Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

By | 4. November 2016

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

„[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.“

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

„Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit Weiterlesen

Privacy Shield für ein Jahr toleriert – Europäische Datenschutzbehörden unzufrieden

By | 28. Juli 2016

Zumindest für den Zeitraum eines Jahres kann das oft kritisierte Privacy Shield als Nachfolger von Safe Harbor fungieren. Nach Aussagen der sogenannten Artikel-29-Gruppe sei das neue Abkommen nach wie vor nicht geeignet, grundsätzliche Kritik auszuräumen. Dabei wurden die nach wie vor zulässigen Geheimdienstzugriffe auf Daten von EU Bürgern sowie die mangelnden Durchsetzungsmöglichkeiten der Schutzrechte der Betroffenen bemängelt.

Dennoch könne Privacy Shield vorerst als Zulässigkeitstatbestand für den Transfer personenbezogener Daten in die USA eingesetzt werden. Nach 12 Monaten Evaluierungsphase soll das Abkommen neu bewertet werden. Bis dahin sicherten die europäischen Datenschutzbehörden aktive Unterstützung bei der Geltendmachung der Rechte Betroffener in den USA zu.

EU US Privacy Shield tritt in Kraft – alles wird gut?

By | 13. Juli 2016

EU US Privacy Shield ist da

Nachdem die europäische Kommission erwartungsgemäß das recht umstrittene Privacy Shield als Nachfolger von Safe Harbor durchgewunken hat, tritt diese Regelung zum 01. August 2016 in Kraft. Nach Wegfall der Safe Harbor Regelung aufgrund eines Urteils des EUGH im Herbst 2015 – wir berichteten – soll Privacy Shield eine belastbare Grundlage für die Zulässigkeit des Austauschs personenbezogener Daten zwischen Europa und den USA bilden. Durch das Urteil des EUGH blieben hierfür ja lediglich die EU Standardvertragsklauseln oder Verfahrensweisen im Rahmen der sogenannten „binding corporate rules“ (BCR). Nachdem einige Unternehmen eine rechtzeitige Umstellung nach Wegfall von Safe Harbor auf die Standardvertragsklauseln versäumt haben, wurde zum Beispiel der Datenschutzbeauftragte Hamburgs, Prof. Dr. Johannes Caspar bereits aktiv und ging dagegen aktiv vor.

Und jetzt wird alles gut?

Es verwundert wenig, dass die beteiligten EU Kommissare den Stellenwert und Wirkungsgrad des von ihnen umgesetzten Privacy Shields loben. Nach ihrer Sicht seien erhebliche Zugeständnisse zum Schutz personenbezogener Daten in den USA von EU Bürgern geleistet worden. Dass diese lediglich in kurzer Briefform und ohne belastbare rechtliche Untermauerung in Form von neuen oder angepassten Gesetzen in den USA erbracht wurden, stellt das Privacy Shield auf kein solides Fundament.

Die hierdurch … Weiterlesen

Datenpanne bei HIPP – Name, Anschrift und Passwörter betroffen

By | 10. Juni 2016

Das Bonusprogramm „Mein BabyClub“ des bekannten Babynahrungherstellers HIPP wurde online angegriffen und erfolgreich gehackt. Der Anbieter informiert derzeit die Teilnehmer über den Sachverhalt, gibt jedoch keine weiteren Details bekannt. Laut den von HIPP versandten Emails an Nutzer des Programms wurden Anfang Mai Unregelmäßigkeiten im Serverbetrieb festgestellt. Diese würden auf einen erfolgreichen Hack hindeuten, durch den Namen, Anschriften, Geburtsdaten, aber auch Passwörter von den Systemen des Anbieters abgezogen wurden. Die zuständige Landesdatenschutzbehörde sei informiert.

