SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de

News

PrivazyPlan® im Mai 2018

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im Mai 2018 an 56 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 416 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2018_mai.htm

In 2 Wochen wird die EU-Datenschutz-Grundverordnung wirksam! Der 25. Mai 2018 rückt näher

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

7-zip benötigt dringendes Update

von: Nicholas Vollmer, (Kommentare: 0)

Der heise-Verlag weist auf die Notwendigkeit des Updates von 7-zip hin

Dies ist ein sehr beliebtes Zip-Programm, mit dem man unter anderem Dateien verschlüsseln kann, bevor man sie per E-Mail versendet.

Die Version 18.5 bekommen Sie hier auf der offiziellen Seite.

(Wenn wir als Datenschutzbeauftragter extern bestellt werden, dann sind Sie auf der sicheren Seite. Wir schreiben DATENSCHUTZ groß. Als Dienstleister stehen wir an Ihrer Seite und sorgen für rechtliche, technische und organisatorische Sicherheit. Wir sind auch in der Lage die datenschutzrelevanten Aspekte WIRKLICH zu beurteilen. Nutzen Sie unseren PrivazyPlan®, um alle Pflichten der DS-GVO zu verstehen und dauerhaft erfüllen zu können.)

Das Ende von Tracking-Cookies auf Websites?

von: Nicholas Vollmer, (Kommentare: 0)

(Wir beziehen uns hier auf ein Positionspapier der Deutschen Datenschutzkonferenz vom 26.04.2018.)

In unserem Praxisleitfaden PrivazyPlan® weisen wir von Anfang an auf eine wichtige Streitfrage hin: Wird insbesondere der § 15 Abs. 3 TMG auch nach dem 25.05.2018 noch anwendbar sein? Im Kern geht es um diese Regelung

§ 15 Abs. 3 TMG: Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. [...]

Diese Frage können eigentlich nur die deutschen Datenschutz-Aufsichtsbehörden verbindlich klären. Bis zum April 2018 hat sich die Fachliteratur äußerst widersprüchlich geäußert. Es ist seit Langem klar, dass die TMG-Regelung gegen EU-Recht verstoßen könnte.

Jetzt endlich am 26.04.2018 haben die deutschen Datenschutz-Aufsichtsbehörden im Rahmen der "Datenschutzkonferenz" zu einem Konsens gefunden (4 Wochen vor Wirksamwerden der DS-GVO und an einem Freitag vor einem langen Mai-Wochenende). Am darauf folgenden Montag dem 30.04.2018 hat darüber nur die NRW-Aufsichtsbehörde informiert. Interessanterweise hat die Berliner Aufsichtsbehörde dieses Positionspapier für so nebensächlich gehalten, dass sie nicht darüber berichten wollte.

DAS ERGEBNIS: Die Datenschutzbestimmungen des Telemediengesetzes sind ab dem 25.05.2018 nicht mehr anwendbar. Es gilt allein die EU Datenschutz-Grundverordnung.

Hinsichtlich der Cookies einer Website gibt es also nun drei Möglichkeiten:

  1. Einwilligung
    Ein Cookie darf gesetzt werden, wenn die betroffene Person gemäß Artikel 6 (1a) explizit einwilligt. Die betroffene Person kann die Einwilligung aber gemäß Artikel 7 (3) jederzeit widerrufen. Es ist wohl nicht ausreichend, wenn der Verantwortliche ein Cookie-Banner anzeigt, welches über das Cookie informiert und ein "opt-out" anbietet. Vielmehr muss die betroffene Person vorab eine eindeutig bestätigende Handlung zeigen (siehe Erwägungsgrund 32). Die jeweilige Einwilligung muss gemäß Artikel 7 (1) konkret nachweisbar sein. Der 31-seitige Guideline zu Einwilligungen der Artikel-29-Datenschutzgruppe sollte beachtet werden (dort werden in englischer Sprache sehr weitgehende Forderungen gestellt).

    Das obige Positionspapier sieht (dort unter der Nummer 9) die Einwilligung ganz explizit als den einzigen Erlaubnistatbestand an, wenn es um den "Einsatz von Tracking-Mechanismen und Nutzerprofilen" geht!

