SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de

News

Betriebssystem gerät in den Fokus

von: Nicholas Vollmer, (Kommentare: 0)

Microsoft Windows 10 sendet täglich tausende "Diagnose-Daten" an US-amerikanische Server. Die deutschen Aufsichtsbehörden sehen das kritisch. Seit dem 07.11.2019 gibt es ein Prüfschema, um die Rechtmäßigkeit von Windows 10 zu beurteilen. Das Ergebnis ist wohl: Keine Chance. Was tun?

Das Prüfschema befindet sich hier, die weitergehenden technischen Aspekte hier.

In den obigen Dokumenten geht es allein um die "Diagnose-Daten", die Windows 10 an Microsoft versendet ("Telemetrie"). Es geht nicht um die Cloud (z.B. OneDrive) und es geht auch nicht um temporäre Dateien, die ggf. personenbezogen sind und unbemerkt jahrelang gespeichert sind. Es geht auch nicht um die verschiedenen Apps (wie z.B. Cortana) und deren Umgang mit Daten. Auch das Verhalten aller anderen Anwendungssoftware (wie MS-Office und anderer Programme) wird nicht erwähnt.

Nein, es dreht sich (zunächst) alles nur um das Ergebnis der Studie der niederländischen Datenschutz-Aufsichtsbehörde vom Oktober 2017.

Machen wir es kurz: In den technischen Aspekten kommt das Gremium auf Seite 13 zu dem folgenden Ergebnis:

Die Datenschutzaufsichtsbehörden [...] haben diese Problematik untersucht und sind zu dem Ergebnis gekommen, dass eine vollständige Übertragung mit systembasierten Abhilfemaßnahmen allein nicht verhindert werden kann.

Auch Netzwerkbasierte Abhilfemaßnahmen scheinen nur über den Umweg, eine direkte Internetanbindung von Windows 10 Systemen zu unterbinden und den Internetzugang (über Browser oder Fachanwendungen) über eine Virtualisierungs- oder Terminallösung erfolgen zu lassen, noch erfolgversprechend.

Insofern kann man sich das Prüfschema eigentlich sparen und überlegen, wie man für jeden Mitarbeiter sein Windows 10 in einen "Container" packt, der jegliche ungewollte Telemetrie unterbindet.

Oder das Unternehmen sucht sich ein datenschutzfreundlicheres Betriebssystem. Jetzt wäre wohl die Zeit für Linux gekommen (vorausgesetzt, dass dort keine Telemetriedaten gibt).

Wie man es auch immer dreht und wendet: Ein blinder Fleck im Datenschutz wurde nun offiziell adressiert. Der Geist ist aus der Flasche. Das Betriebssystem und die darin installierte Anwendungssoftware ist kein "Neutrum" mehr, sondern stellt in sich selbst möglicherweise eine Verarbeitung personenbezogener Daten dar.

Ein sehr ähnliches Problem kam im November 2018 mit MS Office 365 auf. Seitdem ist nicht ganz klar, ob Schulen in Hessen noch mit Office arbeiten dürfen.

Natürlich sind auch alle anderen Betriebssysteme (wie z.B. iOS und Android) betroffen. Ebenso alle installierten Apps bzw. Anwendungsprogramme (Webbrowser, Bildbearbeitungsprogramme, Buchhaltungsprogramme, Customer-Management-Systeme, WhatsApp, ...).

Sie fragen sich, was Windows 10 so alles an Daten übermittelt? Nutzen Sie den "MS Diagnostic Data Viewer". Das ist recht interessant (in meinem Fall wurde immerhin der Hersteller und die Modellnummer meines PC gesendet). Die entsprechenden Einstellungen in Windows 10 können Sie vornehmen unter "Einstellungen | Datenschutz | Diagnose und Feedback". Hier können Sie immerhin die vollständige Datenübermittlung abschalten; außerdem lassen sich hier mit einem Mausklick alle Diagnosedaten löschen.

