Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Bereitstellung einer Musterdienstanweisung zur Einhaltung der datenschutzrechtlichen Vorschriften inkl. einem Muster eines Prüfauftrages, Prüfprotokolles und Prüfberichtes
Stand 01.09.2007

Fragestellung

Verwandte in gerader Linie sind einander verpflichtet, auf Verlangen über ihre Einkünfte und ihr Vermögen Auskunft zu erteilen, soweit dies zur Feststellung eines Unterhaltsanspruchs oder einer Unterhaltsverpflichtung erforderlich ist. Über die Höhe der Einkünfte sind auf Verlangen Belege, insbesondere Bescheinigungen des Arbeitgebers, vorzulegen. So sieht es der § 1605 Abs. 1 Bürgerliches Gesetzbuch (BGB) vor.

Mit dem Datenschutzanpassungs- und Umsetzungsgesetz, über das der Bundesrat morgen, am 10. März 2017, abstimmt, soll das Bundesdatenschutzgesetz an die europäische Datenschutz-Grundverordnung angepasst werden. Nachbesserungen sind dringend nötig.

Jedes Jahr findet am 7. Februar der „Safer Internet Day“ statt – eine gute Gelegenheit, um im Selbstcheck zu überprüfen, wie es um die Internet-Sicherheit im eigenen Bereich bestellt ist. Dieses Jahr lautet das Motto „Sei der Wandel – Gemeinsam für ein besseres Internet“ („Be the change: unite for a better internet“).

Pressemitteilung der unabhängigen Datenschutzbehörden der Länder

Am heutigen Mittwoch hat das Bundeskabinett den Entwurf zu einem neuen Bundesdatenschutzgesetz (BDSG) beschlossen, der jetzt in den Bundestag eingebracht werden soll. Anlass der Gesetzesnovelle ist das neue EU-Datenschutzrecht, bestehend aus der Datenschutz-Grundverordnung (DS-GVO) und der Datenschutz-Richtlinie im Bereich Justiz und Inneres. Die Mitgliedstaaten haben bis Mai 2018 ihr nationales Datenschutzrecht an die Verordnung anzupassen und die Richtlinie in nationales Recht umzusetzen.

• Übersichtsseite "Datenschutz unter dem Weihnachtsbaum

Auch vermeintlich harmlose Spielzeuge wie elektronische Puppen, Klemmbausteine (z. B. Lego) und Fußbälle sind nicht immer unproblematisch. Durch Presseberichte bekannt sind Puppen mit Sprachaufzeichnung, mit denen Eltern erfahren, was ihre Kinder der Puppe anvertrauen. Schon hier sollte man sich fragen, ob es für die Entwicklung von Kindern förderlich ist, wenn die Eltern immer alles wissen. Doch es bleibt nicht bei den Eltern: Dass die Puppe auch im Kindergarten ungefragt ausplaudert, was ihr anvertraut wurde, lässt sich vielleicht noch verhindern – die Puppe bleibt eben zu Hause. Dass aber die Sprachdaten per WLAN zu einem Cloud-Dienstleister übertragen und dort analysiert werden, kann nicht mehr unterbunden werden.

Auch bei anderen Spielzeugen wie programmierbaren Robotern ist darauf zu achten, dass sie nur eigenen Befehlen gehorchen. Da ihre technische Kapazität sich durchaus mit der von Smartphones und älteren PCs vergleichen lässt, können sie ein lohnendes Angriffsziel sein. Es wurde bereits beobachtet, wie Lego-Steuerungen zu einem Botnetz umfunktioniert werden sollten. Vorsicht ist also geboten, wenn den Geräten per WLAN ein unbeschränkter Internetzugriff ermöglicht wird – einen PC lässt man schließlich auch nicht mehr ohne Virenschutz und regelmäßige Sicherheits-Updates ins Internet.

Zahlreiche elektronische Spielzeuge lassen sich heutzutage per App steuern. Den Nutzern muss klar sein, dass die Daten in den meisten Fällen nicht nur auf der App des Smartphones oder Tablets landen, sondern auch in der Cloud des Herstellers. Und auch wenn die Statistiken über Schussstärke bei einem Fußball gerne mit Freunden geteilt werden, geht die Trainingshäufigkeit und die sekundengenaue Uhrzeit des letzten Schusses den Hersteller nichts an, oder?

