Blog

Aktuelle Informationen zum Thema Datenschutz

Homeoffice auf den Punkt gebracht– 6 Punkte, die Sie in jedem Fall beachten sollten?

23 Januar 2021

Das Homeoffice ist auch nach fast einem Jahr Pandemie aktueller denn je. Vieles ist zu organisieren. Der Datenschutz sollte dabei weiterhin mit im Blick sein. Jede und jeder kann leicht einige einfache Dinge beachten. Das bewirkt oft erstaunlich viel. Heuten wollen wir nochmals einige wichtige Aspekte aufgreifen, die Sie in jedem Fall beachten sollten: 

Einsatz privater Geräte nur nach Absprache  

Homeoffice geht nicht ohne EDV. Wer dafür ein dienstliches Gerät zur Verfügung hat, darf nur dieses Gerät verwenden. Der Einsatz privater Geräte verlangt eine Absprache mit dem Arbeitgeber, zumindest mit dem unmittelbaren Vorgesetzten. Das muss nicht unbedingt schriftlich geschehen. Aber zumindest ein kurzer Mail-Austausch ist sinnvoll. Private Geräte können zusätzliche Risiken für den Datenschutz mit sich bringen, die am gewohnten Arbeitsplatz nicht bestehen würden.  

Besonders wichtig: Updates und Virenschutz  

Gerade bei privaten Geräten sind die Standardregeln der Datensicherheit zu beachten. Dazu gehören vor allem regelmäßige Updates! Am regulären Arbeitsplatz sorgt dafür oft die EDV-Abteilung, ohne dass man etwas davon merkt. Bei privaten Geräten muss sich jede und jeder selbst darum kümmern. Dasselbe gilt für den Virenschutz.  

Bildschirmschoner zum Schutz der Daten  

Ein Bildschirmschoner sollte Standard sein. Stellen Sie ihn so ein, dass er nach einigen Minuten ohne Aktivität „anspringt“. Das sorgt dafür, dass Familienangehörige und Besucher möglichst keine Daten sehen können. Besonders wichtig ist das, wenn Sie keinen besonderen Raum für das Homeoffice haben. Manchmal hilft es auch weiter, den Bildschirm etwas zu drehen, damit nicht jeder, der den Raum betritt, gleich alles sieht.  

Tücken beim privaten Telefon  

Weil der Empfang am Festnetz-Telefon oft besser ist, nutzen erstaunlich viele im Homeoffice nicht das Diensthandy, sondern den privaten Telefonanschluss. Dabei gerät oft in Vergessenheit, dass es in jedem Telefon Anruflisten gibt. Teils lässt sich diese Funktion schlicht ausschalten. Dann ist das Problem gelöst. Wenn das nicht geht oder nicht gewünscht ist, ist ein regelmäßiges Löschen der Listen nötig. Zumindest einmal in der Woche sollte man dies fest einplanen.  

Papierunterlagen sicher aufbewahren!  

Ganz ohne Papier geht es meistens auch im Homeoffice nicht. Wer Unterlagen aus dem regulären Büro mit nach Hause nimmt, ist für sie verantwortlich. Ein eigenes Zimmer für das Homeoffice bleibt für viele ein Traum. Aber mit der Aufbewahrung in einem abgeschlossenen Schrank/Rollschrank ist auch schon viel gewonnen.  

Altpapier datenschutzkonform beseitigen!  

Wo Papier benutzt wird, fällt auch Abfallpapier an. Vielleicht haben Sie ohnehin privat einen kleinen Aktenvernichter im Haus. Egal, ob er nun den Vorgaben für Bürogeräte voll entspricht – es ist besser als nichts. Keinesfalls dürfen Sie Abfallpapier mit personenbezogenen Daten „einfach so“ in die heimische Papiertonne stecken.  

Corona als Auslöser von Kreativität?  

Vielleicht bietet das Homeoffice aber auch einen guten Anlass dazu, von Abläufen mit Papier auf elektronische Abläufe umzustellen. Das geht erstaunlich oft. Corona kann auch kreativ machen!  

Für alle anderen Fragen sprechen Sie uns gerne jederzeit an. Wir sind zertifizierte Datenschützer mit langjähriger Erfahrung.

Mehr lesen

Videokonferenzen im Fokus von Cyberattacken

22 November 2020

Die Zahl der beruflichen und privaten Videokonferenzen hat stark zugenommen. Das weckt das Interesse der Datendiebe. Ohne die erforderlichen Sicherheitsmaßnahmen ist die Vertraulichkeit der Gespräche und ausgetauschten Daten in Gefahr.

Der Berufsalltag wandelt sich

Wissenschaftler gehen davon aus, dass die Corona-Pandemie die Arbeitswelt auch längerfristig verändert. Im Arbeitsalltag werden wohl häufiger virtuelle Treffen anstelle von Konferenzen vor Ort stattfinden.

Leider fehlt vielen Berufstätigen noch die Erfahrung, um Videokonferenzen sicher nutzen zu können. Dadurch gerät der Datenschutz in Gefahr.

Videokonferenzen bergen viele Risiken

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, betont: „Da Videokonferenzen für viele neu sind, haben nicht alle im Blick, welche Risiken damit verbunden sind. Gerade in der Kombination mit Homeoffice ist einiges zu beachten. Um die Teilnehmenden von Videokonferenzen und die besprochenen Inhalte zu schützen, sind technische und organisatorische Sicherheitsmaßnahmen wichtig.“

IT-Sicherheitsexperten warnen davor, dass zum Beispiel ein ungebetener Gast an einer Videokonferenzsitzung teilnehmen könnte, um entweder das Gespräch mitzuhören oder die Sitzung durch den Austausch ungeeigneter Medien zu stören. Ebenso könnten Meeting-Links und -Zugänge gestohlen sowie bösartige Links und Schadsoftware verteilt werden.

Im Juni 2020 warnte zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Angreifer mehrere Schwachstellen in Zoom Video Communications ausnutzen konnten, um Schadcode auszuführen. Unter anderem konnte dies mittels speziell manipulierter animierter Bilddateien geschehen. Für einen Angriff genügte es, die vom Angreifer versendete Datei im Chat empfangen zu haben. Die Datei musste nicht extra geöffnet werden.

Auf eine sichere Lösung kommt es an

Die Aufsichtsbehörden für den Datenschutz warnten in den letzten Monaten vor verschiedenen Lösungen für Videokonferenzen, weil personenbezogene Daten in Gefahr geraten konnten, und empfahlen datenschutzfreundlichere Alternativen.