Jetzt ist Kreativität gefragt.

[Als Datenschützer frage ich mich: Welche Diagnose-Daten sind denn personenbezogen bzw. personenbeziehbar? Kann Microsoft letztlich sagen WELCHE Person da welche Daten gesendet hatte? Auf diese sehr wichtige Detailfrage gehen die Datenschutz-Aufsichtsbehörden nicht ein. Man bedenke: Die IP-Adresse der Rechner ist für ALLE Beschäftigten im Unternehmen identisch. Die Windows-Lizenz läuft auf den Unternehmens-Namen. Aus dem reinen Rechner-Name lässt sich meist keine Beschäftigten-Name ableiten. Warum also sollten die Diagnose-Daten als personenbezogenen gewertet werden?
Es könnte von entscheidender Bedeutung sein, ob sich die Nutzer von Office 365 mit ihrer persönlichen E-Mail Adresse bei Microsoft anmelden. Hierdurch kann ein Personenbezug entstehen. Daher vermeiden Sie besser die Anmeldung, sofern Sie die Microsoft-Cloud nicht nutzen; alternativ sollten Sie über "anonyme" E-Mail-Adressen nachdenken nach dem Muster "office365_001@securedataservice.de".]

Ach, das wird spannend! Dagegen ist das jüngste EuGH-Urteil zu den einwilligungsbedürftigen Cookies ja ein Kinderspiel. Es gibt keinen abwechslungsreicheren Job als den des externen Datenschutzbeauftragten... ;-)

Apropos Datenschutzbeauftragter: Wenn nicht alle Diagnose-Daten abgeschaltet werden können, dann ist laut der Datenschutz-Konferenz eine Datenschutzfolgenabschätzung gemäß Artikel 35 durchzuführen. Und diese ist gemäß § 38 BDSG nur unter Einbeziehung eines betrieblichen Datenschutzbeauftragten möglich. Sie sind also nicht allein... wir helfen Ihnen gerne.

[Nachtrag am 20.11.2019: Das BSI führt gerade das Projekt SiSyPHuS Win 10 durch, um die Konfigurationsmöglichkeiten herauszufinden.]

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

Und natürlich stehen wir Ihnen gerne als externer Datenschutzbeauftragter zur Verfügung. Rufen Sie uns an!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im November

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im November 2019 an 24 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 504 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2019_november.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Konzept für objekte Bußgeldbemessung

von: Nicholas Vollmer, (Kommentare: 0)

In den eineinhalb Jahren der DS-GVO hat sich herausgestellt, dass die Höhe der Bußgelder in den europäischen Ländern stark abweicht. Die deutschen Aufsichtsbehörden haben nun ein Konzept vorgestellt, mit dem die Bußgeldhöhe systematisch bestimmt werden kann.

Das Dokument stellen wir hier kommentiert zur Verfügung.

Als Basis der Berechnung wird der durchschnittliche Tagesumsatz der Unternehmensgruppe bestimmt. Dieser Wert variiert zwischen 972 € (für eine Kleinst-Unternehmensgruppe bis 700.000 € Jahresumsatz) und 1,25 Mio. € (für eine sehr große Unternehmensgruppe bis 500 Mio. € Jahresumsatz).

Diese Zahl wird mit einem Schweregrad multipliziert. Diese Zahl variiert zwischen 1 (leicht) bis 12 (schwer). In sehr schweren Taten kann der Multiplikator auch höher sein. Derzeit sind die Schweregrade noch nicht spezifiziert, insofern lässt sich daraus derzeit nichts Konkretes herleiten.

Das obige Ergebnis wird mit einem "Umstands"-Faktor multipliziert. Dieser Faktor berücksichtigt alle Umstände der Tat, wie es auch im Artikel 83 (2) bestimmt wird. Derzeit ist der Zahlenbereich noch nicht spezifiziert (kann er auch NULL betragen?) und eine Objektivierung hat auch noch nicht stattgefunden. Die Zukunft wird zeigen, ob der Standardfaktor auf "1" gesetzt wird, falls es keine besonderen entlastenden oder belastenden Umstände gibt; in diesem Fall würde das minimale Bußgeld 972 € betragen.

