Unternehmen, die Dating-Portale betreiben, müssen gemäß Art. 35 Abs. 4 Datenschutzgrundverordnung (DSGVO) eine Datenschutz-Folgenabschätzung durchführen. Dabei wird vorab geprüft, ob die mit dem Portal verbundene Verarbeitung der Nutzerdaten datenschutzrechtlich zulässig ist und potentielle Risiken für die Nutzer eingedämmt werden können.
Ein Betreiber eines solchen Dating-Portals hatte sich in seinen Allgemeinen Geschäftsbedingungen das Recht von den Nutzern einräumen lassen, in deren Namen und über deren Nutzer-Konto andere Nutzer ansprechen und die Profile der Nutzer auch auf anderen betriebenen Portalen veröffentlichen zu dürfen.
Im Rahmen einer Datenschutz-Folgenabschätzung hätte dem Betreiber auffallen können, dass er seine Nutzer damit einem hohen Risiko aussetzt. Wenn der Nutzer nicht mehr allein und ausschließlich entscheidet, mit wem er kommuniziert und was er kommuniziert, oder wenn sein Profil ggf. auch auf weniger „harmlosen“ Dating-Portalen veröffentlicht wird, kann zumindest ein immaterieller Schaden wie Rufschädigung des Nutzers eintreten.
Die Verbraucherzentrale Bayern sah dann hier auch entsprechende Risiken für die Nutzer und das Landgericht München hat die Klauseln in den Allgemeinen Geschäftsbedingungen nun für unwirksam erklärt (LG München I, Az.: 12 O 19277/17).
Die Durchführung von Datenschutz-Folgenabschätzungen ist also nicht nur lästige Pflicht, sondern kann den Unternehmen unter Umständen auch helfen, späteren Ärger zu vermeiden.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Beim betrieblichen Eingliederungsmanagement (BEM) geht es in erster Linie um die Verwendung von Informationen über die Gesundheit des Mitarbeiters. Dabei handelt es sich um sensiblen Daten, für die das Unternehmen verantwortlich ist. Eine datenschutzrechtliche Bewertung ist also unumgänglich. Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten. Bei der Umstellung auf die DSGVO müssen alle Prozesse und die dazu gehörenden Dokumente überprüft werden, also auch die des BEM. Die Missachtung des Datenschutzes bei der Gestaltung des BEM stellt eine fehlerhafte Datenverarbeitung dar, was wiederum zum Bußgeld führen kann.
Auch das BEM braucht eine Rechtsgrundlage nach DSGVO
Da kommen gleich mehrere Rechtsgrundlagen in Betracht:
• Die Betriebsvereinbarung
• Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung
• Einwilligung
Betriebsvereinbarung
Betriebsvereinbarungen (BV) können eine Rechtsgrundlage sein, sie müssen aber den Anforderungen von Art. 88 Abs. 2, Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO, § 26 Abs. 3 BDSG entsprechen. Daher sind BV, die vor der DSGVO abgeschlossen wurden, daraufhin zu überprüfen.
Gesetzliche Pflicht
§ 167 Abs. 2 SGB IX regelt die Verpflichtung des Arbeitgebers zur Durchführung des BEM. Unter Berufung auf Art. 6 Abs. 1 lit. c), Art. 9 Abs. 2 lit. b) DSGVO, § 26 Abs. 3 BDSG dürfen also alle Daten erhoben werden, die für die Durchführung des BEM tatsächlich erforderlich sind.
Einwilligung
Zusätzlich muss der Arbeitgeber die Einwilligungserklärung der betroffenen Mitarbeiter einholen, da nicht die gesamte für das BEM erforderliche Datenverarbeitung auf die oben genannten Rechtsgrundlagen gestützt werden kann. Die Einwilligung muss dabei den Anforderungen aus Art. 6 Abs. 1 lit. a), Art. 9 Abs. 2 lit. a), Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG entsprechen.