Die Berliner Beauftragte für den Datenschutz zum Beispiel empfiehlt, zu prüfen,

  • ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen,
  • ob es mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst für Videokonferenzen mit öffentlich verfügbarer oder kommerziell erhältlicher Software bereitzustellen, und
  • ob Lösungen eines Anbieters mit Sitz und Verarbeitungsort, insbesondere Server-Standort, im Europäischen Wirtschaftsraum (EWR) oder aus einem Land mit gleichwertigem Datenschutzniveau den Bedürfnissen des jeweiligen Unternehmens entsprechen.

Der gewählte Anbieter sollte die Daten nur im zulässigen Rahmen verarbeiten und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländischer Behörden – weitergeben, ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen können, die Verschlüsselung der Datenübertragung garantieren und einen ordnungsgemäßen Auftragsverarbeitungsvertrag anbieten.

Auch wichtig: das richtige Verhalten der Teilnehmerinnen und Teilnehmer

Allein die Wahl einer datenschutzgerechten Lösung reicht aber nicht, sie muss auch genutzt werden: Laut einer Kaspersky-Studie verwenden 26 Prozent der deutschen Mitarbeiter nicht genehmigte Videokonferenz-Tools und setzen die eigenen Daten und die Daten des Arbeitgebers möglichen Angriffen aus. Security-Experten beobachten den Trend, der BYOM (Bring Your own Meeting) genannt wird, also die Verwendung privater Videokonferenz-Lösungen zu betrieblichen Zwecken. Das kann gerade im Home-Office leicht passieren.

Bei den „kostenfreien“ Diensten sollte man ganz genau in die Datenschutzbestimmungen schauen. Oftmals zahlen die Nutzer hier mit ihren Daten. Das kann nicht im Sinne von Unternehmen sein und auch nicht im Sinne des Nutzers selbst.

Für den Datenschutz kommt es deshalb auch auf das Verhalten der Teilnehmer an. Die Datenschutzaufsicht von Schleswig-Holstein rät den Teilnehmern an Videokonferenzen insbesondere:

  • Informieren Sie sich bei der organisierenden Person, ob im Zusammenhang mit der Videokonferenz eine Datenschutzerklärung oder eine Datenschutz-Kurzinformation bereitgestellt wird.
  • Testen Sie die Funktionen, mit denen Sie Ihre Privatsphäre schützen können, um sie während der Videokonferenz sicher verwenden zu können, zum Beispiel Ton und/oder Bild deaktivieren.
  • Seien Sie sich bewusst, dass in einer Videokonferenz alle anderen Teilnehmenden zuhören, und geben Sie keine sensiblen Informationen weiter.
  • Schalten Sie Ihr Mikrofon stumm und ggf. die Kamera aus, etwa wenn im Homeoffice andere Personen aus Ihrem Haushalt in den Aufnahmebereich des Mikrofons oder in das Sichtfeld der Kamera kommen.
  • Seien Sie in der Videokonferenz aufmerksam und informieren Sie die organisierende Person bzw. die anderen Teilnehmenden, wenn beispielsweise eine fremde Person den Konferenzraum betritt.

Wir sind TÜV-zertifizierte Datenschutzbeauftragten und stehen Ihnen gerne beratenden zur Seite.

Mehr lesen

Datenpannen durch Fehlversendungen

19 Juni 2020

Eine Mail mit personenbezogenen Daten geht per cc versehentlich an Adressaten, die sie gar nicht erhalten sollten. Personalunterlagen werden per Post an den falschen Herrn Meier geschickt. Alles nicht so schlimm? Eine kurze freundliche Entschuldigung, und alles ist wieder gut? So einfach ist es leider nicht!

In unserem aktuellen Blogbeitrag wollen wir uns daher einmal mit dem Thema Datenpannen und damit beschäftigen, wie Sie diesen vorbeugen können.

Pflicht, Datenpannen zu melden

Die Datenschutz-Grundverordnung (DSGVO) enthält eine Verpflichtung, Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde für den Datenschutz zu melden. Dies muss im Normalfall binnen 72 Stunden geschehen. Sollte Sie die Meldung nicht innerhalb von 72 Stunden machen können, muss die Verzögerung gegenüber der Behörde begründet werden.

Eine Ausnahme hiervon gilt nur dann, wenn voraussichtlich nicht mit Risiken für die betroffenen Personen zu rechnen ist. So regelt es Art. 33 Abs. 1 DSGVO. Wann ein solcher Ausnahmefall vorliegt ist immer eine Einzelfallentscheidung, zu deren Beantwortung in jedem Fall ein Fachexperte hinzugezogen werden sollten.

Dem aber nicht genug. Auch die von einer Datenschutzverletzung betroffenen Personen müssen gegebenenfalls benachrichtigt werden. Das regelt Art. 34 DSGVO. Eine solche Pflicht besteht nach dem Gesetz wenn ein besonders hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen bestehen.

Auch hier gilt:

Besprechen Sie sich dazu mit einem Experten und lassen sich idealerweise von ihrem externen Datenschutzbeauftragten beraten.

Jedes Unternehmen muss sich so organisieren, dass es Datenpannen tatsächlich bemerkt. Anders gesagt: Es muss seine Mitarbeiterinnen und Mitarbeiter dazu verpflichten, Datenpannen auch zu melden.

Vorbeugende Maßnahmen

Noch besser ist es natürlich, wenn solche Pannen erst gar nicht vorkommen. Die häufigste Art von Pannen sind Fehlversendungen. Das zeigen die Statistiken der Aufsichtsbehörden. Sie betreffen sowohl klassische Briefsendungen als auch Mails. Die Gründe sind jeweils unterschiedlich.

Pannen bei Briefsendungen

Bei Briefsendungen ist es schlicht so, dass vor allem jüngeren Mitarbeiterinnen und Mitarbeitern die Übung im Umgang mit Briefen fehlt. Privat schreiben sie kaum welche. Und im Unternehmen sind Briefe tendenziell ebenfalls seltener geworden.

Der Klassiker in diesem Bereich: Es müssen Unterlagen an eine größere Zahl von Adressaten verschickt werden. Auf den Unterlagen steht jeweils die Anschrift des Adressaten, und zwar fehlerfrei. Die Umschläge werden getrennt davon mit der jeweiligen Anschrift versehen. Beim Zusammenführen von Umschlägen und Unterlagen passieren dann die Fehler. Die Unterlagen kommen jeweils in den falschen Umschlag. Das geschieht besonders oft, wenn Praktikanten oder andere wenig geübte Personen damit beauftragt werden.  

