Neues DSGVO-Umsetzungsgesetz in Spanien – Meldepflicht auch in Ihrem Konzern?

12. Dezember 2018

Am 6. Dezember 2018 wurde ein neues spanisches Datenschutzgesetz veröffentlicht. Das „Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales“ (Gesetz zum Datenschutz und zur Gewährleistung digitaler Rechte) wurde mit 93% parlamentarischer Unterstützung verabschiedet und setzt die Datenschutz-Grundverordnung (DSGVO) in nationales spanisches Recht um.

Das Gesetz enthält eine Reihe von Vorschriften, welche die Datenverarbeitung im Betrieb betreffen. So reicht beispielsweise die Zustimmung einer betroffenen Person nicht aus, um die Verarbeitung besonderer Datenkategorien zu legitimieren, wenn der Hauptzweck z.B. darin besteht, die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit oder genetische Daten einer Person zu ermitteln.

Das Gesetz enthält auch eine Liste von Fällen, in denen Unternehmen einen Datenschutzbeauftragten benennen müssen, z.B. Unternehmen, die Netzwerke betreiben und elektronische Kommunikationsdienste erbringen, Bildungszentren sowie öffentliche und private Universitäten.

Bitte beachten Sie:

Alle Unternehmen haben bis zu 10 Tage nach (obligatorischer oder freiwilliger) Ernennung eines Datenschutzbeauftragten Zeit, um die spanische Datenschutz-Aufsichtsbehörde über die Person des Datenschutzbeauftragten sowie dessen Erreichbarkeit zu informieren. Konzerne mit in Spanien niedergelassenen Unternehmen sollten diese kurzfristige Meldepflicht berücksichtigen.
Für bereits bestehende Ernennungen des Beauftragten dürfte die 10-tägige Frist seit Veröffentlichung des Gesetzes am 6. Dezember laufen.

Eine der größten inhaltlichen Neuerungen ist wohl die Einführung neuer digitaler Rechte wie das Recht auf universellen Zugang zum Internet, das Recht auf digitale Bildung, das Recht auf Privatsphäre und Nutzung digitaler Geräte am Arbeitsplatz, das Recht auf Privatsphäre vor Videoüberwachungsgeräten und Tonaufnahmen am Arbeitsplatz sowie Regelungen zum digitalen Nachlass („derecho al testamento digital“).

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 7): Wo kann ich erfahren, welche Daten über mich vorliegen und verarbeitet werden?

11. Dezember 2018

Gemäß § 17 Abs. 1 KDG hat der Betroffene das Recht, von dem Verantwortlichen eine Auskunft darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Danach ist dieser Anspruch gegenüber dem Verantwortlichen geltend zu machen. § 4 Nr. 9 KDG definiert den Verantwortlichen als den Menschen oder die Dienststelle/Einrichtung, die über die Mittel der Datenverarbeitung entscheidet. Das bedeutet, dass sich der Betroffene immer an die Person oder Stelle wenden muss, bei der die Informationen über ihn vorliegen. Die Auskunftserteilung erfolgt nur auf Verlangen der betroffenen Person. Sie ist in der Regel unentgeltlich. Nur dann, wenn weitere Kopien über die erforderliche Anzahl hinaus erbeten werden, kann hierfür ein angemessenes Entgelt in Rechnung gestellt werden. Folgende Beispiele verdeutlichen dies.

So bekommt jeder, der wissen will, welche Daten seine Kirchengemeinde über ihn zur Verfügung hat, die Auskunft über das betreffende Pfarrbüro.

Der Klient einer Caritasdienstelle wird vor Ort über den Inhalt und den Umfang des Datensatzes über seine Person unterrichtet.

Auch eine Schule muss den Schüler und die Sorgeberechtigten über die gespeicherten Informationen unterrichten.

Ungeeignet ist die Anfrage beim Diözesandatenschutzbeauftragten, da dieser nicht über die verarbeiteten Daten verfügt. Sollte sich eine Einrichtung jedoch weigern, Auskunft zu erteilen, ist er der richtige Ansprechpartner für eine Beschwerde.

Kategorien: Allgemein
Schlagwörter: ,

Lichtbild als biometrisches Datum

Gemäß Art. 9 Abs. 1 DSGVO zählen biometrische Daten zu den besonderen Kategorien personenbezogener Daten und unterliegen einem besonderen Schutz. Für solche Daten gilt ein strenges Verarbeitungsverbot mit Erlaubnisvorbehalt. Das bedeutet, biometrische Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es wird ausnahmsweise ausdrücklich durch das Gesetz erlaubt. Der zentrale Erlaubnistatbestand für Unternehmen ist die Einwilligung des Betroffenen.

