Mein Datenschutz-Blog - #THEPRIVÄCY

In genau 365 Tagen ist es soweit: Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO). Auch wenn viele das nicht mitbekommen haben: Bereits vor einem Jahr ist diese wichtige Änderung zum BDSG in Kraft getreten. Die Hälfte der 2-jährigen Übergangsfrist ist nun schon vorbei. Trotzdem verharrt eine Vielzahl mittelständischer Unternehmen und Konzerne noch immer in Untätigkeit. Die Datenschutz-Experten von yourIT empfehlen: Es gibt viel zu tun. Packen Sie's an!

US-Präsident Donald Trump war kaum im Amt, als er am 25. Januar 2017 direkt den Datenschutz für Europäer in Frage gestellt. Datenschutz-Experten aus der EU raten daher Unternehmen aus der EU, Cloud-Produkte nur noch von Europäischen Anbietern zu nutzen.

Deutsche und alle übrigen Europäer sind für den US-Präsidenten ganz offensichtlich Internetnutzer zweiter Klasse. Per Dekret vom 25. Januar erklärte er, dass Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht auszuschließen oder zumindest ihre Rechte diesbezüglich einzuschränken sind, "soweit dies mit geltendem Recht vereinbar ist".

Der Datentransfer zwischen der EU und der USA auf Basis des Privacy Shield steht seither unter europäischem Beschuss. Das Privacy Shield ist als Nachfolger des Vorgängers Safe Harbor seit dem 12. Juli 2016 in Kraft und war von Anfang an umstritten. Es sollte eigentlich den EU-US-Datenaustausch für europäische Unternehmen mit US-Dienstleistern vereinfachen, die sich zu den darin notierten Prinzipien und organisatorischen Vorgaben bekennen. Ob sich damit aber tatsächlich ein "angemessenes Datenschutzniveau" sicherstellen lässt, das die Grundvoraussetzung für einen Datenaustausch mit anderen Unternehmen darstellt, gilt als unsicher.

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!

EU-Datenschützer befürchten nun , dass der Privacy Shield unter Trump von den USA gekündigt oder zumindest nicht ernst genommen werden könnte. Wieder einmal steht der Datenaustausch europäischer Unternehmen mit Dienstleistern aus den USA unter Kritik.

Wie die Deutsche IT-Branche von diesem Streit profitieren wird

Viele deutsche Unternehmen stehen derzeit vor der Entscheidung, ob sie die nächste Server-Generation noch im eigenen Serverraum betreiben wollen oder direkt in die Cloud wechseln. Zur Zeit-Überbrückung sollen aus dem Service laufende Server länger betrieben werden. Dies zeigen z.B. die seit November 2014 stark gestiegenen Zugriffsraten auf den Blogbeitrag zum Thema "Lebensdauer Server" des IT-Dienstleister yourIT aus Hechingen.

Zusätzlich sind deutsche Unternehmen derzeit dabei, die Vorbereitung für die EU-Datenschutzgrundverordnung zu treffen, die ab dem 25. Mai 2018 gelten wird.

Unternehmen, die künftigen Ärger mit dem Datenschutz vermeiden möchte, tun gut daran, sich jetzt ausschließlich auf europäische oder noch besser deutsche Cloud-Dienstleister einzulassen, die direkt der EU-DSGVO unterliegen. Mit diesen ist relativ einfach eine Vereinbarung zur Auftragsverarbeitung machbar. Außerdem setzt die EU-DSGVO auf eine Zertifizierung der Auftragsverarbeiter.

Für Online-Backup, Cloud-Speicher, E-Mail, Kalender, Messaging und viele andere Dienste gibt es inzwischen gute Alternativen europäischer Dienstleister zu Dropbox, Google & Co. Sprechen Sie mit den Cloud- und Datenschutz-Experten von yourIT. Wir empfehlen Ihnen gerne datenschutzkonforme Produkte deutscher und europäischer Anbieter.

