Tag Archives: Tipps

WordPress und die DSGVO – Zusammenstellung für Umzug und Konfiguration

By | 8. Mai 2018

Panikmache mit der DSGVO

Lei­der häu­fen sich die letz­ten Mona­te wie­der die Panik­ma­cher nach dem Mot­to “Die DSGVO kos­tet Sie Ihre Exis­tenz, außer Sie kau­fen unse­re Dienst­leis­tun­gen, Vor­la­gen, Bücher .….”.  Web­sei­ten­be­trei­ber (egal ob mit Wor­d­Press oder ande­ren CMS erstellt) sind extrem ver­un­si­chert, was die DSGVO für sie bereit­hält.

Das ist in wei­ten Tei­len abso­lu­ter Quatsch und in unse­ren Augen unse­riö­se Geschäf­te­ma­che­rei. Sicher­lich bringt die Daten­schutz­grund­ver­ord­nung (DSGVO) eini­ges an Ver­än­de­run­gen und Neue­run­gen mit sich. Aber die Grund­zü­ge des Daten­schutz­rechts sind gleich geblie­ben. Wer also bis­her schon im Anwen­dungs­raum des BDSG oder der Lan­des­da­ten­schutz­ge­set­ze rechts­kon­form gear­bei­tet hat, nimmt noch eini­ge Anpas­sun­gen und Ergän­zun­gen an sei­nem Web­auf­tritt vor und das war es. Das mag unbe­quem sein, aber wel­ches Recht ist das nicht. Wen das Daten­schutz­recht bis­her nicht geküm­mert hat, ok, der hat jetzt eini­ges an Arbeit vor der Brust.

Das DSGVO-Blog-Sterben

In zahl­rei­chen Medi­en wer­den Schlie­ßun­gen von Blogs ange­kün­digt. Teil­wei­se pri­vat betrie­be­ne Blogs, teil­wei­se sol­che mit kom­mer­zi­el­ler Nut­zung. Schuld dar­an, sei die DSGVO. Schaut man genau­er hin, sind es jedoch oft Blog-Funk­tio­nen, die bereits im alten Daten­schutz­recht nicht kor­rekt umge­setzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Pro­ble­men füh­ren.

Doch der Auf­wand, einen pri­va­ten Blog oder mit­tels des … Weiterlesen

Sichere und komfortable Passwort-Verwaltung mit Keepass

By | 5. April 2018

Passwörter – zu viele, zu komplex, kaum zu merken

Es gibt zahl­rei­che Mythen rund um die The­men Pass­wort und Sicher­heit, die sich hart­nä­ckig hal­ten. Und das obwohl allen Akteu­ren eigent­lich klar sein soll­te, dass die Ide­en dahin­ter aus dem Bereich Fan­ta­sy ent­stam­men, jedoch nicht zur Pass­wort-Sicher­heit bei­tra­gen. Anhän­ger der Theo­ri­en “Pass­wör­ter müs­sen immer Son­der­zei­chen und Zah­len ent­hal­ten” und “Pass­wör­ter muss man regel­mä­ßig wech­seln” las­sen sich davon eh nicht abbrin­gen. Die Ver­nünf­ti­gen der Zunft haben die Zei­chen der Zeit erkannt und drang­sa­lie­ren die Nut­zer nicht mehr mit die­sem Bal­last, der kon­kret beleuch­tet eher Unsi­cher­heit statt Sicher­heit bringt. Doch hier sol­len kei­ne Glau­bens­krie­ge aus­ge­foch­ten wer­den. Wen es inter­es­siert, hier haben wir wei­te­re Details dazu zusam­men­ge­tra­gen:

Fakt ist, unter­schied­li­che Log­ins / Accounts soll­ten auch unter­schied­li­che Pass­wör­ter nut­zen. Damit ist sicher­ge­stellt, dass ein ein­zel­ner kom­pro­mit­tier­ter Zugang nicht zum Öff­nen aller ande­ren Zugän­ge genutzt wer­den kann. Unab­hän­gig von Pass­wort­län­ge und Kom­ple­xi­tät kom­men hier für einen Anwen­der im Lau­fe der digi­ta­len Nut­zung zig Log­in-Daten zusam­men (PC Anmel­dung, Pro­gramm Anmel­dung, Cloud-Spei­cher Anmel­dung, diver­se Accounts bei Online-Shops, PINs und und und). Und alle Zugän­ge haben ein unter­schied­li­ches Pass­wort. Wer soll sich das alles mer­ken? Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie … Weiterlesen

