Kategorie: Datenschutz

Schon seit längerer Zeit wird Facebook nicht mehr nur als einfache Social-Media-Plattform verwendet, sondern fungiert ebenfalls als Werbeplattform, indem den Usern (auf Facebook und Instagram) sog. Lead-Ads angeboten werden.

Eine Lead-Ad ist eine Art Landingpage – eine Website, auf welche ein potentieller Kunde mit einer Werbeanzeige geleitet wird, um bestimmte Informationen zu übermitteln. 

Landingpages sind interessant für Unternehmen, weil Zielgruppen spezifisch angesprochen werden können.

Funktionsweise 

Eine individualisierte Zielgruppe entsteht durch Einsatz von Tracking-Tools auf der eigenen Website des Unternehmens. Diese Tracking-Tools bewirken eine Analyse von Interessen und Gemeinsamkeiten der Websitebesucher, über welche Besucher gruppier- und damit ansprechbar werden.

Die Lead-Ads by Facebook unterscheiden sich von herkömmlichen Landingpages. Anstelle einer einfachen Website-Weiterleitung wird hier eine Befragung per Kontaktformular durchgeführt, wodurch jeweilige Interessen und Präferenzen noch konkreter erfasst werden können.

DSGVO-Konformität

Es ist sicherzustellen, dass die Erstellung von Zielgruppen, welche offensichtlich auf der Speicherung und Verwendung personenbezogener Daten basiert, den Richtlinien der EU-Datenschutz-Grundverordnung (DSGVO) entspricht.

Es ist zu prüfen, welche personenbezogenen Daten (Adressdaten, Emailadresse, etc.) der potentiellen Kunden gespeichert, verarbeitet und/oder an Dritte weitergegeben werden dürfen und inwiefern Verwendungszwecke, wie auch Speicherdauer der gewonnenen Daten transparent sind.

Um Lead-Ads datenschutzkonform auszugestalten, müssen einige wichtige Grundbedingungen vorausgesetzt sein. 

Gem. Art. 5 und 6 DSGVO bedarf die Speicherung und Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Person, wobei der Einwilligungsempfänger (Sie) stets erkennbar sein muss, wie auch der Verwendungszweck aller erhobenen Daten. Die gewonnenen Kundendaten dürfen grundsätzlich nicht an Dritte übermittelt werden, es sei denn es liegt eine zusätzliche Einwilligung des Betroffenen i.S.d Art. 6 I DSGVO vor. 

Des Weiteren wird für Regelkonformität gesorgt, wenn das Unternehmen mit dem Dritten in einem Vertragsverhältnis steht und/oder es sich um ein verbundenes Unternehmen handelt (gem. § 15 AktG). Der Datenverantwortliche (Sie) trägt die Verantwortung für die rechtmäßige Verarbeitung der zur Verfügung gestellten Daten beim Auftragsverarbeiter (Dritter) (gem. § 11 BDSG).

Alle Datenempfänger müssen namentlich in den Datenschutzrichtlinien, die Detailangaben zu Ihrer Datenerhebung enthält, erwähnt sein.

Wir empfehlen:

Wir empfehlen die Verwendung von Opt-In i. S. e. eines ausdrücklichen Zustimmungsverfahren, in welchen der Link zu Ihren Datenschutzrichtlinien integriert ist. 

Eine weitere Verbesserung des Verfahrens ist durch ein Double-Opt-In zu erzielen. Dieses erfordert eine zusätzliche Bestätigung per Bestätigungsmail, um die Eintragung der persönlichen Daten auf ihre Richtigkeit zu überprüfen. Dies bietet Schutz vor Missbrauch der Daten, falls der User nicht die personeneigenen Daten verwendet hat, sondern sich als eine andere Person ausgegeben hat.

Dieser zusätzliche Schritt ist nicht gesetzlich verpflichtend, bietet jedoch zusätzliche Sicherheit, wenn dieses im individuellen Fall empfehlenswert scheint.

Sofern Lead-Ads nicht datenschutzkonform gestaltet werden, sind Sperrungen der Werbeanzeigen durch Facebook und Sanktionierungsmaßnahmen der Behörden nicht auszuschließen.

