Seit Inkrafttreten der DSGVO hört man ständig den Ausdruck „TOMs“ in Zusammenhang mit dem Datenschutz. Wofür steht die Abkürzung überhaupt und was kann man sich in der Praxis darunter vorstellen? In unserer 3 teiligen Serie, erklären wir Ihnen alle wichtigen Begriffe, praxisorientiert und leicht verständlich für den Arbeitsalltag. In diesem Teil geht es um die vier Kontrollschritte Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.

Mit den TOMs sind die technischen und organisatorischen Maßnahmen gemeint. Dabei handelt es sich um Sicherheitsvorkehrungen, die personenbezogene Daten vor unberechtigtem Zugriff schützen. Die Maßnahmen kann man anhand der folgenden acht Gebote darstellen, die in Form von Kontrollschritten beschrieben werden:

1. Zutrittskontrolle
2. Zugangskontrolle
3. Zugriffskontrolle
4. Weitergabekontrolle
5. Eingabekontrolle
6. Auftragskontrolle
7. Verfügbarkeitskontrolle
8. Datentrennungskontrolle

Auf die ersten vier Kontrollschritte gehen wir nun genauer ein:

Zutrittskontrolle

Unbefugte dürfen sich keinen Zutritt zu Ihrem Betriebsgelände oder Bürogebäude, in denen sich Ihre betrieblichen Räumlichkeiten befinden, verschaffen. Das kann durch Maßnahmen wie beispielsweise sichere Türschlösser, Videoüberwachung oder eine Besucherkontrolle durch einen Portier gewährleistet werden. Übrigens: Das Türschloss am Beitragsfoto ist aus heutiger Sicht definitiv nicht mehr als sicher einzustufen.

Zugangskontrolle

Hat ein Dritter nun bereits Zutritt erlangt, so stellt die Zugangskontrolle sicher, dass sich die Person dennoch nicht den Zugang zu den EDV-Anlagen (Serverräumen, PCs, Laptops) schafft. Dazu dienen unter anderem biometrisch gesicherte Serverräume, das Wegsperren von Laptops, aber auch Firewalls und Anti-Viren-Programme.

Zugriffskontrolle

Sollten nun bereits die Zutritts- und Zugangskontrolle versagt haben und der unbefugte Dritte ist bereits zu einem PC, Laptop oder an Ihren Schreibtisch gelangt, so regelt die Zugriffskontrolle, dass die Person trotzdem keinen Zugriff auf personenbezogene Daten erhält. Was sind die hier wichtigsten Maßnahmen: Gute Passwörter, versperrte Akten.

Weitergabekontrolle

Die Weitergabekontrolle stellt sicher, dass Daten nur an berechtigte Empfänger übermittelt werden. Welche Maßnahmen stellen in der Praxis sicher, dass Daten ausschließlich in die richtigen Hände geraten? Beispiele für die Umsetzung der Weitergabekontrolle sind die Verschlüsselung von Emails, VPN-Technologie, Authentifizierung der User, Passwortschutz bei Email Anhängen sowie die Verwendung von digitalen Signaturen.

Unsere Praxistipps

• Clear-Screen & Clear-Desk-Prinzip: Auf Schreibtischen oder Bildschirmen dürfen personenbezogene Daten Unbefugten (also beispielsweise Kunden, mit denen man eine Besprechung hat) keinesfalls zugänglich gemacht werden. Lassen Sie also keine Dokumente herumliegen oder am Bildschirm offen, wenn Sie Ihren Arbeitsplatz verlassen. Oder wenn Sie eine Besprechung haben. Die Kombination Windows-Taste + L sperrt Ihren Bildschirm unmittelbar.
• Schützen Sie Ihren PC/Laptop mit einem sicheren Passwort: 10 Zeichen, Groß/Kleinschreibung, Ziffer, Sonderzeichen = keine ganzen Wörter, Namen, Kfz-Kennzeichen oder Geburtsdaten verwenden! Weitere Informationen zum Passwortmanager finden Sie hier.
• Die TOMs scheinen in der Praxis für viele Unternehmen eine Herausforderung zu sein, weil es sich dabei oftmals um (EDV-)technische Anforderungen und Maßnahmen zur IT-Sicherheit handelt. Kontaktieren Sie uns, wenn Sie Unterstützung bei der Umsetzung benötigen, durch unsere jahrelange Expertise im Datenschutz- und IT-Bereich sind wir Ihre idealen Partner.
• Lesen Sie im 2. Teil unserer TOMs Serie mehr über die Eingabe- und Auftragskontrolle.