Gemäß Art. 4 Nr. 14 DSGVO sind biometrische Daten „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Damit können auch Lichtbilder von Personen zu den biometrischen Daten zählen mit der Folge, dass diese nur bei einer ausdrücklichen gesetzlichen Erlaubnis, insbesondere der Einwilligung des Betroffenen verarbeitet werden dürfen.

Wann genau ein Lichtbild ein biometrisches Datum darstellt, ist nicht immer eindeutig zu beantworten und hängt von einer Abwägung im Einzelfall ab. Nach dem Erwägungsgrund 51 der DSGVO sollte die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Entscheidend sind daher die technischen Mittel und die Analyseverfahren mit denen die Lichtbilder aufgenommen und verarbeitet werden. Zweifelsfrei sind die Lichtbilder im Personalausweis / Reisepass biometrische Daten, da diese für einen automatisierten Abgleich mit der Person geeignet sind.

Werden Lichtbilder für bestimmte Verarbeitungsprozesse eingesetzt, insbesondere wenn diese mit speziellen Verfahren verarbeitet werden, sollte zwingend der Datenschutzbeauftragte einbezogen werden, um zu prüfen, ob es sich in diesem Fall um ein biometrisches Datum handelt und um zu klären, ob der Verarbeitungsvorgang eventuell anzupassen ist. In diesem Zusammenhang sollte auch geprüft werden, ob ggf. eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchzuführen ist. Zudem ist das Verfahren zwingend in das Verarbeitungsverzeichnis gemäß Art. 30 Abs. 1 DSGVO aufzunehmen. Zu empfehlen ist, in diesem zu dokumentieren, auf welcher Grundlage die Einschätzung, ob es sich um ein biometrisches Datum handelt oder nicht, erfolgte. Werden Dienstleister zu der Verarbeitung der Lichtbilder eingesetzt, ist ggf. ein Auftragsverarbeitungsvertrag abzuschließen.

Facebook – 10 Millionen Euro Strafe in Italien

Facebook ist in Italien zu einer Datenschutzstrafe von zehn Millionen Euro verurteilt worden. Die Wettbewerbsbehörde AGCM störte sich an der Weitergabe von Nutzerdaten bei der Anmeldung mit einem Facebook-Account bei anderen Websites und Apps. Facebook wird eine aggressive Geschäftspraxis vorgeworfen, wenn Daten ohne ausdrückliche Zustimmung der Nutzer an andere Plattformen weitergegeben werden. Die vorgesehenen Abwahl-Möglichkeiten für die Funktion seien nicht ausreichend.

Zudem sei es irreführend, wenn vor der Kontoeröffnung darauf hingewiesen wird, dass die Nutzung kostenlos sei. Denn, dass Nutzerdaten für kommerzielle Zwecke gesammelt werden, sei für den Nutzer nicht klar ersichtlich. Daher sei zu befürchten, die Nutzer könnten sich anders entscheiden, wenn sie vorher – also vor der Kontoeröffnung – angemessen auf diese Aspekte hingewiesen worden wären.

Facebook selbst erklärte, man prüfe die Entscheidung und hoffe, die Bedenken der Behörde ausräumen zu können. Denn eine Teilung der Nutzerdaten mit anderen Apps oder Websites ohne eine vorherige Zustimmung würde nicht praktiziert.

Potentiell leichterer Zugriff auf Online-Verkehr innerhalb der EU

10. Dezember 2018

What’s App, Chat, Cloud oder im Rahmen von Mails. Internetnutzer hinterlassen zwangsweise elektronische Spuren. Selbiges gilt auch für Nutzer, die Straftaten im Internet begehen oder aber dahingehende Informationen im Internet hinterlassen.

Derartige Informationen sollen nach dem Willen der Mehrzahl der Länder der Europäischen Union (EU) künftig erheblich leichter abgefragt werden. Zumindest sprachen sich die Justizminister der Mitgliedstaaten am vergangenen Freitag (7.12.2018) mehrheitlich für die Vereinfachung der Abfrage aus. So solle von der künftigen „E-Evidence Verordnung“ insbesondere umfasst sein, dass Ermittler länderübergreifend auf Daten zugreifen können. Voraussetzung sei jedoch die Androhung einer Freiheitsstrafe von mindestens drei Jahren.