Auflagen durch das IT-Sicherheitsgesetz

Unabhängig von der Ursache für diesen Hack sind Webseitenbetreiber verpflichtet, notwendige Schutzmaßnahmen zu ergreifen, um Daten vor unberechtigten Zugriffen zu schützen. Für Webauftritte heißt es daher, sowohl den Webserver als auch die Content Management Software oder das Shop System stets mit aktuellen Updates und Sicherheitspatches auszustatten. Ein regelmßiger Blick in die Logfiles zwecks Analyse auf Sicherheitsverstöße kann ebenfalls nicht schaden.

Fahrplan der EU Datenschutz-Grundverordnung (EU DS GVO)

By | 10. Mai 2016

Die Europäische Datenschutz-Grundverordnung (EU DS GVO) wird nach der Veröffentlichung im EU Amtsblatt am 24.05.2016 inkrafttreten. Die Verunsicherung bei Unternehmen, aber auch Behörden und kommunalen Einrichtungen ist zur Zeit groß. Was kommt genau an Änderungen auf uns zu? Was muss ich ab wann beachten? Und noch viel dringender: wie setze ich das Ganze in der Praxis um? In diesem Beitrag wollen wir Ihnen den Fahrplan der EU Datenschutz-Grundverordnung aufzeigen. Damit haben Sie einen zeitlichen Anhaltspunkt, bis wann die Umsetzung zu erfolgen hat und welches Recht zu welchem Zeitpunkt anzuwenden ist.

Datum / ZeitraumSachverhaltRechtsanwendung
Dezember 2015Einigung im EU Trilog auf die Inhalte und grundlegenden Formulierungen der Grundverordnung (EU DS GVO)Das Bundesdatenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze gelten weiter.
Beginn der Umsetzungsfrist, bedeutet: Datenverarbeitungen sollen innerhalb von 2 Jahren nach Inkrafttreten (24.05.2016) mit der Verordnung in Einklang gebracht, sprich angepasst werden.
Laufende und neue Verfahren müssen jedoch den Anforderungen und Auflagen der noch geltenden Datenschutzgesetze genügen!
April 2016Annahme durch Europa-Rat und das Europäische Parlament
04.05.2016Verkündung im Europäischen Amtsblatt
24.05.2016Inkrafttreten der Europäischen Datenschutz-Grundverordnung (EU DS GVO) und Beginn der Umsetzungsfrist in den Mitgliedsstaaten
25.05.2018Geltung der EU DS GVO und Ende der UmsetzungsfristAb jetzt sind Bundesdatenschutzgesetz und
Weiterlesen

EU Datenschutz-Grundverordnung (EU DS GVO) im EU Amtsblatt veröffentlicht

By | 5. Mai 2016

Am 04.05.2016 wurde die EU Datenschutz-Grundverordnung im EU Amtsblatt veröffentlicht. 20 Tage nach der Veröffentlichung tritt eine Verordnung in Kraft, also die EU Datenschutz-Grundverordnung (EU DS GVO) somit zum 25.05.2016. Weitere zwei Jahre später wird die EU DS GVO gültig, das ist der 25.05.2018.

Nun gilt es, sowohl für nicht-öffentliche (Unternehmen und Vereine) und öffentliche (Behörden) Stellen, sich auf diesen Termin vorzubereiten. Zuvor ist noch der deutsche Gesetzgeber gefordert, die nationalen Öffnungsklauseln in der Verordnung zu nutzen und entsprechend auszugestalten. Um nicht unglaubwürdig zu erscheinen, muss es Ziel sein, das bisherige Schutzniveau nicht zu unterlaufen. Ob das beabsichtigt ist und am Ende auch gelingt, darf mit Spannung erwartet werden.

Die offizielle Veröffentlichung des mehrsprachigen (und somit auch deutschen) Textes finden Sie auf den Webseiten der EU.

