Transcription
WIRTSCHAFT & MANAGEMENTDer Schutz der Daten – DSGVO im Überblickund in der Praxis (Teil 2)von Peter KlateckiDatenschutz nach der DSGVO betrifft alleBürger der EU; ausnahmslos. Als Betroffener, dessen Daten geschützt werden, undnatürlich als Unternehmer oder Mitarbeitervon Betrieben, die diese Verordnung erfüllenmüssen. Was ist wirklich wichtig, was brauchtman für die tägliche Arbeit?In Teil 1 (PW 8/2018) ging es um dieGrundlagen, folgend aus den Regelungender DSGVO. Hier folgt die Bedeutung fürdie Praxis, grundlegende Maßnahmen undUmsetzungsvorschläge. Anmerkung: Eineabschließende und rechtssichere Darstellung ist leider nicht möglich, da letztinstanzliche Urteile erst viel später zu erwarten sind.Technische und organisatorische Maßnahmen (TOM)Es gibt zwei Grundforderungen im aktuellen Datenschutzrecht:„Privacy by Design“, also Schutz durchTechnikgestaltung. Dahinter steht derGedanke, dass Datenschutz am besten zugewährleisten ist, wenn das im Verarbeitungsvorgang technisch berücksichtigtund integriert ist.„Privacy by Default“, Schutz durchdatenschutzfreundliche Voreinstellungen.Danach sind Grundeinstellungen ebenschutzfreundlich vorzusehen. Hiermit sollen insbesondere jene Nutzer geschütztwerde, welche sich weniger mit der Technik auskennen und befassen und dadurcheventuell Einstellungen wählen, die nichtihren Wünschen entsprechen.Beide Forderungen zielen aber auch aufgrundsätzliche Konzepte wie die Nutzerauthentifizierung, Pseudonymisierung, Anonymisierung, Verschlüsselung und Weiteres.Beispiel: DNSAls einfaches Beispiel für „Privacy byDefault“ ist die Voreinstellung des DNS-Servers im (firmen-)eigenen Router zu nennen.92DNS: Das Internet funktioniert mithilfevon Adressen im TCP/IP-Protokoll. Diesewerden durch Nummern gebildet. JederAnbieter (Server) im Internet muss übereine eindeutige IP-Adresse erreichbar sein.Menschen merken sich (Domain-)Namenallerdings viel leichter. Die Webseite desVerlages ist im Internet über die V4-IP136.243.165.142 zu erreichen. Die Anfrage ineinem Browser nach „www.vulkan-verlag.de“ wird vom angesprochenen DNS-Serverin diese Nummer übersetzt. Dann kann dieSeite aufgerufen und dargestellt werden.Nun kann das Nutzerverhalten an demjeweils zuständigen DNS-Server protokolliert und ausgewertet werden, was auchausführlich geschieht.IBM, die Global Cypher Alliance undAndere betreiben seit einiger Zeit eigeneDNS-Server unter dem Namen Quad9, dieausdrücklich keinerlei Daten sammeln undauch Phishingseiten oder Seiten mit Malware (Schadsoftware) blockieren sollen. DerBetrieb finanziert sich durch Spenden unddurch Beiträge der öffentlichen Hand.In jedem Router (und auch in jedemEndgerät) kann der DNS-Server manuellvoreingestellt werden. Die Adresse derQuad9 Server lautet: 9.9.9.9 (IP V4) bzw.2620:fe::fe (IP V6). Ein weiterer Anbieter vongeschützten DNS Diensten ist Cloudflare.Die versprechen ebenso „Privacy First“.Die Adressen der Cloudflare Server lauten:1.1.1.1 (IP V4) und 2606:4700:4700::1111 (IPV6). Die gewählten Adressen erinnern vermutlich nicht zufällig an den Server vonGoogle (8.8.8.8).Wer all diesen Servern nicht vertraut,kann es mit den Servern von OpenDNSversuchen. Bei den Hauptadressen (IP-V4208.67.222.222 und 208.67.220.220) wirdSchutz gegen Phishing versprochen. Familienschutz gibt es über 208.67.222.123 und208.67.220.123. Dort werden dann zusätz-lich die s.g. „Erwachsenenseiten“ blockiert.OpenDNS gehört inzwischen allerdingszum US-Unternehmen Cisco.Beispiel: StravaEin Beispiel, wie unvorteilhafte Voreinstellungen ernsthafte Konsequenzen habenkönnen, zeigt das Beispiel des Social-Network Strava. Strava sammelt die GPS-Datenvon Fitnesstrackern. Benutzer können überdiese Geräte ihre Lieblingsrouten für dastägliche Jogging oder ihre Fahrradausflügean das Network melden und