Die b.r.m. IT & Aerospace GmbH hat am 23. Februar 2024 erneut das renommierte EcoStep Zertifikat erhalten und sich damit als erstes Unternehmen mit einem Managementsystem für einen U-Space Service Provider (USSP) ausgezeichnet, eine Zertifizierung die die wichtigsten Normforderungen der ISO-Normen 9001, 14001 und 45001 zusammenfasst. Dies ist ein weiterer Meilenstein und ganz besonderer Moment für uns und unterstreicht unser Engagement im Bereich der unbemannten Luftfahrt. Mit dieser mehrfachen Zertifizierung wird unser Ansatz bei der Qualität, Umweltschutz sowie Sicherheit und Gesundheit bei der Arbeit ausgezeichnet.
U-Space-Service Provider (USSP)
Als U-Space Service Provider (USSP) wird b.r.m. IT & Aerospace eine entscheidende Rolle bei der Integration von unbemannten Luftfahrtsystemen (UAS) übernehmen. Die Zertifizierungen nach EcoStep belegt dabei unser Engagement für höchste Standards in Qualität, Umweltmanagement und Arbeitssicherheit. Darüber hinaus bestätigt diese Auszeichnung unsere tägliche Arbeit innovative und sichere Lösungen im Bereich UAS und USSP zu entwickeln. Als erstes Unternehmen wurde das Managementsystem von b.r.m. IT & Aerospace für den Bereich U-Space Service Provider (USSP) zertifiziert.
EcoStep – Mehr als nur ein Zertifikat
Mit dem EcoStep Zertifikat wurden wir für ein Managementsystem ausgezeichnet, das international anerkannte ISO-Normen im Bereich Qualitätsmanagement, Umweltmanagement sowie Arbeits- und Gesundheitsschutz überprüft. Dafür wurde ein Audit durch die GUT Zertifizierungsgesellschaft für Managementsysteme mbH durchgeführt. Mit dieser Auszeichnung beweisen wir, dass der Einsatz innovativer Technologien und Verantwortung und Nachhaltigkeit miteinander vereinbar sind und sich nicht ausschließen.
Chancen von UAS mit b.r.m. IT & Aerospace nutzen
Die Chancen der unbemannten Luftfahrt sind enorm. Kontaktieren Sie uns gerne, um mehr über die Möglichkeiten von UAS, USSP und „Advanced Air Mobility“ zu erfahren. Als zertifiziertes Luftfahrtunternehmen beraten und unterstützen Sie unsere Experten rund um unsere Geschäftsführer Herrn Harald Rossol sowie Herrn Markus Rossol bei Ihrem Sachverhalt. Sie erreichen uns per Telefon unter +49 421 34 14 94 und per Mail an brm@brm.de.
Die Einhaltung der DSGVO und GDPR sind im Zeitalter des Internets wichtiger denn je. Sie sind die Grundregeln des Datenschutzes und der Datensicherheit. Sie bilden auch die Basis eines transparenten Umgangs, der den Datenmissbrauch einschränken soll.
Was ist die DSGVO?
Die Datenschutzgrundverordnung (DSGVO) stammt von der Europäischen Union und liefert Regeln zur Verarbeitung personenbezogener Daten. Die Verordnung ist anzuwenden, wenn bei der Verarbeitung Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Diese gelten im sowohl im privaten als auch im öffentlichen Bereich EU-weit. Somit muss sich jedes Unternehmen, welches personenbezogene Daten verarbeitet, an die DSGVO halten. Das gilt ebenso für natürliche und juristische Personen, sowie für Unternehmen, die im Auftrag eines Dritten arbeiten.
Für was steht GDPR?
Die Allgemeine Datenschutz-Verordnung (General Data Protection Regulation GDPR) bildet den neuen rechtlichen Rahmen der Europäischen Union. Die Verordnung legt genau fest, wie personenbezogene Daten gesammelt und verarbeitet werden dürfen.
