DSGVO: 5000 Euro Bußgeld wegen fehlendem Auftragsverarbeitungsvertrag mit Dienstleister*

Nach und nach nimmt die Rechtsprechung zum Thema DSGVO Fahrt auf. Fehlten in den ersten Monaten nach dem Inkrafttreten noch Urteile zum Thema Datenschutzgrundverordnung, war spätestens seit dem Knuddels-Urteil klar: Hier sind noch weitere spannende Urteile zu erwarten.

Erstes Bußgeld-Urteil 2019 gegen Beratungsfirma aus Hamburg
Wenig erstaunlich also, dass es auch 2019 mit dem nächsten Datenschutz-Urteil weiterging. Diesmal traf es Kolibri Image, eine Imageberatung im B2B-Bereich. Die kleine Firma aus Hamburg hatte nach Ansicht der Richter gegen die Datenschutzgrundverordnung verstoßen. Hintergrund des Verstoßes: Die Berater leiteten die Kundendaten an einen externen Dienstleister mit Sitz in Spanien weiter. Dies stellt nach dem Willen des europäischen Gesetzgebers eine Auftragsverarbeitung gem. Art. 28 DSGVO dar. Problematisch war in dem vorliegenden Sachverhalt, dass die Imageberatung keinen Vertrag mit dem spanischen Dienstleister geschlossen hatte.

Vertrag zur Auftragsverarbeitung ist gem. DSGVO verpflichtend
Einen solchen Vertrag verlangt aber die DSGVO: Demnach muss bei der Verarbeitung von personenbezogenen Daten durch einen außenstehenden Dritten ein entsprechender Vertrag geschlossen werden, in dem unter anderem festgelegt wird, wie die Daten konkret verarbeitet werden. Dies war hier nicht der Fall. Allerdings hatte Kolibri Image nicht vorsätzlich gegen die gesetzlichen Vorschriften verstoßen. Nachweislich hatte das Unternehmen für einen Vertrag zur Auftragsverarbeitung bei den spanischen Kollegen angefragt. Diese hatten sich schlichtweg geweigert, eine solche Vertragsbindung auf den Weg zu bringen.

Um eine verbindliche Lösung für die Konstellation zu erlangen, wandten sich die Hamburger Berater sodann an die zuständige Behörde in Hamburg. Diese stellte sich auf den Standpunkt, dass in diesem Fall die Verantwortung für den Vertrag zur Auftragsverarbeitung den Imageberatern zufällt: Die Tatsache, dass der spanische Auftragsverarbeiter seiner Pflicht nicht nachkomme, sorge nicht dafür, dass diese Pflicht nun auch den deutschen Auftraggeber nicht ebenso treffe. Gleichzeitig stellte die zuständige Behörde Vorlagen für einen Vertrag zur Auftragsverarbeitung zur Verfügung und nahm eine Verletzung der aus der DSGVO resultierenden Pflichten an.

Fazit
Obwohl dem verurteilten Unternehmen der Einblick in die Art und Weise der Verarbeitung durch den spanischen Auftragnehmer fehlte, verurteilte die Hamburger Behörde Kolibri Image zu einem Bußgeld in Höhe von 5000 Euro. Das Unternehmen sieht in dem Urteil eine realitätsferne Rechtsprechung: Nur ein erfahrener IT-Experte hätte einen entsprechenden Vertrag aufsetzen können. Kolibri Image hat gegen das Urteil Widerspruch eingelegt – es bleibt abzuwarten, wie es in der nächsthöheren Instanz weitergeht.