damit denanderen Benutzern bekannt machen. Strava erzeugt daraus eine Weltkarte mit deneingezeichneten Strecken. Auf dunklemHintergrund werden die Wege als „helle“Linien dargestellt. Je heller die Linie, destomehr Personen nutzen diese Strecke.Nun nutzen auch Soldaten solche Tracker bei ihrem täglichen Training, teilweisehaben sie diese vom Dienstherrn erhalten,um die Fitness der Truppe zu fördern. Befindet man sich im Auslandseinsatz ist die Wahlder Strecke eingeschränkt, unter Umständensogar gefährlich. Auf Strava waren plötzlichLaufstrecken zu sehen, welche eindeutigauf militärische Anlagen in Krisengebietenschließen ließen. Angezeigt wurden Routenin der Einöde von Afghanistan und anderenKonfliktgebieten. Die Soldaten liefen ebenum ihr Lager herum, immer am Zaun lang.Es waren auch Rückschlüsse auf die Art derEinrichtung möglich, indem etwa abgelaufene Start- und Landebahnen zu erkennenwaren. Eine namhafte Anzahl von Geheimbasen des Militärs wurde so offengelegt.Strava, der Dienst selbst, verweist darauf, dass man die Einstellung ja auf „Privat“ändern könne. Diese Strecken würden dannnicht veröffentlicht. Mit dieser Einstellungist die Nutzung des Netzwerks jedochnahezu ohne Sinn, die Protokollierungkönnte dann auch unterbleiben.PROZESSWÄRME 01 2019
WIRTSCHAFT & MANAGEMENTSicherheit der VerarbeitungDie genutzte Technik muss nach demaktuellen Datenschutzrecht risikoadäquat,unter Beachtung des „Stands der Technik“sein, so die Forderung. Ist bei einem freienAutor noch ein Router seines Providers alsausreichender Schutz anzusehen, gilt das mitSicherheit nicht für das Gesundheitswesen.Hier ist als Grenze/Zugang zum Internet einedeutlich komplexere Router/Firewall-Kombination erforderlich. E-Mail-Verschlüsselungund die Nutzung von VPN-Zugängen beimZugriff auf Unternehmensinformationensind Standard. Die Unternehmens-IT mussdie Vertraulichkeit (beschränkter Zugriff), dieIntegrität und die Verfügbarkeit (Backup) vonDaten sicherstellen.Mobile GeräteNotebooks, Tablets, Smartphones, USB-Sticksund Rechner in betriebsfremder Umgebungunterliegen einer höheren Gefährdung bzgl.Diebstahl und Ausspähung. Die Benutzungdarf nur nach Passwort / Pin / Biometriemöglich sein. Die Geräte sollten nur für denEinsatzfall notwendige Daten enthalten undVerschlüsselung (Bitlocker/Veracrypt) nutzen.Auch sollte nur für den Einsatzfall notwendige Software installiert sein.Die Rechner sind beim Verlassen immerzu sperren und bei Nichtbenutzung sicherzu verwahren (vor fremdem Zugriff wegschließen). Unmittelbare Sperrung desRechners, ohne die Programme zu beenden,erreicht man durch die TastenkombinationWIN L (Windows). Nach erneutem Loginist ein Weiterarbeiten direkt möglich. UnterMac OS kann man Ähnliches erreichen,indem man unter „Einstellungen“ die Eingabe eines Passwortes nach Bildschirmschoneroder Bildschirmabschaltung verlangt. DerBildschirm kann mit der TastenkombinationShift Ctrl Eject abgeschaltet werden.Die Umsetzung obiger Maßnahmen schütztnicht nur persönliche Daten, sondern auchgespeicherte Firmengeheimnisse.Datenschutzverletzungenund VerstößeTypische SchwachstellenAn erster Stelle sind hier die Mitarbeiter zunennen. Diese müssen regelmäßig unter-www.prozesswaerme.netwiesen und auf entsprechende Verhaltensregeln eingeschworen werden. Die Mitarbeiter sind auf die dargestellten Aspekteim Folgenden zu sensibilisieren.Eine große Schwachstelle ist die Entsorgung von Dokumenten mit personenbezogenen Daten, ohne diese zu schreddern.Für Hacker und Detektive ist der Papierabfallimmer ein erfolgversprechender Angriffsvektor und erste Wahl für den Einstieg indas sogenannte Social-Engineering. Essind viele Informationen zu finden, welchedas Bild von Personen ergänzen können(Abonnements, Bankverbindungen, Kundenbeziehungen, politische Meinung usw.).Eine