Mein Datenschutz-Blog - #THEPRIVÄCY

Ein digitaler Kalender, der über das Internet gepflegt wird, ist wirklich praktisch. Leider ist er auch wirklich gefährlich, wenn der Datenschutz nicht stimmt.

Terminüberschneidungen müssen nicht sein

Stellen Sie sich vor, Sie sind beruflich unterwegs und bekommen einen Anruf. Es ist der Leiter einer anderen Abteilung, der Sie zu einem Projekttreffen einlädt. Da sind Sie gern dabei, Sie sagen zu.

Kurze Zeit später ruft jemand aus Ihrer Familie an und berichtet von einer Einladung der Nachbarn. Ob Sie dann Zeit haben, lautet die Frage. Nach Ihrer Erinnerung schon, Sie sagen wieder zu.

Zurück im Büro schauen Sie in Ihren Kalender. Sie ahnen es schon: Sowohl bei dem Projekttreffen als auch bei der Einladung der Nachbarn haben Sie bestehende Termine übersehen. Solche Terminüberschneidungen sind mehr als ärgerlich.

Bei Ihnen kommt das nicht vor, da Sie einen Online-Kalender nutzen, auf den Sie über das Internet auch unterwegs Zugriff haben? Dann haben Sie vielleicht keine Terminüberschneidungen. Dafür aber möglicherweise ein Datenleck.

yourIT Datenschutz - digitaler Kalender

Vertrauliche Daten in Kalendern sind oftmals ungeschützt

Bekanntlich steht es um die Verschlüsselung von E-Mails nicht gut (siehe auch Seite 1). Vertrauliche Daten werden unverschlüsselt über das Internet übertragen. Was leider übersehen wird: Das ist bei so manchem Online-Kalender nicht anders. In den digitalen Kalendern stehen vertrauliche Termine und Kontakte. Doch verschlüsselt werden die Inhalte der Kalender kaum.

Durch den möglichen Online-Zugriff auf den Kalender müssen Sie mit Datenrisiken aus dem Internet rechnen. Dazu gehören gefälschte Termineinladungen, die nur darauf abzielen, an Ihr Passwort für den Online-Kalender zu gelangen.

Solche Angriffe beginnen mit einer scheinbaren Termin-Einladung, enthalten einen manipulierten Link auf den Online-Termin und fangen dann die Zugangsdaten zu Ihrem Online-Kalender ab. Phishing-Angriffe und Passwortdiebstahl gibt es eben leider auch bei Kalendern.

Terminkalender: voll von Terminen und von Risiken

Viele der Funktionen von Online-Kalendern, die sehr praktisch sind, können zur Gefahr für Ihre Daten werden, wenn Sie nicht genug für den Datenschutz tun.

Online-Kalender bieten Freigabefunktionen für einzelne Termine, für alle Termine bis hin zur Veröffentlichung ganzer Kalender im Web. Vorsicht: Sie könnten versehentlich Termine mit personenbezogenen Daten zu Suchmaschinen-Futter machen, also öffentlich ins Netz stellen. Am besten tragen Sie nur Termine in einem Online-Kalender ein, die Sie auch ans Schwarze Brett hängen würden. Andernfalls ist zusätzlicher Schutz erforderlich.

Bei dem Import aus anderen Kalender-Programmen sollten Sie ebenfalls vorsichtig sein. Prüfen Sie nach dem Import genau, welchen Status die importierten Termine haben, zum Beispiel öffentlich oder privat.

Funktionen von Kalendern wie Dateianhang machen klar, dass digitale Kalender in Wirklichkeit Kommunikationsanwendungen sind. Damit ist auch klar, dass Dateien, die mit Terminen übertragen werden, genauso schadhaft sein können wie der Anhang einer E-Mail.

Tipps: Datenschutz bei Online-Kalendern

• Verzichten Sie auf generelle Freigaben und definieren Sie lieber die Freigabe konkret bei Einzelterminen!
• Prüfen Sie die angehängten Dateien zu Terminen auf Malware!
• Denken Sie bei Einladungen zu Terminen an mögliches Phishing!
• Wählen Sie die Passwörter zu den digitalen Kalendern ausreichend stark! 
• Überprüfen Sie Termin-Importe auf falsche Freigaben!
• Denken Sie auch bei digitalen Kalendern an die Datensparsamkeit!

Online-Kalender: Kennen Sie die Risiken? Machen Sie den Test!

Frage: Um Online-Kalender zu schützen, reicht ein starkes Passwort. Stimmt das?

• a: Ja, dank Passwortschutz kann kein Unbefugter meine Termine lesen.
• b: Nein, Datendiebe versuchen, auch die Passwörter für Online-Kalender zu stehlen. 

Lösung: Die Antwort b. ist richtig. Auch bei Online-Kalendern gibt es Phishing-Attacken. Schützen Sie daher vertrauliche Inhalte genau wie bei E-Mail zusätzlich. Achten Sie bei der Wahl des Online-Kalenders auf eine Verschlüsselung.

Frage: Der klassische Kalender ist sicherer als ein digitaler. Stimmen Sie dem zu?

• a: Nein, ohne besonderen Schutz können natürlich auch Kalender in Papierform eingesehen werden. Jeder Kalender braucht einen Zugangsschutz.
• b: Ja, denn mit dem Internet kommen neue Risiken für vertrauliche Termine hinzu. Datendiebe können unerkannt über das Internet die zu schützenden Termine lesen und sogar verändern oder löschen.