Informationspflichten
Die Mitarbeiter müssen zudem gemäß Art. 13, 14 DSGVO informiert werden über die Verarbeitung ihrer personenbezogenen Daten.
Michaela Dötsch
Rechtsanwältin
Microsoft wird sein Cloud-Angebot in Deutschland erheblich erweitern und plant den Bau von zwei Datenzentren in Berlin und Frankfurt. Die Rechenzentren sollen die gleiche Leistung wie die bereits vorhandenen Rechenanlagen bieten. Die Inbetriebnahme ist für 2019 und 2020 geplant. Aus den neuen Rechenzentren werden Microsoft Azure, Office 365 und Dynamics 365 in vollem Funktionsumfang bereitgestellt. Damit kann Microsoft individuelle Compliance-Anforderungen erfüllen.
Die neuen Rechenzentrums-Regionen in Deutschland werden, so Microsoft, als Teil des globalen Microsoft-Cloud-Netzwerks die gleichen Service-Level und Sicherheitsstandards bieten wie die weltweiten Microsoft-Cloud-Angebote.
Microsoft bekennt sich zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) für die Cloud-Dienste und hat, so das Unternehmen, entsprechende Regelungen in die vertraglichen Verpflichtungen aufgenommen.
Die neuen, deutschen Rechenzentren sind eine Reaktion auf neue und veränderte Geschäftsanforderungen. Es wurden, so teilt das Unternehmen mit, Strategien entwickelt, mit denen die Umsetzung der DSGVO für die Kunden vereinfacht werden sollen.
Zukünftig können Neukunden wählen, ob sie die derzeit schon verfügbaren europäischen Regionen oder die neuen Regionen in Deutschland nutzen wollen.
Aus datenschutzrechtlicher Sicht wäre die Speicherung von Daten in Deutschland sehr begrüßenswert. Dennoch wird einem eine genaue Überprüfung der vertraglichen Gestaltung nicht erspart bleiben. Auch Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau sind dadurch nicht automatisch ausgeschlossen. Denn bereits der Zugriff auf die in Deutschland gespeicherten Daten aus Drittstaaten, bspw. durch die System-Administratoren von Microsoft, stellt eine Datenübermittlung i.S.v. Art. 44 ff DSGVO dar und muss entsprechend abgesichert werden.
Michaela Dötsch
Rechtsanwältin
Die ITSECX in Österreich ist mittlerweile zu einer der bekanntesten IT-Security Konferenzen aufgestiegen. Internationale Referenten und motivierte Studenten treffen sich einmal im Jahr an der Fachhochschule St. Pölten und tauschen ihr Wissen aus. Die it.sec war dieses Jahr mit den Wienern Kollegen das erste Mal dabei!
Entstanden ist die ITSECX im Jahre 2007. Die Konferenz bestand damals aus ca. 30 Studenten und Professoren, welche zusammen in einem Netzwerklabor Systeme gehackt und Vorträge gehalten haben.
Mittlerweile ist das anders: Circa 600 Teilnehmer kommen Jahr für Jahr an die Fachhochschule– Tendenz steigend! Die Konferenz ist kostenlos und die Qualität der Vorträge und der Referenten ist sehr hoch. Dieses Jahr konnte die ITSECX den Head of Cyber Security Architecture von Airbus, Dr. Kevin Jones für seine Keynote gewinnen.
Unter den Gästen befanden sich auch etliche Firmen welche als Sponsoren und Aussteller fungierten. Auch die it.sec darf sich in diesem Jahr als Sponsor der ITSECX bezeichnen und ist Stolz, an einer Konferenz wie dieser mitgewirkt zu haben.
