Muster Informationspflichten

Infor­ma­ti­ons­pflich­ten bei Erhe­bung per­so­nen­be­zo­ge­ner Daten im Zuge der Coro­na-Pan­de­mie – ein kos­ten­lo­ses Mus­ter

11. Mai 2020 und die meis­ten Bun­des­län­der erlau­ben unter stren­gen Auf­la­gen die Eröff­nung von Gas­tro­no­mie und ande­ren Ein­rich­tun­gen. Eine der Anfor­de­run­gen ist das Notie­ren von Name und Kon­takt­da­ten der Besu­cher bzw. Gäs­te. Für die­se Erhe­bung von per­so­nen­be­zo­ge­nen Daten sind im Rah­men von Art. 13 DSGVO gewis­se Anga­ben aus den Infor­ma­ti­ons­pflich­ten zu erfül­len. Um dies zu erleich­tern haben der in der Bran­che gut bekann­te Rechts­an­walt Ste­phan Han­sen-Oest und wir von a.s.k. Daten­schutz gemein­sam ein kos­ten­frei­es Mus­ter zur Anpas­sung auf die eige­ne Orga­ni­sa­ti­on ent­wi­ckelt. Wei­te­re Infor­ma­tio­nen und Down­load­link im Blog­bei­trag.

DSGVO - Dialog und Kooperation

Was ist Daten­schutz?

Unter Daten­schutz ver­steht man den Schutz per­so­nen­be­zo­ge­ner Daten vor Miss­brauch. Zweck und Ziel des Daten­schutz ist die Siche­rung des Grund­rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung der Ein­zel­per­son. EIne genaue­re Defi­ni­ti­on des Begriffs Daten­schutz und ein gro­ber Über­blick über die Erlaub­nis­tat­be­stän­de nach Art. 6 Abs. 1 DSGVO skiz­ziert unser Blog­bei­trag.

Smart Home

Das smar­te Home-Office: Gefahr für den Daten­schutz?

Smart Home klingt erst mal nur nach Ver­net­zung im Pri­vat­haus­halt. In Wirk­lich­keit aber bringt Smart Home auch Risi­ken für geschäft­li­che Daten mit sich. Gera­de jetzt in Zei­ten ver­mehr­ter Nut­zung von Home-Office. Daher ist Smart Home mitt­ler­wei­le nicht immer rei­ne Pri­vat­sa­che. Wel­che Risi­ken sich erge­ben kön­nen und was es zu beach­ten gilt, lesen Sie im Blog­bei­trag.

Prüfliste abgehakt

Check­lis­te Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men (TOM) aktua­li­siert

Check­lis­te Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men (TOM) in aktua­li­sier­ter Ver­si­on ver­öf­fent­licht.

Mit­tels die­ser Check­lis­te kön­nen Sie 1. Ihre eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men prü­fen und grob doku­men­tie­ren (kein Ersatz für eine Detail­do­ku­men­ta­ti­on), 2.
das Schutz­ni­veau Ihrer Dienst­leis­ter im Rah­men von Art. 28 DSGVO Auf­trags­ver­ar­bei­tung und deren tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im Sin­ne des Art. 32 DSGVO grob prü­fen, 3. die Prü­fung des Schutz­ni­veaus bei Ihren Dienst­leis­tern doku­men­tie­ren oder 4. sich ein­fach einen ers­ten Über­blick über die eige­nen inter­nen Schutz­maß­nah­men ver­schaf­fen (Was fehlt? Was ist schon vor­han­den?). Alle wei­te­ren Detaills und den Down­load­link fin­den Sie im Blog­bei­trag.

Checkliste

Online-Mel­de­for­mu­lar für Daten­pan­nen in Nord­rhein-West­fa­len

Die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len (LDI NRW) hat ein Online-Mel­de­for­mu­lar für Daten­pan­nen nach Art. 33 DSGVO auf die Web­sei­te der Behör­de gestellt.

Das Online-For­mu­lar löst das bis­he­ri­ge Mel­de­for­mu­lar für Daten­pan­nen ab und bie­tet eini­ge wei­te­re Funk­tio­nen wie Zutei­lung von Akten­zei­chen und spä­te­re Nach­mel­dun­gen zur Daten­pan­ne.

Links und wei­ter­füh­ren­de Infor­ma­tio­nen im voll­stän­di­gen Bei­trag.