Lösung: Die Antwort a ist richtig, gleichzeitig aber auch die Antwort b. Vertrauliche Termine müssen grundsätzlich geschützt werden, bei Kalendern in Papierform und bei digitalen Kalendern.

Durch das Internet können auch Unbefugte Zugriff erlangen, die nicht an einen Kalender in Papierform kommen würden, wenn dieser auf dem Schreibtisch liegt. Doch auch die Kalender auf dem Schreibtisch müssen besser geschützt werden. Räumen Sie daher bitte Ihren Kalender weg. wenn Sie den Schreibtisch verlassen.

WhatsApp hat am 25.08.2016 zum ersten Mal seit der Übernahme durch Facebook die Nutzungsbedingungen und Datenschutzrichtlinie geändert.Vor 2 1/2 Jahren hat sich Facebook den Messenger-Dienst WhatsApp für 19 Milliarden Dollar einverleibt. Ein solcher Mega-Deal muss sich irgendwann auszahlen. Dazu verknüpft Facebook nun die Nutzer-Daten von WhatsApp mit den eigenen. Sie können dies verhindern. Wir zeigen Ihnen hier, was sie tun müssen.

WhatsApp Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie

Auf dem Weg zum gläsernen Internet-Nutzer

Kurz nach der Übernahme durch Facebook hatten die WhatsApp-Verantwortlichen noch auf dem WhatsApp Blog verkündet: "Und das wird sich für euch, unsere Benutzer, ändern: Nichts. [...] Es hätte zwischen unseren beiden Firmen nie eine Partnerschaft geben können, wenn wir in irgendeiner Form unsere grundlegenden Prinzipien, die unsere Firma, unser Produkt und unsere Vision definieren, hätten verletzten müssen."

Donnerstag 25.08.2016 ist der Tag, an dem dieses Versprechen offiziell gebrochen wurde. Experten gehen davon aus, dass WhatsApp und Facebook bereits seit der Übernahme Nutzer-Daten austauschen. Ebenfalls auf dem WhatsApp Blog wurde nun die aus Sicht von WhatsApp notwendigen Änderungen der WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie verkündet - mit weitreichenden Folgen!

Diese neuen WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie sind ein weiterer Schritt hin zum gläsernen Internet-Nutzer.

"Heute aktualisieren wir zum ersten Mal seit vier Jahren die Nutzungsbedingungen und Datenschutzrichtlinie von WhatsApp, als Teil unserer Pläne in den kommenden Monaten Wege zu testen, wie Personen mit Firmen kommunizieren können. Die aktualisierten Dokumente spiegeln auch wider, dass wir jetzt ein Teil von Facebook sind [...]"

Was ändert sich?

Durch die neuen Bedingungen nimmt sich WhatsApp das Recht, WhatsApp-Account-Informationen mit Facebook zu teilen, um die Erlebnisse der Nutzer mit Werbung und Produkten auf Facebook zu "verbessern". Die Chats und die Telefonnummer des Nutzers werden aber auch weiterhin nicht auf Facebook geteilt.

Es geht also nicht nur um die Weitergabe der Mobilfunknummer des WhatsApp-Nutzers an Facebook, wie die seit Donnerstag kursierenden Pressemeldungen und Blogbeiträge suggerieren (vgl. BILD.de). Das wäre vermutlich wirklich nicht so schlimm, weil die meisten Facebook-Nutzer ihre Mobilfunknummer eh schon im Facebook-Account hinterlegt haben.

Sondern es geht zumindest prinzipiell darum, dass ALLE WhatsApp-Daten eines Nutzers an Facebook weitergeleitet werden sollen.

Als externem Datenschutzbeauftragten ist mir diese Denkweise von amerikanischen Unternehmensgruppen bereits bekannt. Alle Daten im Konzern sollen allen Konzernunternehmen bedingungslos zur Verfügung stehen, um damit den Profit zu optimieren. In Deutschland sehen wir das anders. In unserem BDSG gibt es kein Konzernprivileg. Jedes Konzernunternehmen wird als einzelnes Unternehmen betrachtet und unterliegt für die Datenweitergabe denselben Ansprüchen wie externe Unternehmen. Es ist also jeweils einzeln zu klären, ob eine Datenweitergabe überhaupt in Frage kommt und wenn ja, zu welchem Zweck welche Daten weitergegeben werden dürfen und ob es sich dabei um eine Auftragsdatenverarbeitung gemäß § 11 BDSG (Controller - Prozessor) oder um eine Funktionsübertragung (Controller - Controller) handelt.

WhatsApp versucht sich mit der aktuellen Zustimmungs-Anfrage zu den neuen WhatsApp Nuntzungsbedingungen und zur Datenschutzrichtlinie nun offiziell eine Einwilligung gemäß § 4a BDSG einzuholen.

Was bedeutet das?

WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates I

WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates II

WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates III

WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie

Bleiben die Chats auf WhatsApp tatsächlich privat?

WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook

Kann ich als Nutzer wiedersprechen?

Möglichkeit 1 - Einfach nicht zustimmen!

WhatsApp FAQ neue Nutzungsbedingungen und Datenschutzrichtlinie

Möglichkeit 2 - Zustimmung zurücknehmen - Nur bis 24.09.2016 möglich!

WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook

WhatsApp-Nutzer-Account Meldung nach Zustimmung der Daten-Weitergabe an Facebook

WhatsApp-Account ohne Zustimmung zur Datenweitergabe an Facebook

Ist mein Widerspruch wirksam?

