Das Anheben der Mitarbeitergrenze für die Bestellpflicht eines Datenschutzbeauftragten senkt nicht die Bürokratie

Das Anhe­ben der Mit­ar­bei­ter­gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten senkt nicht die Büro­kra­tie

Die Uni­ons­par­tei­en las­sen sich fei­ern. Von Weg­fall der Büro­kra­tie im Daten­schutz für klei­ne Betrie­be und Ver­ei­ne ist die Rede. Das The­ma Daten­schutz sei jetzt viel ein­fa­cher und weni­ger auf­wän­dig für eine Viel­zahl von Betrie­ben und Ver­ei­nen. Anlass ist die Ver­ab­schie­dung eines Anpas­sungs­ge­set­zes mit not­wen­di­gen Kor­rek­tu­ren in 154 natio­na­len Geset­zen im Bun­des­tag am ver­gan­ge­nen Frei­tag, zu nächt­li­cher Unzeit. Und es stimmt, eine Anpas­sung zahl­rei­cher natio­na­ler Geset­ze und Rege­lun­gen war durch die DSGVO aus Mai 2018 not­wen­dig gewor­den. Doch was aktu­ell in ver­schie­de­nen Medi­en als Erfolg für den Abbau von Büro­kra­tie gefei­ert wird, allen vor­an bei Hand­werks­kam­mern und Ver­ei­nen, das ent­behrt einer Grund­la­ge. Noch dazu zeugt es davon, dass die Betei­lig­ten, das The­ma Daten­schutz und die recht­li­chen Anfor­de­run­gen nicht ganz umris­sen haben.
Zukünf­tig soll die Gren­ze nicht mehr 10 Mit­ar­bei­ter, son­dern 20 Mit­ar­bei­ter betra­gen, die mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind und somit die Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten aus­ge­löst wird.

Es gibt viel Ver­bes­se­rungs­po­ten­ti­al im Bereich Daten­schutz, gar kei­ne Fra­ge. Ein­heit­li­che und pra­xis­na­he Aus­le­gun­gen sei­tens der Lan­des­da­ten­schutz­be­hör­den hät­ten enor­mes Poten­ti­al, auch die Akzep­tanz des The­mas Daten­schutz gene­rell zu erhö­hen. Hier kann der Gesetz­ge­ber jedoch nicht regelnd ein­grei­fen, außer man wür­de die Lan­des­da­ten­schutz­be­hör­den auf­lö­sen und in einer zen­tra­len Orga­ni­sa­ti­on des Bun­des zusam­men­fas­sen. Statt­des­sen wird nun in klei­nen Schif­fen und Boo­ten der Lot­se von Bord geschickt. Die Zukunft wird zei­gen, ob die gewünsch­te Ent­bü­ro­kra­ti­sie­rung damit Ein­zug hält. Es steht nicht zu ver­mu­ten.

Alle Details und Hin­ter­grün­de zur im Blog­bei­trag

Schadcode über Excel Power Query statt Makros

Schad­code über Excel Power Que­ry statt Makros

For­scher haben eine Angriffs­tech­nik über Micro­softs Power Que­ry ent­deckt (exter­ner Link), die sogar ohne Zutun des Anwen­ders nach dem Öff­nen eines prä­pa­rier­ten Excel-She­ets Schad­code nach­lädt und aus­führt. Betrof­fen sind Excel 2016, Excel 2019 und alle älte­ren Ver­sio­nen, in denen Power Que­ry als Add-In nach­träg­lich instal­liert wur­de. Aktu­ell soll die­ses Angriff­sze­na­rio noch nicht aus­ge­nutzt wer­den, Angrif­fe sind noch kei­ne bekannt. Zeit genug, sich dage­gen zu wapp­nen. Eine Mög­lich­keit besteht dar­in, Power Que­ry kom­plett zu deak­ti­vie­ren (Regis­try). Wei­te­re Schutz­maß­nah­men beschreibt Micro­soft im Secu­ri­ty Advi­so­ry 4053440. Wei­te­re Details und Link zum Micro­soft Secu­ri­ty Advi­so­ry 4053440 fin­den Sie im Blog­bei­trag.

Arbeitshilfe der Innovationsstiftung und Bayerisches Siegel "Kommunale IT-Sicherheit"

Arbeits­hil­fe der Inno­va­ti­ons­stif­tung und Baye­ri­sches Sie­gel “Kom­mu­na­le IT-Sicher­heit”

Das Prüf­sie­gel “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik in Nürn­berg kann mit­tels des ISMS Arbeits­hil­fe der Inno­va­ti­ons­stif­tung baye­ri­sche Kom­mu­ne erwor­ben wer­den. Ger­ne unter­stüt­zen wir als Autoren der Arbeits­hil­fe beim Errei­chen der not­wen­di­gen Vor­ga­ben für Ihre Orga­ni­sa­ti­on. Details zum Sie­gel und der Arbeits­hil­fe fin­den Sie im Blo­bei­trag.

