Kategorie Datenschutz

Google weiss jetzt auch, was Du im Laden kaufst.

Von inAllgemein, Datenschutz, Social Media
Google weiss jetzt auch, was Du im Laden kaufst.

Google kauft Daten von Mastercard-Kunden

Alle sollte mittlerweile wissen, dass Google Daten seiner Nutzer sammelt und bewertet. Google geht nun jedoch einen Schritt weiter und kauft externe Daten von Mastercard ein. So kann Google auch das Offline Kaufverhalten der Kunden auswerten und an seine Werbekunden weitergeben – ohne das Wissen der Mastercard-Besitzer.

Doch gleich zu Beginn folgende wichtige Information für “uns”:

  • Die “gute” News ist, dass das bisherige Tracking nur US User betrifft
  • Das Tracking kann man über den Menüpunkt „Web and App Activity“ deaktivieren. Das Opt-out ist jedoch nicht gleich zu finden.
  • Ob dieses Tracking in Europa möglich ist, bleibt offen. Denn eigentlich unterliegt Google seit Inkrafttreten der DSGVO innerhalb der EU im Mai 2018 strengeren Richtlinien. So müssen User beispielsweise dem Verwerten ihrer Daten explizit per Opt-in zustimmen.

Na ja, glaubt ihr noch an den Osterhaasen?

Vollständige Informationen zum Thema lesen Sie hier: https://www.googlewatchblog.de/2018/09/google-nutzer-offline-ist/

Google Chrome markiert ab Juli 2018 HTTP Seiten als “nicht sicher”

Von inAllgemein, Datenschutz
Google Chrome markiert ab Juli 2018 HTTP Seiten als “nicht sicher”

Mit dem neuen Release des Google Chrome Browsers (Version 68), welcher gemäss Google im Juli ausgeliefert wird, werden alle Webseiten ohne HTTPS als “nicht sicher” gekennzeichnet, weil die Kommunikation zwischen Webseite und Endbenutzer nicht verschlüsselt ist.

Ungeschützte Webseiten sehen in der Adressleiste des Browsers dann so aus (Bild Google):

So eine Warnung wird zwangsläufig zur Verunsicherung der Benutzer führen und wird sich auf die Besucherzahlen Ihrer Webseite auswirken.

Empfehlung

Auch aus Datenschutzgründe (DGSVO, DSG) empfehlen wir alle noch ungeschützten Webseiten so schnell wie möglich mit HTTPS/SSL zu verschlüsseln.

SSL Zertifikat

Das kostenlose Let’s Encrypt Zertifikat verschlüsselt Ihre Webseite ohne wiederkehrende Lizenzkosten.

Ihre Webseite testen

Testen Sie ob Ihre Webseite korrekt (oder überhaupt) verschlüsselt ist hier:

https://www.digicert.com/help/

Fragen?

Gerne stehe ich Ihnen für weitere Fragen und Lösungen zu Verfügung.

e-Privacy Verordnung – Was ist das?

Von inAllgemein, Datenschutz, Social Media, Zukunft
e-Privacy Verordnung – Was ist das?

Die e-Privacy Verordnung kommt nächstes Jahr und soll den Schutz der Privatsphäre bei elektronischer Kommunikation im Allgemeinen regeln.

D.h. im Gegensatz zur DSGVO werden durch die E-Privacy-Verordnung auch Kommunikationsdaten erfasst, welche gemäss DSGVO nicht als personenbezogene Daten gelten bzw. bei denen die rechtliche Qualifikation umstritten ist. Es ist z.B. umstritten, ob IP-Adressen oder die MAC-Adressen von mobilen Endgeräten als personenbezogene Daten gelten. Für die Anwendung der E-Privacy-Verordnung ist diese Frage nicht mehr relevant).

Die neue Verordnung wird grosse Auswirkungen haben, im Rahmen der laufenden Digitalisierung, da jede Form der elektronischen Kommunikation betroffen ist. Dazu gehört die klassische Kommunikation per Telefon, Web oder E-Mail sowie auch neue Alltagsdienste des Internet der Dinge (IOT, Internet Of Things) wie smarte Kühlschränke, Fitness-Tracker oder vernetzte Fahrzeuge.

