Autor: Online Redaktion

Im Internet finden sich immer wieder Geschichten, in denen berichtet wird, wie z.B. Amazons Alexa oder der Google Assistant Unterhaltungen mitschneiden, obwohl sie niemand bewusst dazu aufgerufen hat. Bisher beschränken sich diese Anekdoten stets auf den privaten Bereich, doch auch im geschäftlichen Bereich ist es durchaus vorstellbar, dass Gespräche von virtuellen Assistenten aufgezeichnet werden könnten, ohne dass der Nutzer davon erfährt.

Die Spracherkennung hat in den letzten Jahren große Fortschritte gemacht, so dass die führenden Unternehmen auf diesem Gebiet nicht nur schriftliche Texte sondern auch Tonaufnahmen immer besser und effizienter analysieren können. So durfte sich der Autor dieses Artikels beispielsweise kürzlich darüber freuen, dass der Google Assistant ungefragt eine an ihn gerichtete E-Mail ausgewertet und den darin enthaltenen Hotelaufenthalt (samt Ort und Zeitpunkt) vollautomatisch in seinen Kalender eingetragen hat. Wenn das die werte Gattin gesehen hätte …

Der Gedanke liegt nicht fern, dass bereits jetzt zufällig oder weniger zufällig mitgeschnittene Gespräche mit Hilfe Künstlicher Intelligenz hinsichtlich ihrer Relevanz ausgewertet werden könnten. Vor diesem Hintergrund ist es angeraten und gemäß Art. 32 DSGVO im Übrigen auch geboten, angemessene Vorsichtsmaßnahmen zu treffen, um einen nichtautorisierten Abfluss von personenbezogenen Daten und Geschäftsgeheimnissen zu verhindern.

Eine geeignete Vorsichtsmaßnahme ist es beispielsweise, dass die Smartphones der Teilnehmer einer vertraulichen Besprechung ausgeschaltet am Empfang abgegeben oder zumindest in einem schalldichten Behälter im Raum deponiert werden. Es genügt im Übrigen nicht, Smartphones während einer Besprechung einfach in den Flugmodus zu schalten. Android-Telefone zeichnen laut einem Bericht der Washington Post mindestens den Ort und die Aktivitäten des Nutzers auch während der Flugmodus-Phase auf und übermitteln diese an Google, sobald wieder eine Internetverbindung besteht. Da die Spracherkennung des Google Assistant seit Mai diesen Jahres auch offline funktioniert, ist auch in dieser Hinsicht Vorsicht geboten.

Sicherlich ist es nicht erforderlich bzw. teilweise kaum mehr möglich, komplett auf virtuelle Assistenten zu verzichten. Zumindest wenn sensible Themen besprochen werden, sollte der freundliche kostenlose Helfer jedoch draußen bleiben.

Laut einer Umfrage der Welt am Sonntag unter den deutschen Datenschutzbehörden wurden in den ersten zwölf Monaten nach Inkrafttreten der DSGVO Bußgelder in Höhe von ca. EUR 485.000 in Deutschland verhängt.

Die Spannbreite reichte hierbei von Bußgeldern in Höhe von wenigen hundert Euro bis hin zu einem vorläufigen Rekordbußgeld in Höhe von EUR 80.000, das der Landesbeauftragte für den Datenschutz in Baden-Württemberg wegen der unsachgemäßen Verarbeitung von Gesundheitsdaten verhängt hat. In Berlin wurde zudem erst im Mai – quasi zum einjährigen Bestehen der DSGVO – ein Bußgeld in Höhe von EUR 50.000 gegen eine Online-Bank verhängt, die unzulässigerweise Daten ehemaliger Kunden auf einer schwarzen Liste geführt haben soll.

Die Bußgelder werden häufig durch Beschwerden betroffener Personen ausgelöst. Allerdings führt nur ein Bruchteil der eingereichten Beschwerden zu einem Bußgeld. So wurden in den ersten zwölf Monaten über 150.000 Beschwerden allein bei deutschen Datenschutzbehörden eingereicht. Eine Steigerung um ein Vielfaches im Vergleich zu den Zahlen vor Einführung der DSGVO.

In anderen EU-Ländern sind bisher wenige Bußgelder auf Grundlage der DSGVO verhängt worden. Allerdings sind die Bußgeldbeträge zum Teil deutlich höher als in Deutschland. Allen voran die französische „Commission Nationale de l’Informatique et des Libertés“oder CNIL, die im Jahr 2018 exakt ein Bußgeld auf Grundlage der DSGVO verhängt hat, nämlich in Höhe von EUR 50 Mio. gegen Google und zwar wegen nicht im Sinne von Art. 13 DSGVO transparenter bzw. nicht vollständiger Datenschutzinformationen. In Portugal, Polen und Norwegen verhängte Bußgelder, die jeweils deutlich im sechsstelligen Bereich liegen, lassen vermuten, dass sowohl die Anzahl der Bußgeldverfahren, als auch die in den Raum gestellten Bußgeldbeträge in Zukunft europaweit steigen dürften.