Zusätzlich hatten wir die Möglichkeit, einen Vortrag über ein paar Ergebnisse aus einem aktuellen Research Projekt von uns zu präsentieren. Der Titel des Vortrags war "Alexa Top 1 Million Security – Hacking the Big Ones" und die Unterlagen dazu können unter https://itsecx.fhstp.ac.at/wp-content/uploads/2018/11/05_David-Wind_it.sec_.pdf abgerufen werden. Alle Vorträge zu der Konferenz können hier (auch teilweise zum Nachschauen auf Youtube) abgerufen werden: https://itsecx.fhstp.ac.at/vortraege-2018/
Wir werden auch nächstes Jahr wieder ein Teil dieser Konferenz sein und hoffen, auch Sie dort begrüßen zu dürfen.
Die Klingelschild-Debatte wurde losgetreten durch die Beschwerde eines Mieters bei einer Wohnungsbaugesellschaft in Österreich und griff dann sogleich auf Deutschland über.Unter großer medialer Aufmerksamkeit wurde angenommen, dass die Namen auf den Klingelschildern nun überall entfernt werden müssen, da die damit verbundene Datenverarbeitung nach der Datenschutzgrundverordnung (DSGVO) unzulässig sei.
Aufsichtsbehörden und Fachliteratur haben sich zu Recht verwundert gezeigt, über die plötzlich aufkommende Diskussion, die mehr von „Panikmache“ und weniger von „fachliche[r] Auseinandersetzung“ (Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349) bestimmt wurde.
Auf Klingelschildern am Hauseingang stehen üblicherweise die (Nach-) Namen der Mieter und sind für jeden einsehbar, der vor dem Haus steht oder daran vorbeigeht. Namensangaben und Wohnungsanschrift sind auch definitiv personenbezogene Daten.
Die Frage ist nun, wie diese Datenverarbeitung nach der DSGVO zu bewerten ist:
Bringt der Mieter seinen Namen auf dem Klingelschild selbst an, fällt diese Datenverarbeitung schon nicht unter die DSGVO. Als betroffene natürliche Person darf der Mieter mit seinen personenbezogenen Daten machen, was er möchte. Auf jeden Fall aber unterliegt diese Datenverarbeitung dem ausschließlich persönlichen oder familiären Bereich, so dass die DSGVO schon gemäß Art. 2 Abs. 2 lit. c) DSGVO nicht gilt.
Werden die Klingelschilder jedoch vom Vermieter angebracht, ist der Anwendungsbereich der DSGVO eröffnet. Der Vermieter (bzw. die Hausverwaltung) ist Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO, da die Datenverarbeitung zu geschäftlichen Zwecken vorgenommen wird.
Einige Aufsichtsbehörden nehmen an, dass auch in diesem Fall der Anwendungsbereich der DSGVO wegen Art 2 Abs. 1 DSGVO nicht eröffnet ist, da „das Ausstatten der Klingelschilder mit Namen für sich genommen (…) weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar[stellt].“
Die Aufsichtsbehörden in Sachsen und Schleswig-Holstein teilen diese Auffassung zwar nicht. Die Datenverarbeitung ist aber dennoch zulässig nach Art. 6 Abs. 1 lit. b) oder f) DSGVO: Entweder weil der zwischen Mieter und Vermieter abgeschlossene Mietvertrag eine solche Datenverarbeitung erforderlich macht. Hier kommt es auf die konkrete Ausgestaltung des Vertragsverhältnisses an. In jedem Fall haben aber Vermieter oder Dritte (Postdienstleister, Lieferanten, Rettungsdienst etc.) ein berechtigtes Interesse an der Datenverarbeitung (hierzu auch ausführlich: Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349).
Sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt wird, hat der Mieter selbstverständlich auch das Recht, der Anbringung seines Namens auf dem Klingelschild zu widersprechen gemäß Art. 21 Abs. 1 DSGVO. Allerdings steht dem Mieter dieses Recht nur zu, sofern sich aus seiner besonderen persönlichen Situation schutzwürdige Interessen am Ausschluss der Datenverarbeitung ergeben, bspw. wenn er gefährdet ist aufgrund seiner Prominenz, Opfer von Stalking ist oder sich im Zeugenschutzprogramm befindet.
