Für alle Teilnehmer des UGP Workshops

Datenschutz und Datensicherheit

Beispiele und Vorlagen zum Download

  1. Slides (2-tägige Form, Online)
  2. Slides (2-tägige Form, face-to-face)
  3. Slides (5-stündige Online Form)
  4. Handout
  5. Verarbeitungsverzeichnis Vorlage (Excel)
  6. Verarbeitungsverzeichnis Teilnehmerbeispiele (Excel)
  7. Verarbeitungsverzeichnis (Word)
  8. Technische u. organisatorische Maßnahmen (Gedächtnisstütze, Excel)
  9. Technische u. organisatorische Maßnahmen (ausformuliert, Word)
  10. Risikoabschätzung (Excel)
  11. Liste der Ausnahmen von der Datenschutzfolgeabschätzung (PDF)
  12. Erläuterungen zur Liste der Ausnahmen (PDF)
  13. Feststellung Datenschutz-Beauftragter und Folgeabschätzung (Word)
  14. Datenschutzerklärung (Word)
  15. Datenschutzerklärung englisch (Word)
  16. Formulierungsvorschläge Einwilligungen
  17. Checkliste für Auftragsverarbeitervereinbarungen
  18. Auftragsverarbeitervereinbarung (leer, Word)
  19. Auftragsverarbeitervereinbarung (IT-Wartung, Word)
  20. Auftragsverarbeitervereinbarung (tethis IT, Word)
  21. Mitarbeitervereinbarung zum Datenschutz (Word)
  22. Datenschutzerklärung und Einwilligung für Mitarbeiter (Word)
  23. Anleitung Google Analytics Opt-Out für WordPress (PDF)
  24. Anleitung Verschlüsselung von PC, Mac, Tablet oder Handy (PDF)

Fragen, die im Workshop nicht beantwortet werden konnten:

Typisch für amerikanische Unternehmen gibt es bei Dropbox viele, viele Seiten mit Erklärungen, warum sie die Daten bombensicher verarbeiten und sich an alle Regeln halten. Vieles davon übrigens tatsächlich sehr gut und sinnvoll. Man findet auch die Dinge, die ein Auftragsverarbeiter tun sollte, wenn er es ernst meint. Da muss man allerdings wissen, wonach man sucht 😊

Zur Frage für welche Pläne es eine Auftragsverarbeiter-Vereinbarung (AVV) gibt, finde ich leider keine ganz konkrete Antwort. Nur diese Sätze (Quelle: https://www.dropbox.com/security/gdpr):

Ihre DSGVO-Verpflichtungen richten sich danach, ob Sie ein Datenverantwortlicher oder ein Datenverarbeiter sind. Bitte beachten Sie, dass Sie als Dropbox Business-Kunde der Datenverantwortliche sind und gemäß DSGVO gewisse rechtliche Verpflichtungen auf Sie zukommen. Dropbox ist in diesen Fällen der Datenverarbeiter. Wenn Sie ein Nutzer von Dropbox Basic, Plus oder Professional sind, ist Dropbox der Datenverantwortliche Ihrer Daten.

Ich würde das so interpretieren, dass es für Dropbox Basic, Plus oder Professional KEINE AVV gibt, Ihr also Standard, Advanced oder Enterprise benutzen müsstet.

Macht Sinn, nur das es für den Professional Plan keine geben soll, verstehe ich nicht. Die ist ja für Selbstständige gedacht und vom Preis her attraktiv.
Vielleicht mag ja mal jemand einen kostenlosen Test starten und dann nachschauen, was für Dokumente man bekommt. Wäre schön, wenn derjenige mir dann Bescheid gibt.

Auf folgenden Seiten findet Ihr Hintergrundinformationen zur Entscheidung des EuGH bzgl. Privacy Shields.

  1. Pressemitteilung des EuGH
    https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
  2. Recht ausführliche Stellungnahme von Dr. Schwencke:
    https://datenschutz-generator.de/eugh-privacy-shield-unwirksam/
  3. Podcast mit Dr. Schwenke und anderen (50 Minuten, aber sehr informativ, finde ich):
    https://rechtsbelehrung.com/privacy-shield-wie-es-jetzt-weitergeht-rechtsbelehrung-folge-79/
  4. Stellungnahme von Stefan Hansen-Oest (in seiner üblich flapsigen Art):
    https://www.datenschutz-guru.de/boom-das-privacy-shield-ist-tot-wenig-alternativen-fuer-drittlandsverarbeitungen/
  5. Stellungnahme von Nicolas Hermann:
    https://www.dr-datenschutz.de/privacy-shield-gekippt-welche-auswirkungen-hat-das-eugh-urteil/
  6. Mögliche Ausnahmen für die Verarbeitung von Daten im Ausland lt. DSGVO
    Interessant ist vor allem Abs. 1 lit b (Vertragserfüllung), den man zumindest vorerst verwenden könnte:
    https://www.datenschutz-grundverordnung.eu/grundverordnung/art-49-ds-gvo/
  7. Beispielhafte Fragenkataloge und Handlungsanweisungen für amerikanische Anbieter (in Englisch):
    https://noyb.eu/en/next-steps-eu-companies-faqs
  8. Dr. Schwenke’s Cookie Hinweis, dessen Text wir verwenden dürfen. Hier experimentiert er mit dem Thema „Einwilligung“, d.h. er informiert im Cookie Hinweis darüber, dass Daten in die USA übertragen werden.
    Den Cookie Hinweis seht Ihr beim Aufruf von https://datenschutz-generator.de/eugh-privacy-shield-unwirksam/. Falls Ihr vorher schon alles akzeptiert habt, die Seite einfach in einem privaten / Inkognito Fenster nochmal aufmachen.