Wie wir mit Corona in unserer Organisation umgehen (Tipps für den Arbeitsalltag)

Wie wir mit Coro­na in unse­rer Orga­ni­sa­ti­on umge­hen (Tipps für den Arbeits­all­tag)

Home Office wird als pro­ba­tes Mit­tel genannt, um Mit­ar­bei­ter und deren Fami­li­en vor Coro­na zu schüt­zen und eine Aus­brei­tung der Infek­ti­on zu ver­hin­dern bezie­hungs­wei­se zu ver­lang­sa­men. Seit dem 01.03.2020 set­zen wir bei a.s.k. Daten­schutz das The­ma kon­se­quent um. Außen­ter­mi­ne und Kun­den­be­su­che sind bis auf Wei­te­res aus­ge­setzt. Doch was bedeu­tet das für zu tref­fen­de tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men? Wel­che Anfor­de­run­gen sind an tech­ni­sche Schutz­maß­nah­men zu stel­len? Da nicht alles mit Tech­nik geschützt wer­den kann, wie sehen orga­ni­sa­to­ri­sche Rege­lun­gen dazu aus? Und wie geht man mit den sozia­len Ein­flüs­sen um, die nun man­gels zen­tra­lem Büro-Ein­satz weg­fal­len? Wir haben eine Beschrei­bung unse­rer Vor­ge­hens­wei­se zur Nut­zung von Home Office bei a.s.k. Daten­schutz zusam­men­ge­stellt in Ver­bin­dung mit wei­ter­füh­ren­den Links zu not­wen­di­gen Richt­li­ni­en und Rege­lun­gen sowie Emp­feh­lun­gen des BSI. Viel­leicht ist ja die eine oder ande­re Anre­gung für ande­re Orga­ni­sa­tio­nen dabei. Mehr dazu im kom­plet­ten Bei­trag.

Tipp: Microsoft Analytics "MyAnalytics" in Office 365 deaktivieren

Tipp: Micro­soft Ana­ly­tics “MyAna­ly­tics” in Office 365 deak­ti­vie­ren

Viel Wir­bel um Micro­softs neu­en Ser­vice “MyAna­ly­tics”. Der glä­ser­ne Mit­ar­bei­ter wird ver­mu­tet. Um was geht es bei die­sem Dienst, wer hat Ein­sicht in die Daten und wie kann MyAna­ly­tics deak­ti­viert wer­den? Die­se und eini­ge wei­te­re Fra­gen beant­wor­ten wir in unse­rem Blog­bei­trag.

Schraubzwinge Geldbeutel

Über­sicht der DSGVO Buß­gel­der

Neu­gie­rig, was von deut­schen oder ita­lie­ni­schen Daten­schutz­be­hör­den an Buß­gel­dern aus der DSGVO ver­hängt wur­den? Wel­che Fir­ma für wel­chen Ver­stoß wie­viel bezah­len soll? Dann gibt es jetzt hier­zu ein über­sicht­li­ches und gut gepfleg­tes Online-Por­tal. Damit las­sen sich für inter­ne und exter­ne Daten­schutz­be­auf­trag­ten als letz­tes Mit­tel gute Argu­men­ta­ti­ons­hil­fen fin­den, war­um sich eine Orga­ni­sa­ti­on doch des The­mas Daten­schutz anneh­men soll­te und was ganz schnell alles schief gehen kann. Mehr Infos zum Por­tal und Link im Blog­bei­trag.

Mann Ärger Haare raufen

“Ich bereue den Pass­wort-Wahn­sinn” – weg mit den Pass­wort Mythen

Das NIST hat sei­ne 14 Jah­re alten (und lei­der fal­schen) Emp­feh­lun­gen zur Pass­wort-Sicher­heit über­ar­bei­tet. Der dama­li­ge Ver­fas­ser bekennt gegen­über der Washing­ton Post:  “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Sei­ne Emp­feh­lun­gen fin­den sich noch heu­te in den ver­schie­dens­ten Sicher­heits­stan­dards. Täg­lich kos­ten Sie Zeit und Ner­ven der End­an­wen­der. Pass­wör­ter müs­sen Son­der­zei­chen ent­hal­ten und alle 90 Tage gewech­selt wer­den, hieß es bis­her. Obwohl sich die­se Annah­me schon lan­ge als feh­ler­haft erwie­sen hat (sie­he auch unse­re Blog­bei­trä­ge dazu), wur­de und wird sei­tens der Ver­ant­wort­li­chen an die­sen star­ren Pass­wort-Rege­lun­gen fest­ge­hal­ten. Sicher­heit wur­de hier­durch jedoch kei­ne geschaf­fen. Daher hat das NIST sei­ne Pass­wort-Emp­feh­lun­gen end­lich über­ar­bei­tet und an die wirk­li­che Bedro­hungs­la­ge ange­passt. Und welch Freu­de: Sogar das BSI lenkt in 2020 end­lich ein plant eine Anpas­sung des Bau­steins ORP.4 .Wie nut­zer­freund­li­che und siche­re Pass­wort-Richt­li­ni­en aus­se­hen kön­nen, lesen Sie in unse­rem Blog­bei­trag. Ger­ne dür­fen Sie die­sen tei­len :-)

