Mittwoch, 12. Juli 2017

(Noch) mehr Videoüberwachung?

„Videoüberwachungsverbesserungsgesetz“ – eine solche Bezeichnung kann wohl nur die deutsche Verwaltung erfinden. Es geht jedoch um eine ernste Sache, nämlich um den Schutz vor Terror und Gewalt. Das neue Gesetz ändert im Alltag einiges, ob bei der Busfahrt zur Arbeit oder beim Shoppen im Einkaufszentrum. 


Bisher eher wenige Kameras üblich


Wer schon einmal in London war, weiß davon zu berichten: Videokameras hängen buchstäblich an jeder Ecke, ob im Einkaufszentrum oder im Sportstadion. In Deutschland ist das anders. Natürlich gibt es auch hier Überwachungskameras. Aber längst nicht in dieser Zahl. Das liegt zunächst einmal an unterschiedlichen gesetzlichen Regelungen.

yourIT zu Videoüberwachungsgesetz & Datenschutz
yourIT zu "Videoüberwachungsgesetz & Datenschutz"

Aber in Deutschland legen die Aufsichtsbehörden für den Datenschutz die Regelungen außerdem besonders eng aus. So sieht es jedenfalls die Bundesregierung. Deshalb hat sie wenige Tage vor Weihnachten gehandelt: Ein neues Gesetz soll dafür sorgen, dass Videoüberwachung leichter möglich ist als bisher.


Neuregelung für Orte mit vielen Menschen


Von der neuen Regelung betroffen sind ausschließlich Örtlichkeiten, an denen erfahrungsgemäß viele Menschen zusammenkommen. Gedacht ist an Einkaufszentren, große Sportanlagen, Vergnügungsstätten und Parkplätze.

Außerdem geht es um Verkehrseinrichtungen wie Bahnhöfe und Haltestellen, aber auch um Fahrzeuge des öffentlichen Personenverkehrs (Busse, S- und U-Bahnen).

Vorbeugender Schutz


Der Schutz von Personen, die sich dort aufhalten, gilt künftig als „besonders wichtiges Interesse“. Das bedeutet: Dieser Schutz rechtfertigt es in der Regel, dass solche Örtlichkeiten per Video überwacht werden. Verwundert mag sich nun mancher fragen: War das bisher anders?

Die Antwort lautet schlicht: Ja! Die Regelungen für die Videoüberwachung wurden meistens sehr eng ausgelegt. Eher abstrakte Gefahren hielt die Datenschutzaufsicht nicht für ausreichend, um eine solche Überwachung zu rechtfertigen. Die bloße Möglichkeit, dass es zu üblen Vorfällen kommen könnte (und da und dort auch kam!), genügte nicht.

Hintergrund: Terroranschläge


Das wird sich durch die neuen Regelungen ändern. Der Grund liegt auf der Hand: Terroranschläge wie im Münchner Olympia-Einkaufszentrum oder auf dem Weihnachts-markt neben der Berliner Gedächtniskirche haben zu einem anderen Rechtsempfinden geführt.

Daneben will man aber auch der zunehmenden Gewalt in U-Bahnhöfen und an ähnlichen Orten nicht mehr länger zuschauen. Wunder erwartet sich dabei niemand. Denn mancher Täter wird sich von Kameras abschrecken lassen, mancher Täter nicht.

Keine Änderungen in Unternehmen


Keine Änderungen gibt es übrigens für die Videoüberwachung in den Produktionsbereichen von Unternehmen. Dort bleibt alles bei den bisherigen Regelungen. Sie haben sich bewährt. Und auch an der Supermarktkasse ändert sich nichts. Auf dem Parkplatz vor dem Supermarkt dagegen schon. Hier dürften bald neue Kameras zu sehen sein.

Gerne übernehmen wir auch in Ihrem Unternehmen den Aufbau und die Betreuung des Datenschutz-Managements und stellen den Externen Datenschutzbeauftragten. Vereinbaren Sie jetzt einen kostenloses Vorstellungsgespräch.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Montag, 10. Juli 2017

Künstliche Intelligenz: Was die schlaue IT über uns wissen könnte

Was früher als Science Fiction galt, wird langsam in der IT Realität: Maschinen, die selbst lernen und immer intelligenter werden. Das bleibt natürlich nicht ohne Folgen für den Menschen.


Natürliche Angst vor Künstlicher Intelligenz


In Kinofilmen gibt es sie schon lange: Maschinen, die ohne Kommando eines Menschen aktiv werden, scheinbar selbst entscheiden, was sie tun, und letztlich zur Gefahr für den Menschen werden. Hollywood zeigt uns in den Filmen Roboter, die sich gegen ihre Erbauer richten und die Weltherrschaft anstreben.

