Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Donnerstag, 14. November 2019

Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen

Aufgrund einer Vielzahl von Anfragen, Beschwerden und Kontrollanregungen weist die Landesbeauftragte für Datenschutz Schleswig-Holstein auf Folgendes hin:

Hinsichtlich der rechtlichen Bewertung der Einbindung von Analyse-Diensten auf Websites und Apps haben sich die Aufsichtsbehörden des Bundes und der Länder in der Orientierungshilfe für Anbieter von Telemedien[Extern] auf ein gemeinsames Rechtsverständnis geeinigt.

Rechtsauffassungen, die unter Berücksichtigung der Rechtslage vor dem 25.05.2018 veröffentlicht wurden, wie z. B. die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“, sind überholt und werden von den Aufsichtsbehörden des Bundes und der Länder nicht mehr vertreten.

Anbieter von Telemedien sind aufgrund von Art. 5 Abs. 1, 2 Datenschutz-Grundverordnung (DSGVO) verpflichtet, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die sie durch die Einbindung von Analyse-Diensten in ihren Angeboten zu verantworten haben, nachzuweisen.

"Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen " vollständig lesen
Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Freitag, 18. Januar 2019

7: FAQ - Häufig gestellte Fragen

FAQ: Häufig gestellte Fragen und Probleme beim Versand und Erhalt von E-Mails

Ich erhalte E-Mails von Personen, die ich nicht kenne. Was kann ich dagegen tun?

Gegen den Erhalt von unerwünschten Mails kann man sich im Allgemeinen nicht wehren. Wer eine E-Mail-Adresse kennt, kann an diese (technisch gesehen) eine Nachricht schicken. Dies kann man mit der Papierwelt vergleichen: Wer eine Post-Adresse kennt, kann dorthin einen Brief senden. Ob der Versand rechlich zulässig ist, ist eine andere Frage - insbesondere bei Werbung. Ist der Absender ein echtes Unternehmen, gibt es oft Möglichkeiten, dem weiteren Erhalt von Werbenachrichten zu widersprechen, meist am Fuß der E-Mail in Form eines sog. Opt-Out-Links. Doch diese Links können trügerisch sein: Auch unlautere Absender fügen solche vermeintlichen Abbestell-Links in ihre E-Mails ein. Das Klicken darauf führt dann allerdings nicht zu einer funktionierenden Widerspruchsseite, sondern vielmehr zu einer Seite, die den Widerspruch nur vortäuscht. In Wahrheit wird die Tatsache gespeichert, dass die Ursprungsnachricht überhaupt gelesen wurde. Eine E-Mailadresse, deren Besitzer nachweislich die E-Mails liest, ist für Werbetreibende deutlich attraktiver.

Klicken Sie also nur auf Abmelde-Links, wenn Sie sich sicher sind, dass der Absender Vertrauenswürdig ist. In allen anderen Fällen hilft nur ein beherztes Löschen der E-Mail.

Ich erhalte betrügerische Mails, die angeblich von mir bekannten Personen stammen.

Ähnlich wie bei einem Brief, bei dem der Urheber jeden beliebigen Absender auf den Umschlag schreiben kann, ermöglichen auch E-Mails die Benutzung beliebiger Absenderadressen.

Wenn in E-Mail-Konten oder Server eingebrochen wird, erbeuten die Angreifer oft Adressen mit Kontext: Sie wissen dann, wer mit wem in Kontakt stand und können diese Information später nutzen. Dazu werden Betrugsmails mit Absendern versehen, von denen der Angreifer weiß, dass sie einmal in Kontakt mit dem Betrugsopfer standen. Dadurch soll die Wahrscheinlichkeit erhöht werden, dass die Empfänger auf Links in der Nachricht klicken oder Anhänge öffnen.

Helfen kann hier nur gesunde Skepsis. Die Tatsache, dass Absender bekannt sind, bedeutet nicht viel. Wenn Inhalt oder Ausdrucksweise der Mail auffällig von der bisherigen Konversation abweichen, sollte man hellhörig werden. Bei Zweifeln hilft dann nur eine Rückfrage beim vermeintlichen Absender, ob die Nachricht echt ist.

In eingen Fällen können Sie schon an Kopfzeilen oder in der Übersicht neu eingegangener Nachrichten sehen, dass etwas nicht stimmt:
Steht dort beispielsweise als Absender "Landeshauptstadt Kiel <info @ advertising-ABCD . efg>", so wird diese Nachricht nicht von der Stadt Kiel stammen, denn diese nutzt kaum die (fiktive) Firma advertising-ABCD zum Versand ihrer E-Mails. Das gleiche gilt, wenn anstelle von Landeshauptstadt Kiel der Name eines Bekannten, dahinter aber eine völlig unbekannte oder untypische E-Mail-Adresse steht. Wieder gilt: gesunde Skepsis.