Hier noch einmal das Thema „Privacy Shield“ zusammengefasst, weil es doch recht kompliziert ist und ich mir nicht sicher bin, dass ich das Problem verständlich beschrieben habe:

Kurz gesagt hat der EuGH festgestellt, dass wir auch bei Mitgliedern des Privacy Shield nicht davon ausgehen dürfen, dass die Daten ähnlich gut wie in Europa geschützt werden.

Neben der Mitgliedschaft im Privacy Shield gib es noch eine zweite Methode, wie amerikanische Firmen zusichern können, dass sie ein entsprechendes Datenschutzniveau bieten, und das sind die sogenannten „Standardvertragsklauseln“. Das sind von der EU vorgegebene Formulierungen, die man mit einer amerikanischen Firma vereinbaren kann. Oder mit einer chinesischen, indischen, usw…

Die gelten im Moment zwar noch, aber der EuGH hat auch gleich angekündigt, dass sie bei amerikanischen Firmen einer Überprüfung nicht standhalten werden.

Bleibt eigentlich also nur noch, die Einwilligung aller Personen einzuholen, deren Daten in Amerika gespeichert werden sollen. Und selbst das ist nicht einfach, weil man das Risiko deutlich machen muss.

In einer ähnlichen Situation waren wir übrigens schon einmal, als der Vorgänger des Privacy Shield, das Safe Harbour Abkommen, gekippt worden ist.

Damals hat man zügig das Privacy Shield implementiert, in der Zwischenzeit hat es keine Strafen wegen Datenverarbeitung in den USA gegeben.

Was ist also zu tun?

  1. Keine Panik!
  2. Wenn Ihr amerikanische Cloud-Dienste verwendet, prüft ob die Daten in Europa bleiben. Falls nicht, kann man das vielleicht ändern. Beispiele wären Microsoft 365 oder die Google G-Suite.
  3. Wenn von Cloudspeicher die Rede ist, könntet Ihr die dort gespeicherten Daten komplett verschlüsseln. Dann fallen sie nicht mehr unter die DSGVO. Sowas kann man günstig bis kostenlos mit Hilfe des Boxcryptors (https://www.boxcryptor.com/de/)
  4. Wenn Ihr Daten in den USA verarbeitet, schaut mal, ob es eine europäische (oder z.B. kanadische) Lösung gibt, die Ihr mit vertretbarem Aufwand statt dessen verwenden könnt.
  5. Wenn das nicht geht, oder ihr das nicht wollt, klärt, ob der Dienstleister sich nur auf das Privacy Shield beruft, oder Ihr mit ihm Standardvertragsklauseln vereinbart habt. Einfach Fragen, die sollten vom aktuellen Problem gehört haben. Anbieter wie Google, Microsoft oder Mailchimp haben die Standardvertragsklauseln in Ihre Auftragsverarbeiter-Vereinbarungen eingebaut.
  6. Wenn das alles nicht hilft, könntet Ihr die Einwilligung der Betroffenen einholen, z.B. mit Hilfe eines Cookie Hinweises oder Newsletter-Anmeldeformulares. Ein Beispiel findet in der vorherigen Frage.
  7. Auf die Datenverarbeitung verzichten, kann man natürlich auch. Also z.B. Google Analytics nicht verwenden. Wobei das ja sowieso eine Einwilligung erfordert.
  8. Und Ihr könnt natürlich entscheiden, den Kopf in den Sand zu stecken und auf eine politische Lösung zu warten. Was natürlich mit eine gewissen Risiko für Euch (und die Daten eurer Kunden) einhergeht.

Für mich sieht das so aus, dass ich sicherstelle, dass Microsoft 365 die Daten in Europa speichert (tut es) und mit Microsoft Standardvertragsklauseln vereinbart sind (sind sie).
Google Analytics verwende ich nicht.

Amazon AWS speichert die Daten in Frankfurt.

Auf Mailchimp werde ich in Zukunft wohl verzichten und mir einen anderen Newsletterversender suchen.

Andere amerikanische Auftragsverarbeiter benutze ich nicht.

Wichtig: Diese Überlegungen, Eure Entscheidungen und Maßnahmen solltet Ihr dokumentieren. Denn dann könnt Ihr auf jeden Fall belegen, dass Ihr das Thema nicht ignoriert, sondern Euch damit beschäftigt habt. Selbst wenn Ihr nicht alles geklärt habt, sollte Euch das vor einer Strafe schützen.

Die neuen Apple iPhones haben keine TouchID mehr, also keinen Fingerabdrucksensor.
Statt dessen meldet man sich mit der FaceID an, also mit einem Bild des eigenen Gesichts.

Ist das sicher?

Die kurze Antwort: Das Verfahren scheint so sicher wie ein Fingerabdruck zu sein.

