Websitecheck
Datenschutzrecht - häufige Begriffe
Aufsichtsbehörde für den Datenschutz, Auftragsverarbeitung, Auskunftsrecht, BDSG, Browserinformationen, Cookies, Datenerhebung, Datenschutzbeauftragte, Datenschutzerklärung (DSE), Disclaimer etc. alles Begriffe, mit denen man bisher noch nicht viel zu tun hatte, die aber im Datenschutzbereich äußerst wichtig sind.
Im Folgenden erklären wir Ihnen einige Begriffe kurz und knapp!
Aufsichtsbehörde für den Datenschutz
In Deutschland gelten Datenschutzbestimmungen, die sicherstellen, dass unsere Daten geschützt werden. Jedes Bundesland hat eine
eigene Aufsichtsbehörde, die kontrolliert, ob Behörden, Unternehmen und Vereine sich an die geltenden Datenschutzregelungen halten.
Diese Aufsichtsbehörde fungiert als Informationsquelle bei Fragen aber auch als Beschwerdestelle, wenn Sie der Ansicht sind, dass eine
Unternehmen, ein Amt, eine Organisation mit Ihren Daten nicht rechtskonform bzw. unsachgemäß umgeht.
Auftragsverarbeitung
Es kommt vor, dass ein Unternehmen Prozesse (organisatorische, logistische oder technische) an einen Dritten auslagert oder muss.
Beispiel: Sie haben online etwas gekauft, dann kann es sein, das der Verkäufer / der Händler evtl. einen Logistikpartner damit beauftragt,
Ihnen die bestellte Ware zu liefern.
Damit diese Logistikunternehmen den Auftrag überhaupt durchführen kann, werden personenbezogene Daten (Ihr Name, Adresse und evtl.
zur Lieferung relevante weitere Daten) übermittelt / weitergegeben. Hierbei ist das Unternehmen (Verkäufer) verpflichtet, ihre
Auftragsverarbeiter sorgfältig auszusuchen. Es muss festgelegt werden, wie lange und in welchem Umfang die weitergegebenen Daten (in
diesem Fall, Ihre Daten) verarbeitet bzw. gespeichert werden. Das (Logistik-)Unternehmen, das den Auftrag (Auslieferung) ausführt, muss
die Anweisung ganz genau befolgen und eine Vertraulichkeitserklärung unterschreiben.
Hier geht es zu einem Muster einer Auftragsverarbeitung des BfDI: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Muster_Auftragsverarbeitung.pdf?__blob=publicationFile&v=4
Folgende Verarbeitungen fallen unter Auftragsverarbeitung:
Versendung von Newsletter und Emailing über einen externen Cloud-
Anbieter (Email-Services wie Klick-Tipp oder Mail-Chimp)
CRM ́s, die über eine Cloud gehostet werden
Externe Call-Center – ausgelagerter Support
Hosting von Onlineshops und Webseiten
Externer Sekretariatsdienst
Agenturen, wenn sie personenbezogene Daten verarbeiten, z.B. ein Gewinnspiel
Externe Lohnverrechnung
Cloudbasierte Lohnbuchhaltung
Jegliche Verarbeitung personenbezogener Daten
Auskunftsrecht
Die Datenschutzgrundverordnung gibt Ihnen die unterschiedlichsten Rechte.
Zum Beispiel haben Sie ein Recht darauf, in Erfahrung zu bringen, welche Daten ein Unternehmen von Ihnen gespeichert hat. Das ist das
sogenannte Auskunftsrecht.
Stellen Sie eine solche Anfrage an ein Unternehmen, hat dieses in der Regel 1 Monat Zeit, um auf Ihre Anfrage zu antworten und Ihnen die
gespeicherten Daten zu übermitteln.
Eine Vorlage eines Musterbriefes finden Sie bei der jeweiligen Verbraucherzentrale.
Browserinformationen
Webseiten werden in der Regel auf einem sogenannten Webserver betrieben / gehostet.