Checkliste TOM Auftragsverarbeitung nach Art. 28 DSGVO – technische und organisatorische Maßnahmen

By | 18. März 2018

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Art. 28 DSGVO Auf­trags­ver­ar­bei­ter schreibt die Über­prü­fung exter­ner Dienst­leis­ter vor, ob aus­rei­chend Garan­ti­en (TOM – tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) für die siche­re Ver­ar­bei­tung im Sin­ne der DSGVO vor­lie­gen. Da wir für unse­re Kun­den zahl­rei­che Dienst­leis­ter im Rah­men der bis­he­ri­gen Auf­trags­da­ten­ver­ar­bei­tung und zukünf­ti­gen Auf­trags­ver­ar­bei­tung prü­fen, schla­gen hier nicht sel­ten ord­ner­wei­se Doku­men­ta­tio­nen über ein vor­han­de­nes oder ver­meint­li­ches Schutz­kon­zept beim Dienst­leis­ter auf. Nach dem Mot­to “Weni­ger ist oft­mals mehr” haben wir eine frü­he­re Check­lis­te für tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) vom Daten­schutz-Guru RA Ste­phan Han­sen-Oest ergänzt und im Hin­blick auf die Sor­tie­rung der DSGVO über­ar­bei­tet. Da Ste­phan wei­te Tei­le sei­ner genia­len Vor­la­gen und Mus­ter kos­ten­frei zur Nut­zung zur Ver­fü­gung stellt und auch beim The­ma Daten­schutz gilt “Gemein­sam sind wir stark”, wol­len wir da nicht hin­ten­an­ste­hen.

Mit­tels der anhän­gen­den Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men, kurz TOM, als aus­füll­ba­res Word-For­mu­lar kann jeder Dienst­leis­ter ohne all­zu gro­ßen Zeit­auf­wand die bei ihm getrof­fe­nen Schutz­maß­nah­men doku­men­tie­ren (click & dir­ty). Die­se Anga­ben über­prüft der Auf­trag­ge­ber, kann bei Bedarf nach­fra­gen oder Punk­te im Detail klä­ren. Mit der Ergeb­nis­pro­to­kol­lie­rung am Ende soll­te auch der Doku­men­ta­ti­ons- und Rechen­schafts­pflicht zu dem Punkt Genü­ge getan sein. Ein Auf­trag­ge­ber kann sei­nem Dienst­leis­ter die­se Check­lis­te auch … Weiterlesen

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor-, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che … Weiterlesen

Ich bereue den Passwort-Wahnsinn”

By | 11. August 2017

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Sei­ten, die es in sich haben. Die “NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mis­ter Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US-Behör­de, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­nä­ckig. Auch der BSI IT-Grund­schutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf.

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST emp­fahl bis­her zur Pass­wort­si­cher­heit:

  1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Son­der­zei­chen)
  2. Pass­wör­ter sol­len alle 90 Tage gewech­selt wer­den

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit gekos­tet.

Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit Weiterlesen

Die Auftragsdatenverarbeitung – Besonderheiten des Datenschutzrechts beim Outsourcing

By | 3. März 2016

Um was geht es bei Auftragsdatenverarbeitung?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­da­ten­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat der Gesetz­ge­ber im Bun­des­da­ten­schutz­ge­setz den § 11 BDSG “Auf­trags­da­ten­ver­ar­bei­tung” vor­ge­se­hen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht § 11 BDSG Auf­trags­da­ten­ver­ar­bei­tung eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Buß­gel­der bis 50.000 Euro (§ 43 BDSG).

Was fällt alles unter den Begriff Auftragsdatenverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­da­ten­ver­ar­bei­tung spricht man im Fal­le

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nungstel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len – fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Ger­ne … Weiterlesen

Neuer a.s.k. Webauftritt zu Informationssicherheit, ISMS und IT-Sicherheit online