WhatsApp FAQ Hinweis zur Datenweitergabe an Facebook-Unternehmensgruppe

Welche Möglichkeiten haben neue Nutzer?

WhatsApp neuer User Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie

Fazit zu den neuen WhatsApp Nutzungsbedingungen und zur Datenschutzrichtlinie

Welche Regeln gelten eigentlich, wenn man Fotos von einem Kindergeburtstag auf Facebook stellen will? Ärger ist in solchen Fällen häufiger, als man denkt. Kurzes Nachdenken vorher verhindert Schwierigkeiten nachher!

Kinderfotos auf Facebook – gute Idee oder nicht?

Klare gesetzliche Regelungen

Einwilligung nötig – bei Minderjährigen von den Eltern

Besonderheiten eines Kindergeburtstags

Das immer zulässige „Gruppenfoto“ – ein rechtlicher Mythos

Meist bekommt man als Patient durchaus Einsicht in die Unterlagen über die eigene Behandlung. Aber falls es doch einmal Konflikte gibt: Welche Spielregeln gelten dann eigentlich?

Funktion von Behandlungsunterlagen

Behandlungsunterlagen dienen dem Patienten wie dem Arzt. Der Arzt braucht sie als Gedankenstütze. Manchmal benötigt er sie auch, um Vorwürfe wegen falscher Behandlung abzuwehren. Der Patient wiederum will die Unterlagen vorlegen, wenn er einen anderen Arzt aufsucht. Vielleicht möchte er sich aber auch nur informieren, was gesundheitlich eigentlich mit ihm los ist. Dann können Behandlungsunterlagen eine hoch spannende Lektüre sein.

Bild Nachweis: Fotolia_115646552

Regelungen zu ihrem Inhalt

Was in Behandlungsunterlagen eines Arztes stehen muss, ist gesetzlich geregelt. Enthalten sein müssen sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse. So legt es § 630f des Bürgerlichen Gesetzbuchs (BGB) fest.
Aus der Sicht eines medizinischen Laien mag die Formulierung etwas schwammig wirken. Aus der Sicht eines medizinischen Fachmanns sieht das schon anders aus. Außerdem hat die etwas weite Formulierung einen wesentlichen Vorteil: Neue fachliche Erkenntnisse dazu, was in Behandlungsunterlagen hinein gehört, lassen sich recht schnell umsetzen. Das Gesetz muss dazu nicht geändert werden.

Diagnosen, Befunde, Therapien

Das Gesetz nennt konkrete Beispiele dafür, was auf jeden Fall in die Unterlagen hinein gehört, nämlich

• die Anamnese (also die medizinische Vorgeschichte des Patienten),
• ferner Diagnosen,
• Untersuchungen,
• Untersuchungsergebnisse,
• Befunde,
• Therapien und ihre Wirkungen,
• Eingriffe und ihre Wirkungen,
• Einwilligungen und Aufklärungen.

Besonders wichtig für den Patienten: Arzt-briefe sind auf jeden Fall in die Patientenakte aufzunehmen.

Rechtsanspruch auf Einblick

Oft ist die Rede davon, dem Patienten werde Einblick in die Behandlungsunterlagen „gewährt“. Manche verstehen dies so, dass der Arzt den Einblick sozusagen Gnaden halber und nach seinem Ermessen bewilligen kann – oder eben auch nicht. Das trifft jedoch nicht zu. Vielmehr hat der Patient einen gesetzlichen Anspruch auf Einblick in die Behandlungsunterlagen, die ihn selbst betreffen. So regelt es ausdrücklich § 630g BGB.

Anspruch auf Kopien

Häufig wird es so sein, dass ein Patient die Unterlagen nicht versteht. Viele Begriffe sind nur Fachleuten klar. Und selbst ein Fachmann braucht Zeit, um den Inhalt von Unterlagen richtig zu interpretieren. Oft wollen Patienten deshalb Kopien ihrer Behandlungsakte. Auch dieser Anspruch ist gesetzlich inzwischen klar festgelegt (siehe § 630g Absatz 2 BGB: „Der Patient kann auch elektronische Abschriften von der Patientenakte verlangen.“).

Kostenpflicht für Kopien

Genauso klar ist allerdings auch geregelt, dass der Patient die Kosten hierfür tragen muss. Man sollte sie nicht unterschätzen. Denn selbstverständlich gehören dazu nicht nur die eigentlichen Kopierkosten, sondern auch die Kosten für das Personal, das Ko-pien anfertigt. Glück hat ein Patient, dessen Patientenakte elektronisch geführt ist. Das Übertragen der Daten auf einen elektronischen Datenträger verursacht kaum irgend-welche Kosten.

Ansprüche der Erben und Angehörigen

Etwas schwierig wird es, wenn ein Patient verstorben ist. Relativ häufig wollen dann Angehörige wissen, wie es eigentlich zum Tod kam. Fragen dazu sind allerdings oft vergeblich. Das gilt sogar dann, wenn eine enge familiäre Beziehung besteht und beispielsweise die Ehefrau fragt, warum ihr Mann gestorben ist.
Der Grund: Die ärztliche Schweigepflicht gilt auch nach dem Tod weiter, und der Gesetzgeber wollte sie nicht zu sehr aushöhlen. Das Gesetz lässt deshalb den Anspruch auf Einsicht in die Behandlungsunterlagen nicht einfach pauschal auf die Erben oder auf nahe Angehörige übergehen. Vielmehr heißt es in § 630g Absatz 3 BGB, dass die Erben „zur Wahrnehmung vermögensrechtlicher Interessen“ Einblick in Behandlungsunterlagen nehmen dürfen.
Das praktisch wichtigste Beispiel hierfür: Die Lebensversicherung will nicht zahlen, weil sie die Umstände des Todes für unklar hält. Dann kann es für den Erben Gold wert sein, wenn er mithilfe der Behandlungsunterlagen nachweisen kann, dass die Versicherung sehr wohl zahlen muss.

