Was kostet ein externer (betrieblicher) Datenschutzbeauftragter?

By | 22. April 2016

Es kommt darauf an

Was kostet ein externer Datenschutzbeauftragter?„, diese Frage wird desöfteren per Email oder als Blogkommentar an mich herangetragen.  Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

  • Was kostet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: „Es kommt darauf an!“

Auf was kommt es an?

Datenschutz ist kein Produkt von der Stange, sondern eine individuelle Leistung maßgeschneidert auf Ihr Unternehmen. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und personenbezogenen Daten im Unternehmen.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso … Weiterlesen

Kurzlinks als unterschätztes Risiko für den Datenschutz

By | 20. April 2016

Fast jeder kennt sie, viele nutzen Sie. Kurzlinks zu Freigaben in Cloudspeichern oder auch als schneller Link zu Webseiten. Eine Studie der Universität Cornell hat nachvollziehbar ein Risiko für die auf diese Art freigegebenen Daten aufgezeigt. Schwachstelle ist die typische Zusammensetzung mit Buchstaben und Zahlen, und nur wenigen Zeichen. Diese Kombinationen lassen sich automatisiert erzeugen und abfragen. Sind die Freigaben nicht zusätzlich mit einem Passwort geschützt, können die auf diese Art im Zugriff befindlichen Daten direkt kompromittiert werden.

Die Studie zeigt ein weiteres Risiko auf. In sieben Prozent aller auf diese Art ermittelten frei zugänglichen Freigaben hätten Sie aufgrund der Art der Freigabe Schadcode in den Speicher einbringen können. Dieser hätte sich mittels der üblichen Synchronisation somit auf die angeschlossenen Geräte der Nutzer weiter verbreiten können.

Generell raten wir dazu, bei der Vergabe aber auch der Nutzung von Kurzlinks sehr vorsichtig zu sein. Einerseits besteht das in der Studie gut nachvollziehbare Datenschutz-Risiko für Ihre auf diese Art freigegebenen Daten. Andererseits wissen Sie nie, wohin Sie ein Kurzlink führen wird. Eine beliebte Masche sind Umleitungen auf präparierte Webseiten, die mittels Exploit Kit Schwachstellen auf Ihrem Gerät aunutzen, um Ihnen Schadcode unterzujubeln.

Generell schadet es auch nicht im Unternehmensumfeld, Ihre Mitarbeiter für … Weiterlesen

Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

By | 11. April 2016

Am gestrigen Sonntag wurde gemeldet, Nutzerkonten samt Daten von registrierten Nutzern der Webseite des DuMont-Verlags standen stundenlang ungeschützt im Netz. Während der Verlag von einem Hackerangriff spricht, scheint einiges für interne Schlamperei zu sprechen (spiegel.de)

Der Verlag nahm die betroffenen Webseiten einige Stunden nach Meldung der Datenpanne offline. Sie sollen im Laufe des heutigen Tages wieder ans Netz gehen. Fatal: Neben den Benutzernamen waren die Passwörter im Klartext abgespeichert. Nach eigenen Angaben des Verlags wurden die Passwörter der betroffenen Accounts zurückgesetzt.

Abmahnung für den Einsatz von Google Analytics

By | 29. März 2016

Google Analytics als Webtracking- und Analyse-Tool ist bei Webmastern recht beliebt. Eine aus Datenschutzsicht beanstandungsfreie Umsetzung ist seit geraumer Zeit möglich. Dabei gilt es jedoch, einiges zu beachten. Wer sich darum nicht kümmert, kann zukünftig vom Wettbewerb dazu mit rechtlichen Mitteln – im Zweifel mittels Abmahnung – gezwungen werden.

In einer einstweiligen Verfügung des Landgerichts Hamburg vom 10.03.2016 mit dem Aktenzeichen 312 O 127/16 untersagt das Gericht dem Betreiber einer Webseite den Einsatz von Google Analytics aufgrund fehlender Hinweise auf den Einsatz, beispielweise im Rahmen der Datenschutzerklärung. Das Landgericht Hamburg droht dem Webseitenbetreiber für den Fall der Zuwiderhandlung gegen diese Anordnung ein Ordnungsgeld von bis zu 250.000 Euro an (als Ersatz Ordnungshaft bis zu 6 Monaten).

Nicht eindeutig geklärt ist bisher, ob § 13 Absatz 1 Satz 1 Telemediengesetz (TMG) Grundlage für eine Abmahnung sein kann. Das Oberlandesgericht (OLG) München hat 2012 diesen Sachverhalt verneint. Dem entgegen hat das OLG Hamburg in 2013 die Abmahnfähigkeit bestätigt.

Wer demnach zur Zeit Abmahnung und weiteres Ungemach wegen des Einsatzes von Google Analytics vermeiden will, tut gut daran, die Empfehlungen aus 2011 für die Einführung und Nutzung von Google Analytics als Webtracking- und Analyse-Tool umzusetzen:

  1. Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG. Eine gemeinsam erarbeitete
Weiterlesen

Patientendaten gehackt – Gesundheitskarte nach wie vor unsicher

By | 14. März 2016

Die RP Online meldet letzte Woche, dass es nach eigenen Tests nach wie vor große Sicherheitslücken bei der Gesundheitskarte gibt. Patientendaten sind nach wie vor nicht sicher, hat deren Überprüfung ergeben. Die Redaktion konnte mit wenigen Mausklicks und einigen Anrufen bei der für den Test ausgewählten Barmer GEK ohne Probleme, Informationen über Arztbesuche und Medikamentationen abfragen.

