Tipps für Anwender

Auf dieser Seite werden aktuelle Tipps für Anwender gegeben. Diese sollen Information über aktuelle Probleme enthalten.



Wer hört hier alles mit?

Viele Anwender / Mitarbeiter setzten mittlerweile auch Produkte wie „Alexa“ oder „Siri“ nicht nur Zuhause, sondern auch am Arbeitsplatz ein.

Z.B. Amazon musste (04/2019) einräumen, dass nicht nur Programme Gespräche auswerten, es gibt auch reale Mitarbeiter welche sich „zur Qualitätsverbesserung“ aufgezeichnete Gespräche anhören.

Das ist so nicht mit der DSGVO vereinbar. Daher sollten solche Geräte aus dem Bürobereich verbannt werden. 

Im privaten Umfeld kann jeder Betroffene natürlich gerne selber darüber entscheiden.

 

Laut Amazon können Kunden von Amazon im Web-Interface unter „Alexa-Konto“ und „Alexa-Datenschutz“ eine Übersicht der Sprachaufzeichnungen erhalten. Über den Punkt“ Legen Sie fest, wie Ihre Daten Alexa verbessern sollen“ kann man dann die Berechtigung angeblich entziehen.

 

Immer bedenken... es sind IHRE Daten!

USA das Land der unbegrenzten Möglichkeiten

gegen...

EU / Datenschutzgrundverordnung:

Thema Privacy-Shield / Urteil EuGH „Schrems II“-Verfahren

 

Urteil vom 16.07.2020: Privacy-Shield wurde mit sofortiger Wirkung vom Europäischen Gerichtshof für ungültig erklärt.

Begründet wurde dies dadurch, dass es KEIN gleichwertiges Schutzniveau (zur DSGVO) in den USA gäbe. Beispielhaft wurde auf §702 FISA und der auf die Executive Order 12333 gestützte Überwachungsprogramme der US-Behörden verwiesen

 

D.h. alle Datenübertragungen von Personen bezogener Daten (PbD) von EU nach USA, welche sich auf das Privicy-Shield-Abkommen stützten sind ab diesem Datum (16.07.2020) unzulässig.

 

Dies betrifft auch Unternehmen, welche z.B. Cloud-Dienste oder andere Dienstleistungen (Social-Media-Plattformen usw. / mit Datentransfer von PdD in die USA nutzen und sich als rechtliche Grundlage dabei alleine auf das Privacy-Shield-Abkommen beriefen.

 

Wichtig: Die reine E-Mail-Kommunikation mit Geschäftspartnern ist davon nicht betroffen.

 

Wie bereits in jeder Datenschutzschulung von mir erklärt wurde, muss man nun neu prüfen, ob durch die individuelle Prüfung der Verarbeitung der Datenübertragung das notwendige Schutzniveau erreicht werden kann. Z.B. durch Einsatz der seit diesem Jahr (06/2021) verfügbaren erweiterter Standardvertragsklausen. Dies ist aufwändig, aber möglich.

Oder man kann auch prüfen ob man diese Dienste evtl. von einem DSGVO-konformen Anbieter (z.B. innerhalb der EU) erhalten kann. Oder ob an die Pb-Daten z.B. durch Pseudonymisierung bei dem USA-Anbieter weiter nutzen kann, usw….

 

Zur Klärung welche Möglichkeiten hier für Sie am sinnvollsten sind, bitte ich Sie sich doch einfach an ihren Datenschutzbeauftragten zu wenden.

 

Falls das oben genannte Thema für Sie relevant sein sollte, oder Sie die Einführung neuer Dienste planen, bitte ich Sie dies immer vorher mit ihrem Datenschutzbeauftragten zu besprechen, damit eine doppelte Investition vermieden werden kann.


 

Unendliche Geschichte: Mails mit Schadsoftware

Immer wieder gibt es verschiedene Varianten von Mails mit Schadsoftware. Immer öfters jedoch von einem bekannten Absendern (Lieferant / Kunde / Freund).