Die Aufsichtsbehörden führen an, man hätte sich vorab bei ihnen „nach der Rechtslage erkundigen“ sollen, anstatt mit haltlosen Behauptungen die DSGVO „als ‚weltfremdes europäisches Recht‘ [zu] diskreditieren“.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Das E-Government-Gesetz
Unscheinbar kam sie daher, die Richtlinie 2014/55/EU über die elektronische Rechnungsstellung bei öffentlichen Aufträgen im Jahre 2014. In formelles nationales Recht wurde sie erst im April 2017 umgesetzt, durch eine Änderung des E-Government-Gesetzes, doch nun geht es Schlag auf Schlag. Der Bund hat seine E-Rechnungs-Verordnung schon letztes Jahr verabschiedet und die Länder sollen noch in diesem Monat folgen. Der Bund will bereits in diesem Monat mit seinem zentralen E-Rechnungs-Portal online gehen. Doch was ist die Konsequenz?
Bis spätestens April 2020 müssen auch die Kommunen in Deutschland die Voraussetzung dafür schaffen, dass sie elektronische Rechnungen empfangen und weiterverarbeiten können. Wer sich bislang noch nicht damit beschäftigt hat, sollte dies schleunigst nachholen, wissen wir doch spätestens seit der Umsetzung der DSGVO, dass kleine Verordnungen durchaus große praktische Auswirkungen haben können und dass derartige Anpassungen nicht von heute auf morgen zu schaffen sind.
Konkret: Jede Kommune (und auch alle weiteren öffentlichen Einrichtungen der Länder und natürlich auch des Bundes) ist in Zukunft verpflichtet, E-Rechnungen zu empfangen und zu bearbeiten. Bei geschätzten 75,8 Millionen Rechnungen pro Jahr alleine auf kommunaler Ebene keine Kleinigkeit. Wo bislang Papierrechnungen von Schreibtisch zu Schreibtisch wandern, geprüft, freigegeben, gestempelt, gelocht und abgelegt werden, sollen nun durch den digitalen Workflow viel Arbeit, Zeit und Ressourcen eingespart werden.
Was ist eine X-Rechnung?
Der Empfang von E-Rechnung bedeutet nicht, dass die Kommune auch Rechnungen als PDF im digitalen Postfach akzeptiert. Es handelt sich bei der E-Rechnung um ein eigenes, maschinenlesbares Format, in Deutschland X-Rechnung genannt, welches ein auf XML basierendes semantischen Datenmodell darstellt und damit den für Deutschland verbindlichen Standard definiert. Zur Bearbeitung von E-Rechnungen werden seitens der KoSIT (Koordinierungsstelle für IT-Standards) kostenlose Tools sowohl für Unternehmen als auch für die Behörden bereitgestellt, mittels derer Rechnungen einerseits erstellt werden, dann aber auch durch die Behörden weiterverarbeitet werden können.
Der Vorteil für die Unternehmen? Jedem Lieferanten einer Kommune oder eines sonstigen öffentlichen Auftraggebers ist es dann erlaubt, seine Rechnungen online an die Kommunen zu übermitteln, wo sie schneller bearbeitet werden können, so dass die Lieferanten ihr Geld schneller bekommen. Die Kommunen erhalten durch E-Rechnungen den Überblick über eingegangene aber unbezahlte Rechnungen, es lässt sich nachvollziehen, auf welchem Schreibtisch sich welche Rechnung gerade zur Freigabe befindet und Vorgänge lassen sich elektronisch natürlich deutlich schneller suchen und nachvollziehen.
Was ist zu tun?
Die Herausforderung für die Kommunen ist es einerseits, ihre Arbeitsprozesse auch entsprechend anzupassen. Keinem ist geholfen, wenn die Rechnungen nur ausgedruckt und dann weiter „traditionell“ in Papierform bearbeitet werden. Das heißt, neue Workflows müssen definiert werden, um die digitale Bearbeitung sicherzustellen.