Kann schon das Lesen einer Mail auf meinem Computer Schaden anrichten?

Im Allgemeinen ist das bloße Anzeigen einer E-Mail ungefährlich. Voraussetzung ist, dass aktive Inhalte wie JavaScript nicht automatisch ausgeführt und externe Inhalte nicht nachgeladen werden. Sind diese Bedingungen erfüllt, kann eine Mail keinen Schaden anrichten, wenn sie angezeigt wird. Links in der Nachricht oder Angänge sollten aber unter keinen Umständen angeklickt werden, wenn Zweifel am wahren Urheber der Nachricht bestehen.

 

Für weitere Informationen zum Thema empfehlen wir die Seiten des Bundesamtes für Sicherheit in der Informationstechnologie (BSI):

Drei Sekunden für mehr E-Mail-Sicherheit [Extern]

Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Mittwoch, 23. Mai 2018

3: Vorträge, Vorlesungen, Aufsätze

Cyber-Security und Cyber-Privacy - Ihre Datenschutzrechte im Internet

Vortragsfolien im PDF-Format
Vortragsfolien im PDF-Format

Vortrag von Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein

am 23.05.2018

bei der Veranstaltung "Cyber Security - Fit for the Future" in Lübeck

"Cyber-Security und Cyber-Privacy - Ihre Datenschutzrechte im Internet" vollständig lesen
Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Donnerstag, 2. März 2017

ULD auf der CeBIT am 20. und 21. März 2017

Das ULD ist auch in diesem Jahr mit den folgenden Vorträgen auf der CeBIT vertreten:

Montag, 20. März 2017

Halle 7, Stand B42
Bühne auf dem Stand des IT-Planungsrats, BMI

11:30-12:00 Uhr
"Anonymität im Internet PETs gegen Tracing, Tracking, Targeting"
Referent: Wolfram Felber, Unabhängiges Landeszentrum für Datenschutz (ULD)


Dienstag, 21. März 2017

Halle 7, Stand B42
Bühne auf dem Stand des IT-Planungsrats, BMI

10:30-11:00 Uhr
"Smart Cars mit smartem Datenschutz"
Referent: Henry Krasemann, Unabhängiges Landeszentrum für Datenschutz (ULD)

Wir freuen uns auf Ihren Besuch!

Einen Hallenplan der CeBIT finden Sie hier (extern).

Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Dienstag, 7. Februar 2017

2: Pressemitteilungen

Safer Internet Day – Dienstleister mit Vertrauenswürdigkeitsgarantie nötig

Jedes Jahr findet am 7. Februar der „Safer Internet Day“ statt – eine gute Gelegenheit, um im Selbstcheck zu überprüfen, wie es um die Internet-Sicherheit im eigenen Bereich bestellt ist. Dieses Jahr lautet das Motto „Sei der Wandel – Gemeinsam für ein besseres Internet“ („Be the change: unite for a better internet“).

"Safer Internet Day – Dienstleister mit Vertrauenswürdigkeitsgarantie nötig" vollständig lesen
Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Dienstag, 6. Dezember 2016

Smart-TV: Neugierige Kisten

Der Fernseher ist aus vielen Haushalten nicht wegzudenken. Gleichzeitig hat dieses zentrale Element der Informationsgesellschaft einen erstaunlichen Wandel durchgemacht. War die „Röhre“ früher ein reines Empfangsgerät, sind heutige Smart-TVs nebenbei in der Lage, Daten aus dem Internet zu verarbeiten und dorthin zu senden. So verschwimmt die Grenze zwischen Fernsehprogramm und Online-Angebot. Darüber hinaus bieten Smart TVs durch ihre Online-Anbindung auch einen Rückkanal: Anders als klassische Fernseher können sie den Anbietern Informationen zurückgeben. „Anbieter“ können in diesem Fall sowohl der Hersteller des Geräts, als auch die Anbieter der Online-Angebote sein, die der Zuschauer nutzt. So werden Ein- und Ausschaltzeit und Programmwechsel registriert. Lässt sich das Gerät per Sprachbefehl bedienen, empfehlen einige Hersteller scheinheilig, im Wohnzimmer fortan lieber nichts Privates mehr zu besprechen: Die stets eingeschalteten Mikrofone des Smart TVs lauschen auf Schlüsselworte und übertragen die aufgenommenen Töne teilweise an externe Datenverarbeiter.