Aus rechtlicher (deutscher) Perspektive birgt die Regelung allerdings gefahren. So würden Länder durch die Abkehr vom Prinzip der doppelten Strafbarkeit in eine Situation gebracht, in der Sie eine Verfolgung von Handlungen unterstützen müssten, die in diesem Land straffrei seien. Hierdurch werde beispielsweise eine Herausgabe von Daten an Polen zur Verfolgung von Schwangerschaftsabbrüchen ermöglicht. In Deutschland ist ein Schwangerschaftsabbruch jedoch – unter gewissen Voraussetzungen – straffrei.

Von besonderer Relevanz scheint die künftige Norm für Provider zu werden. So sollen die Anfragen der ausländischen Ermittlungsbehörden wohl unmittelbar gegenüber den Providern gestellt werden sowie bußgeldbewährt sein. Vor diesem Hintergrund empfiehlt sich sowohl aus Compliance-Aspekten als auch unter Berücksichtigung von Haftungsgesichtspunkten eine frühzeitige rechtliche Beratung.

Kategorien: Allgemein
Schlagwörter:

Emotet- Die gefährliche Schadsoftware

7. Dezember 2018

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.

Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.

Mithilfe des sogenannten „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.

Insbesondere der Banking-Trojaner „Trickbot“ wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.

Verbraucherschützer warnen vor smartem Spielzeug

6. Dezember 2018

Smarte Spielzeuge sind solche, die Gesichter und Stimmen erkennen und aufs Wort gehorchen können. Die Verbraucherzentrale Niedersachen rät Eltern diese Art von Spielzeugen einem gründlichen Datenschutz-Check zu unterziehen.

Damit keine unbemerkten Video- oder Audioaufzeichnungen gemacht und übertragen werden, sollte im Vorfeld sichergestellt werden, dass sich das Mikrofon und die Kamera auch deaktivieren lassen. Um weitere Hinweise zu erhalten, kann es hilfreich sein, dazu die Herstellerseite zu besuchen, wo sich oft die passende Bedienungsanleitung finden lässt.

Weiter sollte die Datenschutzerklärung von den Eltern studiert werden, um alle Informationen zu Datenspeicherung und -nutzung zu studieren. Diese kann Aufschluss darüber geben, ob und wo Daten, Nutzungs- oder Spielinformationen gespeichert werden.

Um zu verhindern, dass der Hersteller ungewollt zu viele Informationen sammelt, sollte in der Datenschutzerklärung nachgelesen werden, zu welchem Zweck welche Daten vom Hersteller gesammelt werden.

Handelt es sich um ein vernetztes Spielzeug, sollte auf eine ordentliche Absicherung geachtet werden. Beispielsweise bei einem Bluetooth-Funk als Verbindung zwischen einer Steuerungs-App auf dem Smartphone und dem Spielzeug sollte diese Verbindung per Eingabe einer änderbaren PIN geschützt werden. Häufig ist nur ein simpler PIN eingestellt, der sich nicht ändern lässt. Auch hier ist ein Blick auf die Website des Herstellers ratsam.

Kategorien: Allgemein
Schlagwörter:

Weihnachtskarten in Zeiten der DSGVO

5. Dezember 2018

Da viele Unternehmen seit Inkrafttreten der DSGVO unsicher im Umgang mit Daten sind, stellt sich die Frage, ob auch in diesem Jahr traditionell Weihnachtskarten verschickt werden dürfen, um sich bei Kunden und Geschäftspartnern für die Zusammenarbeit im vergangenen Jahr zu bedanken.

Als Rechtsgrundlage für diese Art der Datenverarbeitung kommen entweder eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder ein berechtigte Interesse des Unternehmens gemäß Art. 6 Abs. 1 lit. f DSGVO in Betracht. Den sichersten Weg stellt regelmäßig die ausdrückliche Einwilligung der Empfänger dar. Jedoch erscheint dies kaum praktikabel, da hierdurch die Geste der kleinen Aufmerksamkeit durch den Verwaltungsaufwand verdrängt werden könnte.