weitere Gefährdung stellen dieheutigen mobilen Speichermedien dar(USB-Sticks, Speicherkarten und sonstigeDatenträger), und dies gleich in mehrfacher Hinsicht. Diese Datenträger werdenleicht verloren oder gestohlen und damitist keine Kontrolle mehr über die gespeicherten Daten möglich, es sei denn effektive Verschlüsselung verhindert den Zugriff.Ein beliebter Angriffsvektor, um Schadsoftware in Unternehmen einzuschleusen,ist nach wie vor einen speziell präpariertenUSB-Stick im Unternehmensbereich zu „verlieren“. Angefangen mit dem Parkplatz bishin zum Waschraum der Geschäftsleitung.Irgendjemand wird diesen finden und amFirmen-PC neugierig prüfen, was wohl darauf zu finden ist. Oder Betriebsfremde habendie Möglichkeit, Sticks direkt an Rechnernzu platzieren (etwa bei Wartung oder Reinigung). Je nach Berechtigungsstufe könnendie Schäden durch dann automatisch ausgeführte Software erheblich sein. Auf diese Artwurden 2010 Uranzentrifugen im Iran zerstört(StuxNet), das interne Netzwerk der Anlagewar nicht mit der Außenwelt verbunden.Auf der anderen Seite können durchmobile Datenträger unbemerkt großeDatenmengen aus dem Unternehmengebracht werden.Viele Daten werden versehentlich offengelegt, indem z. B. beim E-Mail-Versandeine falsche Adresse angegeben wird, ohnees zu bemerken, oder leichtfertig „an alle“geantwortet wird.Von Seiten der Infrastruktur ist ein zukompliziertes, vielleicht auch historischgewachsenes Rechtesystem in Servern zunennen. Damit können Mitarbeiter unbeabsichtigt Zugriff auf Daten erlangen, fürdie sie keine Berechtigung besitzen sollten.Natürlich muss die Datensicherunggewährleistet sein und eine Erfolgskontrolle die Wiederherstellung im Fehlerfallsicherstellen. Es gilt: keine Datensicherung,kein Mitleid!BYOD (Bring Your Own Device)Hierunter sind nicht nur die privaten Geräte der Mitarbeiter zu fassen, sondern auchGeräte von Geschäftspartnern, Kunden undLieferanten etc. Diese Geräte entziehen sichder Kontrolle durch die IT-Abteilung. Möchte man diesem Personenkreis Zugang zumInternet über die firmeneigene Infrastruktur ermöglichen, so sind diese Geräte mitspezieller Firewall vom Produktionsnetzzu trennen. Für die WLAN-Struktur gilt dasGleiche. Hier wird dann nur identifiziertenGeräten und Benutzern Zugriff gestattet.Fehler beim DatenschutzEindeutige Fehler liegen in folgenden Fällen vor:Es ist ein unkontrollierter Zugang zuBetriebsräumen, und damit zu Rechnern amFirmennetz, möglich. In diesen Büros liegenvielleicht noch vertrauliche Unterlagen offenauf dem Tisch. Schwache Passwörter undderen „Speicherung“ auf Zetteln unter derTastatur leisten ein Übriges. Schlecht gewartete Hard- und Software erlaubt ungewollten Zugriff auf Informationen.Am Telefon oder im Gespräch werdennicht nur unbedingt nötige Informationen weitergegeben. Für einen Anrufer istes nicht von Belang, aus welchem Grundjemand nicht zu erreichen ist. Diskussionenoder Informationsaustausch auf dem Flursollten sich nicht um Interna und schon garnicht um personenbezogene Daten drehen.Es befinden sich unnötige Daten aufArbeitsrechnern. Diese Daten sind, nachdem kein Zugriff mehr nötig ist, in der firmeninternen Serverstruktur zu archivierenund vom Arbeitsrechner zu löschen.AngriffsszenarienEntgegen der allgemeinen Ansicht findentypische Angriffe auf Daten im Unternehmen nicht durch technisches Hacking,93