*Quelle & Text: www.e-recht24.de

10 Tipps für bessere Cyber-Sicherheit

1. Vorsicht mit E-Mailanhängen

Dieser Punkt ist nicht überraschend und wurde bereits auf unserem Blog ausführlich behandelt. Doch man kann es wohl nicht oft genug sagen, da Viren noch immer in den meiste Fällen über E-Mailanhänge verbreitet werden. Der Verschlüsselungstrojaner Locky hat in seiner aktivsten Phase allein in Deutschland über 5000 PCs pro Stunde infiziert.
Öffnen Sie keine Anhänge, deren Ankunft Sie nicht explizit erwarten, oder deren Ursprung nicht einwandfrei geklärt ist. Dabei reicht es nicht, dass die Mail von jemandem stammt, den Sie kennen. Sie müssen sich 100% sicher sein, dass dieser spezifische Anhang von dieser Person verschickt wurde.

Lesen Sie mehr über gefährliche E-Mailanhänge.

2. Smartphone, Tablet und PC mit PIN oder Muster schützen

Wenn Sie Ihr Smartphone, Tablet oder Ihren PC mit einem PIN schützen, sind Ihre Accounts und Passwörter bei Diebstahl sicherer. Ihre WhatsApp-Konversationen und Bildergalerie gehen niemanden etwas an. In den USA verlor eine Lehrerin Ihren Job, da ein Schüler ihr Smartphone an sich nahm, Nacktbilder darauf fand und diese bei Social Media teilte. So etwas kann nicht so schnell passieren, wenn das betroffene Gerät durch eine PIN gesperrt ist. Achten Sie jedoch auch darauf, Ihr Display regelmäßig zu reinigen. Das Eingabemuster könnte sonst sichtbar sein, da sich Fingerabdrücke und Wischbewegungen gerne auf dem Display abzeichnen. Im nächsten Punkt finden Sie weitere Argumente, warum der Diebstahl eines Ihrer elektronischen Geräte heutzutage verheerend sein kann.

3. Laptop unterwegs nicht unbeaufsichtigt lassen

Besonders wenn Sie Ihr Laptop unterwegs nutzen ist dies wichtig. Viele arbeiten nicht mehr nur zu Hause oder im Büro. Beim Pendeln im Zug, oder wenn Sie Ihren Arbeitsplatz in der Universitätsbibliothek oder in Cafés aufschlagen, kann es verlockend sein, das Gerät kurz stehen zu lassen. Man will sich doch nur schnell einen neuen Kaffee holen, oder ein Buch, das sie für Ihre Hausarbeit benötigen. Zu meiner Zeit an der Universität Augsburg war es beispielsweise gang und gäbe, sein Laptop in der Mittagspause einfach zuzuklappen und stehen zu lassen. Inzwischen hängen viele Schilder aus, die vor Diebstahl warnen.

Man muss immer bedenken, dass ein Diebstahl nicht mehr nur den Verlust des Geräts bedeutet. Viele loggen sich bei Social Media nicht aus und speichern ihre Passwörter bei Online-Händlern, E-Mailprogrammen, vielleicht sogar beim Online-Banking. Der Dieb hätte Zugriff auf alle Accounts. Gehen Sie kurz in sich und überlegen Sie, was ein Fremder alles über Sie herausfinden und was er anrichten könnte, wenn Ihr Laptop in seine Hände fällt.

4. Antivirenprogramme

Bei diesem Punkt wird es schon kontroverser. Brauchen Sie wirklich ein Antivirenprogramm? Viele bezweifeln das inzwischen und argumentieren, dass die Programme nur gegen schon bekannte Schädlinge etwas ausrichten können – und selbst das sei nicht garantiert. Die Betreiber des Hosting-Dienstes Uberspace liefern in ihren FAQ einen interessanten Kommentar dazu. Viel wichtiger sind regelmäßige Updates, ein aktuelles Betriebssystem und ein verantwortungsvoller Umgang mit dem Internet. Meiden Sie unseriöse Webseiten und öffnen Sie keine unbekannten E-Mailanhänge. Sie selbst sind der beste Antivirenschutz.