Die DSGVO verbietet keine Wunschzettel-Aktionen für Kinder zu Weihnachten - aus aktuellen Anlass

Die DSGVO ver­bie­tet kei­ne Wunsch­zet­tel-Aktio­nen für Kin­der zu Weih­nach­ten – aus aktu­el­len Anlass

Kaum ist die Vor­weih­nachts­zeit auf Hoch­tou­ren star­ten erneut die Falsch­mel­dun­gen über die ach so böse Daten­schutz-Grund­ver­ord­nung (DSGVO). Wie schon im ver­gan­ge­nen Jahr ist nach Mel­dung des einen oder ande­ren Medi­en­ver­tre­ters die DSGVO erneut dar­an schuld, dass trau­ri­ge Kin­der­au­gen auf den lee­ren Weih­nachts­wunsch­baum in der einen oder ande­ren Kom­mu­ne in Deutsch­land star­ren. Das dem nicht so ist, hat bereits im Novem­ber 2018 die Ver­tre­tung in Deutsch­land der Euro­päi­schen Kom­mis­si­on in einer Klar­stel­lung ver­lau­ten las­sen. Mehr dazu im Blog­bei­trag.

Meerschweinchen Geburtstag

Geburts­tags­lis­ten von Mit­ar­bei­tern und die DSGVO

Ist die Ein­wil­li­gung wirk­lich das DSGVO-Non-Plus-Ultra für Geburts­tags­lis­ten in Orga­ni­sa­tio­nen, wie es der BayLfD in sei­ner Kurz­in­fo 26 sug­ge­riert. Übri­gens ein The­ma, das nicht nur Behör­den etwas angeht, son­dern auch in Unter­neh­men und Ver­ei­nen kor­rekt umge­setzt sein soll­te. Wir fin­den, das geht prag­ma­ti­scher und man kann sich das gan­ze Klim­bim mit Ver­wal­ten der Ein­wil­li­gun­gen, Anga­ben in den Infor­ma­ti­ons­pflich­ten und dem Ein­trag ins Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten spa­ren. Dann steht dem “KUCHEN!” auch nichts mehr im Weg. Und es ist mal nicht der Daten­schutz wie­der an allem schuld. Mehr im Blog­bei­trag.

Cookies Kekse

Unnö­ti­ge Panik wegen des EuGH “Planet49” Urteils zu Coo­kies vom 01.10.2019

Seit der Urteils­ver­kün­dung des EuGH am 01.10.2019 hat man das Gefühl, die Medi­en über­schla­gen sich mit auf­merk­sam­keits­er­ha­schen­den Eil­mel­dun­gen und Head­lines. Lei­der – und das im Kon­text der DSGVO nicht zum ers­ten Mal – mit Falsch­dar­stel­lun­gen und Aus­sa­gen, die der EuGH so gar nicht getä­tigt hat. Da das The­ma Coo­kies auch immer wie­der Gegen­stand von Anfra­gen Ihrer­seits an uns ist, ein paar Infor­ma­tio­nen zu den eigent­li­chen Inhal­ten des Urteils.Der EuGH hat mit­nich­ten alle Coo­kies einer Web­sei­te mit der Pflicht zur Ein­wil­li­gung belegt. Statt­des­sen hat der EuGH im Zuge des Pla­ne­t49-Urteils vom 01.10.2019 nur bestä­tigt, was zuvor schon bekannt war. Mehr Details zum Umgang mit Coo­kies auf Ihrer Web­sei­te sowie hilf­rei­che Infor­ma­tio­nen zu Coo­kies sei­tens der Lan­des­da­ten­schutz­be­hör­den fin­den Sie in unse­rem Blog­bei­trag.