Hintergrundartikel:

01/2016: heise.de:
Analysiert: Lego Mindstorms für Cyber-Angriffe missbraucht

• Übersichtsseite "Datenschutz unter dem Weihnachtsbaum

Der Fernseher ist aus vielen Haushalten nicht wegzudenken. Gleichzeitig hat dieses zentrale Element der Informationsgesellschaft einen erstaunlichen Wandel durchgemacht. War die „Röhre“ früher ein reines Empfangsgerät, sind heutige Smart-TVs nebenbei in der Lage, Daten aus dem Internet zu verarbeiten und dorthin zu senden. So verschwimmt die Grenze zwischen Fernsehprogramm und Online-Angebot. Darüber hinaus bieten Smart TVs durch ihre Online-Anbindung auch einen Rückkanal: Anders als klassische Fernseher können sie den Anbietern Informationen zurückgeben. „Anbieter“ können in diesem Fall sowohl der Hersteller des Geräts, als auch die Anbieter der Online-Angebote sein, die der Zuschauer nutzt. So werden Ein- und Ausschaltzeit und Programmwechsel registriert. Lässt sich das Gerät per Sprachbefehl bedienen, empfehlen einige Hersteller scheinheilig, im Wohnzimmer fortan lieber nichts Privates mehr zu besprechen: Die stets eingeschalteten Mikrofone des Smart TVs lauschen auf Schlüsselworte und übertragen die aufgenommenen Töne teilweise an externe Datenverarbeiter.

• Übersichtsseite "Datenschutz unter dem Weihnachtsbaum"

Gesundheit kann man nicht verschenken, aber doch zumindest Gesundheitsprodukte. Seien es Blutdruckmessgeräte, Waagen oder auch Hilfen für Diabetiker – die App-Unterstützung und Online-Datenverarbeitung ist bei vielen Geräten Bestandteil der Infrastruktur. Das bedeutet aber auch, dass sensible Gesundheitsdaten in die Hände Dritter gelangen können. Wie bei den Wearables ist es dabei für den Nutzer kaum möglich, den Überblick über Dienstleister, Zugriffsmöglichkeiten und Server-Standorte und zu behalten.

Der Beschenkte sollte daher stets überlegen, ob er die Online-Funktionen der Geräte wirklich benötigt. In der Regel können diese abgeschaltet werden. Ist hingegen gerade der Zugriff auf die Gesundheitsdaten über das Internet gewollt, sollte zumindest ein Pseudonym bei der Anmeldung zu dem Dienst genutzt werden. Dies erschwert die Zuordnung zur eigenen Person für den Betreiber bzw. Dritte. Unmöglich wird die Identifikation dadurch jedoch nicht, da jeder Online-Zugriff auf die Daten weitere Kennungen und andere Identifikatoren mitsendet, die in vielen Fällen mit wenig Aufwand eindeutige Zuordnungen der Daten ermöglichen.

Wird die Übermittlung von Daten an den behandelnden Arzt angeboten, so sollte dieses nur verschlüsselt erfolgen. Eine einfache E-Mail zur Übermittlung der Daten ohne Verschlüsselung könnte von Dritten mitgelesen und ausgewertet werden.

Auch die Erotik-Branche hat inzwischen die Verbindung von physischen Geräten mit dem Internet für sich entdeckt. App-gesteuertes Sexspielzeug ermöglicht das gemeinsame Erlebnis, selbst wenn ein Partner viele Kilometer entfernt ist. Allerdings nutzen diese Geräte Dienstleister, um die Verbindung herzustellen und die Daten zur Steuerung zu übermitteln. Beispiele aus der Vergangenheit zeigen, dass diese Anbieter – so zumindest in einem Fall geschehen – ausführliche Protokolle erstellen können, die detaillierte Aussagen über das Sexualleben der beteiligten Personen (Häufigkeit, Abwesenheit des Partners, Zeiten, ggf. sogar mittels der verwendeten IP-Adresse den Ort) ermöglichen.