Mitlauschen und Mitschneiden von persönlichen Daten lässt sich in den Einstellungsmenüs der Geräte zumeist deaktivieren. Ob die Spionagefunktionen das Gerät dann wirklich inaktiv sind, kann der Anwender allerdings nur hoffen. Der Hersteller LG fiel im Jahr 2013 unangenehm auf, weil deren Fernseher die Sehgewohnheiten trotz Deaktivierung durch den Nutzer munter weiter an Server des Herstellers übermittelten.

Neben dem Deaktivieren der Angriffe auf die Privatsphäre empfiehlt sich bei Smart TVs, die Webseiten des Herstellers langfristig im Blick zu behalten. Eventuelle Hinweise auf Probleme und Softwareupdates zu deren Behebung findet man – hoffentlich –  dort. Manche Geräte bieten auch die Möglichkeit, Updates direkt mit dem Gerät aus dem Internet herunterzuladen und zu installieren – ohne Umwege über Webseite, PCs und USB-Sticks. Dies sollte man nutzen.

Eine kompakte Hanbdreichung mit praktischen Tipps hat das 
Bayerisches Landesamt für Datenschutzaufsicht zusammengestellt:
Info-Kompakt Smart-TV

Hintergrundartikel:

Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Dienstag, 6. Dezember 2016

Konsolen: Datenschutz auf XBox und Playstation

Schon längst ist das Spielen mit der Spiele-Konsole kein Einzelspieler-Erlebnis mehr. Sämtliche aktuelle Konsolen wie Playstation oder auch Xbox sind mit dem Internet verbunden und wollen ein Gemeinschaftserlebnis vermitteln. Das bedeutet aber auch, dass Daten ausgetauscht werden – nicht nur zwischen den Spielern, sondern insbesondere auch mit dem jeweiligen Anbieter der Konsole und dessen Dienstleistern. Diese haben ihren Sitz in der Regel außerhalb der EU.

Wer nun eine Konsole geschenkt bekommt und sich bei einem der Onlinespieldienste anmeldet, sollte darauf achten, dass er keinen Nutzernamen verwendet, der auf die eigene Person rückschließen lässt. Ansonsten ist es nicht nur für Freunde und Kollegen möglich das eigene Spielverhalten zu beobachten, sondern ggf. auch für den Arbeitgeber bzw. oder für die eigene Lehrkräfte. Die Systeme bieten in der Regel zahlreiche Konfigurationsmöglichkeiten zum Datenschutz. Dabei sollte man (sofern man nicht ausdrücklich etwas anderes möchte) dort die Weiterverwendung der eigenen Daten so weit wie möglich einschränken und auch die Sichtbarkeit des Spielerprofils restriktiv wählen. Sind Kameras und Audioaufnahmegeräte anzuschließen, dann sollten diese zur Sicherheit nur dann mit der Konsole verbunden werden, wenn sie wirklich benötigt werden. So kann man sicher sein, dass die Konsole außerhalb des Spielerlebnisses nicht auch noch das eigene Wohnzimmer überwacht.

Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Dienstag, 6. Dezember 2016

Online-Einkauf: Bezahlen per Klick

Wer per Computer online shoppen will, muss sich dessen bewusst sein, dass er Datenspuren hinterlässt – viel mehr als beim Einkaufen im Laden vor Ort! Die Händler können sich mit Hilfe solcher Daten oft ein sehr genaues Bild von ihren Käufern machen und sie leichter dazu bringen, etwas zu kaufen. Auch wenn man kein Nutzerkonto anlegt, können Online-Shops wiederkehrende Kunden erkennen, wenn sie beispielsweise Cookies (kleine Text-Dateien auf dem eigenen Gerät) oder andere Techniken zum Verfolgen der Käufer (sogenanntes „Tracking“) einsetzen. So können Anbieter Profile über ihre Kunden anlegen und daraus Informationen über Vorlieben für Marken oder Sonderangebote, Familienverhältnisse, Hobbies oder etwa Krankheiten ableiten. Die Konfiguration des Internet-Browsers in den Datenschutz- oder Datensicherheitseinstellungen oder spezielle Datenschutz-Zusatzprogramme („Add-Ons“) können vor solcher Profilbildung schützen.

Am besten kauft man online nur bei Händlern ein, denen man vertraut. Dafür lohnt es sich, einen Blick in die AGB und die Datenschutzerklärung zu werfen: Versteht man, was dort steht? Ist es plausibel? Wie würde man im Streitfall behandelt? Achtung: Einige Anbieter ignorieren unser Datenschutzrecht und werten die persönlichen Daten zu beliebigen Zwecken aus oder geben sie ohne Rechtsgrundlage oder Einwilligung weiter.

Einige Online-Shop-Betreiber bieten an, dass gekaufte Geschenke gleich an den richtigen Empfänger gesandt werden – vielleicht noch mit einem persönlichen Text auf einer Grußkarte. Eigentlich eine nette Idee, doch sollte man die Adressdaten des Beschenkten nicht weitergeben, wenn man sich nicht sicher ist, dass er damit einverstanden ist.