Am Ende sollte jedoch nicht vergessen werden, dass die Bußgelder keinen Selbstzweck darstellen dürfen. Es schließlich ist das ausdrückliche Ziel der DSGVO, den freien Verkehr personenbezogener Daten in der EU zu fördern – nicht etwa einzuschränken oder gar zu verbieten (Art. 1 Abs. 3 DSGVO).

Eine systematische Ausrichtung anhand der europäischen Datenschutznormen bietet Unternehmen jeglicher Größe Möglichkeit, bei der Datenverarbeitung in der EU – und zunehmend auch in anderen Regionen der Welt mit vergleichbaren Standards (z.B. Kanada, Japan, Australien) – von den durch die DSGVO gesetzten Standards zu profitieren.

Im August 2014 hat die Internationale Standardisierungsorganisation (ISO) ihre Norm „ISO/IEC 27018:2014 – Code of Practice for Protection of Personal Identifiable Information (PII) in Public Clouds as PII-processors“ eingeführt, die allgemein anerkannte Kontrollziele, Kontrollmechanismen und Leitlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten in der Cloud definiert.

Im Gegensatz zu den sehr technisch orientierten Normen ISO 27001 und ISO 27002 verfügt ISO 27018 über eine eher organisatorische und konzeptionelle Ausrichtung. Während erstere als Hauptnormen zudem auf ein recht breites Anwendungsspektrum ausgerichtet sind, beschäftigt sich ISO 27018 sehr spezifisch mit dem Teilaspekt der Verarbeitung von personenbezogenen Daten in der Cloud. Sie enthält Kontrollen und Leitlinien für die Schutzanforderungen an die Verarbeitung personenbezogener Daten in der Public Cloud, die von den Kontrollen beispielsweise der ISO 27002 nicht berücksichtigt werden.

Für Anbieter und Nutzer von Cloud-Lösungen ist die ISO 27018 unter anderem deshalb interessant, weil sie weitgehend mit den Bestimmungen von Art. 28 DSGVO übereinstimmt, die für Cloud Computing relevant sind. Mit einer Zertifizierung nach ISO 27018 kann die DSGVO-konforme Umsetzung technischer und organisatorischer Maßnahmen daher standardisiert und nachhaltig dokumentiert werden. Dies erleichtert auch den Nachweis und die Bewertung der DSGVO-Konformität beim Abschluss von Auftragsverarbeitungsverträgen.

Die Anforderungen der ISO 27018 an die Betreiber von Cloud Computing-Diensten spiegeln die Anforderungen von Art. 28 DSGVO weitgehend wider. Die Norm kann daher als Wegweiser dienen, der das Unternehmen auf dem teilweise komplizierten Pfad des Datenschutzes leitet.

ISO 27018 stellt unter anderem folgende Anforderungen an die Anbieter von Clouds:

• Personenbezogene Daten müssen stets nach den Anweisungen des Kunden verarbeitet werden.
• Vor der Verarbeitung personenbezogener Daten für Marketing- oder Werbezwecke ist eine gültige Einwilligung der betroffenen Person einzuholen.
• Der Cloud-Anbieter muss seinen Kunden unterstützen, wenn eine von der Datenverarbeitung betroffene Person ihr Recht auf Zugang zu ihren Daten geltend macht.
• Personenbezogene Daten aus der Cloud sollten den Strafverfolgungsbehörden nur dann zur Verfügung gestellt werden, wenn dies gesetzlich vorgeschrieben ist.
• Im Falle einer Datenschutzverletzung muss der Anbieter den Kunden bei der Meldung an die Datenschutzbehörden unterstützen.
• Es müssen Richtlinien für die sichere Rückgabe, Übermittlung und Entsorgung personenbezogener Daten vorhanden sein.
• Datenschutzaudits müssen in regelmäßigen Abständen durchgeführt werden.
• Der Cloud-Anbieter muss sicherstellen, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, Vertraulichkeitsvereinbarungen unterzeichnen und hinsichtlich Datenschutz und Datensicherheit geschult werden.

ISO 27018 Zertifizierungen werden von diversen Dienstleistern angeboten. Neben großen Anbietern wie T-Systems, IBM und Amazon/AWS lassen sich zunehmend auch mittlere und kleine Unternehmen zertifizieren. Das ISO 27018-Zertifikat (aufbauend auf ISO 27001) schafft Vertrauen bei den Kunden und hilft ihnen, sich im immer härter werdenden Wettbewerb zu differenzieren.