Fernwartung wird gerade in der heutigen Zeit als ein Segen empfunden, so denn sie es ermöglicht kurzfristig technische Probleme auf den Arbeitsrechnern der Mitarbeiter oder auch auf den hausinternen Servern schnell und qualifiziert beheben zu lassen. In Zeiten von Covid-19 ist dies durch weit verbreitete Homeoffice-Regelungen und die bestehenden Kontaktbeschränkungen oftmals die letzte Rettung zum Erhalt einer produktiven Arbeitsumgebung.

Nicht zu unterschätzen sind hier jedoch die Auswirkungen des BDSG auf solche Fernzugriffe. Selbstverständlich ist bei solchen Tätigkeiten es unablässlich einen Vereinbarung zur Auftragsdatenvereinbarung mit dem Dienstleister zu schliessen, aber es gibt noch einige technische und oranisatorische Regelungen, welche unbedingt beachtet werden müssen:

• Individuelle Zustimmung des Auftraggebers/Mitarbeiters
  Vor jeder Fernwartung ist es unabdingbar, daß der Auftraggeber, bzw. der Mitarbeiter auf dessen Endgerät zugegriffen werden soll seine Zustimmung für den Zugriff gibt. Dies kann präferiert über ein Hinweisfenster der Fernwartungssoftware geschehen, oder anderweitig, dann aber dokumentiert und nachweisbar.
  
• Sichtbarkeit der Fernwartung
  Ein gegenwärtiger Fernwartungszugriff muss jederzeit für den Auftraggeber/Mitarbeiter auf dem Endgerät erkennbar sein.
  
• Unterbindung/Abbruch Fernwartung
  Der Auftraggeber/Mitarbeiter muss jederzeit in der Lage sein eine laufende Fernwartung zu beenden.
  
• Protokollierung
  Fernwartungszugriffe müssen protokolliert werden. Es muss jederzeit ersichtlich sein welcher Benutzer in welchem Zeitraum auf das Endgerät zugegriffen hat und weshalb dieser Zugriff erforderlich war (Tätigkeitsbeschreibung).
  
• Vernichtung personenbezogene Daten
  Sofern der Auftragnehmer während der Ferwartung personenbezogene Daten erhalten hat, so sind diese nach Beendigung der Arbeiten unverzüglich zu löschen, bzw. dem Auftraggeber zurückzugeben.
  
• Zugriff auf produktive Daten (Wirkdaten)
  Sofern im Rahmen einer Fernwartung zum Zwecke der Fehlersuche auf Wirkdaten des Auftraggebers zugegriffen werden muss, so ist vorab die Einwilligung des Auftraggebers einzuholen.

Am 21. Dezember vergangenen Jahres verhängte Niedersachsens Landesbeauftragte für Datenschutz (LfD), Barbara Thiel, ein Bußgeld in Rekordhöhe von 10,4 Millionen Euro gegen die Notebookbilliger.de AG (NBB) mit Hauptsitz in Sarstedt bei Hildesheim.

Der Online Händler NBB soll laut LfD in die Persönlichkeitsrechte der Mitarbeiter und Kunden eingegriffen haben, indem diese seit mindestens zwei Jahren in unverhältnismäßigen Ausmaß mit Hilfe von Videokameras beobachtet und überwacht wurden.

Dieser Überwachung fehlte es scheinbar an jeglicher Rechtsgrundlage.

Aus Art. 6 Abs. 1 DSGVO geht hervor, dass eine solche Überwachung einen engen Zeitraum, wie auch eine bestimmte Mitarbeiter-Auswahl erfordere. 

NBB ließ seine ca. 900 Mitarbeiter rund um die Uhr in jeglicher Umgebung (Geschäfts-, Lager- und Aufenthaltsräumen) per Videoüberwachung aufzeichnen. Selbst das Verhalten der Kunden in Wartebereichen wurde kontinuierlich erfasst, womit NBB eindeutig den Schutz personenbezogener Daten vernachlässigte und sich i.S.d. Art. 83 Abs. 5 DSGVO für „besonders gravierende Verstöße“ strafbar machte. 