Wenn Sie über Ihren Computer, Smartphone eine bestimmte Webseite aufrufen, kommunizieren der Webserver und Ihr
Kommunikationsmittel miteinander. Dabei übermitteln Sie an den Webserver Informationen über Ihren verwendeten Browser.
Unter anderem gibt Ihr benutztes Gerät folgende Daten weiter:
IP-Adresse, genutzter Browser, Browser-Version, Spracheinstellung und das installierte Betriebssystem. Wenn Ihr Browser JavaScript
unterstützt oder zulässt, werden noch weitere Informationen übermittelt: Bildschirmeinstellungen (Auflösung, Farbtiefe, Fenstergröße, ...)
weitergegeben.
Dieser Datenaustausch stellt somit
Cookies
“Cookies” sind kleine Textdateien, die auf dem Rechner des Nutzers abgespeichert werden und eine Zuordnung zu diesem ermöglichen. Die
Dauer der Speicherung eines Cookies ist begrenzt und die Verwendungsmöglichkeiten sind zahlreich von Einkaufslisten in Onlineshops bis
hin zum Tracking, Retarketing übergreifend verschiedener Kanäle.
Beispiel: Sobald Sie eine Website aufrufen, werden kleine Dateien auf Ihrem Computer / Smartphone zwischengespeichert. Dies ermöglicht
dem Websitebetreiber, Sie als Nutzer zuzuordnen und wiederzuerkennen und bestimmte Einstellungen zu speichern. So kann sich eine
Webseite auf der Basis von Cookies merken, was Sie in Ihrem Warenkorb abgelegt, aber noch nicht gekauft haben!
Cookies können aber auch dazu genutzt werden, um möglichst viele weitere Informationen über Sie zu sammeln und Ihnen somit
personalisierte Werbung anzuzeigen.
Deshalb hat der Gesetzgeber festgelegt, dass Sie entscheiden oder besser beim ersten Aufruf der Website die Möglichkeit haben m
üssen, alle Cookies abzulehnen, die für das reine Funktionieren einer Webseite nicht notwendig sind.
Wozu sind Cookies notwendig?
Beim Besuchen einer Website, z.B. beim Shopping, informieren, durchsuchen, schauen Sie sich Produkte an, die Ihnen gefallen.
Nun verlassen Sie die Website wieder. Besuchen Sie diese Webseite oder die Plattform erneut, werden Ihnen genau diese Produkte
des letzten Besuches wiederholt angezeigt.
Einkaufslisten / Warenkörbe in Onlineshops werden ebenfalls mit Cookies gesteuert.
Sie ändern die Spracheinstellung auf einer Website. Dies wird mit einem Cookie hinterlegt, so dass Sie die Spracheinstellung beim
erneuten Besuch der Website nicht nochmals vornehmen müssen.
Datenerhebung
Im Rahmen des Datenschutzes spricht man von einer Datenerhebung, wenn jemand (z.B. eine Person, ein Unternehmen, ein Arzt oder auch
eine Behörde aktiv und beabsichtigt Ihre Daten erfasst. Diese Daten können bei Ihnen selbst abgefragt werden. Das wäre z.B. der Fall, wenn
Sie bei einem Onlinehändler Ihre Adresse und Ihr Geburtsdatum eingeben. Der Unternehmer muss Sie in seiner Datenschutzbestimmung
ausführlich und umfassend informieren, weshalb er Ihre Daten erhebt, wofür er sie verwendet und wie lange er sie speichert. Desweiteren
muss er Sie auch über all Ihre Rechte aufklären.
Diese Informationspflicht hat der Unternehmer auch dann, wenn er Ihre Daten nicht bei Ihnen direkt, sondern an anderer Stelle erhebt. Er
muss Ihnen dann auch darüber hinaus mitteilen, woher er Ihre Daten bekommen hat. Stellen Sie eine solche Anfrage, hat dieses
Unternehmen / Behörde in der Regel
1 Monat Zeit, um auf Ihre Anfrage zu beantworten und Ihnen die gespeicherten Daten zu übermitteln.
Datenschutzbeauftragter
Der Datenschutzbeauftragte ist eine interne oder externe Person, welche in einem Unternehmen, einem Verein oder auch einer Behörde die
Einhaltung des Datenschutzes überwacht.
