Autor: Online Redaktion

Mit Datum vom 16. Juni 2014 veröffentlicht der Düsseldorfer Kreis eine umfassende  Orientierungshilfe, die sich an App-Entwickler und App-Anbieter richtet. Die Orientierungshilfe wurde in Zusammenarbeit mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) erstellt.

Die Orientierungshilfe bietet auch für App-Verwender einen Überblick über die technischen und rechtlichen Rahmenbedingungen und verweist dabei zur Veranschaulichung auf praktische Beispiele.

Die vollständige Orientierungshilfe kann auf der Website des Bayerischen Landesamtes für Datenschutz heruntergeladen werden:

http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2014/pm010.html

Unternehmen sollten sich bei Verwendung von Apps darüber im Klaren sein, dass über Apps eine Vielzahl von Informationen – darunter auch personenbezogene Daten – erhoben werden (können). Diese werden in Teilen auch erhoben, ohne dass eine Information über die Erhebung erfolgt.

Im Einzelnen können solche Daten sein:

• IP-Adresse des Nutzers
• Audiodaten mit Stimmaufnahmen
• Kontaktdaten
• Anruflisten
• Informationen über App-Nutzung
• Nachrichten wie SMS oder E-Mails.

Weitere Fragestellungen im Zusammenhang mit der Verwendung von Apps sollten im Vorfeld geklärt sein, wie z. B.:

• Werden auch Daten mit erhöhtem Schutzbedarf erhoben, die eine besondere Einwilligung des App-Nutzers erfordern?
• Findet bei Nutzung der App Auftragsdatenverarbeitung statt?
• Werden über die App ggf. Daten in Länder außerhalb der EU übermittelt?
• Welche vertraglichen Regelungen müssen bei Auftragsdatenverarbeitung bzw. Datenübermittlung getroffen werden?

Beziehen Sie daher den Datenschutzbeauftragten mit ein und beraten sich mit ihm über zu beachtende Fallstricke, bevor Apps im Unternehmen zur Verwendung kommen.

Die norddeutsche Firma Enercon, die sich auf Windradtechnologie spezialisiert hat, bekam 1995 Post aus den USA. In dem Schreiben wurde das Unternehmen aus Aurich bezichtigt, eine Erfindung des US-Konkurrenten Kenetech Windpower Inc. kopiert und damit Patente verletzt zu haben.
Tatsächlich stellte sich heraus, dass das US Unternehmen die Erfindung, es ging um einen technisch revolutionären Direktantrieb in Windkraftanlagen, hat ausspähen lassen. Vor dem Amtsgericht Oldenburg konnte bewiesen werden, dass am 21. März 1994 in Hooksiel, Landkreis Friesland, in eines dieser Anlagen eingebrochen und das technische Know-How erkundet wurde. Was aber nicht geklärt werden konnte, ist die Tatsache, woher die Einbrecher ihr detailliertes Wissen hatten und wie sie an Informationen über das Sicherheitssystem gekommen sind. Einem Gerücht zu folge hat ein Geheimdienstmitarbeiter geplaudert, so soll die Enercon-Telefonleitung von der National Security Agency (NSA) abgehört worden sein. Dieses Wissen wurde dann an die Kenetech in den USA weitergegeben.

„Dafür gibt es keine Beweise“, hieß es bei Enercon.

Klar ist, dass der deutsche Verfassungsschutz Unternehmen eindringlich vor Angriffen fremder Nachrichtendienste warnt. In vielen Ländern ist die Beschaffung von technischen Informationen oberstes oder gar staatliches Spionageziel.
So lautet das Spionageziel im „Gesetz der Russischen Föderation über die Auslandsaufklärung“ nach Artikel 5: „Förderung der wirtschaftlichen Entwicklung (…) des Landes durch Beschaffung von wirtschaftlichen (…) Informationen durch die Organe der Auslandsaufklärung.“

Einen ausführlichen Bericht zum Thema finden Sie hier:
https://mobil.nwzonline.de/politik/niedersachsen/der-spion-der-aus-dem-kabel-kam-hat-die-nsa-auch-bei-enercon-spioniert_a_28,0,311901736.html

Das BSI warnt in seiner Pressemitteilung vom 15.04.2014 vor E-Mails, die Online-Kriminelle unter Nutzung von gefälschter Absenderangabe versenden. Angeblich sei das BSI der Absender.
In den E-Mails wird vor scheinbaren „anwaltlichen Schritten“ gewarnt, zu deren Vermeidung der E-Mail-Empfänger ein Formular herunterladen und ausfüllen solle.

Das BSI weist in seiner Pressemitteilung ausdrücklich darauf hin, dass solche oder ähnlich lautende E-Mails nicht vom BSI stammen.

Laut Empfehlung des BSI solle man diese E-Mails löschen und in keinem Falle das Formular runterladen oder die E-Mail beantworten.

