Blog

Aktuelle Informationen zum Thema Datenschutz

Drucker, Dokumente und digitale Transformation

22 Dezember 2021

Auch wenn die Corona-Pandemie die Digitalisierung weiter beschleunigt hat: Papierdokumente spielen weiterhin eine wichtige Rolle und enthalten personenbezogene Daten. Vergessen Sie deshalb bei den Schutzmaßnahmen auch das Papier nicht. Gerade im Homeoffice könnte dies leicht geschehen.

Das digitale Büro bleibt Zukunft

Schon lange wird über das digitale Büro gesprochen: Alles wird digitalisiert, Aktenordner verschwinden. Doch diese Vorstellung ist auch heute noch Zukunftsmusik. Bisher verwenden erst 48 Prozent der Unternehmen Lösungen, um Dokumente zu digitalisieren, wie der Digitalverband Bitkom berichtet hat.

So kommt es auch, dass es weiterhin viele Dokumente in Papierform gibt, die personenbezogene Daten enthalten und die deshalb zu schützen sind. Dabei befinden sich die Papierdokumente nicht nur im verschlossenen Aktenschrank.

Vertrauliche Unterlagen pendeln zwischen Büro und Homeoffice

Viele Papierdokumente werden auch außerhalb des Büros und Firmengebäudes genutzt und aufbewahrt.  Die Tätigkeit im Homeoffice und die mobile Arbeit unterwegs haben dies noch verstärkt. Wo in Zukunft die sogenannte Hybride Arbeit als Mischung aus Büro und Homeoffice zum betrieblichen Alltag wird, hat dies auch Folgen für die Papierdokumente.

So transportieren die Beschäftigten dann Akten und andere Dokumente in Papierform zwischen den verschiedenen Arbeitsorten. Es kann etwa sein, dass jemand einen aktuellen Kundenvorgang im Homeoffice ausdruckt und dann später mit ins Büro nimmt, um das Dokument in der entsprechenden Akte abzulegen. Bei diesem Transport jedoch könnte das Dokument verloren gehen oder gar gestohlen werden.

Drucker sind ein mehrfaches Angriffsziel

Aber auch der Ausdruck selbst im Homeoffice birgt Risiken. Viele Drucker werden inzwischen in das WLAN im Homeoffice eingebunden. Manche sind sogar direkt über das Internet zu erreichen, damit man auch unterwegs etwas drucken kann, das dann im Homeoffice wartet.

Cyber-Attacken haben vernetzte Drucker im Visier. Es gibt aktuelle Beispiele, dass Cyberkriminelle Schwachstellen in Verbindung mit Druckern aktiv ausnutzen. Dabei bieten Drucker gleich mehrere Angriffsziele: Angreifer könnten ungeschützte Druckverbindungen abhören, ungeschützte Datenspeicher im Drucker auslesen, dort Malware deponieren und den unzureichend geschützten Drucker als heimlichen Zugang zum Endgerät und ins Netzwerk nutzen.

Mehr Datenschutz für Dokumente und Drucker

Denken Sie bei der digitalen Transformation deshalb nicht nur an den digitalen Datenschutz, sondern auch an Papierdokumente und an die Drucker, die Dokumente in Papierform ausgeben.

Andernfalls könnten Dokumente und Drucker zum Datenleck werden – sei es bei der unsicheren Lagerung, dem ungeschützten Transport oder der fehlerhaften Entsorgung über den normalen Papiermüll. Auch im Homeoffice und unterwegs müssen angemessene Schutzmaßnahmen verfügbar sein, wie zum Beispiel ein Papierschredder, der dem Schutzbedarf der Dokumente, die entsorgt werden sollen, entspricht.

Denken Sie nicht zuletzt daran, dass der Schreibtisch im Homeoffice kein sicherer Ort ist, um Akten aufzubewahren. Ein Homeoffice-Arbeitsplatz kann viel mehr „Publikumsverkehr“ haben als so manches Büro.

Haben Sie Ihre Papierdokumente im Griff? Machen Sie den Test!

Frage: Der Datenschutz betrifft nur Dateien, nicht aber Papierdokumente. Stimmt das?

  1. Nein, auch Papierdokumente können zu schützende personenbezogene Daten enthalten.
  2. Ja, denn der Datenschutz gilt nur für die automatisierte Verarbeitung personenbezogener Daten.

Lösung: Die Antwort 1. ist richtig. Die Datenschutz-Grundverordnung (DSGVO) gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, aber auch für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Unter Dateisystem versteht die DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, also zum Beispiel auch gedruckte Kundenlisten in einem Aktenordner.

Frage: Drucker im Homeoffice sind über das Internet nicht zu erreichen. Stimmt das?

  1. Ja, ist die Tür zum Homeoffice abgeschlossen, kann niemand an den Drucker.
  2. Nein, über WLAN und teils über das offene Internet könnten Drucker für Angreifer erreichbar sein.

Lösung: Die Antwort 2. ist richtig. Inzwischen werden gerade im Homeoffice die meisten Drucker über WLAN angebunden. Schwachstellen im WLAN könnten damit Dritten Zugang zum Drucker und den darauf gespeicherten Druckdaten geben. Zudem bieten viele Druckermodelle eine direkte Verbindung ins Internet und haben eine eigene E-Mail-Adresse. Das macht es möglich, von unterwegs über das Internet darauf zu drucken. Damit sind aber auch Cyberattacken auf diese Drucker möglich. Die Daten, die auf der Festplatte des Druckers liegen, könnten auf diesem Weg ebenso in Gefahr geraten wie die Daten, die für einen Ausdruck auf den Drucker temporär übermittelt werden.

Mehr lesen

Kostenlose Muster der EU für Datenschutzverträge

20 Dezember 2021

Kostenlose Vertragsmuster, frei verwendbar – das bietet die EU für die Auftragsverarbeitung und für die Datenübermittlung in „Drittstaaten“ wie die USA. Diese nützlichen Arbeitsinstrumente sollte man kennen.

