Allgemein

Datenschutz — lästig, teuer und unproduktiv?

Logo Landkreis Nürnberger LandDaten­schutz — läs­tig, teuer und unproduktiv?

So wird das Thema von vie­len Unter­neh­men emp­fun­den, wes­halb es viel­fach stief­müt­ter­lich behan­delt wird. Aus­sit­zen bringt aller­dings nichts. Ver­mehrte Stich­pro­ben der Auf­sichts­be­hör­den tref­fen Unter­neh­men oft­mals unvorbereitet.

Pra­xis­be­zo­gene Tipps und Lösungs­an­sätze für Ihren Unter­neh­mens­all­tag erhal­ten Sie von den Refe­ren­tin und den Refe­ren­ten der Unter­neh­mer­ver­an­stal­tung der Wirt­schafts­för­de­rung Land­rats­amt Nürn­ber­ger Land

Prag­ma­ti­scher Daten­schutz im Unternehmensalltag

Diese fin­det statt am Diens­tag 11. Novem­ber 2014 um 16:00 Uhr im TAW Wei­ter­bil­dungs­zen­trum Alt­dorf, Fritz-Bauer-Str. 13, 90518 Altdorf.

Agenda

  • 16:00 Uhr Begrü­ßung durch Land­rat Armin Kro­der und Clau­diu Buga­riu, IHK Nürn­berg für Mittelfranken
  • 16:05 Uhr Daten­schutz prag­ma­tisch umge­setzt — ein Mehr­wert für Unter­neh­men, Robert Lach­mann, ABC UNIX RENT GmbH
  • 16:15 Uhr Es kann jeden tref­fen — Prüf­pra­xis der Aufsichtsbehörde,Alexander Filip, Refe­rent Baye­ri­sches Lan­des­amt für Datenschutzaufsicht
  • 16:45 Uhr Daten­schutz und Mar­ke­ting — Geg­ner oder Part­ner? Sascha Kuhrau, a.s.k. Daten­schutz
  • 17:15 Uhr Kaffeepause
  • 17:45 Uhr Out­sour­cing — daten­schutz­recht­lich mög­lich? Gerd Schmidt, Vor­sit­zen­der des Arbeitskreises/IHK-Anwenderclubs „Daten­schutz und Infor­ma­ti­ons­si­cher­heit“ und Geschäfts­füh­rer der infosi GmbH & Co. KG
  • 18:15 Uhr ISA + — Neue Infor­ma­ti­ons­si­cher­heits­ana­lyse für kleine und mitt­lere Unternehmen,Sandra Wies­beck, Baye­ri­scher IT-Sicherheitscluster e.V.
  • 18:45 Uhr Aus­klang, Gesprä­che und Net­wor­king mit klei­nem Imbiss

Wei­tere Details und das Anmel­de­for­mu­lar fin­den Sie in die­sem PDF Daten­schutz im Unter­neh­mens­all­tag.

Weiterlesen »

Wozu Big Brother Container? Waschanlage reicht!

Per­so­nal, aber auch Kun­den stan­den im Fokus einer aus­ge­dehn­ten Video­ü­be­wa­chung der Esse­ner Auto­wasch­kette Mr. Wash. In 8 von 33 Filia­len wur­den 60 Kame­ras nicht rechts­kon­form betrie­ben. Das war dem NRW-Landesbeauftragten für Daten­schutz ein Buß­geld in Höhe von 64.000 Euro wert, mel­det WAZ. Dabei kam der Kette zu Gute, sich bei den Ermitt­lun­gen im Ver­fah­ren “koope­ra­tiv” ver­hal­ten zu haben.

Inter­es­sant ist die Auf­tei­lung des Buß­gel­des. 54.000 Euro wur­den wegen des schwe­ren Ver­sto­ßes gegen das Bun­des­da­ten­schutz­ge­setz durch die Video­über­wa­chung ver­hängt. Die rest­li­chen 10.000 Euro wur­den dafür fäl­lig, bis­her kei­nen Daten­schutz­be­auf­trag­ten bestellt zu haben, obwohl die gesetz­li­che Bestell­pflicht vor­lag.

In unse­rem Daten­schutz Blog fin­den Sie einen Bei­trag zur umsich­ti­gen und rechts­kon­for­men Umset­zung einer Video­über­wa­chung.

Pla­nen Sie die Instal­la­tion einer Video­über­wa­chungs­an­lage? Haben Sie bereits eine sol­che Lösung im Ein­satz und sind sich über die Rechts­kon­for­mi­tät im Unkla­ren? Dann fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Weiterlesen »

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Datenpanne (c) Sascha KuhrauSchon jedem Mal passiert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­tige Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler-Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der seine Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­name und Email-Adresse. Übli­cher­weise macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Ihr ist das auch passiert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hatte weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, nette Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (halbe DIN A4 Seite) über neun (9) Sei­ten Email-Adressen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wurde an die zustän­dige baye­ri­sche Lan­des­da­ten­schutz­be­hörde weitergeleitet.

Fotolia_37944046_XS_roundedDer ewi­ger Mahner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayLDA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adresse sind per­so­nen­be­zo­gene Daten im Sinne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Betrof­fene (also der eigent­li­che Email-Inhaber) expli­zit in die Über­mitt­lung an Dritte schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­lage vor­liegt. Bei­des ist im Falle einer sol­chen Panne sicher nicht der Fall.

Die Ver­wen­dung des offe­nen Email-Verteilers (also das Ein­tra­gen der Emp­fän­ger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Menge der betrof­fe­nen Email-Adressen sah das BayLDA von einem rei­nen Ver­weis auf die recht­li­che Unzu­läs­sig­keit ab. Statt­des­sen wurde ein Buß­geld ver­hängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Wer zahlt?