Somit kommt der Auffangtatbestand des berechtigten Interesses zum Tragen, wonach die Datenverarbeitung rechtmäßig ist, wenn sie zur Wahrung von überwiegenden berechtigten Interessen erforderlich ist.
Von einem solchen berechtigten Interesse ist insbesondere dann auszugehen, wenn es sich um Bestandskunden handelt oder um andere Geschäftskontakte, die vernünftigerweise damit rechnen können, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird.
Neben Kunden müssen auch Personen, die ihre Adresse einem Unternehmen, zum Beispiel durch Übergabe ihrer Visitenkarte auf einer Messe, mitgeteilt haben, mit dem Erhalt einer Weihnachtskarte rechnen.

Darüber hinaus muss jeder Adressat über sein Widerspruchsrecht gemäß Art. 21 DSGVO aufgeklärt worden sein, z.B. im Rahmen von Datenschutzhinweisen, und darf der Datenverarbeitung nicht widersprochen haben.

Sofern die Karten bei Dritten unter Verwendung von Kontaktdaten gedruckt werden, sollte darauf geachtet werden, dass auch diese das Datenschutzrecht einhalten.

Frage-Portal Quora gehackt – Daten von 100 Millionen Nutzer kopiert

4. Dezember 2018

Derzeit warnen die Betreiber des Frage-Portals Quora rund 100 Millionen Nutzer per E-Mail, dass unbekannte Angreifer die Website erfolgreich gehackt haben. Dadurch haben sie nun Zugriff auf verschiedene Nutzerdaten. Quora hat den Vorfall am Freitag entdeckt. Die Eindringlinge konnten unter anderem Kontodaten (z. B. Name, E-Mail-Adresse, verschlüsseltes Passwort, aus verknüpften Netzwerken importierte Daten (sofern der Nutzer dies genehmigt hatte), Öffentliche Inhalte und Aktionen (z. B. Fragen, Antworten, Kommentare, positive Bewertungen), Nicht-öffentliche Inhalte und Aktionen (z. B. Fragen, Antwortanfragen, negative Bewertungen, Direktnachrichten) kopieren. Betroffen sind jedoch keine Kreditkartendaten und anonym verfasste Beiträge. Die Passwörter sollen nach Angaben der Website-Betreiber geschützt auf den Servern vorliegen.

Den Auskunftsdienst gibt es seit 2006. Dort kann man Fragen aller Art stellen, die von der Community beantwortet werden.

Quora hat die Strafverfolgungsbehörden in Kenntnis gesetzt und zusätzlich eine führende digitale Forensik- und Sicherheitsfirma eingeschaltet, die sie bei den Ermittlungen und den nächsten Schritten unterstützt.

 

Hacker erbeuten bis zu 500 Millionen Daten

Angriffe von Hackern auf IT-Systeme dienen oftmals der Erlangung personenbezogener Daten. Von besonderem Interesse und Wert sind dabei vor allem auch Kreditkarteninformationen. Nun wurde bekannt, dass der Marriott-Konzern, eine der weltweit größten Hotelketten, Opfer groß angelegter Cyberattacken wurde. Das Unternehmen gab bekannt, dass persönliche Daten von möglicherweise bis zu 500 Millionen Gästen gestohlen wurden. Im Mittelpunkt der Cyberattacken stand dabei die Tochtermarke Starwood, die von Marriott im Jahr 2016 für rund 13,6 Milliarden Dollar gekauft wurde. Zu  Starwood gehören unter anderem die Hotels Westin, St. Regis, Le Méridien und W Hotels. Nun wurde bekannt, dass die von den Starwood Hotels eingesetzte Datenbank zum Management von Gästereservierungen seit 2014 regelmäßig von Hackerangriffen betroffen war. Bei diesen Attacken wurden unter anderem Namen, Geburtsdaten, Passinformationen, E-Mail – Adressen und die Aufenthaltszeiträume von Hotelgästen entwendet. Darüber hinaus konnten die Hacker wohl auch von einigen Hotelgästen die in der Datenbank hinterlegten Kreditkarteninformationen, samt den zur Entschlüsselung notwendigen Daten, erlangen. Nachdem die Angriffe dem Marriott-Konzern intern bekannt wurden, wurden die zuständigen Ermittlungsbehörden eingeschaltet. Weiterhin kündigte Marriott an, dass die von der Cyberattacke betroffenen Hotelgäste zeitnah per Mail hierüber informiert werden würden und das die IT-Systeme der Tochtermarke Starwood ausgemustert werden sollen. Das Bekanntwerden dieser Datenpanne führte dazu, dass der Kurs der Marriott-Aktie kurzfristig um bis zu 6 Prozent nachgab.

1 2 3 4 5 6 179