Niemand darf zu Werbezwecken ohne Einwilligung kontaktiert werden. So sagt man, steht es in der DSGVO. Ganz so ist es allerdings nicht. In Österreich regelt das Telekommunikationsgesetz das Thema Werbeanrufe und elektronische Werbung. Hierbei werden Ausnahmen normiert, die eine Zusendung elektronischer Post auch ohne Einwilligung ermöglichen. Welche Voraussetzungen dazu gegeben sein müssen, erfahren Sie in unserem Beitrag.

Kontaktaufnahme laut Telekommunikationsgesetz

Seit langer Zeit (2007) ist im Telekommunikationsgesetz geregelt, dass Personen nicht mit unerbetenen Nachrichten bombardiert werden dürfen. (Dies gilt übrigens auch im B2B-Bereich.) Die DSGVO enthält diesbezüglich einige Regelungen, die jedoch nicht in die Tiefe gehen. Informationen dazu können Sie in unserem vorherigen Beitrag lesen. Um zu Werbezwecken Kontakt aufnehmen zu dürfen, ist eine Einwilligung der betroffenen Person notwendig. Ein Widerruf der Einwilligung muss jederzeit möglich sein. Die Identität des Absenders sollte klar erkennbar sein und die Rufnummer darf weder unterdrückt noch verfälscht angezeigt werden. Auch ein Newsletter unterliegt einer Impressumspflicht! Ebenso wichtig ist es, dass eine geeignete Adresse übermittelt wird, an welche die Empfänger den Wunsch zur Einstellung der Zusendung richten können.

Ausnahmen im Telekommunikationsgesetz

Wann ist nun keine Einwilligung zur Kontaktaufnahme notwendig? Die Ausnahmen werden im Telekommunikationsgesetz – im § 107, für besonders interessierte Juristen, – definiert. Wir fassen für Sie zusammen:

Eine Einwilligung zum Erhalt elektronischer WERBUNG ist unter folgenden Bedingungen nicht nötig:

Ein Praxisbeispiel hierzu: Herr Huber hat bei Ihnen ein Seminar zum Thema Brandschutz besucht und Ihnen in diesem Zusammenhang seine Kontaktdaten gegeben. Als er an Ihrer Weiterbildung teilnahm, haben Sie ihn gefragt, ob er Werbung von Ihnen erhalten möchte. Sie haben ihn über die Möglichkeit der Ablehnung informiert. Er hat nicht abgelehnt. Nun möchten Sie ihm Werbung für Ihr neues Seminar zum Thema Hygiene zusenden. Um rechtskonform zu handeln, prüfen Sie vorab, ob er in der Robinsonliste eingetragen ist. Die Eintragung in diese Liste steht übrigens über allen anderen Voraussetzungen. Wenn Herr Huber dort nicht eingetragen ist, können Sie ihm nun Werbung zusenden. Ihr Werbeemail ist klar als Werbung zu erkennen, hat ein Impressum und einen Link, wo sich Herr Huber jederzeit vom Erhalt weiterer Zusendungen abmelden kann. So geht elektronische rechtskonforme Werbung!

Unsere Praxistipps

• Senden Sie niemals Werbeaussendung oder tätigen Sie Werbeanrufe, wenn die oben beschriebenen Punkte nicht erfüllt sind. Ein solcher Fehler könnte Sie teuer zu stehen kommen, wie Datenschutz-Entscheidungen bereits zeigen. Aber nicht nur Datenschutz-Entscheidungen sind relevant, sondern auch Anzeigen bei der Fernmeldebehörde, können Sie teuer zu stehen kommen (Strafen: Erstverstoß bis zu 37.000,- €).
• Wenden Sie sich an uns, wenn Sie Details wissen möchten, um Ihre Werbung rechtskonform zu gestalten. Wir unterstützen Sie gerne.