Erst reden, dann zum Gesetz greifen

Insgesamt hat der Gesetzgeber die Rechte der Patienten in den letzten Jahren gestärkt. Grenzen haben diese Rechte allerdings nach wie vor. Suchen Sie deshalb immer zunächst das Gespräch mit dem Arzt, der Sie behandelt hat. Greifen Sie erst dann zum Gesetz, wenn sonst wirklich kein vernünftiges Ergebnis zu erzielen ist.

Unter "eAkte-Datenschutz" gehen wir auf uns aktuell vorliegende Datenschutz-Fälle bei unseren Datenschutz-Kunden ein. "eAkte" deshalb, weil wir unsere Datenschutz-Kunden und deren Fälle in unserem digitalen Büro 4.0 in elektronischen Akten verwalten. Die Veröffentlichung der Praxisfälle erfolgt selbstverständlich anonymisiert.

Dieses Mal geht es um die Frage "Kann eine Einwilligung für Mitarbeiterfotos auch in einer Klausel im Arbeitsvertrag geregelt werden oder benötigt man dafür ein separates Einwilligungs-Formular?"

Im Rahmen einer Erst-Beratung eines mittelständischen Datenschutz-Kunden (Datenschutzkonzept Phase A+B) fiel uns folgende Formulierung im Arbeitsvertrag zum Thema Mitarbeiter-Fotos und -Videos auf:

"Soweit der Arbeitnehmer in Verkaufsunterlagen  [...] des Arbeitgebers auf der Homepage oder in Messepräsentationen abgebildet ist, [...] erklärt der Arbeitnehmer sein Einverständnis zur unentgeltlichen Nutzung des Bildes / des Videos [...]. Das Recht zur Nutzung endet 5 Jahre nach Ende des Anstellungsverhältnisses zwischen dem Arbeitnehmer und dem Arbeitgeber."

Fraglich für uns erschien daran:

1. Kann eine solch umfassende Regelung einer Einwilligung in die Nutzung von Mitarbeiterfotos /-Videos überhaupt "versteckt" in einem Arbeitsvertrag erfolgen?
2. Ein Nutzungsrecht von 5 Jahren nach Ausscheiden des Mitarbeiters ist unüblich lang.

Folgende Risiken sahen wir insbesondere für diesen Kunden:

• Arbeitsrechtlicher Ärger mit ausscheidenden und ausgeschiedenen Mitarbeitern.
• Teures Werbematerial wie Videos oder Prospekte muss vorzeitig aus dem Marketing genommen werden.

eAkte-Datenschutz - Einwilligung in die Nutzung von Mitarbeiterfotos und -Videos

Da es sich hier um rechtliche Fragen handelte, die auch den Bereich des Arbeitsrechts berühren, fragten wir unseren auf IT-Recht, Datenschutz und Arbeitsrecht spezialisierten Rechtsexperten an. Dessen Antwort bestätigte unsere Befürchtungen:

"Sehr geehrter Herr Ströbele,

das Bundesarbeitsgericht hat mit Urteil vom 19. Februar 2015 teilweise Klarheit geschaffen, wann und in welchem Umfang der Arbeitgeber Bilder seiner Mitarbeiter auf Firmenunterlagen, in Filmen und im Internet benutzen darf.

Voraussetzung ist zunächst eine ausdrückliche gesonderte Einwilligung. Die Einwilligung formularmäßig durch eine Klausel im Arbeitsvertrag dürfte unwirksam sein. Es ist daher zu empfehlen, eine gesonderte Vereinbarung abzuschließen.

Ein Recht des Arbeitnehmers, die Einwilligung zu widerrufen, besteht in der Regel erst dann, wenn das Arbeitsverhältnis beendet ist und auch dann nur, wenn die Weiterbenutzung danach einen erheblichen Eingriff in das Allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt. Das war im entschiedenen Fall des Bundesarbeitsgerichtes nicht der Fall. Dort waren Arbeitsvorgänge im Unternehmen auf einem Videofilm festgehalten und Kunden zur Verfügung gestellt worden. Der betroffene klagende Arbeitnehmer war dabei nur in Hintergrund zu sehen.

Verwendet man die Bilder aber individualisierter, indem man den Mitarbeiter zum Beispiel ausdrücklich im Internet vorstellt, ist der Arbeitnehmer berechtigt, nach Beendigung des Arbeitsverhältnisses seine Einwilligung zur Verwendung der Bilder zu widerrufen. Dann muss es schon auf Seiten des Arbeitgebers erhebliche Gründe geben, dass er dieses Bild wenigstens noch zeitweilig weiter nutzen kann. Das kann der Fall sein, wenn er die Bilder auch auf Druckprodukten oder in produzierten Videos verwendet, die nicht unerhebliche Kosten verursacht haben. Bei Druckprodukten wird man dann von einer so genannten „Aufbrauchfrist" ausgehen können.