Hinzu kommt die unverhältnismäßig lange Aufbewahrung des Videomaterials von NBB. Häufig wurde dieses Material erst nach 60 Tagen gelöscht. 

Gemäß Art. 5 DSGVO beträgt die maximale Speicherdauer der Videoüberwachung 72 Stunden und nur in Ausnahmefällen 10 Tage.

Oliver Hellmold, CEO der Notebookbilliger.de AG, weist jegliche Vorwürfe zurück und legt Einspruch gegen den hohen Bußgeldbescheid ein. 

In einer eigenen Pressemitteilung (PDF) und einem FAQ-Artikel rechtfertigt sich das Unternehmen mit der Begründung, lediglich Straftaten wie Diebstähle vorbeugen zu wollen.

LfD betitelt diesen Rechtfertigungsgrund als unverhältnismäßig, da es mildere Mittel gäbe, um solch Ziele zu erreichen. Angefangen bei Stichproben einfacher Taschenkontrollen.

Noch ist das Bußgeld nicht rechtskräftig, sodass gemeinsam auf den nächsten Gerichtstermin gewartet wird. 

Die Videoüberwachung von NBB wurde mittlerweile regelkonform konfiguriert.

Am 12.06.2016 trat das von der EU-Kommission geschaffene EU-US Privacy Shield als Nachfolgeregelung des Safe Harbour-Abkommens in Kraft. Dieser Angemessenheitsbeschluss legte fest, dass für das Privacy Shield zertifizierte US-Unternehmen ein Datenschutzniveau erreichen, das es zulässt, personenbezogene Daten in die USA ohne weitere Sicherheiten an sie übermitteln zu können.
Diese Vereinbarung wurde am 16.07.2020 vom Europäischen Gerichtshof für ungültig erklärt. Die Übertragung personenbezogener Daten auf der Grundlage des Privacy Shields ist damit in vielen Fällen nicht mehr legal und hat damit enorme Auswirkungen auf Unternehmen in der EU, die auf das Privacy Shield vertraut haben.

Den Stein ins Rollen gebracht hat wieder einmal der sog. Datenschutzaktivist Max Schrems, der bei der irischen Datenschutzbehörde die Übertragung von Daten durch Facebook Irland an den Firmensitz in den USA beanstandet hatte. Die Datenschutzbestimmungen in den USA sind weit weniger streng als in der EU und außerdem sei Facebook in den USA dazu verpflichtet, die Daten auch Behörden wie dem FBI oder der NSA zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen können, so die Begründung von Schrems.
Die Datenschutzbehörde in Irland wandte sich mit dieser Frage an ein irisches Gericht, das seinerseits damit zum EuGH ging. Dieser musste entscheiden, ob die durch das Privacy Shield gegebenen Garantien den Ansprüchen an den Datenschutz genügen und damit die Daten der europäischen Nutzer von Facebook, Google, Microsoft etc. ausreichend geschützt werden. Der EuGH urteilte nun, dass die Überwachungsgesetze der USA zu weitreichend seien und der Privacy Shield keinen angemessenen Schutz bietet.
Rund 5000 Unternehmen berufen sich auf den Privacy Shield bei der Datenübertragung in die USA. Soweit der Privacy Shield die einzige rechtliche Grundlage darstellt, werden sich die Unternehmen nach alternativen Grundlagen umsehen oder die Übermittlung einstellen müssen.

Der Datenaustausch auf der Grundlage von Standardvertragsklauseln wurde dagegen vom EuGH als ausreichend bewertet, wenn der Datenschutz in dem anderen Land gewährleistet sei.

Der Bundesgerichtshof BGH hatte bei einem Verhandlungstermin am 30.01.2020 über die Frage zu entscheiden, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind. Am 28.05.2020 war der Verkündungstermin in dieser Sache und der BGH bestätigte die europäischen Vorschriften, nach denen Nutzer dem Setzen von Cookies aktiv zustimmen müssen (s. auch News 02.10.2019: Speicherung von Cookies nur mit aktiver Einwilligung der Nutzer rechtskonform und News 12.05.2020: Einfache Cookie-Banner künftig unzureichend).

