Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

By | 14. März 2017

Letz­te Woche haben wir die­se Fra­ge in unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit behan­delt: “Müs­sen baye­ri­sche Kom­mu­nen ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren?”, die­se Fra­ge wird nach wie vor oft bei Semi­na­ren, Ver­an­stal­tun­gen, tele­fo­nisch und per Mail an uns her­an­ge­tra­gen. Wir haben dies zum Anlass genom­men, hier­zu ein Web­vi­deo zu erstel­len, in dem wir auf die Not­wen­dig­keit und recht­li­chen Grund­la­gen für die Ein­füh­rung und den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts ver­tie­fend ein­ge­hen. Denn die Ant­wort auf die Fra­ge kann nur lau­ten “Ja!”. Wer es nicht glaubt, ist herz­lich dazu ein­ge­la­den, sich in unse­rem Video davon über­zeu­gen zu las­sen.

Sie fin­den das Web­vi­deo ein­ge­bet­tet hier bei uns im Blog oder auf unse­rem neu­en You­tube-Kanal.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

By | 8. März 2017

Auf 158 Sei­ten gibt der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig einen Über­blick über die Arbeit der Daten­schutz­auf­sichts­be­hör­de für den nicht-öffent­li­chen Bereich in Bay­ern für die Jah­re 2015 und 2016 ab.

Das BayL­DA ist für ca. 700.000 ver­ant­wort­li­che Stel­len im nicht-öffent­li­chen Bereich (Unter­neh­men, Ver­ei­ne, Ver­bän­de, frei­be­ruf­lich Täti­ge etc.) in Bay­ern zustän­dig.

Im vor­de­ren Teil des Berichts wird anschau­lich auf die Ent­wick­lung von Bür­ger­be­schwer­den, Daten­pan­nen, aber auch Bera­tungs­an­fra­gen sei­tens nicht-öffent­li­cher Stel­len ein­ge­gan­gen. Der Über­sicht ab 2013 ist zu ent­neh­men, dass es sich bei der zuneh­men­den Stei­ge­rung nicht um ein­zel­ne Spit­zen, son­dern klar um einen Trend han­delt. Sind 2013 “nur” 925 Beschwer­den über baye­ri­sche Unter­neh­men und Unter­neh­mer ein­ge­gan­gen, so waren es 2016 schon 1.424. Iden­tisch ver­hält es sich mit der Zahl der Daten­pan­nen (2013 32 gegen­über 85 in 2016). Wobei hier eine deut­lich höhe­re Dun­kel­zif­fer sei­tens des Amts ver­mu­tet wird. Bei den Beschwer­den liegt das The­ma Video­über­wa­chung auf dem vor­ders­ten Platz. Unter ande­rem sind dafür die mitt­ler­wei­le sehr preis­wer­ten Über­wa­chungs­ka­me­ras (wie Wild­ka­me­ras, Dash­cams usw.) ver­ant­wort­lich, jedoch auch ein gestei­ger­tes Sicher­heits­be­dürf­nis. Letz­te­res führt schnell mal dazu, nicht nur (zuläs­si­ger­wei­se) das eige­ne Grund­stück zu obser­vie­ren, son­dern (zumeist unzu­läs­sig) angren­zen­de Grund­stü­cke oder öffent­li­che Ver­kehrs­flä­chen mit ein­zu­schlie­ßen.

Klas­si­sche Daten­pan­nen wie Ver­lust, Dieb­stahl oder … Weiterlesen

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

By | 23. Januar 2017

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestel­len?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che … Weiterlesen

Frohes Neues Jahr 2017

By | 2. Januar 2017

Wir wün­schen allen unse­ren Lesern des Daten­schutz-Blogs, unse­ren Kun­den und Geschäfts­part­nern samt ihren Lie­ben ein Fro­hes Neu­es Jahr 2017 mit viel Gesund­heit und Glück. Dan­ke, dass Sie uns in 2016 die Treue gehal­ten haben. Wir freu­en uns auf die wei­te­re Zusam­men­ar­beit mit Ihnen.

Bildnachweis: https://pixabay.com/de/hufeisen-gl%C3%BCck-western-huf-110987/

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

By | 4. November 2016

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­gel­dri­si­ko für Ihre Orga­ni­sa­ti­on.

[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ortu­n­ab­hän­gig und fle­xi­bel genutzt wer­den kön­nen.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Dritt­staa­ten).

Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen Weiterlesen

Privacy Shield für ein Jahr toleriert — Europäische Datenschutzbehörden unzufrieden

By | 28. Juli 2016

Zumin­dest für den Zeit­raum eines Jah­res kann das oft kri­ti­sier­te Pri­va­cy Shield als Nach­fol­ger von Safe Har­bor fun­gie­ren. Nach Aus­sa­gen der soge­nann­ten Arti­kel-29-Grup­pe sei das neue Abkom­men nach wie vor nicht geeig­net, grund­sätz­li­che Kri­tik aus­zu­räu­men. Dabei wur­den die nach wie vor zuläs­si­gen Geheim­dienst­zu­grif­fe auf Daten von EU Bür­gern sowie die man­geln­den Durch­set­zungs­mög­lich­kei­ten der Schutz­rech­te der Betrof­fe­nen bemän­gelt.

Den­noch kön­ne Pri­va­cy Shield vor­erst als Zuläs­sig­keits­tat­be­stand für den Trans­fer per­so­nen­be­zo­ge­ner Daten in die USA ein­ge­setzt wer­den. Nach 12 Mona­ten Eva­lu­ie­rungs­pha­se soll das Abkom­men neu bewer­tet wer­den. Bis dahin sicher­ten die euro­päi­schen Daten­schutz­be­hör­den akti­ve Unter­stüt­zung bei der Gel­tend­ma­chung der Rech­te Betrof­fe­ner in den USA zu.

EU US Privacy Shield tritt in Kraft — alles wird gut?

By | 13. Juli 2016

EU US Pri­va­cy Shield ist da

Nach­dem die euro­päi­sche Kom­mis­si­on erwar­tungs­ge­mäß das recht umstrit­te­ne Pri­va­cy Shield als Nach­fol­ger von Safe Har­bor durch­ge­wun­ken hat, tritt die­se Rege­lung zum 01. August 2016 in Kraft. Nach Weg­fall der Safe Har­bor Rege­lung auf­grund eines Urteils des EUGH im Herbst 2015 — wir berich­te­ten — soll Pri­va­cy Shield eine belast­ba­re Grund­la­ge für die Zuläs­sig­keit des Aus­tauschs per­so­nen­be­zo­ge­ner Daten zwi­schen Euro­pa und den USA bil­den. Durch das Urteil des EUGH blie­ben hier­für ja ledig­lich die EU Stan­dard­ver­trags­klau­seln oder Ver­fah­rens­wei­sen im Rah­men der soge­nann­ten “bin­ding cor­po­ra­te rules” (BCR). Nach­dem eini­ge Unter­neh­men eine recht­zei­ti­ge Umstel­lung nach Weg­fall von Safe Har­bor auf die Stan­dard­ver­trags­klau­seln ver­säumt haben, wur­de zum Bei­spiel der Daten­schutz­be­auf­trag­te Ham­burgs, Prof. Dr. Johan­nes Cas­par bereits aktiv und ging dage­gen aktiv vor.

Und jetzt wird alles gut?

Es ver­wun­dert wenig, dass die betei­lig­ten EU Kom­mis­sa­re den Stel­len­wert und Wir­kungs­grad des von ihnen umge­setz­ten Pri­va­cy Shiel­ds loben. Nach ihrer Sicht sei­en erheb­li­che Zuge­ständ­nis­se zum Schutz per­so­nen­be­zo­ge­ner Daten in den USA von EU Bür­gern geleis­tet wor­den. Dass die­se ledig­lich in kur­zer Brief­form und ohne belast­ba­re recht­li­che Unter­maue­rung in Form von neu­en oder ange­pass­ten Geset­zen in den USA erbracht wur­den, stellt das Pri­va­cy Shield auf kein soli­des Fun­da­ment.… Weiterlesen

Datenpanne bei HIPP — Name, Anschrift und Passwörter betroffen

By | 10. Juni 2016

Das Bonus­pro­gramm “Mein Baby­Club” des bekann­ten Baby­nah­rung­her­stel­lers HIPP wur­de online ange­grif­fen und erfolg­reich gehackt. Der Anbie­ter infor­miert der­zeit die Teil­neh­mer über den Sach­ver­halt, gibt jedoch kei­ne wei­te­ren Details bekannt. Laut den von HIPP ver­sand­ten Emails an Nut­zer des Pro­gramms wur­den Anfang Mai Unre­gel­mä­ßig­kei­ten im Ser­ver­be­trieb fest­ge­stellt. Die­se wür­den auf einen erfolg­rei­chen Hack hin­deu­ten, durch den Namen, Anschrif­ten, Geburts­da­ten, aber auch Pass­wör­ter von den Sys­te­men des Anbie­ters abge­zo­gen wur­den. Die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de sei infor­miert.

