T-O-Ms:
Nach Art. 32 DS-GVO sind Verantwortliche und Auftragsverarbeiter verpflichtet geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 



Verfahrensbeschreibungen:
Bei Verfahrensbeschreibungen geht es darum, dass man erfasst, welche Daten überhaupt verarbeitet werden. Dazu sollen werden der Zweck, die Rechtsgrundlage, die Speicherdauer sowie die Rechtsgrundlage der Datenerfassung benannt werden.

 



Risiko-Folgenabschätzungen:
Hier geht es um die Folgenabschätzung eines Datenmissbrauchs: Was würde passieren, wenn die Daten in falsche Hände geraten würden? Im Datenschutz-Sprech wird das "Datenschutz-Folgenabschätzung" genannt. Aus der Analyse sollen entsprechend angemessene Maßnahmen abgeleitet werden.

 



Neuland:
Datenschutz im Internet: Webseitenbetreibern werden bestimmte Pflichten auferlegt, um den Datenschutz der Seitenbesucher zu gewährleisten. Hier geht es um das Erfüllen dieser Auflagen.

Home

Kalifornien: Liste der Datenschutzvorfälle

Auf der Webseite des kalifornischen Justizministerium pflegt der zuständige Generalstaatsanwalt von Kalifornien "Xavier Becerra" eine Liste mit Datenschutzvorfällen. Der Bundesstaat Kalifornieren ist aus Datenschutzsicht deshalb so interessant, weil dort ja sehr viele Tech-Firmen Ihren Stammsitz haben. Abgedruckt werden auf der Liste die jeweiligen Presse- bzw. Kundenmitteilungen, die die betroffenen Unternehmen veröffentlicht bzw. deren Kunden haben zukommen lassen.

Interessant fand ich z.B. den Eintrag von "Foxit Software - Notice of Data Breach in US". Dort fand sich z.B. keine Angabe, wann sich der Vorfall ereignet hatte. "Slack" findet sich auch auf der Liste: Dort ist als Datum der 20. März 2015 angegeben. Slack listet einige Maßnahmen auf, die deren Kunden ergreifen sollten: Virenscanner, Zwei-Faktor-Authentifizierung, jedes Passwort nur einmal verwenden und Zugriffs-Logs kontrollieren.Die Meldung von Slack datiert vom 17. Juli 2019, also über vier Jahre später.

Datenschutz Bochum meint: Was kann man daraus lernen? Wenn Sie eine ähnliche Pressemitteilung verfassen müssen, dann fallen Ihnen schnell alte Sünden ein. Sorgen Sie heute dafür, dass es dann nicht so viele sein werden.

Datenschutz Bochum - Nicht ist unmöglich.

USA: SHIELD-Act

In den USA haben 48 Bundesstaaten den "SHIELD Act" ratifiziert: "SHIELD" steht für "Stop Hacks and Improve Electronic Data Security Act”. Dieser SHIELD Act wude in New York am 17. Juni 2019 verabschiedet. Nach dem Shield Act wird von jedem Unternehmen und jeder Privatperson verlangt, dass substanzielle Datensicherheitskontrollen durchgeführt werden, um personenbezogene Daten zu schützen.

Explizit wird folgendes verlangt:

  • Benennung von Mitarbeitern zur Koordination eines Datensicherheitsprogramms.
  • Schulung der Mitarbeiter in Bezug auf Datensicherheit
  • Risikobewertung interner und externer Risiken und Implementierung von Verfahren zur Reduzierung dieser Risiken.
  • Überprüfung von Drittanbietern und Dienstleistern, um sicherzustellen, dass auch sie private Informationen schützen.
  • Erstellung eines Datenlöschungkonzepts

Sollte ein Datenschutzverstoss festgestellt werden, dann ist in dem Fall, dass mehr als 500 in New York lebende Personen betroffen sein sollte, die Staatsanwaltschaft einzuschalten. Der Datenschutzverstoss rechtfertigt keine Schadenersatzforderungen der betroffenen Personen. Die Staatsanwaltschaft kann jedoch von sich aus Strafen für Datenschutzverstösse festlegen. Die maximale Strafhöhe wurde von 100.000 auf 250.000 US Dollar erhöht.

Datenschutz Bochum meint: Irgendwie kommt mir das bekannt vor. Eine Bussgeldbemessung anhand der Umsatzzahlen ist hier aber nicht vorhanden.