Diese Regelungen gelten seit Mai 2018 für alle Organisationen mit einem Sitz in der EU, die personenbezogene Daten verarbeiten. Sie gilt außerdem für alle Organisationen weltweit, die Daten von EU-Bürgern verarbeiten.
DSGVO und GDPR bei b.r.m.
Der Bremer IT-Dienstleister b.r.m. ist für sein DSGVO konformes Rechenzentrum bekannt. Darüber hinaus hat b.r.m. ihre Sicherheit durch mehrere Parameter gestärkt. Von den Technischen und Organisatorischen Maßnahmen (TOM) über Sicherheitsanalysen bis hin zur Risikobewertung ist business ressource management bestens aufgestellt.
Des Weiteren sind Harald Rossol und Thorsten Brendel von b.r.m. als betriebliche Datenschutzbeauftrage engagiert. Sie sind die Experten in Sachen Datenschutz und stehen Ihnen bei Fragen sehr gerne zur Verfügung.
Moderne IT-Dienstleistungen sind in einer digitaler werdenden Welt gefragter denn je, ganz genauso wie eine Anspruchshaltung an solide IT-Security. Neben einer qualitativen und zügigen Bearbeitung anstehender Aufgaben durch effektive Dienstleister, ist der Bereich der Sicherheit von Daten und Netzwerken, kurzum IT-Security, ein noch oft unterschätzter Teilbereich.
Wie durch unseren kompetenten Partner Sonicwall im neusten Jahresbericht festgestellt, nehmen die Cyber-Angriffe durch Ransomware und Encrypted Threats deutlich zu. Gerade die Angriffe durch Ransomware sind um 105% zum Vorjahr angestiegen und sogar um 232% gegenüber dem Vergleich zum Jahr 2019.
Neben unseren Ressourcen im Datenschutz durch Harald Rossol und Thorsten Brendel, verfügen wir auch über umfassende Expertise im Bereich IT-Security und auch DSGVO. Gemeinsam mit unseren Partnern haben wir die Konzepte, um auch ihre Sicherheit auf dem aktuellen Stand zu halten.
Ransomware – Geld oder Rechner?
Die Methode, durch eine Blockade des Rechners ein ‚Lösegeld‘ (engl.: ‚ransom‘) zu erpressen, hat in den letzten Jahren erheblich zugenommen. Der Nutzer eines Rechners sieht auf dem Monitor dann nur noch die ‚Lösegeldforderung‘ der Angreifer. Das besonders Perfide daran: Geht das Opfer auf die Forderung ein, bleibt sein Rechner in der Regel trotzdem blockiert. Man kann sich also nur höchst selten ‚freikaufen‘.
‚Ransomware‘ befällt längst nicht mehr nur ein einziges Betriebssystem. Ob Linux, Mac-OS oder Windows, alle Nutzer sind von dieser digitalen Form des Straßenraubs betroffen. Längst auch geistern im DarkNet viele Bauanleitungen für Ransomware herum, die sogenannten ‚CrimeWare-Kits‘. Eine ‚Ransomware‘ verschlüsselt dann zumeist nicht den gesamten Rechner, sondern vor allem jene Daten, die dem Nutzer wichtig sind, also bspw. den Ordner ‚Eigene Dokumente‘ unter Windows.
Der Schutz gegen Ransomware gleicht dem gegen andere Viren oder Trojaner. Ein Nutzer erhält bspw. eine Mail mit dem Anhang einer unbezahlten Rechnung, mit einer Strafandrohung des Bundeskriminalamtes, oder mit angeblichen Nutzungsverstößen der GEMA. Wer einen solchen Anhang öffnet, hat dann den Erpressern den ‚Hausschlüssel‘ selbst in die Hand gedrückt.
