Schwachstelle im Internet Explorer (6+7): Vorsicht vor manipulierten Webseiten

By | 12. März 2010

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) warnt vor dem Besuch mani­pu­lier­ter Web­sei­ten im Zusam­men­hang mit der Nut­zung des Inter­net Explo­rers in den Ver­sio­nen 6 und 7. Es exis­tiert lt. BSI eine Sicher­heits­lü­cke, die es erlaubt, Schad­code in ein Win­dows Sys­tem ein­zu­schleu­sen und auf dem Rech­ner zu star­ten.

Micro­soft hat eine Anlei­tung (Secu­ri­ty Advi­so­ry) ver­öf­fent­licht, anhand der das Sicher­heits­ri­si­ko gemin­dert wer­den kann. Alter­na­tiv stel­len Sie die Sicher­heits­zo­ne für “Inter­net” und “Loka­les Intra­net” in den Inter­net Explo­rer Ein­stel­lun­gen auf “Hoch” oder stei­gen auf die Ver­si­on 8 um. Ich selbst emp­feh­le den Ein­satz von Mozil­la Fire­fox in sei­ner aktu­el­len Ver­si­on (Down­load).

BSI und das sog. Bür­ger-CERT sind emp­feh­lens­wer­te Infor­ma­ti­ons­quel­len für Daten­si­cher­heit in der Infor­ma­ti­ons­tech­nik. Aktu­el­le Infor­ma­tio­nen und Nach­rich­ten kön­nen dort per Email abon­niert wer­den und Sie sind somit stets aktu­ell.

Vorratsdatenspeicherung verfassungswidrig — und jetzt?

By | 11. März 2010

Am 02.03.2010 hat das Bun­des­ver­fas­sungs­ge­richt ent­schie­den, die jet­zi­ge Form des Geset­zes zur Vor­rats­da­ten­spei­che­rung ver­stößt gegen Arti­kel 10 Absatz 1 des Grund­ge­set­zes und ist damit hin­fäl­lig. Fazit: alle auf Basis die­ses Geset­zes bis­her gepei­cher­ten Daten sind zu löschen.

Ein Sieg für den Daten­schutz, könn­te man mei­nen. Doch die Ange­le­gen­heit hat einen Haken: nicht die Vor­rats­da­ten­spei­che­rung an sich wur­de für ver­fas­sungs­wid­rig erklärt, son­dern nur die bis­he­ri­ge Aus­ge­stal­tung des Geset­zes. Im Hin­ter­grund steht die euro­päi­sche Rege­lung zur Daten­spei­che­rung, die es nach wie vor umzu­set­zen gilt. Die Regie­rung hat es dabei mit sei­ner bis­he­ri­gen Fas­sung über­trie­ben, wur­de in die Schran­ken gewie­sen und muss ent­spre­chend neue Aus­ge­stal­tun­gen und For­mu­lie­run­gen fin­den. Bis dahin ist die jet­zi­ge Rege­lung schlicht ungül­tig.

Das bedeu­tet, eine neue gesetz­li­che Rege­lung zur Vor­rats­da­ten­spei­che­rung wird kom­men — ange­lehnt an die Auf­la­gen des Bun­des­ver­fas­sungs­ge­richts und vor dem Hin­ter­grund der euro­päi­schen Rege­lun­gen. Wie die­se in der Pra­xis aus­ge­stal­tet wer­den, bleibt abzu­war­ten. Eben­so wie die Fra­ge, ob das neue Gesetz erneut der kon­se­quen­ten und har­ten Prü­fung durch das Bun­des­ver­fas­sungs­ge­richt auf­grund von Kla­gen unter­zo­gen wird.

Zu begrü­ßen ist auf jeden Fall die kla­re Ansa­ge, daß der Bun­des­da­ten­schutz­be­auf­trag­te in die Kon­trol­le über die Ver­wen­dung der gespei­cher­ten Daten ein­be­zo­gen wer­den soll.