Datenschutzmängel bei Facebook sind keine Neuigkeiten, nun hat sich die Social-Media-Plattform allerdings mit einem besonders schweren Datenleck in die Nachrichten manövriert. Auch LinkedIn und Clubhouse sind aktuell aus ähnlichen Gründen in aller Munde. Lesen Sie in diesem Beitrag genauere Informationen zu den Vorfällen.

Datenmissbrauch bei Facebook

Vor einigen Wochen wurde bei Facebook eine schwere Datenpanne mit rund 530 Millionen betroffenen Personen bekannt. Durch eine Sicherheitslücke wurde eine enorm hohe Menge an personenbezogenen Daten im Internet veröffentlicht, welche in einem Forum für Cyberkriminelle auftauchten und dort kostenfrei zur Verfügung standen. Das Leak war bereits vor Jahren bekannt geworden und laut der Social-Media-Plattform 2019 behoben worden.

Unter den Betroffenen befinden sich 6 Millionen Deutsche, die sich nun mit der Unterstützung des Münchner Unternehmens „Europäische Gesellschaft für Datenschutz“ (EuGD) zu einer Klage auf Schadenersatz für immateriellen Schaden entschlossen haben. Sollte diese erfolgreich sein, könnte jeder betroffenen Person 1000,- € Schadenersatz zukommen. Dies hätte wohl einen abschreckenden Effekt, sogar für Facebook!

Datenmissbrauch bei LinkedIn

Auch bei LinkedIn wurde kurz darauf ein Fall von Datenmissbrauch publik. Mehr als 500 Millionen Profildaten wurden in einem populären Hackerforum gegen eine geringe Gebühr zum Verkauf angeboten. Bei den Daten handelt es sich um Namen, Telefonnummern, Email Adressen und Arbeitgebende. Das soziale Netzwerk für Geschäftskontakte bezeichnet den Vorfall als unerlaubtes Scraping. Damit sind bestimmte Techniken gemeint, die durch gezieltes Extrahieren von Daten, zum Gewinn bestimmter Informationen herangezogen werden.

Datenmissbrauch bei Clubhouse

Clubhouse ist die jüngste Social-Media-Plattform und hat in den letzten Monaten große Bekanntheit erlangt. Zuletzt fiel die Trend-App jedoch ebenso wie Facebook und LinkedIn äußerst negativ in den Schlagzeilen auf. Auch von Clubhouse-Nutzern wurden personenbezogene Daten im Internet frei zugänglich gemacht. In diesem Fall wurde ebenso wie bei LinkedIn durch Datenscraping eine Datenbank der gesammelten Daten erstellt, die ein gefundenes Fressen für Hacker darstellt. Von diesem Vorfall sind insgesamt 1,3 Millionen Nutzer betroffen.

Unsere Praxistipps

• Werfen Sie unbedingt einen Blick auf Ihre Online-Konten und seien Sie vorsichtig beim Öffnen von Emails oder Nachrichten auf oder von den betroffenen Plattformen.
• Verwenden Sie in allen Konten sichere und unterschiedliche Passwörter und ändern Sie diese regelmäßig. In diesem Beitrag finden Sie wichtige Informationen zum Passwortmanagement.
• Eine Zwei-Faktor-Authentifizierung ist sehr zu empfehlen.
• Unter diesem Link können Facebook-User überprüfen, ob sie betroffen sind.
• Kontaktieren Sie uns bei weiteren Fragen.

Daten sind in den letzten Jahren zu einem beliebten Währungsmittel geworden. Bestimmt haben Sie schon häufig mit Daten für vermeintlich „kostenlose“ Dienste bezahlt. Nun wurde ein neues Gewährleistungsrecht auf den Weg gebracht, das künftig Verbesserungen für Verbraucher verspricht. Die wichtigsten Informationen dazu haben wir für Sie in diesem Beitrag zusammengefasst.