Unternehmen und Vereine ab 10 Mitarbeitern oder auch Personen benötigen einen Datenschutzbeauftragten. Der Datenschutzbeauftragte
kontrolliert nicht nur bestehende Abläufe, sondern erarbeitet auch neue Konzepte, wie geltende Vorschriften besser eingehalten werden
können. Er muss auch alle geltenden Vorgaben für das jeweilige Unternehmen / Behörde / Verein umsetzen und ist im Impressum
aufzuführen.
Datenschutzerklärung (DSE)
Die Datenschutzerklärung (DSE) ist eine Erklärung, in der steht, wie der Betreiber einer Website mit Ihren Daten umgeht. Sie erfahren
ausführlich, welche Daten von Ihnen erhoben und gespeichert werden.
Ferner können Sie auch nachlesen, warum diese Daten überhaupt erfasst werden und ob diese ggfs. an Dritte weitergegeben werden.
Die Datenschutzerklärung enthält außerdem Informationen darüber, welche Maßnahmen das Unternehmen umsetzt, um Ihre Privatsphäre
zu wahren und zu schützen. Ebenfalls werden Sie darauf hingewiesen, welche Rechte Sie in Bezug auf Ihre persönlichen Daten haben. Die
DSE soll so konkret wie möglich, einfach und verständlich formuliert sein und vor allem der geltenden DSGVO entsprechen.
Dritte
In Gesetzestexten wie z.B. der DSGVO taucht der Begriff “Dritte” immer wieder auf.
Damit sind natürliche Personen, Organisationen, juristische Personen, eine Behörde, Einrichtung oder andere Stellen gemeint, die ein
Interesse an Ihren Daten haben, obwohl sie gar nicht an einer Datenverarbeitung beteiligt sind.
Bespiel:
Sie bestellen online bei einem Unternehmen Artikel. Das Unternehmen ist z.B. Teil einer Unternehmensgruppe. Die Konzernmutter hat ein
Interesse an Ihren Daten; evtl. um Ihnen Werbung in Form eines Newsletters für andere Unternehmen aus der Gruppe zu schicken. Aber da
die Konzernmutter in diesem Fall eine dritte Partei ist, ist es in Deutschland nicht ohne weiteres erlaubt, dass Ihre Daten an sie
weitergegeben werden.
DSGVO
Die Datenschutzgrundverordnung der EU (DSGVO) ist eine Vielzahl von Gesetzen, die seit dem 25. Mai 2018 bindend sind. Sie befasst sich
damit, wie Unternehmen und Websitebetreiber die privaten Daten von Einzelpersonen erfassen, handhaben und damit umgehen.
Unternehmen, die die Gesetzesanforderungen der DSGVO nicht erfüllen bzw. nicht umsetzen, müssen mit teils hohen Strafzahlungen
rechnen.
Einwilligung (der betroffenen Person) in die Datenverarbeitung
Im Datenschutzrecht gilt als allgemeiner Grundsatz, dass die Verarbeitung personenbezogener Daten verboten ist, soweit und
solange sie nicht durch eine entsprechende gesetzliche Bestimmung erlaubt wird (sog. Verbotsprinzip). Ein wichtiger Tatbestand ist
die Einwilligung der betroffenen Person.
Unter Einwilligung in die Datenverarbeitung versteht man, dass ein Unternehmen oder auch eine Behörde Ihr Einverständnis einholen muss,
wenn sie Ihre Daten erheben, verarbeiten und speichern möchte. Ihre Einwilligung ist nur gültig, wenn Sie diese freiwillig und ohne Zwang
abgegeben haben. Wenn Sie nicht zustimmen, dürfen Ihnen daraus keine Nachteile entstehen.