Dokumentation ist alles
Verträge über die Verarbeitung von personenbezogenen Daten müssen dokumentiert sein. Mündliche Verträge reichen nicht. Das ist allgemein bekannt. Denn sonst lässt sich nicht nachweisen, dass der Datenschutz eingehalten ist. Aber wo findet man rechtssichere Muster? Für zwei wichtige Konstellationen fällt die Antwort inzwischen leicht: Im Juni 2021 hat die Europäische Kommission offizielle Vertragsmuster veröffentlicht, die sich mit den beiden Themen „Datenübermittlung in Drittstaaten“ und „Auftragsverarbeitung“ befassen.

Die Vertragsmuster sind frei verfügbar
Diese Muster darf jeder frei verwenden. Das verletzt in keiner Weise irgendein Urheberrecht. Die Muster stehen kostenlos zur Verfügung. Und zwar in allen 24 Amtssprachen der EU. Alles in offizieller Übersetzung, angefertigt von den Profis des EU-Übersetzungsdienstes. Vorlagen dieser Qualität könnten selbst große Unternehmen nur mit enormem Aufwand erstellen. Es handelt sich also um einen erheblichen Service der EU-Kommission.

Es gibt „sichere“ und „unsichere“ Drittstaaten
Ein Set von Musterverträgen befasst sich mit der Datenübermittlung in Drittstaaten. Drittstaaten sind alle Staaten, die kein Mitglied der EU sind. Für manche dieser Drittstaaten hat die Europäische Kommission offiziell festgestellt, dass sie gewissermaßen als „datenschutzrechtlich sicher“ gelten. Das ist etwa bei der Schweiz oder auch bei Japan der Fall. Für die meisten Drittstaaten gibt es eine solche Feststellung aber nicht. Wichtigstes Beispiel hierfür sind die USA.

Die Muster sorgen für Rechtssicherheit
Bei diesen „unsicheren“ Drittstaaten braucht man besondere Rechtsgrundlagen, um personenbezogene Daten an Unternehmen in diesen Staaten übermitteln zu dürfen. Ein wichtiges Rechtsinstrument hierfür sind die „EU-Standardvertragsklauseln“. Sie können verwendet werden, wenn ein Unternehmen in der EU personenbezogene Daten an Unternehmen in einen „unsicheren“ Drittstaat übermittelt.

Stichtag für die neuen Muster war der 27.6.2021
Die bisherigen Musterverträge der EU für die Übermittlung in Drittstaaten waren schon über zehn Jahre alt. In dieser Zeit gab es viele neue technische, aber auch rechtliche Entwicklungen. Schon deshalb war es notwendig, die Musterverträge anzupassen. Das ist jetzt geschehen. Seit dem 27.6.2021 sind die neuen Vorlagen maßgeblich. Verträge auf der Basis der alten Vertragsmuster müssen bis zum 27. Dezember 2022 angepasst werden.

Völlig neu: Vertragsmuster für die Auftragsverarbeitung
Völlig neu ist das Set von Musterverträgen für die Auftragsverarbeitung. Die Auftragsverarbeitung kommt vor allem ins Spiel, wenn ein Unternehmen externe Dienstleister einschaltet. Sie brauchen oft personenbezogene Daten von Kunden oder auch Mitarbeitern. Das sind typische Anwendungsfälle der Auftragsverarbeitung.

Sie passen auch innerhalb Deutschlands
Für die neuen „Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern“ ist es gleichgültig, ob der Dienstleister in Deutschland ansässig ist oder sonst wo in der EU. Sie sind gerade für den Fall gedacht, dass zwei Unternehmen innerhalb der EU eine Auftragsverarbeitung vereinbaren. Aber auch wenn die beteiligten Unternehmen in Deutschland ansässig sind, können sie die Klauseln verwenden. Sollte der Auftragsverarbeiter dagegen in einem Drittstaat ansässig sein, kommen die Standardvertragsklauseln für die Datenübermittlung in Drittstaaten zur Anwendung. Sie decken den besonderen Fall der Auftragsverarbeitung gewissermaßen mit ab.

Der „modulare Aufbau“ macht vieles leichter
Eine wichtige Neuerung bei allen Vertragsmustern ist der „modulare Aufbau“. Er soll ihre Anwendung so einfach wie möglich machen. Er prägt besonders die Vertragsmuster für die Übermittlung in Drittländer. Dort sind vier Module vorgesehen. Sie gehen auf die jeweilige Situation der beteiligten Unternehmen ein. So erfasst Modul 1 die Situation, dass die beteiligten Unternehmen sich sozusagen auf Augenhöhe gegenüberstehen. Dies ist dann der Fall, wenn die Datenübermittlung zwischen zwei gleichberechtigten Verantwortlichen stattfindet. Modul 2 passt dagegen für die Situation, dass ein Unternehmen in der EU Daten an einen Auftragsverarbeiter in einem Drittstaat übermittelt. Die Wahl des richtigen Moduls ist viel einfacher, als es zunächst wirkt. Und dann kann man gleich anfangen, das Vertragsmuster auszufüllen.    

Mehr lesen

Wie Sie ein VPN einrichten und nutzen

15 November 2021

Ob im Homeoffice oder unterwegs: Für den Zugriff auf das Unternehmensnetzwerk soll nicht das offene Internet, sondern ein Virtual Private Network (VPN) genutzt werden. Doch wie funktioniert das in der Praxis? Lesen Sie wichtige Hinweise zur Einrichtung und Nutzung.

Flexible Arbeit hat Folgen für den Datenschutz

Nach dem Ende der Homeoffice-Pflicht sind bereits viele Beschäftigte in ihr bisheriges Büro zurückgekehrt. In vielen Fällen besteht aber weiterhin die Möglichkeit, zeitweise im Homeoffice zu arbeiten. Gleichzeitig finden wieder mehr Vor-Ort-Termine statt. Dadurch nimmt die mobile Arbeit wieder zu.

Die flexible Arbeitsumgebung hat aber Konsequenzen für den Schutz personenbezogener Daten. Die Datenrisiken im Büro, im Homeoffice und unterwegs können sehr verschieden sein. Die Maßnahmen für den Datenschutz sollten den jeweiligen Schutzbedarf berücksichtigen und damit auch den Arbeitsort.

Eines aber haben die Arbeitsorte außerhalb des Büros gemeinsam: Ist ein Zugriff auf das Unternehmensnetzwerk, auf betriebliche Applikationen oder auf Daten in der Unternehmens-Cloud nötig, kommt ein Dienst zum Aufbau eines VPN (Virtual Private Network) ins Spiel.

