Datenschutz

Aus dem Recht auf Selbstbestimmung und der Würde des Menschen resultiert der Datenschutz, festgeschrieben in der Datenschutzgrundverordnung (DSVGO) in Kraft seit dem 25 Mai 2018 und umgesetzt im BDSG-neu.

• Die Datenschutzerklärung muss jederzeit direkt aufrufbar sein
• Setzt an, bevor die Informationen überhaupt vorliegen

Arten von Daten

personenbezogenen Daten

• Beschreiben eine natürliche Person
• Beispiele: Name, Geburtsdatum, Adresse, Bankdaten, IP-Adressen, Cookies, Geschlecht etc.

Besonders personenbezogene Daten

Ethnische und kulturelle Herkunft, alle politischen, religiösen und philosophischen Ansichten, genetische und biometrische Daten wie Fingerabdruck, Venen oder Iris.

anonymisierter Daten

Sie sind kein Problem und werden z. B. für ein allgemeines Nutzerprofils der Website benutzt. Das Geschlecht, die Altersspanne, die Region, die Interessen etc.

pseudoanonymisierte Daten

• Ein Datensatz mit ID ohne Verbindung zum echten Datensatz
• Grauzone, wegen möglicher Zuweisbarkeit durch Zusammensetzung Merkmalen
• Hinweis auf Erhebung und Recht des Widerspruches

Grundsätze

Verbot mit Erlaubnisvorbehalt

• Generelles Verbot der Datenerhebung mit gesetzlichen Ausnahmen
• Daten nach Ablauf der Notwendigkeit direkt löschen
• Ausgenommen sind aufbewahrungspflichtige Daten

Zweckbindung

• Erhebung ausschließlich für die vertraglich festgehaltenen Bedingungen (den Zweck) erlaubt
• unmittelbar danach Löschungspflichtig
• Weitergabe an Dritte verboten
• Ausgenommen für die Strafverfolgung, und Abrechnung

Datenminimierung

Es dürfen auch nur die für den Zweck benötigten Daten verlangt werden.

Transparenz und Hinweispflicht

• leicht verständliche Sprache
• Aufzählung aller Daten nach Art, Umfang und Verwendung
• Datenschutzeinwilligung der Nutzer vor außerrechtlicher Datenerhebung
• Möglichkeit jederzeit zu widersprechen
• Alle Datenschutzmaßnahmen müssen im sog. Verarbeitungsverzeichnis dokumentiert werden

Vertraulichkeit

• Schutz vor Verarbeitung, Veränderung, Vernichtung oder Diebstahl anderer, technisch und organisatorisch
• keine klaren Handlungsempfehlungen der DSVGO
• mehr Schutz ist immer besser
• Im Zweifel entscheidet ein Gericht, ob die ergriffenen Maßnahmen ausreichend waren

Meldepflicht

Datenpannen müssen innerhalb von 72 Stunden nachdem sie dem Unternehmen auffallen an die Betroffenen und die zuständige Behörde gemeldet werden.

Kopplungsverbot

Unternehmen dürfen Leistungen nicht mit der Einwilligung zur Abgabe von Daten, die für die Leistung nicht erforderlich sind, verpflichten.

Strafen

• bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes
• Ordnungswidrige Handlungen, die absichtlich, vorsätzlich oder fahrlässig …:
• den Absender oder den kommerziellen Charakter einer Nachricht verschleiern,
• den Nutzer nur unvollständig oder gar nicht über die Art der Datenerfassung informieren,
• gegen die gesetzlichen Bestimmungen personenbezogene Daten erheben, verarbeiten, speichern oder nicht rechtzeitig löschen oder
• ein Nutzungsprofil mit Daten über den Träger des Pseudonyms zusammenführen.

Rechte der Nutzer

• Schadensersatzansprüche
• Auch Betroffenenrechte genannt
• Auskunftsrecht
• Recht auf Vergessenwerden (Löschungsrecht)
• Berichtigungsrecht
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht
• Recht auf Einschränkung der Verarbeitung

Auftragsverarbeitung

• externes Unternehmen verarbeitet Daten des Nutzers
• Verantwortung liegt beim Webseitenbetreiber
• Vertrag über die Verarbeitung und Übertragung
• Genaueres in Art. 28 geregelt wie
• Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten.