Das bedeutet: Wenn Sie einen bestimmten Dienst oder auch eine Anwendung nutzen möchten, allerdings keine persönliche Daten
preisgeben möchten, gibt es technische Möglichkeiten, beides zu erreichen. Sollten Sie einwilligen, können Sie jederzeit Ihre Zustimmung
auch widerrufen.
Jugendschutz in der DSGVO
Kinder und Jugendliche Kinder brauchen auch im Hinblick auf ihre personenbezogenen Daten einen besonderen Schutz. Sie sind sich den
Risiken und Auswirkungen bei der Verarbeitung dieser personenbezogener Daten oft gar nicht bewusst.
Deswegen dürfen sie in Deutschland auch erst ab 16 Jahren einer Einwilligung in die Verarbeitung ihrer personenbezogenen Daten
zustimmen oder diese selbst erteilen.
Bis zum Erreichen der Altersgrenze muss der Anbieter sich die Einwilligung der Erziehungsberechtigten einholen.
Newsletter
Jeder kennt Ihn, bekommt Ihn und ist teils genervt.
Ein Newsletter ist quasi eine Art elektronischer Infobrief.
Dieser wird regelmäßig per Email verschickt. Einige Unternehmen versenden Werbenewsletter, um über aktuelle Angebote zu informieren,
andere z.B. Vereine, Behörden usw. verschicken Verteilernachrichten um über aktuelle Ereignisse (Termine, Events ...) zu berichten.
Um einen Newsletter zu erhalten, müssen Sie sich dazu beim jeweiligen Anbieter anmelden.
Danach erhalten Sie eine erste Mail mit einem Bestätigungs-Link. Die Abmeldung eines Newsletters funktioniert ebenfalls sehr einfach. In
jedem Newsletter sind solche “Abmelde-Links” integriert. In jedem Fall muss die Abmeldung für Sie einfach und erkenntlich sein.
PGP
PGP benutzt ein sogenanntes Public-Key-Verfahren, in dem es ein eindeutig zugeordnetes Schlüsselpaar gibt:
Genutzt wird ein öffentlicher Schlüssel, mit dem jeder Daten für den Empfänger verschlüsseln und dessen Signaturen prüfen kann und ein
privater geheimer Schlüssel, den nur der Empfänger besitzt und der normalerweise durch ein Passwort geschützt ist. Nachrichten an einen
Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann ausschließlich mittels seines privaten Schlüssels
entschlüsselt werden. Diese Verfahren werden auch asymmetrische Verfahren genannt, da Sender und Empfänger zwei unterschiedliche
Schlüssel verwenden.
Die erste Version wurde im Jahr 1991 geschrieben und verwendete einen RSA-Algorithmus zur Verschlüsselung der Daten. Spätere
Versionen benutzten den Elgamal-Algorithmus.
Bei PGP wird aber nicht die ganze Nachricht asymmetrisch verschlüsselt, denn dies wäre viel zu rechenintensiv und es wäre nicht
praktikabel, dieselbe Nachricht an mehrere Empfänger zu schicken. Stattdessen wird die eigentliche Nachricht symmetrisch und nur der
verwendete Schlüssel asymmetrisch verschlüsselt (Hybride Verschlüsselung). Dazu wird jedes Mal ein symmetrischer Schlüssel (session
key) zufällig erzeugt.
Dieser symmetrische Schlüssel wird dann z.B. per RSA- oder Elgamal-Kryptosystem mit dem öffentlichen Schlüssel des Empfängers
verschlüsselt und der Nachricht hinzugefügt. Dadurch ist es möglich, eine Nachricht für mehrere Empfänger gleichzeitig zu verschlüsseln.
Eine für mehrere Empfänger verschlüsselte Nachricht sieht dann folgendermaßen aus:
PGP basiert dabei auf dem sogenannten Web of Trust, bei dem es keine zentrale Zertifizierungsinstanz gibt, sondern Vertrauen von den
Benutzern selbst verwaltet wird.