Sicherer Netzwerkzugang mit Virtual Private Networks

Nutzen Sie im Homeoffice oder bei der mobilen Arbeit VPN, kommt es zuerst einmal darauf an, den richtigen, vom Unternehmen freigegebenen VPN-Dienst zu verwenden. Im Internet kursieren viele Angebote für kostenlose VPN-Dienste. Doch VPN kann gegen Lauschangriffe durch Dritte auf die Verbindung zum Unternehmen schützen, nicht aber gegen denkbare Zugriffe durch den VPN-Anbieter selbst.

Es ist deshalb entscheidend, einen vertrauenswürdigen, sicheren VPN-Dienst einzusetzen. Die Auswahl trifft Ihr Arbeitgeber, nachdem er den VPN-Service geprüft hat. Sie selbst als Nutzer sollten deshalb keinen anderen VPN-Dienst als den jeweils freigegebenen verwenden. Wissen Sie nicht, welcher das ist, fragen Sie danach bei der im Unternehmen zuständigen Stelle.

VPN im Homeoffice

Sind Sie im Homeoffice tätig und wollen auf das Unternehmensnetzwerk zugreifen, verwenden Sie den VPN-Dienst in aller Regel über Ihren Desktop-PC oder Ihr Notebook. Je nach VPN-Service wird dazu einmalig ein VPN-Client auf dem Endgerät eingerichtet, der VPN-Dienst im Browser oder im Internet-Router konfiguriert oder in den Betriebssystemeinstellungen. Fragen Sie Ihre IT-Administration nach der entsprechenden Anleitung.

Wichtig ist, dass Sie das eingerichtete VPN auch nutzen. Dazu müssen Sie die VPN-Verbindung entsprechend aktivieren. Andernfalls haben Sie zwar die Voraussetzungen für VPN, nutzen aber trotzdem das offene Internet.

VPN unterwegs

Auch außerhalb des Homeoffice, zum Beispiel auf dem Weg vom Homeoffice in Ihr Büro im Unternehmen, kann es notwendig sein, mit Ihrem mobilen Endgerät auf das Firmennetzwerk oder auf betriebliche Cloud-Dienste zuzugreifen. Dazu sollte Ihr Smartphone oder Tablet entsprechend eingerichtet sein. Je nach VPN-Dienst gibt es dazu eine spezielle VPN-App, die Sie dann jeweils zuerst starten müssen, wenn Sie sich bei Firmensystemen anmelden wollen.

Mehr lesen

Die Praxisübernahme und das „Zwei-Schrank-Modell“

31 Oktober 2021

Was passiert eigentlich mit Behandlungsunterlagen, wenn eine Nachfolgerin oder ein Nachfolger eine Arztpraxis übernimmt oder wenn eine neue Betriebsärztin auf den bisherigen Betriebsarzt folgt? Das „Zwei-Schrank-Modell“ stellt in solchen Fällen den Datenschutz sicher.

Höchster Schutz für medizinische Daten

Wer sich ärztlich behandeln lässt, erwartet für seine Daten höchsten Schutz. Die ärztliche Schweigepflicht spielt dabei eine zentrale Rolle. Sie muss auch dann gewahrt bleiben, wenn ein Nachfolger eine Arztpraxis übernimmt oder wenn der Betriebsarzt wechselt.

Aufbewahrungspflicht von zehn Jahren

Rein rechtlich ist alles klar: Nach Abschluss einer Behandlung muss ein Arzt die Patientenakte zehn Jahre lang aufbewahren. Das steht so in § 630f Abs. 3 Bürgerliches Gesetzbuch (BGB). Diese Pflicht besteht fort, wenn ein Arzt beispielsweise in den Ruhestand tritt und die Praxis an einen Nachfolger übergibt. Die Patientenunterlagen müssen weiterhin zuverlässig geschützt sein.

Zu schnell steht die Aufbewahrungspflicht nur auf dem Papier

Doch wie lässt sich das in der Praxis sicherstellen? Der bisherige Praxisinhaber will sich im Ruhestand um die Unterlagen nicht mehr kümmern. Und ein Betriebsarzt, der ausgeschieden ist, hat inzwischen auch anderes zu tun. Verständlich, dass er sich mit den vorhandenen Unterlagen am liebsten nicht mehr befassen möchte.

Die Elemente des „Zwei-Schrank-Modells“

Einen Ausweg aus diesem Dilemma bietet das „Zwei-Schrank-Modell“. Die Datenschutzaufsichtsbehörden empfehlen es. Inzwischen ist es allgemein üblich. Für klassische Patientenakten auf Papier funktioniert es in einer Arztpraxis so:

  • Man stellt in der Arztpraxis zwei Schränke auf.
  • In Schrank 1 kommen die Unterlagen, die bei der Tätigkeit des bisherigen Praxisinhabers entstanden sind. Sie werden eingeschlossen.
  • Schrank 2 ist zunächst völlig leer.
  • Den Schlüssel für beide Schränke erhält der Praxisnachfolger.
  • Der bisherige Inhaber der Praxis und sein Nachfolger schließen einen Vertrag. Darin verpflichtet sich der Nachfolger, die vorhandenen Unterlagen streng gesichert in Schrank 1 aufzubewahren.
  • Kommt ein Patient des bisherigen Praxisinhabers zum Nachfolger, fragt dieser den Patienten, ob er den Zugriff auf die vorhandenen Unterlagen erlaubt.
  • Meist ist das der Fall. Dann wird Schrank 1 geöffnet und die dort vorhandenen Unterlagen des Patienten kommen in Schrank 2.
  • Nach einiger Zeit hat sich Schrank 1 meist ziemlich geleert und Schrank 2 ziemlich gefüllt.
  • Die „Restunterlagen“ in Schrank 1 bleiben dort, bis die Aufbewahrungsfrist von zehn Jahren abgelaufen ist. Dann werden diese Unterlagen datenschutzgerecht vernichtet.

Das Modell funktioniert auch bei elektronischen Unterlagen

Das Beispiel der klassischen Patientenakten auf Papier ist besonders leicht nachzuvollziehen. Das Modell funktioniert jedoch auch, wenn die Patientenunterlagen in elektronischer Form vorhanden sind. In wenigen Jahren dürfte das die Regel sein. In diesem Fall wird das „Zwei-Schrank-Modell“ einfach elektronisch nachgebildet.

