Datenschutz Blog

 


Datenschutz Blog  & News

 
Willkommen auf meinem neuen Datenschutz Blog zu Neuigkeiten, Ansichten und aktuellen Gerichtsurteilen rund um DSGVO, BDSG, ePVO und Co. 

Lidl Plus

Lidl Plus - oder der gläserne Discounter-Kunde

Wie viel bin ich für Bequemlichkeit, Sonderangebote oder das Gefühl der individuellen Betreuung bereit von mir preiszugeben? Diese Frage sollte man sich stellen, bevor man sich beim nächsten Wocheneinkauf vorschnell die digitale Kundenkarte Lidl Plus zulegt.

Als Datenschützer durchlebt man gerade turbulente Zeiten. Auf der einen Seite ist er in seit gut einem Jahr durch die DSGVO in aller Munde und viele Unternehmen, die sich noch nie ernsthaft damit beschäftigt haben, nehmen das Thema nun ernst(er) – wenn oft auch lediglich aus Angst vor Sanktionen. Aber immerhin, es tut sich was. Auf der anderen Seite versuchen immer mehr Big Player so viele personenbezogene Daten und Informationen wie möglich von (potenziellen) Kunden zu bekommen um umfangreiche Profile anzulegen. Aktuellstes Beispiel ist der Discounter-Riese Lidl. Mit Lidl Plus ist für 2020 eine deutschlandweite digitale Kundenkarte geplant, die individuell auf die Bedürfnisse der Karteninhaber eingeht und Rabatte verspricht. Seit dem 13. Juni gibt es in Berlin und Brandenburg bereits eine Testphase und in den Nachbarstaaten Spanien Dänemark, Polen und Österreich gibt es diese Art von „Kundenservice“ teilweise schon seit 2016.

Gekaufte Produkte, Vorlieben, Einkaufszeiten und Standortdaten werden ausgewertet und es wird daraus ein individuelles Profil für den einzelnen Konsumenten gebildet. Jeder Kunde kriegt so maßgeschneiderte Angebote - ganz bequem per App aufs Smartphone. Apropos Smartphone - durch die integrierte Geolokalisierung gibst du als Nutzer des Dienstes auch preis wo du dich befindest. Ob im Kino mit den Liebsten oder halt in der Nähe eines Marktes - Lidl Plus weiß Bescheid. Du hast letzte Woche einen Grill gekauft? Ab jetzt wirst du vermutlich vermehrt Angebote für Grillfleisch und Kohle bekommen. Was auf den ersten Blick nach praktischem Service klingt und uns schon durch Amazon und Co. mehr als vertraut ist, entpuppt sich bei genauerem Hinsehen als explosives Pulverfass für das Recht auf die eigene Privatsphäre. Wer sieht da meine Daten ein und was für Schlüsse können daraus gezogen werden?

Holen wir dafür etwas weiter aus: In Ländern wie den USA oder China ist es mittlerweile nicht ungewöhnlich, dass die mächtigen Unternehmen vor den Betroffenen selbst wissen, dass man schwanger ist oder eine Krankheit hat. Möglich machen das die Analyse und Auswertung des geänderten Konsumverhaltens, sprich das Profiling der Kunden. Eine junge Frau kauft plötzlich statt wie gewöhnlich Tiefkühllasagne und Chips mehr Obst und Gemüse und der Algorithmus erkennt noch vor jedem Schwangerschaftstest, dass dafür nur der geänderte Hormonhaushalt verantwortlich sein kann.

Auch lässt sich oft eine (politische) Gesinnung aus dem Warenkorb ableiten. Greift man verstärkt zu Bio-Chia-Samen, Energiesparlampen und Veggie-Fleischersatz, ist man den Grünen womöglich näher als der CDU. Und wie wertvoll solche Daten sein können, weiß man spätestens seit dem Cambridge-Analytica-Skandal und der Wahl von Donald Trump.