Wie lange der Arbeitgeber nach der Beendigung des Arbeitsverhältnisses die Bilder noch benutzen kann, hat das Bundesarbeitsgericht nicht entschieden. Das hängt auch von der Intensität der Darstellung und der Nutzung ab. Als Faustregel muss davon ausgegangen werden, dass eine Benutzung über die Dauer von zwei Jahren hinaus eher nicht zulässig ist. Und das Beibehalten einer Darstellung eines Mitarbeiters im Internet mit Foto konkret als vorhandener Mitarbeiter wird sicherlich schon unmittelbar nach Beendigung des Arbeitsverhältnisses unzulässig sein."

Unserem Datenschutz-Kunden haben wir daher empfohlen, mit den Arbeitnehmern eine gesonderte Einwilligung zur Nutzung von Mitarbeiterfotos und -Videos neben dem eigentlichen Arbeitsvertrag abzuschließen. Ein entsprechendes Formular haben wir mit dem Kunden erarbeitet. Die Nutzungsdauer nach dem Ausscheiden haben wir an die Erfordernisse angepasst.


Falls Sie in Ihrem Unternehmen Unterstützung benötigen im Bereich Datenschutz, sind wir auch Ihnen gerne behilflich. Fordern Sie uns!

Ihr yourIT-Datenschutz-Team


Bidnachweis: 229H_©_Ryan_McGuire_gratisography_com

Nicht die E-Mail-Verschlüsselung an sich ist kompliziert. Sondern der richtige Umgang mit digitalen Schlüsseln, die eingerichtet werden müssen. Das Projekt Volksverschlüsselung will dabei helfen.

Grundlage für die E-Mail-Verschlüsselung schaffen

Das Bundesministerium des Innern begrüßt den Start der sogenannten Volksverschlüsselung, so war es im Sommer 2016 zu lesen. Deutschland sei auf dem Weg zum Verschlüsselungsstandort Nr. 1. Es lohnt sich also, die Volksverschlüsselung kennenzulernen, wenn Sie sie noch nicht kennen (www.volks-verschluesselung.de). Dabei werden Sie jedoch feststellen, dass die Volksverschlüsselung gar nicht selbst verschlüsselt.

Was aber macht sie dann? Die Volksverschlüsselung ist eine Software, die die not-wendigen digitalen Schlüssel erzeugt und die E-Mail-Programme der Benutzer konfiguriert. Für die eigentliche Verschlüsselung brauchen die meisten Nutzer kein neues Programm, da die meisten E-Mail-Programme von Haus aus verschlüsseln können, wenn Schlüssel vorhanden sind. Somit können selbst unerfahrene Nutzer verschlüsselte E-Mails verschicken, so die Projektbeschreibung.

yourIT Datenschutz - Einfaches Schlüsselmanagement - E-Mail-Verschlüsselung

Hilfe bei der Schlüsselverwaltung

Verschlüsselungslösungen für E-Mails gibt es reichlich, darunter auch viele kostenlose. Die Gründe, warum viele Nutzer die E-Mail-Verschlüsselung häufig nicht einsetzen, liegen woanders: 64 Prozent der von dem Digitalverband Bitkom befragten Nutzer sagen, dass sie sich damit nicht auskennen. Kompliziert ist dabei nicht etwa das Verschlüsseln selbst. Das klappt auf Knopfdruck und lässt sich sogar automatisieren.

Schwierigkeiten bereitet den Nutzern vielmehr, die E-Mail-Verschlüsselung einzurichten. Wahrscheinlich werden Sie zustimmen, dass es nicht einfach auf der Hand liegt, wie man an einen digitalen Schlüssel zur Verschlüsselung kommt, wie man ihn mit seinem E-Mail-Programm verknüpft und wie man den Kommunikationspartnern seinen öffentlichen Schlüssel bekannt gibt, während der private Schlüssel dauerhaft vertraulich bleiben muss. Unterstützung ist hier wirklich sinnvoll.

Das Ziel: Mehr Sicherheit bei E-Mails

Eine Lösung wie die Volksverschlüsselung kann in Zukunft helfen, auch wenn Sie privat verschlüsselt per E-Mail kommunizieren wollen. Bisher profitieren aber erst Windows-Nutzer von der Volksverschlüsselung, wenn sie über E-Mail-Programme wie Outlook oder Thunderbird kommunizieren. In weiteren Schritten sind Versionen für andere Betriebssysteme wie Mac OS X, Linux, iOS und Android geplant.

Die Volksverschlüsselung muss noch erweitert werden. Aber sie zeigt bereits: Ist das Problem des Schlüsselmanagements erst einmal gelöst, gibt es keinen Grund mehr, den Aufwand zu scheuen. Dann wird E-Mail endlich sicherer.

Das digitale Büro 4.0 gilt als einer der wichtigsten Trends in der deutschen Wirtschaft. Aus dem Arbeitsplatz soll ein Digital Workspace werden. Das hat auch Folgen für den Datenschutz.

Fast alles soll digital werden

Bereits jedes vierte Unternehmen setzt auf digitalen Schriftverkehr, 40 Prozent wollen in Zukunft vermehrt auf digitale Kommunikation umstellen, so eine repräsentative Umfrage von Bitkom Research. Die Digitalisierung verändert aber nicht nur die Kommunikation. Auch die Produkte und Märkte ändern sich. Vier von zehn Unternehmen haben infolge von Digitalisierung / Büro 4.0 bereits neue Produkte oder Dienste auf den Markt gebracht und 57 Prozent bestehende Angebote angepasst.
In den einzelnen Bereichen eines Unternehmens ist die Digitalisierung unterschiedlich stark ausgeprägt. Spitzenreiter ist die Produktion und Projektabwicklung, die in 74 Prozent der Unternehmen stark digitalisiert ist (mindestens zu 50 Prozent). Die Abteilungen Personal/Human Resources und Buchhaltung/Finanzen/Controlling sind jeweils in 66 Prozent der Unternehmen stark digitalisiert. Im Ranking folgen dahinter Marketing (62 Prozent), Einkauf (54 Prozent), Logistik (53 Prozent) sowie Forschung und Produktentwicklung (30 Prozent).