Der vorhandene Datenbestand wird bei der Übergabe der Praxis gesperrt und besonders gegen Zugriff gesichert. Erst wenn der Patient gegenüber dem Praxisnachfolger zustimmt, schaltet der Praxisnachfolger den Datensatz frei. Das muss er selbstverständlich nicht unbedingt persönlich tun. Auch jemand aus dem Sprechstundenteam, der dafür besonders eingewiesen ist, kann das erledigen.

Besonders datenschutzkonform: die Protokollierung von Zugriffen

Die elektronische Variante ist besonders datenschutzkonform. Bei ihr ist es problemlos möglich, jeden Zugriff zu protokollieren. Wenn die Protokollierung richtig eingerichtet ist, lassen sich die gespeicherten Daten im Nachhinein nicht mehr verändern. Dann lässt sich bei etwaigen Beschwerden leicht feststellen, ob alles ordnungsgemäß abgelaufen ist oder nicht.

Kleine Besonderheiten beim Wechsel des Betriebsarztes möglich

Beim Wechsel des Betriebsarztes lässt sich das Modell an die Strukturen anpassen, die jeweils vorhanden sind. Manche Unternehmen haben die Funktion des Betriebsarztes bei einer externen Praxis angesiedelt, die auch die Patientenunterlagen aufbewahrt. Dann passt alles, was bisher gesagt wurde, 1:1. Bei anderen Unternehmen erfolgt die Aufbewahrung der Patientenunterlagen im Unternehmen selbst. Zugriff hat dabei selbstverständlich nur der Betriebsarzt. In diesem Fall müsste der Schlüssel für die vorhandenen Unterlagen so lange beim bisherigen Betriebsarzt bleiben, bis ein neuer Betriebsarzt bestimmt ist.

Mehr lesen

Schluss mit Spam: So arbeiten Spam-Filter mit mehr Erfolg

15 Oktober 2021

Unerwünschte Mails, Chat-Nachrichten und Anrufe – Spam hat viele Gesichter. Spam-Filter sollen die Spam-Flut eindämmen. Dazu müssen sie aber richtig eingesetzt werden. Werden sie nicht trainiert, bleiben Spam-Filter erfolglos und dumm, die Spam-Mails weiterhin eine Plage und ein Datenrisiko.

Spam ist mehr als lästig

Zu Beginn des Arbeitstags ruft man seine E-Mails ab, unter den erschreckend vielen Mails, die über Nacht eingetroffen sind, befinden sich zahlreiche Spam-Mails. Ist dies der Fall, sortiert der Mail-Server offensichtlich die Spam-Mails nicht oder nicht gut genug aus. Oder aber der lokale Spam-Filter im E-Mail-Programm verdient wohl seinen Namen nicht.

Wenn man aber viele Spam-Mails im Posteingang hat, ist dies nicht nur ärgerlich. Es kostet Zeit und Nerven, nicht zuletzt kann man versehentlich legitime Mails löschen oder Spam-Mails ungewollt öffnen. Wenn die Spam-Versender dann noch das Öffnen registrieren (über Mail-Tracking), wird die Zahl der Spam-Attacken weiter steigen. Bringt die Spam-Mail Schadsoftware mit, ist schnell der Computer oder das Smartphone verseucht.

Spam-Filter können helfen, wenn man ihnen hilft

Nun stellt sich die Frage, warum die genutzten Spam-Filter diese vielen lästigen und sogar gefährlichen Mails nicht aussortieren. Darauf gibt es mehr als eine Antwort. Zum einen werden die kriminellen Spam-Versender, die Spammer, immer besser. Viele Spam-Mails sind also inzwischen besser getarnt als früher. Dabei hilft den Spammern auch künstliche Intelligenz, die die Spam-Inhalte optimieren, ja sogar auf die Opfer gezielt anpassen kann.

Ein weiteres Problem sind die Spam-Filter selbst, die nicht so eingesetzt werden, wie es eigentlich sein soll. Auch in den Spam-Filtern wird inzwischen zunehmend Maschinelles Lernen eingesetzt. Sie sollen also mit der Zeit immer besser, also immer genauer werden, weniger Spam-Mails übersehen und möglichst keine legitime Mail als Spam einstufen. Dazu müssen die Nutzer aber mit den Spam-Filtern arbeiten.

Das richtige Training für Spam-Filter

Neue Spam-Filter sind relativ dumm. Treffen im Posteingang also viele Spam-Mails ein, sollte man diese nicht einfach löschen, sondern als Spam markieren. Das verschiebt diese Spam-Nachrichten nicht nur in den Spam-Ordner. Man teilt dem Spam-Filter auch mit, dass er einen Fehler gemacht hat.

Umgekehrt sollte man legitime Nachrichten, die in den Spam-Ordner geschoben wurden, von der Spam-Markierung befreien. Das verschiebt sie wieder in den Posteingang und trainiert erneut den Spam-Filter, denn auch hier hat er Fehler gemacht.

Natürlich wird der Spam-Filter nie alles richtig machen, aber er wird mit der Zeit besser. Je nach Anbieter für den Spam-Filter wird er auch durch externe Updates schlauer gemacht, aber ohne das Training durch Sie als Nutzer geht es nicht. Nur der Mail-Empfänger selbst kann die individuellen Vorgaben machen, die der Spam-Filter kennen muss. Diese Vorgaben macht man durch Markieren als Spam und durch Entfernen der Spam-Markierung.

Dies mag nach Aufwand aussehen, zahlt sich später aber aus. Ein gut trainierter Spam-Filter, der den Datenschutz beachtet, also nichts über den Nutzer verrät, ist ein wichtiger Teil der E-Mail-Sicherheit.

Haben Sie Spam-Mails im Griff? Machen Sie den Test!

Frage: Übersieht ein Spam-Filter viele Spam-Mails, lohnt sich der Einsatz nicht. Stimmt das?

  1. Nein, dann muss man den Spam-Filter besser trainieren, also die übersehenen Spam-Mails mit einer Markierung als Spam versehen.
  2. Ja, denn wenn man selbst die Spam-Mails aussortiert, braucht man keinen zusätzlichen Spam-Filter.