Clouds speichern bereits heutzutage enorme Mengen von Daten. Eine Entwicklung, die sich in naher Zukunft noch auf bisher unvorstellbare Weise beschleunigen wird. Diese Entwicklung erfordert einen umfassenden systematischen und standardisierten Schutz der in den Clouds verarbeiteten personenbezogenen Daten. Die dramatischen Folgen von Datenschutzverletzungen können den Verlust von Rechten und Freiheiten, Identitätsdiebstahl, Geldbußen und einen enormen Reputationsverlust für die von der Datenverarbeitung betroffenen Personen umfassen. Die Einhaltung der ISO 27018 trägt zum Schutz der personenbezogenen Daten bei und stellt sicher, dass personenbezogene Daten in der Cloud in Übereinstimmung mit den gesetzlichen Bestimmungen verarbeitet werden.

Ein Jahr nach Inkrafttreten der Datenschutzgrundverordnung der Europäischen Union (DS-GVO) sind in Deutschland bisher nur 42 Verstöße mit Bußgeldern verhängt worden. Die Gesamthöhe mit rund einer halben Million Euro bleibt damit überschaubar klein. Das große Schreckgespenst der massenhaften Abmahnungen blieb damit erst einmal aus. Lediglich 54 Verwarnungen wurden in Deutschland aufgrund von Missachtung der DS-GVO ausgesprochen. Damit verfolgten deutsche Behörden jede Nichteinhaltung der Verordnung immer noch intensiver als alle anderen europäischen Länder. Zum Vergleich: in Lettland wurden nur zwölf Bußgelder verhängt, in Frankreich zehn und in den Niederlanden wurde nur ein einziger Fall bestraft. Allerdings haben unsere Nachbarn den höchsten Bußgeldbescheid innerhalb der EU erlassen und die meisten Verwarnungen ausgesprochen. In Zukunft werden die europäischen Aufsichtsbehörden jedoch die Umsetzung der DS-GVO schärfer überwachen und zu höheren Bußgeldzahlungen greifen. So hat die französische Aufsichtsbehörde im Januar dieses Jahres ein Bußgeld in Höhe von 50 Millionen Euro gegen einen amerikanischen Suchmaschinenbetreiber auf Grund seiner mangelnden Transparenz- und Informationspflicht verhängt.

Mehr zum Thema finden Sie hier:
https://www.ey.com/de/de/newsroom/news-releases/ey-20190524-ein-jahr-dsgvo-behoerden-halten-sich-europaweit-mit-bussgeldern-noch-zurueck

Jeder EU-Bürger, der ein Flugzeug besteigt, wird seit Mai 2018 von den Polizeibehörden gespeichert und analysiert. Dies stellt eine Art Vorratsdatenspeicherung für Flugreisende durch das Passenger Name Records (PNR) Verfahren dar. In diesem Verfahren werden alle verfügbaren Informationen über Passagiere, deren Gepäck, das An- und Abflugsziel sowie Zeiten und sogar der Ticketkauf gesammelt. Die Behörden speichern nach einer Liste bis zu 19 verschiedene Punkte zu allen Fluggästen. Die Begründung für die Datensammlung ist, wie zur Zeit selbstverständlich, die Sicherheit im Flugverkehr. Die Behörde sucht nach Verhaltensmustern, um mögliche Terrorgefahren zu erkennen. Gegen diese massenhafte Datensammlung nach EU-Vorschrift wehrt sich eine Reihe von Politikern und Bürgerrechtlern. Sie wollen, dass das Verfahren durch den Europäischen Gerichtshof (EuGH) geprüft und die Massenüberwachung so schnell wie möglich beendet wird. Die Klage richtet sich gegen die deutsche Umsetzung, die zugleich eine Verletzung der Grundrechte von EU-Bürgern bedeute.
In einem ähnlichen Abkommen zwischen der EU und Kanada hatte das Gericht bereits 2017 das Speichern von Passagierdaten als unrechtmäßig erklärt. Diese Daten dürfen die Behörden zwar sammeln, so das Gericht, jedoch dürfe nicht ohne Grund sämtliche Fluggastdaten durchsucht und jahrelang gespeichert werden. Tatsächlich gibt es durch die Behörden bisher keine nachgewiesene Notwendigkeit der massenhaften Fluggastdatenspeicherung.

Mehr zum Thema finden Sie hier:
https://www.zeit.de/digital/internet/2019-05/fluggastdaten-speicherung-eu-klage-politiker-aktivisten

Derzeit gibt es wieder eine Welle an gefälschten E-Mails die ganze Netzwerke lahm legen können, von denen ebenso Unternehmen stark betroffen sind. Diese Mitteilungen sind meist Antworten auf eine ehemalig erfolgte E-Mail-Konversation und wirken auf dem ersten Blick sehr echt. Denn korrekte Angabe der Namen sowie die E-Mail-Adressen von Absender und Empfänger in Betreff, Anrede und Signatur wirken auf viele authentisch. Doch das Schadprogramm im Anhang der Nachrichten bedroht aktuell Unternehmen, Behörden und Privatanwender und verursacht extrem hohe Schäden. Denn dies ist ein Einfallstor für weitere Schadprogramme wie zum Beispiel den Banking Trojaner Trickbot!