FAZIT

Die Bemessung eines Bußgeldes ist hinsichtlich der Umsatz-Kriterien sehr transparent.

Aber es gibt zwei Faktoren, die nicht spezifiziert sind.

Insofern lässt sich aus diesem Konzept derzeit nichts Konkretes herleiten.

Im Laufe der nächsten Monate und Jahre wird das Konzept hoffentlich weiter präzisiert.

Wir sind gespannt.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar! Wir aktualisieren diesen Praxisleitfaden jeden Monat... insofern sind Sie immer auf dem aktuellen Stand.

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im Oktober

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im Oktober 2019 an 27 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 502 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2019_oktober.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

BDSG-Änderungen sind auf dem Weg

von: Nicholas Vollmer, (Kommentare: 0)

Das Bundesdatenschutzgesetz entwickelt sich weiter. In einem zweiten Gesetz zur Anpassung des Datenschutzrechts an die DS-GVO wurden am 26.06.2019 weitergehende Änderungen durch den Bundestag formuliert und am 20.09.2019 durch den Bundesrat genehmigt. (Kurzes Fazit am Ende dieses Textes)

Betroffen ist vor allem der § 26 BDSG, der das Beschäftigungsverhältnis regelt. Hier wurden zwei Änderungen sehr kurzfristig eingefügt und mit den über 150 anderen Gesetzesänderungen in einen Topf geworfen:

  1. Einwilligungen der Beschäftigten bedürfen nicht mehr der Schriftform

    Aus unerfindlichen Gründen hatte der deutsche Gesetzgeber im Beschäftigungsverhältnis bisher eine Einwilligung auf Papier gefordert. Das war natürlich extrem unpraktisch. Jetzt nach zwei Jahren wird dies geändert auf die Formulierung "schriftlich oder elektronisch". Es ist unklar, warum die Formulierung noch immer anders lautet als der korrespondierende Artikel 7 (1) DS-GVO.

    So oder so ist diese Neuerung in der Tat eine "Entlastung" für die Verantwortlichen (vielmehr das Rücknehmen einer zusätzlichen Belastung). Man fragt sich nur, warum dies nicht schon im ersten BDSG-Änderungsgesetz vorgenommen wurde.

  2. Benennungspflicht zum Datenschutzbeauftragten erst ab 20 Beschäftigten

    Diese "Entlastungs-Maßnahme" war im Vorfeld stark umstritten. Nein, korrigiere... vielmehr war sich die Fachwelt (inkl. Aufsichtsbehörden) einig, dass diese Änderung kontraproduktiv ist. 
    Die Bundesregierung möchte die "kleinen" Verantwortlichen von der Pflicht entbinden einen Datenschutzbeauftragten benennen zu müssen. Etwas Vergleichbares gab es schon im Jahr 2006, wo die Bestellgrenze von 5 auf 10 beschäftigte Personen erhöht wurde.

    Übrigens sind ähnliche Anläufe kürzlich vom Bundesrat bisher abgelehnt worden. Diesmal war Berlin aber schlauer, und hat diese Änderung schnell noch an ein riesiges Änderungsgesetz geklinkt, welches der Bundesrat beim besten Willen nicht ablehnen kann. Geschickt gemacht!

    Damals wie heute wird das Gleiche passieren:

    a) Die Fachwelt weist dringend darauf hin, dass auch ohne einen Datenschutzbeauftragten alle Datenschutz-Pflichten eingehalten werden müssen. So gesehen erleichtert sich nichts! Der Verantwortliche fühlt sich zwar zunächst besser, weil es keinen Datenschutzbeauftragten mehr gibt, der ihn auf Verstöße hinweist. Diese neue Gefühlslage ändert sich aber leider schlagartig, wenn Beschwerden, Schadenersatzforderungen und Bußgelder erfolgen.
    Das gesparte Geld und die gesparte Zeit wird jetzt mit Zins und Zinseszins fällig. Und das in Zeiten des Null-Zinses. ;-)

    Um es drastisch auszudrücken: Der Gesetzgeber lässt die kleinen Vereine, Handwerker, Vermieter ins Messer laufen.

