Tag Archives: Mitarbeiter

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor-, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che … Weiterlesen

Locky immer erfolgreicher

By | 9. März 2016

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutsch­land).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­ware. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­coins. Und das Geschäft boomt.

Ein Klick genügt – Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeich­net.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich … Weiterlesen

Die Gefahr von innen – wenn Mitarbeiter zum Sicherheitsrisiko werden

By | 7. Juli 2014

Viel Zeit und Mühe wird in das Abschir­men und Absi­chern von IT Netz­wer­ken gegen Angrif­fe von außen inves­tiert. Dabei über­sieht man schnell die Gefah­ren, die Unter­neh­mens­da­ten von innen dro­hen kön­nen. Unab­hän­gig ob Fahr­läs­sig­keit oder Absicht, so soll­ten Sie als Unter­neh­mer und Unter­neh­men die­se Bedro­hung nicht aus dem Blick ver­lie­ren. In fast einem Vier­tel aller Fäl­le sind Mit­ar­bei­ter der Grund für Daten­ab­fluss aus dem Unter­neh­men.

In Zei­ten von Spei­cher­sticks mit immer grö­ße­rer Spei­cher­ka­pa­zi­tät und Foto­han­dys mit meh­re­ren Mega­pi­xeln Auf­lö­sung erschreckt es teil­wei­se, wie lax der inter­ne Umgang in Unter­neh­men sein kann.

  • Nut­zungs­richt­li­ni­en und Pro­fil­sper­ren für die Nut­zung von USB Sticks sind oft Fehl­an­zei­ge. Daten kön­nen in gro­ßen Men­gen kopiert und unauf­fäl­lig in der Hosen­ta­sche aus­ser Haus gebracht wer­den.
  • Foto­han­dys wer­den teil­wei­se sogar vom Unter­neh­men den Mit­ar­bei­tern zur Ver­fü­gung gestellt. Die hohen Auf­lö­sun­gen erlau­ben detail­ge­treue Wie­der­ga­ben beim Abfo­to­gra­fie­ren wich­ti­ger und gehei­mer Doku­men­te. Nütz­lich ist die oft­mals zusätz­lich ein­ge­rich­te­te Inter­net­flat, um die Foto­do­ku­men­ta­ti­on gleich noch unauf­fäl­lig  zu ver­sen­den.

Doch dies sind nur zwei aus­ge­wähl­te Mög­lich­kei­ten, wie schüt­zens­wer­te Daten das Unter­neh­men ver­las­sen kön­nen. Die­se set­zen selbst­ver­ständ­lich noch ein gewis­ses Maß an kri­mi­nel­ler Ener­gie bei Ihren Mit­ar­bei­tern vor­aus. Aber wer kennt schon den genau­en Preis, ab dem Loya­li­tät in den Hin­ter­grund tritt?

Auch unbe­wuß­te Gefah­ren … Weiterlesen

LKA Thüringen bespitzelte eigene Mitarbeiter – wegen Klopapier

By | 21. Januar 2013

VideokameraGele­gent­lich kom­men einem Mel­dun­gen zum The­ma Daten­schutz und Ver­stoß gegen das Daten­schutz­recht unter, da kann man nur noch mit dem Kopf schüt­teln. SPIEGEL ONLINE berich­tet über einen beson­ders dreis­ten und rechts­wid­ri­gen Ver­stoß der uner­laub­ten Mit­ar­bei­ter­über­wa­chung.

Klo­pa­pier ver­schwin­det

Das Rei­ni­gungs­per­so­nal stellt einen über­mä­ßi­gen Schwund an Klo­pa­pier fest. Die­ser Akt gefähr­det die Staats­si­cher­heit und muss mit Nach­druck und allen zur Ver­fü­gung ste­hen­den Mit­teln bekämpft wer­den. Geht die zustän­di­ge Abtei­lung doch sonst gegen Rocker, Isla­mis­ten und Mafio­si vor. Sogar ein Mit­ar­bei­ter des Staats­schut­zes wird bemüht.

Flur oder Klo – was denn nun?

Anfra­gen beim LKA und vor­han­de­ne Unter­la­gen zeich­nen ein wider­sprüch­li­ches Bild. Das LKA stellt fest, die Kame­ra­über­wa­chung hät­te nur im Trep­pen­haus statt­ge­fun­den. Inter­ne Doku­men­te zeich­nen da ein ande­res Bild. Die Kame­ra soll direkt auf dem stil­len Ört­chen ange­bracht gewe­sen sein.