Digital Workplace im Büro 4.0

Kaum eine Tätigkeit wird davon nicht betroffen sein

Noch setzen acht von zehn deutschen Unternehmen häufig das Faxgerät zur internen oder externen Kommunikation ein, 40 Prozent nutzen bereits Online- oder Videokonferenzen, 15 Prozent Soziale Netzwerke. Der klassische Büroarbeitsplatz verändert sich zunehmend. Etwa jeder zweite Mitarbeiter sitzt an einem Computer-Arbeitsplatz, jeder Dritte nutzt für die Arbeit ein Mobilgerät mit Internetzugang wie Tablet-PC oder Smartphone.
Die Möglichkeit, an jedem Ort auf das Internet zuzugreifen, verändert die Arbeitswelt, so der Bitkom-Verband. Dank Smartphone, Tablet-Computer und Laptop ist man nicht mehr auf einen Büroarbeitsplatz angewiesen, sondern kann von unterwegs oder aus dem Home Office arbeiten. Der Arbeitsplatz wird zum Digital Workspace. Diese Veränderungen haben Auswirkungen darauf, wie wir arbeiten, wie wir Daten nutzen und schützen müssen.
So führt im digitalen Büro 4.0 die Nutzung mobiler Geräte vermehrt dazu, dass Daten im Internet, in einer Cloud gespeichert werden, da so der Zugriff auf die Daten flexibel ist. Die Flexibilität erkauft man sich aber mit steigenden Gefahren für Datensicherheit und Datenschutz. Die digitalen Risiken werden nämlich unterschätzt: 86 Prozent der Top-Manager sehen in der Digitalisierung eher Chance als Risiko für ihr Unternehmen. Zehn Prozent sehen eher eine Gefahr und nur vier Prozent meinen, die Digitalisierung habe keinen Einfluss auf ihr Unternehmen.

Der Weg hin zum Digital Workspace ist doppelt gefährlich

Bei den zahlreichen Projekten zu Digitalisierung / Büro 4.0 und der offensichtlichen Umstellung auf eine zunehmend digitale Kommunikation darf aber eines nicht vergessen werden: Es gibt nicht nur die Datenrisiken beim Digital Workspace, bei den Smartphones, Tablets und Clouds. Auch die ganz klassischen Arbeitsgeräte und Arbeitsplätze tragen Risiken für personenbezogene Daten in sich und können zu Datenpannen führen. Die Aktenordner im Papiermüll sind nur ein Beispiel dafür.
Wenn es also um Datenschutz im digitalen Zeitalter geht, sollten Unternehmen immer auch daran denken, dass wir erst auf dem Weg hin zum Digital Workspace sind. Es ist gut möglich, dass es den komplett digitalen Arbeitsplatz nur in Einzelfällen geben wird. Deshalb müssen alle Maßnahmen zum Schutz personenbezogener Daten immer die klassische UND die digitale Arbeitswelt umfassen. Sonst werden die klassischen Datenrisiken übersehen – und damit zu einer wachsenden Gefahr.

Schätzen Sie digitale Gefahren im Büro 4.0 richtig ein? Testen Sie sich!

Frage: Die größten Risiken für die vertrauliche Kommunikation liegen im Internet. Stimmt das?

a. Ja, denn die klassische Kommunikation wird bei Weitem nicht so stark angegriffen.

b. Nein, jede Kommunikation muss geschützt werden, auch die klassischen Formen.

Lösung: Die Antwort b. ist richtig. Tatsächlich ist es sogar so, dass bestimmte Schutz-verfahren wie Verschlüsselung für papiergebundene Verfahren gar nicht verfügbar sind. Je nach Kommunikationsverfahren gibt es andere Risiken. Die Vertraulichkeit muss aber immer geschützt werden.

Frage: Die Digitalisierung bedroht den Datenschutz. Stimmen Sie dem zu?

a. Nein, nicht die Digitalisierung, sondern unzureichender Schutz und unvorsichtige Handlungen bedrohen die Daten, auch am klassischen Arbeitsplatz.

b. Ja, denn mit dem Internet kommen ganz neue Gefahren auf uns zu.

Lösung: Die Antwort a. ist richtig. Das Internet bringt zwar neue Datenrisiken mit sich, doch auch die klassischen Arbeitsverfahren können personenbezogene Daten in Gefahr bringen und Datenpannen verursachen. Der Schutzbedarf der Daten muss immer erfüllt werden, ganz gleich, ob am digitalen oder am klassischen Arbeitsplatz.
http://www.buero40.com

Wer häufig mit Kundendaten zu tun hat, sollte diese Frage beantworten können: Was muss ich tun, wenn die Daten möglicherweise in die falschen Hände geraten sind? Typisches Beispiel: Ein Datenträger mit Kundendaten geht verloren.