5. Verschlüsselter Datenverkehr

E-Mails, Chats und Dateiübertragungen sollten verschlüsselt sein, sodass niemand die Inhalte Ihrer Mails abfangen oder mitlesen kann. Es gibt verschlüsselte E-Mailprogramme, wie zum Beispiel ProtonMail aus der Schweiz, bei dem die E-Mailkommunikation Ende-zu-Ende-verschlüsselt ist. Die gute Nachricht für WhatsApp-Nutzer ist, dass in den aktuellen Versionen alle über den Dienst versendeten Nachrichten verschlüsselt sind. Jedoch werden weiterhin Metadaten und Telefonnummern aus dem Adressbuch auf deren Server geladen.

Für das Versenden von Dateien, die zu groß für E-Mailanhänge sind, können Sie die Vorabversion des Transferdienstes Whisply nutzen. Der Sender benötigt den Zugang zu einem der Cloud-Dienste Dropbox, Google Drive oder OneDrive, der Empfänger nicht. Der Transfer ist mit Ende-zu-Ende-Verschlüsselung geschützt.

6. Daten in der Cloud sichern

Cloud-Speicherdienste erfreuen sich einer immer größeren Beliebtheit, da Daten in der Cloud von überall abgerufen und beliebig geteilt werden können. Dropbox hat inzwischen beispielsweise über 400 Millionen User. Bei vielen Cloud-Anbietern erhalten Sie eine gewisse Menge an Speicher umsonst. Jedoch sollten Sie sich gewisser Sicherheitsrisiken bewusst sein. Die physische Sicherheit Ihrer Daten ist gewährleistet, aufgrund dessen eignen sich Cloud-Speicher ausgezeichnet als Backup. Problematisch wird es beim Datenschutz, da die Anbieter auf Ihre Daten zugreifen können, und diese – wenn ihre Server in den USA sind – auf Nachfrage an Behörden weitergeben könnten. Dieses Problem können Sie mit einer zusätzlichen Verschlüsselungslösung auf „Zero Knowledge“-Basis beheben, beispielsweise mit Boxcryptor.

Hier finden Sie einen Vergleich der beliebtesten Cloud-Anbieter.

7. Backups als Schutz vor Ransomware

Wenn wir schon bei der Cloud sind: Machen Sie regelmäßige Backups, um unwiderruflichen Datenverlust zu vermeiden. Dafür können Sie eine externe Festplatte, USB-Sticks, oder eben die Cloud nutzen. Der Vorteil der Cloud ist, dass die physische Sicherheit Ihrer Daten grundsätzlich gewährt ist, während eine externe Festplatte schon mal kaputt gehen kann (Die Autorin spricht aus eigener Erfahrung. Vielleicht sollte noch der Punkt „Gehen Sie sorgfältig mit Ihren Geräten um“ auf die Liste, und die Autorin wäre die erste, die diesen Punkt besonders beherzigen sollte.)

Ein weiteres wichtiges Argument für Backups sind die seit 2015 verstärkt verbreiteten Ransomware-Angriffe. Wenn Ihr PC mit einem dieser Viren oder Trojaner infiziert ist, werden alle oder ein Teil Ihrer Dateien verschlüsselt. Daraufhin erscheint eine Anzeige, die Sie auffordert eine gewisse Summe von Bitcoin an die Täter zu überweisen. Diese Erpressungsversuche können Sie durch Antivirenprogramme schlecht abwehren, da von der Malware oft sehr viele, sich immer wieder ändernde Versionen existieren.

Sie können den Erpressern jedoch durch ein (regelmäßiges) Backup den Wind aus den Segeln nehmen. Wenn Sie Backups der verschlüsselten Dateien besitzen, können Sie die befallenen Dateien einfach löschen. In so einem Fall kommt übrigens auch ein anderer Vorteil von Cloud Speichern zum Tragen. In der Regel hält der Cloud Provider nämlich eine History bereit. So kann man den Trojaner-Verschlüsselungsvorgang einfach rückgängig machen, indem man auf eine ältere Version der betroffenen Dateien wechselt.