Die lange Antwort könnt Ihr hier nachlesen: https://www.kaspersky.de/blog/apple-face-id-security/14608/

Die Technik finde ich recht beeindruckend, denn es wird tatsächlich mit einer Infrarotkamera gearbeitet und ein 3D Bild Eures Gesichts erstellt.
So etwas lässt sich mit einem Foto oder Selfie nicht überlisten. Und man muss das iPhone dabei ansehen, also die Augen offen haben. D.h. man kann Euch auch nicht schlafend zum Entsperren Eures iPhones verwenden.

Das würde ich mal als „sicher genug“ einstufen.

Von gmx.at und gmx.de bekommt man keine Auftragsverarbeiter-Vereinbarungen.

Ist das ok so?

Ich habe den Datenschutzbeauftragten von GMX darauf angesprochen. GMX beruft sich darauf, dass sie als reiner E-Mail Provider (also ohne Webhosting oder anderen Dienstleistungen) unter das deutsche Telekommunikationsgesetz fallen, und danach kein Auftragsverarbeiter, sondern selbst verantwortlich sind.

Ob diese Aussage auch dann wirksam ist, wenn ein österreichischer Kunde diese GMX Dienstleistung nutzt, müsste man von einem Anwalt klären lassen. Ich tendiere jedoch dazu, GMX beim Wort zu nehmen, d.h. nicht auf einer Auftragsverarbeiter-Vereinbarung zu bestehen.

Allerdings solltet Ihr, wenn Ihr GMX für geschäftliche Mails benutzen möchtet, einen Blick in die GMX-Datenschutzerklärung werfen und sicherstellen, dass keine Daten weitergegeben an Dritte weitergegeben werden. Das war mir dann doch zuviel Aufwand 🙂

Prinzipiell finde ich, dass Mailadressen mit einer eigenen Domäne sowieso einen professionelleren Eindruck hinterlassen.

Eine Hochzeitsplanerin erfährt vom Brautpaar auch einiges über die eingeladenen Gäste.
Und zwar nicht nur die Namen, sondern eventuell auch Informationen über Nahrungsmittelunverträglichkeiten oder Allergien, die als „sensibel“ einzustufen sind.

Diese Informationen werden dann vielleicht auch noch an Dienstleister, z.B. den Caterer weitergegeben.

Ist das zulässig?

Ohne Einwilligung der Betroffenen sicherlich nicht. Aber nun ist es der Planerin kaum möglich, jeden Gast um seine Einwilligung zu bitten.

Das Problem lässt sich lösen, indem man das Brautpaar in die Verantwortung nimmt und sich bestätigen lässt, dass das Brautpaar die Erlaubnis hat, diese Informationen weiterzugeben.

Am 29.7.2019 hat der Europäische Gerichtshof entschieden, dass wir eine Einwilligung einholen müssen, bevor Daten an Facebook, Instagram etc. weitergegeben werden.

Wenn man einen Facebook Like Button mit Hilfe der von Facebook bereitgestellten Skripte auf seiner Webseite einbaut, werden aber schon dann Daten übermittelt, wenn der Button nur angezeigt wird. Schon bevor der Button angeklickt wird.

D.h. wir müssen entweder vor Anzeige des Buttons um Einwilligung bitten (z.B. im Rahmen des Cookie Hinweises), oder wir bauen den Like Button so ein, dass keine Daten übermittelt werden.

Letzteres ist sicherlich die einfachere Lösung.

Dazu können wir entweder auf einen Like Button verzichten und einfach einen Link auf unsere Facebook Seite setzen. Dazu ein hübsches Facebook Icon, fertig.
Oder wir binden den Like Button mit Hilfe eines DSGVO-konformen Plugins ein, das keine Daten übermittelt.

Ein Beispiel wäre die Lösung „Shariff“, die nicht nur auf WordPress, sondern auch auf anderen Webseiten eingesetzt werden kann: https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html

Für WordPress gibt es passend dazu ein einfaches Plugin: https://wordpress.org/plugins/shariff/

Art. 9 Abs. 2 lit h der DSGVO erlaubt die Verarbeitung sensibler Daten zum Zwecke der medizinischen Versorgung, kann also als Rechtsgrundlage für die Verarbeitung von Diagnosen, Anamnesen und ähnlichem verwendet werden.

Gilt dieser Abschnitt nur für Ärztinnen und Ärzte, oder ist diese Verarbeitung auch Therapeuten und anderen Gesundheitsberufen erlaubt?

Ja, auch Therapeuten und andere Gesundsberufe können diese Rechtsgrundlage benutzen!

Aber nur unter der Voraussetzung, dass

  • die Verarbeitung zum Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erfolgt
  • die Verarbeitung durch Fachpersonal erfolgt oder von Fachpersonal überwacht wird
  • die Verarbeitung einem gesetzlich geregelten Berufsgeheimnis oder Geheimhaltungspflicht unterliegt

Diese Voraussetzungen dürften in der Regel erfüllt sein.

Auch der Facebook Messenger überträgt die Kontakte des Handys an Facebook, allerdings kann man das unterbinden.

Damit kann man den FB Messenger benutzen, ohne mit der DSGVO Probleme zu haben.
Was jetzt übrigens nicht heißt, dass man Kunden ohne zu Fragen Nachrichten über den Messenger schicken sollte.
Aber das dürfte in der Regel ja sowieso andersherum laufen, d.h. Kunden kontaktieren Euch über den FB Messenger. Und das ist völlig in Ordnung.