Wie RP Online berichtet, ist dies bereits der fünfte Fall in den letzten 20 Monaten, in dem es durch das einfach strukturierte Anmelde-Verfahren zu den Online-Services der Krankenkassen (darunter neben der Barmer GEK auch die AOK) zum vollständigen Zugriff auf das Versicherten-Profil kommen kann. Was dazu nötig ist? Es reichen Name, Geburtsdatum, Versichertennummer, eine neu auf den Namen des Versicherten ausgestellte Email-Adresse bei einem beliebigen Anbieter sowie ein Telefonat mit der Versicherung.

Doch das ist nicht neu. Bereits 2014 wurde diese Vorgehensweise als Schwachstelle aufgedeckt, die Krankenkassen informiert. 2015 war der Vorgang immer noch nachvollziehbar (siehe ZDF Videobeitrag). Getan hat sich seither wenig bis nichts. Daher ist auch die Bundesdatenschutzbeauftragte, Andrea Voßhoff „not amused“.

 

Locky immer erfolgreicher

By | 9. März 2016

Zusammenfassung

Verwunderlich, wie wenig in den Nachrichten zu dem Thema in den letzten Tagen zu hören ist. Nach Teslacrypt treibt ein weiterer Krypto-Trojaner sein Unwesen. Und das sogar ziemlich erfolgreich. Vor einigen Tagen gab es noch 5.000 Infektionen pro Stunde in Deutschland. Heute sind es über den Tag immerhin noch 17.000 (auch wieder nur alleine in Deutschland).

Krypto-Trojaner gehören zu der sogenannten Ransomware. Einmal auf dem Computer angekommen und aktiviert, beginnen sie umgehend mit ihrer Aufgabe. Und diese lautet „Verschlüssele alles, was Dir in die Finger kommt“. Die Folgen verheerend. Unternehmen werden lahmgelegt, Behörden sind arbeitsunfähig. Im privaten Bereich sind im Zweifel über die Jahre mühselig gepflegte Bilder- und Musikdatenbanken futsch.

Entschlüsselt wird nur gegen Zahlung von Lösegeld in Form von Bitcoins. Und das Geschäft boomt.

Ein Klick genügt – Locky legt los

Vor einigen Tagen sprach ich mit dem IT-Leiter einer großen Stadt in Bayern. Zu Locky (dem zur Zeit bekanntesten grassierenden Krypto-Trojaner) befragt, meinte er lapidar „Wir sind auf DEFCON 1“. Damit wird die höchste militärische Verteidigungsstufe in den USA bezeichnet.

Wie es zu einer solchen Aussage kommt, wird schnell klar, wenn man einen Blick auf die Entwicklung in den letzten Wochen wirft. Bereits im Dezember sahen sich … Weiterlesen

Die Auftragsdatenverarbeitung – Besonderheiten des Datenschutzrechts beim Outsourcing

By | 3. März 2016

Um was geht es bei Auftragsdatenverarbeitung?

Ein sperriger Begriff für einen einfachen Sachverhalt. Auftragsdatenverarbeitung meint das klassische Outsourcing an einen externen Dienstleister. Nur sind in diesem speziellen Fall personenbezogene Daten betroffen. Für diesen Fall hat der Gesetzgeber im Bundesdatenschutzgesetz den § 11 BDSG „Auftragsdatenverarbeitung“ vorgesehen.

Um ein möglichst hohes Schutzniveau zu gewährleisten und das Risiko von Datenpannen bei der Auslagerung auf Subunternehmer zu minimieren, sieht § 11 BDSG Auftragsdatenverarbeitung einige Auflagen vor. Um die Bedeutung und Ernsthaftigkeit des Themas zu unterstreichen, stehen auf eine fehlende oder fehlerhafte Umsetzung empfindliche Bußgelder bis 50.000 Euro (§ 43 BDSG).

Was fällt alles unter den Begriff Auftragsdatenverarbeitung?

Am einfachsten läßt sich das an konkreten Beispielen erklären. Von einer Auftragsdatenverarbeitung spricht man im Falle

  • der Nutzung einer Mailingagentur oder eines Lettershops zum Erstellen und Versand von Anschreiben, die an natürliche Personen gerichtet sind oder
  • der Durchführung der monatlichen Gehaltsabrechnung durch eine externe Lohn- und Gehaltsabrechnungstelle (nicht Steuerberater) oder
  • des Einsatzes einer extern gehosteten Software zur Verwaltung und zum Versand von Newslettern oder
  • der Beauftragung eines externen Callcenter oder Office-Services oder
  • dem teilweisen oder vollständigen Auslagern des Rechenzentrums oder
  • in vielen ähnlichen vergleichbaren Fällen – fragen Sie Ihren Datenschutzbeauftragten oder gleich uns.

Gerne … Weiterlesen

KGSt®-Infotag 2016: IT- und Datensicherheit in Kommunen

By | 22. Februar 2016

Am 23.02.2016 findet der KGSt®-Infotag: IT- und Datensicherheit in Kommunen in Hamm statt. Als Vertreter des Bayerischen IT-Sicherheitsclusters e.V. werden wir dort das Thema ISIS12 für Kommunen präsentieren. Zum Abschluss der Veranstaltung nehmen wir an der Podiumsdiskussion teil, Thema u.a. „Wie digital souverän müssen Kommunen sein?“. Wir freuen uns auf anregende Beiträge und kontroverse Diskussionen.

Mehr zur Veranstaltung