WIRTSCHAFT & MANAGEMENTZiele von Cyberangriffennicht öffentlich wurden. DieSchwachstelle des Zielsystems ist in der ÖffentlichkeitEinzelpersonunbekannt und demzufolge28,60%Gesundheit/Sozialesgibt es dagegen in der Regel40,00%Finanzen/Versicherungenkeinerlei Verteidigung oderIndustrieSoftwareupdates, welche die7,00%Öffentliche VerwaltungLücke schließen könnten.Sonstige7,00%Die israelische Firma Celleb7,80% 9,80%rite bietet Software an, mit derBild 1: Ziele von Cyberangriffenangeblich jedes Smartphone(Quelle: hackmageddon.com)geknackt werden kann, auchdie neuesten Apple Modelle.die Ausnutzung von Softwarefehlern und Dies bedeutet Kenntnis über SicherheitsSchwachstellen über die Netzwerkverbin- lücken, die dem Hersteller selbst nichtdung, also über das Kabel, statt. In mehr als bekannt sind, sonst könnten diese durch ein90 % aller Fälle geschieht dies über das s. g. Update geschlossen werden. Nach eigenenSocial-Engineering (später Social Hacking), Angaben machen sie vor einem Verkaufüber Datenklau mithilfe von Datenträgern der Software so eine Art „Ethikprüfung“.oder durch persönlichen Einsatz. Social- Eine Abgabe an zweifelhafte Kunden sollEngineering verfolgt den Ansatz durch so unterbunden werden. Behörden könspezifische, sehr persönliche Ansprache nen gegen Bezahlung auch einzelne Geräteden Nutzer zu bestimmten Handlungen zu entsperren lassen. Nach eigenen Angabenüberreden. Je spezifischer die Informationen hat Cellebrite ca. 15.000 Kunden aus demüber eine Person sind, desto einfacher kann Bereich Strafverfolgung und Militär.dieses Ziel in der Regel erreicht werden.Die Ziele aller sonstigen Angriffe liegenNur der Rest ( 10 %) erfolgt über das hauptsächlich im gewinnen (stehlen) vonEinschleusen von Trojanern, Viren oder Daten oder in der Beschädigung der RepuErpressungssoftware (s. g. RansomWare) tation des Unternehmens. DDoS Attackendurch Massenmails. Gegen die meisten die- (Distributed Denial of Service) machen Webser Angriffe hilft die Sensibilisierung und zugänge/Webseiten durch Überlastung zeitSchulung von Mitarbeitern ungemein, da weise unbenutzbar und schaden so. Manalle aktuellen E-Mail-Programme ange- denke nur an Online Casinos. In allen Fällenhängte Software oder Skripte nicht mehr sind die Angriffe finanziell motiviert. Bildautomatisch ausführen. Der Angreifer ist 1 zeigt den prozentualen Anteil verschiehier immer auf die Mithilfe des Benutzers dener Angriffsziele. Nach den Einzelpersoangewiesen, um diese Routinen zur Aus- nen (40 %), führt der Bereich Gesundheit/führung zu bringen oder eine bestimm- Soziales (9,6 %), gefolgt von Finanzen/Verte Webseite zu besuchen und Code von sicherungen (7,8 %) und der Industrie (7,0 %)dort zu starten. Durch die unspezifische sowie der öffentlichen Verwaltung/VerteidiAnsprache des Nutzers sind diese Versuche gung/Sozialsysteme (auch 7,0 %).normalerweise leicht zu identifizieren.Mitarbeiterschulung und SensibilisieDie nächste Stufe sind automatisierte rung ist Aufgabe der Firmen-Orga. Es istAngriffe, welche auf bestimmte Hardware- Aufgabe der IT-Infrastruktur, technisch einoder Softwarefehler zielen, um Zugriff auf möglichst hohes, dem Bedarf angepasstesdie Datenbestände zu erlangen. Dies ist Schutzniveau zu bieten. Aus den Fordedas erwartete technische Hacking. Es ist rungen der DSGVO kann man durchausunstrittig, dass in Schubladen von Behör- die Pflicht zur Bereitstellung ausreichenderden oder auch kommerziell agierenden Finanzmittel ableiten.Unternehmen s. g. Zero-Day-Exploits liegen und auf ihren Einsatz warten. Diese Was tun, wenn man Verstößewerden mit „Zero-Day“ bezeichnet, da sie bemerkt?noch nicht im Einsatz waren und so auch Nach Artikel 33 DSGVO sind Verstöße gegen94den Datenschutz innerhalb von 72 h derzuständigen Aufsichtsbehörde bekannt zumachen. Diese Pflicht entfällt, wenn der Verstoß „voraussichtlich nicht zu einem Risikofür die Rechte und Freiheiten natürlicher Personen führt“. Ein Beispiel: eine Personalaktewird, ohne sie zu schreddern, in den Papiermüll entsorgt. Dort verbleibt sie mehrereStunden, kann aber noch vor der Abholung(Entsorger) wieder geborgen werden. In diesem Fall kann eine Meldung wohl unterbleiben. Die Akte hat das Firmengelände nichtverlassen, die erhaltene Aufmerksamkeit