Da PGP darauf ausgelegt ist, Nachrichten dauerhaft entschlüsseln zu können, wird, falls es einem Angreifer gelingt, einen privaten Schlüssel
zu erlangen, die gesamte Kommunikationshistorie dieses Schlüssels kompromittiert. Für Instant Messaging wurde als Alternative zu PGP Off-
the-Record Messaging (OTR) entwickelt; dabei bleibt auch bei späterer Kompromittierung des privaten Schlüssels die verschlüsselte
Kommunikation unlesbar für den Angreifer (allerdings auch für den legitimen Schlüsselbesitzer).
Quelle: https://de.wikipedia.org/wiki/Pretty_Good_Privacy
Phishing
Phishing bedeutet, dass z.B. Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS abgefangen werden.
Hierbei wird versucht Passwörter, Login-Daten abzufangen, um dann z.B. auf ihren Namen Waren zu bestellen.
Phishing fällt in die Kategorie Cyberkriminalität.
Oftmals werden aber auch andere Maßnahmen ergriffen, um Ihr Vertrauen zu gewinnen. Hier geben sich Ihnen unbekannte Personen, z.B.
über Webseiten, Emails oder Kurznachrichten als seriöser Ansprech- bzw. Kommunikationspartner aus. Das Ziel ist, dass Sie ihre
persönlichen Daten, Zugangsdaten - Passwörter zu übermitteln.
Nicht selten wurden danach Kontoplünderungen oder auch der Identitätsdiebstahl festgestellt.
Achten Sie immer darauf, wem Sie persönliche Daten, Zugangsdaten usw. übermitteln. Achten Sie auch darauf, dass die besuchte Website
keine Fake-Seite ist.
Sniffing - Datenverkehr
Sniffing ist ein Programm, welches den ein- und ausgehenden Datenverkehr auf einem Gerät überwacht.
Eventuell werden hierbei Daten entpackt und gespeichert.
Man kann ein solches Programm allerdings bewusst einsetzen, um zu den eigenen Datenverkehr zu prüfen und so Auffälligkeiten
aufzuspüren und dadurch die Sicherheit des eigenen Geräts zu erhöhen. Es kommt allerdings auch vor, dass Sniffer-Programme für
unerlaubte Zwecke eingesetzt werden. Hier wird das Programm ohne Ihr Wissen und Einverständnis auf Ihrem Gerät installiert. Somit
ermöglicht es Dritten, unbemerkt sensible Daten von Ihnen zu sammeln / mitzuschneiden. Diese Vorgehen ist in Deutschland nicht erlaubt
und kann als Ausspähen von Daten geahndet werden..
Widerspruchsrecht
Sie haben jederzeit das Recht, der Verarbeitung Ihrer personenbezogenen Daten kostenlos zu widersprechen. Das gilt natürlich auch dann,
wenn Sie zuvor einverstanden waren.
Wenn Sie z.B. keine Werbung (Newsletter,...) mehr erhalten möchten, teilen Sie das dem Anbieter mit.
So muss bei Newslettern auch ein Abmeldelink eingefügt sein; begründen müssen Sie das nicht.
Sie müssen nur dann eine plausible Begründung mitteilen, wenn Ihre persönlichen und gespeicherten Daten einem anderen Zweck als
Werbung dienen.
Manchmal lehnt ein Anbieter den Widerspruch ab. Das darf er, wenn derjenige, der die Daten verarbeitet, nachweisen kann, dass die weitere
Datenverarbeitung überwiegend in Ihrem Interesse ist.
Für den Widerspruch gibt es zahlreiche Vorlagen, hier eine der Verbraucherzentrale:
Widerspruchsrecht.
Hier ein Musterbrief der Verbraucherzentrale:
Widerspruch gegen Direktmarketing und Einschränkung der Verarbeitung personenbezogener Daten gemäß Art. 21 Abs. 2 und 3
Datenschutz-Grundverordnung