Fördermittel zur Einführung ISIS12 für bayerische Kommunen

Infor­ma­ti­ons­si­cher­heit im Fokus: Gemein­de Haar ist ISI­S12-zer­ti­fi­ziert

Nach einem knapp zwei­jäh­ri­gen Pro­zeß hat die Gemein­de Haar im Mai 2019 die ISI­S12-Zer­ti­fi­zie­rung erreicht. a.s.k. Daten­schutz durf­te den Pro­zeß als exter­ner Bera­ter beglei­ten. Jetzt heißt es, das Infor­ma­ti­ons­si­cher­heits­kon­zept zu betrei­ben und mit Leben zu erfül­len. Mehr im Blog­bei­trag.

aboutpixel.de Presse © Rainer Sturm

Aus­le­gungs­hil­fen zur EU Daten­schutz­grund­ver­ord­nung ver­öf­fent­licht

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat ers­te Aus­le­gungs­hil­fen zum neu­en Daten­schutz­recht der EU Daten­schutz­grund­ver­ord­nung (EU-DSGVO) ver­öf­fent­licht.
Wie bereits in einem frü­he­ren Bei­trag beschrie­ben, ist die Unter­stüt­zung mit Vor­la­gen und Hilfs­mit­teln zur Umset­zung der EU-DSGVO noch recht „über­schau­bar“. Dies wird auch am Umfang der jetzt ver­öf­fent­lich­ten – und noch zu erwei­tern­den – Aus­le­gungs­hil­fen deut­lich. Mehr dazu im Blog­bei­trag.

Aus­hilfs­kraft (m/​w) zur Unter­stüt­zung im Back­of­fice gesucht

a.s.k. Daten­schutz braucht Ver­stär­kung oder anders aus­ge­drückt – WIR SUCHEN DICH! :-) Aus­hilfs­kraft (m/​w) mit tech­ni­schem Hin­ter­grund für befris­te­te Unter­stüt­zung bei eini­gen Kun­den­pro­jek­ten gesucht. Kennt­nis­se im Bereich Cloud, Daten­schutz und Infor­ma­ti­ons­si­cher­heit von Vor­teil. Tätig­keit kann von jedem inter­net­fä­hi­gen (nicht öffent­li­chen!) PC aus­ge­führt wer­den. Kein Kun­den­kon­takt, kei­ne Akqui­se, rei­ne Unter­stüt­zung im Back­of­fice. Befris­te­te Anstel­lung als Aus­hil­fe, ger­ne auch Tätig­keit als frei­er Mit­ar­bei­ter – wie Sie es wün­schen. Kurz­be­wer­bun­gen mit tech­ni­schem Hin­ter­grund bit­te per Post an a.s.k. Daten­schutz, Sascha Kuhrau, Schul­stras­se 16a, 91245 Sim­mels­dorf oder per Mail an ed.ztuhcsnetad-ksanull@407102eflihsua. Bit­te bei Email-Bewer­bun­gen beach­ten: Ihre Daten wer­den unver­schlüs­selt über­tra­gen, solan­ge Sie nicht unser S/MI­ME-Zer­ti­fi­kat für die Ver­schlüs­se­lung ein­set­zen. Ger­ne sen­den wir Ihnen dies vor­ab per Mail zu.

Mann mit Lupe - Unter Beobachtung

Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) stellt Tätig­keits­be­richt 2015/2016 vor

Der Tätig­keits­be­richt 2015/2016 des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA) für den nicht-öffent­li­chen Bereich (also Unter­neh­men, Ver­ei­ne, Frei­be­ruf­ler etc.) wur­de ver­öf­fent­licht. Es wur­de eine deut­li­che Zunah­me an Beschwer­den von Bür­gern eben­so wie eine Stei­ge­rung der Daten­pan­nen durch Unter­neh­men fest­ge­stellt. Im Beschwer­de­be­reich ist das The­ma Video­über­wa­chung Knack­punkt Num­mer Eins. Bei den Daten­pan­nen hat sich neben den Klas­si­kern das The­ma Cybercrime weit nach vor­ne gescho­ben. Unsi­che­re Web­sei­ten, gehack­te Web­shops, miß­brauch­te Kun­den- und Zah­lungs­da­ten füh­ren die Hit­lis­te an. Auch ein Aus­blick auf die (zumin­dest teil­wei­se heu­te schon bekann­ten) Aus­wir­kun­gen auf die EU-DSGVO (ab 25.05.2018) wird gege­ben. An der Bestell­pflicht für Daten­schutz­be­auf­rag­te durch Unter­neh­men und Ver­ei­nen wird sich vor­aus­sicht­lich nichts ändern. Neu aber: die Bestel­lung muss der Auf­sichts­be­hör­de mit­ge­teilt wer­den. Wohl dem, der einen hat :-) Mehr Infos und Links zum kom­plet­ten Tätig­keits­be­richt im Blog­bei­trag.