inder Zeit im Papiermüll dürfte gegen Nullgehen. Damit bestand keine Gefahr für dieRechte des Betroffenen.Allgemein gesprochen: Jeder einzelneMitarbeiter ist gefordert, falls er Verstößebemerkt. Bei personellen Vorgängen, etwadie mündliche Weitergabe von geschützten Daten, ist der jeweilige Vorgesetzte zuinformieren. Bei IT-bezogenen Vorfällen dieEDV-Abteilung. Weiterhin sollte der Datenschutzbeauftrage informiert werden. Dortkann jeweils entschieden werden, ob eineMeldung an die Landesbehörden notwendig ist oder nicht. Durch die knappe Fristsetzung (mit erheblicher Strafandrohung s.u.)ist in solchen Fällen immer umgehendesHandeln erforderlich, um drohende schmerzliche Konsequenzen für das Unternehmenund damit u. U. für den eigenen Arbeitsplatzzu vermeiden.BußgelderJe nach Verstoß, je nach verletztem Artikelreichen die Bußgelder bis zu 10 Mio. /2 %des weltweiten Jahresumsatzes oder biszu 20 Mio. /4 % des weltweiten Jahresumsatzes, je nachdem was höher ist. Dieeigentliche Höhe legen die Datenschutzbehörden im Einzelfall fest. Gefordert inder Verordnung ist aber, dass Bußgelderin jedem Fall „wirksam, verhältnismäßigund abschreckend“ sein sollen. Damitsind, unternehmensabhängig, deutlicheBescheide zu erwarten.(DSGVO-) AbmahnungenDie befürchtete Abmahnwelle ist bis heute(in Deutschland, Stand Oktober 2018) ausgeblieben. Dies mag daran liegen, dasses eine direkte Abmahnung nach DSGVOPROZESSWÄRME 01 2019
WIRTSCHAFT & MANAGEMENTwahrscheinlich gar nicht gibt. Bei dem Instrument der (kommerziellen) Abmahnunghandelt es sich um einen Weg, welcher nurin Deutschland gegangen werden kann.Wenn, dann sind Abmahnungen nachWettbewerbsrecht, speziell dem Gesetzgegen den unlauteren Wettbewerb, zuerwarten. Eben wie bisher auch. Allerdingsist Datenschutz ein Menschenrecht undnicht ein Recht als Marktteilnehmer.Einige Juristen vertreten auch die Auffassung, dass die DSGVO eine s. g. abschließende Regelung darstellt. Das heißt sie enthältalle Sanktionsmöglichkeiten. Damit bliebedem Abmahnwilligen bei festgestellten Verstößen die Meldung an die Datenschutzbehörden. Ob die DSGVO wirklich „abschließend“ ist, ist jedoch aktuell noch strittig.Generell bei Abmahnungen gilt: DieAbwehr einer Abmahnung sollte immerüber einen Anwalt erfolgen. Zuerst mussgeprüft werden, ob der behauptete Verstoß überhaupt vorliegt und dann, obdie Abmahnung selbst einwandfrei ist.Auf keinen Fall sind unmittelbar Unterlassungserklärungen zu unterschreiben (diegelten lebenslang) oder Zahlungen, auchkeine Teilzahlungen, zu leisten. Das könnteschon eine Anerkenntnis darstellen. Ist derHinweis auf einen abmahnfähigen Regelverstoß berechtigt, sollte dieser Verstoßumgehend beseitigt werden und anschließend eine eigenformulierte (Anwalt) Unterlassungserklärung abgegeben werden.Merke auch: Eine unberechtigte Abmahnung stellt selbst einen Wettbewerbsverstoß dar!Kritik an der VerordnungIn der Presse wurde Kritik laut, dass z. B.ein Blogger mit ein paar Euro Einkommenim Monat (nahezu) die gleichen Pflichten hat wie ein multinationaler Konzern.Wenn man Datenschutz als Menschenrechtbegreift, können die Anforderungen auchnicht abweichend geregelt sein. Natürlichmuss dieser Blogger keine so großen Investitionen in Abläufe, Mitarbeiterschulungund Hardware vornehmen wie ein Konzern, aber er muss den Datenschutz nachDSGVO in seinem Verantwortungsbereichgewährleisten. Erläuterungen findet manim Erwägungsgrund 13.www.prozesswaerme.netDazu handelt es sich bei der DSGVO umregionale (EU) Regeln, die auf ein globalesNetz anzuwenden sind. Dies sorgte bei denEU-Unternehmen für Stress, meistens auchfür Aktionismus, während Unternehmenaußerhalb der EU doch deutlich entspannter mit dem Thema umgehen.Nach der EU-Verordnung für die Verarbeitung von Daten von Personen vor dem16. Lebensjahr hat