Bei der Auswahl des Bezahlverfahrens kommen weitere Dienstleister ins Spiel: Am datensparsamsten ist zumeist das Bezahlen per Vorauskasse. Schon beim Kauf auf Rechnung fordert der Anbieter Daten wie Namen und Geburtsdatum der Kunden ab, mit denen er ihre Kreditwürdigkeit bei weiteren Unternehmen abfragt. Verwendet man Online-Bezahlverfahren, muss man bei den jeweiligen Dienstleistern prüfen, was sie mit den Daten machen – also wieder die AGB und die Datenschutzerklärung lesen. Beachtet werden sollte auch, dass einige dieser Anbieter ihre Daten nicht nur in der EU verarbeiten.

Sensible Daten wie Passwörter oder Kreditkartennummern sollte man nur dann eingeben, wenn die Verbindung verschlüsselt ist. Dann ist man gegen ein Mitlesen auf den Leitungen geschützt. Die Internet-Browser stellen die Verschlüsselung durch ein kleines Schloss in der Adressleiste dar, und die Webseiten-Adressen beginnen mit „https“ statt „http“.

Einige Online-Händler speichern die Interessen und Käufe ihrer Kunden sehr lange und gleichen diese Daten mit anderen Kunden ab. Mögen einige die darauf beruhenden Kaufempfehlungen begrüßen, machen sie anderen Angst. Gehört man zur zweiten Gruppe, sollte man solche Händler meiden. In jedem Fall haben Sie das Recht, beim Anbieter Auskunft über alle über Sie gespeicherten Daten zu erhalten. Auch können Sie fordern, dass falsche Daten berichtigt und nicht mehr erforderliche Daten gelöscht werden. 

Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Dienstag, 6. Dezember 2016

Weihnachtsgrüße: Hätte Maria ein Selfie mit Baby gepostet?

Wer glücklich ist, möchte oftmals die ganze Welt umarmen … oder es dieser zumindest mitteilen. Das gilt insbesondere an Feiertagen, an denen in der Vergangenheit Messaging-Dienste und soziale Netzwerke an ihre Kapazitätsgrenzen getrieben wurden. Auch wenn die üblichen Grüße ggf. nur wenig Sensibles enthalten und bei vielen Anbietern inzwischen auch verschlüsselt werden, so können die oftmals mitgesendeten „Metadaten“ brisant sein, die in der Regel für die Betreiber des Dienstes und den Empfänger einsehbar sind. Viele Messaging-Dienste etwa verarbeiten zu jeder Nachricht den Standort des Nutzers und genaue Uhrzeiten. Hinzu kommt, dass einige Anbieter weitere soziale Netzwerke betreiben und sich über die Interaktionen Rückschlüsse auf Sozialbeziehungen ziehen lassen.

Postet man seine Grüße in sozialen Netzwerken oder größeren Gruppenunterhaltungen, so sind insbesondere bei Fotos auch die Rechte der mit abgebildeten Personen zu beachten. Gerade bei Kinderfotos sollte man sich fragen, ob diese wirklich veröffentlicht werden sollen. Auch Kinder haben grundsätzlich Persönlichkeitsrechte und ein Recht am eigenen Bild, und Eltern sind aufgefordert, diese zum Wohle der Kinder auszuüben. Gesichtserkennungsprogramme ermöglichen es, auch noch in vielen Jahren Bilder einzelnen Personen zuzuordnen. Und man kann sich nie sicher sein, ob Fotos wirklich gelöscht sind. Zu einfach ist das Speichern und Nutzen für jedermann.

Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Mittwoch, 22. Juni 2016

2: Pressemitteilungen

Eigentlich eine Selbstverständlichkeit, aber gar nicht so einfach: E-Mails an den Richtigen versenden!

Wichtige Schreiben per E-Mail zu versenden, ist praktisch: Es geht schnell, und die Empfänger können die Daten im digitalen Format gleich weiterverarbeiten. Aber ist es auch sicher?

Werden E-Mails über das Internet versandt, sind sie nicht gegen ein Mitlesen geschützt. Um die Vertraulichkeit der Nachrichten zu gewährleisten, muss man sie verschlüsseln. Zumindest für Berufsgruppen, die besonderen Verschwiegenheitsverpflichtungen unterliegen, sollte dies selbstverständlich sein. Achtung: Der Betreff der E-Mail und die Informationen über Sender und Empfänger sind trotzdem sichtbar.

"Eigentlich eine Selbstverständlichkeit, aber gar nicht so einfach: E-Mails an den Richtigen versenden!" vollständig lesen