Gefahr im Ver­zug

Selbst wenn das Ent­wen­den von Klo­pa­pier in die­se Kate­go­rie hät­te ein­ge­stuft wer­den kön­nen, wäre die Maß­nah­me nach spä­tes­tens drei Tagen durch rich­ter­li­chen Beschluß zu geneh­mi­gen gewe­sen. Die­ser Beschluss lag jedoch nie vor und so wur­den LKA Mit­ar­bei­ter von den eige­nen Kol­le­gen ohne Grund­la­ge und ohne ihr Wis­sen über­wacht. Da Baga­tell­kri­mi­na­li­tät kei­ne Recht­fer­ti­gung für Video­über­wa­chung ist (Stich­wort: Ange­mes­sen­heit), wur­den die Mit­ar­bei­ter erheb­lich in ihrem Per­sön­lich­keits­recht ver­letzt.

[Kopf­schüt­tel]

Sie pla­nen selbst … Weiterlesen

Angeblich heimliche Mitarbeiterüberwachung bei ALDI Süd

By | 7. Januar 2013

VideokameraLaut Spie­gel, Welt und N24 soll es zu einer heim­li­chen Mit­ar­bei­ter­über­wa­chung bei ALDI Süd gekom­men sein. Gleich­lau­tend wird von einem Detek­tiv berich­tet, der unter Andro­hung des Ver­lusts wei­te­rer Auf­trä­ge gezwun­gen wur­de, Minia­tur­ka­me­ras z.B. über den Mit­ar­bei­ter­schrän­ken anzu­brin­gen. Wei­ter­hin soll­te er der ALDI Füh­rungs­kraft alle “Auf­fäl­lig­kei­ten” mel­den wie z.B. lang­sa­mes Arbeits­tem­po, Bezie­hun­gen unter den Mit­ar­bei­tern oder auch pri­va­te Details wie finan­zi­el­le Ver­hält­nis­se.

Das Unter­neh­men weist der­weil alle Vor­wür­fe zurück.

Wie hier auf dem Blog mehr­fach berich­tet, ist Video­über­wa­chung unter Daten­schutz­ge­sichts­punk­ten kein “Teu­fels­werk”. Es gilt, bestimm­te Richt­li­ni­en und Ver­fah­rens­wei­sen ein­zu­hal­ten. Mehr erfah­ren Sie in unse­rem Bei­trag Video­über­wa­chung — umsich­tig ein­set­zen, Kon­flik­te ver­mei­denWeiterlesen

Sensible Patientendaten in Klinik verschwunden – Datenpanne

By | 12. Oktober 2012

Datenpanne (c) Sascha KuhrauDIE WELT berich­tet heu­te nach­mit­tag online von einer Daten­pan­ne in zwei Kli­ni­ken in Baden-Würt­tem­berg:

 Siche­rungs­bän­der bei Ziga­ret­ten­pau­se ver­bum­melt

Der zustän­di­ge IT-Mit­ar­bei­ter ist wie jeden Tag mit den Siche­rungs­bän­dern auf dem Weg vom Ser­ver­raum zum Tre­sor. Unter­wegs hält er an einer Ram­pe für eine kur­ze Rauch­pau­se an, legt die Bän­der auf einem Tisch ab. Nach der Pau­se ging er wie­der an sei­ne Arbeit, jedoch ohne die Siche­rungs­bän­der. Als er sei­nen Feh­ler nach eini­ger Zeit bemerk­te und an den Pau­sen-Ort zurück­kehr­te, waren die Siche­rungs­bän­der ver­schwun­den. Erschwe­rend kommt hin­zu, dass der Mit­ar­bei­ter den Vor­fall erst eine Woche spä­ter mel­de­te und auch das inter­ne Siche­rungs­kon­troll­sys­tem das Ver­schwin­den der Bän­der nicht auf­ge­deckt hat.

Sen­si­ble Pati­en­ten­da­ten betrof­fen

300.000 Daten­sät­ze sol­len die Bän­der umfasst haben. Dar­un­ter voll­stän­di­ge Pati­en­ten­ak­ten, Laborda­ten, Befun­de, Arzt­brie­fe und Schrift­ver­kehr bis zurück ins Jahr 1996.

Daten­schutz­be­hör­de spricht von gra­vie­ren­dem Vor­fall

Die Kli­nik­lei­tung beteu­ert, ledig­lich die Arzt­brie­fe kön­nen aus­ge­le­sen wer­den. Für alle wei­te­ren Daten sei spe­zi­el­le Hard- und Soft­ware not­wen­dig. Wei­te­re Aus­füh­run­gen über eine zusätz­li­che Ver­schlüs­se­lung wur­den nicht getä­tigt. Auf­grund der Sen­si­bi­li­tät der Daten und der erschre­ckend hohen Men­ge spricht der Lan­des­da­ten­schutz­be­auf­trag­te von Baden-Würt­tem­berg, Jörg Kling­beil von einem gra­vie­ren­den Vor­fall.