  2. Erforderlich für den Vertrag mit der betroffenen Person
    Ein Cookie darf gesetzt werden, wenn es der Vertrag gemäß Artikel 6 (1b) mit der betroffenen Person erfordert. Aus einem Vertrag muss sich also die direkte Erforderlichkeit direkt ergeben. Das ist wohl nicht immer ganz leicht herzuleiten. Vermutlich wird es nicht ausreichen, wenn man in der Website-Nutzung einen Vertrag sieht und die Vertragsbedingungen in den AGBs entsprechend formuliert.

    Das obige Positionspapier weist (dort unter der Nummer 8) darauf hin, dass die Erforderlichkeit zur Vertragserfüllung eine ausreichende Rechtsgrundlage darstellt. Im Falle eines Webshops können Cookies sehr wohl zur Vertragserfüllung genutzt werden (z.B. im Rahmen des elektronischen Warenkorbs).

  3. Erforderlich für berechtigte Interessen des Verantwortlichen
    Ein Cookie darf gesetzt werden, wenn der Verantwortliche gemäß Artikel 6 (1f) dafür ein berechtigtes Interesse hat. Jede betroffene Person kann gemäß Artikel 21 widersprechen (und muss dafür aber auch konkrete Gründe angeben, die auf eine "besondere Situation" schließen lassen).

    Das obige Positionspapier weist (dort unter der Nummer 8) darauf hin, dass vorab eine Interessenabwägung durchzuführen ist (um zu prüfen, ob die betroffenen Personen kein überwiegendes Gegeninteresse haben). Dies ist nicht ganz so einfach, weil es kein standardisiertes Verfahren zum Durchführen einer Interessenabwägung gibt. 

Ist dieses Positionspapier der "Todesstoß" für Tracking-Mechanismen und Nutzerprofilen? Ja, diesen Anschein macht es derzeit. Eine aktive und wirksame Einwilligung in jedem Einzelfall wird man wohl kaum einholen können (bzw. wollen).

Diese Entwicklung überrascht uns - letztlich - nicht wirklich, denn:

  • Von Anfang an haben wir in unserem Praxisleitfaden PrivazyPlan® darauf hingewiesen, dass die Frage nach der Anwendbarkeit des Telemediengesetzes (TMG) unklar war. Dies war eines der vielen "roten Bömbchen", die wir gesehen haben. Damit sehen wir uns heute bestätigt.

  • Die deutschen Aufsichtsbehörden haben schon immer bemängelt, dass die ePrivacy-Richtlinie von 2009 nicht EU-konform umgesetzt wurde.

  • Die offiziellen Stellen (wie Aufsichtsbehörden oder Artikel-29-Datenschutzgruppe) nutzten schon immer jede einzelne Chance, um Maximalforderungen zu stellen. Die Workingpaper "WP 259" und "WP 260" sind weitere gute Beispiele dafür (70 Seiten auf Englisch mit Maximalforderungen... und das 6 Wochen vor Ende der zweijährigen DS-GVO-Übergangsfrist). Das liegt vermutlich in der Natur der Sache, denn es liegt nicht im Auftrag der Aufsichtsbehörden das Schutzniveau zu verringern. So etwas können nur Gesetzgeber und Gerichte.

Jetzt wird es also kurz vor dem Wirksamwerden der DS-GVO nochmal richtig spannend... wir halten Sie auch im Rahmen unseres Praxisleitfadens PrivazyPlan® weiter auf dem Laufenden.

Was bleibt also bis zum 25.05.2018 zu tun? Alle Cookies abschalten und somit elementare Dienste (inkl. Tracking) deaktivieren? Eine Vorschaltseite gestalten, die eine wirksame Einwilligung einholt und dauerhaft personenbezogen dokumentiert? Alles ignorieren und dutzende von Abmahnung bezahlen? Wir wissen es nicht...

... die Sachlage ist noch ganz frisch. Lassen Sie uns eine Woche abwarten und sehen, was passiert.

... Leider ist bis zum 08.05.2018 fast nichts passiert. Still ruht der See. Am 08.05.2018 hat die GDD per E-Mail eine Stellungnahme veröffentlicht, die dem DSK-Kurzpapier-18 widerspricht und die berechtigten Interessen als relevant ansieht. Als Quelle wird dieser Kommentar ab Randnummer 138 genannt.