immer die Einwilligungder Eltern (Erziehungsberechtigten) vorzuliegen. Die Diskussionen mit den Elternund ihren pubertierenden Kindern, wenndiese z. B. ein neues Spiel auf ihrem Smartphone spielen möchten und dafür Datenabgeben sollen, sind bestimmt amüsant.Diese Altersgrenze liegt in vielen Länderndarunter, in den USA beispielsweise bei13 Jahren. Das Social-Network SnapChathat eine deutliche Anzahl von Nutzern,welche jünger als 16 Jahre sind. Nach dem25. Mai hätten all diese Konten bis zur ausdrücklichen Einwilligung durch die Elterngesperrt werden müssen. Davon ist mirnichts bekannt. Es bleibt natürlich auch dieFrage, ob bei gemeinsamem Erziehungsrecht auch beide Elternteile Einverständniserklären müssen. Diese rechtliche Klärungwird spannend sein.AuswirkungenDie Sache mit den FotosDigitalfotografie ist Datenverarbeitung nachDSGVO, wenn Gesichter von Personen abgebildet sind oder Personen an anderen Merkmalen eindeutig identifiziert werden können.Diese Fotografie ist erlaubt für „hauptberufliche, angestellte Fotojournalisten“.Also für die freien Journalisten und fürdie anderen nicht?Vor dem 25. Mai wurde dies durch dasKunst-Urheber-Gesetz (KUG), erlassen 1907,letzte Änderung von 2001, geregelt. Bilderund deren Veröffentlichung waren erlaubt,wenn einzelne Personen nicht erkennbarals Hauptmotiv dargestellt wurden. Alsoin Berichten von Demonstrationen, überKonzerte und Festivals oder bei Dorffestenusw. Dieses Gesetz stand über dem Rechtauf das eigene Bild, wenn man selbst nur„zufällig“ mit abgebildet wurde. Personendes öffentlichen Lebens und Interesses,Prominente, müssen dies sowieso dulden.Das KUG sollte bei Kunst und Meinungsfreiheit weiter Vorrang haben. Es gab dieMöglichkeit, dies „offiziell“ zu regeln, nachÖffnungsklausel 85. In Schweden ist es soumgesetzt worden. Immerhin hat das Bundesinnenministerium am 14. Mai in einerStellungnahme bekannt gegeben, dass dasKUG weiterhin Vorrang haben soll. Eine solche Stellungnahme ist allerdings juristischnicht bindend.Im privaten Bereich (also ohne wirtschaftlichen Hintergrund) ist die DSGVOja ohnehin nicht anwendbar. Damit istausdrücklich die private Verwendungsozialer Netze davon auch nicht erfasst.Hochladen und damit Veröffentlichen vonBildern aus dem Urlaub, von daheim oderauf der Straße ist nach wie vor vom KUGgedeckt. Bilder mit einzelnen oder einerkleinen Gruppe von Personen als Hauptmotiv unterliegen wie bisher dem Rechtam eigenen Bild (Persönlichkeitsrecht) unddiese müssen ihr Einverständnis zur Veröffentlichung erklären.Rechtlich in den Vordergrund tritt inder beruflichen ( nicht privaten) Fotografie immer mehr die Datenverarbeitungzur Erfüllung von Verträgen oder zurWahrung berechtigter Interessen, die ausdrückliche Einwilligung tritt zurück. Sollein Fotograf etwa eine Hochzeit ablichtenoder Passfotos anfertigen, bedarf es keiner gesonderten Einwilligung des oderder Betroffenen fotografiert zu werden.Zur Veröffentlichung, z. B. im Schaufenster oder auf der Webseite des Fotografen,hingegen schon.Bilder auf Webseiten vom Sommerfest,von nicht kommerziellen Vereinen, sollten unproblematisch sein (berechtigtesInteresse). Es ist jedoch eine gute Idee,eine ausdrückliche Einwilligung von denin der Öffentlichkeit handelnden Personen (etwa dem Vorstand) einzuholen. DieMeldung zur Veröffentlichung an eineTageszeitung mit einem Bild wäre dannrechtlich gesichert. Bei Bildern von Kindern (Kita) ist die Einwilligung der Erziehungsberechtigten vor der Veröffentlichung, besser vor dem Fotografieren,einzuholen. Dies ist aber keine Folge derDSGVO, das galt bisher auch.95