Die Klä­ger, wel­che das deut­sche Gesetz vor … Weiterlesen

Datenschutz ist Teil der Menschenwürde”

By | 10. März 2010

So prä­gnant bringt es der Lan­des­da­ten­schutz­be­auf­trag­te von Rhein­land-Pfalz, Edgar Wag­ner in sei­nem heu­te (10.03.2010) ver­öf­fent­lich­ten Tätig­keits­be­richt 2008/2009 auf den Punkt (Zitat):

Die Trends zur Nut­zung des Inter­net für nahe­zu alle Lebens­be­rei­che und zur Kom­mer­zia­li­sie­rung per­so­nen­be­zo­ge­ner Daten haben sich mit atem­be­rau­ben­der Geschwin­dig­keit ver­stärkt. Spür­bar wur­de dies im Berichts­zeit­raum durch eine Häu­fung von Daten­schutz­pro­ble­men im Bereich der Inter­net-Nut­zung, hier vor allem im pri­vat­wirt­schaft­li­chen Bereich. Außer­dem berei­tet die Ver­brei­tung von Über­wa­chungs­tech­ni­ken der unter­schied­lichs­ten Art Sor­ge, von der Video­über­wa­chung über die RFID-Nut­zung bis zur Vor­rats­da­ten­spei­che­rung. Das Daten­schutz­be­wusst­sein der Nut­zer, aber auch der Anbie­ter ist nicht beson­ders aus­ge­prägt. Die Defi­zi­te sind groß und wer­den im Zuge der tech­no­lo­gi­schen Ent­wick­lung immer grö­ßer. Das kann nicht ein­fach ach­sel­zu­ckend hin­ge­nom­men wer­den. Denn der Daten­schutz ist Teil der Men­schen­wür­de und gehört zu den Grund­la­gen unse­rer frei­heit­li­chen Ord­nung”

Wei­ter­hin bemän­gelt er das Feh­len eines Arbeit­neh­mer­da­ten­schutz­ge­setz. Zur Zeit erfah­ren die Daten von Arbeit­neh­mern und deren Schutz in § 32 Bun­des­da­ten­schutz­ge­setz (BDSG) nicht die erfor­der­li­che Auf­merk­sam­keit.

Doch auch die Pri­vat­wirt­schaft bekommt für ihren oft laxen Umgang mit per­so­nen­be­zo­ge­nen Daten — gera­de im Bereich der Auf­trags­da­ten­ver­ar­bei­tung — einen Rüf­fel. Dies soll durch wei­te­re Auf­klä­rung und Kon­trol­le geän­dert wer­den.

Ein wei­te­res Ziel sei die Ver­net­zung der mit dem Daten­schutz befass­ten … Weiterlesen

Wie bestelle ich den externen Datenschutzbeauftragten?

By | 10. März 2010

Liegt die Not­wen­dig­keit zur Bestel­lung eines Daten­schutz­be­auf­trag­ten für Ihr Unter­neh­men vor und haben Sie sich auf­grund der zahl­rei­chen Vor­tei­le für einen exter­nen Daten­schutz­be­auf­trag­ten ent­schie­den, dann sind eini­ge For­ma­li­tä­ten zu beach­ten.

Sind Sie noch nicht sicher, ob das BDSG für Sie die Bestel­lung eines Daten­schutz­be­auf­trag­ten not­wen­dig macht, dann spre­chen Sie mich an. Ich unter­stüt­ze Sie ger­ne bei der Bewer­tung. Selbst­ver­ständ­lich ste­he ich Ihnen auf­grund mei­ner bun­des­wei­ten Tätig­keit zeit­nah als exte­ner Daten­schutz­be­auf­trag­ter zur Ver­fü­gung.

Die Bestel­lung eines Daten­schutz­be­auf­trag­ten bedarf in jedem Fall der Schrift­form. Der not­wen­di­ge Schrift­satz für mei­ne Bestel­lung als Ihr exter­ner Daten­schutz­be­auf­trag­ter liegt im Haus vor und kann jeder­zeit — nach Ergän­zung Ihrer Unter­neh­mens­an­ga­ben — zum Ein­satz kom­men.