 

(Wenn wir als Datenschutzbeauftragter extern bestellt werden, dann sind Sie auf der sicheren Seite. Wir schreiben DATENSCHUTZ groß. Als Dienstleister stehen wir an Ihrer Seite und sorgen für rechtliche, technische und organisatorische Sicherheit. Wir sind auch in der Lage die datenschutzrelevanten Aspekte WIRKLICH zu beurteilen. Nutzen Sie unseren PrivazyPlan®, um alle Pflichten der DS-GVO zu verstehen und dauerhaft erfüllen zu können.)

E-Mails so unsicher wie Postkarten? (22.04.2018)

von: Nicholas Vollmer, (Kommentare: 0)

Immer wieder hört man die Aussage: "E-Mails sind so unsicher wie Postkarten".

Das ist natürlich gröbster Unsinn.

Doch genau mit dieser Aussage wird die ehemalige Bundeswirtschaftsministerin Brigitte Zypries in der Fachzeitschrift DuD 05/2018 auf Seite 332 zitiert: "Informationen in einer unverschlüsselten E-Mail sind etwa genauso schlecht geschützt, als würde man sie auf einer Postkarte versenden".

Im Folgenden wollen wir uns kurz auf den Kern der Botschaft konzentrieren (und lassen beiseite, dass die elektronischen Daten im Internet einen unvorhersagbaren Weg nehmen und die einzelnen Datenpakete ggf. über völlig verschiedenen Server laufen).

Fakt ist: Im August 2014 hat die Bayerische Aufsichtsbehörde die TLS-Transportverschlüsselung als "Stand der Technik" definiert und dadurch bewirkt, dass 99% der gewerblichen E-Mail Server verschlüsselt arbeiten können. Auf den allermeisten E-Mail Servern bedarf es dafür einen einzigen Mausklick. Der Vergleich mit Postkarten ist also definitiv vollends veraltet.

Fakt ist aber auch, dass die von Brigitte Zypris in Auftrag gegebene Verschlüsselungs-Studie vom Februar 2018 im Kapitel 2.4.2 nicht auf TLS eingeht. Das ist ein unverzeihlicher Fehler. Welche Gründe könnte das haben?

  • Sind die Experten der Studie inkompetent? Ausgeschlossen.
  • Liegt es daran, dass nur die "Kurzversion" dieses wichtige Detail ausblendet, und die Vollversion differenzierter auf diesen Umstand eingeht. Unwahrscheinlich.

  • Wurde der Schwerpunkt der Studie ganz bewusst so gesetzt, dass nur die Ende-zu-Ende Verschlüsselung erwähnt wird? Liegt das Ziel darin, dass man einen politischen "Knaller" landen möchte, damit man überhaupt in Fachzeitschriften erscheint? Ziemlich wahrscheinlich.

Unser Fazit ist: Wieder einmal mehr werden auch simple technische Zusammenhänge verkürzt dargestellt und verschleiert. Wie soll man da noch Vertrauen haben?

(Wenn wir als Datenschutzbeauftragter extern bestellt werden, dann sind Sie auf der sicheren Seite. Wir schreiben DATENSCHUTZ groß. Als Dienstleister stehen wir an Ihrer Seite und sorgen für rechtliche, technische und organisatorische Sicherheit. Wir sind auch in der Lage die datenschutzrelevanten Aspekte WIRKLICH zu beurteilen.)

Java-Runtime Update (19.04.2018)

von: Nicholas Vollmer, (Kommentare: 0)

Heute liefert Oracle ein Update des Java-Clients auf 8.171. Eine Installation dieses Updates ist - wie immer - dringend angeraten. Auch die Java-Bibliothek ist immer wieder ein Einfallstor für Schadsoftware.

Siehe https://www.java.com/de/download/manual.jsp

Ein "normaler" Computernutzer benötigt Java überhaupt nicht. Aber schon wenn man die elektronische Steuererklärung mit ELSTER erstellt, so ist Java notwendig. Auch für den Fall, dass Sie qualifizierte elektronische Signatur mit Ihrem elektronischen Personalausweis nutzen wollen, so ist die Java-Runtime unter Umständen erforderlich.

(Wenn wir als Datenschutzbeauftragter extern bestellt werden, dann sind Sie auf der sicheren Seite. Wir schreiben DATENSCHUTZ groß. Als Dienstleister stehen wir an Ihrer Seite und sorgen für rechtliche, technische und organisatorische Sicherheit.)