Klienteninfo Ausgabe 25 / November 2021

Inhalt:

 

3.11.2021

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

Das Verarbeitungsverzeichnis - "Impfung" gegen Datenschutzverletzungen und Hacker

Hand aufs Herz: Wer von uns kann von sich sagen, dass sein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) noch aktuell ist? Enthält es alle notwendigen Angaben? Wenn es zu einer Schutzverletzung kommt, müssen der Behörde binnen 72 Stunden zahlreiche Unterlagen vorgelegt werden. Und die Behörde kann ohnehin jederzeit die Vorlage des Verzeichnisses verlangen. Im Fall von Schutzverletzungen wird sie das auch mit Sicherheit tun. Davon abgesehen: Wer das Verzeichnis gewissenhaft erstellt, entdeckt dabei zwangsläufig auch bisher unbemerkte Sicherheitslücken und kann sie schließen, ehe sie zu Schäden führen - sozusagen eine Impfung gegen gravierende Probleme. Natürlich kann es auch hier zu "Impfdurchbrüchen" kommen. Die Folgen sind aber weitaus weniger schlimm, weil mit der korrekten Anlage des Verzeichnisses ein robuster Schutz gegeben ist.

Hier eine verkürzte Beschreibung der sieben vorgeschriebenen Punkte, die das Verzeichnis enthalten muss:

  • Name und die Kontaktdaten des Verantwortlichen der Datenverarbeitung sowie eines etwaigen Datenschutzbeauftragten;
  • Zwecke der Verarbeitung;
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • Beschreibung der Kategorien von Empfängern einschließlich Empfänger in Drittländern;
  • allfällige Übermittlungen von personenbezogenen Daten an ein Drittland (Beachtung insbesondere von Art. 45 u. 49);
  • Fristen für die Löschung der verschiedenen Datenkategorien;
  • allgemeine Beschreibung der technischen und organisatorischen Schutzmaßnahmen (Art. 32 Absatz 1)

Seit 2018 gab es zahlreiche Entscheidungen europäischer Behörden und Gerichte zur genauen Ausgestaltung des Verarbeitungsverzeichnisses. Die Datenschutzbehörden setzen voraus, dass diese Durchführungsvorschriften eingehalten werden. Ältere Standardvorlagen der verschiedenen Berufsverbände sind daher leider nicht mehr ausreichend. Es ist deshalb dringend anzuraten, wenigstens ein Mal ausgewiesene Datenschutzexperten heranzuziehen, um mit ihnen gemeinsam auf Grundlage der individuellen Situation und der Rechtsprechung die Unterlage zu überarbeiten.

Das Verarbeitungsverzeichnis ist einer der wichtigsten Punkte des gesetzlichen Datenschutzes. Ideato macht deshalb ein Sonderangebot, das bei Bestellung bis 31.12.2021 gültig ist: Die Unterstützung bei der Überarbeitung eines bestehenden Verarbeitungsverzeichnisses, um es auf den letzten Stand zu bringen, wird um EUR 100 pro Beratungsstunde zuzüglich 20% MWSt offeriert*). Grundsätzlich erfolgt die Beratung in einem Video-Call, kann deshalb kurzfristig erfolgen und hinsichtlich des Termines sehr flexibel gestaltet werden. Anmeldung bitte per Mail (buero[at]ideato.at) oder telefonisch (+43 664 356 37 62).

*) Mindestdauer 60 Minuten, darüber hinaus pro angefangene Viertelstunde EUR 25 zuzüglich 20% MWSt. Bestellungen per e-Mail gelten erst bei Erhalt einer Annahmeerklärung von Ideato.

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Smart Home als Einfallstor für Hacker: Setzt sich Vorsicht durch?

