Diese Website verwendet Cookies, um das Angebot nutzerfreundlicher und effektiver zu machen. Bitte stimmen Sie der Verwendung von Cookies zu, um alle Funktionen der Website nutzen zu können.Weitere Informationen

9. - 11. Oktober 2018 // Nürnberg

it-sa Newsroom

Datenschutz hat neuen Stellenwert

Technik

© istockphoto.com/ Olivier Le Moal

Auch wem nicht alle Anpassungen an die europäische Datenschutzgrundverordnung, EU-DSGVO, rechtzeitig gelungen sind, muss nicht gleich Angst vor den Aufsichtsbehörden haben: Die meisten Landesdatenschutzbehörden betonen, dass sie noch dabei sind, die notwendigen Voraussetzungen zu schaffen. Gefahr lauert ab jetzt jedoch er von einer anderen Seite.

Denn nun sind auch Abmahnungen möglich. Es ist zu befürchten, dass Anwälte gezielt auf die Jagd nach Standardproblemen gehen. Dabei bedienen sich die Abmahnjäger einfacher Internet-Suchen, um schnelle Erlöse ohne viel Aufwand zu erzielen. Daraus folgt: Insbesondere KMU sollten alle Probleme, die leicht über Suchmaschinen zu finden sind, mit Vorrang beseitigen. Selbst Solo-Selbstständige sind gut beraten, das bei ihrem Internet-Auftritt zu berücksichtigen.

Was für Web-Seiten zutrifft, gilt ebenso für andere Formen der Internet-Kommunikation, beispielsweise für Newsletter. Neu ist insbesondere die Umstellung von Opt-out zu Opt-in bei der Einholung der datenschutzrechtlichen Einwilligungserklärung. Das heißt, Abonnenten müssen explizit zustimmen. Es reicht nicht mehr, lediglich eine Widerspruchsmöglichkeit vorzusehen. Die bisherige Praxis, diese Zustimmung etwa bei einem Vertragsabschluss stillschweigend vorauszusetzen, solange nicht explizit widersprochen wird, ist damit nicht mehr rechtmäßig. Dazu zählen auch voreingestellte Zustimmungshäkchen in Online-Formularen: Die Interessenten müssen den Haken in der Checkbox explizit selber setzen.
 

Mit Dienstleistern, die personenbezogene Daten verarbeiten, etwa Provider, muss ein Vertrag über Auftragsdatenverarbeitung geschlossen werden. Hierauf sind die meisten Anbieter seit Langem vorbereitet und haben entsprechende Standardverträge erstellt. Wer Zugriffsanalyse-Tools einsetzt oder Webserver selber administriert, muss bedenken, dass nach dem aktuellen Stand der juristischen Debatte IP-Adressen in der Regel als personenbezogene Daten gewertet werden.

Neu ist die Anforderung, IT-Anlagen zum Schutz der Daten vor Missbrauch oder Diebstahl nach dem Stand der Technik abzusichern. Was nun als Stand der Technik gesehen werden kann, wird intensiv diskutiert. Im Schadensfall muss jedoch anders als zuvor nicht mehr ein Geschädigter Mängel nachweisen, sondern das Unternehmen muss den Nachweis über hinreichende Sicherheitsvorkehrungen erbringen. Auch dieser Punkt dürfte noch die Gerichte beschäftigen.

Alle Kontaktpersonen – ob Kunden oder Bewerber – können jederzeit Auskunft über die von ihnen gespeicherten Daten und ebenso eine Löschung derselben verlangen. Auch auf derartige Anfragen sollten KMUs vorbereitet sein. Es bleibt bei dem bisherigen Grundsatz, dass eine Nutzung personenbezogener Daten nur zulässig ist, wenn entweder eine gesetzliche Grundlage dies erlaubt oder eine Einwilligung des Betroffenen vorliegt. Die einfachste Maßnahme zur Konformitätserzielung wird oft übersehen: Nicht mehr benötigte Daten am besten vernichten.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top