Durch die Regulierung dieser Maschine-zu-Maschine-Kommunikation wird letztlich auch die Industrie 4.0 vom Anwendungsbereich der e-Privacy-VO umfasst.

Ich frage mich, ob wir so nicht die digitalen Innovationen von Firmen abbremsen gar verunmöglichen und denke, dass es ein Lösungsansatz wäre, wenn ein Mensch selber entscheiden darf, wem er “Zugriff” erlauben möchte, anstatt alles standardmässig per Gesetz zu verbieten.

Aber wir werden ja sehen, bei der DSGVO gibt es ja bereits “Lockerungen” und umstrittene Situationen.

PS: Im Internet habe ich einen Link gefunden zum Entwurf der EU e-Privacy Verordnung

DSGVO (Schweiz) Teil 2 – “Spielregeln”

Von inCIO Thema, Datenschutz
DSGVO (Schweiz) Teil 2 – “Spielregeln”

Mit der Datenschutzverordnung soll bezweckt werden, dass Unternehmen bewusster mit Personendaten umgehen.

Wo fangen wir an?

Vielleicht mal gleich mit den Ausnahmen und mit ein paar Fragen & Antworten:

Also einfacher halber gehe ich davon aus, dass alle Schweizer Firmen die EU-DSGVO einhalten sollten.

  • Schon alleine deshalb, weil auch die Schweiz bald (im Herbst 2018) mit einem revidierten Schweizer Datenschutzgesetz nachrücken wird. Also wieso nicht jetzt schon den Vorsprung sichern?
  • Und ich überzeugt bin, dass die allermeisten Firmen Leistungen auch an Kunden in der EU direkt oder indirekt anbieten (z.B. auch ein Newsletter an EU-Bürger)
  • Und das Verhalten von Personen in der EU analysieren (z.B. durch Tracking auf der Firmenwebseite oder über Newsletter Tracking).

Eine Frage, die oft gestellt wird, ist ob jede Firma (die die DSGVO einhalten muss) einen Datenschutz-Vertreter in der EU benötigt?

Nein, es gibt Ausnahmen.

Erfüllen Sie alle folgende drei Voraussetzungen benötigen Sie keinen Datenschutz-Vertreter in der EU:

  1. Die Datenverarbeitung erfolgt nur gelegentlich,
  2. und es findet keine umfangreiche Verarbeitung von besonders schützenswerten Daten statt,
  3. und die Datenverarbeitung unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Was sind personenbezogene Daten?

Daten sind dann personenbezogen, wenn Sie eindeutig einer Person zugeordnet werden können oder diese Zuordnung zumindest mittelbar erfolgen kann (z.B. wenn eine Person nicht namentlich genannt wird, aber anhand einer Beschreibung klar identifiziert wird.

In der EU gehören personenbezogenen Daten zu einer natürliche Person. In der Schweiz jedoch umfasst die DSGVO auch juristische Personen.

Jetzt zum Thema DSGVO in Ihrer Firma

Diese Grundsätze müssen Sie einhalten und kennen

  • Rechtmässigkeit der Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist dann rechtssicher, wenn die betroffene Person Ihre Einwilligung ausdrücklich erklärt hat (das geht auch mündlich, aber beweisen Sie es später mal?).

Tipp: Ich würde auf jedem Online-Formular oder in E-Mail/Newsletter eine Einwilligungserklärung mit dem Hinweis auf Widerrufsrecht platzieren und mit einer Checkbox (die aber nicht im vorab bereits angeklickt ist) versehen.

  • Zweckbindung

Schreiben Sie auch eindeutig, wie Sie die Daten einsetzen werden. Z.B. nur für den Newsletter und ob Sie die Daten weiterreichen. Denn einer Weiterverarbeitung der Daten steht nichts im Wege, sofern sie nicht mit der ursprünglichen Abmachung in Konflikt steht.