Kennzeichnend für gefälschte E-Mails sind:

• Inhaltlich stehen immer kurze Aussagen wie z.B.: Ihre angeforderte Informationen finden Sie im Anhang dieser E-Mail.
• Der Dateiname in der E-Mail lautet z.B.: Inf_75737_4463075.doc
• Der Absender-Name und die Absender-Mailadresse unterscheiden sich deutlich: „Herr Beispiel“ <diane@ip-casting.com>

Bitte öffnen Sie auf keinen Fall Dokumente in solchen E-Mails. 
Im Zweifelfalls können Sie sich gerne an uns wenden.

Weitere Informationen hierzu vom Bundesamt für Sicherheit in der Informationstechnik finden Sie unter:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html

Durch einen gravierenden Fehler in der Datenverarbeitung wurden Informationen über Sozialhilfeempfänger der Stadt Zülpich veröffentlicht. Darin enthalten waren Rückforderungen von geleisteten Zuwendungen der Stadt an 30 namentlich genannte Zülpicher Bürger. Diese Informationen wurden auf der Webseite unter der Rubrik „Ratsinformationen“ versehentlich durch die Sachbearbeiter des Ratsbüros eingepflegt. Neben der Sozialhilfe wurde dort auch die Grundsicherung im Alter und bei Erwerbsminderung aufgeführt. Nachdem der Fehler aufgefallen war, hatten bereits mehrere Bürger der Stadt den Vorfall beim Datenschutzbeauftragten des Landes NRW gemeldet.

Den ausführlichen Bericht zum Thema finden Sie hier:
https://www.ksta.de/region/euskirchen-eifel/zuelpich/daten-panne-zuelpicher-verwaltung-veroeffentlicht-namen-von-sozialhilfe-empfaengern-32439702

Wohnraum in Großstädten ist zur Zeit sehr knapp und Vermieter verlangen daher manchmal Seitenweise Selbstauskünfte ihrer zukünftigen Mieter. Doch welche Fragen sind zulässig und bei welchen kann man die Auskünfte verweigern? Hierbei ist abzuwägen, dass alle Fragen des Vermieters grundsätzlich ein nachvollziehbares und berechtigtes Interesse an der Beantwortung der Fragen besteht. Damit dürfen nur Daten abgefragt werden, die auch tatsächlich erforderlich sind. So dürfen im ersten Schritt bei einem bevorstehenden Besichtigungstermin nur der Name und die entsprechenden Kontaktdaten abgefragt werden.

Sollte der zukünftige Mieter Interesse an der Wohnungen haben, dürfen im zweiten Schritt Informationen erfragt werden, die für das Mietverhältnis erforderlich sind. Nicht erlaubt sind Fragen nach Familienstand, Heiratsabsichten, Religionszugehörigkeit oder gar Fragen nach ethnischer Herkunft, Partei-, Mietverein- oder Gewerkschaftszugehörigkeit. Es gilt auch bei einem Mietverhältnis die Datenschutzgrundverordnung (DSGVO) einzuhalten und daher müssen unzulässige Fragen nicht beantwortet werden. Weiterhin müssen Vermieter alle Daten des Mieters nach Beendigung des Mietverhältnisses löschen.

Weitere wichtige Informationen zum Thema finden Sie hier: https://www.datenschutzbeauftragter-info.de/mieterselbstauskunft-dsgvo-welche-fragen-muss-man-beantworten/

Durch den bekanntgewordenen „Cambridge Analytica“-Skandal, bei dem illegal und ohne Einwilligung der Nutzer Millionen von Facebook Daten gesammelt wurden, rechnet das Soziale Netzwerk mit einer Strafe in Höhe von 3 bis 5 Milliarden Dollar. Dass diese Strafe zustande kommen könnte, prüft die Federal Trade Commission (FTC) zur Zeit in den USA. Facebook selbst geht aber wohl von dieser Strafe in Rekordhöhe aus, denn gegenüber den Investoren gab das Unternehmen in einem Finanzbericht bekannt, dass mit einer hohen Geldstrafe zu rechnen sei. Einen Schritt in Richtung ernsthaftem Datenschutz soll bei Facebook zukünftig ein Gremium überwachen, das sich unter anderem aus Mitgliedern des Facebook-Verwaltungsrats zusammensetzen wird.

Mehr zum Thema lesen Sie hier:
https://www.datenschutz-praxis.de/fachnews/facebook-erhaelt-milliardenstrafe/