Schnell stellt sich dann heraus, dass auch solche scheinbar einfachen Arbeiten eben doch nicht „jeder kann“.

Fensterumschläge als Lösung?

Manche Aufsichtsbehörden empfehlen inzwischen, in solchen Fällen Fensterumschläge zu verwenden. Dann ist es nicht mehr nötig, die Umschläge gesondert zu beschriften. Vielmehr wird die entsprechende Unterlage so in den Umschlag hineingesteckt, dass die Anschrift im Brieffenster erscheint. Das ist an sich keine schlechte Idee. Freilich kann dabei ein anderes Problem auftauchen. Immer wieder beginnt nämlich der Text auf einer Unterlage so nah an der Anschrift, dass Teile des Textes im Brieffenster zu sehen sind. Auch wenn es sich banal anhört, ist hier also genaues Falten des Papiers gefragt. Das verlangt ebenfalls Übung.

Vier-Augen-Prinzip

Eine andere Möglichkeit wäre, nach dem Vier-Augen-Prinzip vorzugehen. Das bedeutet allerdings, dass jeder Brief von zwei Mitarbeitern in die Hand genommen werden muss. Dieser Aufwand ist oft schlicht zu groß.

Pannen bei E-Mails

Klassische Datenpannen beim Versand von E-Mails ist die versehentliche Nutzung der cc-Funktion anstelle der bcc-Funktion, um ein und dieselbe Mail an eine größere Zahl Adressaten zu schicken. Sie wissen nicht, was der Unterschied ist? Dann sollten Sie offen gesagt die Finger davon lassen, mit diesen Funktionen zu arbeiten.

Nur kurz zur Erinnerung:

Bei der bcc-Funktion sieht ein Adressat die Mailadressen der anderen Adressaten nicht, bei der cc-Funktion dagegen schon. Auf diese Weise ist dann schnell einmal eine komplette Kundenliste offengelegt. Dadurch kann dann ein Problem entstehen, das weit über den Datenschutz hinausreicht.

Die Funktion „an alle

Eine ausgesprochen tückische Funktion ist auch die Funktion „an alle“. Mit „alle“ sind dabei dann beispielsweise sämtliche Mitarbeiter eines Unternehmens gemeint, die ein Mailsystem benutzen. Das können Tausende von Mailadressen sein.

Viele Unternehmen behalten die Nutzung dieser Funktion deshalb bestimmten Personen oder Funktionseinheiten vor (beispielsweise der Pforte, wenn sie etwa in einem Notfall eine Warnung verschicken muss, und der Firmenleitung, wenn es zum Beispiel um Weihnachtsgrüße an alle geht). Solche Beschränkungen sind weder Schikane noch Misstrauen. Sie verhindern im Gegenteil Pannen größerer Art.

Wegducken hilft nicht!

In jedem Fall gilt:

Sollte es zu einer Versendungspanne kommen, muss dies sofort dem Vorgesetzten und dem Datenschutzbeauftragten gemeldet werden. Denn nur so kann das Unternehmen seine Meldepflicht gegenüber der Datenschutzaufsicht und betroffenen Personen erfüllen und damit gegebenenfalls auch weiteren Schaden abwenden. Neben der Gefahr eines möglichen Bußgeldes, besteht nämlich auch die Gefahr, dass die Daten zu betrügerischen Zwecken verwendet werden können.

Wir sind TÜV-zertifizierte Datenschutzbeauftragten und stehen Ihnen gerne beratenden zur Seite.

Mehr lesen

Datenschutz im Home-Office

01 April 2020

In zahlreichen Unternehmen wird aufgrund der aktuellen Pandemie die Arbeit vom Homeoffice aus erledigt und es ist momentan noch nicht abzusehen, wann dieser Zustand endet. Mitarbeiter erhalten in den meisten Fällen von ihrem Arbeitgeber dafür ein Laptop und können somit die Arbeit theoretisch auch vom Küchentisch aus erledigen. Bei alledem muss aber trotz oder gerade wegen der aktuellen Situation der Datenschutz beachtet werden. Der nachfolgende Artikel soll einen Überblick darüber verschaffen, was Arbeitgeber, aber auch Mitarbeiter, bei der Arbeit von zu Hause beachten sollten.

https://cdn.pixabay.com/photo/2015/02/02/11/08/office-620817_960_720.jpg

Entscheidend ist zunächst, welche Daten am Homeoffice-Arbeitsplatz verarbeitet werden. Werden nur allgemeine Daten ohne Personenbezug verarbeitet, müssen keine besondere Regelungen und Vorkehrungen getroffen werden. Sobald jedoch personenbezogene Daten auch am Heimarbeitsplatz verarbeitet werden, müssen klare Regelungen zur Einhaltung des Datenschutzes geschaffen werden. Das ist der Fall, wenn insbesondere die nachfolgend aufgezählten Daten verarbeitet werden:

  1. personenbezogene Daten, wie Name, Adresse etc.,
  2. besondere Arten personenbezogener Daten, wie bspw. Herkunft oder Religionszugehörigkeit,
  3. Sozialdaten, u. a. Betriebs- und Geschäftsgeheimnisse

In einem ersten Schritt sollten Arbeitgeber zusammen mit ihren Arbeitnehmern daher klären, ob ein Heimarbeitsplatz für die jeweilige Tätigkeit überhaupt infrage kommt. Ist das der Fall, sollten in einem zweiten Schritt gezielte Schutzmaßnahmen besprochen und getroffen werden, um zu verhindern, dass es zu Datenschutzverletzungen kommt, und um zu gewährleisten, dass die Persönlichkeitsrechte der betroffenen Kunden und Mitarbeiter gewahrt werden. Insbesondere Arbeitgeber sollten berücksichtigen, dass sie auch bei Heimarbeitsplätzen weiterhin für die Einhaltung des Datenschutzes verantwortlich sind und daher bei Verstößen am Heimarbeitsplatz zur Rechenschaft gezogen werden könnten. Wir empfehlen daher dringend, die Arbeit im Homeoffice an Bedingungen zu knüpfen und bspw. Richtlinien zu formulieren, die idealerweise von Mitarbeitern unterschrieben werden sollten. Selbstverständlich sind die Bedingungen davon abhängig, wie sensibel die Daten sind, die von Mitarbeitern verarbeitet werden.

Nachfolgend haben wir daher einmal aufgelistet, welche Voraussetzungen für einen sicheren Heimarbeitsplatz vorliegen sollten:

Es sollte im Idealfall ein separates Arbeitszimmer existieren, das sich jederzeit abschließen lässt.

