Ich möchte Sie gerne auf dieses informative Video aufmerksam machen, was sich auf amüsante Weise mit dem Thema Datenschutz beschäftigt.
Viel Spaß !
Datenschutz amüsant erklärt
Reply
Wuala – Interessante Alternative bzw. Ergänzung zum Fileserver
Vor einigen Wochen bin ich über die Software Wuala gestolpert und habe mir das Programm mal unter Datenschutz-Aspekten genau angesehen.
Mit Wuala kann man seine Dateien sicher in der Cloud speichern und gleichzeitig problemlos ohne Internetverbindung mit den Dateien arbeiten. Zudem ist es mit Wuala problemlos möglich, seine Dateien über mehrere Rechner aktuell zu halten und mit anderen Nutzern zu teilen.
Wuala muss auf dem Rechner installiert werden und ist für die gängigen Betriebssysteme verfügbar. Man kann seine lokalen Ordner synchronisieren oder die Daten ausschließlich online speichern. Auch die Zusammenarbeit in kleinen Teams lässt sich durch das Anlegen von Gruppen gut bewerkstelligen.
Als Datenschutzbeauftragter bin ich natürlich besonders skeptisch, was den Schutz personenbezogener Daten bei einer Speicherung in der Cloud angeht. Wuala wählt da einen sehr guten Weg. Alle Daten werden bereits auf dem Rechner des Nutzers mit einem nur ihm bekannten Schlüssel verschlüsselt. Wuala und irgendjemand anderes ist nicht in der Lage, die Dateien zu entschlüsseln. Sollte also der Server von Wuala einmal gehackt werden, können die Eindringlinge nichts mit den Daten anfangen.
Datenschutzrechtlich benötigen Sie keinen Vertrag gemäß § 11 BDSG mit Wuala, da die Daten immer verschlüsselt sind und somit für Wuala keine personenbezogenen Daten darstellen. Dies ist bei anderen Anbietern wie zum Beispiel Dropbox nicht der Fall.
Wuala bietet sich für Abteilungen innerhalb des Unternehmens an, die mit sehr sensiblen Daten arbeiten wie zum Beispiel die Personalabteilung oder der Betriebsrat. Durch den Einsatz von Wuala ist noch nicht einmal die IT-Abteilung in der Lage, die Daten einzusehen.
Durch die redundante Speicherung ist keine zusätzliche Sicherung erforderlich. Sehr interessant ist auch die Papierkorb-Funktion und die Zeitleiste. Damit können Sie sich ältere Versionen Ihrer Dateien ansehen und wiederherstellen. Sie sollten aber sehr gut überlegen, wo die Chancen und Risiken von Wuala für Ihre genaue Anwendungssituation liegen. Je nach Konfiguration sollten die Daten zusätzlich gesichert werden.
Sie können Wuala kostenlos benutzen mit 1 GB Speicherkapazität. Wenn Sie mehr benötigen, fallen geringe Gebühren an. Weitere Informationen und den Download finden Sie direkt bei Wuala.
Agiles Projektmanagement
Im Rahmen eines Kundenauftrages bin ich auf das Thema “Agiles Projektmanagement mit Scrum” gestoßen. Ich finde die Ansätze sehr interessant und verwende sie nun auch teilweise bei meinen Projekten.
Der Ansatz passt gut zu Entwicklungs-Projekten im Team, zum Beispiel bei der Entwicklung von Hard- oder Software. Es läßt sich teilweise aber auch gut im Bereich Datenschutz einsetzen. Besonders gefällt mir, dass es in regelmäßigen Abständen konkrete Ergebnisse geben muss. Dies können wir mit unserer selbst entwickelten Projektmanagement-Software dsAudit schon leisten, da der aktuelle Bearbeitungsstand für unsere Kunden damit immer transparent ist.
Wer sich für Scrum interessiert oder einen guten Projektmanager benötigt, um das eigene Projekt auf Schwung zu bringen, sollte sich mal an die Projektbox wenden.