Wie man die Synchronisation der Kontakte deaktiviert, ist hier beschrieben: https://www.heise.de/tipps-tricks/Facebook-Kontakte-synchronisieren-deaktivieren-4005393.html

Übrigens werden WhatsApp und der FB Messenger über kurz oder lang wohl zusammengelegt. Wie man damit umgehen sollte, werde ich über meinen Newsletter verteilen, sobald es soweit ist.

Und noch etwas: In den USA kann der FB Messenger die Geräusche in der Umgebung des Handys aufnehmen und zur Analyse an Facebook schicken. In Europa sollte das nicht passieren, aber so etwas macht mich schon stutzig…

In vielen Ländern, so auch in Österreich, gibt es Listen in die sich Konsumenten eintragen können, um sich unerwünschte Werbung vom Hals zu schaffen.

Bekannt ist die Robinson-Liste der WKO.
Sie ist für adressierte Print-Werbung gedacht und wird an Adressverlage und Direkt-Marketing Unternehmen verteilt. Sie ist für kleinere Firmen eher nicht relevant, nur wenn ihr Adressen kauft, solltet ihr sie von einem Händler kaufen, der die Robinson-Liste berücksichtigt.

Schon eher relevant ist die ECG-Liste der RTR.
ECG = e-Commerce Gesetz
RTR = Rundfunk und Telekom Regulierungs GmbH

In diese Liste kann sich jeder eintragen, der keine Werbe-Emails erhalten möchte.
Und diesen Wunsch muss jeder Unternehmer berücksichtigen, der Werbe-Emails direkt an Kunden schicken möchte.

Jetzt können wir Werbe-Emails (also auch Newsletter) sowieso nur unter zwei Bedingungen verschicken:

  1. Der Kunde hat dem Empfang zugestimmt (Stichwort Newsletteranmeldung) => Dann ist es egal ob der Kunde sich in die ECG-Liste eingetragen hat, wir haben ja eine direkte Erlaubnis
  2. Wir haben bereits eine Geschäftsbeziehung mit dem Kunden. Dann dürfen wir Werbung zu „ähnlichen“ Produkten auch ohne Einwilligung verschicken. => Hier müssten wir die ECG-List berücksichtigen. Wer dort eingetragen ist, darf die Mail nicht erhalten.

D.h. wenn Ihr Mails an existierende Kunden verschickt, ohne eine separate Einwilligung zu haben, müsst ihr vorher nachsehen, ob der Empfänger auf der ECG Liste steht.

Für so eine Abfrage gibt es verschiedene Möglichkeiten.

Bei der RTR selbst kann man die Liste u.a. per E-Mail oder Windows Programm abfragen: Abfrage der ECG Liste
Dann gibt es Anbieter mit Webformularen für bis zu 5 Adressen oder Erweiterungen für Mailchimp etc. (bis zu 1000 Adressen umsonst)
Der Newsletter-Versender newsletter2go bietet gleich eine Integration der EGC Liste an.

Aufwendig ist das Ganze wahrscheinlich für Webshop-Betreiber, die ihren Kunden nach einem Kauf Angebote zu ähnlichen Produkten anbieten möchten, ohne erst um Erlaubnis zu fragen.

Wir dürfen Daten ohne weiteres ins Ausland übertragen bzw. dort verarbeiten lassen, wenn es sich dabei um einen EU-Staat handelt.

Aber es gibt noch weitere „sichere“ Länder:

  • Staaten des EWR (nicht der EU), in denen die DSGVO auch gilt: Liechtenstein, Island, Norwegen
  • Staaten, für die ein Angemessenheitsbeschluß der EU-Kommission vorliegt:
    Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz und Uruguay
    (Süd-Korea wird gerade überprüft)
  • die USA, sofern das empfangende / verarbeitende Unternehmen Mitglied im „Privacy Shield“ ist

Zu dieser Frage habe ich einen ganz hilfreichen Artikel des Standard gefunden: Wann die Firma Mails von Mitarbeitern checken darf

Es scheint zu diesem Thema noch keine höchstgerichtlichen Entscheidungen gegeben zu haben. So viel ist jedoch sicher, wenn die private Nutzung der E-Mail-Adressen erlaubt oder geduldet war, dürfen die Mails nur mit Einwilligung des Arbeitnehmers gelesen und nur mit ausreichend frühzeitiger Warnung gelöscht werden.

In dieser Hinsicht scheint es also ratsam, den Mitarbeiter rechtzeitig (solange die Stimmung noch gut ist) um die Erlaubnis zu bitten, im Falle von betrieblichen Notfällen oder nach dem Ausscheiden auf die Mails zuzugreifen.

Man kann die private Nutzung der Firmen-Mail-Adresse auch gleich verbieten. Dann kann der Arbeitgeber die Mails durchaus lesen, zumindest solange man dabei nicht doch über private Inhalte stolpert.

Das Google re-Captcha ist ein Schutz gegen Spam-Bots, die versuchen unsere Webseiten mit Spam-Kommentaren vollzuschreiben oder Anmeldeformulare mit tausenden Passwörtern durchprobieren.

Und im Gegensatz zu den nervigen Captchas mit schwer lesbaren Buchstaben und Zahlen, für den Besucher halbwegs erträglich.