Unterlagen und Datenträger sollten in einem abschließbaren Schrank am Heimarbeitsplatz aufbewahrt werden. Wenn Datenträger verwendet werden, sind diese vor unberechtigtem Zugriff zu schützen. Dies schließt zur Verfügung gestellte Technik, z. B. Laptops, Smartphones etc., ausdrücklich ein.

Die zur Verfügung gestellte Technik (Pc, Notebook, Smartphone oder Tablet) darf nur für berufliche Zwecke genutzt werden. Dies schließt private E-Mails ebenso wie privates Surfen am Arbeitsplatz im Homeoffice aus. Im Übrigen sollte klar vereinbart werden, dass berufliche E-Mails, insbesondere solche mit sensiblen Inhalten, nicht an private Postfächer weitergeleitet werden.

Home Office, Arbeitsplatz, Macbook Air, Notebook, Büro

Ähnlich wie bei einem regulären Arbeitsplatz sollte der Rechner stets gesperrt werden, wenn der Heimarbeitsplatz nicht genutzt wird. Das soll sicherstellen, dass keine Familienmitglieder Zugriff auf sensible Daten erhalten. Computer sollten ohnehin passwortgeschützt sein und darauf befindliche Daten ebenso verschlüsselt werden wie der E-Mail-Verkehr, der über diese Computer geführt wird.

Sollte der Arbeitnehmer der Zugriff auf Systeme des Arbeitgebers erhalten, sollten hierfür am besten geschützte Virtual Private Networks (VPN) eingerichtet werden. Ferner sollte darauf geachtet werden, dass die im Homeoffice genutzten Computer auch weiterhin regelmäßig Softwareupdates erhalten und insbesondere Virenprogramme sowie Firewalls jeweils auf dem aktuellen Stand sind.

Für Dokumente in Papierform sollten der Ausdruck, die Aufbewahrung und auch die datenschutzkonforme Vernichtung geregelt sein.

Schließlich sollte beachtet werden, dass sowohl der Arbeitgeber als auch die Datenschutzbehörde um Zugang zum heimischen Arbeitsplatz und somit einem Bereich der privaten Wohnung bitten dürfen. Dies dient der Kontrolle, ob die Regeln eingehalten werden und die Schutzmaßnahmen greifen. Die erforderlichen Berechtigungen sollten Arbeitgeber wieder in entsprechenden Richtlinien und Vereinbarungen mit den Arbeitnehmern einfließen lassen, wobei in jedem Fall auch Rücksicht darauf genommen werden muss, dass dabei jedenfalls auch in den privaten Bereich des Arbeitnehmers eingedrungen wird.

Damit dies alles möglichst reibungslos klappt, sollte bei der Einrichtung des Heimarbeitsplatzes ein Experte einbezogen werden. Wir sind TÜV-zertifizierte Datenschutzbeauftragte und stehen Ihnen jederzeit gerne auch beratend zur Verfügung.

Mehr lesen

DSGVO-Verstöße können abgemahnt werden!

03 März 2020

Das Oberlandesgericht Stuttgart hat am 27.02.2020 zum Geschäftszeichen 2 U 257/19 entschieden, dass auch Verstöße gegen die in der DSGVO enthaltenen Vorschriften abgemahnt werden können. Das war bisher umstritten, sodass diese Entscheidung des Oberlandesgerichts durchaus als wegweisend bezeichnet werden könnte.

Im entschiedenen Fall hatte ein gewerblicher Reifenhändler nach Einführung der DSGVO auf Ebay Reifen angeboten, ohne dabei Datenschutzhinweise nach den Art. 13, 14 DSGVO vorzuhalten. Ein Wirtschaftsverband verlangte daraufhin von diesem Reifenhändler, es zukünftig zu unterlassen, im Geschäftsverkehr aufzutreten, ohne Datenschutzhinweise vorzuhalten.

Dabei war, neben vielen weiteren Rechtsfragen, unter anderem streitig, ob dieser Wirtschaftsverband überhaupt Verstöße gegen die DSGVO in der hier erfolgten Form geltend machen kann.

Das Oberlandesgericht bejaht dies und traf dazu zwei wesentliche Aussagen:

Durch die DSGVO werden Rechtsbehelfe nicht abschließend geregelt. Damit bleibt insbesondere auch das Gesetz über den unlauteren Wettbewerb (kurz: UWG) anwendbar, wenn es sich um einen Verstoß gegen die Marktverhaltensregel handelt. Außerdem ergibt sich aus der DSGVO nicht klar, dass die dort enthaltenen Rechtsbehelfe abschließend sein sollten und Verstöße nicht auch durch nationale Gesetze verfolgt werden können.

Da im Übrigen eindeutig ein Verstoß gegen Art. 13 DSGVO vorlag, obsiegte der Wirtschaftsverband zunächst.

Die Entscheidung ist jedoch noch nicht rechtskräftig und das Oberlandesgericht hat die Revision zum Bundesgerichtshof zugelassen. Es bleibt daher abzuwarten, ob sich demnächst der Bundesgerichtshof mit dieser wichtigen Rechtsfrage beschäftigt. Trotzdem ist diese sehr ausführlich begründete Entscheidung durchaus als Fingerzeig zu werten und sollte sehr ernst genommen werden. 

Wir sind vom TÜV Nord zertifizierte Datenschutzbeauftragte und beraten Sie gerne zu allen Fragen des Datenschutzes.

Mehr lesen

Betroffenenrechte Teil 1 – Das Recht auf Berichtigung

03 März 2020

Die meisten Unternehmen wissen mittlerweile, dass auf Verlangen betroffener Personen Auskunft über die von ihnen gespeicherten Daten erteilt werden muss. Neben diesem Recht auf Auskunft gibt es aber auch weitere Betroffenenrechte, die beachtet werden müssen und für die in einem Unternehmen Prozesse etabliert werden sollten. Hierbei geht es insbesondere um die Rechte auf Löschung, Berichtigung oder Übertragung ihrer Daten.

Der heutige Blogbeitrag erläutert Ihnen das Recht auf Berichtigung und gibt Ihnen hilfreiche Empfehlungen, wie Sie die Ansprüche Betroffener prüfen und DSGVO-konform berichtigen können.

Gemäß Art. 16 DSGVO kann eine betroffene Person von der für die Datenverarbeitung verantwortlichen Person die unverzügliche Berichtigung unrichtig oder unvollständig verarbeiteter Daten über sich selbst verlangen. Dieser Anspruch knüpft an den in der DSGVO verankerten Grundsatz der Richtigkeit an, der in Art. 5 Abs. 1 lit. d DSGVO geregelt ist. Danach haben personenbezogene Daten sachlich korrekt und, soweit erforderlich, auf dem neuesten Stand zu sein.