§ 42a BDSG Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten

Lt. Kling­beil hat die Kli­nik nicht … Weiterlesen

Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

By | 3. August 2012

Wir haben kei­ne per­so­nen­be­zo­ge­nen Daten im Unter­neh­men, daher betrifft uns das Bun­des­da­ten­schutz­ge­setz gar nicht” – die­se Aus­sa­ge trifft man immer wie­der z.B. im Rah­men von Infor­ma­ti­ons­ver­an­stal­tun­gen oder Kun­den­ge­sprä­chen. Im ers­ten Moment ist man gera­de bei rei­nen B2B-Unter­neh­men geneigt, zuzu­stim­men. Doch schnell regen sich Zwei­fel, denn nur weni­ge Unter­neh­men kom­men ohne Mit­ar­bei­ter aus.

§ 3  BDSG defi­niert den Begriff der per­so­nen­be­zo­ge­nen Daten:

(1) Per­so­nen­be­zo­ge­ne Daten sind Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son (Betrof­fe­ner).”

Damit wäre bereits fest­ge­stellt, das per­so­nen­be­zo­ge­ne Daten im Unter­neh­men allei­ne schon durch die Beschäf­ti­gung von Mit­ar­bei­tern vor­lie­gen. Zieht man jetzt noch die Daten zu Kun­den, Lie­fe­ran­ten, Dienst­leis­tern und Inter­es­sen­ten hin­zu, wird schnell klar: Es gibt eigent­lich immer per­so­nen­be­zo­ge­ne Daten im Unter­neh­men.

Blei­ben wir jedoch bei den Mit­ar­bei­ter­da­ten unse­res Bei­spiels und in § 3 BDSG:

(9) Beson­de­re Arten per­so­nen­be­zo­ge­ner Daten sind Anga­ben über die ras­si­sche und eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giö­se oder phi­lo­so­phi­sche Über­zeu­gun­gen, Gewerk­schafts­zu­ge­hö­rig­keit, Gesund­heit oder Sexu­al­le­ben.”

Mit­ar­bei­ter­da­ten sind dem­nach nicht nur rei­ne per­so­nen­be­zo­ge­ne Daten, son­dern nach die­ser Defi­ni­ti­on sogar eine beson­de­re Art per­so­nen­be­zo­ge­ner Daten (ent­hal­ten sie doch eini­ge der og. Merk­ma­le).

§ 3 BDSG defi­niert im wei­te­ren Ver­lauf den Begriff “Beschäf­tig­te” detail­liert:

(11) Beschäf­tig­te sind:

  1. Arbeit­neh­me­rin­nen und
Weiterlesen

BYOD (Bring Your Own Device) – zusätzliche Datenschutz-Risiken für Unternehmen

By | 5. April 2012

BYOD” ist in aller Mun­de, zu Recht. Hin­ter dem Kür­zel ver­ber­gen sich zahl­rei­che Risi­ken und Unan­nehm­lich­kei­ten für Admi­nis­tra­to­ren und Unter­neh­mer. Doch “Bring Your Own Device” ist All­tag! Immer mehr Arbeit­neh­mer nut­zen ihre eigent­lich pri­va­ten Mobil­te­le­fo­ne, Smart­pho­nes und Note­books beruf­lich für ihren Arbeit­ge­ber.

IT-Admi­nis­tra­to­ren kämp­fen dadurch mit Wild­wuchs in der IT-Land­schaft und fürch­ten die hier­durch ent­ste­hen­den Sicher­heits­lü­cken – zu Recht! Geschäfts­füh­rer und Unter­neh­mer ver­schlies­sen vor der all­täg­li­chen Situa­ti­on oft­mals die Augen und ris­kie­ren dabei so eini­ges.

Bei still­schwei­gen­der Dul­dung ver­liert das Unter­neh­men not­wen­di­ge Ein­fluss- und Kon­troll­mög­lich­kei­ten. Mög­li­che Fol­gen: Daten­schutz­ver­stös­se, Sicher­heits­lecks und die dar­aus resul­tie­ren­den Image-Schä­den durch nega­ti­ve Pres­se­be­rich­te.