Datensicherheit

• wie die Daten geschützt werden
• alle Daten werden geschützt
• Vertraulichkeit
• Integrität
• Verfügbarkeit durch „Data Loss Prevention (DLP)“

Prinzipien

• „Privacy by Design“
• Datenschutz von Anfang an mit einbauen
• Mit möglichst wenig Daten auskommen können
• „Privacy by Default“
• Datenschutz freundlichste Einstellung als Standard
• Datenschutz-Folgeabschätzung (DSFA)
• Risiko-Abschätzung
• Besonderer Schutz
• Im Cloud-Computing
• Bei medizinischen Daten

TOM

• Technische und organisatorische Maßnahmen

Unterschied

Schutzmaßnahmenkategorien

Handlungsempfehlungen

Jügen Toss sagte: „Datenschutz ist im Zeitalter der Informationsgesellschaft eine unverzichtbare Bedingung für das Funktionieren jeglichen demokratischen Gemeinwesens.“

Hallo,
wir stellen euch Datenschutz und Datensicherheit im E-Commerce vor. Zwei Bereiche die eng mit einander verbunden sind. Zum Aufbau des Vortrags:

Da das Thema recht umfangreich ist, konzentrieren wir uns auf die Grundlagen, um genauer zu sein, die Arten von Daten, Grundsätze des Datenschutzes sowie die Konsequenzen von Missverhalten und allgemeinen Rechte der Verbraucher. Wir beleuchten also nur einen kleinen Teil der jeweiligen Bereiche. Datenschutz rund um Mitarbeiter könnte sicherlich eine ganze Präsentation füllen und auch die einzelnen Artikel bzw. Paragraphen lassen wir außen vor.

Im Feld der Datensicherheit beleuchtet Johann die technischen und organisatorischen Maßnahmen, | und zum Schluss noch ein paar Handlungsempfehlungen für den optimalen Schutz.

Datenschutz

Beim Datenschutz sollen, wie schon im Wort enthalten, unsere Daten vor Missbrauch aller Art geschützt werden. Daten haben eine ungeheure Macht und mit ihnen lässt sich viel Geld verdienen.

Mit dem Recht auf Selbstbestimmung bzw. Würde des Menschen müssen daher unsere personenbezogenen Daten geschützt werden, um einen Missbrauch, eine Diskriminierung etc. zu verhindern. Regelungen dazu waren im Bundesdatenschutzgesetz (BDSG-alt) festgehalten und wurden mit dem in Krafttreten der Datenschutzgrundverordnung am 25 Mai 2018 ersetzt, bzw. wurden in nationale Gesetze im BDSG-neu umgewandelt und ergänzt. In ihr ist auch geregelt, dass über jede Art der Erfassung, ihren Umfang und Zweck informiert werden muss (Telemediengesetz §13) und dass der Nutzer jederzeit Zugriff auf die Datenschutzerklärung haben muss. Sie darf sich also nicht im Impressum verstecken und muss klar als Datenschutz oder Datenschutzerklärung gekennzeichnet sein (Negativbeispiel: bbs-lingen-wirtschaft.de).

Der Datenschutz setzt, bevor die Informationen überhaupt vorliegen, an.

Arten von Daten

Wir hatten sie gerade schon angesprochen. Die personenbezogenen Daten. Sie sind Daten, die eine natürliche Person beschreiben bzw. identifizierbar machen und sind besonders zu schützen. Dazu gehören unter anderem:

• Name, Geburtsdatum, Adresse, Staatsangehörigkeit,
• Versicherungsnummern,
• Bankdaten,
• IP-Adressen, Cookies, GPS-Standortdaten,
• Geschlecht, Haut-, Haar-, Augenfarbe,
• Besitztümer,
• Online-Kundendaten,
• Bildungs- und Berufszeugnisse.

Besonders personenbezogene und damit extrem sensible Daten sind:

• die ethnische und kulturelle Herkunft
• alle politischen, religiösen und philosophischen Ansichten
• sowie genetische und biometrische Daten wie Fingerabdruck, Venen oder Iris.