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.

Wieso ist Google Analytics im Datenschutz-Focus?

Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics

Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg

Wie wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise die IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"

Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...

Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten

1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können

Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?

Dann tragen Sie sich einfach hier in unseren Newsletter ein.

BSI – bisher noch nie gehört? Das ist schade! Denn das „Bundesamt für Sicherheit in der Informationstechnik“ hilft Unternehmen und Normalbürgern gleichermaßen. Von seinen Sicherheitstipps kann jeder profitieren. Machen Sie einen Versuch!

Scheinbar sichere Internetseiten

„Ich surfe nur auf vertrauenswürdigen Seiten, darum muss ich mich nicht vor Cyber-Angriffen schützen.“

So denkt mehr als einer. Schön wär's, kann man dazu nur sagen.

Natürlich ist es vernünftig und richtig, sich von dubiosen Internetseiten von vornherein fernzuhalten. Das allein reicht aber nicht. Denn, so das BSI: „Leider können auch vertrauenswürdige Seiten hin und wieder von Schadsoftware betroffen sein.

Sie kann sich beispielsweise in Werbebannern verstecken und sich unbemerkt auf dem PC des Nutzers installieren. Sogenannte Drive-by-Downloads, bei denen Inhalte ohne Zutun des Nutzers im Hintergrund heruntergeladen werden, können auch über populäre Internet-Seiten erfolgen.“

yourIT - nützliche Sicherheitstipps vom BSI

Bequeme öffentliche WLANs

„Das Surfen in öffentlichen WLANs spart nicht nur Kosten, sondern ist auch sicher.“ 

Jedenfalls an der Ersparnis ist etwas dran. Doch sollte man auch bedenken, dass die Datenübertragung zwischen dem mobilen Gerät und dem Router, der die Internetverbindung herstellt, meist unverschlüsselt erfolgt.

Deshalb empfiehlt das BSI: „Über öffentliche WLANs sollten nie vertrauliche Daten übertragen werden, es sei denn, sie werden zuvor lokal auf dem eigenen Gerät verschlüsselt oder über ein virtuelles privates Netzwerk (VPN) übertragen. Das gilt vor allem, wenn auf das Heim- oder Firmennetzwerk zugegriffen werden soll.“

Bitte denken Sie dabei daran, die Vorschriften Ihres Unternehmens für externe Zugriffe auf das Firmennetzwerk zu beachten!

Scheinbar uninteressante Daten

„Ich habe nichts zu verbergen und keine wichtigen Daten, also bin ich doch kein Ziel für Cyber-Kriminelle und muss mich deshalb nicht schützen.“

Für Unternehmensdaten gilt das natürlich niemals. Aber vielleicht wenigstens für Ihre privaten Daten?

Das BSI sieht auch das anders: „Diese Ansicht ist grundlegend falsch. Cyber-Kriminelle können alle Daten für ihre Zwecke nutzen. Jeder, der mit einem ungeschützten Gerät im Internet surft, einkauft oder Online-Banking betreibt, hinterlässt eine Vielzahl an Daten, für die sich Cyber-Kriminelle interessieren.

Das sind nicht unbedingt die auf dem Rechner gespeicherten Urlaubsfotos, Korrespondenzen oder andere private Dokumente. Von einem ungeschützten Rechner können Kriminelle dort gespeicherte oder im Internet übertragene Zugangs-, Konto- und Kreditkartendaten leicht stehlen und missbrauchen.“

Wiegen Sie sich also nicht in falscher Sicherheit und achten Sie auch beim privaten Rechner auf einen aktuellen Virenschutz sowie auf regelmäßige Updates aller Programme!

Gelöscht und trotzdem noch vorhanden

„Wenn ich alle Daten von meinem Gerät lösche und anschließend den Papierkorb leere, sind die Daten ein für alle Mal weg.“ 

Sie sind gut mit der EDV vertraut und lächeln über so viel Naivität? Glückwunsch! Aber kennt sich Ihr Kollege genauso gut aus? Man kann über das Thema nicht oft genug sprechen: „Durch das Verschieben von Dateien in den Papierkorb bleiben die Dateien vollständig auf dem Speichermedium erhalten.