WIRTSCHAFT & MANAGEMENTAm 18.06.2018 urteilte das Oberlandesgericht Köln hierüber (Az.: 15 W 27/18). AlsKern des Urteilsspruches kann man sagen:Fotos als Dokument der Zeitgeschichteoder im öffentlichen Interesse unterliegennicht der DSGVO sondern dem Kunsturheberrechtsgesetz als übergeordnetemRecht, möglich nach Klausel 85 DSGVO.Unter besonderer Berücksichtigung derPressefreiheit gelte hier ausschließlichdeutsches Recht.Einwilligung nach DSGVO ist also nötig, wenn: der/die Abgebildete(n) erkennbar ist/sind und keine Ausnahme des KUGgreift das Foto einem unbeschränkten Personenkreis zugänglich gemacht wird wenn Kinder fotografiert werden, intimeSituationen abgebildet sind, sensibleDaten erkennbar sindEinwilligung ist nicht nötig, wenn: eine der Ausnahmen des KUG greift(Person der Zeitgeschichte, Personenals Beiwerk etc.) ein berechtigtes Interesse des Veranstalters oder Fotografen besteht (etwa beiVereinen oder Sportveranstaltungen)Absolut tabu ist (ohne Einwilligung): wenn Kinder fotografiert werden, intimeSituationen abgebildet sind, sensibleDaten erkennbar sind oder eine Persondiskreditiert wird.Das „WhatsApp-Problem“Dies nur als Bezeichnung, es umfasst auchverschiedene andere Messenger, SocialMedia Dienste, Online-Spiele usw., welcheungefragt Daten transferieren.Das Adressbuch (z. B.) eines Nutzers mitallen Kontakten einschließlich E-Mail-Adresse und Telefonnummern wird an WhatsAppund damit an Facebook übertragen. Es istvöllig unklar, wohin und zu welchem Zweckdiese Daten übertragen und verarbeitetwerden.Aus Datenschutzsicht ergeben sich folgende Probleme:Die ausdrückliche Einwilligung jedeseinzelnen Betroffenen dazu fehlt (in derRegel), das Informationsrecht des jeweiligen Betroffenen kann nicht erfüllt werden („Download my Data“ ist nicht ausreichend), das Recht auf „Vergessen werden“96und das Recht auf „Übertragen werden“können nicht erfüllt werden. Außerdemergibt sich durch den Datentransfer in dieUSA ein geringeres Schutzniveau. Seit 2016verschlüsselt WhatsApp „Ende zu Ende“und wirbt damit. Den wenigsten Nutzernist bekannt, dass nur die Texte und nichtübertragene Bilder verschlüsselt werden.Die Bundesbehörden in den USA werdenvermutlich nach wie vor Zugriff auf dieTexte haben. Amerika hat immerhin sogarExportbeschränkungen für Verschlüsselungssoftware erlassen und das Schutzniveau beschränkt. Entsprechende Software,auch Open-Source, wird vorab vom BIS(Bureau of Industry and Security) überprüft.Es sind keinerlei Maßnahmen bekannt,welche diese Schwierigkeiten abschließendbeseitigen können, um DSGVO-konformzu werden.Dies führt dazu, dass Firmen dazu übergehen, die Installation und Nutzung vonWhatsApp auf Firmen-Handys zu untersagen. Continental setzte es im Juni diesesJahres um und untersagte die Nutzung aufmehr als 36.000 Mobilgeräten.Die Hinweis-Flut und derEinwilligungs-TsunamiSeit dem 25. Mai werden die E-Mail-Postfächer überschwemmt mit Meldungen, manmöchte doch bitte bestätigen, dass mandie „wichtigen Nachrichten“ (Newsletter)weiter erhalten möchte; also die Fragenach dem Re-Opt-In. Dabei war den meisten handelnden Unternehmen wohl nichtbewusst, dass einmal nach dem alten BDSGgültig eingeholte Einwilligungen weiterihre Gültigkeit behalten. Für die Empfängerdieser Mails ist es auf jeden Fall interessant,bei wie vielen solcher Newsletter man sichbereits „angemeldet“ hatte. Meistens wares doch überraschend. Bei einigen wurdemit Sicherheit erst die Einwilligung erteilt,indem man den „weiteren Bezug“ bestätigte. Ähnlich inflationär sind die Anfragennach der Erlaubnis zum Setzen von Cookiesbeim Besuch von Webseiten.Die große Anzahl von beidem führtdazu, dass Benutzer genervt diese Meldungen einfach reflexartig mit OK bestätigenum sich nicht aus Versehen von Informationen auszusperren oder die aufgerufeneWebseite nutzen zu können, ohne sich mitden angezeigten Datenschutzinformationen zu befassen und diese Genehmigungetwa einzuschränken. Die Schutzabsichtder Verordnung, der Betroffene als Herrüber seine Daten, wird damit