Typische Ausgangslage: Ein Datenträger ist verschwunden!
Data Breach Notification ist sicher kein schöner Begriff, und viele verstehen ihn schlicht nicht. Aber ehrlich gesagt – ist „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ (so die Überschrift von § 42a Bundesdatenschutzgesetz) besser? Beides meint dieselbe Situation: Daten etwa von Kunden sind möglicherweise in die Hände von Unbefugten geraten. Das kann beispielsweise der Fall sein, wenn ein Laptop mit Kundendaten irgendwo liegen bleibt oder ein USB-Stick mit Daten nicht mehr zu finden ist.
Dann stellt sich die Frage, ob eine Datenschutzverletzung (Data Breach) vorliegt, über die eine Mitteilung (Notification) notwendig ist – an wen auch immer.

Data Breach Notification - Ist Ihr Unternehmen vorbereitet?

Mögliche Folge: Benachrichtigungspflichten

Schon seit einigen Jahren sieht das Bundesdatenschutzgesetz vor, dass in solchen Situationen unter bestimmten Voraussetzungen sowohl die Datenschutzaufsichtsbehörde wie auch die Betroffenen selbst benachrichtigt werden müssen. Die Einzelheiten sind kompliziert, aber damit muss sich der „Normalarbeitnehmer“ im Unternehmen nicht herumschlagen. Für ihn genügt es zunächst einmal, zu wissen, dass es eine solche Benachrichtigungspflicht je nach Situation geben kann.

Wichtig: rasche Information der Vorgesetzten bei Pannen!

Wichtig deshalb: Wenn ein Datenträger mit Kundendaten einfach nicht mehr zu finden ist, auf keinen Fall den Kopf in den Sand stecken! Das macht im Ernstfall alles nur schlimmer. Informieren Sie vielmehr zügig Ihre Vorgesetzten. Diese werden dann in aller Regel den intern oder extern bestellten Datenschutzbeauftragten einschalten. Dann lässt sich gemeinsam überlegen, was zu tun ist, um zusätzlichen Schaden zu vermeiden.

Meist maßvolle Reaktion der Datenschutzaufsicht

Die Aufsichtsbehörden für den Datenschutz reagieren bei frühzeitigen Meldungen, die nichts verschleiern, durchweg mit viel Augenmaß. Nur in ganz besonderen Extremfällen kommt es dazu, dass betroffene Kunden beispielsweise über Zeitungsanzeigen informiert werden müssen. Das hat es in Einzelfällen bei Kliniken gegeben, wenn sehr sensible Daten betroffen waren und nicht einmal ungefähr festzustellen war, um die Daten welcher Patienten es dabei ging. Im Normalfall akzeptieren es die Aufsichtsbehörden, wenn das Unternehmen selbst die konkret betroffenen Kunden individuell informiert.

Kunden oft verständnisvoller als gedacht

Kunden reagieren auf eine solche individuelle Benachrichtigung meistens sehr sachlich, manchmal sogar dankbar. Zu verärgerten Reaktionen kommt es normalerweise nur, wenn betroffene Kunden erst aus den Medien erfahren, dass etwas mit ihren Daten passiert sein könnte. Deshalb ist es wichtig, dass das Unternehmen die Situation möglichst von Anfang an selbst in der Hand hat. Dazu sind rasche interne Informationen notwendig, die man dann in geeigneter Form bei der Kommunikation mit betroffenen Kunden verwenden kann.

Künftig verschärfte Rechtslage

Nach der augenblicklichen Rechtslage müssen die Kunden und die zuständige Auf-sichtsbehörde nur informiert werden, wenn es um besonders sensible Daten geht. Bei-spiele hierfür sind etwa Daten, die der ärztlichen Schweigepflicht unterliegen, oder Daten zu Bank- und Kreditkartenkonten. Diese Einschränkung hat für die Praxis im Unternehmen allerdings eine eher geringe Bedeutung.
Zum einen lässt sich nicht immer leicht entscheiden, ob zumindest einzelne besonders sensible Daten betroffen sein könnten. Diese Einschätzung müssen Fachleute treffen. Zum anderen wird die Datenschutz-Grundverordnung der EU ab Mai 2018 hier eine neue Rechtslage bringen. Ab dann kommt es nicht mehr darauf an, ob es um besonders sensible Daten geht. Vielmehr sind dann Datenschutzverletzungen hinsichtlich aller Arten von Daten zu melden. Darauf sollte man sich schon jetzt einstellen.

Vorbeugende Maßnahmen nicht vergessen!

Am besten wäre es natürlich, wenn Datenschutzverletzungen erst gar nicht vorkommen. Vielleicht nehmen Sie diesen Beitrag zum Anlass, einen genaueren Blick auf Ihren Schreibtisch zu werfen. Liegen dort Datenträger ungesichert offen herum? Und wie sieht es eigentlich mit der Passwortsicherung für den Laptop und das Smartphone aus? Wenige Handgriffe können dafür sorgen, dass es erst gar nicht zu Problemen kommt.

Kennen Sie das Internet der Dinge? Ob ja oder nein: In jedem Fall wird das Internet der Dinge bald Sie kennen – und zwar besser, als Ihnen lieb sein dürfte.

Das Internet ist überall

Was haben Spielzeuge, Fitness-Tracker, Autos und Kühlschränke gemeinsam? Scheinbar nicht viel. In Wirklichkeit aber bilden sie eine Gemeinschaft: Sie gehören zum sogenannten Internet of Things, kurz IoT. Viele Geräte sind inzwischen mit dem Internet verbunden oder werden es bald sein, im Büro, im Haus, in der Garage. Ob man daheim, unterwegs oder in der Arbeit ist: Das Internet kommt überall mit.