Dies hat zur Folge, dass viele Webseitenbetreiber ihre sog. Cookie-Banner umgestalten müssen. Ein Klick auf OK oder ausgewählte Checkboxen sind nicht mehr zulässig. Cookies müssen solange blockiert werden, bis der Nutzer seine Einwilligung erteilt hat.

Die Umsetzung der rechtlichen Vorgaben erfordert entsprechende technische Lösungen, z. B. mit sog. Consent Tools.
Sprechen Sie uns an – wir unterstützen Sie bei der Einführung von datenschutzkonformen Maßnahmen.

Cookies und andere Tracking-Mechanismen werden auf vielen Webseiten auch zur Ermittlung des Benutzerverhaltens eingesetzt. Da hierbei personenbezogene Daten verarbeitet werden, muss dies mit der Einwilligung des Nutzers geschehen. Bei der rechtlichen Beurteilung für die Wirksamkeit der Einwilligung wurde lange vorausgesetzt, dass es genügt, dass über die Cookies und Trackingmechanismen in der Datenschutzerklärung aufgeklärt wird und der Benutzer die Webseite, z. B. durch Anklicken eines „OK“-Buttons, nutzt.

Der Europäische Gerichtshof EuGH stellt in einem am 01.10.2019 getroffenen Urteil fest, dass Internetnutzer der Speicherung von Cookies beim Besuch einer Webseite auf ihrem PC ausdrücklich zustimmen müssen und eine bereits voreingestellte Zustimmung unzulässig ist. Der Bundesgerichtshof BGH hatte bei einem Verhandlungstermin am 30.01.2020 über die Frage zu entscheiden, welche Anforderungen an die Einwilligung in die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind, der Verkündungstermin in dieser Sache ist am 28.05.2020. Es wird davon ausgegangen, dass die deutschen Gerichte den bei ihren Urteilen an die Vorgaben des EuGH halten werden.

Der Europäische Datenschutzausschuss ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Dieser Datenschutzausschuss hat sich am 05.05.2020 in den Guidelines 05/2020 on consent under Regulation 2016/679 auch mit dieser Frage beschäftigt und festgestellt, dass es nicht ausreicht, die bloße Weiternutzung der Webseite als Einwilligung in die Cookie-Nutzung zu werten. Das Abhalten des Benutzers von der Website durch das Aufstellen einer sog. Cookie-Wall, bei der der Nutzer nur die Wahl Ja/Akzeptieren hat und damit das Tracking zwangsläufig akzeptieren muss (oder die Webseite nicht benutzen kann) ist nicht zulässig, eine Webseite muss auch ohne Zustimmung zum Tracking zu besuchen sein.
Zukünftig werden Webseiten, die mit Cookies und anderen Tracking-Tools arbeiten, zwingend über ein Cookie Consent Plugin verfügen müssen, das dem Benutzer eine Einwilligungs-Auswahl für die verwendeten Tracking-Tools anbietet. Ist dies nicht der Fall, ist der Betrieb der Webseite nach den Datenschutzaufsichtsbehörden nicht mehr zulässig.
Einfache Cookie-Banner werden damit in absehbarer Zeit nicht mehr datenschutzkonform einsetzbar sein.

Sprechen Sie uns an – unsere Datenschützer unterstützen Sie gerne bei der Einführung von neuen Softwareprodukten und bei der Umsetzung von datenschutzrechtlichen Maßnahmen.

Videokonferenzen gewinnen in Zeiten der Corona-Pandemie stark an Bedeutung. Viele Unternehmen mussten in kurzer Zeit entsprechende Kollaborationstools installieren und hatten dabei nicht die Zeit, deren Eignung im Hinblick auf den Datenschutz und die Datensicherheit intensiv zu prüfen. Wir stellen Ihnen einige gängige Programme vor und bewerten die datenschutzrechtlichen Aspekte.