Was vie­le nicht wis­sen, die recht­li­chen Aspek­te die­ser The­ma­tik sind umfang­reich: Urhe­ber­rechts­ver­let­zun­gen, Lizenz­pro­ble­me, Haf­tungs­fra­gen, Ver­stö­ße gegen han­dels- und steu­er­recht­li­che Vor­schrif­ten, IT-Sicher­heit und Daten­schutz. Wol­len Sie als Unter­neh­mer dafür gera­de ste­hen, wenn Ihr Mit­ar­bei­ter per­so­nen­be­zo­ge­ne Daten Ihres Unter­neh­mens auf sei­nem pri­va­ten Mobil­ge­rät spei­chert und die­se dann mit einem der zahl­rei­chen Cloud-Diens­te syn­chro­ni­siert? Mit gro­ßer Wahr­schein­lich­keit liegt hier­für kei­ne vor­ge­schrie­be­ne Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung vor -> Buß­gel­dri­si­ko.

Unser Tipp:

 

Bild­nach­weis: aboutpixel.de /Weiterlesen

28.03.2012 – Nürnberg: Seminar / Schulung “Datenschutz & Datensicherheit & Social Media”

By | 22. März 2012

ABCThe­ma:

  • Daten­schutz und Daten­si­cher­heit
  • Soci­al Media
  • Sen­si­bi­li­sie­rung

Zielgruppe(n):

  • Mit­ar­bei­ter
  • Füh­rungs­kräf­te
  • Unter­neh­mer
  • Mit­ar­bei­ter, die gem. §5 BDSG auf das Daten­ge­heim­nis ver­pflich­tet wer­den müs­sen

Inhal­te:

  • Rechts­grund­la­gen des Daten­schutz
  • Grund­sät­ze des betrieb­li­chen Daten­schutz
  • Arbeit­neh­mer­da­ten­schutz
  • Daten­schutz und Daten­si­cher­heit
  • Pro­blem­feld Auf­trags­da­ten­ver­ar­bei­tung
  • Rech­te der Betrof­fe­nen
  • Ver­stö­ße und Kon­se­quen­zen
  • Soci­al Media
  • Tipps für den beruf­li­chen und pri­va­ten All­tag

Ver­an­stal­tungs­ort / Zeit:

  • Nürn­berg , Details wer­den noch  bekannt­ge­ge­ben
  • 28.03.2012, 14:00 Uhr bis 17:00 Uhr

Teil­neh­mer:

  • mind. 10 Per­so­nen, max. 20 Per­so­nen

Semi­nar-Gebühr:

  • 50 EUR brut­to inkl. 19% MwSt. in Höhe von 7,98 EUR (42,02 EUR net­to)
  • In der Semi­nar-Gebühr ent­hal­ten: Soft­drinks und Gebäck wäh­rend der Ver­an­stal­tung, Schu­lungs­un­ter­la­gen, Zer­ti­fi­kat

Ver­bind­li­che Anmel­dung über unse­ren Online-Semi­narka­len­der

 … Weiterlesen

23.02.2012 – Nürnberg: Seminar / Schulung “Datenschutz und Datensicherheit” inkl. Social Media Kodex (verschoben vom 22.02.)

By | 15. Februar 2012

ABCThe­ma:

  • Daten­schutz und Daten­si­cher­heit
  • Soci­al Media Kodex
  • Sen­si­bi­li­sie­rung

Zielgruppe(n):

  • Mit­ar­bei­ter
  • Füh­rungs­kräf­te
  • Unter­neh­mer
  • Mit­ar­bei­ter, die gem. §5 BDSG auf das Daten­ge­heim­nis ver­pflich­tet wer­den müs­sen

Inhal­te:

  • Rechts­grund­la­gen des Daten­schutz
  • Grund­sät­ze des betrieb­li­chen Daten­schutz
  • Arbeit­neh­mer­da­ten­schutz
  • Daten­schutz und Daten­si­cher­heit
  • Pro­blem­feld Auf­trags­da­ten­ver­ar­bei­tung
  • Rech­te der Betrof­fe­nen
  • Ver­stö­ße und Kon­se­quen­zen
  • Soci­al Media Ver­hal­tens­ko­dex
  • Tipps für den beruf­li­chen und pri­va­ten All­tag

Ver­an­stal­tungs­ort / Zeit:

  • Nürn­berg , Details wer­den noch  bekannt­ge­ge­ben
  • 23.02.2012, 14:00 Uhr bis 17:00 Uhr (ver­scho­ben vom 22.02.)

Teil­neh­mer:

  • mind. 10 Per­so­nen, max. 20 Per­so­nen

Semi­nar-Gebühr:

  • 50 EUR brut­to inkl. 19% MwSt. in Höhe von 7,98 EUR (42,02 EUR net­to)
  • In der Semi­nar-Gebühr ent­hal­ten: Soft­drinks und Gebäck wäh­rend der Ver­an­stal­tung, Schu­lungs­un­ter­la­gen, Zer­ti­fi­kat

Ver­bind­li­che Anmel­dung über unse­ren Online-Semi­narka­len­der

 … Weiterlesen