Berg Anstieg Hilfe

Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe V 3.0 erschie­nen – jetzt mit LSI Sie­gel

Art. 32 DSGVO geht eigent­lich nur mit einem Infor­ma­ti­ons­si­cher­heits­kon­zept zu erfül­len. Für klei­ne Ein­rich­tun­gen (Kom­mu­ne und Unter­neh­men) eig­net sich die “Arbeits­hil­fe” aus Bay­ern. Jetzt in Ver­si­on 3.0 am Start. Für kom­mu­na­le Ein­rich­tun­gen ste­hen die Anpas­sun­gen zum Erhalt des LSI Sie­gels “Kom­mu­na­le IT-Sicher­heit” im Vor­der­grund. a.s.k. Daten­schutz hat wie bereits wie die Vor­gän­ger­ver­sio­nen der Arbeits­hil­fe auch die Ver­si­on 3.0 im Auf­trag der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne und der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de wei­ter­ent­wi­ckelt. Die Arbeits­hil­fe kann sowohl von Kom­mu­nen als auch Unter­neh­men kos­ten­frei genutzt wer­de. Mehr Details und Down­load-Link im Blog­bei­trag.

Help Button

IT-Not­fall­kar­te für Mit­ar­bei­ter (Hil­fe­stel­lung der Alli­anz für Cyber­si­cher­heit und des BSI)

IT-Not­fall­kar­te für Mit­ar­bei­ter, wenn ein IT-Sicher­heits­vor­fall ein­tritt. Als ers­te Reak­ti­on zur Bewäl­ti­gung und Nach­be­ar­bei­tung Top 12 Maß­nah­men bei Cyber­an­grif­fen. Für ein pro­fes­sio­nel­les Not­fall­ma­nage­ment Ein­füh­rung eines Not­fall­ma­nage­ments nach 100 – 4 des IT-Grund­schut­zes. Die Alli­anz für Cyber­si­cher­heit und das BSI geben Hil­fe­stel­lung. Ohne funk­tio­nie­ren­des Not­fall­ma­nage­ment steht Ihre Orga­ni­sa­ti­on im Not­fall mit her­un­ter­ge­las­se­nen Hosen da. Nun ist die Ein­füh­rung eines Not­fall­ma­nage­ments kei­ne Ange­le­gen­heit von ein paar Tagen, son­dern ein respek­ta­bler und res­sour­cen­in­ten­si­ver Pro­zeß. Mit den rich­ti­gen Anlei­tun­gen und (exter­ner) Unter­stüt­zung jedoch durch­aus mach­bar, auch in klei­nen Orga­ni­sa­tio­nen. Sie ver­si­chern Ihr Haus ja auch nicht erst gegen Feu­er, wenn es abge­brannt ist, oder? Übri­gens ist ein Not­fall­plan das Ergeb­nis eines Not­fall­vor­sor­ge­kon­zepts und nicht des­sen Ersatz. Wir haben die wich­tigs­ten Punk­te und Links in die­sem Bei­trag zusam­men­ge­fasst.

Boxer Hund Brille

Bil­der zur Ein­schu­lung und der „böse“ Daten­schutz

Jetzt ist die DSGVO schon schuld dar­an, dass Eltern kei­ne Bil­der ihrer Kin­der bei der Ein­schu­lung foto­gra­fie­ren dür­fen. Zumin­dest wird das so in den meis­ten Medi­en dar­ge­stellt und ger­ne wei­ter kol­por­tiert. Was ist dran? Lesen Sie die Details dazu in unse­rem Blog­bei­trag. Spoi­ler: Der Daten­schutz ist mal wie­der zu Unrecht als schul­dig gebrand­markt.

Trojanisches Pferd

BSI warnt vor Ger­man­Wi­per: Löschen statt Ver­schlüs­seln ist die Devi­se die­ses Tro­ja­ners

Neue Angrif­fe über Bewer­bun­gen per Email: Ran­som­wa­re Ger­man­Wi­per löscht alle Daten statt sie zu ver­schlüs­seln. Das BSI warnt in sei­nen CERT-Mel­dun­gen. Wei­te­re Infos zur Funk­ti­ons­wei­se sowie mög­li­chen Schutz­maß­nah­men im Blog­bei­trag.