Auch nach Leeren des Papierkorbs lassen sich Daten mit wenig Aufwand wiederherstellen, da bei diesem Vorgang lediglich die Verweise auf die Daten im Index, dem Inhaltsverzeichnis der Festplatte, gelöscht werden und der Bereich zum Überschreiben freigegeben wird.“ So der Hinweis des BSI zu diesem Thema.

Ach übrigens: Auch in Scangeräten und Fotokopierern gibt es Datenträger mit großer Kapazität, die alles längerfristig festhalten. Wird das Gerät gestohlen, hat der Dieb Zugriff auf all diese Daten.

Attacke per E-Mail

„Wenn ich eine E-Mail nur anschaue, aber keinen Anhang öffne, kann nichts passieren.“

Klarer Fall: Bevor man einen Anhang öffnet, sollte man immer erst einmal überlegen, ob die Mail vertrauenswürdig ist. Aber für sich allein reicht das nicht als Schutz. Denn, so das BSI: „Viele E-Mails sind farbig, mit verschiedenen Schriften und Grafiken gestaltet.

Dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der Mail ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss.“

Empfehlung daher: „Deshalb sollten Nutzer in ihrem E-Mail-Programm die Anzeige von E-Mail im HTML-Format deaktivieren.“

Sie möchten noch mehr Tipps?

Dann geben Sie in einer Suchmaschine einfach „BSI Sicherheitsirrtümer“ ein! Und registrieren Sie sich jetzt für unser Online-Magazin Datenschutz Now!

Achtung: Locky ist wieder da!

Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail mit einem PDF-Dokument im Anhang erhalten, welches beim Öffnen um die Erlaubnis bittet, ein Zusatzdokument zu öffnen, dann brechen Sie den Vorgang unbedingt sofort ab. Klicken Sie unter keinen Umständen auf „OK“! Schließen Sie die PDF-Datei und informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus.

Locky 2.0 ist wieder da - yourIT informiert Sie jetzt über die Gefahr

Weitere Informationen zu Locky 2.0 jetzt auf unserem Blog simplify-yourIT...

Bitte informieren Sie jetzt auch Ihre Kollegen und Bekannten, bevor diese den Hackern in die Falle gehen.

Smartwatches, die intelligenten Armbanduhren, liegen im Trend und gehörten zu den beliebtesten Weihnachtsgeschenken. Um ihre Datensicherheit ist es jedoch nicht gut bestellt.

Technik-Fans aufgepasst!

Als Geschenke sind Mobilgeräte wie Smartphones und Tablet-Computer sehr gefragt. Auch die sogenannten Wearables wie Smartwatches und Fitness-Tracker. Doch leider wird bei aller Begeisterung vergessen, was die vielen neuen Geräte für unsere Privatsphäre bedeuten können.

Gerade die Wearables, also Geräte, die wir als Nutzer am Körper tragen, sind ständig bei uns. Sie müssen den Nutzer nicht verfolgen, sondern sind mit der Person direkt und eng verbunden. Diese Nähe sollte Anlass genug sein, um über die Funktionen der Smartwatches und anderer Wearables genauer nachzudenken.

So sind die Smartwatches nicht einfach nur Armbanduhren, die anstelle eines Zifferblatts ein hübsches buntes Display haben, das neben der Uhrzeit auch Fotos des Nutzers anzeigen kann.

Smartwatch, Datenschutz, yourIT

Smartwatches können mehr, als die Uhrzeit zu verraten

61 Prozent der Personen, die sich für eine Smartwatch interessieren, wünschen sich etwa das Anzeigen der Daten von Fitness-Apps wie der zurückgelegten Strecke beim Joggen. 39 Prozent würden mit ihrer Smartwatch gern Gesundheitsdaten wie Puls oder Blutdruck messen und bei Bedarf automatisch Verwandte oder den Arzt informieren.

