Und plötzlich ist Weihnachten – Datenschutzrisiken der Vorweihnachtszeit

Fachbeitrag

Zugegebenermaßen Weihnachten und die EU-Datenschutz-Grundverordnung (DSGVO) haben nicht viel gemeinsam. Außer, dass beides lange Zeit weit entfernt schien. Ersteres steht nun unmittelbar vor der Tür. Für letzteres haben Unternehmen hingegen noch einige wertvolle Monate für die Vorbereitung. In der Weihnachtszeit finden in vielen Unternehmen Weihnachtsfeiern statt. Gerne wird auch den Geschäftspartnern für die Zusammenarbeit gedankt. Und zu Hause freuen sich die Kleinsten über tolle Geschenke. Ein Überblick über Datenschutzrisiken und vermeidbare Fallstricke.

Mitarbeiterfotos auf der Weihnachtsfeier

Alljährlich laden viele Unternehmen ihre Mitarbeiter zu Weihnachtsfeiern ein. Ein guter Anlass, sich untereinander abseits des üblichen Alltagsgeschehens auszutauschen und auch ggf. besser kennenzulernen. Oftmals werden dabei jede Menge Fotos gemacht. Auf einzelnen dieser Veranstaltungen gibt es sogar professionelle Fotografen. Und nicht selten sollen die gemachten Fotos anschließend ins Intranet gestellt oder im Internet verbreitet werden. Jedoch freut sich nicht jeder Abgebildete, wenn dieser in einer aus seiner Sicht unvorteilhaften Situation verewigt wird.

Grundsätzlich ist hierbei das Kunsturhebergesetz (KUG), konkret §§ 22, 23 KUG, einschlägig. Diese Normen regeln die Voraussetzungen für eine Verbreitung oder öffentliche Zurschaustellung von Bildnissen. Worauf bei Fotos im Allgemeinen zu achten ist war schon öfters Gegenstand eines Blogbeitrags. Handelt es sich bei den Abgebildeten um Mitarbeiter, was bei Weihnachtsfeiern regelmäßig der Fall ist, gelten bei der erforderlichen Einwilligung erhöhte Anforderungen. Im Beschäftigtenverhältnis bedarf es stets der schriftlichen Einwilligung der Beschäftigten. War es früher noch umstritten, ob Mitarbeiter im Beschäftigtenverhältnis überhaupt freiwillig und damit wirksam einwilligen konnten, ist dies inzwischen durch das Bundesarbeitsgericht geklärt und hat nun auch den Weg in das neue BDSG gefunden (§ 26 Abs. 2 BDSG (neu)). Über die Änderungen haben wir bereits hier berichtet und auch das Bayrische Landesamt für Datenschutzaufsicht hat eine kurze Übersicht dazu herausgegeben.

Geschäftliche Weihnachtsgrüße per E-Mail

Zum Ende des Jahres werden gerne auch Weihnachtsgrüße an geschäftliche Partner und Geschäftsfreunde verschickt. Dies erfolgt dabei teils postalisch, teils per E-Mail. Bei letzterem empfiehlt es sich, einen gewissen Grad an Sorgfalt walten zu lassen. Beabsichtigen Sie eine E-Mail an mehrere Empfänger gleichermaßen zu verschicken, achten Sie auf die Nutzung des Feldes „bcc“. Andernfalls kann es schnell passieren, dass der Empfänger in seinem E-Mail-Programm sämtliche Adressaten angezeigt bekommt. Das ist nicht nur unschön und unprofessionell, sondern kann auch ein Bußgeld auslösen. Die wichtigsten Informationen zu diesem Thema können Sie hier abrufen. Daneben sollte aus Gründen des Wettbewerbsrechts eine solche E-Mail ausschließlich an Bestandskunden gerichtet werden.

Von allzu neugierigen Geschenken und lauschenden Puppen

Hersteller von Spielzeug, aber auch generell Unterhaltungselektronik, stehen unter immensem Innovationsdruck. In den Geschäften buhlen unzählige Geschenke um die Gunst und Aufmerksamkeit der Kinder sowie deren Eltern. In den vergangenen Jahren gewannen sogenannte vernetzte Spielzeuge („smart toys“) zunehmend an Verbreitung. Im Einzelnen bedeutet dies, dass diese Geräte mit dem Internet verbunden sind und dadurch den Nutzern mehr oder weniger sinnvolle Zusatzdienste ermöglichen. Dabei schießen die Hersteller aber auch gerne mal über das Ziel hinaus.

Sei es, weil die Übertragungswege (WLAN oder Bluetooth) nicht (ausreichend) vor Zugriffen geschützt werden, weil mehr Daten erhoben werden als nötig oder weil es der Anbieter insgesamt nicht so genau nimmt mit den Vorschriften. Sicherheitsvorkehrungen für solche vernetzten Spielsachen werden, in der Eile mit dem Produkt schnell auf den Markt zu kommen, gerne übersehen; nur benutzerfreundlich ist wichtig. Wer auf die gesammelten teils sensiblen Daten Zugriff erhält, ist dann manchmal nachrangig.

Die Liste an bekannt gewordenen Vorfällen ist dabei länger als vielleicht zunächst vermutet, einige Beispiele:

  • Barbie hört zu: Alles was in das Mikrofon gesprochen wird nimmt diese Barbie auf und lädt es zu verschiedenen Auswertungszwecken in die Cloud.
  • My Friend Cayla: Eine andere Puppe wurde von der Bundesnetzagentur als verstecktes Spionagegeräte eingestuft und musste vom Markt genommen werden.
  • Lego Mindstorms: Eine Steuereinheit des Robotik-Baukastens Lego Mindstorms EV3 war nicht direkt gegen Angriffe von außen geschützt und somit angreifbar. Ein Telnet-Wurm konnte sich darin einnisten und sein Unwesen treiben.

Das FBI warnt beispielsweise inzwischen vor smart toys und die Bundesnetzagentur hat jüngst hunderte von Kaufangeboten solcher Spielzeuge vom Markt nehmen lassen.

Aber auch außerhalb des Kinderzimmers bei klassischer Unterhaltungselektronik sind vernetzte Produkte vermehrt im Produktsortiment. Smart-TVs gehören dabei schon fast zum alten Eisen. LG gab vergangenes Jahr zu, das Sehverhalten und angeschlossene USB-Sticks erfasst und zu Analysezwecken an eigene Server geschickt zu haben. Und natürlich auch unverschlüsselt. In diesem Zusammenhang sei insbesondere noch einmal auf die neuen datenschutzrechtlichen Grundsätze Privacy by Design & Privacy by Default hingewiesen. Eine solche technische Ausgestaltung dürfte in Zukunft empfindliche Geldbußen verursachen.

Alles machbar

Wir können daher nur empfehlen, verlieren Sie nicht die Freude am Fest, am Schenken und beschenkt werden. Viele vernetzte Produkte sind nützlich oder machen zumindest Spaß. Aber insbesondere bei vernetzten Geschenken für Kinder sollten Erwachsene sich genau über das Produkt informieren, aufmerksam die Produktbeschreibung lesen und ggf. vorhandene Updates einspielen. Auch empfiehlt sich generell bei der Anlegung von Konten im Zusammenhang mit den digitalen Erweiterungen sparsam mit den Angaben zu sein.

Und damit die Weihnachtsfeier nicht zu Auseinandersetzungen führt und allen als tolle Veranstaltung in Erinnerung bleibt, berücksichtigen Sie die Anforderungen des KUG und BDSG.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.