Die Erhebung vollständig anonymisierter Daten ist also kein Problem. Ein Beispiel ist die Aufstellung eines allgemeinen Nutzerprofils der Website. Das Geschlecht, die Altersspanne, die Region, die Interessen etc.

Hingegen befinden sich pseudoanonymisierte Daten, also ein Datensatz, dem anstatt eines klar zuweisbaren Namens oder einer ID, ein Pseudonym zugewiesen wird, in einer Grauzone, da die Zusammensetzung aus Geschlecht, Region, Alter etc. evtl. auf eine Person schließen lässt. Deswegen muss auf die Erhebung und das Recht des Widerspruches hingewiesen werden.

Grundsätze

Verbot mit Erlaubnisvorbehalt

Generell ist es verboten irgendwelche Daten zu speichern, allerdings mit geregelten Ausnahmen. Zudem müssen alle gespeicherten Daten nach Ablauf der Notwendigkeit direkt gelöscht werden. Außerdem sind Daten ausgenommen, für die eine Aufbewahrungspflicht gilt, wie zum Beispiel bei Belegen für die Buchhaltung.

Zweckbindung

Die Erhebung von Daten ist ausschließlich für die vertraglich festgehaltenen Bedingungen oder die mit der Nutzung eines Mediums einhergehenden Daten zulässig. Die Daten sind also an ihren Zweck gebunden und müssen somit, wie gerade erwähnt, unmittelbar danach gelöscht werden. Auch die Weitergabe an Dritte ist untersagt. Ausgenommen sind Polizeibehörden für die Strafverfolgung, und auch für die Abrechnung dürfen notwendigerweise Daten weitergegeben werden.

Datenminimierung

Nach den Grundsätzen der Datenvermeidung und -sparsamkeit dürfen nur Pflichtangaben wie eine E-Mailadresse oder Versandadresse, aber nicht die Telefonnummer, verlangt werden.

Transparenz und Hinweispflicht

Auch diese Punkte sprachen wir vorhin schon an. In der Datenschutzerklärung muss in leicht verständlicher Sprache jede Protokollierung von Daten beschrieben werden, und je nach Art muss auch eine Einwilligung (Datenschuzteinwilligung [4]) der Nutzer erhoben werden und ihnen die Möglichkeit gegeben werden, dieser jederzeit zu widersprechen. Außerdem müssen Datenschutzmaßnahmen im Verarbeitungsverzeichnis dokumentiert werden.

Vertraulichkeit

Die Daten müssen vor Verarbeitung, Veränderung, Vernichtung oder Diebstahl anderer, technisch und organisatorisch geschützt werden. Dies ist ein Bereich der Datensicherheit, auf den wir gleich zu sprechen kommen. Hierzu bietet die DSGVO keine klaren Handlungsempfehlungen, es lässt sich aber festhalten, dass umso vertraulicher die Daten sind, umso größeren Schutz sie brauchen. Generell brauchen sie auch mehr und sicherere Schutz- und verschlüsselungsmaßnahmen. Im Zweifel entscheidet nämlich ein Gericht, ob die ergriffenen Maßnahmen ausreichend waren oder ob eine Strafe verhängt wird. Zu denen kommen wir nämlich jetzt.

Meldepflicht

Datenpannen müssen innerhalb von 72 Stunden nachdem sie dem Unternehmen auffallen an die Betroffenen und die zuständige Behörde gemeldet werden.

Kopplungsverbot

Unternehmen dürfen Leistungen nicht mit der Einwilligung zur Abgabe von Daten, die für die Leistung nicht erforderlich sind, verpflichten.

Strafen

Nach dem Artikel 83 des DSGVOs, sind hohe Geldstrafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes zu verhängen, wenn die Datenschutzregeln missachtet werden.