Zudem möchten 23 Prozent die Smartwatch als Navigationsgerät einsetzen und 56 Prozent zum Anzeigen eingegangener SMS oder E-Mails, wie eine Bitkom-Umfrage ergab.

Offensichtlich gelangen so vertrauliche Daten wie E-Mails und SMS und sogar hochsensible Gesundheitsdaten auf die intelligenten Armbanduhren. Trotzdem haben lediglich 30 Prozent der Befragten Angst vor Datenmissbrauch.

Nur jeder Vierte hat die Sorge, dass Hacker die Smartwatch angreifen könnten. Da stellt sich die Frage, wie daten-schutzfreundlich und sicher Smartwatches und andere Wearables wirklich sind.

Prüfungen der Aufsichtsbehörden sind alarmierend

Mehrere Aufsichtsbehörden für den Datenschutz haben sich dieser Frage angenommen und verschiedene Wearables sowie die zugehörigen Fitness-Anwendungen überprüft – mit ernüchterndem Ergebnis.

Bereits die Datenschutzerklärungen erfüllen meistens nicht die gesetzlichen Anforderungen. Sie sind in der Regel viele Seiten lang, nur schwer verständlich und enthalten lediglich pauschale Hinweise zu essenziellen Datenschutzfragen, so die Aufsichtsbehörden.

Beunruhigend sind auch die Aussagen zur Datenweitergabe: Der Nutzer erfährt oftmals weder, an wen genau die Daten weitergegeben werden, noch kann er wider-sprechen. Generell sind die Daten aber auch für Werbezwecke und zur Profilbildung äußerst interessant.

Viele Geräte bieten keine Möglichkeit, Daten selbstständig vollständig zu löschen. Weder im Gerät selbst noch im Nutzerkonto gibt es eine Löschfunktion.

Mitunter werden die Fitness-Daten der Nutzer nicht nur von der Smartwatch auf das Smartphone übertragen, sondern direkt an den Anbieter oder an Partnerunternehmen des Anbieters. In der Regel ist dies mit Risiken verbunden, derer sich die Nutzer bewusst sein sollten, so die Datenschützer.

Sicherheitsfunktionen sind bei Smartwatches eine Seltenheit

Im Vergleich zu Smartphones sind die Smartwatches auch kaum mit Sicherheitsfunktionen ausgestattet, obwohl viele Modelle vergleichbare Betriebssysteme und die Möglichkeit haben, Apps zu installieren.

Einen Schutz vor Schadsoftware, eine Verschlüsselung der gespeicherten Daten, eine Verschlüsselung der Datenübertragung und einen Zugangsschutz zumindest über eine Passwortabfrage sucht man in aller Regel vergebens.

Neben der Privatnutzung der Smartwatches nimmt auch der berufliche Einsatz zu. Es gibt inzwischen bereits ausgesprochene Business-Smartwatches. Firmen-Mails landen dann ebenso auf der Smartwatch wie digitale Dokumente.

Denn der Speicherplatz ist dank Erweiterung über Speicherkarten durchaus üppig. Trotzdem haben selbst die Business-Smartwatches kaum Sicherheitsfunktionen zu bieten. Einige bringen einen Passwortschutz mit. Erst wenige Anbieter haben die Möglichkeit geschaffen, dass Sicherheits-Apps entwickelt und später installiert werden.

Vorsicht ist angebracht

Misstrauen Sie also dem geliebten Weihnachtsgeschenk Smartwatch. Machen Sie es nicht einfach zu Ihrem persönlichen Begleiter und Assistenten, der immer dabei ist und alle Termine und E-Mails kennt. Sonst könnten die vertraulichen Daten schneller die Armbanduhr verlassen, als Sie denken, und Sie hätten womöglich einen Spion am Handgelenk.

