EU Datenschutz-Grundverordnung am Start

By | 17. Januar 2016

Mit­te Dezem­ber 2015 fand die wohl letz­te Ver­hand­lungs­run­de zur EU Daten­schutz-Grund­re­form statt. Die nun vor­lie­gen­de “fina­le” Ver­si­on wird wohl kei­nen wei­te­ren Ände­run­gen mehr unter­wor­fen sein. Die EU Daten­schutz Grund­ver­ord­nung steht also nach lan­gem Rin­gen am Start. Fast 4 Jah­re sind ver­gan­gen, seit der Ent­schluss gefasst wur­de, ein ein­heit­li­ches, moder­nes und zukunfts­fä­hi­ges Daten­schutz-Recht für alle EU-Mit­glieds­staa­ten zu schaf­fen. Was lan­ge währt, wird end­lich gut?

Mit­nich­ten. Die groß ange­kün­dig­ten neu­en Rech­te der Ver­brau­cher sind in wei­ten Tei­len Augen­wi­sche­rei und unprak­ti­ka­bel. Unter­neh­men und Behör­den müs­sen sich noch mehr Büro­kra­tie stel­len, die Buß­gel­der stei­gen. Und wie so oft bei vie­len Köchen, der Brei ist – naja – so lala. Die Poli­tik lobt sich über­schwäng­lich. Wer in den nun fina­len Text der Ver­ord­nung schaut, stellt fest, es wur­de der kleins­te gemein­sa­me Nen­ner gefun­den.

Besteht jetzt schon Hand­lungs­be­darf?

Der Text muss nun noch in die Lan­de­spra­chen der EU Län­der über­setzt wer­den, EU-Rat und EU-Par­la­ment müs­sen das Mach­werk noch abni­cken und die Ver­kün­dung im EU-Amts­blatt statt­fin­den. Die Ver­ord­nung sieht eine zwei­jäh­ri­ge Über­gangs­frist vor, das heißt Anfang 2018 müs­sen die neu­en Rege­lun­gen umge­setzt sein.

Bis dahin bleibt aus­rei­chend Zeit, sich mit den not­wen­di­gen Anpas­sun­gen für Unter­neh­men aber auch Behör­den aus­ein­an­der­zu­set­zen und die erfor­der­li­chen Maß­nah­men zur rechts­kon­for­men Umset­zung zu tref­fen.… Weiterlesen

Safe Harbor 2.0 – Wunsch oder Wirklichkeit

By | 8. Januar 2016

Was ist mit Safe Har­bor 1.0 pas­siert?

Am 06.10.2015 hat für eini­ge der größ­te Durch­bruch der letz­ten Jahr­zehn­te im Daten­schutz statt­ge­fun­den und für ande­re end­lich die lang­jäh­ri­ge bewuß­te Selbst­täu­schung ein Ende gefun­den. Die Rede ist vom soge­nann­ten Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs. Voll­kom­men zu Recht hat der EuGH die­ses Zuläs­sig­keits­ver­fah­ren für Daten­über­mitt­lun­gen in die USA in Fra­ge gestellt und am Ende für nich­tig erklärt. Wer sich mit den Hin­ter­grün­den befasst hat, ist davon wenig über­rascht.
Was jedoch in der Pra­xis in den ers­ten Wochen der Unsi­cher­heit nach die­sem Urteil nun statt­fand, war teil­wei­se purer markt­schreie­ri­scher Aktio­nis­mus gepaart mit einer gehö­ri­gen Por­ti­on Welt­fremd­heit.

06.10.2015 Das Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs

Jede Daten­über­mitt­lung benö­tigt eine recht­li­che Grund­la­ge zur Zuläs­sig­keit. Dies schrei­ben unse­re deut­schen und euro­päi­schen Daten­schutz­ge­set­ze so vor. Zur ver­ein­fach­ten Legi­ti­ma­ti­on von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA durch euro­päi­sche Unter­neh­men wur­de vor 15 Jah­ren (also auch lan­ge vor dem NSA Skan­dal) Safe Har­bor ins Leben geru­fen. Der “siche­re Hafen” defi­nier­te Richt­li­ni­en zum Daten­schutz und zur Daten­si­cher­heit, unter denen die Über­mitt­lung per­so­nen­be­zo­ge­ne Daten in die USA als zuläs­sig ein­ge­stuft wur­de. Ame­ri­ka­ni­sche Anbie­ter konn­ten sich die­sen Richt­li­ni­en unter­wer­fen und an zen­tra­ler Stel­le dies doku­men­tie­ren las­sen. Eine Über­prü­fung, ob die gefor­der­ten Stan­dards Weiterlesen

Frohes neues Jahr 2016

By | 3. Januar 2016

Wir wün­schen allen unse­ren Lesern ein gesun­des, glück­li­ches und erfolg­rei­ches neu­es Jahr 2016. Sie haben den Jah­res­wech­sel hof­fent­lich im Kreis Ihrer Lie­ben ver­bracht.