Smarte Geräte werden deswegen verwendet, weil sie die Nutzer im höchstpersönlichen Lebensbereich unterstützen: Sie erzählen das heutige Fernsehprogramm, steuern die Heizung, saugen Staub, mixen den Kuchen, überwachen den Inhalt des Kühlschranks und schließen sogar das Haus ab - auch aus der Ferne, wenn man vergessen hat zuzusperren. Die dazu veröffentlichten Zahlen für Deutschland könnten aber widersprüchlicher kaum sein: Die Hamburger Statista-Gmbh veröffentlicht eine Umfrage vom Juli 2021, wonach 78 Prozent der Befragten smarte Haushaltsgräte aufgrund des höheren Komforts und der höheren Lebensqualität benutzen. Für 69 Prozent war der Umfrage zufolge die höhere Sicherheit ein Grund für die Nutzung von Smart-Home-Geräten. Einer Veröffentlichung des TÜV vom Februar 2021 zufolge haben hingegen 68 Prozent der Menschen in Deutschland große Sorge, dass smarte Geräte ihre persönlichen Daten missbrauchen. Egal welche der beiden Umfragen näher an den Tatsachen liegt: Wer seinen Hausschlüssel unter den Blumentopf neben der Eingangstür legt, darf sich nicht wundern, wenn eines Tages bei der Heimkehr der Picasso von der Wand verschwunden ist.

Ideato hat aus jeweils aktuellen Anlässen bereits auf die Probleme mit smarten Haushaltsgeräten in drei Klienteninformationen ausführlich hingewiesen (November 2018, März 2019, August 2019). Diese Probleme beruhen im Wesentlichen auf drei Umständen:

  1. Die meisten smarten Helfer stehen in ständigem Kontakt mit ihren Herstellern und deren "Verbündeten". Sie "telefonieren" alle Steuerungsbefehle und Daten ihrer Überwachungssensoren "nach Hause". Zu den eingebauten Sensoren gehören oft auch Mikrofone und Kameras. Die Nutzer erfahren so gut wie nie, wer auf ihre Daten zugreift. Die Auskunftsfreude der Betriebsanleitungen, die oft in chinesischen Schriftzeichen gehalten sind, ist gerade diesbezüglich sehr eingeschränkt.
  2. Zwischen den smarten Geräten und dem IT-Netzwerk des Nutzers besteht in der Regel eine drahtlose Verbindung, die natürlich auch aus der näheren Umgebung abgegriffen werden kann. Möglicherweise kann der Nachbar mithören oder sogar zusehen, was im Schlafzimmer geschieht, wenn der Staubsaugerroboter mit einer Kamera ausgerüstet ist. Über die WLAN-Kamera, die die Haustür überwacht, kann er ohnehin beobachten, wer zu Besuch kommt und wie lange der Besucher bleibt.
  3. Viele Heizungssteuerungen, Schließsysteme, Türsprechanlagen etc. verlangen ausdrücklich, dass der Nutzer die Sicherheit seines IT-Netzwerkes zurückfährt (z.B. durch Öffnung zusätzlicher Ports am Router). Selbst grundsätzlich gut abgesicherte Systeme werden dadurch leicht angreifbar. Dann ist es egal, ob fremde Servicetechniker der Versuchung unterliegen, die Wohnung des Kunden "zu übernehmen", oder ob sich ein Hacker selbst die Wohnungstür öffnet und mit der wertvollen Briefmarkensammlung davonspaziert.

Soferne ihnen der Schutz ihrer Privatsphäre weniger wichtig ist, können Privatpersonen aus der Sicht des Datenschutzes sehr viele Ausnahmen und Privilegien für sich in Anspruch nehmen. Beim Einsatz smarter Helfer müssen sie deshalb weniger kritisch sein. Bei Tonaufnahmen oder Videos allerdings, die ohne Wissen der Betroffenen (z.B. von nichts ahnenden Gästen) angefertigt werden, kennen die Gerichte aber kein Pardon.

Angehörigen von Berufen, die einer gesetzlichen Verschwiegenheitspflicht unterliegen, drohen sogar gravierende Konsequenzen bis zum Verlust ihrer Zulassung, wenn Klientendaten in Schrift, Ton oder Bild den geschützen Bereich verlassen. Staubsaugerroboter mit Kameras, Siri, Alexa und ähnliche Dinge haben z.B. in den Kanzleien von Anwälten und Steuerberatern oder in den Praxen von Ärzten und Therapeuten nichts zu suchen. Für alle übrigen Berufe gilt es zu bedenken, dass die Preisgabe von Geschäftsgeheimnissen von Geschäftspartnern, Kunden oder Klienten ruinöse Schadenersatzforderungen nach sich ziehen kann. Diesen Nachteil kann kein Vorteil smarter Helfer wettmachen.