Die Liste lässt sich beliebig fortführen. Sexuelle Aktivität, Nikotinsucht, das Trinkverhalten und nicht zuletzt die Entwicklung des Einkommens und der Gesundheitszustand – all das und viel mehr lässt sich durch die Auswertung des Kaufverhaltens von beispielsweise Kondomen, Zigaretten, Wein, Luxusgütern und Nahrungsergänzungsmitteln zu einem aussagekräftigen Profil vervollständigen. Wie praktisch, dass so ein Discounter so ziemlich alles in der Produktpalette hat. 

Der abgedroschene Begriff des gläsernen Bürgers – oder hier Kunden – drängt sich förmlich auf. So verlockend solche Angebote und Dienstleistungen auch erscheinen mögen, jeder muss für sich selber entscheiden wie viel seiner Privatsphäre man dafür bereit ist aufzugeben. Was für Auswirkungen solche Profile haben können kann man sich nochmal bequem in meinem Video-Tipp direkt unter diesem Blog-Eintrag ansehen.

In diesem Sinne: Ich geh jetzt Grillkohle einkaufen – bei Aldi!

27.06.2019

Smart Home

Video-Tipp: Unter Beobachtung

Sicherlich, es ist bequem sein Licht mit der Stimme dimmen zu können und sich bei Neuanmeldungen auf Webseiten mit Facebook anzumelden, statt umständlich ein Konto zu eröffnen - Aber was passiert da eigentlich mit unseren Daten? Professor Harald Lesch zeigt in diesem spannenden und kurzweiligen Beitrag warum man genauer hinsehen sollte wem man seine Daten gibt und warum die DSGVO mehr ist als die lästige Bürokratie, als die sie oft wahrgenommen wird.

#Hackerangriff - wie ein Schüler die IT-Welt in Aufruhr bringt

#Hackerangriff

Eine Kette ist nur so stark wie ihr schwächstes Glied. Selten passte diese alte Weißheit so gut wie im aktuellen Fall um den #Hackerangriff gegen rund tausend Prominente und Politiker. Das beste Passwort der Welt bringen nichts, wenn es auf einem Post-it am Bildschirm hängt und die sicherste Firewall kann keine Daten sichern, die den Mitarbeitern von gewieften Kriminellen entlockt werden. Mit einer einfachen Verschwiegenheitserklärung ist es da nicht getan, oder glauben Sie jeder Mitarbeiter weiß noch was er damals unterschrieben hat? Und der Imageschaden bleibt sowieso beim Unternehmen hängen, nicht beim achtlosen Mitarbeiter. Nur durch wiederholte Schulung und Sensibilisierung des Personals kann man eine menschliche Firewall aufbauen.

Es müssen nicht immer versierte Hacker aus Russland sein, die durch Hacker-Attacken den US-amerikanischen Wahlkampf beeinflussen oder Whistleblower, die die Machenschaften der Geheimdienste aufdecken. Es reicht ein Script Kid um einen riesigen Datenskandal auszulösen.
Script Kiddies werden in der Informationssicherheit Personen bezeichnet, die sich durch Doxing – dem Ausspähen von Daten, hergeleitet von doc., kurz für document - oft ohne erwähnenswerte Programmierkenntnisse den Leichtsinn der Leute zu Nutzen machen und deren Daten entwenden und gegen sie einsetzen.

Sie probieren Passwörter (Brute-Force-Attacke), erfragen am Telefon unter falscher Identität Login-Daten (Social Engineering) oder entlocken dem Geschädigten geheime Interna durch täuschend echt aussehende Briefe oder E-Mails (Phishing). Leider viel zu oft von Erfolg gekrönt.
Sich davor zu schützen ist einfach umzusetzen - wenn man denn darüber geschult wurde. Oft höre ich, dass es nicht möglich ist sich so viele komplizierte Passwörter zu merken. Die Folgen sind entweder einfache Passwörter oder aber sichere Passwörter, welche aber mehrfach und jahrelang verwendet oder aufgeschrieben werden, meist in PC-Nähe. Einfache Hilfsmittel wie ein Passwort-Tresor oder das Erzwingen von wechselnden, sicheren Passwörtern und einer zwei-Faktoren-Authentifizierung bei Log-Ins sind ein guter Anfang. Jedoch muss auch das gesamte Personal professionell über die Spielarten von Cyberkriminellen sensibilisiert, und über den korrekten Umgang mit Daten geschult werden - und das wiederholt.