Solche Filme mögen ein Grund dafür sein, dass viele Menschen ein Unwohlsein verspüren, wenn sie an schlaue Maschinen, an sogenannte Künstliche Intelligenz (KI) oder Artificial Intelligence (AI) denken. Denn Intelligente Maschinen scheinen sich nicht von uns Menschen beherrschen zu lassen.

Andere Sorgen gelten zum Beispiel den Arbeitsplätzen: Schlaue IT-Systeme werden Arbeitsplätze kosten. Auch wenn sie an anderer Stelle Arbeitsplätze schaffen, werden bestimmte Arbeiten den Menschen ab- und damit weggenommen. Doch was hat das mit dem Datenschutz zu tun? Eine ganze Menge!

yourIT: Künstliche Intelligenz und Datenschutz
yourIT: Künstliche Intelligenz und Datenschutz

Maschinen lernen von uns Menschen


Basis der Künstlichen Intelligenz und damit schlauer IT-Systeme wie der digitalen Assistenten Alexa, Siri & Co. ist das maschinelle Lernen. Die IT lernt genau wie wir Menschen, indem sie Erfahrungen macht und ihre Regeln auf dieser Basis anpasst.

Dabei spielen wir Menschen die entscheidende Rolle: Programmierer machen die Regeln, nach denen die Maschinen dann lernen. Außerdem soll die schlaue IT vielfach uns Menschen nachahmen. Dazu sammeln solche Systeme dann Informationen über die Nutzer und über andere Personen, die mit ihren Aufgaben zu tun haben.

Wenn also eine Künstliche Intelligenz dem Menschen etwas vorschlägt und dieser es als falsch ablehnt, lernt die Maschine. Sie lernt aber auch etwas über den Menschen: was er für richtig oder falsch hält, wie er das IT-System nutzt, wann er es nutzt, wozu er es nutzt, wo er es nutzt, abhängig davon, welche Sensoren der Maschine zur Verfügung stehen, um diese Daten zu messen.

Maschinen werden so intelligenter und passen sich uns Menschen besser an, auch indem sie Profile der Nutzer erstellen. Damit ist der Datenschutz betroffen.


Künstliche Intelligenz braucht Schranken


Bei IT-Systemen mit Künstlicher Intelligenz besteht die Gefahr, dass sie immer mehr Daten sammeln und auswerten (Big Data) und dass auf der Basis der Datenanalyse dann Entscheidungen vorbereitet oder sogar getroffen werden, die uns als Menschen betreffen. Der einzelne Mensch ist umso mehr betroffen, je persönlicher die Datenanalysen sind.

Der Schlüssel liegt also im Datenschutz. Künstliche Intelligenz, die bald in immer mehr Geräte Einzug hält, gleich ob Auto, Radio oder Kühlschrank, darf nicht unbegrenzt personenbezogene Daten auswerten, um den einzelnen Nutzer möglichst passgenau unterstützen zu können.

Datenschutz hat somit in der Zukunft eine weiterhin große Bedeutung und sorgt mit dafür, dass intelligente Maschinen den Menschen helfen, ohne ihn dafür komplett zu durchleuchten.

Auch wenn die Intelligenz und der Komfort der Maschinen dadurch scheinbar sinken sollten: Die Beschränkung des Zugriffs auf personenbezogene Daten darf bei Maschinen nicht aufgegeben werden, nur um sie so intelligent wie möglich zu machen!


Wie schätzen Sie die Gefahren durch Künstliche Intelligenz (KI) ein?


Frage 1: Maschinen sind dumm, sie können nur das, was man ihnen als Programm mitgibt. Stimmt das?
  • a: Ja, woher sollten Maschinen auch mehr wissen und können?
  • b: Nein, die Entwicklung hin zur Künstlichen Intelligenz (KI) bedeutet, dass Maschinen selbstlernend werden.
Lösung zu Frage 1: Die Antwort b. ist richtig. Für den Datenschutz bedeutet das, dass die IT-Systeme von den Menschen lernen und dazu möglichst viele Daten sammeln und auswerten sollen. Hier muss Privacy by Design oberstes Gebot sein.

Frage 2: Digitale Assistenten wie Alexa sind Beispiele für die Entwicklung hin zu KI-Systemen. Was sie lernen, bleibt wie beim menschlichen Gehirn innerhalb des Systems. Stimmt das?
  • a: Nein, solche Systeme sind mit dem Internet verbunden und speichern vieles in einer Cloud.
  • b: Ja, die Daten sind immer innerhalb des Systems geschützt.
Lösung zu Frage 2: Die Antwort a ist richtig. Intelligente Geräte haben ihre KI-Fähigkeiten meist nicht lokal, sondern nutzen Rechenleistungen aus dem Internet und speichern Daten in der Cloud.