2016 wird in Sachen Daten­schutz ein span­nen­des Jahr. Neben den Aus­wir­kun­gen der eGo­vernment-Geset­ze im öffent­li­chen Bereich (Behör­den / Kom­mu­nen) sehen wir mit Span­nung dem wei­te­ren Fort­gang zu Safe Har­bour und des­sen Nach­fol­ger ent­ge­gen. Zum Jah­res­wech­sel stand eben­falls nach lang­jäh­ri­gen Ver­hand­lun­gen die EU Daten­schutz Grund­ver­ord­nung fest. Anfang 2018 wird die­se in Kraft tre­ten und Unter­neh­men und Behör­den sind gut bera­ten, sich bereits in die­sem Jahr mit den anste­hen­den Ver­än­de­run­gen aus­ein­an­der­zu­set­zen.

Fro­hes Schaf­fen!… Weiterlesen

IT-Sicherheit für Laufer Unternehmen “Industrie 4.0”

By | 23. Oktober 2015

Von der Bun­des­re­gie­rung als Zukunfts­pro­jekt ins Leben geru­fen, hat sich der Begriff „Indus­trie 4.0“ vom rei­nen Mar­ke­ting zu einem fes­ten Bestand­teil in der Busi­ness­kom­mu­ni­ka­ti­on eta­bliert. Dabei ist das Kern­stück die intel­li­gen­te Fabrik (Smart Fac­to­ry). Dies ermög­licht neben einer Effi­zi­enz­stei­ge­rung der Pro­duk­ti­on vor allem neue, intel­li­gent Pro­duk­te und Dienst­leis­tun­gen. Aber dadurch erge­ben sich jedoch nicht nur span­nen­de Mög­lich­kei­ten für Unter­neh­men, son­dern auch neue Pro­blem­stel­lun­gen in sicher­heits­tech­ni­scher Hin­sicht. Die­se Chan­cen und Risi­ken für Lau­fer Fir­men wol­len wir in den Mit­tel­punkt die­ser Ver­an­stal­tung stel­len.

Unter der Feder­füh­rung und Ein­la­dung des 1. Bür­ger­meis­ters der Stadt Lauf, Herrn Bene­dikt Bis­ping, ver­an­stal­tet der Bund der Selb­stän­di­gen, BDS Orts­ver­band Lauf, einen Infor­ma­ti­ons­abend zu dem aktu­el­len The­ma Indus­trie 4.0. Die­ser fin­det

  • am Diens­tag, den 3. Novem­ber 2015
  • um 18:00 Uhr
  • im Sit­zungs­saal, 1. Stock, Zi.-Nr. 100
  • bei der Stadt Lauf, Urlas­stra­ße 22, 91207 Lauf a.d.Pegnitz

statt.

Wir wer­den ab 19:35 Uhr mit einem Bei­trag zu ISA+ und ISIS12 zu Mög­lich­kei­ten zur Ver­bes­se­rung und Sys­te­ma­ti­sie­rung von Infor­ma­ti­ons­si­cher­heit infor­mie­ren.

Pro­gramm und Anmel­dung als PDF her­un­ter­la­den… Weiterlesen

Seminar “Rechtliche Aspekte der IT-Nutzung”

By | 24. September 2015

Am 21.10.2015 fin­det das BVS Semi­nar “Recht­li­che Aspek­te der IT-Nut­zung” in Nürn­berg mit Sascha Kuhrau als Refe­ren­ten statt. Das Semi­nar rich­tet sich an IT-Füh­rungs­kräf­te, Admi­nis­tra­to­ren, Daten­schutz­be­auf­trag­te, Per­so­nal­re­fe­ren­ten und Betriebs­rä­te, aber auch an Geschäfts­füh­rung / Orga­ni­sa­ti­ons­lei­tung.

Inhal­te sind unter ande­rem:

Juris­ti­sche Kon­se­quen­zen von Schä­den und Fehl­ver­hal­ten

  • Scha­den­er­satz und Haf­tung
  • Straf- und Buß­geld­vor­schrif­ten

IT-Arbeits­rech­t/­Mit­ar­bei­ter­da­ten­schutz

  • Pri­vat­nut­zung von E-Mail und Inter­net
  • IT-Pro­to­kol­lie­rung und Aus­wer­tung
  • Video­über­wa­chung
  • Heim­ar­beit
  • Bring your own device (BYOD)
  • Mit­ar­beiterfo­tos auf der Web­sei­te
  • Ein­sicht­nah­me in per­sön­li­che E-Mail-Kon­ten und Abla­gen
  • Lega­le Kon­trol­len und inter­ne Ermitt­lun­gen

Inter­net-Recht

  • Recht­li­che Risi­ken sozia­ler Medi­en
  • Impres­sum und Daten­schutz­er­klä­rung
  • Auf­trags­da­ten­ver­ar­bei­tung (IT-Out­sour­cing und Cloud Com­pu­ting)

Die Ver­an­stal­tung fin­det im BVS Bil­dungs­zen­trum Nürn­berg statt. Beginn ist um 9.00 Uhr, Ende vor­aus­sicht­lich um 16.30 Uhr. Refe­rent ist Herr Sascha Kuhrau von a.s.k. Daten­schutz. Ich freue mich auf Ihre Teil­nah­me.