Die Bezahlung durch Daten

Zahlreiche Plattformen und Dienste stellen kostenlose Leistungen zur Verfügung. Gezwungenermaßen müssen wir einwilligen, dass beispielsweise auf unsere Kontakte, Fotos, Mikrofon, Standort oder auf andere Informationen zugegriffen wird. Wir nehmen das jedoch in Kauf, um uns ein Video anzusehen oder einen Messenger-Dienst zu nutzen. Schließlich werden wir vor die Entscheidung gestellt: Möchten wir den Dienst in Anspruch nehmen und dafür mit unseren Daten bezahlen? Oder wollen wir den Zugriff lieber nicht erlauben und können dafür aber die jeweilige Leistung nicht in Anspruch nehmen? Diese Zwickmühle veranlasst uns häufig dazu, den Zugriff auf unsere privaten Daten trotzdem zu erlauben, obwohl wir mit diesem grundsätzlich keineswegs einverstanden sind. Eine Gesetzesänderung gibt uns nun mehr Rechte.

Neue Ansprüche bei der Bezahlung mit Daten

Ein neues Gewährleistungsrecht nach EU-Richtlinie soll uns Verbrauchern zukünftig das Leben erleichtern. Dieses ist bis zum 1. Juli 2021 durch nationale Gesetze umzusetzen und soll mit 1. Jänner 2022 zur Anwendung kommen. Im Vordergrund steht grundsätzlich eine Verbesserung der Durchsetzung von Gewährleistungsansprüchen bei Mängeln, beispielsweise bei der Beweislast. Zusätzlich werden auch digitale Neuerungen verlangt: Zum einen kostenlose Software-Updates für „Smart Goods“, beispielsweise Smartphones oder „intelligente“ Fitnessuhren, und zum anderen neue Regelungen in Bezug auf die Bezahlung mit Daten.

Letzteres ist in Hinblick auf den Datenschutz besonders interessant: Während das Gewährleistungsrecht bislang nur für entgeltliche Verträge gültig war, sollen die neuen Bestimmungen nun auch dann gelten, wenn Betroffene für digitale Leistungen nicht mit Geld, sondern mit personenbezogenen Daten bezahlen.

Lädt eine Person beispielsweise Fotos in einen kostenlosen Cloud-Dienst, so kann dieser, sollte das Abrufen der Fotos Probleme mit sich bringen, oder das Material verzerrt oder falsch dargestellt werden, von seinem Gewährleistungsrecht Gebrauch machen. Der Cloud-Dienst ist nach dem neuen Gesetz gewährleistungspflichtig in Bezug auf sämtliche mögliche Mängel, welche anfallen könnten. Der betroffene Kunde hat dann zum Beispiel das Recht, zu verlangen, dass seine personenbezogenen Daten vom Anbieter nicht mehr genutzt werden dürfen.

Unsere Praxistipps

• Erheben auch Sie personenbezogene Daten von Verbrauchern, die Dienste online auf Ihrer Webseite in Anspruch nehmen, wie zum Beispiel Videos ansehen? Wenn ja, dann vergessen Sie nicht: Das neue Recht betrifft auch Sie! Bei Mängeln, Schäden und Fehlern können Betroffene ab 1. Jänner 2022 Ihnen gegenüber Gewährleistungsansprüche geltend machen.
• Kontaktieren Sie uns sehr gerne, wir stehen Ihnen jederzeit zur Seite, um rechtskonform auf Anfragen zu reagieren.

In diesem Praxisleitfaden haben wir eine Schritt für Schritt Anleitung für Sie verfasst, um Ihnen zu zeigen, was europäische Unternehmen zum Datentransfer in die USA und in andere Drittländer ohne Angemessenheitsbeschluss umsetzen müssen. So bleiben Sie und Ihr Unternehmen rechtskonform.