Tatsächlich tauschen solche Systeme auch Daten untereinander aus, um so weitere Rückschlüsse zu ziehen. Personenbezogene Daten bleiben deshalb in der Regel nicht in dem jeweiligen System, sondern werden übermittelt. Deshalb sind Datenschutz-Prüfungen vor dem Einsatz intelligenter Systeme so wichtig.

Die Prüfungen sind allerdings nicht leicht, denn die IT-Systeme werden immer komplexer. Aus diesem Grund muss der Zugriff auf die Daten von Beginn an begrenzt werden, nicht erst bei einer späterer Auswertung, die kaum noch nachvollzogen werden kann.

Freitag, 7. Juli 2017

EU-DSGVO - Datenschutzbeauftragte jetzt überall in der EU

In Deutschland ist man Datenschutzbeauftragte in Unternehmen seit Jahrzehnten ganz selbstverständlich gewohnt. Für andere Länder in der Europäischen Union (EU) sind sie dagegen etwas Neues. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) führt sie auch dort ein. Ergänzende nationale Vorschriften sind dabei weiterhin zulässig. Deutschland hat sie Mitte Mai 2017 eingeführt. Diese Kombination stellt sicher, dass im Ergebnis alles so bleibt, wie es sich bewährt hat.


Die bisherige Situation


Bisher - vor der EU-DSGVO - war es so: Besondere EU-Regelungen für Datenschutzbeauftragte gibt es nicht. Jeder Mitgliedstaat kann selbst entscheiden, ob er Datenschutzbeauftragte im Unternehmen vorschreibt.

Deutschland hat dies schon vor Jahrzehnten getan. Im Ergebnis müssen lediglich kleine Unternehmen mit weniger als zehn Beschäftigten keinen Datenschutzbeauftragten haben.

Datenschutz Grundverordnung, EU, yourIT
yourIT: Datenschutzbeauftragte jetzt überall in der EU


Neuerungen durch die EU-Datenschutz-Grundverordnung


Freitag, 9. Juni 2017

Eine bange Frage: Bin ich ein Innentäter?

Innentäter gelten als eines der größten Risiken für die Datensicherheit in Unternehmen. Nicht die Hacker von außen verursachen die meisten Vorfälle, sondern die sogenannten Insider. Gehören Sie auch dazu?


Insider gibt es nicht nur an der Börse


yourIT, Innentäter, Datenschutz
yourIT, Innentäter, Datenschutz
Sicherlich haben Sie in den Nachrichten schon einmal den Begriff "Insider-Handel" gehört. Bei diesem Vergehen geht es darum, dass jemand sein internes Wissen dazu missbraucht, um Vorteile beim Kauf oder Verkauf von Wertpapieren zu erzielen. Auch im Datenschutz gibt es Insider-Wissen, im Prinzip hat dies jede Mitarbeiterin und jeder Mitarbeiter, der mit personenbezogenen Daten umgeht, also zum Beispiel mit Kundendaten.

Zusätzlich haben Insider Berechtigungen, Daten zu lesen, zu ändern oder zu löschen. Werden diese Berechtigungen missbraucht, spricht man von einer Insider-Attacke.

Keine Sorge, niemand will Ihnen nachsagen, dass Sie eine Insider-Attacke planen oder so etwas jemals getan hätten. Doch vielleicht sind Sie trotzdem ein Innentäter, ohne es zu wissen oder zu ahnen.


Freitag, 26. Mai 2017

EU-DSGVO-Halbzeit! Nur noch 365 Tage

In genau 365 Tagen ist es soweit: Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO). Auch wenn viele das nicht mitbekommen haben: Bereits vor einem Jahr ist diese wichtige Änderung zum BDSG in Kraft getreten. Die Hälfte der 2-jährigen Übergangsfrist ist nun schon vorbei. Trotzdem verharrt eine Vielzahl mittelständischer Unternehmen und Konzerne noch immer in Untätigkeit. Die Datenschutz-Experten von yourIT empfehlen: Es gibt viel zu tun. Packen Sie's an!



yourIT: Halbzeit auf dem Weg zur EU-DSGVO
yourIT: Halbzeit auf dem Weg zur EU-DSGVO

Wer wie wir von yourIT an IT-Umstellungs-Projekten mitarbeitet, weiß, dass es wichtig ist, frühestmöglich zu starten und dann koordiniert zu arbeiten, um ein von extern festgelegtes Enddatum einhalten zu können.

Betrachten wir die Einführung der EU-DSGVO (manchmal auch als GDPR bezeichnet, die Kurzform für General Data Protection Regulation) einmal als ein solches IT-Umstellungs-Projekt, ergeben sich folgende externe Vorgaben:

Montag, 22. Mai 2017

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!