By | 11. Februar 2016

Unse­re Leser haben in der Ver­gan­gen­heit häu­fi­ger bemän­gelt, wir wür­den die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit auf die­sem Fach­blog zu sehr mit­ein­an­der ver­mi­schen. Wir haben dies zum Anlass genom­men, unse­ren Web­auf­tritt auf den Prüf­stand zu stel­len. Zukünf­tig wer­den wir die The­men Infor­ma­ti­ons­si­cher­heit, Infor­ma­ti­on Secu­ri­ty Manage­ment Sys­tems (Mana­ga­ment-Sys­te­me für Infor­ma­ti­ons­si­cher­heit, kurz ISMS), BSI IT-Grund­schutz, ISIS12, IT-Not­fall­ma­nage­ment sowie Berich­te zur aktu­el­len Bedro­hungs­la­ge auf einer wei­te­ren Web­sei­te von a.s.k. Daten­schutz samt News-Blog prä­sen­tie­ren. Dadurch kön­nen wir Ihnen unse­re Dienst­leis­tun­gen aus den Berei­chen Daten­schutz und Infor­ma­ti­ons­si­cher­heit deut­lich bes­ser the­men­be­zo­gen prä­sen­tie­ren und dar­stel­len. Die Tren­nung zu den rei­nen Daten­schutz-The­men soll­te dadurch auch für Sie als Leser ein­fa­cher wer­den.

Auf die­sem Fach­blog Daten­schutz wer­den wir uns wei­ter­hin mit dem The­ma Daten­schutz und den kom­men­den Aus­wir­kun­gen der EU Daten­schutz-Grund­ver­ord­nung beschäf­ti­gen. Selbst­ver­ständ­lich erhal­ten Sie hier auch wei­ter­hin Tipps und Tricks aus dem All­tag oder auch Ver­an­stal­tungs­hin­wei­se. Und über aku­te Bedro­hungs­la­gen wer­den wir Sie auch zukünf­tig hier auf die­sem Blog infor­mie­ren, mit Ver­weis auf den Haupt­ar­ti­kel unse­rer zwei­ten The­men­sei­te.

Sie errei­chen die­se über den Link https://www.informationssicherheit-aktuell.de oder wie gewohnt über https://www.ask-datenschutz.de.… Weiterlesen

Safe Harbor 2.0 – Wunsch oder Wirklichkeit

By | 8. Januar 2016

Was ist mit Safe Har­bor 1.0 pas­siert?

Am 06.10.2015 hat für eini­ge der größ­te Durch­bruch der letz­ten Jahr­zehn­te im Daten­schutz statt­ge­fun­den und für ande­re end­lich die lang­jäh­ri­ge bewuß­te Selbst­täu­schung ein Ende gefun­den. Die Rede ist vom soge­nann­ten Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs. Voll­kom­men zu Recht hat der EuGH die­ses Zuläs­sig­keits­ver­fah­ren für Daten­über­mitt­lun­gen in die USA in Fra­ge gestellt und am Ende für nich­tig erklärt. Wer sich mit den Hin­ter­grün­den befasst hat, ist davon wenig über­rascht.
Was jedoch in der Pra­xis in den ers­ten Wochen der Unsi­cher­heit nach die­sem Urteil nun statt­fand, war teil­wei­se purer markt­schreie­ri­scher Aktio­nis­mus gepaart mit einer gehö­ri­gen Por­ti­on Welt­fremd­heit.

06.10.2015 Das Safe Har­bor Urteil des Euro­päi­schen Gerichts­hofs

Jede Daten­über­mitt­lung benö­tigt eine recht­li­che Grund­la­ge zur Zuläs­sig­keit. Dies schrei­ben unse­re deut­schen und euro­päi­schen Daten­schutz­ge­set­ze so vor. Zur ver­ein­fach­ten Legi­ti­ma­ti­on von Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in die USA durch euro­päi­sche Unter­neh­men wur­de vor 15 Jah­ren (also auch lan­ge vor dem NSA Skan­dal) Safe Har­bor ins Leben geru­fen. Der “siche­re Hafen” defi­nier­te Richt­li­ni­en zum Daten­schutz und zur Daten­si­cher­heit, unter denen die Über­mitt­lung per­so­nen­be­zo­ge­ne Daten in die USA als zuläs­sig ein­ge­stuft wur­de. Ame­ri­ka­ni­sche Anbie­ter konn­ten sich die­sen Richt­li­ni­en unter­wer­fen und an zen­tra­ler Stel­le dies doku­men­tie­ren las­sen. Eine Über­prü­fung, ob die gefor­der­ten Stan­dards Weiterlesen

Seminar “Rechtliche Aspekte der IT-Nutzung”

By | 24. September 2015

Am 21.10.2015 fin­det das BVS Semi­nar “Recht­li­che Aspek­te der IT-Nut­zung” in Nürn­berg mit Sascha Kuhrau als Refe­ren­ten statt. Das Semi­nar rich­tet sich an IT-Füh­rungs­kräf­te, Admi­nis­tra­to­ren, Daten­schutz­be­auf­trag­te, Per­so­nal­re­fe­ren­ten und Betriebs­rä­te, aber auch an Geschäfts­füh­rung / Orga­ni­sa­ti­ons­lei­tung.