Im Sinne des Datenschutzes sollten dann Berechtigungskonzepte neu überdacht und implementiert werden, denn auch in den X-Rechnungen werden sich in Zukunft zahlreiche personenbezogen Daten finden, seien es Ansprechpartner, persönliche Telefonnummern von Sachbearbeitern aber vor allem die personenbezogenen Daten in den Buchungstexten sind trotz E-Rechnung durch die DSGVO geschützt.
Datenschutz und Datensicherheit
Weiß man, wer wem wann welche Rechnung gestellt hat, so sagt dies einiges über die beteiligten Parteien aus. Daher werden auch an die Ansprüche an die Datensicherheit in den Kommunen wachsen. Regelmäßige IT-Health-Checks und Pentests sollten auch in den Kommunen durchgeführt werden. Die Verzeichnisse für Verarbeitungstätigkeiten (ehemals Verfahrensverzeichnisse) sollten den neuen Prozessen angepasst werden bzw. neue Prozesse müssen definiert werden. Sofern Sie noch keine Projektgruppe gebildet haben, sollte dies umgehend passieren. Da es sich um eine gesetzliche Vorgabe handelt, müssen die entsprechenden Mittel zur Umsetzung eingeplant und bereitgestellt werden.
Wenn Sie bei der Umsetzung feststellen sollten, dass Sie hierbei Unterstützung benötigen, kommen Sie gerne auf uns zu.
Céline Lürmann
Rechtsanwältin
Consultant für Datenschutz
Was ist Whistleblowing?
Beim Whistleblowing geht es darum, Mitarbeitern in einem Unternehmen die Möglichkeit zu geben, zu melden, wenn sie bei Kollegen verbotenes Verhalten feststellen. Banken sind verpflichtet, einen Whistleblowing-Prozess einzuführen. Andere Branchen müssen dies im Rahmen der Korruptionsbekämpfung.
Was hat Whistleblowing mit Datenschutz zu tun?
Mit der Meldung von Verstößen müssen üblicherweise personenbezogene Daten erhoben, verarbeitet und genutzt werden. So kommt eine Meldung nicht ohne Angabe der Beschuldigten, etwaiger Zeugen und ggf. auch des Meldenden aus. Neben der möglichen Weiterleitung an Strafverfolgungsbehörden kann es sein, dass die so erhobenen Daten innerhalb des Konzerns und damit verbunden in Drittstaaten übermittelt werden.
Rechtsgrundlagen
Auch für den Datenverarbeitungsvorgang des Whistleblowings muss eine Rechtsgrundlage gegeben sein. Dafür kann Art. 88 Abs.1 DSGVO, § 26 Abs. 1 S. 2 BDSG herangezogen werden, wonach zur Aufdeckung von Straftaten Beschäftigtendaten unter bestimmten Voraussetzungen erhoben und verarbeitet werden dürfen. Nach Auffassung der Aufsichtsbehörden sollte der Hinweisgeber anonym bleiben oder seine Daten nur mit seiner informierten Einwilligung verarbeitet werden, Art. 6 Abs. 1 lit. a) DSGVO, § 26 Abs. 2 BDSG.
Mitarbeiterinformation
Regelungen über das Whistleblowing (z.B. Betriebsvereinbarungen) müssen im Unternehmen bekannt gemacht werden und zwar so, dass es für alle Arbeitnehmer möglich ist, ohne großen Aufwand vom Inhalt der Regeln Kenntnis zu bekommen. Die Betroffenenrechte wie Auskunftsrecht, das Berichtigungsrecht und das Löschungsrecht sind in diesem Zusammenhang nochmal deutlich zu erwähnen.