Zusätz­lich wird ein sog. Geschäfts­be­sor­gungs­ver­trag / Dienst­ver­trag benö­tigt, der die Auf­ga­ben, Kom­pe­ten­zen, Ver­ant­wort­lich­kei­ten, Haf­tung und das Zusam­men­spiel zwi­schen Ihrem Unter­neh­men und mei­ner Per­son als exter­nem Daten­schutz­be­auf­trag­ten regelt. Hier­für gibt es eben­falls eine geprüf­te und bewähr­te Vor­la­ge, die ich Ihnen bei einer Bestel­lung und Auf­trags­ver­ga­be ger­ne zur Ver­fü­gung stel­le — Sie spa­ren somit die Kos­ten für die Erstel­lung durch einen Anwalt.

Sind die­se For­ma­li­tä­ten geklärt und erle­digt, kann es ans Werk gehen.

Bit­te haben Sie Ver­ständ­nis dafür, daß ich die­se Vor­la­gen nur für die Bestel­lung mei­ner Per­son als exter­nen Daten­schutz­be­auf­trag­ten ein­set­ze und … Weiterlesen

Aufgaben des externen Datenschutzbeauftragten

By | 9. März 2010

Zu den vor­nehm­li­chen Auf­ga­ben eines exter­nen Daten­schutz­be­auf­trag­ten gehö­ren u.a.

  • die Bera­tung und Betreu­ung der Geschäfts­füh­rung eines Unter­neh­mens in (allen) Daten­schutz­fra­gen
  • die Bera­tung und Betreu­ung der Mit­ar­bei­ter und des evtl. vor­han­de­nen Betriebs­rats
  • die Schu­lung und schrift­li­che Ver­pflich­tung der Mit­ar­bei­ter auf das Daten­ge­heim­nis
  • die Bera­tung, Vor-Ort-Schu­lung und fort­lau­fen­de Sen­si­bi­li­sie­rung zu Daten­si­che­rungs­maß­nah­men
  • die Über­wa­chung und bei Bedarf Vor­ab­kon­trol­le der ord­nungs­ge­mä­ßen Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten
  • die Mit­wir­kung bei der gesetz­lich vor­ge­schrie­be­nen Doku­men­ta­ti­on (Ver­fah­rens­ver­zeich­nis­se, Pro­to­kol­le etc.)
  • die Unter­stüt­zung bei der daten­schutz­ge­rech­ten Aus­ge­stal­tung von Ver­trä­gen bei exter­ner Auf­trags­da­ten­ver­ar­bei­tung (Steu­er­be­ra­ter, Lohn- und Gehalts­ab­rech­nung, Wer­be- und Mar­ke­ting­agen­tu­ren etc.)
  • als kom­pe­ten­ter Ansprech­part­ner rund um das BDSG für das Unter­neh­men und sei­ne Mit­ar­bei­ter bereit­zu­ste­hen

Sie benö­ti­gen einen exter­nen Daten­schutz­be­auf­trag­ten? Dann nut­zen Sie mei­ne lang­jäh­ri­ge Erfah­rung und das Know How in Ver­bin­dung mit mei­ner Fach­kun­de in Bezug auf die Aus­übung der Tätig­keit als Daten­schutz­be­auf­trag­ter zum Schutz Ihres Unter­neh­mens. Spre­chen Sie mich an.

Flyer Datenschutz, Datensicherheit und Datenschutzbeauftragter a.s.k. Datenschutz
Fly­er Daten­schutz, Daten­si­cher­heit und Daten­schutz­be­auf­trag­ter a.s.k. Daten­schutz
ask Daten­schutz Daten­si­cher­heit Daten­schutz­be­auf­trag­ter V1_2.pdf
Ver­si­on: 1.2
323.2 KiB
4105 Down­loads
Details…

Externer vs. interner Datenschutzbeauftragter

By | 9. März 2010

Ein exter­ner Daten­schutz­be­auf­trag­ter hat die glei­chen Auf­ga­ben wie ein inter­ner Daten­schutz­be­auf­trag­ter (DSB). Für ein Unter­neh­men jedoch von ent­schei­den­dem Vor­teil: der exter­ne Daten­schutz­be­auf­trag­te hat eine ande­re Stel­lung und ist oft­mals preis­wer­ter.