Die Pressemitteilung kann unter www.bsi.bund.de unter dem Punkt „Aktuelles“ unter dem oben angegebenen Datum nachgelesen werden.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert in seinen Pressemitteilungen über den neu bekannt gewordenen Fall von Identitätsdiebstahl. Demnach hat die Staatsanwaltschaft Verden (Aller) dem BSI einen Datensatz mit 21 Millionen E-Mail-Adressen und Passwörtern zur Verfügung gestellt, die von diesem Datenklau betroffen sind.
Nach Analyse und Bereinigung durch das BSI verbleiben 18 Millionen betroffene E-Mail-Adressen, darunter befinden sich etwa 3 Millionen deutsche E-Mail-Adressen.

Das BSI hat bereits Maßnahmen ergriffen und informiert auf seiner Website www.bsi.de über die aktuellen Entwicklungen.

Folgende Schritte können Betroffene durchführen:

a)    Durchführen eines Sicherheitstest, beschrieben unter https://www.sicherheitstest.bsi.de/
b)    Ergreifen von vorbeugenden Sicherheitsmaßnahmen, nachzulesen unter https://www.sicherheitstest.bsi.de/empfehlungen.
Diese Sicherheitsmaßnahmen sind aufgeteilt in 12 präventive Maßnahmen, darunter fünf Kernmaßnahmen sowie sieben ergänzende Maßnahmen:

1. Durchführen von Sicherheitsupdates
2. Installation eines Virenschutzprogrammenes
3. Installation einer Personal Firewall
4. Nutzung eines Benutzerkontos mit eingeschränkten Rechten (bitte kein Administrator-Konto verwenden)
5. Zurückhaltung üben bei der Weitergabe von persönlichen Daten
6. Nutzung von Einstellungsmöglichkeiten des Browsers (Filter)
7. Sicheres Passwort (mindestens 12 Zeichen, Groß- u. Kleinbuchstaben, Sonderzeichen, Zahlen, regelmäßig ändern, keine Auffindbarkeit in Wörterbüchern, etc.)
8. Nutzung von Verschlüsselung
9. Deinstallation von nicht mehr benötigten Anwendungen/Programmen
10. Anlegen von Sicherheitskopien in regelmäßigen Abständen
11. Nutzung von Verschlüsselungsstandards bei WLAN (zurzeit WPA 2)
12. Überprüfung des Sicherheitsstatus des Computers in regelmäßigen Abständen

Geldinstitute und Unternehmen informieren sich – bevor sie mit Kunden einen Vertrag abschließen – bei Wirtschaftsauskunfteien über die Kreditwürdigkeit bzw. Zahlungsfähigkeit des Kunden. Hierzu wenden sie sich beispielsweise an die Schufa, um dort einen „Score-Wert“ zu erfragen.

Der betroffene Kunde hat seinerseits einmal pro Kalenderjahr ein kostenloses  Auskunftsrecht zu seinen bei der Wirtschaftsauskunftei hinterlegten Daten. Jedoch hat der betroffene Kunde keinen Anspruch darauf zu erfahren, wie der „Score-Wert“ errechnet wurde.

Durch den Bundesgerichtshof BGH wurde nun in einem Fall entschieden, dass die Berechnungsformeln der Schufa zur Findung des „Score-Wertes“ weiterhin Geschäftsgeheimnis der Schufa bleiben dürfen.

BGH, Urteil v. 28.1.2014, VI ZR 156/13

Der Landesdatenschutzbeauftragte von Baden-Württemberg Jörg Klingbeil hat seinen 31. Tätigkeitsbericht für die Jahre 2012/2013 veröffentlich.

Der Tätigkeitsbericht befasst sich mit einer Vielzahl von datenschutzrechtlichen Anwendungsfeldern wie z. B. Gesundheit und Soziales, Videoüberwachung, Verwendung von „Double-Opt-in“ bei Werbung per E-Mail, Social Media sowie Verwendung von Cloud Lösungen, um nur einige zu nennen.

Der Bericht beschreibt datenschutzrechtliche Fallstellungen und deren praktische Lösungen bzw. Empfehlungen.

Auf der Website des Landesdatenschutzbeauftragten von Baden-Württemberg unter www.baden-wuerttemberg.datenschutz.de kann der Bericht eingesehen und runtergeladen werden.

Am 6. Januar 2014 wurde die Juristin Andrea Voßhoff nach erfolgreicher Wahl im Deutschen Bundestag zur neuen Bundesdatenschutzbeauftragten ernannt.
Sie ist damit die sechste Bundesdatenschutzbeauftragte und löst Peter Schaar ab, der das Amt seit Dezember 2003 innehatte.
Die Bundesdatenschutzbeauftragte ist Mitglied in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder. Sie wirkt außerdem bei verschiedenen europäischen Gremien, den Datenschutz betreffend mit. Zu den Aufgaben einer Bundesdatenschutzbeauftragten gehört auch, für den Deutschen Bundestag alle zwei Jahre einen Tätigkeitsbericht  zu erstellen.