Die meisten Anbieter dieser Tools haben in den letzten Monaten Änderungen im Hinblick auf den Datenschutz vorgenommen, um den Bestimmungen der DSGVO zu entsprechen. So werden zum Beispiel die Daten bei Microsoft 365 und Produkten anderer Herstellern auf europäischen Servern gehostet. Bei vielen Softwareprodukten können die Datenschutzeinstellungen manuell eingestellt werden und die Hersteller haben ihre Online Services Terms überarbeitet und bieten Verträge zur Auftragsverarbeitung an. US-amerikanische Unternehmen sind in der Regel beim Privacy-Shield-Abkommen der USA mit der EU zertifiziert, das eine datenschutzkonforme Übermittlung von Daten in die USA ermöglicht.

Vor der Auswahl des passenden Videokonferenz-Dienstes sollten Sie u. a. folgende Fragestellungen klären:

• werden die Daten verschlüsselt übertragen und erfolgt eine Verschlüsselung von Daten, die in der Cloud gespeichert sind?
• wo befinden sich die Speicherorte (im Bereich des EWR, Übermittlung an Drittstaaten)?
• erfolgt eine Anonymisierung oder Pseudonymisierung der personenbezogenen Daten?
• welche Daten werden übermittelt und ggf. auf externen Servern gespeichert und wie lange werden die Daten gespeichert?
• Gibt es definierte Löschfristen für die bei den Übertragungen verarbeiteten Daten (Dateien, Videomitschnitte, Fotos, Sprachaufzeichnungen etc.) ?
• können die Datenschutzeinstellungen manuell durch den Administrator des Benutzers angepasst werden und so z. B. die Übertragungen auf ein technisch notwendiges Minimum beschränkt werden oder gespeicherte Daten gelöscht werden?
• gibt es eine Vereinbarung über die Auftragsverarbeitung ?
• gibt es weitere datenschutzrelevante Informationen oder Dokumente?

3CX

Der VoIP IPBX-Softwareentwickler 3CX mit Stammsitz in Nikosia, Zypern und Dependancen weltweit, hat eine Telefonanlage auf Basis offener Standards entwickelt, die alle Features einer modernen Unified Communications & Collaboration Lösung umfasst, darunter auch integrierte Webkonferenzen. Unified Communications unterstützt insbesondere auch die Zusammenarbeit mehrerer Personen per Audio- und Videokonferenzen. Unternehmen sind dabei frei in der Wahl des VoIP-Anbieter und können die Anlage lokal oder auch als Cloud-Telefonanlage mit Google Cloud, Amazon Lightsail, Microsoft Azure und anderen Anbietern betreiben.
Das Webkonferenz-Tool WebRTC ermöglicht die Durchführung von Video- und Audiokommunikation direkt über den Internetbrowser und Teilnehmer können Webkonferenzen ohne das Herunterladen zusätzlicher Plugins oder Webmeeting Software beitreten.
Die Kommunikation erfolgt stets verschlüsselt und die Daten werden auf Servern in Deutschland verarbeitet. Personenbezogene Daten (Audio, Video) werden nach 7 Tagen automatisiert gelöscht. Daten wie geteilte PDF-Dateien werden nur während des Meetings gespeichert. Es werden keine Cookies verwendet, die Datenschutzeinstellungen sind manuell konfigurierbar und der Benutzer wird umfassend über die Datenverarbeitung bei Videokonferenzen informiert.
3CX kann datenschutzkonform betrieben werden. Da die Datenverarbeitung durch eine europäische Firma innerhalb Europas erfolgt, entfallen die Vorbehalte gegen die Verarbeitung, die z. B. bei Microsoft 365 wg. des CLOUD-Acts ein Thema sind.

