Home / Aktuelles & Termine / it.sec blog

In Art. 15 bis 22 der Datenschutzgrundverordnung (DSGVO) werden die Rechte der betroffenen Personen geregelt, die jede betroffene Person gegenüber dem Verantwortlichen, der ihre personenbezogenen Daten verarbeitet, per Antrag geltend machen kann:

  • Recht auf Auskunft über die beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO.
  • Recht auf Berichtigung unrichtiger personenbezogener Daten, die die betroffene Person betreffen, gemäß Art. 16 DSGVO.
  • Recht auf Löschung der beim Verantwortlichen verarbeiteten personenbezogenen Daten in den Fällen des Art. 17 Abs. 1 lit. a) bis f) DSGVO.
  • Recht auf Einschränkung / Sperrung der beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 18 Abs. 1 DSGVO.
  • Recht auf Datenübertragbarkeit, d.h. die betroffene Person kann, sofern die Voraussetzungen des Art. 20 Abs. 1 DSGVO vorliegen, verlangen, dass der Verantwortliche die bei ihm verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format der betroffenen Person selbst oder einem von der betroffenen Person bestimmten Dritten übermittelt.
  • Recht, der weiteren Datenverarbeitung beim Verantwortlichen zu widersprechen gemäß Art. 21 DSGVO.
  • Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, gemäß Art. 22 Abs. 1 DSGVO bzw. Einspruchsrecht gegen eine erfolgte automatisierte Einzelentscheidung gemäß Art. 22 Abs. 3 i.V.m. Art. 22 Abs. 2 lit. a) oder c) DSGVO.

Die Informationen über die ergriffenen Maßnahmen auf den Antrag der betroffenen Person hin, sind der betroffenen Person unverzüglich, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person zur Verfügung zu stellen. Sofern es erforderlich ist, die Frist aufgrund der Komplexität und Anzahl von Anträgen um 2 Monate zu verlängern, unterrichtet der Verantwortliche die betroffene Person spätestens einen Monat nach Eingang des Antrags über die Fristverlängerung sowie die Gründe für die Verzögerung.

Wird der Verantwortliche auf Antrag der betroffenen Person nicht tätig, unterrichtet er die betroffene Person ohne Verzögerung, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person über die Gründe hierfür. Insbesondere unterrichtet der Verantwortliche die betroffene Person, wenn er in den Fällen des Art. 11 Abs. 2 DSGVO nicht in der Lage ist, die betroffene Person im System zu identifizieren, dies glaubhaft darlegt und daher ihrem Antrag nicht nachkommen kann.

Im Fall einer Pflicht zur Berichtigung, Löschung oder Einschränkung der Daten, informiert der Verantwortliche die Empfänger der personenbezogenen Daten gemäß Art. 19 DSGVO, damit diese etwaige bei ihnen vorhandene Kopien oder Replikationen dieser personenbezogenen Daten ebenfalls berichtigen, löschen oder einschränken.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Die Datenschutzgrundverordnung regelt die Auftragsverarbeitung europaweit einheitlich. Die neuen Regelungen orientieren sich inhaltlich weitestgehend an § 11 BDSG. Über die in Art. 28 DSGVO enthaltenen Neuerungen gegenüber dem alt Bekannten möchten wir Sie heute in unserem Blogbeitrag informieren.

Zum einen finden sich sprachliche Änderungen in der neuen Gesetzesnorm. So wird nicht mehr vom Auftragsdatenverarbeiter gesprochen, sondern lediglich nur noch vom Auftragsverarbeiter. Neu ist zudem, dass eine Datenverarbeitung im Auftrag nun auch außerhalb der Europäischen Union stattfinden kann. Der Auftragsverarbeiter hat ferner den Verantwortlichen zu unterstützen, damit dieser seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nachkommen kann. Des Weiteren muss eine Unterstützungsleistung bezüglich der Pflichten des Verantwortlichen aus Art. 32 ff DSGVO erfolgen. Diese neuen Pflichten müssen in die aktuell bestehenden Verträge zur Auftrags(daten)verarbeitung bis Mai 2018 mit aufgenommen werden.

Unabhängig vom Vertragswerk werden künftig einige neue Regelungen und Pflichten für die Auftragsverarbeiter zu beachten sein. Nach Art. 30 Abs. 2 DSGVO beispielsweise, müssen anders als nach dem BDSG auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen.

