1995 beschloss die EU ihre Richtlinie 95/46/EG. In ihr wird seither der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten geregelt. Für jeden Datentransfer in ‚unsichere Drittstaaten‘ (z.B. USA oder Indien) mussten zunächst noch einzeln Verträge geschlossen werden, was sich als gerade für große Unternehmen als kostenintensives Hindernis erwies. Erste Firmen entwickelten daraufhin Unternehmensrichtlinien, die das Verfahren zu vereinheitlichen suchten.
Im Juni 2003 tauchte der Begriff der ‚Binding Corporate Rules‘ dann erstmals in der EU-Datenschutzgruppe auf. Die Überlegungen richteten sich darauf, ein flexibles Instrument für den Datentransfer zu schaffen, welches zugleich die Vorgaben des Datenschutzgesetzes erfüllt. Das Resultat war ein Verfahren, dass es Unternehmen gestattet den Datenschutz beim Transfer in Drittstaaten individuell zu gestalten, sofern die angewandten ‚Binding Corporate Rules‘ einige Mindeststandards erfüllen. Hierzu zählen u.a.:

– Aufbau und Umsetzung eines Sicherheitskonzeptes
– Datenschutzschulung von Mitarbeitern
– Verpflichtende Teilnahme an einem Audit-Programm
– Leistung von Schadenersatz bei Verstößen
– Geregeltes Beschwerdeverfahren
– Zusicherung von Transparenz
– Festlegung des Geltungsbereichs

Der Vorteil der Einführung von ‚Corporate Binding Rules‘ ist die Möglichkeit einer individuellen Ausgestaltung der Datenübermittlung in ‚unsichere Drittstaaten‘. Der Nachteil ist vor allem der hohe Organisationsaufwand und das langwierige Prüfungsverfahren. Ein BCR-Prozess kann bis zur Einführung etwa zwei Jahre dauern. Rechnen tut sich das derzeit nur für große Unternehmen.

Der Art. 28 der DSGVO, § 26 des Bundesdatenschutzgesetzes (2018) und der § 80 im Zehnten Buch des Sozialgesetzes regeln in Deutschland die ‚Datenverarbeitung im Auftrag‘ bzw. die ‚Auftragsverarbeitung (AV)‘. Sie bestimmen über das ‚Outsourcing‘ von Datenverarbeitungsaufträgen an externe Dritte.

Die Auftragsverarbeitung löst die ‚Auftragsdatenverarbeitung (ADV)‘ aus dem “alten” Bundesdatenschutzgesetz ab. Die Neuregelung lässt viele der schon bisher geltenden Anforderungen an den Verantwortlichen unverändert.

Den rechtlichen Rahmen einer AV gibt seit der DSGVO in der Regel ein Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO vor. In jenem werden unter anderem Gegenstand, Zweck, Art und Dauer der Verarbeitung festgelegt sowie die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen und die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters.

Der Verantwortliche hat sich – abhängig von der Art der erhobenen Daten – davon zu überzeugen, dass der Auftragsverarbeiter für die Aufgabe zertifiziert ist, und dass er ein Sicherheitskonzept umsetzt, welches gewährleistet, dass die Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen mit den rechtlichen Bedingungen konform ist. Dies erfolgt in der Regel durch eine schriftliche Auskunft. Erst dann darf der Verantwortliche personenbezogene Daten übermitteln.

Haftungsrechtlich steht bei Verstößen meist nicht der Dienstleister in der Verantwortung, sondern unverändert der Verantwortliche. Der Auftragsverarbeiter haftet hingegen, wenn er seinen Pflichten als Auftragsverarbeiter nicht nachgekommen ist. Dies ist der Fall sofern er die Anweisungen des Verantwortlichen nichtbeachtet oder sogar gegen die Weisungen gehandelt hat.

Der § 11 des Bundesdatenschutzgesetzes und der § 80 im Zehnten Buch des Sozialgesetzes regeln in Deutschland die ‚Datenverarbeitung im Auftrag‘ bzw. die ‚Auftragsdatenverarbeitung (ADV)‘. Sie bestimmen über das ‚Outsourcing‘ von Datenverarbeitungsaufträgen an externe Dritte.

Die rechtlichen Rahmen einer ADV gibt seit dem Jahr 2009 das Bundesdatenschutzgesetz mit einer Zehn-Punkte-Regel vor, die unter anderem Fragen der Löschung, der Meldepflicht und der Kontrollrechte umfasst.

Der Auftraggeber hat sich – abhängig von der Art der erhobenen Daten – davon zu überzeugen, dass der Auftragnehmer für die Aufgabe zertifiziert ist, und dass er ein Sicherheitskonzept umsetzt. Dies erfolgt in der Regel durch eine schriftliche Auskunft. Erst dann darf der Auftraggeber personenbezogene Daten übermitteln. Haftungsrechtlich steht bei Verstößen meist nicht der Dienstleister in der Verantwortung, sondern unverändert der Auftraggeber.

Im Jahr 2000 führte Google sein AdWord-System ein. AdWord ist ein Kunstwort, das sich aus ‚Advertising‘ (= ‚Werbung‘) und ‚Keywords‘ (= ‚Schlüsselwörter‘) zusammensetzt. Googles Kunden bezahlen dafür, dass ihre Werbung seitlich vom Ergebnisformular in Gestalt von Snippets mit Link erscheint – immer dann, wenn der Nutzer des Suchsystems ein bestimmtes Schlüsselwort aufruft.

Das Adword-System wurde bis 2008 als Cost-Per-Click abgerechnet (s. CPC), seither ist ein komplexes Modell entstanden, das u.a. auch die Ladezeiten, die Qualität der Anzeige, die Art der genutzten Geräte (Handy, PC) berücksichtigt. Im Blog ‚Inside AdWords‘ (- seit 2008 auch auf deutsch -) informiert Google kontinuierlich über Änderungen auf seiner weltweit bedeutendsten Werbeplattform.

Die gefälschten Absenderkennungen im E-Mail-Verkehr sind zu einer Pest geworden – vor allem deshalb, weil sie so kinderleicht zu fälschen sind. Im Prinzip kann jeder Laie im Browser sich einen neuen ‚Kriegsnamen‘, ein ‚Pseudo‘, zulegen. Die erstaunten Nutzer erhalten dann oft sogar eine E-Mail von sich selbst, die sie aber nie geschrieben haben.

Die Methode der gefälschten Absenderkennung machen sich vor allem die Versender von Spam-Mails zunutze. Öffnet man eine solche Mail – vor allem deren angehängte Dateien – dann ist das Malheur im Handumdrehen passiert. Am Ende wurde der eigene Rechner dann sogar zu einem Teil eines Netzes aus Spam-Mail-Schleudern, weil man auf eine gefälschte Absenderkennung blind vertraute.

Erste und einfache Abhilfe schafft vor allem die Überprüfung der Absenderzeile, die in der Regel einen Absendernamen in Klartext enthält – und erst dahinter in Spitzklammern dann die E-Mail-Adresse:

Amazon.de versandbestaetigung@amazon.de

Kennung E-Mail-Adresse

Die Kennung kann – wie oben erwähnt – jedermann in seinem Browser leicht manipulieren. Wichtig ist es daher vor allem, vor dem Öffnen jedes Posteingangs die E-Mail-Adresse in den Spitzklammern zu überprüfen. Denn einen E-Mail-Server, der bspw. ‚amazon.de‘ seine Domain nennen dürfte, den kann sich kein Spam-Mail-Versender so leicht installieren.

Achten Sie daher beim Prüfen Ihrer Mails immer auf die Spitzklammer in Ihrem Mailclient!