US-Präsident Donald Trump war kaum im Amt, als er am 25. Januar 2017 direkt den Datenschutz für Europäer in Frage gestellt. Datenschutz-Experten aus der EU raten daher Unternehmen aus der EU, Cloud-Produkte nur noch von Europäischen Anbietern zu nutzen.


Deutsche und alle übrigen Europäer sind für den US-Präsidenten ganz offensichtlich Internetnutzer zweiter Klasse. Per Dekret vom 25. Januar erklärte er, dass Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht auszuschließen oder zumindest ihre Rechte diesbezüglich einzuschränken sind, "soweit dies mit geltendem Recht vereinbar ist".

Der Datentransfer zwischen der EU und der USA auf Basis des Privacy Shield steht seither unter europäischem Beschuss. Das Privacy Shield ist als Nachfolger des Vorgängers Safe Harbor seit dem 12. Juli 2016 in Kraft und war von Anfang an umstritten. Es sollte eigentlich den EU-US-Datenaustausch für europäische Unternehmen mit US-Dienstleistern vereinfachen, die sich zu den darin notierten Prinzipien und organisatorischen Vorgaben bekennen. Ob sich damit aber tatsächlich ein "angemessenes Datenschutzniveau" sicherstellen lässt, das die Grundvoraussetzung für einen Datenaustausch mit anderen Unternehmen darstellt, gilt als unsicher.

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!
EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!


EU-Datenschützer befürchten nun , dass der Privacy Shield unter Trump von den USA gekündigt oder zumindest nicht ernst genommen werden könnte. Wieder einmal steht der Datenaustausch europäischer Unternehmen mit Dienstleistern aus den USA unter Kritik.

Wie die Deutsche IT-Branche von diesem Streit profitieren wird


Viele deutsche Unternehmen stehen derzeit vor der Entscheidung, ob sie die nächste Server-Generation noch im eigenen Serverraum betreiben wollen oder direkt in die Cloud wechseln. Zur Zeit-Überbrückung sollen aus dem Service laufende Server länger betrieben werden. Dies zeigen z.B. die seit November 2014 stark gestiegenen Zugriffsraten auf den Blogbeitrag zum Thema "Lebensdauer Server" des IT-Dienstleister yourIT aus Hechingen.

Zusätzlich sind deutsche Unternehmen derzeit dabei, die Vorbereitung für die EU-Datenschutzgrundverordnung zu treffen, die ab dem 25. Mai 2018 gelten wird.

Unternehmen, die künftigen Ärger mit dem Datenschutz vermeiden möchte, tun gut daran, sich jetzt ausschließlich auf europäische oder noch besser deutsche Cloud-Dienstleister einzulassen, die direkt der EU-DSGVO unterliegen. Mit diesen ist relativ einfach eine Vereinbarung zur Auftragsverarbeitung machbar. Außerdem setzt die EU-DSGVO auf eine Zertifizierung der Auftragsverarbeiter.

Für Online-Backup, Cloud-Speicher, E-Mail, Kalender, Messaging und viele andere Dienste gibt es inzwischen gute Alternativen europäischer Dienstleister zu Dropbox, Google & Co. Sprechen Sie mit den Cloud- und Datenschutz-Experten von yourIT. Wir empfehlen Ihnen gerne datenschutzkonforme Produkte deutscher und europäischer Anbieter.

Freitag, 19. Mai 2017

Google Analytics als Auftragsdatenverarbeiter - Was Unternehmen als Nutzer jetzt beachten sollten

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.


Wieso ist Google Analytics im Datenschutz-Focus?


Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics


Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg
Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg


Wir wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise dei IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"



Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics
Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...


Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten
  1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
  2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.
Nutzen Sie jetzt unsere Erfahrung und unser Knowhow aus 10 Jahren externer Datenschutzberatung.

Fazit: Vereinbarung zur Auftragsdatenverarbeitung mit Google Analytics jetzt!


Holen Sie sich jetzt von uns kostenlos unser Hinweisblatt zu Google Analytics. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics". Sie erhaklten von uns ein Hinweisblatt zur konkreten Vorgehensweise sowie die aktuelle Version des Vertrages zur Auftragsdatenverarbeitung mit Google Ireland Ltd. in Dublin.

Brief an Google mit Inhalt Vereinbarung zur Auftragsdatenverarbeitung
Sie müssen die Vereinbarung zur Auftragsdatenverarbeitung mit Google dann nur noch kurz ausfüllen, unterschreiben und ab die Post!

Achtung: Neben der Vereinbarung sind weitere Schritte zu unternehmen. Gerne unterstützen wir Sie dabei.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.