Als Unternehmen sollten Sie bereits in der aktuell bestehenden Übergangsphase Ihre bestehenden Prozesse und Verträge zur Auftragsverarbeitung überprüfen und die erforderlichen Änderungen zeitnah und zügig vornehmen. Neue Verträge sollten Sie bereits auf Grundlage der DSGVO schließen. Ein entsprechendes Muster hierzu hat it.sec bereits in deutscher und englischer Sprache für ihre Kunden erstellt.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Bei Anmeldungen an Datenverarbeitungssystemen müssen die Benutzer eindeutig identifiziert und authentisiert werden, um eine ausreichende Vertraulichkeit und Integrität der Daten (Zugangs-, Zugriffs- und Eingabekontrolle), wie es in Art. 32 Datenschutzgrundverordnung (DSGVO) gesetzlich vorgeschrieben ist, zu gewährleisten. Dies ist mit einem unpersonalisierten Benutzer-Account nicht ohne Weiteres möglich:

  • Bei nicht-personalisierten Benutzerkonten ist es nicht möglich, je nach Aufgabenstellung oder Tätigkeitswechsel, die Zugriffsrechte der einzelnen Benutzer innerhalb des Datenverarbeitungssystems differenziert zu vergeben (Lesen, Ändern, Löschen).
  • Eine Eingabekontrolle kann effektiv nur erfolgen, wenn Benutzerkonten nicht von verschiedenen Personen verwendet werden, da nur so nachvollziehbar ist, wer wann auf welche Daten Zugriff genommen hat.
  • Die Vertraulichkeit der Passwörter als auch Passwortlänge, -komplexität sowie ein regelmäßiger Passwortwechsel sind so ebenfalls nicht gewährleistet: Bei einem Passwortwechsel müsste das Passwort den anderen Benutzern, die ebenfalls über diese Kennung, Zugang erhalten, mitgeteilt werden. Die Gefahr, dass Passwörter durch Dritte ausgespäht werden, ist hierbei sehr hoch. Insbesondere wenn die Passwörter aus pragmatischen Gründen notiert und z.B. per E-Mail weitergegeben werden. Zudem besteht die Gefahr, dass einfache Passwörter gewählt werden, da sie leichter mitteilbar und für diejenigen Benutzer, die das Passwort nicht selbst gewählt haben, besser zu merken sind oder aus Bequemlichkeit das Kennwort oft nicht zeitnah bzw. gar nicht mehr geändert wird oder Wiederholungen vergangener Passwörter verwendet werden. Hierbei ist die Gefahr, dass potentielle Angreifer durch Ausprobieren das Passwort leicht erraten, sehr hoch.
  • Bei einem ggf. erfolgten missbräuchlichem Einsatz von Zugangsdaten, die von mehreren Benutzern gleichzeitig genutzt werden können, kann niemals zweifelsfrei nachgewiesen werden, wer nicht den festgestellten Missbrauch begangen hat, da die Kennung und auch das Passwort nicht eindeutig einem Benutzer zugeordnet werden können. Nicht-personalisierte Benutzerkonten werden in der Praxis daher bevorzugt von Unbefugten genutzt, um zu verschleiern, wer für ein entsprechendes Handeln verantwortlich ist.

Sabrina Kieselmann
Beraterin für Datenschutz

Über das Tracking der Internetaktivitäten der Webseitennutzer mit diversen Tools werden Daten und Werte des Webseitennutzers erhoben, wie Online-Kennungen (z.B. statische und dynamische IP-Adresse, Cookie-Kennung), Standortdaten (z.B. Länderkennung) sowie sonstige Verhaltens-, Bewegungs- und Nutzungsdaten (z.B. Anzahl der Klicks), um Aspekte bezüglich persönlicher Vorlieben, Interessen, Verhalten oder Aufenthaltsort dieser natürlichen Person zu analysieren oder vorherzusagen (Profiling).

 

Dabei endet das Profiling regelmäßig mit einer automatisierten Einzelentscheidung, d.h. in personalisierter Werbung (z.B. Einkaufsvorschläge, die dem Nutzer eingeblendet werden und die sich aufgrund der Analyse der über ihn erfassten Daten und Werte bei seinen Internetaktivitäten ergeben).

 

Auch wenn über solche Tracking Tools die Betreiber von Webseiten und mobilen Applikationen (= Verantwortliche) umfangreiche Daten und Werte erheben und sehr detailliert auswerten, so dass man nicht mehr von willentlich und bewusst von den betroffenen Personen angegebenen Informationen reden kann, soll eine solche personalisierte Werbung und eine sonstige vergleichbare Individualisierung nicht das Gefährdungspotential haben, um die betroffene Person i.S.v. Art. 22 Abs. 1 DSGVO erheblich zu beeinträchtigen.

 

Die Beurteilung der Zulässigkeit des Profilings zu Werbezwecken bestimmt sich somit nicht nach Art. 22 DSGVO, sondern nach Art. 6 Abs. 1 DSGVO.