Man sollte daher NIEMALS einen Mail-Anhang öffnen, der nicht aus einer absolut vertrauenswürdigen Quelle stammt. GEMA wie BKA nutzen übrigens noch immer die gute alte Briefpost. Ferner ist es wichtig, alle relevanten Daten regelmäßig auf externen Datenträgern zu sichern, weil sie so für die Erpresser unerreichbar bleiben. Browser können durch installierte Anwendungen wie ‚NoScript‘ vor der Ausführung von Java-Befehlen geschützt werden, auch Werbeblocker bieten einen erhöhten Schutz.
Firewall: Mauern überwinden
Einen ‚Port‘ – zumindest aber ein Bullauge – muss ein Programm immer dann öffnen, wenn seine erzeugten Inhalte auch auf anderen Monitoren weltweit sichtbar sein sollen. Wie beispielsweise im Fall einer Homepage. Dort, wo etwas aus einem solchen ‚Port‘ oder ‚Hafen‘ in die virtuelle Welt auslaufen kann, dort kann natürlich auch etwas einlaufen. Daher wurden, um einen Rechner vor unerwünschten Zugriffen aus dem Netz heraus zu schützen, die ‚Firewalls‘ oder ‚Brandschutzmauern‘ geschaffen. Diese Sicherheitsprogramme sorgen dafür, dass nach festgelegten Regeln nur erwünschte Gäste in den heimatlichen Hafen gelangen. In der Regel muss jeder Zugriff zwei solcher Schutzmauern überwinden: die erste beim Provider, die zweite dann beim Client auf dem Netzwerkrechner.
Privacy by Design – IT-Security als ganzheitliches Konzept
Die beiden Begriffe ‚Privacy by Design‘ und ‚Privacy by Default‘ sind älter als die neue Datenschutz-Grundverordnung (DSGVO). Durch das Gesetz haben sie allerdings ein ganz neues Gewicht erhalten (Art. 25 DSGVO).
‚Privacy by Design‘ meint, dass der technische Aufbau eines datenverarbeitenden Systems so gestaltet sein muss, dass der Datenschutz schon automatisch in das System integriert ist. Anders ausgedrückt: Der Datenschutz und auch die IT-Security muss eine Systemeigenschaft sein. Dies geschieht durch die ‚Technischen und Organisatorischen Maßnahmen‘ (TOM) bei der Installation der Rechner und bei der Implementierung ihrer Programme. Hier ist der Hersteller am Zug.
‚So schnell wie möglich‘, ‚Transparenz herstellen‘, ‚minimieren‘, ‚in die Lage versetzen‘ – alles Formulierungen, die bisher kaum mehr als einen weiten Interpretationsspielraum schaffen. Kurzum: Die Regel des ‚Privacy by Design‘ erlaubt keine standardisierte Antwort, sie ist abhängig von den jeweiligen Anforderungen im Datenschutz. Klar ist aber, dass schon beim Aufbau eines datenverarbeitenden Systems und bei der Auswahl und Implementierung der eingesetzten Technik und Software mögliche Anforderungen der DSGVO zu berücksichtigen sind.
Für die Interessierten Leser finden Sie den kompletten Cyber Thread Report 2022 unseres Partners Sonicwall hier.
In unserer Serie „IT-Rückblick 2021“ beschäftigen wir uns mit den interessantesten und gefährlichsten IT-Sicherheitslücken des letzten Jahres, heute: Zero-Day und Hafnium. 2021 war kein gutes Jahr für die IT-Sicherheit und zeigt einmal mehr, dass man IT-Security als stetigen Prozess sehen muss. Die Verteidigung gegen Angreifer muss durchgehend aufgefrischt werden, sonst verrottet Sie wie eine alte unbemannte Burgmauer.
