametern (Hardware, installierte Software, mit dem KFZ oder dem Flugzeug), mit wel- mit eigenen (manchmal auch nicht den
Betriebssystem, Patchlevel u. a.) eine mög- chen Geschwindigkeiten (speziell beim KFZ, eigenen) Daten zu bezahlen. Im Business-
lichst eindeutige Identifikationsnummer Risikobereitschaft), Arbeitgeber, private Orte, bereich ist dies nicht mehr zu akzeptieren.
gebildet. Der Werbeindustrie kommt beliebte Freizeitgestaltung, Frühaufsteher Da sind die Abläufe nun auf DSGVO-Kon-
hier entgegen, dass Computer (PC, Tab- oder Langschläfer, alles kein Problem. formität zu prüfen.
let, Smartphone usw.) fast immer von nur Gleichzeitig ist so aber auch feststellbar, wer Jeder möge sich vor Augen führen,
einer Person benutzt werden. Aber selbst sich bei wem in der Nähe aufhält. Natürlich dass die Durchsetzbarkeit der Betroffe-
wenn nicht, ist eine Identifikation über das wiederholt oder nachts, ohne dass sich über nenrechte außerordentlich wichtig wird,
Login und die persönliche Art die Tastatur Stunden der Aufenthaltsort ändert. Bezie- wenn Daten über einen selbst kursieren,
zu bedienen (Anschlagsrhythmus) möglich. hungen zwischen Menschen werden so welche unrichtig oder sogar unwahr sind.
Als kleiner Test dieser Funktionen eignen ersichtlich. Zahlt man noch bequem über Ein Handy-Vertrag wird abgelehnt, weil
sich für jeden persönlich außergewöhn- einen der kommenden Mobile-Payment- einem ein unbedienter Kredit zugeschrie-
liche Suchbegriffe, etwa Treppenlift oder Dienste, ist das Personenprofil nahezu kom- ben wird, den man niemals hatte oder
Brautkleid. Ein paar Seiten im Ergebnis der plett. Kaufkraft und Vorlieben bei Produkten, es gibt persönliche Nachteile durch ein
Suche anklicken und man wird erstaunt Spendenbereitschaft usw., alles protokolliert. falsches, kursierendes Religionskennzei-
sein, wie lange auf beliebigen Webseiten Die persönlichen Ansichten werden aus den chen. Man kann etwa eine Stelle bei einem
passende Werbung eingeblendet wird. Social-Networks abgelesen. kirchlichen Träger nicht antreten, weil man
(Kennzeichen Heirat: € 8,80, Krankheit wie Die verschiedenen zu erfassenden Para- als konfessionslos gilt, obwohl man durch-
gesagt: € 19,00). meter (Möglichkeiten) sind schier unbe- aus seine Kirchensteuer zahlt. Hier hätte
Das größte Problem ist aber die Korre- grenzt. Letztlich wird sogar gemessen, wie man jeweils das Recht auf Berichtigung,
lation von Daten. Ein einziges Datum lässt lange man auf Webseiten bei bestimmten um darauf nicht ausschließlich maschinell
noch keine Aussage über die Person zu, Bild-Motiven verweilt. beurteilt zu werden. Das kann auch bis
aber jeder weitere Aspekt verfeinert das Bitte nicht missverstehen. Dies ist keine zum Schadenersatz gehen.
Bild. Familie, Beruf, Einkommen, Hobbies, Wertung. Ohne Datennutzung wären alle Einen neuen Ansatz verfolgt der Brow-
Vorlieben im Urlaub, Kaufverhalten, Zah- liebgewonnenen Dienste und Funktionen ser „Brave“, welcher sich noch in der
lungsmethoden, Kunstverständnis, Bil- schlicht nicht zu betreiben. Ich zeige hier Entwicklung befindet. Brave verspricht
dungsstand, …, je detaillierter das Bild, nur auf was erfasst wird. hohen Schutz der Privatsphäre. Maßgabe
desto besser die Voraussage. Google ist ist zusätzlich: wenn der Benutzer (durch
heute in der Lage eine prozentuale Wahr- Fazit seine Daten) kommerziell genutzt wird, soll
scheinlichkeit anzugeben, mit der ein Mit den personenbezogenen Daten wird er selbst davon profitieren, indem er für
beworbenes Produkt vom Werbungs- Geld verdient, viel Geld. Die DSGVO mag geduldete, eingeblendete Werbung einen
empfänger gekauft wird. Unter anderem vielen als Bürokratiemonster erscheinen, aber Teil der Bezahlung erhält.
durch Kennzeichen, welche nicht bedacht sie soll dem Nutzer in einem gewissen Maß Ist das ein Konzept für die Zukunft oder
werden, da diese nicht offensichtlich sind. die Kontrolle über seine Daten zurückgeben. am Ende doch die völlige Aufgabe der Kon-
Viele Nutzer aktivieren (oder deakti- Da das Dateneigentum im Vordergrund steht, trolle über persönliche Daten durch erteilte
vieren nicht) in ihrem mobilen Gerät die ist auch eine Anpassung bzw. Abschwä- Einwilligung?
GPS-Funktion und die Protokollierung der chung nach Firmengröße nicht sinnvoll. Für
Aufenthaltsorte in der Cloud. Natürlich die meisten kleinen bis mittelständischen
werden sie im Gegenzug auf interessante Unternehmen sind die zu ergreifenden Maß- AUTOR
Orte in unmittelbarer Nähe hingewiesen, nahmen, um DSGVO-konform zu werden,
erhalten Restaurantempfehlungen oder aber auf jeden Fall überschaubar. Zentraler Peter Klatecki
ähnliches. Diese Funktion verrät vieles, an Punkt wird die umfassende Information an Jasper Gesellschaft für Ener-
das überhaupt nicht gedacht wird. die Betroffenen sein, speziell wenn die Daten giewirtschaft und Kyber-
Aus dem Bewegungsprofil ist zu erken- nicht nur im eigenen Haus verwertet werden netik mbH
nen: der persönliche Aktionsradius, ist die sollen (Weitergabe, gegen Bezahlung). Eine Geseke
Person eher lokal oder mobil (Lebensradius), ausdrückliche nachweisbare Einwilligung ist Tel.: 02942 / 9747-0
an welchen Orten ist man regelmäßig oder dann unerlässlich. p.klatecki@jasper-gmbh.de
www.prozesswaerme.net 85Sie können auch lesen