Ordnungswidrige Handlungen sind insbesondere solche, die absichtlich, vorsätzlich oder fahrlässig …:

• den Absender oder den kommerziellen Charakter einer Nachricht verschleiern oder verheimlichen,
• den Nutzer nur unvollständig oder gar nicht über die Art der Datenerfassung informieren,
• gegen die gesetzlichen Bestimmungen personenbezogene Daten erheben, verarbeiten, speichern oder nicht rechtzeitig löschen,
• ein Nutzungsprofil mit Daten über den Träger des Pseudonyms zusammenführen.

Rechte der Nutzer

Neben dem Schadensersatzanspruch gelten auch die sogenannten Betroffenenrechte

• Auskunftsrecht über Herkunft, Speicherzweck und Empfänger
• Recht auf Vergessenwerden (Löschungsrecht)
• Berichtigungsrecht (falsche Angaben müssen berichtigt werden)
• Recht auf Datenübertragbarkeit (Die Daten müssen mit zu einem anderen Dienst mitgenommen werden können)
• Widerspruchsrecht, gegen die Nutzung der Daten für Direktwerbung kann ohne Grund Widerspruch eingelegt werden, der auch umgesetzt werden muss. Für andere Fälle muss ein plausibler Grund angeführt werden.
• Recht auf Einschränkung der Verarbeitung, wenn der Nutzer damit rechnet, den Dienst später wieder nutzen zu wollen, kann er für den Zeitraum die Einschränkung der Verarbeitung beantragen oder auch wenn eine Löschung der Daten nicht möglich ist, weil der Anbieter diese Aufbewahren muss, kann der Nutzer die Verarbeitung einschränken.

Auftragsverarbeitung

Ein externes Unternehmen wie ein Zahlungsanbieter wie Paypal, verarbeitet Daten des Nutzers und die Verantwortung liegt noch beim beauftragten Unternehmen, dem Webseitenbetreiber. Über die Verarbeitung und Übertragung der benötigten Daten muss ein Vertrag mit dem externen Unternehmen geschlossen werden, wobei sich das externe Unternehmen natürlich verpflichtet sich die DSGVO zu halten. Genaueres ist im Art. 28 geregelt und hier einmal aufgelistet:

• Gegenstand und Dauer der Verarbeitung.
• Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten. Art der Daten und Kreis der Betroffenen.
• Garantierung der technischen und organisatorischen Maßnahmen.
• Berichtigung, Löschung und Sperrung von Daten.
• Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
• Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers.
• Verpflichtung der Mitarbeiter des Auftragnehmers zur Vertraulichkeit.
• Mitwirken bei Datenschutz-Folgenabschätzungen und Meldepflichten.
• Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
• Zusammenwirken bei Anfragen und Ansprüchen von betroffenen Personen
• Ausmaß der Weisungsbefugnisse, welche sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
• Rückgabe von Datenträgern sowie Löschung gespeicherter Daten nach Auftragsbeendigung.

Fazit

Zusammenfassend lässt sich sagen, dass neben einer jederzeit zugänglichen Datenschutzerklärung man auch eine Einwilligung des Nutzers braucht, um DSVGO konform Verkaufsvorgänge abzuwickeln. Dabei sind viele Regelungen zum Schutz der Verbraucher zu beachten und alles ist gut zu dokumentieren, um hohen Bußgeldern aus dem Weg zu gehen. Wie die Datensicherheit, die ja auch teilweise Inhalt des Datenschutzes ist, zum Datenschutz beiträgt und was das ist erklärt euch jetzt Johann.

Datensicherheit

Bei der Datensicherheit liegt das Augenmerk auf der technischen Seite, also wie die Daten geschützt werden. Im Gegensatz zum Datenschutz werden hier alle Daten betrachtet. Sie werden vor Unbefugten, u. a. auch Serveradmins, geschützt (Vertraulichkeit). Des Weiteren wird ihre Richtigkeit in Hinblick auf Manipulationen (Integrität) sichergestellt und vor Datenverlust unter dem Stichwort „Data Loss Prevention (DLP)“[9] gesichert, sodass der allzeit mögliche Abruf gegeben ist (Verfügbarkeit).