8. Sichere Passwörter

Auch dies ist ein wichtiger Punkt in Cyber-Sicherheit, den niemand mehr hören kann und den trotzdem fast niemand berücksichtigt. In Punkt 3 wurde deutlich, was passieren kann, wenn Ihr Laptop gestohlen wird und dadurch ein Unbefugter Zugriff auf Ihre Daten und Konten erhält. Nun stellen Sie sich vor jemandem gelingt es, Ihr Amazon-Passwort herauszufinden. Das ist schon einmal nicht gut. Richtig schlimm wird es aber erst, wenn Sie dieses Passwort auch für Facebook, Ihr E-Mail-Programm und Ihr Online-Banking benutzen. Besonders das E-Mail-Passwort sollte schwer zu knacken sein, da man mit Zugang zu diesem über die „Passwort Vergessen“-Funktion andere Account-Passwörter ändern kann.

Ändern Sie am besten die wichtigsten Passwörter noch heute. Ein guter Trick ist, sich einen Satz auszudenken, von dem Sie die Anfangsbuchstaben als Passwort nutzen. Dies ist leicht zu merken und für Außenstehende schwer zu knacken. Im Idealfall ist es ein Satz mit Groß- und Kleinbuchstaben und Zahlen. Aus „Ich liebe Boxcryptor und nutze es auf 2 Geräten.“ wird das Passwort „IlBunea2G.“. Ihrer Fantasie ist dabei keine Grenze gesetzt, solange Sie sich gut an den Satz erinnern können. Schreiben Sie sich zur Not die Passwörter auf und verwahren Sie sie an einem sicheren Ort.

Ich selbst und auch meine Kollegen und Kolleginnen hier bei Boxcryptor verwenden Passwort Manager (bspw. LastPass oder 1Password). Diese Software speichert alle Passwörter, Benutzernamen und Login URLs. So wird das Einloggen zu einem Kinderspiel. Man merkt sich lediglich das eine Passwort für den Passwort Manager. Alle anderen Passwörter können unendlich kompliziert sein – schließlich werden sie von einer Software verwaltet und nicht mehr von einem menschlichen Gehirn.

9. Vorsicht in öffentlichem WLAN

Benutzen Sie in öffentlichem WLAN nur Seiten mit https//, da bei diesen im Gegensatz zu http// die Verbindung verschlüsselt ist. Verzichten Sie darauf, sich in Ihr E-Mailpostfach, oder sonstige wichtige Accounts einzuloggen und deaktivieren Sie die automatische Synchronisierung von E-Mails. Wenn Sie dies nicht tun, werden Mails, sobald Sie sich ins WLAN einloggen, im Hintergrund geladen. Es kann also passieren, dass jemand den Inhalt Ihrer Mails vor Ihnen kennt. PC-WELT beschreibt die Problematik mit öffentlichen WLANs ganz treffend:

Wenn Sie öffentliche WLAN-Netze verwenden, ohne die richtigen Vorsichtsmaßnahmen zu treffen, so könnten Sie genauso gut Ihre Café-Freunde fragen, ob sie nicht Ihre vertraulichen Geschäftsinformationen erhalten wollen.

Die anderen User nutzen das gleiche Netzwerk und können dadurch mit ein bisschen Knowhow Ihre Daten ausspionieren.

10. Sensibilität und Aufmerksamkeit

Der erste Schritt in Richtung bessere Cyber-Sicherheit ist, sich potentielle Sicherheitsrisiken stets bewusst zu machen. Ich hoffe, dass diese Liste dafür hilfreich ist. In den meisten Fällen bedeutet Sicherheit im Netz, dass man im Namen der Sicherheit manche Angebote nicht wahrnimmt, beispielsweise, dass man darauf verzichtet, über die Onlinebanking-App in öffentlichem WLAN Überweisungen zu tätigen. In anderen Fällen muss man ein bisschen mehr Aufwand in Kauf nehmen, wenn man beispielsweise regelmäßige Backups macht. Dieser Aufwand lohnt sich zwar, jedoch bekommen Sie das nicht immer mit. Denn Cyber-Sicherheit bedeutet eben, dass nichts passiert.