Eine Legaldefinition, wann unrichtige Daten vorliegen enthält die DSGVO nicht. Von „unrichtigen“ Daten spricht man jedoch, wenn sie inhaltlich unwahr sind, also mit der Realität nicht übereinstimmen. Das ist zum Beispiel der Fall, wenn sich die Anschrift oder der Name der betroffenen Person geändert hat oder auch nur ein falsches Geburtsdatum, eine falsche Telefonnummer oder eine falsche Emailadresse gespeichert wurde. Wie man anhand der Beispiele erkennen kann, macht es keinen Unterschied, ob die Daten bereits von Anfang an unrichtig waren oder erst später unrichtig geworden sind.

Macht der Betroffene von seinem Recht auf Berichtigung Gebrauch, muss der Verantwortliche die Daten unverzüglich berichtigen und das unrichtige Datum durch das inhaltlich richtige Datum ersetzen. „Unverzüglich“ ist dabei ein Rechtsbegriff, der in Gesetzestexten und nicht nur in der DSGVO häufig anzutreffen ist und der demzufolge schon häufiger Gegenstand gerichtlicher Entscheidungen war. Unverzüglich bedeutet danach, dass die Berichtigung ohne schuldhaftes Zögern zu erfolgen hat. Das bedeutet nicht in jedem Fall „sofort“, sondern kann je nach Einzelfall auch etwas mehr Zeit Anspruch nehmen. Die Rechtsprechung nimmt aber sehr häufig einen Zeitraum von etwa zwei Wochen an, der nur in besonderen Einzelfällen länger sein sollte.

Neben dem Recht auf Berichtigung regelt Art. 16 Satz 2 DSGVO aber auch, dass betroffene Personen ein Recht darauf haben, dass unvollständige Daten vervollständigt werden. Dieses Recht auf Vervollständigung ist somit in dem Recht auf Berichtigung enthalten. Dieser Anspruch auf Vervollständigung entsteht immer dann, wenn die gespeicherten Daten derart lückenhaft sind, dass der mit der Verarbeitung verfolgte Zweck nicht mehr erreicht werden kann. In diesem Fall muss die verantwortliche Person die Daten der betroffenen Person vervollständigen, so dass der mit der Verarbeitung verfolgte Zweck auch erreicht werden kann. Dies kann der Fall sein, wenn ein Versicherungsantrag durch eine Versicherung nicht angenommen wird, weil Bankdaten oder auch die Kopie des Personalausweises fehlen.

Der Art 16 Satz 2 DSGVO verlangt zwar nicht, dass die Vervollständigung „unverzüglich“ zu erfolgen hat, wegen der Nähe zum Recht der Berichtigung nach Art. 16 Satz 1 DSGVO und des in der DSGVO verankerten Grundsatzes der Fairness und Transparenz sollte aber auch hier nach Möglichkeit der Zeitraum von zwei Wochen eingehalten werden.

Darüber hinaus sollten noch zwei Dinge beachtet werden:

Zum Recht der Vervollständigung können Betroffene verlangen, dass dieses durch eine ergänzende Erklärung belegt wird. Das schreibt die DSGVO so ausdrücklich vor. In beiden Fällen sollten zudem die Rechenschaftspflichten der DSGVO beachtet werden. Es muss also auch später nachvollziehbar sein, wer die Daten warum verändert hat.

Beide Ansprüche können von den betroffenen Personen formlos geltend gemacht werden, also per Fax, Post oder auch E-Mail etc.. Dabei muss aber beachtet werden, dass verantwortliche Personen dem Betroffenen die Möglichkeit bieten müssen, Anträge elektronisch zu stellen. Dies gilt insbesondere dann, wenn Sie die personenbezogenen Daten auch elektronisch verarbeiten oder verarbeitet haben.

In jeden Fall muss aber darauf geachtet werden, dass der Betroffene seine Identität in einer geeigneten Weise nachgewiesen hat. Meldet sich beispielsweise ein Kunde und verlangt die Berichtigung seiner Bankdaten für die Auszahlung eines Darlehens, dann müssen Sie sicher gehen, dass es sich dabei auch tatsächlich um ihren Kunden handelt. Gleiches gilt für die E-Mail Adresse, über die die Kommunikation erfolgen soll und an die gegebenenfalls wichtige Dokumente geschickt werden sollen. Wird der Nachweis nicht in einer geeigneten Weise erbracht, muss die betroffene Person darüber unterrichtet und zusätzliche Informationen zur Bestätigung der Identität angefordert werden. Genügen diese nicht, können Sie die Berichtigung oder Vervollständigung verweigern. Das geht nach Art. 12 Abs. 2 Satz. 2 DSGVO aber nur, wenn Sie Ihre Zweifel an der Identität der betroffenen Person glaubhaft machen können.

Ist diese erste Hürde genommen, muss der Verantwortliche prüfen, ob die Daten tatsächlich unvollständig oder unrichtig sind. In dieser Zeit muss aber sichergestellt werden, dass diese gegebenenfalls unrichtigen und/ oder unvollständigen Daten nicht weiterverarbeitet werden, also beispielsweise falsche Bankdaten verwendet oder an falsche Emailadressen wichtige Dokumente geschickt werden. Die DSGVO gesteht den betroffenen Personen dafür ein in Art. 18 Abs. 1 lit a) DSGVO geregeltes Recht auf eingeschränkte Verarbeitung zu.

Sehr formell wird es dann auch, wenn ein Anspruch auf Berichtigung und/ oder Vervollständigung abgelehnt werden soll. Eine Ablehnung der Berichtigung muss man nämlich nicht nur unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags, begründen und die betroffene Person über die Gründe der Ablehnung informieren. Gemäß Art. 12 Abs. 4 DSGVO muss man die betroffene Person auch darüber informieren, dass sie sich über diese Entscheidung bei der Aufsichtsbehörde beschweren oder dagegen Rechtsbehelfe einlegen, also beispielsweise eine Klage auf Berichtigung erheben kann.

Alles in allem lässt sich somit folgendes Ergebnis feststellen:

Macht eine betroffene Person ihr Recht auf Berichtigung oder Vervollständigung geltend, sollte recht zügig reagiert werden. Dabei sollte ein Zeitraum von maximal zwei Wochen bis zur Erledigung angestrebt werden. Bevor aber Daten berichtigt oder vervollständigt werden, sollte in geeigneter Weise die Identität geprüft werden. Alles sollte zudem in geeigneter Form dokumentiert werden.