Nutzen Sie die vielfältigen Funktionen deshalb nur mit Vorsicht. Achten Sie darauf, dass die Verbindungen zwischen Smartwatch und anderen Geräten keinesfalls ständig aktiv sind.

So unterbinden Sie auch eine mögliche Übermittlung der aktuellen Standortdaten und eine dauerhafte Ortung durch Dritte.

Bürger, die persönlich gefährdet sind, können von Behörden in manchen Registern „Sperrvermerke“ eintragen lassen. Ihre Daten dürfen dann entweder gar nicht weitergegeben werden oder nur unter besonderen Vorsichtsmaßnahmen. Hat das Auswirkungen darauf, wie ein Unternehmen mit Daten solcher Personen umgehen darf?

Schutz gefährdeter Personen durch Behörden

Jeder, der eine Wohnung bezieht, muss sich beim Einwohnermeldeamt anmelden. Seine Daten kommen ins Melderegister. Normalerweise ist das eine völlig unspektakuläre Angelegenheit.
Es gibt allerdings auch Spezialfälle.

yourIT, Sperrvermerk, Datenschutz

So kann es vorkommen, dass ein Polizist persönlich gefährdet ist, weil sich Kriminelle an ihm rächen wollen. Er kann dann beantragen, dass für ihn im Melderegister eine Auskunftssperre eingetragen wird. Die Sperre soll verhindern, dass seine Adresse den falschen Leuten in die Hände fällt.

Auskünfte über die aktuelle Anschrift sind ohne eine solche Sperre relativ leicht zu erhalten. Zwar muss man dabei zumindest den Namen und den Vornamen der gesuchten Person nennen können. Gerade bei seltenen Namen stellt das aber keine große Hürde dar.

Auswirkungen auch auf Unternehmen?

So weit, so gut. Bis dahin ist das eine behördeninterne Angelegenheit, die Unter-nehmen normalerweise nicht weiter interessiert. Das ändert sich freilich sofort, wenn ein solcher Bürger mit Auskunftssperre von einem Unternehmen verlangt, ihn ebenfalls besonders zu schützen. Solche Forderungen häufen sich inzwischen.

Teils extreme Forderungen von Kunden

Manche Kunden gehen sogar so weit, dass sie verlangen, auch im Unternehmen so etwas wie eine interne Auskunftssperre zu bekommen. Sie soll bewirken, dass normale Unternehmensmitarbeiter keinen Zugriff mehr auf die Daten dieses Kunden haben. Ein Zugriff soll nur noch ausgewählten, besonders vertrauenswürdigen Mitarbeitern möglich sein.

Was auf den ersten Blick durchaus nachvollziehbar wirken mag, behindert bei näherem Hinsehen die Arbeitsabläufe  erheblich. Gäbe es einen solchen Anspruch,  müsste die Datenverarbeitung entsprechend angepasst werden. Außerdem wären besondere Mitarbeiter auszuwählen. Also alles keine Kleinigkeiten!

Position der bayerischen Datenschutzaufsicht

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in seinem Tätigkeitsbericht 2015/2016 klar Position bezogen, wie mit solchen Forderungen umzugehen ist. Es hebt Folgendes hervor:

• Unternehmen dürfen Daten ohnehin nur verarbeiten, wenn dies für die Tätigkeit des Unternehmens erforderlich ist.
• Ist diese Voraussetzung gegeben, dürfen alle Mitarbeiter Zugriff auf die Daten erhalten, die sie für ihre Arbeit brauchen. So muss etwa die Buchhaltung auf die Daten aller Kunden zugreifen können, bei denen noch eine Rechnung offen ist.
• Zugriffsbeschränkungen, die darüber hinausgehen, kann kein Kunde verlangen. In den Datenschutzgesetzen, die für Unternehmen gelten, gibt es keine Regelungen über so etwas wie Sperrvermerke oder Auskunftssperren.
• Ist im Register einer Behörde ein Sperrvermerk, eine Auskunftssperre oder et-was dergleichen eingetragen, dann hat dies nur für die Arbeit dieser Behörde Bedeutung. Auswirkungen auf Unternehmen ergeben sich dagegen nicht.