Nichtmals Edward Snowden hat es mit den Enthüllungen rund um die NSA-Affäre 2013 geschafft den Satz „Ich hab doch nichts zu verbergen“ aus den kollektiven Köpfen zu bekommen. Datenschutz wurde in der Öffentlichkeit viel zu lange als lästige Bürokratie empfunden, statt als der Schutz der Privatsphäre eines jeden, dem er dient.

Der aktuelle #Hackerangriff auf Prominente und Politiker beherrscht die Medien zurzeit aufgrund der Bekanntheit der Opfer wie zuletzt der Facebook / Cambridge-Analytica-Skandal wegen seiner enormen Reichweite. Die Fälle von Datenpannen und erfolgreichen Hackerangriffen mit weniger Medienpräsenz häufen sich derweil Tag für Tag. Laut einer Bitkom-Studie wurden in den vergangenen zwei Jahren 68% aller Industrieunternehmen in Deutschland Opfer von Cyber-Angriffen, mit einem entstandenen Schaden von 43 Milliarden Euro – Tendenz stark steigend. Besonders KMU sind demnach im Visier der Kriminellen.

Innenminister Horst Seehofer fordert nach dem jüngsten #Hackerangriff nun ein IT-Sicherheitsgesetz 2.0, welches einen höheren Sicherheitsstandart gewährleisten soll. Das ist ein erster wichtiger Schritt und hoffentlich nicht nur Aktionismus, wirklich erfolgreich wird das Vorhaben allerdings erst mit einem Umdenken in den Köpfen der Nutzer. Die menschliche Firewall ist dafür unerlässlich.

„Zu sagen, dass einen Privatsphäre nicht interessiert, weil man nichts zu verbergen hat, ist wie zu sagen, dass einen Meinungsfreiheit nicht interessiert, weil man nichts zu sagen hat“ 
(Edward Snowden)


09.01.2019


Datenschutz 2019 - das kommt auf uns zu

DSGVO 2019

Ein ereignisreiches Jahr 2018 liegt hinter uns, Zeit für einen Ausblick auf den Datenschutz 2019.

Die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) werden durch ständig neue Gerichtsurteile, Stellungnahmen der Aufsichtsbehörden und qualitativ hochwertige Gesetzeskommentare immer greifbarer. Manche Sachverhalte sind nun klarer als noch vor einigen Monaten, von einer einfachen praktischen Umsetzung sind wir aber noch ein gutes Stück entfernt. Im Jahr nach Inkrafttreten von DSGVO und BDSG kommt es vor allem darauf an up to date zu bleiben. Es handelt sich nicht um ein starres Gesetz mit einer klaren Definition wie die Anwendung in der Praxis auszusehen hat - vielmehr befindet sich der Datenschutz zur Zeit im Wandel, geprägt von beinahe täglichen Neuerungen zur praktischen Auslegung.

Zusätzlich kommen weitere Verordnungen hinzu:
Seit dem 03. Dezember 2018 findet die EU-Verordnung zu Geoblocking - (EU) 20187302 - Anwendung. Sie verbietet das Geoblocking innerhalb der EU, was eine Beendigung von ungerechtfertigter Diskriminierung auf der Grundlage der Staatsangehörigkeit, des Wohnortes oder des Ortes der Niederlassung innerhalb des Binnenmarktes zur Folge haben soll. So ist es beispielsweise einem deutschen Online-Händler nicht länger gestattet, einen Interessenten aus Frankreich auf einen französischen Shop mit abweichenden Preisen weiterzuleiten oder aber für eine Lieferung nach Schweden mehr zu verlangen als in die Niederlande.