  • “Privacy by design” und “Privacy by default”

Bereits bei der Planung der Datenverarbeitung müssen die Einhaltung der DSGVO sichergestellt werden. Da spricht man von Privacy by design beim schützen der Daten der betroffenen Personen und Privacy by default wo Voreinstellungen gewährleisten, dass nur Daten erhoben werden, die für die jeweilige Zweckbindung erforderlich sind.

  • Ein Verarbeitungsverzeichnis erstellen

Ein Verfahrensverzeichnis ist eine Übersicht über den Zweck der Datenverarbeitung, Löschfristen, Datenempfänger usw. z.B.

  • Wer ist betroffen?
  • Welche Daten in welchem Umfang kommen von woher, wie werden Sie verarbeitet und wohin leiten Sie diese Daten weiter?
  • Wie lange werden die Daten gespeichert?
  • Welche Software verarbeitet diese Daten?
  • Sicherheitsaspekte wie Zugang zu den Daten, Verschlüsselung, Wiederherstellung, Kommunikation der Daten, etc.
  • Wer in der Firma ist für das Verzeichnis verantwortlich (und kann es innert 72 Stunden auf Anweisung zur Verfügung stellen)

Tipp: Erstellt Prozesse damit ihr alle Verarbeitungen und deren “Satelliten” visuell sieht und genau dokumentieren könnt. Es gibt viele kostenlose Prozesstools (einfach in Google suchen)

  • Vorbereitet sein

Die Mechanismen und Kontaktdaten an wen Sie sich wenden müssen bei Verletzungen des Datenschutzes (z.B. bei Datenklau, etc.).

Es besteht nur dann keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist. Häufig müssen auch die betroffenen Personen benachrichtigt werden.

Wie können Sie die Daten einer Person zeitnah exportieren. Da jede Person, deren Daten verwendet wurden, ein Recht auf diese Export hat.

Achtung in eigener Sache: Das sind nur Ratschläge. Sie sind selber für die Einhaltung der Normen und Gesetze verantwortlich – ich trage und übernehme keinerlei Verantwortung.

 

Cloud Act – Staatlicher Zugriff auf Deine Daten

Von inCIO Thema, Datenschutz
Cloud Act – Staatlicher Zugriff auf Deine Daten

US-Behörden dürften per Cloud Act (*Gesetz) auch auf Daten von US-Anbieter zugreifen, die auf Servern in anderen Ländern liegen.

d.h. US-Firmen können per Gesetz gezwungen werden, ausländische Vorschriften zu brechen.

Das ist also ein staatlicher Zugriff auf im Ausland gespeicherte Daten. Darunter fallen z.B. E-Mails, Online-Chats, Facebook-Einträge, Flickr- oder Instagram-Fotos sowie Snapchat-Videos.

Das Gesetz wurde vor ein paar Tagen am 23. März 2018 unterzeichnet, ohne dass es in der Öffentlichkeit diskutiert und analysiert wurde.

Sehr interessant wird darum sein, wie diese Situation sich mit der neuen EU-DSGVO, welche am 25. Mai in Kraft tritt, verträgt.

 

Cloud Act bei Wikipedia:

Cloud Act – Wikipedia

 

 

DSGVO (Schweiz) Teil 1 Webseite und Social Media Profil

Von inDatenschutz
DSGVO (Schweiz) Teil 1 Webseite und Social Media Profil

Mit der Datenschutzverordnung soll bezweckt werden, dass Unternehmen bewusster mit Personendaten umgehen.

Handlungsbedarf auf Webseite und Social Media Profile

Impressum

Es besteht bereits in der Schweiz seit 1. April 2012 eine Informationspflicht, wer der Betreiber einer Webseite ist.

Im Impressum müssen zwingend Angaben zum Unternehmen (Betreiber der Webseite) mit Namen und Kontaktdaten enthalten sein.

Datenschutzerklärung

In der Datenschutzerklärung müssen zwingend Angaben zu den verwendeten Statistik-Tools, Social Media-Plugins, Newsletter-Tools, Umfragetools, etc. enthalten sein:

Welche Tools werden verwendet und an welche Standorte werden die Daten übermittelt. Auch alle Dienste (Cloud-Anwendungen), in welchen Daten gespeichert oder verarbeitet werden, müssen darin aufgeführt werden.