Lösung: Die Antwort 1 ist richtig. Spam-Filter müssen trainiert werden. Sie sollten schon zu Anfang möglichst viel (offensichtlichen) Spam erkennen und in den Spam-Ordner verschieben. Aber wenn ein Nutzer einen ungewöhnlichen Newsletter abonniert hat, ist eine Einstufung als Spam für Dritte vielleicht richtig, für den Nutzer selbst jedoch nicht. Nur der Nutzer kann die genauen Vorgaben machen.

Frage: Markiere ich etwas als Spam, verschiebt dies die Nachricht nur in den Spam-Ordner. Stimmt das?

  1. Ja, die Spam-Markierung sorgt für die Sortierung in „Spam“ und „kein Spam“.
  2. Nein, das trainiert zusätzlich den Spam-Filter. Die Wahrscheinlichkeit, dass der Filter in Zukunft selbst die Spam-Markierung richtig setzt, steigt.

Lösung: Die Antwort 2 ist richtig. Wer in seinem Mail-Programm etwas als Spam markiert, hilft dem Spam-Filter und räumt gleichzeitig auf. Wer dagegen Spam-Mails einfach löscht oder anders verschiebt, der teilt dem Spam-Filter nicht mit, dass er etwas übersehen hat. Doch nur mit diesem Training kann der Spam-Filter besser werden und der E-Mail-Sicherheit sowie dem Datenschutz in Zukunft besser helfen.

Spam-Filter gibt es übrigens nicht nur für E-Mail, sondern zum Beispiel auch für SMS und Anrufe auf dem Mobiltelefon sowie für Chat-Nachrichten. Denn auch darüber können Spammer unerwünschte Nachrichten senden.

Mehr lesen

Wann ist die Zugriffskontrolle durch Fingerabdruck erlaubt?

04 Oktober 2021

Der Scan des Fingerabdrucks schützt Rechner besonders effektiv vor unbefugten Zugriffen. In bestimmten Fällen darf der Arbeitgeber ausdrücklich verlangen, dass Beschäftigte diese Methode nutzen.

Fingerabdrücke sind besonders geschützt

Fingerabdrücke gehören zu den biometrischen Daten. Biometrische Daten sagen unmittelbar etwas über den Körper eines Menschen aus. Deshalb sind sie besonders geschützt. Ihre Verarbeitung ist nur unter engen Voraussetzungen zulässig. Das ordnet die Datenschutz-Grundverordnung (DSGVO) für biometrische Daten an, wenn sie „zur eindeutigen Identifizierung einer natürlichen Person“ geeignet sind.

Es passt zur Fürsorgepflicht des Arbeitgebers

Das gilt auch im Arbeitsleben. Daran ist nichts Überraschendes. Das Arbeitsrecht kennt die Fürsorgepflicht des Arbeitgebers. Sie bringt zum Ausdruck, dass die persönlichen Belange von Arbeitnehmerinnen und Arbeitnehmern im Arbeitsalltag wichtig sind. Sie schafft einen geschützten Rahmen, in dem der Arbeitnehmer seine Arbeitsleistung erbringt.

Die Einzelheiten regelt das BDSG

Manchmal ist eine ordnungsgemäße Arbeitsleistung nur möglich, wenn dabei Daten des Arbeitnehmers verarbeitet werden. Hierzu trifft das Bundesdatenschutzgesetz (BDSG) einige Regelungen. Solche ergänzenden nationalen Vorschriften macht die DSGVO für das Arbeitsleben ausdrücklich möglich.

Zweistufige rechtliche Prüfung bei Fingerabdrücken

Das BDSG sieht eine zweistufige Betrachtung vor. Dies lässt sich am Beispiel von Fingerabdrücken sehr gut zeigen:

  • Stufe 1: Zunächst muss feststehen, dass das Scannen von Fingerabdrücken notwendig ist, damit der Arbeitnehmer seine Arbeitsleistung ordnungsgemäß erbringen kann.
  • Stufe 2: Anschließend ist zu prüfen, ob im konkreten Einzelfall ausnahmsweise trotzdem schutzwürdige Interessen des Arbeitnehmers den Vorrang haben. Sollte das der Fall sein, wäre das Scannen zwar an sich erforderlich, aber im Ergebnis trotzdem nicht zulässig.

Im Normalfall ist ein Fingerabdruck-Scan übertrieben

Im normalen Büroalltag ist es nicht erforderlich, den Zugriff auf einen Rechner durch das Scannen eines Fingerabdrucks abzusichern. Sofern die „üblichen Bürodaten“ wie etwa Daten von Bestellungen und Lieferungen verarbeitet werden, wäre das schlicht übertrieben. Natürlich brauchen auch solche Daten einen Schutz gegen unbefugte Zugriffe. Dafür genügen aber die üblichen Mittel wie Passwörter und das Sperren des Bildschirms, wenn einige Zeit keine Eingabe mehr erfolgt ist.

Das macht den Büroalltag unbequemer

Für solche Situationen ist das Scannen von Fingerabdrücken nicht erforderlich. Damit fehlt es an den Voraussetzungen der Stufe 1. Der Arbeitgeber darf in diesen Fällen solche Scans nicht vorsehen. Dies gilt auch dann, wenn es den betroffenen Arbeitnehmern eigentlich ganz recht wäre. Denn für sie wäre es oft bequemer, den Daumen auf einen Scanner zu legen, statt ein Passwort einzugeben, das sie auch noch regelmäßig ändern müssen. Eine Betriebsvereinbarung zu dem Thema könnte weiterhelfen. Eine Einwilligung des Arbeitnehmers sehen die Datenschutzbehörden dagegen mit Skepsis.

In Sonderfällen ist ein Fingerabdruck-Scan geboten

Manchmal ist der Einsatz von Fingerabdruck-Scans erforderlich. Das gilt vor allem für sicherheitssensible Bereiche. Ein Beispiel hierfür ist die Arbeit an technischen Entwicklungen, die später zum Patent angemeldet werden sollen. Ein weiteres Beispiel ist die Durchführung von Aufträgen, die staatlichen Geheimhaltungsvorschriften unterliegen. Dies kommt etwa bei Lieferanten der Bundeswehr vor. Solche Fälle erfüllen die Voraussetzungen der Stufe 1.

