Datenschutzalltag

SPAM ist ja seit langem eine Seuche und verursacht vermutlich mehr Kosten als “richtige” Pandemien; aktuell sollen etwa 85% aller umherschwirrenden E-Mails dieses Prädikt “verdienen”. Um diese Plagegeister soll es hier NICHT gehen, brauchbare E-Mailclients sind dagegen inzwischen gut gerüstet.

Wie verhalte ich mich aber bei unbestellten Werbe-Newslettern mehr oder weniger seriöser Anbieter, die den Weg in meinen Posteingang gefunden haben? Hier mache ich mir einen schlanken Fuß und verweise einfach auf einen aktuellen Artikel im Datenschutz-Blog inclusive Muster-Antwortschreiben. Empfehlung:  Nachmachen!
Continue reading ‘Was tun bei … unerwünschten Werbe-Newslettern?’ »

Kontinuierlich steigt meine Abneigung gegen die Heerscharen gedankenloser Mustervertragsausfüller und naiver Checklisten-Checker (Mein Grundsatz: Nutze keine Arbeitshilfe, die Du nicht selbst hättest erstellen können). Deshalb kam es heute meinerseits zu Ausbrüchen primitivster Schadenfreude beim Anblick der folgenden Webseite:
Continue reading ‘Nicht nachmachen: Haftungsausschluss’ »

Das Forum Elektronische Steuerprüfung ist auch für Datenschutzbeauftragte und Datenschutzinteressierte eine gute Quelle bei der Suche nach verständlichen Informationen zu buchhalterischen Fragen.

Heute entdeckt: Thorsten Brand zählt in seinem Artikel “Rechtsgrundlagen E-Mail-Archivierung” nicht nur – wie versprochen – die wesentlichen Vorschriften auf, sondern er beleuchtet dabei die speziellen Aspekte von E-Mails, begründet nachvollziehbar die Notwendigkeit der Archivierung, listet die Themenbereiche einer hilfreichen E-Mail-Policy auf und hat sogar noch Platz für Anregungen zu einer DMS-Verfahrensdokumentation.

Das alles auf nur neun Seiten, management- und aministratorenverständlich geschrieben. Hilfreich, wenn man – wie viele Unternehmen – vor der Entscheidung für eine E-Mail-Archivierungslösung steht und sich wenigstens einen ungefähren Überblick über die Rahmenbedingungen verschaffen will, bevor man sich in die Hände eines Lösungsanbieters begibt.

Nebenbei: Das allein bücherfüllende Thema “Private E-Mailnutzung im Unternehmen” wird hier nur ganz am Rande erwähnt.

Eine hilfreiche Dokumentation von Seiten eines Lösungsanbieters kam mir in den letzten Wochen in die Finger: Für das “WhitePaper zur Erfüllung der Anforderungen der GDPdU mit der Software GFI MailArchiver 6” vergesse ich sogar meine Checklisten-Allergie, denn hier werden konkreten rechtlichen Anforderungen ebenso konkrete Konfigurationsmöglichkeiten gegenübergestellt. Nachahmenswert!

Stand 10.11.2009: Ich habe heute wie angekündigt Piwik auf meinem Server installiert. Wieder einmal Dank an Jan-Kaspar Münnich von dotplex, der mich geduldig über ein paar Hürden gehievt hat. Bei der Installation bitte auf ein sicheres Passwort achten.

Ich lasse das Ding jetzt mal ein paar Testtage laufen.

Piwik bietet ja gegenüber Google Analytics den großen Vorteil, dass die Nutzerdaten auf meinem Server verbleiben und nicht  über den Ozean gepustet werden. Aber so viele Daten, wie Piwik mir anbietet, will ich gar nicht. Deshalb folgende Änderungen (bezieht sich auf die aktuelle Version 0.4.5):
Continue reading ‘Pimp my Piwik: Etwas mehr Datenschutz’ »

Google-Nutzer haben es seit heute einfacher, sich einen Überblick über die beim Suchmaschinenriesen gespeicherten Daten zu ihrer Person  zu verschaffen. Dafür hat Google das neue Dashboard (“Armaturenbrett”) vorgestellt; Vorstellung, Video und ergänzende Links hier.

Ich habe natürlich den Service gleich genutzt, um für meine digitalen Teilidentitäten (Niemals alle Aktivitäten über ein Konto!) eine “Kontenprüfung” durchzuführen. Continue reading ‘Erster Einblick: Meine Daten bei Google’ »

Ich bin heute mal die Liste der Online-Shops durchgegangen, bei denen ich in den letzten zwei Jahren bestellt habe: Donnerwetter, das waren mehr als gedacht! An zehn davon habe ich folgende Nachricht gemailt und bin auf die Reaktionen gespannt:

Sehr geehrte Damen und Herren,

seit längerer Zeit bin ich zufriedener Kunde Ihres Online-Shops (Kundenummer xyz). Continue reading ‘Anfrage: Wie viele "meiner" Online-Shops nutzen veraltete Software? [Update: Antworten]’ »

Heute zwitscherte jemand: “In Deutschland sollte mal eine Anlaufstelle für Datenfunde eingerichtet werden. Kann ja nicht sein, dass es der Job von @Netzpolitik ist.”