Aber: Zur Unterscheidung zwischen einem Bot und einem Menschen werden Daten an Google geschickt und dort analysiert.

D.h. wir müssen die Tatsache, dass das re-Captcha benutzt wird, auf jeden Fall in der Datenschutzerklärung erwähnen.
Stellt sich nur die Frage, ob wir als Rechtsgrundlage „berechtigtes Interesse“ anwenden dürfen, oder ob wir eine Einwilligung des Besuchers benötigen.

Die Meinungen gehen da etwas auseinander, aber ich habe die Meinung einiger Anwälte gefunden, die davon ausgehen, dass der Hinweis in der Datenschutzerklärung reicht.
Ein entsprechende Formulierung findet sich in der Datenschutzerklärung, die ihr hier herunterladen könnt.

Ein Captcha ist übrigens nicht unbedingt nötig, es gibt auch andere Methoden, sich vor Spam zu schützen. Für WordPress gibt es dafür Plugins wie „Anti Spam Bee“ oder „Contact Form 7 Honeypot“.
Und um die Anmeldung bei WordPress zu schützen, könnte man auch 2-Factor-Authentication benutzen. Auch dafür gibt es Plugins.

Kann man die Festplatte eines MacBooks mit Hilfe der Filevault auch dann verschlüsseln, wenn mehrere Partitionen vorhanden sind?

Ohne es getestet zu haben: Ja, das ist wohl möglich.

Hinweise und Anleitungen dazu findet man hier:

Sollte ein Handy verloren gehen oder gestohlen werden, kann man es bei entsprechender Vorbereitung per Internet suchen, klingeln lassen oder auch sperren. Beim iPhone kann man sogar ein Foto des Diebes machen.

Wie man ein Android Handy entsprechend vorbereitet ist hier beschrieben: https://support.google.com/pixelphone/answer/3265955
Danach kann das Handy über https://android.com/find geortet werden.

Bei Apple ist das Ganze ähnlich. Die Ortung für ein iPhone, iPad oder Mac kann man in den Einstellungen unter iCloud aktivieren. Dazu einfach den Haken bei Find my Mac / Meinen Mac suchen setzen bzw. die Option einschalten.
Anschließend kann man das Gerät unter https://icloud.com unter iPhone-Suche suchen, sperren oder den „Verloren Modus“ einschalten, der die Frontkamera benutzt.

Auch Windows Laptops und PCs kann man nach einem Diebstahl orten und sperren bzw. löschen.

Die Funktion kann bei Windows 10 in den Einstellungen unter Update und Sicherheit / Mein Gerät suchen aktiviert werden.
Das funktioniert nicht, wenn man sich mit einem Firmen-Konto bei Windows anmeldet. Also z.B. mit einem Office 365 Business Konto, wie das bei mir der Fall ist. Außerdem muss die Ortungsfunktion aktiviert sein.
Anschließend lässt sich das Gerät auf https://account.microsoft.com/devices finden und sperren.

Auch Windows 10 HOME ist in der Lage, Festplatten zu verschlüsseln.

Allerdings funktioniert diese „Geräteverschlüsselung“ nur, wenn zwei Vorraussetzungen erfüllt sind:

  1. Das eingebaute „TPM“ (Trusted Platform Module) muss bestimmte Fähigkeiten haben.
    Mein 3 Jahre alter Laptop hat diese Fähigkeiten noch nicht, einige Laptops die ich seit Anfang 2019 für Kunden vorbereitet habe, sind entsprechend ausgestattet.
  2. Ihr müsst Euch bei Eurem Computer mit einem Microsoft Konto oder einem Domänen Konto anmelden.
    Hintergrund ist, dass die Verschlüsselungs-Keys in diesem Konto gespeichert werden. Diese Keys benötigt man nur im Notfall, falls Teile des Computers ausgetauscht werden, oder die Festplatte an einem anderen Computer benutzt werden soll. Ein Domänen Konto kommt nur für Firmen mit eigenen Servern in Frage.

Wenn diese Vorraussetzungen erfüllt sind, verschlüsst Windows die eingebauten Festplatten bei der Installation automatisch. Kontrollieren könnt Ihr das in den Einstellungen unter System / Info.
Dort könnte man die Geräteverschlüsselung auch aktivieren, falls das nicht automatisch passiert ist.

Gibt es unter Info keinen Hinweis auf die Geräteverschlüsselung, dann erfüllt Euer Computer die Vorraussetzungen nicht.
Dann bleibt eigentlich nur ein Upgrade auf Windows 10 Professional, dass dann den sog. Bitlocker unterstützt. Mit dem kann man auch ältere Computer verschlüsseln.

Übrigens könnte man die Tatsache, dass Microsoft bei der Geräteverschlüsselung Zugriff auf die Keys hat, durchaus kritisch betrachten.
In Hinsicht auf die DSGVO habt ihr allerding auch damit Eure Pflicht erfüllt, sofern ihr dem Dieb, der euch den Laptop klaut, nicht auch gleich das Passwort mitliefert. Denn ohne Zugriff auf das Microsoft Konto kann der Dieb nicht auf die gespeicherten Daten zugreifen.

Sobald ich einen Laptop in Händen halte, der die Geräteverschlüsselung unterstützt, mache ich entsprechende Screenshots und schreibe einen Blogbeitrag dazu.