Schutzwürdige Interessen stehen fast nie entgegen

Die Prüfung der Stufe 2 ergibt nur ganz selten, dass dennoch schutzwürdige Interessen von Arbeitnehmern als vorrangig anzusehen sind. Denn selbstverständlich wird der Arbeitnehmer schon im eigenen Interesse strikt darauf achten, wer beispielsweise Zugriff auf die Scan-Daten hat. Sonst würde der Schutz, den er mit ihrer Hilfe anstrebt, sofort wieder unterlaufen.

Schutzmaßnahmen brauchen immer ein Gesamtkonzept!

Als einzige Schutzmaßnahme reicht der Einsatz von Fingerabdruck-Scans normalerweise nicht aus. Vor allem das automatische Sperren des Bildschirms, wenn einige Zeit keine Eingabe erfolgt ist, ist zusätzlich notwendig. Und eine ganz banale Absicherung sollte man ebenfalls nie vergessen: Ein PC ist heutzutage so klein, dass er leicht in einer Tasche Platz findet. Es ist deshalb ein Schutz dagegen notwendig, dass ihn ein „Langfinger“ einfach mitnimmt. Jede einzelne Sicherungsmaßnahme taugt eben nur so viel wie das Gesamtkonzept, zu dem sie gehört!

Mehr lesen

Selbstdatenschutz im Homeoffice

27 September 2021

Beschäftigte im Homeoffice sind in Fragen des Datenschutzes zwar nicht auf sich allein gestellt, aber ihr Anteil an Schutzmaßnahmen ist höher, als viele glauben. Es geht um mehr als die Sicherheit für Notebook und Smartphone.

Selbst sind die Frau und der Mann

In Zeiten der Corona-Pandemie ist die Zahl der Beschäftigten im Homeoffice deutlich gestiegen. Zu Beginn waren viele Maßnahmen noch temporär gedacht, mit heißer Nadel gestrickt und gerade im Bereich der Datensicherheit mehr ein Provisorium als eine Lösung auf Unternehmensniveau.

Inzwischen aber ist in vielen Unternehmen deutlich geworden, dass das Homeoffice nicht mehr komplett verschwinden wird. Im Gegenteil: Viele Firmen wollen das Homeoffice als gleichberechtigten Arbeitsplatz neben dem Büro im Firmengebäude erhalten. Man spricht dann von hybriden Arbeitsplätzen.

Doch wirklich gleichberechtigt sind Homeoffice und Büroschreibtisch in der Firma nicht. Denn der Firmenarbeitsplatz kann von den zentralen Maßnahmen der IT-Sicherheit profitieren. Im Homeoffice sind die Beschäftigten selbst gefragt, für die Sicherheit der personenbezogenen Daten stärker aktiv zu werden.

Betriebliche Notebooks und Smartphones reichen nicht

Wie eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) in der deutschen Wirtschaft ergab, verwenden nur 42 Prozent der Unternehmen ausschließlich betriebseigene IT in den Homeoffices. Die Mehrzahl der Unternehmen setzt also darauf, dass die Beschäftigten auch private Geräte betrieblich einsetzen.

Ist dies der Fall, müssen die Beschäftigten die eigenen Geräte wie Notebook und Smartphone genauso stark absichern, wie dies der Arbeitgeber mit den betrieblichen Geräten tut. Insbesondere müssen private und betriebliche Daten und Anwendungen strikt getrennt werden, der Zugriff privater Apps und unbefugter Dritter, wozu auch die eigene Familie der Beschäftigten zählt, auf betriebliche personenbezogene Daten muss ausgeschlossen werden.

Doch selbst die Bereitstellung von Smartphones und Notebooks durch den Arbeitgeber reicht nicht für den Datenschutz im Homeoffice, es ist mehr an Selbstdatenschutz gefragt.

Homeoffice muss sichere Umgebung werden

Tatsächlich nutzen selbst betriebliche Smartphones und Notebooks im Homeoffice auch Geräte, die eben doch private Geräte sind. Dies können die Drucker im Homeoffice sein, das Headset, die Webcam, die Maus, der Bildschirm und insbesondere der Internet-Router, mit dem die Verbindung ins Internet, aber meist auch die Verknüpfung mit dem Firmennetzwerk aufgebaut wird.

Internet-Router sind beliebte Angriffsziele für Hacker, denn sie werden häufig vernachlässigt. Die Sicherheitseinstellungen werden nicht kontrolliert, die Firmware des Routers nicht regelmäßig aktualisiert. Das WLAN-Passwort „kennen“ auch die Smart-Home-Anwendungen, die häufig so reich an Schwachstellen sind, dass ein Angreifer dort das Passwort auslesen kann, um dann den Datenverkehr im Homeoffice zu überwachen.

Nicht nur an die IT denken

Doch nicht nur die komplette private IT, die die Beschäftigten im Homeoffice nutzen, ist Gegenstand des Selbstdatenschutzes, da die IT-Sicherheitsabteilung des Arbeitgebers hier nicht aktiv wird. Auch die Dokumente auf dem heimischen Schreibtisch, die Ausdrucke im privaten Müll und die Telefonate auf dem Balkon oder der Terrasse können zu Datenschutz-Problemen führen.

Wer im Homeoffice arbeitet, muss an den Home-Datenschutz denken. Das umfasst etwa auch das Absperren der heimischen Bürotür, wenn andernfalls unbefugte Zugriffe auf Daten und Dokumente möglich werden könnten.

Mehr lesen

Datentransfer in die USA – eine Dauerbaustelle?

08 August 2021

Die DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt eine große Herausforderung für die Zukunft. 

Ohne Übermittlungen in die USA geht kaum etwas 

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten. Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen. Meist laufen sie über Server in den USA.  

Die USA – ein Drittland 

Ein Unternehmen, das Daten in die USA übermittelt, muss die Vorgaben der DSGVO einhalten. Die USA sind bekanntlich kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht orientiert sich nicht an den Vorgaben der DSGVO. Deshalb sind Maßnahmen nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO). 

Der goldene Weg: generelle Regelungen 

Ideal wäre es für Unternehmen, wenn es generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.  