aboutpixel.de / Datenschutz © Rainer Sturm

Lan­des­da­ten­schutz­be­hör­den prü­fen Cloud-Ein­satz in Unter­neh­men

10 Lan­des­da­ten­schutz­be­hör­den prü­fen den Cloud-Ein­satz deut­scher Unter­neh­men in Bezug auf die Aus­la­ge­rung per­so­nen­be­zo­ge­ner Daten von Mit­ar­bei­tern und Kun­den, gera­de außer­halb der EU. Klas­si­sche Anbie­ter für Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­ons­hip-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men wer­den in Unter­neh­men ger­ne genutzt. Oft unwis­sent­lich in Bezug auf die daten­schutz­recht­li­chen Anfor­de­run­gen und Fall­stri­cke. Das kann schnell teu­er wer­den und die erhoff­te Kos­ten­ein­spa­rung durch Aus­la­gern ist dahin. Die Akti­on der Lan­des­da­ten­schutz­be­hör­den will einer­seits prü­fen, aber auch sen­si­bi­li­sie­ren. Mehr Infos samt Down­load­link zum Fra­ge­bo­gen zur Selbst­über­prü­fung im Blog­bei­trag.

EU US Pri­va­cy Shield tritt in Kraft – alles wird gut?

Das EU US Pri­va­cy Shield tritt zum 01.08.2016 in Kraft. Als Nach­fol­ger von Safe Har­bor soll es den Trans­fer per­so­nen­be­zo­ge­ner Daten zwi­schen Euro­pa und den USA wie­der ver­ein­fa­chen. Neben Befür­wor­tern mel­den sich zahl­rei­che Kri­ti­ker zu Wort. Unter ande­rem der Initia­tor des EUGH-Urteils aus dem Herbst 2015, wel­ches Safe Har­bor für unzu­läs­sig erklär­te. Die­ser bezwei­felt, das Pri­va­cy Shield die Vor­ga­ben des EUGH ein­hält und somit nicht lan­ge von Bestand sein wird. Wie jetzt damit umzu­ge­hen ist, lesen Sie im kom­plet­ten Bei­trag.

aboutpixel.de / aus dem dunkel...... © walter dannehl

Daten­pan­ne bei HIPP – Name, Anschrift und Pass­wör­ter betrof­fen

Das Bonus­pro­gramm Mein Baby­Club des Baby­nah­rung­her­stel­lers HIPP wur­de offen­sicht­lich gehackt. Das Unter­neh­men kom­mu­ni­ziert per Email an die Teil­neh­mer über einen mög­li­chen Hack Anfang Mai. Auf­ge­fal­len sei dies durch Unstim­mig­kei­ten im Ser­ver­be­trieb. Betrof­fen sind Namen, Anschrif­ten, Geburts­da­ten, aber auch Pass­wör­ter. Die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de ist ein­ge­schal­tet. Wei­te­re Details wur­den nicht bekannt­ge­ge­ben.

Laut den Ergän­zun­gen durch das IT-SIcher­heits­ge­setz sind Web­sei­ten­be­trei­ber gene­rell ver­pflich­tet, geeig­ne­te Sicher­heits­maß­nah­men zu ergrei­fen, um Daten zu schüt­zen. Dies beinhal­tet das regel­mä­ßi­ge Ein­spie­len von Updates und Sicher­heits­patches sowohl des Web­ser­vers, als auch der Con­tent-Mana­ga­ment- und Shop-Sys­te­me. Das gilt übri­gens für alle Bran­chen, nicht nur für kri­ti­sche Infra­struk­tu­ren.

aboutpixel.de /papier­korb 2 © pip

Infor­ma­ti­ons­recht­ler kürt die neue euro­päi­sche Daten­schutz­ver­ord­nung zu “einem der schlech­tes­ten Geset­ze des 21. Jahr­hun­derts”

Infor­ma­ti­ons­recht­ler Tho­mas Hoe­ren aus Müns­ter bezeich­net die neue euro­päi­sche Daten­schutz-Grund­ver­ord­nung als “eines der schlech­tes­ten Geset­ze des 21. Jahr­hun­derts” und “hirn­los”. Die­se Aus­sa­gen traf Hoe­ren im Rah­men sei­nes Vor­trags auf dem Euro­fo­rum-Daten­schutz­kon­gress in Ber­lin am heu­ti­gen Tag. Dabei bezog er sich in sei­nen Aus­sa­gen auf ein­zel­ne Prin­zi­pi­en der Ver­ord­nung wie dem “Markt­ort­prin­zip” oder auch die “Daten­por­ta­bi­li­tät”. Doch auch ande­re Pas­sa­gen kamen nicht gut weg. Mehr im Bei­trag

Datenpanne (c) Sascha Kuhrau

Daten­pan­ne bei DuMont: Benut­zer­na­men und Pass­wör­ter frei ein­seh­bar

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen, mel­det spie​gel​.de. Fatal: Neben den Benut­zer­na­men waren Pass­wör­ter im Klar­text ein­seh­bar.