Vorsicht vor Überinterpretationen!

Dies ist eine wichtige Klarstellung. Sie darf allerdings auch nicht überinterpretiert werden. So kann Folgendes vorkommen:

• In einem Einwohnermelderegister ist für einen Bürger eine Auskunftssperre wegen Gefährdung eingetragen.
• Ein Unternehmen möchte vom Einwohnermeldeamt die aktuelle Anschrift dieses Bürgers erfahren. Der Grund: Es ist noch eine Rechnung offen, und der Bürger ist umgezogen, ohne dem Unternehmen seine neue Anschrift zu melden.
• Nach einigen Wochen teilt die Behörde die aktuelle Anschrift schließlich mit. Dabei macht sie allerdings eine besondere Auflage. Sie legt fest, dass die Anschrift nur für den Zweck verwendet werden darf, um den es bei der Anfrage ging. Das ist gewissermaßen der Preis dafür, dass das Unternehmen die Anschrift erhält, obwohl eine Auskunftssperre eingetragen ist.

Erst denken, dann Daten weitergeben!

Folge für die Praxis: Die Adresse darf nur zu dem Zweck verwendet werden, den Kunden wegen der konkreten Rechnung anzusprechen. Unzulässig wäre es dagegen, ihm beispielsweise Werbung an diese Adresse zu schicken.

Und dass jegliche Weitergabe der Anschrift an Stellen außerhalb des Unternehmens verboten ist, versteht sich von selbst.

Das gilt auch, wenn „befreundete Unternehmen“ anfragen, die ebenfalls nach der aktuellen Anschrift suchen.

Viele Online-Shops und Support-Seiten bieten Besuchern über Chat-Fenster Unterstützung bei Fragen an. Meist stecken keine Menschen, sondern Maschinen dahinter. Das hat Folgen für den Datenschutz.

„Mein Name ist Peter, wie kann ich Ihnen helfen?“

Im Internet kann man alles finden – wenn man es denn findet. Viele Online-Shops haben ein so umfangreiches Sortiment, dass man sich als Kunde eigentlich eine Beratung wünscht, wie man sie im Geschäft um die Ecke gewöhnt ist. Nur wartet im Internet niemand, um den Kunden zu unterstützen, so scheint es.

Doch plötzlich geht ein Dialog auf der Webseite auf, und es meldet sich ein Berater, der seine Hilfe anbietet. Meist ist es ein kleines Chat-Fenster, mit einem Foto oder einer Zeichnung, die eine Person zeigt. Die Person stellt sich mit einem Satz vor, und man kann seine Fragen stellen.

Solche Fenster findet man nicht nur in Online-Shops, sondern auch auf vielen Support-Webseiten. Neben der altbekannten FAQ-Liste, die Antworten auf die häufigsten Fragen vorhält, trifft man häufig auf diese Art von virtuellem Supportmitarbeiter, mit einer Meldung in einem Chat-Fenster, in das man seine Fragen und Probleme eintragen kann.

Online-Shops, Chatbots, yourIT, Datenschutz

Support und Beratung vom Automaten

Die Antworten und Tipps aus dem Chat-Fenster sind teilweise so gut, dass man eine echte Person dahinter vermuten könnte, jemanden aus einem Callcenter vielleicht. Oftmals sind es aber keine Menschen, die antworten, sondern Automaten, sogenannte Chat-Roboter oder Chatbots.

Nun könnte es einem ja gleichgültig sein, ob es nun ein Chatbot oder ein Callcenter ist, abgesehen von der Frage nach den wegfallenden Arbeitsplätzen.