Auflistung der wichtigsten europäischen Datenschutzgesetze / Richtlinien
http://www.bfdi.bund.de/cln_134/DE/GesetzeUndRechtsprechung/EuropaeischeGesetze/EU-Gesetze_node.html
Datenschutzfreundliche Verwendung von Google Analytics
Die Diskussion um die datenschutzrechtliche Zulässigkeit von Google Analytics ist noch nicht beendet. Wir empfehlen, wenn man zur Zeit noch nicht auf Google Analytics verzichten kann, zumindest Google Analytics mit der Erweiterung “anonymizeIP()” zu verwenden. Dadurch werden laut Google die IP-Adressen der Seitenbesucher nur gekürzt weiterverarbeitet, um eine direkte Personenbeziehbarkeit auszuschließen.
Google stellt diese Erweiterung, die in den Google Analytics Tracking Code eingetragen werden muss, zur Verfügung. Hinweise zum Einbau des Codes finden Sie zum Beispiel hier:
http://kress.it/2010/07/google-analytics-anonymizeip-ip-adressen-kurzen-richtiger-code/ oder
http://www.eliasfischer.de/blog/technik/google-analytics-datenschutz/
Bitte beachten Sie, dass sich die Rechtslage täglich ändern kann und prüfen Sie, ob der Einsatz von Google Analytics rechtskonform ist. Bitte ziehen Sie auch Alternativen wie Piwik in Betracht.
Sind Werbeanrufe, -faxe oder E-Mails an Gewerbetreibende zulässig?
Immer wieder kommt die Frage auf, ob Werbung an Gewerbetreibende zulässig ist. Hierzu findet man auch immer wieder falsche Berichte in durchaus seriösen Medien. Grund genug, diesen Sachverhalt klarzustellen.
Ich möchte mich auf Werbeanrufe beschränken, die Rechtslage für die Medien Fax und E-Mail ist jedoch sehr ähnlich.
Rechtliche Grundlage:
Die Zulässigkeit ergibt sich aus dem § 7 Abs. 2 Nr. 3 UWG.
- Werbeanrufe an Geschäftsbetriebe sind nur dann zulässig, wenn der Gegenstand der Werbung in einem sachlichen Zusammenhang mit dem Kernbereich der vom Adressaten ausgeübten Geschäftstätigkeit steht, und
- wenn ein konkreter Anlass dafür besteht, dass der Adressat mit dem Werbeanruf vermutlich oder tatsächlich einverstanden ist.
Die Bedingungen sollten strikt beachtet werden. Interessante Beispiele und weitergehende Informationen finden Sie hier:
Was ist der Unterschied zwischen personenbezogenen und -beziehbaren Daten?
Die Antwort findet sich im § 3 (1) BDSG:
§ 3
Weitere Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Sie sehen, dass es ein Unterschied gibt in dem Begriff “bestimmten” und “bestimmbaren” Person. Die rechtliche Behandlung als personenbezogene Daten ist aber für beide Kategorien gleich.
1. Bestimmte Personen
Daten über bestimmte Personen sind Daten, aus denen die Identität der Person direkt hervorgeht. Dies kann zum Beispiel eine Adressliste sein, bei der die Person über Name und Anschrift eindeutig und für jedermann ohne Umwege definiert ist.
2. Bestimmbare Personen
Daten über bestimmbare Personen sind Daten, aus denen die Identität der Person nicht direkt hervorgeht, in der aber Merkmale enthalten sind, über die eine Person ermittelbar (bestimmbar) ist. Dies kann zum Beispiel eine Liste mit Personaldaten sein, in der der Name nicht enthalten ist, sondern nur die Personalnummer. Anhand der Personalnummer besteht die Möglichkeit, über eine weitere Liste die Person zu ermitteln. Dabei ist es gemäß den Aufsichtsbehörden unerheblich, wer in der Lage ist, diese Zuordnung zu treffen, es reicht allein die Möglichkeit aus, dass eine Zuordnung herstellbar ist. So lässt sich auch die Haltung der Datenschutzaufsichtsbehörden erklären, dass eine IP-Adresse ein personenbezogenes Datum ist, da für Strafverfolgungsbehörden die Möglichkeit besteht, anhand der IP-Adresse über den Provider einen Anschlussinhaber zu identifizieren.