Möchte man bei einem Windows 10 PC oder Laptop die Verschlüsselungsfunktion „Bitlocker“ benutzen, benötigt man ein Windows 10 PRO.
Bei der „Home“ Version ist der Bitlocker nicht enthalten.

Die günstigste Methode um von Windows 10 „Home“ auf „Pro“ umzusteigen, ist der Kauf einer gebrauchten oder Systembuilder-Lizenz.
Solche Lizenzen dürfen nach EU-Recht weiterverkauft werden, und zwar deutlich günstiger als direkt bei Microsoft erworbene Lizenzen.

Ob es sich bei den Angeboten auf eBay und Amazon allerdings tatsächlich um legal Lizenzen handelt, lässt sich nur schwer feststellen. Dazu gibt es einen detailierten Artikel der c’t: Billige Windows Keys ab 3,99. Ist das legal?

Auch ich habe schon solche Lizenzen erworben, die auch gut funktioniert haben. Nach dem Lesen des Artikels werde ich aber die Beschreibung etwas genauer lesen.

Einfach mal in eBay nach „windows 10 professional key“ suchen und am besten einen deutschen Händler aussuchen. Österreichische sind mir noch nicht begegnet. Die Preise bewegen sich um 15 Euro.
Die Angebote ändern sich laufend, daher macht ein Link nicht viel Sinn.

Die Anwendung ist denkbar einfach: In Windows 10 die Einstellungen aufrufen (Windows-i drücken), System, Info, Product Key ändern oder Windows-Edition aktualisieren auswählen. Product Key ändern anklicken, gekauften Lizenzschlüssel eingeben, fertig.

Es gibt sehr viele Backup-Programme auf dem Markt und man findet auch einige Testberichte.

Das Fachmagazin meines Vertrauens hat vor kurzem einige Programme für Windows getestet. Der Artikel kostet 2,49 €.
https://www.heise.de/ct/ausgabe/2018-8-Backup-Programme-fuer-Windows-4002586.html

Die getesteten Programme könnt Ihr natürlich auch googeln: Macrium Reflect 7 Home, Aomei Backupper Professional, Ashampoo Backup Pro 11, Acronis True Image 2018 Premium, NovaStor NovaBackup PC, EaseUS Todo Backup Home, O&O DiskImage 12 Pro, Paragon Hard Disk Manager 16 Advanced, Veeam Agent for Windows (Free)

Für mein Empfinden sind nur Acronis True Image und der Veeam Agent gut, wobei der Veeam Agent als Cloud-Speicher nur Microsoft OneDrive anbietet, alles andere ist zu teuer.

Und ich erlaube mir hier auch auf meine eigene Lösung hinzuweisen, die die Anforderungen an ein gutes Backup ebenfalls erfüllt: https://tethis-it.at/produkte/datensicherung/

Wenn Ihr das Backup auf einem NAS oder einer externen Festplatte speichern wollt, reichen für Mac und Windows 10 auch die mitgelieferten Programme. Zuerst Externe Festplatte anstecken bzw. Zugriff auf das NAS einrichten (siehe Anleitung).
Bei Windows benutzt man den „Dateiversionsverlauf“ (Einstellungen / Update & Sicherheit / Sicherung / „Meine Dateien automatisch sichern“ auswählen). Beim Mac kann die TimeMachine verwendet werden (Systemeinstellungen / TimeMachine und dann als „Backup-Volume“ das NAS bzw. die externe Festplatte auswählen.

Eine Liste von NAS-Systemen (also Network Attached Storage) findet Ihr z.B. hier: https://geizhals.at/?cat=hdxnas&xf=12966_2~1478_1~2659_mit

Bedenkt aber bitte, dass ein NAS im gleichen Raum eben keine räumliche Trennung gewährleistet.

Das ist ein Thema, bei dem weder EU noch der österreichische Gesetzgeber detaillierte Vorgaben gemacht haben. Deshalb ist das alles etwas unklar.

Wenn man angerufen wird, sich nett unterhält aber keinerlei Notizen macht, dann kann kaum von einer Datenverarbeitung gesprochen werden. Also auch keine Informationspflicht.

Schreibt man sich jedoch Namen, Telefonnummer oder E-Mail-Adresse auf, weil man in irgendeiner Form auf den Anruf reagieren möchte, dann muss man lt. DSGVO genau in diesem Moment informieren.

Der deutsche Anwalt Stephan Hansen-Oest schreibt argumentiert hier, dass zu diesem Zweck ein Hinweis auf die Datenschutzerklärung auf der Webseite reichen sollte. Ist auch aus Kunden-Sicht angenehmer. Ich nehmen mir also vor, folgendes zu sagen, wenn ich im Rahmen eines Telefonates Daten aufnehme: „Da ich jetzt Ihre Daten aufschreibe, möchte ich Sie auf meine Datenschutzerklärung unter tethis-it.at/datenschutz hinweisen.“

Es gibt auch Meinungen, dass es reicht wenn man nach dem Telefonat zeitnah schriftlich (per E-Mail) darauf hinweist. Aber das ist eigentlich zu spät, die Information muss eigentlich zum Zeitpunkt der Datenerhebung erfolgen.

Trotzdem werde ich jetzt einen Hinweis auf meine Datenschutzerklärung in meine E-Mail-Signatur aufnehmen, dann informiere ich in jedem Fall mit der Mail nach einem Telefonat.