Das Anheben der Mitarbeitergrenze für die Bestellpflicht eines Datenschutzbeauftragten senkt nicht die Bürokratie

Das Anhe­ben der Mit­ar­bei­ter­gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten senkt nicht die Büro­kra­tie

Die Uni­ons­par­tei­en las­sen sich fei­ern. Von Weg­fall der Büro­kra­tie im Daten­schutz für klei­ne Betrie­be und Ver­ei­ne ist die Rede. Das The­ma Daten­schutz sei jetzt viel ein­fa­cher und weni­ger auf­wän­dig für eine Viel­zahl von Betrie­ben und Ver­ei­nen. Anlass ist die Ver­ab­schie­dung eines Anpas­sungs­ge­set­zes mit not­wen­di­gen Kor­rek­tu­ren in 154 natio­na­len Geset­zen im Bun­des­tag am ver­gan­ge­nen Frei­tag, zu nächt­li­cher Unzeit. Und es stimmt, eine Anpas­sung zahl­rei­cher natio­na­ler Geset­ze und Rege­lun­gen war durch die DSGVO aus Mai 2018 not­wen­dig gewor­den. Doch was aktu­ell in ver­schie­de­nen Medi­en als Erfolg für den Abbau von Büro­kra­tie gefei­ert wird, allen vor­an bei Hand­werks­kam­mern und Ver­ei­nen, das ent­behrt einer Grund­la­ge. Noch dazu zeugt es davon, dass die Betei­lig­ten, das The­ma Daten­schutz und die recht­li­chen Anfor­de­run­gen nicht ganz umris­sen haben.
Zukünf­tig soll die Gren­ze nicht mehr 10 Mit­ar­bei­ter, son­dern 20 Mit­ar­bei­ter betra­gen, die mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind und somit die Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten aus­ge­löst wird.

Es gibt viel Ver­bes­se­rungs­po­ten­ti­al im Bereich Daten­schutz, gar kei­ne Fra­ge. Ein­heit­li­che und pra­xis­na­he Aus­le­gun­gen sei­tens der Lan­des­da­ten­schutz­be­hör­den hät­ten enor­mes Poten­ti­al, auch die Akzep­tanz des The­mas Daten­schutz gene­rell zu erhö­hen. Hier kann der Gesetz­ge­ber jedoch nicht regelnd ein­grei­fen, außer man wür­de die Lan­des­da­ten­schutz­be­hör­den auf­lö­sen und in einer zen­tra­len Orga­ni­sa­ti­on des Bun­des zusam­men­fas­sen. Statt­des­sen wird nun in klei­nen Schif­fen und Boo­ten der Lot­se von Bord geschickt. Die Zukunft wird zei­gen, ob die gewünsch­te Ent­bü­ro­kra­ti­sie­rung damit Ein­zug hält. Es steht nicht zu ver­mu­ten.

Alle Details und Hin­ter­grün­de zur im Blog­bei­trag

Schadcode über Excel Power Query statt Makros

Schad­code über Excel Power Que­ry statt Makros

For­scher haben eine Angriffs­tech­nik über Micro­softs Power Que­ry ent­deckt (exter­ner Link), die sogar ohne Zutun des Anwen­ders nach dem Öff­nen eines prä­pa­rier­ten Excel-She­ets Schad­code nach­lädt und aus­führt. Betrof­fen sind Excel 2016, Excel 2019 und alle älte­ren Ver­sio­nen, in denen Power Que­ry als Add-In nach­träg­lich instal­liert wur­de. Aktu­ell soll die­ses Angriff­sze­na­rio noch nicht aus­ge­nutzt wer­den, Angrif­fe sind noch kei­ne bekannt. Zeit genug, sich dage­gen zu wapp­nen. Eine Mög­lich­keit besteht dar­in, Power Que­ry kom­plett zu deak­ti­vie­ren (Regis­try). Wei­te­re Schutz­maß­nah­men beschreibt Micro­soft im Secu­ri­ty Advi­so­ry 4053440. Wei­te­re Details und Link zum Micro­soft Secu­ri­ty Advi­so­ry 4053440 fin­den Sie im Blog­bei­trag.

Emotet: Eigenen Mailserver auf Umgang mit potentiell schädlichen Datei-Anhängen prüfen

Emo­tet: Eige­nen Mail­ser­ver auf Umgang mit poten­ti­ell schäd­li­chen Datei-Anhän­gen prü­fen

Emo­tet ist zur Zeit in aller Mun­de: Wer schon immer mal prü­fen woll­te, wie der eige­ne Mail­ser­ver auf risi­ko­rei­che Datei-Anhän­ge reagiert, kann dies mit einem Ser­vice von Hei­se nun tes­ten. Zur Aus­wahl ste­hen ver­schie­de­ne Arten von Bedro­hun­gen, die man sich an die eige­ne Mail-Adres­se schi­cken las­sen kann. Doch Vor­sicht: Bei dienst­lich oder geschäft­lich genutz­ten Email-Adres­sen soll­ten Sie das nicht ohne Rück­spra­che mit Ihrer IT machen. Mehr Infos und den Link zum Ver­sand der Test-Emails im Blog­bei­trag.