Prinzipien

„Privacy by Design“

• Datenschutz von Anfang an mit einbauen
• Mit möglichst wenig Daten auskommen können

„Privacy by Default“

• Datenschutz freundlichste Einstellung als Standard

Datenschutz-Folgeabschätzung (DSFA)

Um das Risiko zu minimieren, müssen Schutzmaßnahmen gegen die möglichen Szenarien aus der Risiko-Abschätzung getroffen werden. Vor allem beim Cloud-Computing, also dem Nutzen fremder Infrastruktur wie AWS, Google Cloud oder Google Firebase sowie medizinischen Daten. Dies ist gleichzeitig auch ein Teil des Datenschutzes, es lässt sich nicht ganz trennen.

TOM

Unterschied

Technische Maßnahmen sind alle Schutzversuche ⇒ 1. bauliche Maßnahmen wie

• Umzäunung des Geländes
• Sicherung von Türen und Fenstern
• Alarmanlagen

Oder 2. Soft- und hardware-Maßnahmen wie

• Benutzerkonto
• Passworterzwingung
• Logging (Protokolldateien)
• biometrische Benutzeridentifikation

Zu den organisatorischen Maßnahmen gehören Schutzversuche, die durch Handlungsanweisungen und Verfahrens- und Vorgehensweisen umgesetzt werden. Beispiele hierfür sind:

• Besucheranmeldung
• Arbeitsanweisung zum Umgang mit fehlerhaften Druckerzeugnissen
• Vier-Augen-Prinzip
• festgelegte Intervalle zur Stichprobenprüfungen

Schutzmaßnahmenkategorien

• Zutrittskontrolle (Verhindern, des Betretens des Geländes)
• Zugangskontrolle (durch Authentifizierung an den Geräten)
• Zugriffskontrolle (Berechtigungen der Mitarbeiter und Schutz vor Kopie der Daten)
• Weitergabekontrolle (Bei der Weitergabe der Daten darf nicht mitgelesen werden)
• Eingabekontrolle (Nachvollziehung der Eingabe, Änderung der Daten: Protokolle, Versionsverlauf)
• Auftragskontrolle (dass sich an die Verträge gehalten wird: z. B. Stichproben)
• Verfügsbarkeitskontrolle (Backups, Schutz vor Zerfall, Zerstörung)
• Trennungsgebot (Trennung nach unterschiedlichen Zwecken)

Handlungsempfehlungen

Zum Schluss wollen wir noch auf grobe Handlungsempfehlungen eingehen. Zuerst die der Clients, also Nutzer einer Website.

Clients

Als erstes sollte sich auf nichts und niemanden verlassen werden, denn es gibt keine garantierte Sicherheit. Früher oder später wird man von einer Datenpanne betroffen sein. Deswegen sollten auch so wenig persönliche Daten wie möglich preisgegeben werden. Das fängt bei den zusätzlichen optionalen Feldern wie der Telefonnummer an und geht über den echten Namen, das Geburtsdatum oder auch die E-Mailadresse. Es empfiehlt sich eine E-Mail-Adresse für Bewerbungen, Kontakte und Bankingdienste wie Paypal und Onlinebanking zu haben sowie eine mit Pseudonym für Spiele, Apps oder ähnliches. Als nächstes gilt, um bei Datenleaks oder gezielten Hackerangriffen größeren Schaden zu vermeiden, die Wahl eines zufälligen, anderem, mindestens 12 Zeichen langen Passwortes für jeden Dienst und der Aktivierung der 2FA. Da das Merken bei so vielen zusammengewürfelten Kombinationen unmöglich ist, kann ein Passwortmanager Abhilfe verschaffen. Auch bei der Verbindung ist aufzupassen. So hilft das sicherste Passwort nichts, wenn es einfach über eine unverschlüsselte Verbindung mitgelesen werden kann. Deswegen sollte man sich nicht in öffentlichen W-Lans einloggen und auf das kleine Schloss neben der URL achten, dass die Nutzung eines sicheren SSL-Zertifikates bescheinigt.