Ist es auch nicht. Netzpolitik schreibt selbst etwas zum Thema “Wie geht man mit Sicherheitslücken um?”. Als Datenschützer ergänze ich flink die zuständigen Datenschutzaufsichtsbehörden und gebe noch ein paar Hinweise.

Wer diesen Artikel liest, kennt Blogs. Wichtige Datenschutzblogs finden sich in meiner Blogroll. Für die einfache Publizierung einer Datenpanne empfehle ich zusätzlich den Eintrag beim “Projekt Datenschutz“.

Wird bei Datenpannen oder Beschwerden gern übersehen: Für Klärungen und Fragen kann man sich direkt an den entsprechenden betrieblichen Datenschutzbeauftragten der betroffenen Unternehmen wenden: Sie müssen von außen problemlos erreichbar sein (telefonisch verbinden lassen) und sind nach dem Bundesdatenschutzgesetz zur Verschwiegenheit über die Identität des Betroffenen verpflichtet. Aus dem BDSG §4f: Continue reading ‘Kontakte: Wohin mit Datenfunden oder Datenschutzproblemen?’ »

Postbankkunde und Rechtsanwalt Thomas Stadler hat auf seinem Blog ein Auskunftsverlangen nach §34 BDSG veröffentlicht, das zur Nachahmung anregt. Nicht nur aufregen, sondern handeln: Die “guten alten”, aber noch zu selten genutzten Auskunftsrechte stehen jedem Kunden zur Verfügung.

Die Anschriften fehlen (noch) im Blog:

Deutsche Postbank AG
Friedrich-Ebert-Allee 114 – 126
53113 Bonn

Deutsche Postbank AG
Zentraler Datenschutzbeauftragter
Postfach 40 00
53105 Bonn

Das Problem der Metadaten in Officedateien ist altbekannt, breit diskutiert und inzwischen leichter lösbar. Aber auch Fotos und andere Grafiken enthalten jede Menge verräterischer Informationen, deshalb habe ich mich über den Hinweis bei Twitter auf den Artikel von martinus virtualis gefreut. Zu finden hier.
Zum Appetitholen:

Während der Arbeit mit Photoshop /Aperture /Camera RAW /Lightroom werden in jedem Bild mehr oder weniger interessante Informationen gespeichert. Neben reinen Bildinformationen noch die üblichen EXIF, IPTC oder andere vom User gewünschte Metadaten. Es lassen sich unter Umständen aber noch weitere Daten finden: Erstellungs- oder Änderungsdatum und entsprechende Uhrzeiten, Dateipfade, aufgerufene Funktionen, aktivierte und deaktivierte Layer, benutzte Filter, verwendete Kamera, Objektive und dergleichen mehr – je nach Einstellung. Was für die eigene Arbeit noch hilfreich ist, gestattet aber auch anderen Personen Einblick in die eigene Arbeitsweise oder ermöglicht Rückschlüsse zur aufgewendeten Arbeitszeit oder verwendeten Technik.

Das verspricht ein Schnell-Check bei redmark, auf den ich durch twitter gestoßen bin:
Also fix runtergeladen (kostenlos – aber für den Account musste ich (m)eine Adresse herausrücken) und nachgeschaut. Donnerwetter, in 18 Fragen zum Datenschutzglück, kaum anderthalb A4-Seiten.

Kann man machen, wenn man sich auf solche Tipps beschränkt wi:

• “Prüfungskriterium: Die Programme zur Verarbeitung personenbezogener Daten enthalten die Funktionen, um die Einwilligung richtig zu verwalten. Reaktion bei nein: keine Verarbeitung, neue Software beschaffen.”
  OK, welches CRM kaufe ich denn heute ein? Oder

• “Prüfungskriterium: Werden die Daten (für die Erfüllung der Aufgaben) benötigt, ist die Speicherung auf die Inhalte begrenzt, die zur Erfüllung der Aufgaben notwendig sind (Datensparsamkeit). Reaktion bei Nein: Datenbestand und Abläufe prüfen” – und was mache ich am Nachmittag?

Richtig böse werde ich als Datenschutzbeauftragter bei den Fragen 14 und 16:

• Frage 14 “Prüfungskriterium: Das Unternehmen hat keinen betrieblichen Datenschutzbeauftragten (DSB). Reaktion bei Ja: weiter bei Frage 17″
  Eine Reaktion bei Nein ist auf der Liste nicht zu finden

Und der Hammer:

• Frage 16 “Prüfungskriterium: Der verschärfte Kündigungsschutz des betrieblichen DSB stellt ein Problem dar. Reaktion bei Ja: neuen DSB benennen.”

Da wird der alte Datenschutzbeauftragte mal eben weggecheckt. Hätte er sich doch nur ruhig verhalten…

Das Schlimme: Die Checkliste wird sicher tausendfach runtergeladen (kostenlos!) und hier und da zum Einsatz kommen. Grund genug, sich wieder einmal über die zunehmende Checklistengläubigkeit aufzuregen, auch unter Datenschutzverantwortlichen und Datenschutzumsetzern.

Verwende keine Checkliste, die Du nicht selbst erstellt oder geprüft hast.