Der Alptraum schlechthin: Zero-Day und IT-Sicherheit
Gegen bekannte Sicherheitslücken gehen die Hersteller einer Software meist sehr schnell vor oder haben das Problem bereits erkannt. Ein entsprechender Patch schließt die Sicherheitslücke und das Programm kann zunächst weiter eingesetzt werden. Gerade aus diesem Grund ist es wichtig, moderne IT-Systeme auf dem neuesten Stand zu haben und zu halten. Kontinuierliche Verbesserung ist hier der Schlüssel für einen stabilen und sicheren Betrieb der IT-Systeme.
Ein massives Problem entsteht aber gerade durch einen sogenannten „Zero-Day“. Der englische Begriff geht dabei darauf ein, dass die hier ausgenutzte Sicherheitslücke seit null Tagen (zero days) bekannt ist, zumindest dem Hersteller und der Öffentlichkeit. Daher gibt es keinen Patch oder eine Übergangslösung, um diese Lücke zu schließen. Sie war schlicht nicht bekannt. Der weltweit aufsehenerregendste Fall eines Zero-Day-Exploits ist sicherlich Stuxnet. Hier wurden gleich mehrere Zero-Day Schwachstellen genutzt, um Produktionsanlagen zu stören und unerwartete Befehle auszuführen.
Zero Day und Hafnium, was geschah?
Anfang März wurden insgesamt 4 relevante Sicherheitsmängel, also “Zero-Days” bei Microsoft Exchange Servern festgestellt. Diese wurden mutmaßlich von der Hackergruppe Hafnium genutzt um systematisch tausende von Exchange Servern zu scannen und zu infiltrieren. Da es nach Recherchen darum ging, eine „Backdoor“ (Hintertür) in die Systeme einzubauen kann nicht abschließend geklärt werden, wie stark sich diese Sicherheitslücke in Zukunft noch auswirken wird.
Microsoft reagierte nach einigen Einschätzungen zwar langsamer als gewünscht, aber die ausgenutzten Sicherheitslücken sind geschlossen worden. Durch mehrere Sicherheitspatches wurde sichergestellt, dass der Zero-Day-Exploit nun nicht mehr nutzbar ist.
Richtige IT-Sicherheit heißt Kontinuität
Richtige, also zuverlässige IT-Sicherheit, ist ein Wunsch und Versprechen aller mit IT-Systemen betrauter Personen. Neben der zum Standard gehörenden Technik, wie einer Firewall, sind aber auch konzeptionell einige Punkte zu beachten. Das magische Dreieck aus Kosten, Zeit und Qualität gilt natürlich auch für diesen Bereich professionellen Handelns. So ist gerade in Hinblick auf den Zeitfaktor sofort ersichtlich, dass es keinen absoluten Zustand der Sicherheit in einem dynamischen System geben kann. Bei einem Zero-Day-Exploit ist die Zeitkomponente derart verzerrt, dass eine korrekte (qualitative) Bekämpfung sofort hohe Ressourcenverbräuche generiert. Eine gute IT-Sicherheitspolitik setzt daher auf kontinuierliche Verbesserung und Anpassung an ein dynamisches Bedrohungsumfeld. Systeme dürfen nicht unbetreut betrieben werden. Erst in Aktion zu treten, wenn etwas nicht mehr funktioniert führt unweigerlich zur Katastrophe. Effektives und effizientes Handeln zeichnet sich durch Kontinuität aus. Lesen Sie hierzu auch die Stellungnahme von Dirk Arendt von Trend Micro.
In Deutschland regeln der § 11 des Bundesdatenschutzgesetzes und der § 80 im Zehnten Buch des Sozialgesetzes die ‚Datenverarbeitung im Auftrag‘ bzw. die ‚Auftragsdatenverarbeitung (ADV)‘. Sie geben den Rahmen vor für das ‚Outsourcing‘ von Datenverarbeitungsaufträgen an externe Dritte. Seit dem Jahr 2009 verweist das das Bundesdatenschutzgesetz auf eine Zehn-Punkte-Regel, die unter anderem Fragen der Löschung, der Meldepflicht und der Kontrollrechte gerichtsfest klärt.