Microsoft 365 – Teams

Microsoft Teams ist eine Kollaborations-Plattform für die Online-Zusammenarbeit in Unternehmen. Es ist das Nachfolgeprogramm von Skype for Business und in die Plattform Microsoft 365 integriert, die weitere Dienste wie MS Office inkl. Outlook bereitstellt. Die Daten werden in der sog. Microsoft Cloud gehostet.
Microsoft erhebt diverse Daten, sog. Telemetrie-Daten, die sowohl nutzerbezogen als auch anonymisiert gespeichert werden. Die Diagnose- und Metadaten werden für die Analyse der Nutzung und Leistung von Anwendungen und Anwendungskomponenten gesammelt.
Seit der Einführung des „Microsoft Diagnostic Data Viewers“ können die Office Nutzer nachvollziehen, welche Daten bei der Office Nutzung aufgrund welcher Datenschutzeinstellungen erfasst werden. Bei der Verwendung der Office mobile Apps gibt es diese Kontrollfunktionen für die Erfassung und Verarbeitung von Diagnosedaten weiterhin nicht.
Die Online Service Terms (OST, Vertragsbedingungen für die Nutzung von Office 365) enthalten EU-Standardvertragsklauseln und den Vertrag zur Auftragsverarbeitung.
Die Speicherung der Telemetriedaten und weiterer Systemdaten erfolgt für mindestens 30 Tage und kann bis zu 18 Monate erfolgen.
Administratoren des Benutzers können seit Kurzem diese bei Microsoft hinterlegten Daten selbst löschen.
Die Daten der europäischen Kunden werden in Microsofts Rechenzentren in Österreich, Finnland, Irland und den Niederlanden gespeichert. Den genauen Speicherort können Nutzer mit Administratorenrechten einsehen.
Der Datentransfer erfolgt immer verschlüsselt, die Datenspeicherung kann ebenfalls verschlüsselt werden.
Microsoft übermittelt Diagnosedaten auch außerhalb des EWR. Diese Übermittlung der Daten ist durch das EU-US Privacy Shield, für das Microsoft zertifiziert ist, zurzeit konform zu den Bestimmungen der DSGVO. Europäische Gericht entscheiden in Kürze darüber, ob der in den USA geltende  CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) mit den europäischen Datenschutzgesetzen in Einklang zu bringen ist, oder ob dadurch die Übermittlung von Daten an US-amerikanische Unternehmen nicht mehr rechtskonform durchzuführen werden kann. Der CLOUD-Act ermöglicht den US-Behörden, Daten direkt von US-Unternehmen anzufordern, auch wenn diese Daten im Ausland gespeichert werden.

Skype

Skype wurde vor einiger Zeit von Microsoft aufgekauft und soll nun mit dem eigenen Collaboration-Tool Teams verschmolzen werden. Von Skype gibt es aktuell eine Version für Privatnutzer und eine für Unternehmen (Skype for Business).
In der Vergangenheit wurden immer wieder Schwachstellen aufgedeckt, wie z. B. die Speicherung von Zugangsdaten im Klartext und intransparente Nutzungsbedingungen bei Chat-Auswertunggen. Ein Gericht hatte den Einsatz von Skype für Bewerbungsgespräche bereits als unzulässig bewertet, auch deshalb, weil Telefongespräche von Skype-Mitarbeitern mitgehört wurden.
Für die betriebliche Nutzung ist von Skype abzuraten.

Slack

Die Kommunikation und der Austausch von Dokumenten bei Slack wird in sog. Channels organisiert. Diese können nach unterschiedlichen Kriterien wie Teams, Themen oder Projekten gruppiert werden. Für die Auftragsverarbeitung hat Slack ein Data-Processing-Addendum nach Artikel 28 DS-GVO zur Verfügung gestellt.
Unternehmen können auf ihre Kundendaten zugreifen und diese importieren und exportieren. Ein Tool ermöglicht die Profillöschung, mit der persönliche Informationen wie Namen und E-Mail-Adressen von einem Slack-Account gelöscht werden können. Des Weiteren können Unternehmen ein Rollen- und Berechtigungskonzept im Workspace administrieren.
Unternehmen können auswählen, in welcher Region ihre Daten gespeichert werden. Zurzeit sind Frankfurt am Main und Paris in der EU verfügbar. Das Vereinigte Königreich soll demnächst folgen, ist aber aufgrund des Brexit zurzeit nicht mehr für deutsche Unternehmen von Bedeutung.
Um die o. a. Tools datenschutzkonform verwenden zu können, ist die kostenpflichtige Volllizenz von Slack erforderlich.