Quelle: boxcryptor-blog,
Rebecca Sommer | Cyber Security Writer

Frankreich: 50-Millionen-Strafe gegen Google


Das französische Millionenbußgeld für Google ist die erste Entscheidung einer Datenschutzbehörde gegen einen Konzern wegen einer Beschwerde nach der DSGVO. Das seit Ende Mai 2018 wirksame Regelwerk ermöglicht empfindliche Strafen: Datenschutzsünder müssen jetzt mit Bußgeldern von bis zu vier Prozent des weltweiten Umsatzes rechnen. Strafen gegen Google können damit in die Milliarden gehen.

Diese Geldbuße sollte allen Unternehmen, deren Geschäftsmodelle auf Datenverwertung basieren, als Weckruf dienen, den Datenschutz und die Betroffenenrechte ernst zu nehmen. Einer der wichtigsten Punkte bei der Entscheidung der CNIL ist der Mangel an Transparenz und einer wirksamen Einwilligung in die Personalisierung von Anzeigen.

Hier den ganzen Artikel lesen.

Datenschutz: Nur ein Viertel erfüllt DSGVO-Anforderungen

Eine Umfrage hat ergeben, dass erst ein Viertel der österreichischen Firmen die DSGVO-Anforderungen erfüllt. Zwölf Prozent der Unternehmen stehen erst am Anfang der Umsetzung. (vienna.at)

Mehr als ein halbes Jahr nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat erst ein Viertel der österreichischen Unternehmen die Anforderungen der EU-Verordnung vollständig umgesetzt, zwölf Prozent sind dabei erst am Anfang. Das hat eine Umfrage der Unternehmensberatung Deloitte ergeben.

“Zwar hat nur ein Viertel der Unternehmen die Verordnung bereits vollständig umgesetzt, fast zwei Drittel befinden sich aber auf einem guten Weg”, sagte Andreas Niederbacher von Deloitte Österreich laut Aussendung. ….

Den ganzen Artikel lesen.

Quelle: vienna.at Bild: ©pixabay.com

OGH Urteil zum Kopplungsverbot

Der Oberste Gerichtshof in Österreich (OGH) hat in seiner aktuellen Entscheidung (Urteil vom 31.08.2018, Az.: 6Ob140/18h) auch zu diesem Kopplungsverbot der DSGVO Stellung bezogen und hierzu interessante Ausführungen gemacht. Da die DSGVO bekanntermaßen in den EU-Mitgliedstaaten vom gleichen Wortlaut ist, dürfte die Interpretation des höchsten Gerichts auch in unseren Nachbarländern Beachtung finden und als Auslegungshilfe dienen.

Den ganzen Artikel lesen.

Datenschutzpanne bei Instagramm

Facebooks Bilderdienst Instagram hat eine Datenschutzpanne eingestanden: Das Unternehmen informierte betroffene Benutzer darüber, dass beim Anmelden an dem Tool „Download your data“ versehentlich das Nutzerpasswort im Klartext in der Browser-URL enthalten gewesen ist und in dieser Form auf Facebooks Servern gespeichert war.

Den ganzen Artikel lesen.

 

Manche Firmen riskieren wegen der DSGVO ihre Verteiler.

Die DSGVO hat E-Mail-Marketers vor zwei schlechte Alternativen gestellt: Frage ich meine Abonnenten nach einem neuen Opt-In und setze dabei meinen E-Mail-Verteiler aufs Spiel? Oder sende ich einfach weiter und ignoriere geltendes Recht? Die Auswertung unserer abonnierten E-Mails von über 3.000 Unternehmen zeigt extrem unterschiedliche Risikobewertungen in der Branche – und offenbart eine gewisse Tragik bei denen, die alles richtig machen wollten.

Den ganzen Artikel lesen.