Auf­la­gen durch das IT-Sicher­heits­ge­setz

Unab­hän­gig von der Ursa­che für die­sen Hack sind Web­sei­ten­be­trei­ber ver­pflich­tet, not­wen­di­ge Schutz­maß­nah­men zu ergrei­fen, um Daten vor unbe­rech­tig­ten Zugrif­fen zu schüt­zen. Für Web­auf­trit­te heißt es daher, sowohl den Web­ser­ver als auch die Con­tent Manage­ment Soft­ware oder das Shop Sys­tem stets mit aktu­el­len Updates und Sicher­heits­patches aus­zu­stat­ten. Ein regel­m­ßi­ger Blick in die Log­files zwecks Ana­ly­se auf Sicher­heits­ver­stö­ße kann eben­falls nicht scha­den.

Fahrplan der EU Datenschutz-Grundverordnung (EU DS GVO)

By | 10. Mai 2016

Die Euro­päi­sche Daten­schutz-Grund­ver­ord­nung (EU DS GVO) wird nach der Ver­öf­fent­li­chung im EU Amts­blatt am 24.05.2016 inkraft­tre­ten. Die Ver­un­si­che­rung bei Unter­neh­men, aber auch Behör­den und kom­mu­na­len Ein­rich­tun­gen ist zur Zeit groß. Was kommt genau an Ände­run­gen auf uns zu? Was muss ich ab wann beach­ten? Und noch viel drin­gen­der: wie set­ze ich das Gan­ze in der Pra­xis um? In die­sem Bei­trag wol­len wir Ihnen den Fahr­plan der EU Daten­schutz-Grund­ver­ord­nung auf­zei­gen. Damit haben Sie einen zeit­li­chen Anhalts­punkt, bis wann die Umset­zung zu erfol­gen hat und wel­ches Recht zu wel­chem Zeit­punkt anzu­wen­den ist.

Datum / Zeit­raumSach­ver­haltRechts­an­wen­dung
Dezem­ber 2015Eini­gung im EU Tri­log auf die Inhal­te und grund­le­gen­den For­mu­lie­run­gen der Grund­ver­ord­nung (EU DS GVO)Das Bun­des­da­ten­schutz­ge­setz (BDSG) sowie die Lan­des­da­ten­schutz­ge­set­ze gel­ten wei­ter.
Beginn der Umset­zungs­frist, bedeu­tet: Daten­ver­ar­bei­tun­gen sol­len inner­halb von 2 Jah­ren nach Inkraft­tre­ten (24.05.2016) mit der Ver­ord­nung in Ein­klang gebracht, sprich ange­passt wer­den.
Lau­fen­de und neue Ver­fah­ren müs­sen jedoch den Anfor­de­run­gen und Auf­la­gen der noch gel­ten­den Daten­schutz­ge­set­ze genü­gen!
April 2016Annah­me durch Euro­pa-Rat und das Euro­päi­sche Par­la­ment
04.05.2016Ver­kün­dung im Euro­päi­schen Amts­blatt
24.05.2016Inkraft­tre­ten der Euro­päi­schen Daten­schutz-Grund­ver­ord­nung (EU DS GVO) und Beginn der Umset­zungs­frist in den Mit­glieds­staa­ten
25.05.2018Gel­tung der EU DS GVO und
Weiterlesen

EU Datenschutz-Grundverordnung (EU DS GVO) im EU Amtsblatt veröffentlicht

By | 5. Mai 2016

Am 04.05.2016 wur­de die EU Daten­schutz-Grund­ver­ord­nung im EU Amts­blatt ver­öf­fent­licht. 20 Tage nach der Ver­öf­fent­li­chung tritt eine Ver­ord­nung in Kraft, also die EU Daten­schutz-Grund­ver­ord­nung (EU DS GVO) somit zum 25.05.2016. Wei­te­re zwei Jah­re spä­ter wird die EU DS GVO gül­tig, das ist der 25.05.2018.

Nun gilt es, sowohl für nicht-öffent­li­che (Unter­neh­men und Ver­ei­ne) und öffent­li­che (Behör­den) Stel­len, sich auf die­sen Ter­min vor­zu­be­rei­ten. Zuvor ist noch der deut­sche Gesetz­ge­ber gefor­dert, die natio­na­len Öff­nungs­klau­seln in der Ver­ord­nung zu nut­zen und ent­spre­chend aus­zu­ge­stal­ten. Um nicht unglaub­wür­dig zu erschei­nen, muss es Ziel sein, das bis­he­ri­ge Schutz­ni­veau nicht zu unter­lau­fen. Ob das beab­sich­tigt ist und am Ende auch gelingt, darf mit Span­nung erwar­tet wer­den.

Die offi­zi­el­le Ver­öf­fent­li­chung des mehr­spra­chi­gen (und somit auch deut­schen) Tex­tes fin­den Sie auf den Web­sei­ten der EU.