Information der Beschuldigten
Über Ermittlungen aufgrund von Whistleblower-Meldungen sind beschuldigte Personen gem. Art. 14 DSGVO umfassend zu informieren. Die Information an den Beschuldigten darf nach Art. 14 Abs. 5 lit. b) DSGVO zurückgehalten werden, wenn der Ermittlungserfolg durch eine frühzeitige Information gefährdet wäre. Allerdings muss der Verantwortliche seine Informationspflicht nachholen, wenn die Gefährdungslage nicht mehr gegeben ist. Dies ergibt sich aus Art. 14 Abs. 5 lit. b) S. 2 DSGVO, wonach der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen des Beschuldigten ergreifen muss.
Löschung
Unverzügliche Datenlöschung bei unbegründeter Meldung, ansonsten spätestens 2 Monate nach Beendigung des Untersuchungsverfahrens. Eine längere Speicherung ist nur bei der Durchführung eines Disziplinar- oder Strafverfahrens möglich. Wird ein Sachverhalt gemeldet, der den Verdacht einer Straftat begründet, dürfen die Daten für die Dauer der Untersuchung bzw. solange aufbewahrt werden bis sich daran anschließende rechtliche Maßnahmen und Verfahren abgeschlossen sind.
Maßnahmen vor Einführung des Whistleblowings
- Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
- Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs.1 DSGVO
- Erfüllung von Informationspflichten Art. 13, 14 DSGVO
- Betriebsrat beteiligen
- Falls ein Dienstleister beteiligt ist (Anbieter eine Hotline) ADV mit dem Dienstleister nach Art. 28 DSGVO abschließen
- Regellöschfristen festlegen
Michaela Dötsch
Rechtsanwältin
Die Datenschutzgrundverordnung (DSGVO) ist nun bald ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun droht aber das erste ernstzunehmende europäische Bußgeld für ein Krankenhaus in Portugal.
Ein Krankenhaus bei Lissabon soll insgesamt 400.000 Euro Strafe zahlen, weil u.a. zu viele Personen Zugriff auf Patientendaten hatten. Das Krankenhaus will nun gerichtlich gegen das Bußgeld vorgehen.
Obwohl aktuell nur knapp 300 Ärzte in dem Krankenhaus arbeiten, waren im System knapp 1000 aktive Benutzer als „Arzt“ registriert. Es wurde somit ein umfangreicher Zugriff auf besonders schützenswerte Gesundheitsdaten ermöglicht. Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, Art. 4 Nr. 15 DSGVO. Gerade für diese Daten müssen die Zugriffe so eng wie möglich ausgestaltet sein.
Aufgrund der Sensibilität der hier verarbeiteten Daten und des doch erheblichen Verstoßes hätte die Strafe hier auch durchaus noch höher ausfallen können.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Die größten Browserhersteller Mozilla, Google, Apple und Microsoft haben angekündigt, dass ihre Browser ab 2020 die älteren Versionen von TLS, nämlich TLS 1.0 und TLS 1.1, nicht mehr unterstützen. Das bedeutet, dass Seiten, die nicht mindestens TLS 1.2 unterstützen, dann nicht mehr aufrufbar sein könnten, mindestens aber als unsicher markiert werden.
Dies wurde von den Browserherstellern zeitgleich bekannt gegeben. Nachdem nun von Chrome auch Seiten ohne HTTPS als "nicht sicher" klassifiziert werden, ist dies ein weiterer Schritt, um Benutzer sicherer surfen zu lassen.
Grund für die Abschaffung sind hauptsächlich schwache Hash-Verfahren wie beispielsweise MD5 und SHA1, welche momentan beide gebrochen werden können. Sollte ein Angreifer also lesend Zugriff auf Netzwerkverkehr erhalten, so kann er versuchen, die Verschlüsselung zu brechen. Hierdurch erhält er unter Umständen Zugriff auf sensible Informationen seines Opfers, beispielsweise die Zugangsdaten.
Außerdem bieten die alten TLS Versionen weitere Angriffsmöglichkeiten, wie z. B. BEAST oder POODLE.