Quellen:

https://www.heise.de/news/Warum-smarte-Heizungen-wenig-gefragt-sind-6221662.html?utm_source=pocket-newtab-global-de-DE
(21.10.2021)

https://de.statista.com/statistik/daten/studie/1168810/umfrage/smart-home-gruende-fuer-die-nutzung/#statisticContainer
(25.10.2021)

https://www.tuev-verband.de/pressemitteilungen/verbraucherinnen-fuerchten-cyberangriffe-auf-vernetzte-produkte
(25.10.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

Kurios: Rechtfertigt Datenschutz Diskussionsverbote? Thüringer Datenschutzbeauftragter überprüft Lehrerin wegen Impf-Diskussion

Zwar ergeben die Zeitungsmeldungen in wesentlichen Fragen kein präzises Bild - so viel ist aber unstrittig: Der Datenschutzbeauftragte von Thürigen, Lutz Hasse, reagierte auf eine Elternbeschwerde (mutmaßlich von Impfgegnern) und leitete Ende August 2021 ein Prüfverfahren gegen eine Lehrerin ein, die in einer Klassendiskussion die Frage gestellt hatte, ob sich die Schüler impfen lassen würden. Ganz allgemein gefragt: Kann unter Berufung auf den Datenschutz ein Diskussionsverbot ausgesprochen werden?

Ein wenig erinnert die Sache an den Unfug, den die Stadtverwaltung in Wien zu verantworten hat: In der falschen Annahme, die Namensschilder an den Türklingeln widersprechen dem Datenschutz, hat die Hausverwaltung der Gemeinde im Herbst 2018 alle Namenshinweise bei 220.000 Wohnungen entfernen lassen. Anlass war auch hier eine unkundige und überzogene Beschwerde. Erst nachdem die verantwortlichen Juristen der Stadt eines Besseren belehrt wurden, wurde die Sache mit großem Aufwand wieder gerade gebogen.

Der Datenschutz dient oft als billige Ausrede. Eine juristische Begründung für das Vorgehen der Thüringer Datenschutzbehörde wird man nämlich schwerlich finden, sofern nicht die Lehrerin einen geordneten Katalog der Antworten der Schüler gemacht und vielleicht sogar aufbewahrt hat. Lutz Hasse ruderte allerdings ohnehin sehr bald zurück und meinte, dass die Antworten der Schüler möglicherweise den weltanschaulichen Bereich berührt haben und daher allenfalls die Einwilligung der Eltern nötig gewesen wäre. Dieses "Argument" - so es denn Geltung hätte - geht aber inhaltlich über den Bereich des Datenschutzes weit hinaus und fällt daher mit hoher Wahrscheinlichkeit nicht in die Verantwortung des Datenschutzbeauftragten.

Fazit: Datenschutz regelt nur die Verarbeitung von Daten. Diskussionen oder der Meinungsaustausch sind davon unberührt. Niemand kann gezwungen werden, seine höchstpersönliche Meinung zu äußern. Wer es aber tut, verstößt niemals gegen den Datenschutz. Ob diese Person allenfalls gegen andere Rechtsnormen verstößt, wäre gesondert zu klären.

Quellen:

https://www.derstandard.at/story/2000130503802/mit-schuelern-ueber-corona-impfung-diskutiert-lehrerin-soll-gegen-datenschutz
(17.10.2021)

https://www.zeit.de/news/2021-10/15/datenschuetzer-geht-gegen-lehrerin-wegen-impfgespraech-vor?utm_referrer=https%3A%2F%2Fwww.derstandard.at%2F
(15.10.2021)

https://www.merkur.de/thueringen/impfdiskussion-datenschuetzer-geht-gegen-lehrerin-vor-zr-91054507.html
(16.10.2021)

https://www.tlv.de/inhalt/uploads/2021/03/2101-ThSch_Daten-schuetzen-1.pdf
(28.02.2021)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!