Sollten Sie hierbei Unterstützung benötigen stehen wir Ihnen gerne zur Seite und stellen auch Musterdokumente zur Verfügung.

Mehr lesen

Was sind Botnetze und wie können Sie sich vor Angriffen schützen?

12 Januar 2020

Einmal jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Lagebericht zur IT-Sicherheit in Deutschland. In dem Bericht für 2019 werden verschiedene Angriffsmethoden aufgeführt, die für die aktuelle Gefährdungslage von Bedeutung sind. Neben Ransomware (auch Verschlüsselungstrojaner genannt), die vielen vielleicht schon ein Begriff ist, nennt das BSI aber auch so genannte Botnetze.

Der heutige Artikel soll sich einmal mit solchen Botnetzen beschäftigen und erklären, um was es sich dabei handelt und wie man sich davor schützen kann.

Das Wort „Bot“ kommt aus dem Englischen und bedeutet nichts anderes als Roboter. Ein solcher Roboter kann sich in einem Programm verstecken, mit dem sich ein Gerät oder System infizieren kann und durch das ein Angreifer die Möglichkeit erhält, eines oder mehrere Ihrer Geräte oder Ihr System fernzusteuern. Ist eine Vielzahl von Geräten oder Systemen mit diesem Bot infiziert und erhält ein Angreifer somit Zugriff darauf, bezeichnet man den Zusammenschluss als Botnet oder Botnetz. Ein solche Infektion ist laut BSI auch keine Seltenheit. Allein im vergangenen gab es nur in Deutschland jeden Tag bis zu 110 000 gemeldete Botinfektionen deutscher Systeme.

Das Gefährliche an solchen Botnetzinfektionen ist, dass man in der Regel nichts davon merkt und damit ahnungslos Teil krimineller Aktivitäten wird. Denn genau darum geht es bei solchen meist langfristig angelegten Botnetzen und Angreifer legen großen Wert darauf, dass die Infizierung unbemerkt bleibt und die betroffenen Systeme möglichst störungsfrei weiterlaufen. Falsch ist dabei auch die Annahme, dass davon nur PCs, Notebooks, Server und Co. betroffen sind. Mittlerweile sind nämlich nicht nur Fernseher, sondern auch Kühlschränke, Staubsauger und Drucker permanent online und können so ein potenzielles Ziel für Botnetzangriffe sein. Schafft es also ein Angreifer, eine große Anzahl solcher Systeme in einem Botnetz zusammenzuschließen, kann er auch mit solchen eher harmlosen Geräten eine beträchtliche Datenmenge erreichen und damit auch einen großen Schaden herbeiführen. Dabei führt das BSI aus, dass gerade solche Geräte besonders anfällig für Angriffe sind, da sie bisher oft genug noch nicht ausreichend geschützt sind.

Dies liegt einerseits an den Herstellern, die möglicherweise aus Kostengesichtspunkten bei der Sicherheit solcher Geräte sparen. Auf der anderen Seite muss aber auch das Sicherheitsbewusstsein der Nutzer solcher Geräte deutlich steigen und es sollte beispielsweise auch für einen Smart-TV eine Firewall oder ein Virenprogramm installiert werden.

Kriminelle nutzen Botnetze häufig dazu, um Spam-Mails zu versenden und somit deren eigentlichen Urheber zu verschleiern, da dann beispielsweise eine Ursprungs-IP-Adresse nicht mehr ermittelt werden kann. Damit ist es Angreifern auch möglich, weitere Schadsoftware zu verteilen und/oder das Botnetz zu vergrößern, ohne dabei selbst erkannt zu werden. Eine weitere Einsatzmöglichkeit solcher Botnetze sind sogenannte Distributed Denial-of-Service-Angriffe (DDos). Dabei setzt der Angreifer mithilfe eines Botnetzes einen Server außer Gefecht, indem es an diesen Server eine extrem hohe Anzahl von Anfragen stellt. Der Server kann diese Anfragen ab einem gewissen Punkt dann nicht mehr verarbeiten, wird überlastet und schaltet sich dann wegen Überlastung ab. Dass auch solche Angriffe ständig geschehen, kann man auf der Internetseite https://www.digitalattackmap.com verfolgen, auf der die aktuellen Botnetzangriffe gezeigt werden. Eine weitere Einnahmequelle stellen der Verkauf oder das Vermieten der Botnetze an andere Angreifer dar. So gibt es heute bereits Malware-as-a-service-Infrastrukturen, die im Darknet angeboten werden.

Um die Infektion mit solchen Bots zu vermeiden und damit eben nicht Teil eines kriminellen Netzwerks zu werden, sollte man die Sicherheitsmaßnahmen ergreifen, die beispielsweise auch bei Ransomware und sonstiger Schadsoftware empfohlen wird. Dazu gehören beispielsweise:

  • aktueller Virenschutz,
  • Firewall,
  • separate Benutzerkonten,
  • verschlüsselte Verbindung,
  • sichere Passwörter,
  • Updates,
  • keine Downloads aus unbekannten Quellen,
  • Vorsicht bei E-Mail-Anhängen

Bei diesen Sicherheitsmaßnahmen darf man jedoch nicht außer Acht lassen, dass auch Smartphones, Tablets und internetfähige Drucker etc. regelmäßig Updates erhalten und idealerweise auch mit Virenprogrammen oder Firewalls geschützt werden. Schafft sich ein Unternehmen internetfähige Geräte, wie Drucker, Scanner oder Kopierer, an, ist dringend zu empfehlen, nur solche namhaften Hersteller zu wählen, die einen regelmäßigen Support und Updates anbieten, mit denen bestehende Sicherheitslücken geschlossen werden.

Botnetze versetzen Kriminelle in die Lage, mit Ihren Geräten und Systemen Straftaten zu verüben. Das gefährliche daran ist, dass Nutzer das oft nicht mitbekommen und damit quasi unbemerkt Handlager von kriminellen Machenschaften werden. Ein besonderes Einfallstor bieten oft vernetzte Geräte, die häufig technisch schlecht gesichert sind und denen Nutzer ebenso häufig eher keine oder nur geringe Aufmerksamkeit schenken.Unternehmen, die solche Geräte benutzen, sollten sich der Gefahr bewusst sein.