 

Das Profiling zum Zwecke der Direktwerbung kann als eine dem berechtigten Interesse des Verantwortlichen dienende automatisierte Verarbeitung personenbezogener Daten betrachtet werden gemäß Art. 6 Abs. 1 lit. f) DSGVO, jedoch dürfen die Grundrechte und Grundfreiheiten der betroffenen Personen oder ihre schutzwürdigen Interessen am Ausschluss des Profilings zu Werbezwecken nicht überwiegen.

 

Hierbei müssen die Bewertungen aus dem Telemediengesetz (TMG) bzw. der E-Privacy-Richtlinie herangezogen werden:

 

Der Verantwortliche (= Diensteanbieter) darf gemäß § 15 Abs. 1 TMG Nutzungsdaten nur erheben und verarbeiten, soweit dies erforderlich ist, um die Inanspruchnahme der Telemedien (z.B. Webseite) zu ermöglichen. Darüber hinaus (z.B. zum Zwecke der Werbung) dürfen Nutzungsdaten gemäß § 15 Abs. 3 TMG nur in pseudonymisierter Form erhoben bzw. weiterverarbeitet werden (z.B. durch Kürzung der IP-Adresse auf Länderkennung) werden.

 

Allerdings müssen die Verantwortlichen die betroffenen Personen über die von ihnen verwendeten Tracking Tools sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informieren, über ihre Rechte in Kenntnis setzen und insbesondere eine Widerspruchslösung zu jedem Tracking-Tool implementieren, damit die betroffenen Personen dem Profiling zu Werbezwecken widersprechen können gemäß Art. 21 Abs. 2, 2. HS DSGVO i.V.m. § 15 Abs. 3 S. 2, § 13 Abs. 1 TMG.

 

Sofern die Nutzungsdaten nicht pseudonymisiert werden, bedarf das Profiling zu Werbezwecken der Einwilligung der betroffenen Personen gemäß Art. 6 Abs. 1 lit. a) DSGVO.

 

S. Kieselmann

 

Beraterin für Datenschutz

Am Ende des Jahres werden immer die beliebtesten Passwörter der Deutschen im Internet bekannt gegeben.

 

Diese werden jährlich von IT-Sicherheitsexperten des Hasso-Plattner-Instituts in Potsdam ermittelt. Insgesamt wurden für diese Studie ca. 1 Milliarde Nutzerkonten analysiert und ausgewertet, die aus 31 veröffentlichten Datenlecks in unterschiedlichen Bereichen stammen und im Internet frei verfügbar sind. Dabei konnte herausgefunden werden, dass 20 % der Nutzer ein identisches Passwort für verschiedene Accounts benutzen und bei 27 % der Nutzer lag eine sehr hohe Ähnlichkeit in der Zeichenfolge vor. Die Passwörter werden von Nutzern also sehr häufig nur geringfügig abgeändert.

 

Im Jahr 2016 schaffte es das Wort „hallo“ auf den ersten Platz der Liste!! Auf Platz zwei landete wiederholt das Passwort „passwort“. Auf den dritten Platz schafft es „hallo123“. Überraschend ist das Wort „schalke04“ auf dem 4. Platz. „passwort1“ schmückt Platz 5 und „qwertz“ Platz sechs gefolgt von „arschloch“, „schatz“, „hallo1“ und „ficken“. Achtung, der bisherige Passwortsieger der vergangenen Jahre „123456“ nimmt weiterhin einen weltweiten Spitzenplatz ein. Im hier vorliegenden Ranking wurden jedoch keine bloßen Zahlenkombinationen berücksichtigt.

 

Auch wenn man die Passwörter auf den ersten Blick erst einmal lustig finden mag, sicher sind diese auf keinen Fall. Und doch benutzt sie fast jeder für den ein oder anderen Account. Es wäre zu begrüßen, wenn man als User zur Verwendung von Mindestlängen und Sonderzeichen gezwungen werden würde.

 

Für ein sicheres Passwort, dass man sich leicht merken kann, kann eine sogenannte Passwortkarte herangezogen werden. Diese finden Sie frei zugänglich im Internet, einfach ausdrucken und lediglich zwei Koordinaten merken.

 

Dr. Bettina Kraft

 

Beraterin für Datenschutz

 

Justiziarin

 

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Home Office Immobilienmakler Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Sicherheit IT-Systeme Jin-hyok Joint Control Kanada Klagebefugnis Kontaktdaten Kontakte Konzern konzerninterner Datentransfer Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Standardvertragsklauseln Strafe Strafverfolgung Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31