In jedem Fall ist das Thema, das ich in den nächsten Monaten beobachten werde. Mal schauen zu welchen Schlüssen der Gesetzgeber noch kommt…

Hier sind das Urheberrecht, Recht am eigenen Bild und die DSGVO relevant.

Eine wirklich konkrete Aussage zu diesem Thema konnte ich kaum finden. Selbst die österreichische „Bundes Sport Organisation“ hat zwar eine Menge Vorlagen zur DSGVO, macht aber zum Thema Fotos keine klare Aussage.

Jedenfalls sind laut Wirtschaftskammer Bildaufnahmen zulässig, wenn

Die Bildaufnahme verfolgt ein privates Dokumentationsinteresse, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eigenen, gerichtet ist. (Quelle)

An anderer Stelle schlägt die Wirtschaftskammer folgende Formulierungen für Veranstaltungen vor (Quelle):

  • Es wird darauf hingewiesen, dass am Veranstaltungsort Fotos und/oder Videos angefertigt werden und zu Zwecken der Dokumentation der Veranstaltung veröffentlicht werden können.
  • Im Rahmen dieser Veranstaltung können durch die oder im Auftrag der Wirtschaftskammer-Organisation Fotografien und/oder Filme erstellt werden. Mit der Anmeldung zur Veranstaltung nehme ich zur Kenntnis, dass Fotografien und Videomaterialien, auf denen ich abgebildet bin, zur Presse-Berichterstattung verwendet und in verschiedensten (Sozialen) Medien, Publikationen und auf Webseiten der WKO veröffentlicht werden.

Ich habe für mich daraus den Schluss gezogen, dass ich Fotos einer Sportveranstaltung machen darf, dass ich darüber informieren muss, und das ich einen Widerspruch ermöglichen werde. D.h. wenn sich jemand nicht auf einem Bild wiederfinden möchte, soll er mir das bei der Einschreibung sagen. Bei dem kleinen Golfturnier, das ich organisieren helfe, ist das möglich.

Meine Formulierung bei der Anmeldung zum Golfturnier sieht daher so aus:

Bitte beachte folgende Hinweise:

Bei Anmeldung zum Turnier werden Name, ÖGV-ID und Turnierergebnisse gespeichert und zum Zwecke der Turnier- und Handicap-Verwaltung an den ÖGV übertragen.

Wir werden während des Turniers Fotos machen, die anschließend auf der Webseite und auf Facebook veröffentlicht werden könnten. Mit der Anmeldung zum Turnier erklärst Du Dich mit der Veröffentlichung einverstanden. Wenn Du nicht möchtest das Fotos, auf denen Du sichtbar bist, veröffentlicht werden, Du aber trotzdem am Turnier teilnehmen möchtest, informiere uns bitte bei Zahlung des Turnier-Fees.

Prinzipiell ist die Frage, ob für eine österreichische Firma die Daten eines deutschen Kunden verarbeitet, nun das deutsche oder österreichische Recht gilt.

Zunächst einmal ist die DSGVO europäisches Recht, das überall in der EU gilt. Unterschiede kann es also nur bezüglich nationalem Recht geben. Das wäre in Deutschland das Bundesdatenschutzgesetz BDSG.
Das BDSG sagt klar aus, dass innerhalb der EU das Recht am Firmensitz gilt, d.h. das deutsche Recht gilt nur für deutsche Firmen, wenn der Kunde aus einem Land der EU kommt. Für einen deutschen Kunden einer österreichischen Firma gilt also das österreichische Recht.
Ausnahme: Das österreichische Unternehmen hat eine Niederlassung in Deutschland, dann gilt für einen deutschen Kunden das deutsche Recht.

Zusammengefasst: Wenn Ihr keine deutsche Niederlassung habt, gelten für alle Kunden aus der EU die österreichischen Datenschutz-Regeln.

Das mag in anderen Bereichen wie e-Commerce oder Telekommunikation anders aussehen, aber zumindest in Bezug auf die DSGVO könnte Ihr die deutschen Spezialitäten ignorieren…

Kurz gesagt: Die Datenschutzerklärung sollte in den Sprachen, in denen die Webseite verfügbar ist, angeboten werden.

D.h. wenn Ihr die Webseite auf Deutsch und Englisch anbietet, solltet Ihr auch eine englische Datenschutzerklärung haben.

Das ist nicht explizit in der DSGVO erwähnt, was aber gefordert wird, ist eine Datenschutzerklärung in verständlicher, einfacher Sprache.
Eine dem Kunden nicht bekannte Sprache kann man kaum als verständlich bezeichnen, woraus man eine Verpflichtung zur Übersetzung der Datenschutzerklärung ableiten kann. Natürlich nur in die Sprachen, in denen Ihr Eure Produkte und Dienstleistungen anbietet.

Möchte man jemanden mit einem kostenlosen e-Book, Video, Kurs oder ähnlichem zur Newsletteranmeldung bewegen, sollte man Formulierungen mit „Gratis“, „kostenlos“ etc. vermeiden.

Denn so richtig kostenlos ist der „Freebie“ ja nicht, man verlangt je eine Newsletteranmeldung dafür.