Doch es ergeben sich weitere Konsequenzen aus der Entwicklung, dass sich die Betreiber von Webseiten in Zukunft vermehrt für Automaten entscheiden werden. Die Chatbots sollen möglichst intelligent sein.

Denn andernfalls sind die Nutzer unzufrieden, und es sind doch Menschen für Beratung und Support nötig. Deshalb werden Chatbots so entwickelt, dass sie den Besucher so weit wie möglich analysieren, um die Antworten persönlich und passend zu gestalten.

Ebenso werden die Fragen der Besucher gespeichert und ausgewertet, um sich auf die Fragen immer besser vorbereiten zu können – automatisiert, versteht sich.

Vorsicht bei der Eingabe persönlicher Informationen

Betrachtet man die Datenschutzerklärungen verschiedener Anbieter von Chatbots, lässt sich feststellen, dass die Anbieter teilweise die IP-Adressen und andere Daten der Besucher speichern, die Rückschlüsse auf die fragenden Personen zulassen.

Wer dann noch in seinen Fragen persönliche Details verrät, kann ungewollt ermöglichen, dass der Anbieter ein detailliertes Besucherprofil erzeugt. Je nach Anbieter und Betreiber lässt sich dieses Besucherprofil auch anders nutzen als dazu, die automatische Kundenbetreuung zu verbessern.

Bevor Sie also im nächsten Online-Shop oder Support-Forum dem virtuellen Berater Ihre Fragen anvertrauen, schauen Sie sich am besten die Datenschutzerklärung der Webseite und zum Chatbot an.

Datensparsamkeit ist Trumpf 

Denken Sie zudem auch hier an die Datensparsamkeit: Es geht weder um Smalltalk noch um einen persönlichen Kontakt, wenn Sie einen Chatbot nutzen, sondern um eine automatische FAQ-Liste, die mitunter sehr neugierig sein kann.

So hilfreich solche Dienste in Online-Shops und auf anderen Webseiten auch erscheinen – es geht eventuell eher um Ihre Daten, nicht nur um eine virtuelle Kundenberatung.

Kennen Sie die Risiken durch Automaten und Chatbots im Internet?
Testen Sie Ihr Wissen!

Frage: Fragefenster bei Online-Shops und Support-Seiten liefern nur Antworten und speichern nichts. Stimmt das?

• a. Ja, denn FAQ-Listen speichern ja auch nichts.
• b. Nein, meine Fragen und Kommentare können gespeichert werden.
• c. Nein, sogenannte Chatbots speichern mitunter sogar die IP-Adressen der Besucher. 

Lösung: Die Antworten b. und c. sind richtig. Nicht jedes Fragefenster führt zur Speicherung der IP-Adresse und anderer personenbezogener Daten, doch manche Chatbots tun dies.
Die Eingaben dagegen werden sogar häufig gespeichert, um zu erfahren, was die Nutzer am meisten interessiert. Zusammen mit den personenbezogenen Daten können dadurch genaue Nutzerprofile entstehen.

Frage: Steht in der Datenschutzerklärung des Online-Shops nichts dazu, speichert der Chatbot auch nichts. Stimmt das?

• a. Nein, denn viele Datenschutzerklärungen im Internet sind unvollständig. Zudem meinen           viele Webseitenbetreiber, der Anbieter der Chatbot-Software sei dafür zuständig.
• b. Ja, dann werden meine Angaben nicht gespeichert und ausgewertet.

Lösung: Die Antwort a. ist richtig. Genau wie beim Einsatz von Webanalyse-Werkzeugen vergessen viele Webseitenbetreiber, dass sie auf die Datenspeicherung und Datenauswertung hinweisen müssen.

Zudem haben viele Hersteller von Chatbot-Software selbst gar keine Datenschutzerklärung, oder der Besucher des Online-Shops findet sie kaum. Beachten Sie in jedem Fall, dass Sie sparsam mit Ihren Daten umgehen und so wenig wie möglich preisgeben, wenn Sie einen Chatbot nutzen.