Zur Anmel­dung (Lehr­gangs­ge­bühr 170 Euro wird von der BVS erho­ben)… Weiterlesen

Neue Webseite zu ISIS12 für Kommunen online

By | 30. August 2015

Um Ihnen Infor­ma­tio­nen und Inhal­te zu ISIS12 als Manage­ment­sys­tem für Infor­ma­ti­ons­si­cher­heit (ISMS) und die Ein­satz­mög­lich­kei­ten im kom­mu­na­len Ver­wal­tungs­be­reich bes­ser prä­sen­tie­ren zu kön­nen, haben wir einen neu­en Web­auf­tritt ins Netz gestellt.

Sie fin­den die­sen unter der URL http://www.informationssicherheit-kommunalverwaltung.de. Dort stel­len wir Ihnen das ISMS ISIS12 näher vor und beschrei­ben Ihnen den Weg zu mög­li­chen För­der­mit­teln (aktu­el­les För­der­pro­gramm in Bay­ern für kom­mu­na­le Ver­wal­tun­gen und in Sach­sen für klei­ne und mitt­le­re Unter­neh­men).

a.s.k. Daten­schutz Sascha Kuhrau ist seit Anfang August 2015 zer­ti­fi­zier­ter ISIS12 Bera­ter. Wir unter­stüt­zen Sie bei der Ein­füh­rung und Umset­zung von ISIS12 in Ihrer Orga­ni­sa­ti­on.… Weiterlesen

Bußgeld wegen fehlerhafter Auftragsdatenverarbeitung verhängt

By | 29. August 2015

Lang­jäh­ri­ge Kun­den und Emp­fän­ger unse­rer Daten­schutz-Infor­ma­ti­on wer­den sich an das wie­der­keh­ren­de The­ma die­ses Bei­tra­ges sicher erin­nern und haben die Infor­ma­ti­on am Tag der Ver­öf­fent­li­chung der Pres­se-Infor­ma­ti­on des BayL­DA bereits als Son­der-News­let­ter erhal­ten. Auf­grund der Trag­wei­te des Vor­gangs infor­mie­ren wir hier noch mal auf unse­rem Daten­schutz-Fach­blog.

Es geht um das The­ma Out­sour­cing an exter­ne Dienst­leis­ter im Hin­blick auf mög­li­cher­wei­se betrof­fe­ne per­so­nen­be­zo­ge­ne Daten. Das Daten­schutz­recht spricht hier von einer Auf­trags­da­ten­ver­ar­bei­tung. Nicht weil hier ein Auf­trag ver­ge­ben wird, son­dern weil im Auf­trag der ver­ant­wort­li­chen Stel­le jemand Drit­tes mit den per­so­nen­be­zo­ge­nen Daten zu tun hat oder in Kon­takt kommt  / kom­men kann. Die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de hat jetzt wegen feh­ler­haf­ter Umset­zung der gesetz­lich vor­ge­schrie­be­nen Ver­fah­rens­wei­se und Inhal­te ein Buß­geld ver­hängt.

Feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung führt zu Buß­geld

Das ist so klar und deut­lich in § 43 Absatz 1 Satz 2b BDSG gere­gelt.

(1) Ord­nungs­wid­rig han­delt, wer vor­sätz­lich oder fahr­läs­sig 

2b.
ent­ge­gen § 11 Absatz 2 Satz 2 einen Auf­trag nicht rich­tig, nicht voll­stän­dig oder nicht in der vor­ge­schrie­be­nen Wei­se erteilt oder ent­ge­gen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Daten­ver­ar­bei­tung von der Ein­hal­tung der beim Auf­trag­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men über­zeugt,”

Mit Datum vom 20. August 2015 gibt das Baye­ri­sche Lan­des­amt … Weiterlesen

a.s.k. Datenschutz zertifizierter ISIS12 Berater

By | 26. August 2015

Seit dem 06. August 2015 ist es offi­zi­ell – a.s.k. Daten­schutz Sascha Kuhrau ist geprüf­ter und zer­ti­fi­zier­ter ISI­S12-Bera­ter.