Diese Verordnung betrifft hauptsächlich die Betreiber von Online-Shops, weitaus mehr werden von der kommenden ePrivacy-Verordnung (ePVO) betroffen sein - nämlich beispielsweise jeder mit einem Internetauftritt.
Noch ist unklar wann genau die ePVO kommen wird und auch über Umfang und Inhalt wird noch rege diskutiert,  dass sie jedoch weitreichende Folgen für deutsche Unternehmen haben wird ist unbestritten.

Sie sehen also, selbst wenn man sein Unternehmen aktuell DSGVO- und BDSG-konform gemacht hat, wird sich in diesem Jahr erneut einiges ändern. Neue Anforderungen werden hinzu kommen und aktuelle Ansichten sind bald vielleicht schon wieder veraltet. Falls man das aktuelle Datenschutzrecht noch nicht ausreichend umgesetzt hat, sollte man damit besser heute als morgen beginnen.
In jedem Fall gilt: Bleiben Sie am Ball!


05.01.2019

Aufsichtsbehörden verhängen erste Bußgelder zur DSGVO

Bußgels DSGVO

Lag die Höchststrafe für Datenschutzverstöße im BDSG-alt noch bei 300.000 Euro, dauerte es nach Inkrafttreten der DSGVO keine fünf Monate Eingewöhnungszeit, bis im Oktober 2018 das erste Bußgeld verhängt wurde, welches diese Schallmauer durchbrochen hat.

Es handelte sich um das Krankenhaus Barreiro Montijo in Barreiro, Portugal. Die zuständige Aufsichtsbehörde CNPD verhängte ein Bußgeld von 400.000 Euro und begründete ihr Urteil durch eine mangelhafte Zugriffskontrolle - obwohl zu der Zeit lediglich 296 Ärzte in dem Krankenhaus arbeiteten, hatten 985 die Zugriffsrechte eines Arztes. So konnte beispielsweise Techniker auf Patientendaten zugreifen, die der ärztlichen Schweigepflicht unterlagen.
Hervorzuheben ist, dass diese Sicherheitslücke keine Datenpanne zur Folge hatte - angesichts dessen ist die Strafe umso beachtlicher.

Eine solche Datenpanne gab es ziemlich genau einen Monat später in Baden-Württemberg. Gegen den Chatanbieter Knuddels wurde das erste Bußgeld von einer deutschen Aufsichtsbehörde verhängt.
Durch unzureichende Datensicherheit - beispielsweise wurde Passwörter unverschlüsselt gespeichert - konnten Hacker wohl über einen nicht auf dem Stand der Technik gesicherten Backupserver die Zugangsdaten zu rund 1,9 Millionen Accounts entwenden.
Obwohl in diesem Fall ein reeller Schaden für die Betroffenen entstanden ist, fiel das Bußgeld mit 20.000 Euro deutlich geringer aus als bei dem Fall in Portugal.
Möglich wurde das durch die hervorragende Kooperation mit der Aufsichtsbehörde, voller Transparenz seitens der Verantwortlichen und direkter Maßnahmen zur erhöhten IT-Sicherheit.

Was wir daraus lernen:
Mithilfe eines vernünftigen Notfallkonzeptes und dem Know-how eines Datenschutzexperten, lässt sich selbst im Falle einer Datenpanne wenigstens der finanzielle Schaden minimieren. Bedenkt man die Höchststrafe seines solchen Vergehens nach DSGVO von 20 Millionen Euro, erscheinen die 20.000 Euro Bußgeld doch eher gering. 
Der entstandene Imageschaden hingegen ist dadurch nicht zu verhindern - da helfen nur ein stets gepflegtes Datenschutzmanagementsystem, professionell geschulte Mitarbeiter und ein angemessenes IT-Sicherheitskonzept.

Nur eines scheint sicher: Noch sind die Aufsichtsbehörden ziemlich überlastet aber auch das wird sich ändern. Die Liste der verhängten Bußgelder wird weiter wachsen - treffen Sie jetzt die nötigen Vorkehrungen, um nicht auf dieser zu landen!

02.01.2019