  • Weg­fall des erwei­ter­ten Kün­di­gungs­schut­zes: im Gegen­satz zu einem inter­nen DSB ver­fügt der exter­ne DSB über kei­nen gesetz­lich fest­ge­schrie­be­nen erwei­ter­ten Kün­di­gungs­schutz. D.h. der Ver­trag der exter­nen Bestel­lung kann regel­mä­ßi­ge Kün­di­gungs­fris­ten vor­se­hen! Dahin­ge­gen geniesst der inter­ne DSB wäh­rend sei­ner Tätig­keit als inter­ner DSB und ein Jahr dar­über­hin­aus einen erwei­ter­ten Kün­di­gungs­schutz.
  • Ver­bes­ser­te Haf­tung / Absi­che­rung: wäh­rend für den inter­nen DSB in Haf­tungs­fra­gen die sog. “betrieb­li­che Ver­an­las­sung” gilt, kann in exter­ner DSB für sein Han­deln ver­ant­wort­lich gemacht wer­den. Übli­cher­wei­se ver­fügt der exter­ne DSB über eine dahin­ge­hend spe­zia­li­sier­te Betriebs- und Ver­mö­gens­scha­dens­haft­plicht.
  • Über­schau­ba­rer und trans­pa­ren­ter Kos­ten­fak­tor: ein inter­ner DSB ist in sei­ner Zeit­ein­tei­lung und Tätig­keit als DSB frei und wei­sungs­un­ge­bun­den. Die Kos­ten­kon­trol­le für den Bereich Daten­schutz und Daten­schutz­be­auf­trag­ter ist fak­tisch aus­ge­he­belt. Anders ver­hält sich es sich beim Ein­satz eines exter­nen Daten­schutz­be­auf­tra­gen, mit dem das Unter­neh­men einen trans­pa­ren­ten und nach­voll­zieh­ba­ren Ver­trag über Auf­ga­ben, Ver­ant­wort­lich­kei­ten und Kos­ten schlies­sen. Oft­mals ist der exter­ne DSB für das Unter­neh­men die deut­lich preis­wer­te­re Alter­na­ti­ve.
  • (Kos­ten der) Wei­ter­bil­dung / Erfül­lung der gesetz­li­chen Anfor­de­run­gen an die Fach­kun­de eines DSB
Weiterlesen

Welchen Nutzen hat ein Unternehmen von einem Datenschutzbeauftragten?

By | 9. März 2010

Vor­ran­gig natür­lich die Ein­hal­tung der gesetz­li­chen Rege­lun­gen. Hin­zu kommt, daß Ver­stö­ße gegen das Daten­schutz­ge­setz mit Geld­bu­ßen von 50.000 bis 300.000 EURO (in begrün­de­ten Ein­zel­fäl­len auch dar­über hin­aus) geahn­det wer­den kön­nen (sie­he BDSG § 43). Je nach Sach­la­ge kön­nen auch Scha­dens­er­satz­for­de­run­gen bis hin zu Frei­heits­ent­zug (im straf­recht­li­chen Anwen­dungs­be­reich) auf den Ver­ur­sa­cher zukom­men. Vom Image­ver­lust für ein Unter­neh­men gar nicht zu reden.

Daten­schutz und Daten­si­cher­heit sind eng mit­ein­an­der ver­knüpft. So haben Sie als Unter­neh­mer die Gewiss­heit, dass kon­se­quen­ter Daten­schutz auch das Risi­ko von Daten­ver­lust durch Dieb­stahl, Spio­na­ge, Hard­ware­aus­fall etc. mini­miert.

Die fach­kun­di­ge, nach­voll­zieh­ba­re, fort­wäh­ren­de Prü­fung auf Ein­hal­tung der Daten­schutz­be­stim­mun­gen kann aber nicht nur vor den oben­ge­nann­ten “Schä­den” bewah­ren, son­dern ein Unter­neh­men kann durch kon­se­quen­ten und geleb­ten Daten­schutz ein Qua­li­täts­merk­mal errei­chen, mit dem es sich von Wett­be­wer­bern posi­tiv abhebt. Sich an gesetz­li­che Rege­lun­gen zu hal­ten, ist kein zuläs­si­ges Wer­be-Merk­mal. Jedoch mehr zu tun, als der Gesetz­ge­ber vor­schreibt, muss nicht ver­heim­licht wer­den — tue Gutes und rede dar­über.