natürlichvöllig unterlaufen.Warum nun das Ganze?Daten sind das neue Gold. Inzwischenwerden unfassbare Mengen an Informationen täglich gesammelt, ausgewertetund gespeichert. Über jeden, der jemalsdas Internet genutzt hat, gibt es Profile.Google ist keine Suchmaschine, Facebook ist kein Darstellungsmedium, WhatsApp ist keine Kommunikationssoftware.Dies sind Werbeagenturen mit Zusatzfunktionen, um die Nutzer zu gewinnen und zuhalten. Anders sind die jährlich gemeldetenMilliardengewinne mit kostenfreien Diensten auch nicht zu erreichen.Je spezifizierter ein Datensatz ist, destowertvoller ist er für die Werbeindustrie.Tabelle 1 zeigt die Kosten eines Kennzeichens beim Erwerb von Datensätzen. Auchwenn die genannten Preise vielleicht nichtexakt sind, so verdeutlichen sie doch dieRelationen.Je gezielter Werbung platziert wird,desto teurer ist die Einblendung. Dafürwerden heute keine s. g. Cookies mehrbenötigt. Die bisher auf dem Rechnerabgelegten kleinen Textdateien zum Verfolgen des Nutzers werden durch aktuellereMethoden abgelöst. Stichworte sind hierTabelle 1: Quelle: WDR Mediathek: Dietägliche Datenspur, Wie dasdigitale Ich entstehtRabattkarte X vorhanden 0,80Politikinteresse 1,40Wohnort 5,00Jobwechsel 5,50Umzug 6,20Abnehmwunsch 8,00Kinder 8,40Heirat 8,80Krankheit 19,00PROZESSWÄRME 01 2019
WIRTSCHAFT & MANAGEMENTBrowser-Fingerprinting und Machine-Fingerprinting. Hierbei wird aus verschiedenenParametern (Hardware, installierte Software,Betriebssystem, Patchlevel u. a.) eine möglichst eindeutige Identifikationsnummergebildet. Der Werbeindustrie kommthier entgegen, dass Computer (PC, Tablet, Smartphone usw.) fast immer von nureiner Person benutzt werden. Aber selbstwenn nicht, ist eine Identifikation über dasLogin und die persönliche Art die Tastaturzu bedienen (Anschlagsrhythmus) möglich.Als kleiner Test dieser Funktionen eignensich für jeden persönlich außergewöhnliche Suchbegriffe, etwa Treppenlift oderBrautkleid. Ein paar Seiten im Ergebnis derSuche anklicken und man wird erstauntsein, wie lange auf beliebigen Webseitenpassende Werbung eingeblendet wird.(Kennzeichen Heirat: 8,80, Krankheit wiegesagt: 19,00).Das größte Problem ist aber die Korrelation von Daten. Ein einziges Datum lässtnoch keine Aussage über die Person zu,aber jeder weitere Aspekt verfeinert dasBild. Familie, Beruf, Einkommen, Hobbies,Vorlieben im Urlaub, Kaufverhalten, Zahlungsmethoden, Kunstverständnis, Bildungsstand, , je detaillierter das Bild,desto besser die Voraussage. Google istheute in der Lage eine prozentuale Wahrscheinlichkeit anzugeben, mit der einbeworbenes Produkt vom Werbungsempfänger gekauft wird. Unter anderemdurch Kennzeichen, welche nicht bedachtwerden, da diese nicht offensichtlich sind.Viele Nutzer aktivieren (oder deaktivieren nicht) in ihrem mobilen Gerät dieGPS-Funktion und die Protokollierung derAufenthaltsorte in der Cloud. Natürlichwerden sie im Gegenzug auf interessanteOrte in unmittelbarer Nähe hingewiesen,erhalten Restaurantempfehlungen oderähnliches. Diese Funktion verrät vieles, andas überhaupt nicht gedacht wird.Aus dem Bewegungsprofil ist zu erkennen: der persönliche Aktionsradius, ist diePerson eher lokal oder mobil (Lebensradius),an welchen Orten ist man regelmäßig oderwww.prozesswaerme.netnur vereinzelt (Urlaub oder beruflich), wiewerden diese Orte erreicht (zu Fuß, ÖPNV,mit dem KFZ oder dem Flugzeug), mit welchen Geschwindigkeiten (speziell beim KFZ,Risikobereitschaft), Arbeitgeber, private
kann es mit den Servern von OpenDNS versuchen. Bei den Hauptadressen (IP-V4 208.67.222.222 und 208.67.220.220) wird Schutz gegen Phishing versprochen. Fami - lienschutz gibt es über 208.67.222.123 und 208.67.220.123. Dort werden dann zusätz-lich die s.g. „Erwachsenenseiten" blockiert. OpenDNS gehört inzwischen allerdings zum US .