In die­sem kon­kre­ten Fall wurde das Buß­geld gegen die Mit­ar­bei­te­rin ver­hängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt.

Das BayLDA teilt jedoch mit, daß es in einem ähn­li­chen Fall in Kürze zu einem Buß­geld gegen ein ande­res Unter­neh­men kom­men wird. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das Thema sen­si­bi­li­siert wur­den, hat nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Verteiler geradezustehen.

Auf­klä­rung ist Pflicht

Um sol­che Vor­fälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­siko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regel­mä­ßig für die­ses Thema sen­si­bi­li­sie­ren. Gerne kön­nen Sie hier­für die­sen Blog­bei­trag einsetzen.

Was ist zu beachten?

Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adre­ßie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den glei­chen recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen aus­lö­sen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Hier fin­den Sie den gan­zen Bei­trag des BayLDA vom 28.06.2013.

Weiterlesen »

Neues Paypal Phishing dank SEPA

Es ist erneut eine gut gemachte Phis­hing Email im Umlauf. Die­ses mal trifft es den Anbie­ter Pay­Pal. Als Zug­pferd wird das SEPA Ver­fah­ren her­an­ge­zo­gen. Man möge doch so nett sein, sich über den Link hin­ter dem But­ton “Jetzt auf SEPA umstel­len” ein­zu­log­gen und seine Bank­da­ten zu veri­fi­zie­ren. Man darf sicher sein, zumin­dest die Zugangs­da­ten zu Pay­pal wer­den danach nicht mehr sicher sein. Der Link führt näm­lich mit­nich­ten zu Pay­pal, son­dern über einen URL Shor­te­ner Dienst ganz woan­ders hin. Pro­bie­ren Sie es bes­ser nicht aus! Es reicht, wenn Sie sich den hin­ter­leg­ten Link anzei­gen las­sen, in dem Sie mit der Maus über den fah­ren. Der Link wird dann angezeigt.

Gut, wer in Pay­Pal zusätz­li­che Sicher­heits­fea­tures akti­viert hat, wie den SMS Login (Pay­pal Sicher­heits­schlüs­sel). Nach dem Login wird eine SMS an die regis­trierte Mobil­te­le­fon­num­mer ver­sandt. Erst nach der Ein­gabe des Codes aus die­ser SMS erfolgt der Zugriff auf das Pay­pal Konto.

Soll­ten Sie eine Email erhal­ten, die aus­sieht, wie folgt — ein­fach löschen. :-)

Paypal Phishing Email
Pay­pal gibt auf der Unter­neh­mens­web­seite wei­tere Tipps, wie der Nut­zer Phi­sing Mails erken­nen und sich davor schüt­zen kann.

Weiterlesen »

Erneut Handlungsbedarf HPI stellt Datenbank zu Identitätsklau online

Neuer Online Check nicht iden­tisch mit BSI

Bereits zwei Mal die­ses Jahr stellte das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik ein Online Prüf-Tool zur Ver­fü­gung. Mit­tels die­ses Tools konn­ten Nut­zer tes­ten, inwie­weit ihre Email-Adresse(n) in Ver­bin­dung mit Web­log­ins bereits aktiv miß­braucht wurde(n). Mil­lio­nen Anwen­der haben die­ses Tool bis­her genutzt.

Eine etwas andere Daten­ba­sis bie­tet nun das HPI der Uni­ver­si­tät Pots­dam. Deren Tool prüft ein­schlä­gige Foren und Boards, ob dort Email-Adresse und / oder wei­tere per­so­nen­be­zo­gene Anga­ben inklu­sive Pass­wort öffent­lich zum Miß­brauch zur Ver­fü­gung gestellt wer­den. Zur Zeit umfasst die Daten­bank 171 Mil­lio­nen Einträge.

Nach Ein­gabe einer Email-Adresse erhält der Nut­zer zeit­nah eine Email mit genauer Angabe der kom­pro­mit­tier­ten Daten. Wenn kein Ein­trag gefun­den wurde, wird keine Email ver­sandt. Das bedeu­tet jedoch nicht, dass diese Daten nicht ander­wei­tig bekannt sind und miß­braucht werden.

Top 10 der unsi­che­ren Passwörter

Obwohl die Tat­sa­che hin­läng­lich bekannt ist, wie ein eini­ger­ma­ßen siche­res Pass­wort aus­se­hen sollte, fin­den sich in der Top 10 der Sta­tis­tik alte Bekannte wie “123456”, “pass­word” und “qwertz” wie­der. Details über unsi­chere Pass­wör­ter und Hil­fe­stel­lun­gen zu merk­ba­ren siche­ren Pass­wör­tern fin­den Sie hier im a.s.k. Datenschutz-Blog

Zum Online Check des HPI: https://sec.hpi.uni-potsdam.de/leak-checker/search

Es lohnt sich, nicht nur alle pri­va­ten Email Adres­sen zu prü­fen, son­dern auch die geschäft­li­chen Daten einzubeziehen.

Weiterlesen »

Datenschutz ist bezahlbar

Trans­pa­rente, nach­voll­zieh­bare Kos­ten statt der sprich­wört­li­chen “Katze im Sack” — selbst­ver­ständ­lich mit a.s.k. Datenschutz.

Aus der Praxis für die Praxis



Pra­xis­taug­li­che und recht­lich belast­bare Lösun­gen statt sei­ten­lan­ger Rechts­ab­hand­lun­gen — Ihr Tages­ge­schäft steht im Vordergrund.