Natürlich sind diese Absender nicht die Echten.

Die Mails enthalten jedoch Links oder Anlagen (Links auf Webseiten / gepackte Dateien / ausführbare Dateien) die Schäden verursachen können.

Daher ist es wichtig, dass der Anwender genauer prüft ob dies wirklich eine Mail von dem bekannten Absender ist.

Im Zweifel immer, VOR dem Öffnen der Anlage, z.B. den Absender einfach anrufen um die Echtheit zu bestätigen.

 

 

 

Hier z.B. ein Muster welches man leicht erkennen kann:

Von: BEKANNTER FIRMENNAME [mailto:purchasing-asst@phil-union.com]
Gesendet: Donnerstag, 11. April 2019 16:10
An: MITARBEITER <x@y.de>
 Betreff: LIEFERANTENNAME - Monatsauszug

 

Hallo

Im Anhang erhalten Sie heute von uns die Monatsauszug.
https://LIEFERANTENNAME.de/DE/97119032258_April_11_2019.doc
Ich hoffe, ich konnte Ihnen helfen.

MfG
 LIEFERANTENNAME 

 

Bevor man auf einen Link klickt sollte man immer den Link sich anschauen, ob er wirklich auf z.B. die gewünschte Webseite des Lieferanten verlinkt. Wenn der Link einem unbekannt vorkommt, dann natürlich nicht auslösen. 



Künstliche Intelligenz / KI oder auch AI

Thema künstliche Intelligenz “ ( auch „KI“ oder „Artificial Intelligence“ – „AI“)

 

Entschließung der 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

Hambacher Schloss 3. April 2019

Hambacher Erklärung zum Thema Künstlichen Intelligenz

Systeme der Künstlichen Intelligenz stellen eine substanzielle Herausforderung für Freiheit und Demokratie in unserer Rechtsordnung dar. 

Künstliche Intelligenz und Datenschutz

  • „Künstliche Intelligenz“ ( auch „KI“ oder „Artificial Intelligence“ – „AI“) 
  • Eine allgemeine anerkannte Definition des Begriffs Künstliche Intelligenz existiert bisher nicht. 
  • Nach dem Verständnis der Bundesregierung geht es bei KI darum, „technische Systeme so zu konzipieren, dass sie Probleme eigenständig bearbeiten und sich selbst auf verändernde Bedingungen einstellen können. Diese Systeme haben die Eigenschaft, aus neuen Daten zu „lernen“ (…)“

Datenschutzrechtliche Anforderungen an Künstliche Intelligenz 

Die wichtigen rechtlichen Vorgaben der DS-GVO müssen eingehalten werden. Sie dienen dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen.

  • KI darf Menschen nicht zum Objekt machen
  • KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben
  • KI muss transparent, nachvollziehbar und erklärbar sein 
  • KI muss Diskriminierungen vermeiden
  • Für KI gilt der Grundsatz der Datenminimierung
  • KI braucht Verantwortlichkeit 
  • KI benötigt technische und organisatorische Standards

Die Datenschutzaufsichtsbehörden überwachen die Anwendung des Datenschutzrechts, setzt es durch und haben die Aufgabe, bei der Weiterentwicklung für einen effektiven Grundrechtsschutz einzutreten. 


Fanpages

Falls Sie (oder Ihre Mitarbeiter) in diesem Bereich tätig sind bitte folgendes beachten

 

Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit

 

In ihrem Beschluss hat die Konferenz deutlich gemacht, dass Fanpage-Betreiber die Rechtmäßgkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen können müssen. 

Die von Facebook veröffentlichte „Seiten-Insights-Ergänzung bezüglich der Verantwortlichen“ erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten“ einräumen lassen will. 

Vor diesem Hintergrund bekämpft die Konferenz erneut die Rechenschaftspflicht der Fanpage-Betreiber und stellt fest:

  • Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO
  • Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden.
  • Die Konferenz weist darauf hin, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber nach der DSGVO richtet.

Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solang diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.

© 2023 LovoSoft GmbH