Schritt 1: Überprüfung des externen Datentransfers

Zuerst müssen Sie Ihre Datenflüsse genauestens dahingehend überprüfen, ob Daten überhaupt in Drittländer übermittelt werden. Als solche gelten alle Staaten, in denen die DSGVO keine Gültigkeit hat – also alle außerhalb des Europäischen Wirtschaftsraums (EWR). Achtung, unter anderem gehört auch die Schweiz nicht zum EWR! Ein Datenaustausch innerhalb des EWR sollte unbedenklich sein.
Vergessen Sie nicht darauf, auch bei Datenflüssen an vermeintliche EU-Unternehmen genau hinzusehen, denn diese könnten Daten schließlich an Drittländer weiterübermitteln. Beispiele hierfür wären Mailchimp, Salesforce, HubSpot und Facebook. Praxistipp dazu: Checken Sie die Verträge, die Sie mit Ihren Dienstleistern abgeschlossen haben.

Schritt 2: Relevante Grundlage des Datentransfers bestimmen

Um Daten an Unternehmen in Drittländern übermitteln zu dürfen, ist eine geeignete Grundlage notwendig. Folgende Grundlagen gibt es hierfür:

• Es liegt ein Angemessenheitsbeschluss der EU für ein bestimmtes Land vor. Einen solchen gibt es derzeit (!) für folgende Länder: Andorra, Argentinien, Kanada bei privaten Stellen, Schweiz, Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay. Mit Unternehmen in diesen Ländern dürfen Sie Daten ohne weitere Garantien austauschen.
• Mit dem entsprechenden Unternehmen wurden sogenannte Standardvertragsklauseln vereinbart. Diese Klauseln sind meist ein Anhang zum Auftragsverarbeitervertrag. Fordern Sie die entsprechenden Verträge bei Ihrem Dienstleister an.
• Wenn ein Konzern interne Datenschutzrichtlinien – sogenannte „Binding Corporate Rules“ – verwendet, die von der EU akzeptiert wurden und Ihnen diese übermittelt, gelten diese auch als entsprechende Garantie.
• Auch eine Einwilligung der betroffenen Person kann als geeignete Garantie bewertet werden. Eine Einwilligung reicht nur in Ausnahmefällen aus, beispielsweise bei „nicht regelmäßigen Verarbeitungen“. Achtung: Ein CRM, das Daten in Amerika verarbeitet, oder ein Newsletter-Tool wäre eine regelmäßige Verarbeitung.

Ohne Rechtsgrundlage keine Datenverarbeitung, das muss ohnehin immer der Grundsatz sein!

Schritt 3: Spezialfall USA – Datentransfer gegen Geheimdienste sichern

Identifizieren Sie unbedingt Electronic Communication Service Provider in den USA und überprüfen Sie jeden Datentransfern in die USA daraufhin, ob ein Abhören durch die NSA möglich ist. Daten bei all jenen Unternehmen, die ein Electronic Communication Service Provider sind und dem sogenannten FISA 702 unterliegen, können jederzeit von den Geheimdiensten ausgelesen werden. Genau davor soll aber die DSGVO schützen! Von solchen Unternehmen dürfen auf keinen Fall Daten von EU-Bürgern verarbeitet werden.

Folgen bei unrechtmäßigem Datentransfer in Drittländer

Verantwortliche müssen Datenübermittlungen überprüfen und diese unterlassen, sollte es keine geeignete geeignete Rechtsgrundlage geben. Wird dies verabsäumt, wird das höhere Strafmaß gemäß DSGVO herangezogen: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Gesamtkonzerns! Die Datenschutzbehörden dürfen Verarbeitungen solcher Art auch jederzeit untersagen. Und, ganz übel: Betroffene könnten Schadenersatz geltend machen. Eine Schon- oder Übergangsfrist gibt es dazu nicht, das hat der EuGH bereits im Juli 2020 so verkündet.

Handeln Sie sofort und prüfen Sie Ihre ausländischen Dienstleister, speziell jene Dienstleister mit Bezug zu den USA.

Wir unterstützen Sie sehr gerne dabei, Ihre Datenflüsse nach den beschriebenen Kriterien zu überprüfen. Bleiben Sie auf der sicheren Seite, meist wird die auf der europäischen Seite des Atlantiks liegen. Kontaktieren Sie uns jederzeit, wenn Sie Fragen zum Thema Datentransfer haben.