Jeder Auftraggeber hat sich – abhängig von der Art der erhobenen Daten – zunächst davon zu überzeugen, dass der Auftragnehmer für die Aufgabe überhaupt zertifiziert ist, und dass er darüber hinaus ein Sicherheitskonzept eingeführt hat, und dieses umsetzt. Diese Auskunft erfolgt in der Regel schriftlich. Erst nach dieser Bestätigung darf der Auftraggeber personenbezogene Daten übermitteln.
Haftungsrechtlich steht bei Verstößen nicht primär der Dienstleister in der Verantwortung, sondern unverändert der Auftraggeber.
Im Juni 2003 tauchte der Begriff der ‚Binding Corporate Rules‘ (BCR) erstmals in der EU-Datenschutzgruppe auf. Die Überlegungen richteten sich darauf, ein flexibles Instrument für den Datentransfer zu schaffen, welches zugleich die Vorgaben des Datenschutzgesetzes erfüllen sollte. Das Resultat war ein Verfahren, dass es Unternehmen gestattet, den Datenschutz beim Transfer in Drittstaaten individuell zu gestalten, sofern die angewandten ‚Binding Corporate Rules‘ einige Mindeststandards erfüllen.
Hierzu zählten u.a.:
1. Aufbau und Umsetzung eines Sicherheitskonzeptes 2. Datenschutzschulung von Mitarbeitern 3. Verpflichtende Teilnahme an einem Audit-Programm 4. Leistung von Schadenersatz bei Verstößen 5. Geregeltes Beschwerdeverfahren 6. Zusicherung von Transparenz 7. Festlegung des Geltungsbereichs.
Der Vorteil der Einführung von ‚Corporate Binding Rules‘ schien die Möglichkeit einer individuellen Ausgestaltung der Datenübermittlung in ‚unsichere Drittstaaten‘. Der Nachteil war vor allem der hohe Organisationsaufwand und das langwierige Prüfungsverfahren. Da aber der Datenschutz in der Folge selbst in den ‚sicheren Drittstaaten‘ nicht gewährleistet wurde (s. bspw. Facebook-Skandal und Cambridge Analytica), ersetzt jetzt eine europäische Datenschutzgrundverordnung (DSGVO) die BCR. Die neue Verordnung sieht ungeahnt hohe Strafen für Unternehmen vor, welche den Datenschutz nicht verantwortlich handhaben.
Ein altgewohntes Bild: Am Ende eines Kundengesprächs tauschen die Partner ihre Visitenkarten aus. Beide pflegen später die darauf enthaltenen Daten auch in ihre jeweilige Kundendatenbank ein, Schon aber hätten sie beide gleich mehrfach gegen die neue Datenschutzgrundverordnung (DSGVO) verstoßen. Jedenfalls dann, wenn man den Wortlaut des Gesetzes mal beim Wort nimmt. Denn die DSGVO soll vor allem ‚mehr Datentransparenz‘ schaffen. Jeder Partner müsste also unverzüglich darüber informiert werden, welche personenbezogenen Visitenkarten-Daten auf welche Weise verarbeitet werden, und welche Widerspruchsrechte dieser Person im Zuge der Datenverarbeitung zustehen.
Wie diese Informationspflichten zu erfüllen sind, das beschreiben insbesondere die Art. 13 und 14 der DSGVO. Dort steht auch, dass diese Belehrung unverzüglich zu erfolgen habe. Überreichen sich also zwei Personen ihre Visitenkarten, beispielsweise auf einer Messe, dann müssten sich beide gemäß Art. 13 DSGVO über den wechselseitigen Umgang mit den Daten informieren. Dazu genügt dann aber keinesfalls ein kurzer Satz, sondern die erforderliche datenschutzrechtliche Belehrung fände selbst auf einer DIN-A4-Seite kaum genügend Platz. In der Realität gliche die Beachtung der DSGVO daher eher einer Slapstick-Nummer, wo beide Gesprächspartner einander seitenlang ‚zutexten‘. Fern der Realität wäre es auch, bei der Übergabe von Visitenkarten dem anderen ein Papier mit Datenschutz-Hinweisen in die Hand zu drücken. Verbunden mit der Bitte, diese Kenntnisnahme schriftlich zu bestätigen. Zumal sich hierbei ein Problem bezüglich der späteren Nachweisbarkeit ergeben würde.