 

Crypto-Mining - Bezahlen Sie nicht mehr mit Ihren guten Daten (2019)

"Bezahlen Sie einfach mit Ihrem guten Namen“ war man 1984 der Slogan von American Express. Mit seinem guten Namen zahlen war die bequeme Alternative zur Bargeldzahlung. Das ist 35 Jahre her. Heute im Online-Zeitalter würde man es vielleicht umtexten zu "Bezahlen Sie einfach mit Ihren guten Daten". Gerne nutzt man vermeintlich kostenlose Online-Dienste, weil man die eben auch bequem durch das zur-Verfügung-Stellen der eigenen Profil-Daten tun kann. Aber gibt es eigentlich keine Alternativen zum Tracking für Werbezwecke? Doch!

Letztendlich geht es beim "Datenhandel" ja darum, dass der Benutzer möglichst ohne ein unangenehmes Zahlungsgefühl eine Lesitung in Anspruch nimmt, die in der realen Welt Geld kostet. Insofern ist die Online-Währung "Daten" eine Disruption des Zahlungsvorgangs. Durch die Einführung von Cryptowährungen ergeben sich hier aber auch neue technische Möglichkeiten.

Das kann man von "Crypto-Trojanern" lernen. "Crypto-Trojaner" sind Programme, die sich in Ihren Browser einnisten und im Hintergrund Berechnungen durchführen, die an anderer Stelle zum Mining von Crypto-Währungen führen. Das technische Problem ist dabei natürlich, dass das Mining bei den Crypto-Trojanern ohne das Wissen und ohne die Zustimmung der Benutzer erfolgt und man nicht weiß, was die Programme sonst noch alles auf den Computern anrichten.

Aber die technische Lösung wäre auf das Online-Bezahlen übertragbar. Anstatt des Trackings genehmigt man das Crypto-Minen im Hintergrund ganz legal und mit einem Schlag wäre die ganze Tracking-Datenübermittlung obsolet, weil die Anbieter sich über das Crypto-Mining refinanzieren könnten. Denn wer würde sich schon freiwillig damit einverstanden erklären, mit seinen guten Daten zu zahlen, wenn es derartige Alternativen gäbe? Naürlich wäre die Online-Marketingbranche "not amused", denn die Auswertung der Tracking-Daten ermöglicht ihr ja eine präzise Einschätzung der Kaufpräferenzen von deren Kunden, die eben auch gut montarisiert werden können.

Ich sehe es so, dass es ähnlich sein wird, wie bei der Bio-Milch. Die ist zwar teurer, aber i.d.R. zahlt man gerne mehr, weil man ja auch etwas besseres bekommt.

Datenschutz Bochum meint: Wo bleiben die Datenschutz-Startups, die solche Lösungen ermöglichen?

Die Vermessung der Köpfe - Außen (2019)

In Kanada gibt es eine App des Online-Smart-Brillenverkäufers "North", bei der vermisst man mit einem iPhone (geht nicht mit Android) seinen Kopf. Anschließend kann man virtuell verschiedene Brillenmodelle "live" auf seinem Kopf anprobieren. Bisher musste man zum Kaufen der Smart-Brille einen von zwei Shops in Toronto oder Ney York besuchen (mit Termin), um die Brille individuell für seinen kopf ausmessen zu lassen. Der Knaller bei diesen Smart-Brillen ist jedoch, dass diese quasi die Reinkarnation der Google Glasses sind. Auf der Innenseite des rechten Brillenflügels ist ein Projektor angebracht, der bestimmte Inhalte innen auf das Brillenglas projeziert. Man kann das Smartphone dann in der Tasche lassen. Bis jetzt gehen: Termine und Aufgaben, einTeleprompter für Präsentationen, Slack und gMail Nachrichten, sowie Smart Phone Nachrichten. Außerdem sind Evernote und Microsoft One Note dabei. Ab 599 US $ sind Sie auch dabei.

Damit "bomben" Sie jeden Kollegen, der stolz seine Apple-Watch rumträgt, in die Steinzeit zurück

Datenschutz Bochum meint: Der nächste Schritt ist dann die permanent mitlaufende Kamera mit Augumented Reality Informationen. Das dürfte aktuell noch ein Batterieproblem darstellen, aber irgendwie gruselt es mir bei dieser Vorstellung.