Weitere Informationen zur Pressemitteilung sowie zur Person Andrea Voßhoff können unter http://www.bfdi.bund.de nachgelesen werden.

In seiner Pressemitteilung vom 26.11.2013 gibt das BSI Bundesamt für Sicherheit in der Informationstechnik die Herausgabe eines Grundlagenwerkes zur Sicherheit von industriellen Anlagen bekannt, dem „ICS-Security-Kompendium“.

ICS steht für „Industrial Control Systems“ und bedeutet übersetzt: Industrielle Steuerungssysteme und Automatisierungssysteme.
Anwendung finden ICS häufig in produzierender Industrie sowie in Branchen von kritischer Infrastruktur (Beispiele: Wasser, Energie, Ernährung, Transport, Verkehr).

Das Kompendium befasst sich mit Grundlagen zur IT-Sicherheit und ICS-Abläufen und geht im Besonderen auf relevante Normen und Standards ein. Es kann als Nachschlagewerk verwendet werden.

Auf der Website des BSI kann das Kompendium eingesehen und runtergeladen werden.

 

 

 

 

In seiner Sitzung vom Montag, 21. Oktober 2013 hat der Innenausschuss des EU-Parlamentes dem Entwurf einer Datenschutz-Grundverordnung zugestimmt. Dies bedeutet, dass die Datenschutz-Grundverordnung nun zwischen den betreffenden Gremien, dem Innenausschuss des EU-Parlamentes, dem Rat der Europäischen Union (Ministerrat der EU-Länder) und der EU-Kommission verhandelt werden kann.
Grundsätzliches Ziel dieser Verordnung, die von der Europäischen Kommission am 25.01.2012 vorgestellt wurde, ist, in der ganzen EU geltende hohe und einheitliche Datenschutzstandards zu schaffen, die im Besonderen dem Internetzeitalter angemessen sind.
Die EU-Mitgliedsstaaten haben bis dato zahlreiche Änderungsvorschläge zur Datenschutz-Grundverordnung eingebracht. Daher ist zu erwarten, dass sich die Verhandlungen über die Datenschutz-Grundverordnung bzw. die Abstimmung untereinander schwierig gestalten werden.

Die durch den Innenausschuss am Montag, 21. Oktober 2013 abgestimmte vorläufige Kompromissfassung sieht u. a. vor:
– „Recht auf Löschung“ gegenüber sozialen Netzwerken u. a.
– Internetsurfer müssen explizit auf die Weitergabe ihrer Daten hingewiesen werden
– Verbindliche Regeln bei Datenweitergabe an Drittstaaten mit der Auswirkung, dass Datenweitergabe durch Telekommunikations- und Internetnehmen nur mit konkreten Abkommen möglich ist
– Verstößen gegen Datenschutzbestimmungen wird mit hohen Sanktionen begegnet
– Pflicht zur Ernennung des Datenschutzbeauftragten, der nun europaweit eingeführt werden soll, wird an dem Maß der Datenverarbeitung ausgerichtet.

Es bleibt abzuwarten, wie die weiteren Verhandlungen zwischen den oben genannten drei Gremien verlaufen und wie die zahlreichen Änderungsanträge der 28 EU-Mitgliedsstaaten in der finalen Datenschutz-Grundverordnung Berücksichtigung finden.

In einem umfassenden Übersichtspapier stellt das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unter der Federführung von Dr. Thilo Weichert das Thema „Big Data“  in Zusammenhang mit datenschutzrechtlichen Auswirkungen, Chancen und Risiken dar.
„Big Data“ bezeichnet große Datenmengen, die z. B. über Internet oder sonstige vielfältige Quellen gesammelt und verfügbar gemacht werden, mit dem Ziel, diese zu wirtschaftlichen Zwecken auszuwerten und zu analysieren.
Thilo Weichert setzt in seiner Grundlagenbetrachtung den Fokus auf die Analyse von „Big Data“ mit Blick auf das Recht der informationellen Selbstbestimmung. Er beleuchtet das Thema ebenso hinsichtlich Möglichkeiten, Chancen und Grenzen der Nutzung.

Wer das Grundsatzpapier einmal im Wortlaut nachlesen möchte, kann die folgende  Internetseite aufrufen.
Webseite des ULD https://www.datenschutzzentrum.de/bigdata/20130318-bigdata-und-datenschutz.pdf.

Mit Datum vom 10. Juli 2013 verweist das ULD in einer Pressemitteilung auf die Stellungnahme von Thilo Weichert zu „Big Data“ im Zusammenhang mit Prism.

Auch diese Stellungnahme kann auf der Internetseite des ULD unter https://www.datenschutzzentrum.de/bigdata/20130709-bigdata-und-prism.html nachgelesen werden.