Die Politik eiert angesichts der Undurchführbarkeiten der DSGVO nicht nur in diesem Punkt bereits kräftig herum. Ein Sprecher der Berliner Aufsichtsbehörde sagte, dass die bloße „Entgegennahme der Visitenkarte für sich genommen noch keine Informationspflicht auslöse“. Diese ‚Informationspflicht‘ würde sich nur in den Fällen ergeben, in denen die darauf enthaltenen Daten gespeichert werden. Das käme zwar einer Erleichterung gleich, es widerspräche aber immer noch der Absicht, weshalb Visitenkarten überhaupt ausgetauscht werden. Unternehmen hinterlegen die Daten aus übergebenen Visitenkarten in ihrem Kundendatenverwaltungs-Programm, damit sie in Geschäftsinteresse beider Seiten das eigene Partnernetzwerk ausbauen können. Ganz abgesehen davon, nennt die Aufsichtsbehörde auch nicht die rechtliche Grundlage, wie sie zu ihrer aparten Ansicht gelangte. Denn die Aussage des oben genannten Mitarbeiters steht im Widerspruch zum Wortlaut der Verordnung. Mit anderen Worten: Die DSGVO steht in vielen Punkten noch im Konflikt mit der Realität.
Die Bitkom-Geschäftsleiterin Dehmel empfiehlt, jeder Person, welche eine Visitenkarte überreicht hat, zeitnah im Nachgang über die Pflichtangaben nach Art. 13 DSGVO aufzuklären, um ihr so nachträglich eine Möglichkeit zu bieten, der Datenverarbeitung zu widersprechen. Eine solche Lösung widerstritte zwar immer noch dem direkten Wortlaut des Gesetzes, immerhin aber scheint sie bereits ‚praktikabler‘. Woran es der DSGVO aber vor allem mangelt, das sind konkrete und rechtssichere Stellungnahmen und Hilfestellungen der Aufsichtsbehörden. Die DSGVO bedarf dringend praxisnaher ‚Ausführungsbestimmungen‘.
Der Grund für die Rechtsverletzung liegt vor allem an dem technischen Verfahren, welches die Facebook-Tochter WhatsApp Inc. in Kalifornien verwendet. Ein Nutzer registriert sich dort mit seiner Mobilfunknummer, der Messenger-Dienst liest daraufhin unbemerkt das Adressbuch der Nutzer auf deren Smartphones aus. Vorgeblich, um so andere WhatsApp-Nutzer ausfindig zu machen. Dieser Abgleich wird in Intervallen regelmäßig wiederholt.
Bei aller Daten-Sammelwut versucht das Unternehmen sich selbst einen ‚schlanken Fuß‘ zu machen: Allein die Nutzer seien für die Rechtmäßigkeit der Datenübertragung verantwortlich. Im Falle eines Falles würden damit dann auch die Strafbestimmungen der DSGVO allein die Anwender treffen. Ausweislich seiner ‚Datenschutzrichtlinie‘ nutzt WhatsApp die gewonnenen Daten auch zu eigenen Zwecken: Das Unternehmen behält sich eine umfassende Verwendung der gesammelten Informationen vor, zum Beispiel für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen.
Das Fazit der deutschen Datenschützer: „Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmäßig unzulässig.“ Erschwerend kommt hinzu, dass mögliche Sanktionen gemäß DSGVO allein jenes Unternehmen träfen, das den Einsatz von WhatsApp in seinem Zuständigkeitsbereich erlaubt hat.