„Safe Harbour“ und „Privacy Shield“ sind Geschichte 

Zunächst sollten die „Safe-Harbour-Regelungen“ buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen. Später sollte der „Privacy Shield“ ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA darstellen.  

Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade. Seine Entscheidungen sind unter den Kurzbegriffen „Schrems I“ und „Schrems II“ bekannt. Herr Schrems, ein österreichischer Jurist, hatte jeweils die Verfahren in die Wege geleitet, die zu den Entscheidungen geführt haben. 

Der aktuelle Stand: Ratlosigkeit 

Im Augenblick herrscht in den Unternehmen eine gewisse Ratlosigkeit. Das spüren alle Mitarbeiterinnen und Mitarbeiter, die mit Datenübermittlungen in die USA zu tun haben, in ihrem beruflichen Alltag. Aufforderungen, solche Übermittlungen auf das Notwendigste zu beschränken, sind Standard. Von der EU entworfene „Standardvertragsklauseln“ dienen häufig als Rechtsgrundlage für Datentransfers, sind aber aufwendig zu handhaben. Einwilligungen betroffener Personen taugen nicht als breit anwendbare Rechtsgrundlage. Der Aufwand ist schlicht zu hoch.  

Ein dringender Geburtstagswunsch 

Den dritten Geburtstag der DSGVO verbinden viele Unternehmen mit dem Wunsch, dass die EU in nächster Zeit ein besonderes Geburtstagsgeschenk bastelt: eine in der Praxis sinnvoll nutzbare Rechtsgrundlage für Datenübermittlungen in die USA! Die EU und die USA haben versprochen, sich darum in der nächsten Zeit intensiv zu bemühen. 

Mehr lesen

Wie steht es um die Sicherheit personenbezogener Daten?

02 August 2021

Drei Jahre müssen Unternehmen und Behörden die Datenschutz-Grundverordnung nun schon anwenden. Doch scheinen die Sicherheitsvorfälle und Datenpannen noch größer und häufiger als früher zu sein. Kommt die Datensicherheit nicht von der Stelle? Kann es überhaupt Datensicherheit geben?  

DSGVO fordert eine sichere Verarbeitung personenbezogener Daten 

Die Datenschutz-Grundverordnung lässt keinen Zweifel. Sie fordert ausdrücklich: Die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten und die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Daten müssen auf Dauer sichergestellt sein.  

Nun könnte man vermuten, dass drei Jahre Anwendung der DSGVO dazu geführt hätten, dass IT-Sicherheitsvorfälle und damit Verletzungen der genannten Schutzziele für personenbezogene Daten inzwischen seltener auftreten. Doch offensichtlich ist das nicht der Fall. Die Schlagzeilen der Tagespresse sind voll von Meldungen über Datenverluste, Datenmissbrauch und Spionageangriffe auf Unternehmen und Behörden. 

Ist die Forderung der DSGVO nach einer umfassenden Sicherheit der personenbezogenen Daten unrealistisch? Kann wirkliche Datensicherheit vielleicht gar nicht gelingen? 

Hundertprozentige Sicherheit gibt es nicht, aber … 

Kein Sicherheitsexperte würde behaupten, dass es eine hundertprozentige Sicherheit gibt, daran kann auch die DSGVO nichts ändern. Trotzdem ist die Forderung nach Datensicherheit ein zwingender Bestandteil des Datenschutzes. Nur weil die Meldungen über Millionen von Datensätzen, die ungeschützt im Internet gefunden wurden, nicht abreißen, kann man auf die Maßnahmen des technischen Datenschutzes nicht verzichten. 

Tatsächlich ist es so, dass die Maßnahmen der Datensicherheit durchaus Sicherheitsvorfälle und Datenpannen vermeiden, es also ohne diese Maßnahmen viel mehr Schaden für die Betroffenen von Datenverlust und Datenmissbrauch geben würde. Sicherheitsexperten sagen, dass selbst Basisschutzmaßnahmen helfen können, die Mehrzahl möglicher Angriffe zu verhindern.  

Für besonders raffinierte Angriffe und komplexe Vorfälle braucht man dagegen besondere Schutzmaßnahmen. Doch auch diese können keine Garantie bieten. 

Wirksamkeit der Schutzmaßnahmen muss dauerhaft überwacht werden 

Aus gutem Grund fordert die DSGVO neben den Sicherheitsmaßnahmen auch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. So kann es durchaus sein, dass eine ergriffene Maßnahme nicht das erfüllt, was man für die Sicherheit erwartet hat. Es kann aber auch sein, dass eine Schutzmaßnahme für eine gewisse Zeit greift, dann aber keine zuverlässige Datensicherheit mehr bieten kann. Dies soll durch die Kontrolle der Wirksamkeit erkannt werden, um die Schutzmaßnahmen dann zu optimieren. 

Entscheidend für die Datensicherheit ist dabei der Stand der Technik, wie die DSGVO fordert. So kann zum Beispiel eine Verschlüsselung in der Zukunft nicht mehr stark genug sein, da die Angreifer dann Mittel haben, um sie zu brechen. 

Neben neuen Angriffsmethoden sind es auch die neuen Technologien, die die Datensicherheit immer wieder herausfordern. Neue Technik bringt neue Schwachstellen mit sich, die Angreifer ausnutzen könnten. Aber auch bestehende Technik kann Sicherheitslücken enthalten, die erst später bekannt werden. 

Datensicherheit ist und bleibt eine Daueraufgabe 

Sieht man also genauer hin, so darf man sich nicht wundern, dass auch drei Jahre nach Anwendung der DSGVO Sicherheitsvorfälle auftreten und der Datenschutz verletzt wird, weil die Datensicherheit unzureichend war. Das kann an der Wahl der falschen Maßnahmen liegen, an fehlendem Schutz, an Vorfällen, die sich technisch gar nicht verhindern lassen, aber auch an der hohen Dynamik der IT und der Bedrohungslage.  

Die Sicherheit der Verarbeitung personenbezogener Daten ist also nicht etwa schlechter geworden, weil immer noch viele Datenpannen auftreten. Stattdessen kann man annehmen, dass die Zahl der gemeldeten und entdeckten Vorfälle zugenommen hat – das ist also ein gutes Zeichen für den Datenschutz, wenn man Datenschutzverletzungen nicht übersieht, sondern meldet und abstellt. Das ist durchaus als Erfolg der DSGVO zu sehen, die die Meldepflichten stärker in den Blick der Unternehmen gerückt hat. 