Bei der Programmierung unserer heutigen komplexen Anwendungen, kommt es immer mal wieder zu Sicherheitslücken, die mit Updates geschlossen werden. Deswegen ist das Updaten des Betriebssystems und des Browsers genauso wichtig. So hat Microsoft zum Beispiel eine kritische Sicherheitslücke im Internet Explorer zugegeben, die es den Angreifern ermöglicht, die volle Kontrolle über den Rechner durch das Ausnutzen der Speicherverwaltung des IEs zu gelangen. Zusätzlich kann ein Trackingblocker wie UBlockOrigin, die Verfolgung durchs ganze Netz, und damit die Erstellung eines genauen Nutzerprofils der Werbepartner verhindern.

Server

Die Maßnahmen, die man selbst ergreifen kann, sind sicherlich sinnvoll, bauen aber auch auf die der Serveradmins auf. Auch für sie gilt es, Updates einzuspielen und damit ein Mindestmaß an Datensicherheit zu gewähren. Das gilt natürlich auch für das Betriebssystem, den Webserver, die Programmiersprachen, den Datenbankserver und alle weiteren Anwendungen. Nebenbei sorgen sie auch für einen Performanceboost. Beim Programmieren sollte sorgfältig und klar strukturiert gecodet werden. Das macht die Instanthaltung einfacher und ermöglicht es Fehler schneller zu finden. Dabei kann eine IDE (integrated development environment) helfen. Sie weist einen auch auf veraltete Techniken hin. Dazu müssen natürlich auch die einfachsten Angriffe, wie die SQL-Injection, bedacht und verhindert werden, denn bei solchen Fahrlässigen Fehlern sind hohe Bußgelder zu erwarten. Auch sollten ungenutzte Ports geschlossen werden, da sie ein weiteres Sicherheitsrisiko darstellen.

Definition

Elektronischer Handel, auch Internethandel, Onlinehandel oder E-Commerce, bezeichnet Ein- und Verkaufsvorgänge mittels Internet (oder anderer Formen von Datenfernübertragung). [Quelle: Wikipeida]

Die Elektronische Abwicklung von Prozessen. Bsp.: Informationsaustausch, Beschaffung, Absatz

Akteure

Consumer (C), Business (B) und Administration (A) (staatliche Institutionen)



Telemediengesetz

gilt für alle Leistungen im Internet

Regelungen

• Providerprivileg
• Impressumspflicht
• Spamverbot

Fernabsatzrecht

• die gesetzlichen Regelungen sind u. a. in 312 des BGB niedergeschrieben
• alle Abschlüsse über Fernkommunikationsmittel wie das Internet
• betroffene Verträge
• Finanzgeschäfte
• Waren
• Dienstleistungen
• Fernunterrichtsverträge (räumliche getrennte Wissensvermittlung)
• Beförderugs- und Unterbringungsverträge

Informationspflicht

Vor Vertragsschluss muss über die Identität und den Geschäftszweck informiert werden (Impressumspflicht)

Wiederrufs- und Rückgaberecht:

• Nach Ankunft der Ware und Widerrufsbelehrung
• innerhalb von 14 Tagen
• ohne Nennung von Gründen zurückgebar
• ausgenommen sind Artikel, die nicht wieder verkauft werden können durch ihren Test, wie Hygieneartikel, verdebares...
• die Rücksendekosten trägt der Verbraucher, werden aber oft aus Kulanz übernommen
  

Datenschutz

Daten von natürlichen Personen unterliegen dem Datenschutz (Personen bezogene Daten). Der Betreiber eines Internetauftritts darf nur für die Geschäftstätigkeit notwendige Daten erheben. Sie sind an den Zweck gebunden und müssen vor Missbrauch geschützt werden. Zu den Rechten der Kunden gehören: Auskunftsrecht, Recht auf Vergessenwerden (Löschungsrecht), Berichtigungsrecht, Recht auf Datenübertragbarkeit, Widerspruchsrecht sowie das Recht auf Einschränkung der Verarbeitung.

Datensicherheit

Der Datenschutz befasst sich mit allen Daten und ihrer Sicherheit. Sie müssen vor dem Zugriff Dritter, gegen den Verlust oder Manipulation geschützt werden. Es wird zwischen baulichen, Soft- und Hardware und organisatorischen Maßnahmen unterschieden. Beispiele sind: Firewalls, Passwortschutz, Backups, Verschlüsselung wie SSL oder Zutrittskontrollen.