Der Ratschlag an Unternehmen und Organisationen kann daher nur lauten: Verbieten Sie den Einsatz von WhatsApp auf allen betrieblichen Ebenen.
Verglichen mit dem Bundesdatenschutzgesetz (BDSG) bringt die DSGVO In Bezug auf ‚Betroffenenrechte‘ wenig Neues – mit Ausnahme des Rechtes auf Datenübertragbarkeit. Allerdings konkretisiert sie die wolkigen Vorgaben des BDSG oft erheblich. Die neuen Betroffenenrechte im Einzelnen:
1. Die Informationspflicht (Art. 13 u. 14 DSGVO): Sie gibt es prinzipiell bereits im BDSG. Es reicht aber nun nicht mehr aus, nur die Identität einer datenerhebenden Stelle zu nennen. Künftig ist auch die Angabe von Kontaktdaten sowohl für den Verarbeiter wie auch für den zuständigen Datenschutzbeauftragten Pflicht. Zu nennen ist ferner die Rechtsgrundlage, auf deren Basis eine Datenerhebung erfolgt, sowie die vorgesehene Dauer der Speicherung. Die größte Neuerung besteht wohl darin, dass über jede Datenübermittlung an einen Drittstaat oder an eine internationale Organisation unverlangt Auskunft gegeben werden muss. Auch der Widerruf einer Einwilligung muss jederzeit möglich sein.
2. Das Auskunftsrecht (Art. 15 DSGVO):Jeder Datengeber hat das Recht zu erfahren, ob seine personenbezogenen Daten verarbeitet werden, und an wen sie weitergeleitet werden. Das entspricht in etwa dem § 34 BDSG. Die DSGVO erweitert allerdings das Auskunftsgebiet. Grundsätzlich sind die Dauer der Speicherung, der Verwendungszweck und die Herkunft der Daten zu nennen. Demjenigen, dessen Daten erfasst wurden, steht das Recht auf Berichtigung, Löschung und Beschwerde zu. Jede Auskunft muss unentgeltlich erfolgen (Art. 12 Abs. 5 DSGVO).
3. Das ‚Recht auf Vergessenwerden‘ (Art. 17 Abs. 2 DSGVO): Personen, deren Daten erhoben wurden, können eine Löschung ihrer Daten verlangen, sofern nicht gesetzliche Aufbewahrungsfristen bestehen (z.B. im Strafregister). Unklar ist hier bisher, ob Datenerfasser auch eine Löschung bei jenen Folge-Institutionen durchsetzen müssen, an welche Daten weitergeleitet wurden – oder ob dort nur eine Informationspflicht über das gestellte Verlangen besteht.
4. Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Hierbei handelt es sich um eine Vorschrift, die das BDSG bisher nicht kannte. In einem ‚strukturierten, gängigen und maschinenlesbaren Format‘ müssen Datenerheber ihre gesammelten Daten auf Verlangen dem Betroffenen zur Verfügung stellen. Dieser Paragraph zielt vor allem auf die ‚sozialen Netzwerke‘. Wer bspw. von Facebook zu einem anderen Anbieter wechseln will, muss seinen gesammelten ‚Datenschatz‘ (Fotos, Texte usw.) in einer lesbaren Form erhalten, die mit den technischen Gegebenheiten auf der neuen Plattform kompatibel ist. Die beliebte Ausrede ‚technischer Hürden‘ gilt damit nicht mehr. Wie sich dies in der Praxis darstellt, ist noch unklar.
5. Das Widerspruchsrecht (Art. 21 DSGVO): Jede Person, die ihre Daten zur Verfügung stellt, muss gegen jede Form der Weiterverarbeitung, zum Beispiel zu werblichen Zwecken, Widerspruch einlegen können. Diese Regelung findet sich aber auch bereits im BDSG (§ 28, Abs. 4).