Art. 5 Abs. 1 f DSGVO statuiert den Grundsatz der Integrität und Vertraulichkeit der Datenverarbeitung. Diese ist nicht mehr gewährleistet, wenn Systeme und Geräte potenzielle Ziele für Botnetzangriffe sind und keine ausreichenden technischen sowie organisatorischen Maßnahmen getroffen werden, um solche Angriffe zu verhindern.

Mehr lesen

E-Mail Verschlüsselung – Was gilt es zu beachten!

03 Dezember 2019

Bei datenschutzrechtlichen Audits wird ganz häufig die Frage gestellt, ob und in welchem Umfang und vor allen Dingen wie E-Mails verschlüsselt werden müssen. Daher soll sich der aktuelle Blogbeitrag einmal mit diesem Thema befassen.

In einer E-Mail sind nicht nur die Textinhalte und gegebenenfalls Anlagen enthalten. Eine E-Mail enthält typischerweise auch so genannte Metadaten, wie beispielsweise den Absender, das Datum und den Betreff. Bei den Inhalts- und Metadaten kann es sich somit um personenbezogene Daten handeln, die nur nach Maßgabe der DSGVO verarbeitet werden dürfen.

Ob eine solche E-Mail verschlüsselte werden muss und vor allen Dingen auch in welchem Umfang, lässt sich nicht allgemein beantworten. Für die personenbezogenen Daten, die per E-Mail versendet werden, gibt es keine speziellen Vorgaben oder eine zwingende gesetzliche und/oder rechtliche Verpflichtung, diese in jedem Fall zu verschlüsseln. Ob der Absender einer E-Mail diese verschlüsseln muss hängt somit vom Schutzbedarf der übertragenen Daten ab.

Dabei ist vorrangig Art. 32 DSGVO zu beachten. Diese Vorschrift schreibt vor, dass bei der Verarbeitung personenbezogener Daten ein angemessenes Schutzniveau gewährleistet sein muss. Bei der Bewertung, welches Schutzniveau angemessen ist, spielen gemäß dieser Vorschrift unter anderem der Stand der Technik, die Umstände und der Zweck der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und schwere des Risikos für die Rechte und Freiheit natürlicher Personen eine wesentliche Rolle. Werden also beispielsweise nur rein organisatorische E-Mails ausgetauscht und enthalten diese keine sensiblen Daten, kann durchaus auch auf eine Verschlüsselung verzichtet werden. Zwar mag für diesen Fall der Stand der Technik ein anderes Schutzniveau ermöglichen, allerdings dürfte das Risiko für die Rechte und Freiheit natürlicher Personen eher überschaubar sein, sodass jedenfalls harmlose E-Mails unter Umständen auch ohne Verschlüsselung versandt werden können. Wann diese Grenze der Harmlosigkeit aber überschritten ist, lässt sich wiederum nicht abschließend klären und ist sicher auch eine Frage des Einzelfalls.

Bei allen übrigen E-Mails und vor allen Dingen solcher E-Mails, die sensible Daten oder möglicherweise sogar besondere Kategorien personenbezogener Daten enthalten, dürfte eine Verschlüsselung erforderlich sein.

Dabei unterscheidet man zwischen einer Verschlüsselung der Inhalte und des Transportes. Bei einer Transportverschlüsselung mittels TLS würden E-Mails (Meta- als auch Inhaltsdaten) auf dem Weg zum Empfänger verschlüsselt. Problematisch ist dabei aber, dass diese Transportverschlüsselung genau genommen nur zwischen dem Absender und dessen Mailserver, gegebenenfalls weiteren Mailservern und dem Mailserver des Empfängers verschlüsselt wird. In dem Moment, in dem die E-Mail auf einem Mailserver eingeht, liegt diese E-Mail dann unverschlüsselt vor. Ist also ein Mailserver involviert, der nicht vom Absender und Empfänger der Email betrieben wird, hätten Dritte zumindest theoretisch die Möglichkeit die dann unverschlüsselte Email zu lesen. Hinzu kommt, dass die involvierten Mailserver gegebenenfalls ein geringeres Schutzniveau haben, weil darauf beispielsweise veraltete Verschlüsselung Programme betrieben werden.

Damit genügt eine TLS- Verschlüsselung nicht in jedem Fall den Anforderungen der DSGVO. Sollte daher eine durchgehende Verschlüsselung nicht gewährleistet sein, so empfiehlt es sich zu dieser Art der Versendung eine Einwilligung der betroffenen Person einzuholen. Darin sollte klar und verständlich darauf hingewiesen werden, dass der E-Mail-Verkehr unter Umständen ein eingeschränktes Schutzniveau hat.

Werden allerdings besondere Kategorien von personenbezogenen Daten versendet, wie beispielsweise Gesundheitsdaten, wird man aber sicher einen strengeren Maßstab anlegen müssen. Zwar wird auch hier diskutiert, ob man dem mit einer Einwilligung der betroffenen Person begegnen kann. Eine solche Einwilligung ist aber derzeit rechtlich umstritten und deren Einsatz daher mit entsprechenden Risiken verbunden. Zu empfehlen ist daher insbesondere dann, wenn per E-Mail beispielsweise Arztberichte oder ähnliches verschickt werden sollen, dass mindestens diese Anlagen verschlüsselt und durch gesonderte Passwörter gesichert werden, um sie vor dem Zugriff Dritter zu schützen. Passwörter sollten dann idealerweise auf einem anderen Kommunikationsweg versendet werden. Idealerweise sollte allerdings darauf geachtet werden, dass gerade beim Austausch solcher Daten mit dem Empfänger Regelung gefunden werden, die eine durchgehende Verschlüsselung gewährleisten.

Zusammenfassend lässt sich daher festhalten, dass als Mindeststandard die Transportverschlüsselung nach TLS zu sehen ist. Werden keine sensiblen Daten ausgetauscht kann diese Verschlüsselung ein angemessenes Schutzniveau gewährleisten. Spätestens aber, wenn sensible Daten oder besondere Kategorien von Daten per E-Mail versandt werden sollen, sind weitere Schutzmaßnahmen zu ergreifen, um die Anforderungen des Art. 32 DSGVO erfüllen zu können.

Mehr lesen

Berechtigungskonzepte bei IT-Anwendungen

29 Oktober 2019
Schreibtisch mit Laptop

Die Datenschutzgrundverordnung (DSGVO) ist seit über einem Jahr in Kraft. Gleichwohl gibt es in vielen Unternehmen kein angemessenes Berechtigungskonzept für IT-Anwendungen mit personenbezogenen Daten. Aus diesem Grund möchten wir uns in unserem heutigen Blog mit den rechtlichen Grundlagen solcher Berechtigungskonzepte befassen.