• Übersichtsseite "Datenschutz unter dem Weihnachtsbaum"

Wer per Computer online shoppen will, muss sich dessen bewusst sein, dass er Datenspuren hinterlässt – viel mehr als beim Einkaufen im Laden vor Ort! Die Händler können sich mit Hilfe solcher Daten oft ein sehr genaues Bild von ihren Käufern machen und sie leichter dazu bringen, etwas zu kaufen. Auch wenn man kein Nutzerkonto anlegt, können Online-Shops wiederkehrende Kunden erkennen, wenn sie beispielsweise Cookies (kleine Text-Dateien auf dem eigenen Gerät) oder andere Techniken zum Verfolgen der Käufer (sogenanntes „Tracking“) einsetzen. So können Anbieter Profile über ihre Kunden anlegen und daraus Informationen über Vorlieben für Marken oder Sonderangebote, Familienverhältnisse, Hobbies oder etwa Krankheiten ableiten. Die Konfiguration des Internet-Browsers in den Datenschutz- oder Datensicherheitseinstellungen oder spezielle Datenschutz-Zusatzprogramme („Add-Ons“) können vor solcher Profilbildung schützen.

Am besten kauft man online nur bei Händlern ein, denen man vertraut. Dafür lohnt es sich, einen Blick in die AGB und die Datenschutzerklärung zu werfen: Versteht man, was dort steht? Ist es plausibel? Wie würde man im Streitfall behandelt? Achtung: Einige Anbieter ignorieren unser Datenschutzrecht und werten die persönlichen Daten zu beliebigen Zwecken aus oder geben sie ohne Rechtsgrundlage oder Einwilligung weiter.

Einige Online-Shop-Betreiber bieten an, dass gekaufte Geschenke gleich an den richtigen Empfänger gesandt werden – vielleicht noch mit einem persönlichen Text auf einer Grußkarte. Eigentlich eine nette Idee, doch sollte man die Adressdaten des Beschenkten nicht weitergeben, wenn man sich nicht sicher ist, dass er damit einverstanden ist.

Bei der Auswahl des Bezahlverfahrens kommen weitere Dienstleister ins Spiel: Am datensparsamsten ist zumeist das Bezahlen per Vorauskasse. Schon beim Kauf auf Rechnung fordert der Anbieter Daten wie Namen und Geburtsdatum der Kunden ab, mit denen er ihre Kreditwürdigkeit bei weiteren Unternehmen abfragt. Verwendet man Online-Bezahlverfahren, muss man bei den jeweiligen Dienstleistern prüfen, was sie mit den Daten machen – also wieder die AGB und die Datenschutzerklärung lesen. Beachtet werden sollte auch, dass einige dieser Anbieter ihre Daten nicht nur in der EU verarbeiten.

Sensible Daten wie Passwörter oder Kreditkartennummern sollte man nur dann eingeben, wenn die Verbindung verschlüsselt ist. Dann ist man gegen ein Mitlesen auf den Leitungen geschützt. Die Internet-Browser stellen die Verschlüsselung durch ein kleines Schloss in der Adressleiste dar, und die Webseiten-Adressen beginnen mit „https“ statt „http“.

Einige Online-Händler speichern die Interessen und Käufe ihrer Kunden sehr lange und gleichen diese Daten mit anderen Kunden ab. Mögen einige die darauf beruhenden Kaufempfehlungen begrüßen, machen sie anderen Angst. Gehört man zur zweiten Gruppe, sollte man solche Händler meiden. In jedem Fall haben Sie das Recht, beim Anbieter Auskunft über alle über Sie gespeicherten Daten zu erhalten. Auch können Sie fordern, dass falsche Daten berichtigt und nicht mehr erforderliche Daten gelöscht werden. 

Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein beteiligte sich an einer deutschlandweiten Prüfaktion und prüfte gemeinsam mit sechs weiteren Aufsichtsbehörden Wearables. Auf dem Prüfstand waren sowohl Fitness-Armbänder als auch Smart Watches mit Gesundheitsfunktionen. Außerdem wurden die Apps der Hersteller einer technischen Analyse unterzogen. Das Ergebnis war eindeutig: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.