Momentan stellen Verbindungen, welche mit TLS 1.0 und TLS 1.1 gesichert werden, allerdings nur einen verschwindend geringen Anteil dar: laut Google's Security Blog werden nur 0.5% aller HTTPS-Verbindungen mit TLS 1.0 oder TLS 1.1 aufgebaut. Da TLS 1.2 schon 2008 als Empfehlung galt, war genug Zeit, um auf die neueren Versionen umzustellen.
Tatsächlich spielt nicht nur die verwendete Version des TLS-Protokolls eine Rolle, sondern auch die angebotenen Cipher. Unter einem Cipher versteht man die bei SSL/TLS eingesetzte Kombination von Verschlüsselungs-, Signatur- und Hashverfahren. Werden diese zu schwach gewählt, kann die Verschlüsselung potenziell gebrochen werden. Zwar wird standardmäßig der stärkste verfügbare Cipher zwischen Client und Server ausgehandelt, jedoch kann ein Angreifer hier eingreifen und eine sehr schwache Verbindung zwischen seinem Opfer und dem Server erzwingen. Diese Attacken werden "TLS Protocol Downgrade Attacks" genannt.
Christian Stehle
IT Security Consultant
Unternehmen setzen oftmals Dienstleister ein (z.B. IT-Dienstleister, Fachentsorger, etc.), die personenbezogene Daten im Auftrag für den Verantwortlichen verarbeiten und dabei nur weisungsgebunden mit diesen Daten umgehen dürfen.
Zur Absicherung dieser Auftragsverarbeitung muss zwischen dem Unternehmen (Verantwortlicher) und dem Dienstleister (Auftragsverarbeiter) ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Dieser Vertrag muss den Vorgaben von Art. 28 Abs. 3 DSGVO entsprechen. U.a. müssen die Unterstützungspflichten des Dienstleisters gegenüber dem Verantwortlichen dort geregelt sein:
- Unterstützung bei der Erfüllung der Informationspflichten aus Art. 13, 14 DSGVO.
- Unterstützung bei der Wahrung der Rechte der betroffenen Personen aus Art. 15 ff DSGVO
- Unverzügliche Mitteilung, wenn eine Weisung des Auftraggebers gegen DSGVO oder sonstige Datenschutzbestimmungen verstößt
- Unverzügliche Mitteilung einer Datenschutzverletzung
- Unterstützung bei Melde- und Benachrichtigungspflichten aus Art. 33, 34 DSGVO.
- Unterstützung bei einer Datenschutz-Folgenabschätzung aus Art. 35 DSGVO.
- Ermöglichen von Kontrollen (auch vor Ort)
Die meisten Dienstleister stellen eine entsprechende Vertragsvorlage bereits von sich aus zur Verfügung. Häufig enthalten diese Vertragsmuster jedoch Klauseln, in denen der Dienstleister dem Verantwortlichen Unterstützungsleistungen im Bereich Datenschutz in Rechnung stellt. Als ob man in einem Restaurant einen Aufpreis zahlen müsste, wenn man das Essen nach Hygiene-Vorschriften zubereitet haben möchte!
Der Bayerische Landesbeauftrage für den Datenschutz hat daher nun klargestellt, dass Verantwortliche „darauf achten [sollten], dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen“. Denn solche Extra-Kosten würden den Verantwortlichen an der Ausübung seiner datenschutzrechtlichen Pflichten und damit einhergehenden Rechte gegenüber dem Dienstleister „entgegenwirken“ und „abschreckende Wirkung entfalten.“
Dienstleister sollten also zukünftig auf solche Klauseln verzichten, wenn sie nicht möchten, dass der Schutzzweck des Art. 28 DSGVO ausgehebelt wird. Denn auch sie haben mit Sanktionen zu rechnen, wenn ein Vertrag zur Auftragsverarbeitung nicht ordnungsgemäß abgeschlossen wurde.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.