Mit ISIS12 steht eine Sys­te­ma­tik zur Ein­füh­rung eines ISMS (Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem) zur Ver­fü­gung, die in der Kom­ple­xi­tät dras­tisch gegen­über dem BSI IT Grun­schutz­ka­ta­log redu­ziert ist, ohne dabei in die Abs­trakt­heit der ISO270001 Zer­ti­fi­zie­rung abzu­drif­ten.

Als ISI­S12-Bera­ter unter­stüt­ze ich Sie bei der Ein­füh­rung und auf Wunsch Zer­ti­fi­zie­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems nach dem ISIS12 Stan­dard.

Baye­ri­sche Kom­mu­nen kön­nen die Ein­füh­rung mit bis zu 15.000 Euro för­dern las­sen. Vor­aus­set­zung ist die Unter­stüt­zung durch einen zer­ti­fi­zier­ten ISI­S12-Bera­ter wie a.s.k. Daten­schutz Sascha Kuhrau. In Sach­sen gibt es ein ISIS12 För­der­pro­gramm für klei­ne und mitt­le­re Unter­neh­men (KMU).

Spre­chen Sie mich an, ger­ne stel­le ich Ihnen ISIS12 per­sön­lich vor.

 … Weiterlesen

a.s.k. Datenschutz zu Gast auf der AKDB Hausmesse in Würzburg am 09.07.2015

By | 22. August 2015

Wir durf­ten zu Gast sein auf der jüngs­ten AKDB Haus­mes­se in Würz­burg am 09.07.2015. Unter dem Mot­to “Zukunft gestal­ten” infor­mier­ten sich knapp 350 Besu­cher zu aktu­el­len kom­mu­na­len IT-The­men. Im Rah­men unse­res Gast­vor­tra­ges stell­ten wir die aktu­el­le Bedro­hungs­la­ge in der IT-Sicher­heit dar, sowie das not­wen­di­ge Umden­ken bei der Bekämp­fung die­ser Risi­ken für kom­mu­na­le IT-Infra­struk­tu­ren dar. Auch in den anschlie­ßen­den Gesprä­chen waren sich die Betei­lig­ten einig: es ist kei­ne Fra­ge mehr des Ob, son­dern nur noch des Wann es zu einem (erfolg­rei­chen) Angriff auf die eige­nen IT-Sys­te­me kommt.… Weiterlesen

Fördermittel zur Einführung ISIS12 für bayerische Kommunen

By | 17. August 2015

Infor­ma­ti­ons­si­cher­heit wird immer wich­ti­ger. Die­se kann heu­te eigent­lich nur noch durch eta­blier­te, funk­tio­nie­ren­de Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (kurz ISMS) und IT-Ser­vice­ma­nage­ment­pro­zes­se gewähr­leis­tet wer­den. Wünscht man sich dabei noch ein Zer­ti­fi­kat am Ende des Weges, wird schnell der Ruf nach BSI IT Grund­schutz oder der ISO 27001 laut. Doch sind die­se für KMU oder auch Kom­mu­nal­ver­wal­tun­gen wirk­lich leist­bar und geeig­net? Gera­de bei klei­ne­ren Mit­ar­bei­ter­zah­len?

Sei­en wir ehr­lich! Der BSI IT Grund­schutz ist ein tol­ler Werk­zeug­kas­ten, aber für eine Zer­tif­zie­rung mit 4.800 Sei­ten Mate­ri­al in 5 dicken Ord­nern kaum zu bewäl­ti­gen. Greift man daher zur inter­na­tio­nal bekann­te­ren ISO 27001 reibt man sich ob des hohen Abs­trak­ti­ons­le­vels irri­tiert die Augen. Alter­na­ti­ven? Aber sicher.

Der IT-Pla­nungs­rat hat in einem Beschluss vom 18. März 2015 ISIS12 als ein pra­xis­taug­li­ches Vor­ge­hen zur Ein­füh­rung eines ISMS emp­foh­len. Die­ses ent­sprä­che den Leit­li­ni­en für Infor­ma­ti­ons­si­cher­heit des Pla­nungs­rats. Vor­aus­ge­gan­gen war ein ent­spre­chen­des Gut­ach­ten von Fraun­ho­fer AISEC zu ISIS12 zur Anwend­bar­keit von ISIS12 in der öffent­li­chen Ver­wal­tung. In die­sem wur­de die Taug­lich­keit für Ver­wal­tun­gen mit bis zu 500 Mit­ar­bei­tern bestä­tigt.

a.s.k. Daten­schutz, Sascha Kuhrau ist vom Baye­ri­schen IT-Sicher­heits­clus­ter e.V. (dem Anbie­ter von ISIS12) für die Durch­füh­rung von Bera­tungs­leis­tun­gen zur Ein­füh­rung von ISIS12 in KMU und öffent­li­chen Ver­wal­tun­gen zer­ti­fi­ziert.

ISIS12?

  • ISIS12 ist ein Ver­fah­ren, das
Weiterlesen