Gleichzeitig gilt es, weiterhin die Sicherheit der Daten auf ihre Wirksamkeit hin zu untersuchen. Dazu gehört es auch, Sicherheitsfunktionen nicht zu umgehen oder zu deaktivieren, weil sie scheinbar den Komfort reduzieren. Das würde dann tatsächlich den Datenschutz verschlechtern. Das gilt heute und wird auch in Zukunft so sein. 

Mehr lesen

Private Aktivitäten und die DSGVO

29 Juni 2021

Immer wieder hört man, dass die DSGVO nicht gilt, wenn jemand Daten für private Zwecke verarbeitet. Was ist da dran? Und wo verlaufen die Grenzen?

Eine Ausnahme vom Anwendungsbereich der DSGVO

Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) geht sehr weit. Aber für die private Verarbeitung von Daten gilt sie tatsächlich nicht. Genauer: Sie gilt nicht für die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“ So beschreibt es an etwas versteckter Stelle Art. 2 Absatz 2 Buchstabe c DSGVO.

Hinter der Regelung steht der Gedanke, dass rein private Aktivitäten die Interessen anderer Personen normalerweise nicht berühren.

Ausnahmen sind eng auszulegen

Die DSGVO lässt hier eine Ausnahme von ihrem Anwendungsbereich zu. Ausnahmen sind generell eng auszulegen. Deshalb empfiehlt es sich, die Regelung sehr genau anzuschauen. Dabei ergeben sich wichtige Aspekte:

Natürliche und juristische Personen

Die Ausnahme betrifft nur die Verarbeitung von Daten durch „natürliche Personen“. Das sind alle Menschen. Der Gegenbegriff dazu sind „juristische Personen“. Das heißt konkret: Wenn Herr Meier für sich persönlich einen Geburtstagskalender mit seinen Bekannten führt, spielt die DSGVO keine Rolle. Denn dies tut er als natürliche Person. Führt er einen Geburtstagskalender mit demselben Inhalt dagegen als Geschäftsführer für die Meier GmbH, sieht es anders aus. Dann gilt dafür die DSGVO.

Persönliche und geschäftliche Tätigkeiten

Die Ausnahme erfasst nur „persönliche und familiäre Tätigkeiten“. Das Gegenstück dazu sind vor allem „geschäftliche Tätigkeiten“. Ein elektronisches Telefonbuch mit den Rufnummern von Verwandten und persönlichen Freunden interessiert die DSGVO nicht. Bei einem elektronischen Telefonbuch mit den Rufnummern von Geschäftspartnern sieht das anders aus.

Behandlung von gemischten Fällen

Dieses Beispiel führt zu „Mischfällen“, die in der Praxis relativ häufig sind. Jemand hat in seinem privaten Handy die Rufnummern von Verwandten und Freunden gespeichert. Außerdem finden sich dort auch die Nummern aller wichtigen Geschäftspartner. Private Verbindungen bestehen zu den Geschäftspartnern nicht. Hier gilt die DSGVO für das gesamte Nummernverzeichnis, also für alle Daten. Denn von der DSGVO ausgenommen sind nur Tätigkeiten, die „ausschließlich“ persönlicher oder familiärer Natur sind. Hier dient das Verzeichnis aber auch geschäftlichen Zwecken.

Im Zweifel: keine Ausnahme möglich!

Unsicherheiten bei der Abgrenzung gehen immer zulasten dessen, der die Daten verarbeitet. Im Zweifel gilt die DSGVO also, und eine Berufung auf die Ausnahme ist nicht möglich. Beispiel: Es bleibt unklar, ob jemand einen Geburtstagskalender als Privatmann oder als Geschäftsführer nutzt. Dann muss er die DSGVO voll beachten. Er kann sich nicht auf die Ausnahme von der DSGVO berufen.

Soziale Netzwerke ohne Zugriffsbeschränkung

Viele wollen ihre Fotos einem weiteren Kreis von Bekannten zugänglich machen und stellen sie beispielsweise bei Facebook ein. Ansehen kann sie jeder, der auf den Account zugreift. Damit befinden sich die Aufnahmen außerhalb des ausschließlich privaten Bereichs. In solchen Fällen gilt die DSGVO in vollem Umfang.

Echt private Gruppen in sozialen Netzwerken

Natürlich sind auch in sozialen Netzwerken rein private Gruppen möglich. Beispiel: Weit voneinander entfernt lebende Mitglieder einer Familie richten eine private Gruppe ein, in der sie private Bilder und private Nachrichten austauschen. Zugriff haben nur die Mitglieder. Dafür gilt die DSGVO nicht. Wichtig ist aber eine persönliche Verbundenheit der Gruppe untereinander.

„Zahlenspiele“ helfen nicht weiter

Keine Rolle spielt dagegen, wie viele Mitglieder zu einer Gruppe gehören. Bloß weil eine Gruppe beispielsweise nur fünf oder zehn Mitglieder hat, ist sie nicht automatisch eine private Gruppe. Umgekehrt können beispielsweise bei einer großen Familie auch 20 oder 30 Personen durchaus noch eine private Gruppe bilden.

Überwachungskamera in der eigenen Wohnung

Manche lassen in ihrer Wohnung eine Kamera laufen, wenn sie außer Haus sind. Das tut etwa ein Katzenfreund, der tagsüber immer wieder einmal aus der Entfernung sehen will, wie es der Kätzin mit den neu geborenen Kätzchen geht. Das ist eindeutig ein Fall rein privater Datenverarbeitung, auch wenn der Zugriff über eine Datenleitung aus der Ferne erfolgt.

Überwachungskamera vor dem eigenen Haus

Anders sieht es bei Kameras in Hauseinfahrten aus. Das akzeptieren die Datenschutzbehörden nicht mehr als private Datenverarbeitung. Der Grund: Eine solche Überwachung dient dazu, Störenfriede im Bild festzuhalten. Das geht dann schon über den internen, rein privaten Bereich hinaus.

Mehr lesen