Zoom

Die Nutzung des Videokonferenz-Dienst Zoom ist durch die Corona-Krise stark angestiegen und dadurch auch in den Fokus von Sicherheitsexperten und Datenschützern geraten. Verschiedene Sicherheitslücken und nicht datenschutzkonforme Features wurden bemängelt, die New Yorker Staatsanwaltschaft hat deshalb Untersuchungen wegen der Verstöße gegen Datenschutz und Datensicherheit eingeleitet. So wurden Nutzer nicht ausreichend darüber informiert, dass persönliche Daten an Dritte wie etwa Facebook weitergegeben würden. Die zugesagte Ende-zu-Ende-Verschlüsselung soll nicht umgesetzt worden sein, zudem gab es Berichte über das gezielte Kapern von öffentlichen Zoom-Videokonferenzen, bei denen sich Nutzer ungefragt in Videokonferenzen einwählen und durch das Teilen des Bildschirms Bilder und Videos mit z. T. verstörenden Inhalten zu verbreiten. Ein weiterer Kritikpunkt war das standardmäßig aktivierte sog. Aufmerksamkeitstracking, bei dem der Administrator überwachen konnte, ob der Mitarbeiter in der Konferenz aktiv blieb.
Mittlerweile hat Zoom mitgeteilt, dass mehrere von Sicherheitsforschern aufgedeckte Sicherheitslücken geschlossen worden seien. Das Aufmerksamkeitstracking wurde abgeschaltet und die Ende-zu-Ende-Verschlüsselung vollständig implementiert.
Wie bei allen Unternehmen, die die Datenverarbeitung in den USA durchführen, ist die Übermittlung der Daten durch das EU-US Privacy Shield zurzeit konform zu den Bestimmungen der DSGVO. Ob der in den USA geltende  CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) mit den europäischen Datenschutzgesetzen in Einklang zu bringen ist, oder ob dadurch die Übermittlung von Daten an US-amerikanische Unternehmen nicht mehr rechtskonform durchzuführen ist, wird noch zu klären sein.
Wir können zurzeit die Verwendung von Zoom aufgrund der zweifelhaften Konformität hinsichtlich Datenschutz und Datensicherheit nicht empfehlen.

Sprechen Sie uns an – unsere Datenschützer unterstützen Sie gerne bei der Einführung von neuen Softwareprodukten und bei der Umsetzung von datenschutzrechtlichen  Maßnahmen

Das East Hotel Hamburg bot am 11.02.2020 um 19:00 ein einmaliges Ambiente in der alten Eisengießerei auf St. Pauli.

Das Unternehmen Zahntechnik Schiebler hatte Zahnärzte aus dem norddeutschen Raum eingeladen, um im Rahmen der Veranstaltung „Zukunftsorientierte & sichere IT-Konzepte für Ihre Zahnarztpraxis / Aktuelle Herausforderungen und Lösungen“ CME bzw. Fortbildungspunkte zu sammeln. Unser kaufmännischer Vorstand, Herr Frank Espenhain, hielt zu diesem Thema einen umfassenden Vortrag, wobei er von dem Leiter unseres Bereiches Datenschutz, Herrn Dr. Bernd Lühr, tatkräftig unterstützt wurde.

Unser technischer Vorstand, Herr Lukas Kunze, und unser Rechenzentrumsleiter, Herr Tadeus Birgal, standen dem interessierten Auditorium vor und nach der Veranstaltung für technische Details zur Verfügung.

Thematisch wurden die Bereiche

• Bedrohungssituation
• E-Mail
• Arbeitsplatzrechner
• Netzwerkinfrastruktur
• Mobile Devices und 
• Ausfallsicherheit der Serverinfrastruktur

behandelt.

Der Vortrag kann in unserem Dokumentenbereich heruntergeladen werden

Unser besonderer Dank gilt auch dem Unternehmen Gerl.DENTAL, das diese Veranstaltung organisatorisch unterstützt hat.