In dem Moment, in dem personenbezogene Daten in IT-Anwendungen gespeichert werden, besteht für Unternehmen die Verpflichtung, den Zugriff auf diese Daten in angemessener Weise zu beschränken. Eine IT-Anwendung ist – grob gesagt – jede Software, in der personenbezogene Daten gespeichert werden, wie beispielsweise Verwaltungs- und Anwendungsprogramme, aber auch Cloudspeicher, in denen Daten abgelegt werden.

Hierzu regelt die DSGVO in den Art. 5 f und Art. 32 Abs. 1 b, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen muss, welche die Vertraulichkeit und Integrität von personenbezogenen Daten sicherstellen. Hinzu kommt, dass für jegliche Datenverarbeitung eine rechtliche Grundlage vorliegen muss. Unter den Begriff der Datenverarbeitung fallen nach Art. 4 Ziff. 2 DSGVO auch das reine Auslesen und Abfragen von Daten. § 26 BDSG regelt ergänzend dazu, dass Mitarbeiterdaten nur dann ausgelesen oder abgefragt werden dürfen, wenn dies zur Durchführung des Beschäftigungsverhältnisses bzw. des Arbeitsvertrags erforderlich ist. Auf dieser Basis darf natürlich die Lohnbuchhaltung Überstunden oder krankheitsbedingte Fehlzeiten auslesen bzw. abfragen, um eben die arbeitsvertragliche Pflicht zur Berechnung von Lohn- und/oder Ausgleichsansprüchen nachzukommen. Es ist aber sicherlich nicht erforderlich, dass Kollegen die jeweiligen Überstunden oder Fehlzeiten des anderen Kollegen einsehen können. Soweit dies in der IT-Anwendung möglich wäre, erfolgen solche Datenverarbeitungen ohne rechtliche Grundlagen, greifen daher in die Persönlichkeitsrechte des anderen Kollegen ein und sind als Datenschutzverletzung zu werten.

Für IT-Anwendungen sollte man daher unter anderem in einem Berechtigungskonzept angemessene Zugriffsbeschränkungen regeln, um entsprechende Datenverstöße zu vermeiden.

In solch einem Berechtigungskonzept wird üblicherweise dokumentiert, welcher Mitarbeiter Lese-, Änderungs- oder Löschungsrechte erhält und wer die jeweiligen Mitarbeiter vertritt. Ferner sollten dort Prozesse und Verantwortlichkeiten zur Vergabe, Erweiterung, Beschränkung und Entzug dieser Rechte sowie die Kommunikationswege geregelt werden. Schließlich sollten Verfahren für den Fall von Abteilungswechseln, Neueinstellungen und dem Ausscheiden von Mitarbeitern definiert werden.

Natürlich können neben dem Berechtigungskonzept noch weitere Maßnahmen im Unternehmen erforderlich sein, um beispielsweise zu verhindern, dass das Berechtigungskonzept durch Ausdrucken oder sonstige technische Mittel umgangen wird. Auch insoweit sollten natürlich Prozesse und Sicherheitsmaßnahmen ergriffen werden, damit die Vertraulichkeit und Integrität der Daten umfassend gewährleistet wird.

Sollten Sie Fragen rund um das Thema „Berechtigungskonzept“ haben, können Sie sich jederzeit gerne an uns wenden. Wir helfen Ihnen gerne weiter.

Mehr lesen

Neues EuGH-Urteil: Keine Cookies ohne Zustimmung

15 Oktober 2019

In seinem aktuellen Urteil vom 01.10.2019 zum Geschäftszeichen C 673/17 hat der Europäische Gerichtshof (EuGH) die deutsche Rechtslage zu Cookies für europarechtswidrig erklärt. Laut dem EuGH dürfen Webseiten nur dann Cookies auf dem Rechner eines Nutzers speichern, wenn dieser der Speicherung ausdrücklich zugestimmt hat. Außerdem müssen Nutzer ausdrücklich dar-über informiert werden, welche Funktionsdauer die Cookies haben und ob diese Daten an Dritte weitergegeben werden. Dies gilt unabhängig davon, ob personenbezogenen Daten verarbeitet werden. Nach deutschem Recht ist eine solche Einwilligung und Information bisher nicht vorgeschrieben.

laptop-3317007_1920

In dem vom EuGH entschiedenen Sachverhalt ging es um einen Anbieter von Online-Gewinnspielen. Dieser verlangte auf seiner Webseite in einer Eingabemaske von den Nutzern, die an dem Gewinnspiel teilnehmen wollten, unter anderen die Einwilligung zu Tracking-Cookies. Durch diese Tracking-Cookies konnte das Surf- und Nutzungsverhalten auf den Webseiten der Werbepartner nachverfolgt werden. Dabei war das Häkchen zur Abgabe dieser Einwilligung be-reits gesetzt und hätte vom Nutzer aktiv wieder deaktiviert werden müssen (sog. Optout-Verfahren).

Diese Vorgehensweise entspricht zwar dem aktuellen deutschen Recht, konkret dem Telemediengesetz. Sie ist laut EuGH aber europarechtswidrig, weil das Europarecht verlangt, dass ein Nutzer der Verwendung von Cookies aktiv zustimmen muss. Durch die von dem betroffenen Gewinnspielanbieter vorgenommene Voreinstellung erfolgt laut EuGH jedoch keine aktive Zustimmung und der EuGH bezweifelt sogar, ob der Nutzer die Abgabe seiner Einwilligung überhaupt wahrgenommen hat. Außerdem bemängelt der EuGH, dass vor der Zustimmung zu den Cookies dem Nutzer nicht die Möglichkeit gegeben wird, sich über diese umfassend zu informieren. Dabei müsse ein Verwender von Cookies unter anderem auch darauf hinweisen, wie lange die Funktionsdauer der Cookies ist und ob diese Daten an Dritte weitergegeben werden.

Das Urteil hat vorerst zwar keine direkte Auswirkung auf die deutsche Rechtslage, da es zum einen für einen beim Bundesgerichtshof (BGH) liegenden Streit zunächst wichtige Rechtsfragen klärt und nun abgewartet werden muss, wie der BGH den Streit entscheiden. Zum anderen ist jetzt der deutsche Gesetzgeber gefordert, die Rechtslage an geltendes europäisches Recht anzupassen. Was zu erwarten ist, dürfte nach diesem Urteil jedoch vorhersehbar sein. Aus diesem Grund sollte man natürlich das Urteil ernst nehmen und die Verwendung von Cookies an diese Rechtslage anpassen.

Mehr lesen