    Um es bildlich darzustellen:

      wird zu  

    b) Die Medien werden kurz nach der Bekanntmachung der Gesetzesänderung im Bundesgesetzblatt über diese "Entlastungs"-Maßnahme berichten. Auf Websites und in Zeitschriften wird in einer kurzen Welle lautstark auf die längst überfällige "Entbürokratisierung" hingewiesen. Hurra!
    Vermutlich wird - wie schon im Jahr 2006 - keine einzige Presse-Meldung der Vollständigkeit halber darauf hinweisen, dass die vielen grundlegenden Pflichten natürlich unverändert bestehen bleiben. Man will ja kein Wasser in den Wein schütten.

Wir Datenschutzbeauftragte haben jetzt natürlich ein Problem, denn die Verantwortlichen werden sagen:

"Endlich kümmert sich die Politik auch mal um uns Kleinunternehmer. Berlin hat eingesehen, dass der Datenschutz ja eigentlich was für die 'Großen' ist. Facebook, google und so. Wenn's in der Zeitung steht und überall im Internet darüber berichtet wird, dann wird das so stimmen. Endlich können wir den Datenschutz beiseitelegen und uns auf unser Kerngeschäft konzentrieren."

Und damit wird unsere Arbeit um Jahre zurückgeworfen. Dem internen Datenschutzbeauftragten wird die Benennung vermutlich sofort entzogen. Externe Datenschutzbeauftragte werden vermutlich gekündigt werden und noch bis zum Ende ihres Dienstleistungsvertrags (möglicherweise zum 25.05.2020) ihre Arbeit leisten.

All dies entbindet den Verantwortlichen jedoch nicht von den 40 anderen (bußgeldbewehrten) Pflichten:

  • Auskunft geben (gemäß Artikel 13),
  • Datenkopie zur Verfügung stellen (gemäß Artikel 15),
  • Verträge zur Auftragsverarbeitung gestalten (gemäß Artikel 28),
  • Verarbeitungsverzeichnis erstellen (gemäß Artikel 30),
  • Datenschutzverletzungen melden (gemäß Artikel 33),
  • ... 

Oder um es anders auszudrücken: Auch Kunden von kleinen Händlern, Handwerkern und Dienstleistern haben ALLE Persönlichkeits- und Interventionsrechte. Sie sind keine Kunden zweiter Klasse! Sie fallen in keinster Weise unter den Radar der DS-GVO und des BDSG. Der einzige Unterschied ist: Kleine Unternehmen haben keinen Radar mehr; ob das wohl die Luftsicherheit erhöht?

Der Datenschutzbeauftragte ist Ihr "Lotse" im Datenschutzrecht. Er unterstützt Sie bei Beschwerden durch die Betroffenen und bei Untersuchungen der Aufsichtsbehörde.

TLDR; (... too long, didn't read)

Was ist das Fazit dieses Artikels?

In Deutschland muss ein Datenschutzbeauftragter bald erst ab 20 Beschäftigten benannt werden (statt bisher 10).

Das ändert aber NICHTS an den EIGENTLICHEN 40 bußgeldbewehrten Datenschutz-Pflichten.

Es steigt die Gefahr von Beschwerden, Lösch-Verlangen, Abmahnungen, Bußgeldern und sogar Haftstrafen.

Für jedes Unternehmen ist der Datenschutzbeauftragte als "Lotse" im Datenschutz-Dschungel eine wertvolle Hilfe.

Bitte bedenken Sie dies bei Ihrer Entscheidungsfindung. Gerne stehen wir Ihnen beratend zur Verfügung.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.