Also schreibt man z.B. „Einfach hier eintragen und die besten Katzenvideos bekommen“ und macht unter dem Formular klar, dass hier um ein Geschäft im Sinne Anmeldung gegen Katzenvideos geht:

Mit dieser Anmeldung senden wir Dir die 5 besten Katzenvideos UND einen regelmäßigen Newsletter zu. Der Download der Videos OHNE Newsletter-Anmeldung wird nicht angeboten. Die Abmeldung aus dem Newsletter ist natürlich jederzeit möglich. Weitere Informationen findest Du in unserer Datenschutzerklärung.

Hier ein reales Beispiel:

Nein!

Laut DSGVO muss der Betroffene VOR der Datenerhebung informiert werden.
Über welche Punkte informiert werden muss, haben wir besprochen (siehe Slides, Handout, Datenschutzerklärung).
Die DSGVO legt auch fest, dass diese Informationen in verständlicher Form und leicht zugänglich zur Verfügung gestellt werden müssen.

Es ist nirgendwo die Rede davon, dass wir verpflichtet sind zu überprüfen, dass der Betroffene diese Informationen auch gelesen hat. „Zur Verfügung stellen“, „den Betroffenen informieren“ reicht völlig aus.

Das ergibt sich so deutlich aus dem Gesetzestext, dass man kaum irgendwo eine Bestätigung findet, dass es nicht nötig ist, sich die Kenntnisnahme der Datenschutzerklärung bestätigen zu lassen.

Eine deutsche Anwaltskanzlei fasst das hier in Worte: https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html#abschnitt_46

Ansonsten findet man ein allenfalls Artikel von Tageszeitungen oder Kommentare von Anwälten, die solche Bestätigungen als „übertrieben“ und „unnötig“ bezeichnen.

Wer immer noch zweifelt möge die Artikel 13 und 14 der DSGVO lesen: https://www.jusline.at/gesetz/dsgvo/paragraf/13

Prinzipiell ist es technisch sehr sinnvoll, Videos nicht auf dem eigenen Server zu speichern, sondern bei YouTube, Vimeo etc. hochzuladen und auf der eigenen Webseite einzubetten. Dann wird das Video beim Ansehen direkt von YouTube geladen, was in der Regel schneller und flüssiger funktioniert, als wenn es auf der eigenen Webseite liegt.

Aus Sicht des Datenschutzes ist das aber nicht ganz unproblematisch, denn damit teilt man YouTube mit, wer sich welches Videos ansieht. Und selbst bevor jemand auf das Video klickt, wird YouTube schon informiert, das jemand die Seite mit dem Video besucht hat. Wenn derjenige auch noch bei Google oder Youtube angemeldet ist, wird sogar gemeldet, wer sich die Seite ansieht.

In Hinsicht auf die DSGVO wäre das absolute Minimum also, zumindest auf diesen Umstand hinzuweisen. Ein Beispiel dazu findet Ihr in der Vorlage für die Datenschutzerklärung.

Besser wäre allerdings, wenn man dafür sorgt, dass erst dann Daten übertragen werden, wenn sich jemand das Video auch wirklich ansieht. Wie das ganz einfach mit der Hilfe eines WordPress-Plugins funktioniert, ist hier sehr gut beschrieben: https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

Insbesondere das „Plugin YouTube Lyte“ ist leicht zu bedienen. Am besten auch gleich die Option „Cache Thumbnails locally“ aktivieren.

Nachdem wir im letzten Kurs Diskussionen um öffentliche WLANs hatten, möchte ich die Problematik noch einmal zusammenfassen.

In einem öffentlichen, unverschlüsselten WLAN (z.B. im Café oder am Flughafen) muss man damit rechnen, dass Dritte alle über das Internet übertragenen Daten mitliest.

Im schlimmsten Fall verbindet Ihr Euch nicht mit dem echten WLAN des Flughafens, sondern mit einem „gefälschten“ WLAN. Dann hilft es eventuell nicht einmal, eine https Verbindung zu benutzen, der „Fälscher“ kann alles mitlesen.
Was natürlich problematisch ist, wenn ihr euch bei der Bank anmeldet.

Wenn Ihr auf eurem Computer eine Netzwerkfreigabe ohne Passwort eingerichtet habt, könnte man sogar auf die Daten auf eurer Festplatte zugreifen. Das müsstet Ihr allerdings bewusst eingerichtet haben, z.B. weil ein Kollege oder Familienmitglied auf eure Daten zugreifen wollte.
Ansonsten kommt man, sofern ihr immer brav die Updates installiert, nicht von außen an eure Festplatte heran.

Was kann man tun?

Ihr könntet den mobilen Hotspot eures Handys benutzen, also nicht das öffentliche WLAN. DAnn liest niemand mehr mit.

Oder Ihr benutzt ein „VPN“, ein Virtual Private Network.
Damit kann man eine verschlüsselte Verbindung (einen sog. Tunnel) zum eurem eigenen Internet Router oder NAS  aufbauen. Danach laufen alle Übertragungen zwischen eurem Computer und dem Internet über euren Internet-Anschluss zu Hause und es kann niemand mehr mitlesen. Das öffentliche WLAN ist nur noch ein Transportmittel, über das keine lesbaren Daten mehr übertragen werden.
Das Ganze muss von eurem Router / NAS unterstützt werden. Zur Not kann man auch einen 40 € Computer für diesen Zweck einsetzen.