Bild Nachweis: pexels-nature-laptop-outside-macbook

Das Internet hat Beine bekommen. Das wissen Unternehmen und Nutzer durch die beliebten Smartphones und Tablets. Nun haben aber auch andere Geräte einen Internetzugang, die früher nie mit dem Internet in Verbindung gebracht wurden: Uhren am Handgelenk, Kaffee-Automaten, die Heizung, Glühbirnen, Autoradios oder die Rollos am Bürofenster.

IoT ist ein Datenschutz-Problem

So mancher freut sich auf das Internet der Dinge, wenn der Firmen- oder Privatwagen mit dem Parkplatz kommuniziert und so automatisch eine freie Lücke findet oder wenn der Kaffee-Automat die Kaffee-Lieferung oder den Wartungsdienst bestellt. Aber viele machen sich auch Sorgen: Laut Umfragen bestehen die größten Bedenken, wenn es um den Schutz personenbezogener Daten geht.
Vielleicht sind Sie jetzt überrascht, was vernetzte Dinge im Internet mit personen-bezogenen Daten zu tun haben. Leider sehr viel. Denn die Dinge sind meist eng mit ihren Nutzern verknüpft. Das kann nicht nur der Fall sein, wenn sich die Smartwatch am Handgelenk befindet. Viele der vernetzten Geräte haben integrierte Sensoren und Funkschnittstellen. Sie können so den Nutzer vermessen oder andere Geräte des Nutzers erreichen.

Geräte-Tracking = Nutzer-Tracking

Zu den Informationen, die die Geräte austauschen und ins Internet übertragen, gehört oftmals auch der Standort des Geräts, der aber mit dem Standort des Nutzers identisch oder sehr ähnlich sein kann. Gelingt es also, ein Gerät einem Nutzer zuzuordnen, wird aus dem scheinbar harmlosen Orten von Dingen das Orten von Personen. Die Betroffenen sind sich aber häufig gar nicht bewusst, dass ihre Bewegungsprofile an den App-Anbieter oder den Gerätehersteller gesendet werden könnten.

„Dass zum Beispiel Jalousien, Beleuchtung, die Waschmaschine oder auch Hauskameras vernetzt, per Smartphone gesteuert und Abläufe programmiert werden können, ist für die meisten Menschen Neuland. Daher ist es umso wichtiger, dass technisch innovative Angebote wie Smart-Home-Systeme von vornherein so konzipiert werden, dass Verbraucherinnen und Verbraucher sich auf die Sicherheit und den Schutz ihrer Daten verlassen können müssen“, so der Rheinland-Pfälzer Verbraucherschutzminister Robbers. Da das bisher nicht der Fall ist, müssen wir alle als Nutzer genau auf unsere Daten achten, gerade im Internet der Dinge.

Der Hessische Landes-Datenschutzbeauftragte Professor Dr. Michael Ronellenfitsch hat am Montag, 11. Juli 2016 seinen Tätigkeitsbericht 2015 zum Datenschutz vorgelegt.

Schwerpunkthemen, die Ronellenfitsch in seinem Bericht anspricht, sind u.a.:

• EU-Datenschutzgrundverordnung
• Umgang mit kostenlosen digitalen Haushaltsbüchern (Datenhaltung in der Cloud)
• Erforderlichkeit von neuen Instrumentarien nach dem Wegfall des Safe-Harbor-Abkommens
• Einsatz von Body-Cams, Dashcams
• datenschutzgerechte, elektronische Antragstellung durch Einsatz des neuen Personalausweises über die integrierte eID-Funktion
• E-Post-Brief der Deutschen Post AG
• Videoüberwachung
• Smart-TV
• Auskunfteien und Bedingungen zum Umgang mit Daten
• Einwilligungerklärungen

Der Bericht kann auf der Website des Hessischen Landesdatenschutzbeauftragten www.datenschutz.hessen.de/taetigkeitsberichte.htm heruntergeladen werden und wird von uns zur Lektüre empfohlen.

Gleich zu Beginn der Kinderferienspiele 2016 in Hechingen war eine kleine Abteilung des Jugendprogramms zu Besuch beim ortsansässigen IT-Systemhaus yourIT. Der IT-Dienstleister optimiert normalerweise die IT-Prozesse mittelständischer Unternehmen und steigert damit langfristig deren Wettbewerbsfähigkeit im globalen Markt. Dazu prüfen die IT-Experten den Sicherheits-Status der IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für den Kunden besten Lösungen.

Personenbezogene Daten – die neue Währung

Licht im Datendschungel - Ratgiwatz bei yourIT

Das Recht am eigenen Bild

„Was Du nicht willst, das man Dir tu, …

Passwortsicherheit - Wie merkt man sich W3Fr3$0$pduN8AC?

Das Fazit von Thomas Ströbele fiel kurz aus: „Wenn jeder der jungen Teilnehmer nur 3 Punkte von den heute erfahrenen umsetzt, hat sich der Besuch bei yourIT schon gelohnt. Vielleicht sehen wir den einen oder anderen ja bei künftigen Ferienspielen wieder – oder wenn sie sich bei uns mal als Azubis bewerben. Wir freuen uns jetzt schon drauf!“

Terminhinweis für die Vertreter der Presse:

Falls Sie einen solchen Datenschutzkurs für Ferienspiel-Teilnehmer live erleben wollen, laden wir Sie gerne am Donnerstag 04.08.2016 von 13-16 Uhr nach Starzach-Bierlingen in das Bürgerhaus ein. Dort habe ich mich bereiterklärt, mit den 9-12-jährigen über Datenschutz & IT-Sicherheit zu sprechen. Wir haben fast 25 Anmeldungen erhalten.