Zusätzlich müssen die Besucher auf das Auskunftsrecht, Beschwerderecht und Widerrufungsrecht hingewiesen werden.

SocialMedia-Profile

Auch auf Social Media-Profilen muss das Impressum und die Datenschutzerklärung aufgeführt oder verlinkt werden.

Cookie-Erlaubnis / -Hinweis

Je nachdem, wie die Konfiguration der verwendeten Analyse-Tools (z. B. Google Analytics) ist, reicht ein Hinweis im Sinne von: „Diese Webseite verwendet Cookies zu Werbezwecken und zur Optimierung der Benutzererfahrung. Bei der weiteren Verwendung dieser Webseite willigen Sie in die Datenbearbeitung ein.“ In diesem Hinweis muss die Datenschutzerklärung verlinkt sein.

Falls die IP-Adressen der Besucher registriert oder automatisch Benutzerprofile angelegt werden, bedingt dies ein Opt-in. Dies bedeutet, die Benutzer müssen dieser Handlung zustimmen. Das hat jedoch unter Umständen eine extrem negative Auswirkung auf die Benutzererfahrung.

Newsletteranmeldung

Zur Anmeldung an einen Newsletter oder Massenversand genügt es nicht mehr, nur eine Geschäftsbeziehung zu haben. Auch automatisch angekreuzte Check-Boxen sind nicht mehr erlaubt. Die Anmeldung muss klar ersichtlich sein und bewusst verlangt werden.

Formulardaten

Auf der Webseite muss ein Nutzer um Erlaubnis gefragt werden, ob seine persönlichen Daten (im Formular ausgefüllt) für einen bestimmten Zweck verarbeitet werden dürfen. Dies gilt, sobald diese in einem Dateisystem gespeichert werden, sei es auch nur per E-Mail.

Was weiss Facebook über mich (Teil 1)?

Von inDatenschutz, Social Media
Was weiss Facebook über mich (Teil 1)?

Bist Du neugierig und bereit zu erfahren, was Facebook über dich weiss?

So kannst Du deine Facebook Informationen herunterladen.

  • Klicke oben rechts auf den Pfeil nach unten und wähle anschliessend Einstellungen.
  • Im linken Teil wählst Du dann: Deine Facebook Informationen an.

  • In der Mitte erscheint eine neue Auswahl.
  • Wähle dort: Deine Facebook-Informationen herunterladen

  • Achtung etwas versteckt. Klicke unbedingt auf das Feld Datumbereich, denn sonst ladest Du nur einen Teil Deiner Daten.
  • Wähle dort das älteste Datum und das heutige Datum aus.
  • Mit Datei erstellen (blauer Knopf) wird dir Facebook alles als ZIP Datei zusammenstellen und Dich dann informieren.

Deine Facebook Informationen herunterladen – Zeitfenster

PS: Es ging noch ziemlich schnell. Ich wählte das Jahr 2006 bis heute.

Was weiss Google über Dich (Teil 1)?

Von inDatenschutz, Social Media
Was weiss Google über Dich (Teil 1)?

Hier bekommst Du einen Einblick, was Google über Dich weiss.

Interessant? Beängstigend? Naiv zu denken, dass wir anonym bleiben können.

Teil 1 Zugriff durch Drittanbieter-Apps

  • Als erstes musst Du Dich natürlich im Browser mit deinem Google Konto anmelden.

Zugriff durch Drittanbieter-Apps (Teil 1)

Besonders interessant finde ich die Drittanbieter-Apps, die ich irgend mal vielleicht sogar ungewollt den Zugriff auf mein Google gewährleistet habe.

Link: https://security.google.com/settings/security/permissions

Ich fand und löschte ein Dutzend App wie z.B.

  1. airbnb, denn wieso sollte airbnb auch Zugriff auf meine Kontakte haben?
  2. etsy.com (beim Aufrufen der Webseite, sah ich das etsy ein Online Shop ist, bei dem ich nie was bestellt hatte)