Informationsrechtler kürt die neue europäische Datenschutzverordnung zu „einem der schlechtesten Gesetze des 21. Jahrhunderts“

By | 27. April 2016

Informationsrechtler Thomas Hoeren aus Münster bezeichnet die neue europäische Datenschutz-Grundverordnung als „eines der schlechtesten Gesetze des 21. Jahrhunderts“ und „hirnlos“.  Auf Twitter zu lesen:

Diese Aussagen traf Hoeren im Rahmen seines Vortrags auf dem Euroforum-Datenschutzkongress in Berlin am heutigen Tag. Dabei bezog er sich in seinen Aussagen auf einzelne Prinzipien der Verordnung wie dem „Marktortprinzip“ oder auch die „Datenportabilität“ (die Möglichkeit seine Daten von einem Anbieter zum nächsten mitzunehmen). Als „biblisch“ schlecht bezeichnete er ebenfalls die schwach ausgefallene Formulierung der Zweckbindung. Seiner Meinung nach sind den geplanten Regelungen zum Widerspruchsrecht im Direktmarketing  „viel lobbyistisches Kaffeetrinken“ vorausgegangen.

Quelle

Was kostet ein externer (betrieblicher) Datenschutzbeauftragter?

By | 22. April 2016

Es kommt darauf an

Was kostet ein externer Datenschutzbeauftragter?„, diese Frage wird desöfteren per Email oder als Blogkommentar an mich herangetragen.  Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

  • Was kostet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: „Es kommt darauf an!“

Auf was kommt es an?

Datenschutz ist kein Produkt von der Stange, sondern eine individuelle Leistung maßgeschneidert auf Ihr Unternehmen. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und personenbezogenen Daten im Unternehmen.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso … Weiterlesen

Kurzlinks als unterschätztes Risiko für den Datenschutz

By | 20. April 2016

Fast jeder kennt sie, viele nutzen Sie. Kurzlinks zu Freigaben in Cloudspeichern oder auch als schneller Link zu Webseiten. Eine Studie der Universität Cornell hat nachvollziehbar ein Risiko für die auf diese Art freigegebenen Daten aufgezeigt. Schwachstelle ist die typische Zusammensetzung mit Buchstaben und Zahlen, und nur wenigen Zeichen. Diese Kombinationen lassen sich automatisiert erzeugen und abfragen. Sind die Freigaben nicht zusätzlich mit einem Passwort geschützt, können die auf diese Art im Zugriff befindlichen Daten direkt kompromittiert werden.

Die Studie zeigt ein weiteres Risiko auf. In sieben Prozent aller auf diese Art ermittelten frei zugänglichen Freigaben hätten Sie aufgrund der Art der Freigabe Schadcode in den Speicher einbringen können. Dieser hätte sich mittels der üblichen Synchronisation somit auf die angeschlossenen Geräte der Nutzer weiter verbreiten können.

Generell raten wir dazu, bei der Vergabe aber auch der Nutzung von Kurzlinks sehr vorsichtig zu sein. Einerseits besteht das in der Studie gut nachvollziehbare Datenschutz-Risiko für Ihre auf diese Art freigegebenen Daten. Andererseits wissen Sie nie, wohin Sie ein Kurzlink führen wird. Eine beliebte Masche sind Umleitungen auf präparierte Webseiten, die mittels Exploit Kit Schwachstellen auf Ihrem Gerät aunutzen, um Ihnen Schadcode unterzujubeln.

Generell schadet es auch nicht im Unternehmensumfeld, Ihre Mitarbeiter für … Weiterlesen

Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

By | 11. April 2016

Am gestrigen Sonntag wurde gemeldet, Nutzerkonten samt Daten von registrierten Nutzern der Webseite des DuMont-Verlags standen stundenlang ungeschützt im Netz. Während der Verlag von einem Hackerangriff spricht, scheint einiges für interne Schlamperei zu sprechen (spiegel.de)

Der Verlag nahm die betroffenen Webseiten einige Stunden nach Meldung der Datenpanne offline. Sie sollen im Laufe des heutigen Tages wieder ans Netz gehen. Fatal: Neben den Benutzernamen waren die Passwörter im Klartext abgespeichert. Nach eigenen Angaben des Verlags wurden die Passwörter der betroffenen Accounts zurückgesetzt.