In der Praxis ist es zweckmäßig, von dem Mittel der Pseudonymisierung (Ersetzung eines Namens durch eine Nummer) Gebrauch zu machen, sofern die Verarbeitung zulässig ist (durch Gesetz, Vertrag oder Einwilligung). Durch Pseudonymisierung kann man Daten für eine andere Stelle anonymisieren. Dies wird zum Beispiel im Gesundheitswesen durchgeführt. Arztberichte werden häufig von Dienstleistern geschrieben. Eine Übermittlung der Patientendaten an den Dienstleister wäre eine Verletzung der ärztlichen Schweigepflicht. Wenn die Adressdaten zuvor durch eine Nummer ersetzt werden, so dass für den Dienstleister keine Person bestimmbar ist, ist die Übermittlung möglich.
Fazit: Auch Daten, die auf den ersten Blick keine personenbezogenen Daten sind, können bei genauerer Betrachtung personenbeziehbar sein. Sofern dies der Fall ist, ist auf jeden Fall BDSG anzuwenden. Das muß im Einzelfall untersucht werden.
Auftragsdatenverarbeitung in Drittländern
Am 5. Februar 2010 erließ die Europäische Kommission einen Beschluss mit geänderten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer, die kein angemessenes Datenschutzniveau gewährleisten. Diese finden Sie hier zum Download:
http://ec.europa.eu/justice/policies/privacy/modelcontracts/index_en.htm
Zu den Standardvertragsklauseln hat die Artikel-29-Datenschutzgruppe häufig gestellte Fragen in einem Arbeitspapier zusammengefasst und beantwortet. Diese werden regelmäßig aktualisiert und sind hier abrufbar:
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp176_de.pdf
Sind Bluttests im Bewerbungsverfahren zulässig?
Immer häufiger werden im Rahmen des Bewerbungsverfahrens Bluttests von Bewerbern verlangt.
Diese Bluttests sind nur in Ausnahmefällen zulässig, nämlich genau dann, wenn dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist.
Bitte beachten Sie, dass solche Tests immer gemäß § 4d Abs. 5 BDSG der Vorabkontrolle des Datenschutzbeauftragten unterliegen.
Genetische Daten: wer darf sie kennen und wie ist mit Ihnen umzugehen?
Regelungen zu dieser Frage finden sich im Gendiagnostikgesetz. Demnach gelten folgende Regelungen:
- Eine genetische Untersuchung zu medizinischen Zwecken darf nur von einem Arzt vorgenommen werden. Erlaubt die Untersuchung eine Vorhersage über die eigene Gesundheit oder eines ungeborenen Kindes ist eine genetische Beratung vor und nach der Untersuchung Pflicht.
- Auf Verlangen des Arbeitgebers vorzunehmende Untersuchungen sind grundsätzlich verboten. Auch sind genetische Untersuchungsergebnisse, die aus anderem Zusammenhang bereits vorliegen, für den Arbeitgeber tabu. Er darf sie weder erfragen, noch entgegennehmen oder verwenden. Lediglich im Rahmen des Arbeitsschutzes können in Ausnahmefällen genetische Untersuchungen notwendig sein. Hier sind allerdings enge Voraussetzungen zu beachten.
- Versicherungen dürfen generell keine genetische Untersuchungen verlangen oder zur Bedingung für eine Vertragsabschluss machen. Hier gibt es aber eng begrenzte Ausnahmen.