Inhal­te sind unter ande­rem:

Juris­ti­sche Kon­se­quen­zen von Schä­den und Fehl­ver­hal­ten

  • Scha­den­er­satz und Haf­tung
  • Straf- und Buß­geld­vor­schrif­ten

IT-Arbeits­rech­t/­Mit­ar­bei­ter­da­ten­schutz

  • Pri­vat­nut­zung von E-Mail und Inter­net
  • IT-Pro­to­kol­lie­rung und Aus­wer­tung
  • Video­über­wa­chung
  • Heim­ar­beit
  • Bring your own device (BYOD)
  • Mit­ar­bei­ter­fo­tos auf der Web­sei­te
  • Ein­sicht­nah­me in per­sön­li­che E-Mail-Kon­ten und Abla­gen
  • Lega­le Kon­trol­len und inter­ne Ermitt­lun­gen

Inter­net-Recht

  • Recht­li­che Risi­ken sozia­ler Medi­en
  • Impres­sum und Daten­schutz­er­klä­rung
  • Auf­trags­da­ten­ver­ar­bei­tung (IT-Out­sour­cing und Cloud Com­pu­ting)

Die Ver­an­stal­tung fin­det im BVS Bil­dungs­zen­trum Nürn­berg statt. Beginn ist um 9.00 Uhr, Ende vor­aus­sicht­lich um 16.30 Uhr. Refe­rent ist Herr Sascha Kuhrau von a.s.k. Daten­schutz. Ich freue mich auf Ihre Teil­nah­me.

Zur Anmel­dung (Lehr­gangs­ge­bühr 170 Euro wird von der BVS erho­ben)… Weiterlesen

Wie lösche ich mein Facebook Profil?

By | 24. Februar 2015

Der Auf­re­ger

Ende 2014 war die Auf­re­gung groß. Face­book kün­dig­te eine Ände­rung sei­ner Datennut­zungsschutz­richt­li­nie für 2015 an. Der Stein des Ansto­ßes fin­det sich gleich zu Beginn

Du gibst uns eine nicht-exklu­si­ve, über­trag­ba­re, unter­li­zen­sier­ba­re, gebüh­ren­freie, welt­wei­te Lizenz zur Nut­zung jeg­li­cher IP-Inhal­te, die du auf oder im Zusam­men­hang mit Face­book pos­tet („IP-Lizenz“). Die­se IP-Lizenz endet, wenn du dei­ne IP-Inhal­te oder dein Kon­to löscht, außer dei­ne Inhal­te wur­den mit ande­ren Nut­zern geteilt und die­se haben die Inhal­te nicht gelöscht.“

Kurz: alles, was Du als Nut­zer pos­test, wird von uns ver­wer­tet. Oder wie es unser Part­ner­blog datenschutzbeauftragter-info.de so pas­send for­mu­liert: “Friss oder stirb”

Das Laby­rinth des Mino­tau­rus

Wer die Funk­ti­ons- und Vor­ge­hens­wei­se von Face­book kennt, der weiß, wie schwie­rig es ist, sein Pro­fil dort zu löschen. Regel­mä­ßig ändern sich die Menü­struk­tu­ren und sol­che “unwich­ti­gen” Funk­tio­nen ver­schwin­den zuun­terst am Ende in The­men­be­rei­chen, wo sie Otto Nor­mal­ver­brau­cher im Zwei­fel nicht sucht oder fin­det. Und wenn der Nut­zer dabei ver­se­hent­lich noch die eine oder ande­re Ein­stel­lung zu Pri­vat­sphä­re und Daten­schutz falsch inter­pre­tiert, gibt er noch mehr über sich preis, statt sein Pro­fil los­zu­wer­den.

Time to say good bye

Für die­je­ni­gen, die nun wirk­lich genug haben, von der Daten­sam­mel­wut und der Igno­ranz deut­scher und … Weiterlesen