Das Bundesdatenschutzgesetz

By | 9. März 2010

Das Bun­des­da­ten­schutz­ge­setz (BDSG) regelt (in sei­ner aktu­el­len Fas­sung) die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten inkl. deren Über­mitt­lung an Drit­te. Hier­bei wer­den sowohl die auto­ma­ti­sier­te (per IT Sys­te­me) als auch die manu­el­le Ver­ar­bei­tung berück­sich­tigt durch öffent­li­che (Behör­den, Ämter) und nicht-öffent­li­che Stel­len (z.B. Unter­neh­men).

Per­so­nen­be­zo­ge­ne Daten wer­den defi­niert als “Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son” (§ 3 BDSG). Damit sind Infor­ma­tio­nen gemeint, die sich auf einen ein­zel­nen (leben­den) Men­schen bezie­hen oder einen Bezug zu ihm mög­lich machen. Unter per­sön­li­chen und sach­li­chen Ver­hält­nis­sen sind Anga­ben gemeint, die einen per­sön­li­chen oder sach­li­chen Bezug zu die­sem Men­schen ermög­li­chen. Das beginnt mit Anschrift und Tele­fon­num­mer und endet nicht zwin­gend bei Beur­tei­lun­gen und Bewer­tun­gen oder Kauf­ver­hal­ten. Per­so­nen­be­zo­ge­ne Daten kön­nen gera­de in Unter­neh­men intern (Per­so­nal­ak­ten) und extern (Kun­den­da­ten, Fak­tu­ra, Wer­bung etc.) vor­lie­gen.

Es gel­ten die Grund­sät­ze der Daten­ver­mei­dung und der Daten­spar­sam­keit nach § 3a BDSG: mög­lichst kei­ne oder so wenig wie mög­lich an per­so­nen­be­zo­ge­nen Daten erhe­ben, ver­ar­bei­ten oder nut­zen.

Was ist Datenschutz?

By | 9. März 2010

Unter Daten­schutz ver­steht man den Schutz per­so­nen­be­zo­ge­ner Daten vor Miss­brauch, oft im Zusam­men­hang auch mit dem Schutz der Pri­vat­sphä­re. Zweck und Ziel des Daten­schutz ist die Siche­rung des Grund­rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung  der Ein­zel­per­son. Jeder soll selbst bestim­men kön­nen, wem er wann wel­che sei­ner Daten und zu wel­chem Zweck zugäng­lich macht.

Per­so­nen­be­zo­ge­ne Daten sind gemäß § 3 Abs. 1 BDSG  „Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son“.

Der ste­tig zuneh­men­den Erhe­bung, Spei­che­rung, Weitergabe,Vernetzung und Nut­zung von Daten durch fort­schrei­ten­de Tech­no­lo­gi­sie­rung (Email, Inter­net, Mobil­te­le­fo­ne, sozia­le Netz­wer­ke, Kun­den­kar­ten etc.) steht eine gewis­se Gleich­gül­tig­keit wei­ter Tei­le der Bevöl­ke­rung, aber auch auf Unter­neh­mer­sei­te ent­ge­gen, in deren Augen Daten­schutz kei­nen oder nur einen gerin­gen Stel­len­wert hat.

Die welt­wei­te Ver­net­zung und eine Ver­la­ge­rung von Daten in Län­der, in denen deut­sche und euro­päi­sche Schutz­ge­set­ze kei­ne Gül­tig­keit haben, machen Daten­schutz oft wir­kungs­los oder erschwe­ren die­sen zumin­dest. Von daher geht es beim The­ma Daten­schutz mitt­ler­wei­le nicht mehr um die rei­ne Daten­si­cher­heit z.B. durch tech­ni­sche Hilfs­mit­tel, son­dern auch um eine effek­ti­ve Durch­set­zung von Daten­schutz.

Bei uns in Deutsch­land ist Daten­schutz kein neu­es The­ma. Schon 1977 trat ein Bun­des­da­ten­schutz­ge­setz in Kraft, wel­ches sich jedoch mit dem Daten­schutz in der öffent­li­chen Bun­des­ver­wal­tung befass­te. Öffent­lich­keits­wirk­sam trat der … Weiterlesen