Der BvD-Mitglieder Blog

Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) ist jetzt im regulären Abstimmungsverfahren der Gremien

Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU) ist jetzt im regulären Abstimmungsverfahren der Gremien, der aktuelle Stand bzw. der Verlauf kann unter http://dipbt.bundestag.de/dip21.web/searchDocuments/documentData_detail_vo.do eingesehen werden.

 

Der Gesetzesentwurf wurde als besonders eilbedürftige Vorlage gem. Art. 76 Abs. 2 Satz 4 GG eingereicht. Daher besprechen die beteiligten Ausschüsse das Gesetz zeitnah (bzw. das Gesetz wurde kurzfristig auf die jeweilige Tagesordnung gesetzt):

Mit einer Stellungnahme des Bundesrats ist spätestens Ende Februar zu rechnen.

 

Autor:

Bernd Schütze

Kommentare 0 Views: 12



Regierungsentwurf vom 15.02.2017 zur "Neuregelung des Schutzes von Geheimnissen bei Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" veröffentlicht

Nachdem am 14.12.2016 das BMJV einen Referentenentwurf zur "Neuregelung des Schutzes von Geheimnissen bei Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" veröffentlicht hat und im Rahmen der Verbändeanhörung um Stellungnahmen gebeten hatte, der BvD hatte sich hier mit einer Stellungnahme (Stellungnahme vom 09.01.2017) beteiligt, hat die Regierung am 15.02.2017 einen Regierungsentwurf des Gesetzes beschlossen.

 

Damit werden der § 203 StGB und berufsrechtliche Regelungen angepasst, um befugt Dienstleister einbinden zu können. Der Entwurf ist nun im weiteren Gesetzgebungsverfahren.

 

Es ist erfreulich, dass einige Hinweise aus der Stellungnahme des BvD berücksichtigt werden konnten. Wer Interesse an diesem Thema hat, kann beim Verbandstag des BvD am 04.05.2017 Informationen aus erster Hand erhalten.

 

Die Regierung scheint noch einige Gesetze vor der heißen Phase des Bundestagswahlkampfes beschließen zu wollen. Spannende Tage in der Tat.

 

 

Autor:

Frank Spaeing

Kommentare 0 Views: 13



Verpflichtet uns die EU-Datenschutz-Grundverordnung (DS-GVO) zur Einführung eines Informations-Sicherheits-Management-Systems (ISMS)?


Datenschutzbeauftragte befinden sich bereits in der heißen Phase zur Umsetzung der geforderten Maßnahmen aus der neuen Europäischen Datenschutzgesetzgebung. Dabei stellt sich mitunter die Frage, welche Anforderungen sich in Bezug auf die Informationssicherheit im Unternehmen ableiten lassen. Ist die Einführung eines ISMS verpflichtend?

 

Definition eines ISMS nach ISO27001:

Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt.

 

Gegenüber dem Bundesdatenschutzgesetz bekam die Informationssicherheit in der Datenschutz-Grundverordnung einen neuen Stellenwert. Dies zeigte sich mitunter daran, dass die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen als Grundsatz in Art. 5 der Datenschutz-Grundverordnung aufgenommen wurde.

 

Art.5 Abs. 1 lit.f DS-GVO:

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).


Ein zusätzlicher Hinweis für eine „erweiterte Informationssicherheit“ ergibt sich aus den Begrifflichkeiten in Art.5 DS-GVO. „Integrität und Vertraulichkeit“ sind elementare Grundsätze der IT-Sicherheit. In bisherigen Gesetzen zum Schutz personenbezogener Daten waren diese nicht vorhanden.

 

Kriterien der technischen und organisatorischen Maßnahmen in Art.32 „Sicherheit der Verarbeitung“

 

Art.32 Abs.1

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 

Art.32 Abs.2

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

 

Gegenüber der Anlage zu §9 BDSG in der zumindest indirekte Maßnahmen aufgeführt wurden, wirkt Art.32 noch abstrakter. Es lassen sich aber Hauptbestandteile eines ISMS zuordnen.

 

Schritt 1 Feststellen des Schutzbedarfes Art.32 Abs.2

Das Schutzniveau personenbezogener Daten orientiert sich an der Schutzbedürftigkeit und dem sich ergebenden Schadenspotential bei unberechtigter Kenntniserlangung. Daraus ergibt sich

eine notwendige Schutzbedarfsanalyse. In der Regel werden Daten verschiedenen Kategorien des Schutzbedarfs zugeordnet, beispielsweise: normal, hoch und sehr hoch.

 

Schritt 2 Bewerten von Risiken

Art.32 Abs.1 und Abs.2 beinhalten die Risikobeurteilung. Maßnahmen die zum Schutz personenbezogener Daten getroffen werden, müssen künftig unter Berücksichtigung des Risikos für die Persönlichkeits- und Freiheitsrechte Betroffener ausgewählt werden. Dieser Risikobewertungsansatz bezieht sich jetzt nicht mehr nur auf klassische Unternehmenswerte, sondern schließt den Betroffenen und seine personenbezogenen Daten mit ein.

 

Schritt 3 Maßnahmenauswahl und Risikobehandlung

In Art.32 Abs.2 lit. a-c werden Maßnahmen zur Risikobehandlung aufgeführt.

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

 

Schritt 4 Audits, Managementbewertung, Korrektur

Schließlich fordert Art.32 Abs.1 Satz2 lit.d ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

Zwischenfazit

Für mich ergibt sich somit der Auftrag an der Einführung eines ISMS zu arbeiten. Ich selbst habe noch wenig Erfahrung damit, bin aber überzeugt, bereits wichtige Vorarbeiten leisten zu können.

Da Informationssicherheit für jede verantwortliche Stelle individuell ist, kann ich aus den Erfahrungen meines Unternehmens wichtige Erkenntnisse für Empfehlungen meiner bestellten Unternehmen ableiten.

 

Dokumentation

„Wer schreibt der bleibt“

Sicher kennen auch Sie diesen Satz. Er stellt in wenigen Worten den Grundsatz der Nachweisbarkeit dar. Es gilt: bereits Vorüberlegungen zum Aufbau eines Managementsystems an zentraler Stelle abzulegen. Dabei ist es wichtig, auch weitere Mitarbeiter die zukünftig in das Projekt ISMS eingebunden werden, auf diese Datenablage einzuladen.

 

Information an die Unternehmensleitung

Informationssicherheit und somit auch Sicherheit für personenbezogene Daten ist Chefsache. Ein essentieller Punkt die Unternehmensleitung zur Mitarbeit am gemeinsamen Ziel zu motivieren. Auch die drastisch erhöhten Strafen in Art.83 DS-GVO sind ein wichtiger Hinweis für die Unternehmensleitung. Grundsätzlich sollten aber die positiven Auswirkungen eines ISMS im Vordergrund stehen:

  • Risikominimierung
  • Unternehmensstabilität steigern
  • Erwartungshaltung von Geschäftspartnern erfüllen
  • Positive Außenwirkung gegenüber Kunden und Interessenten
  • Vorgaben bei Ausschreibungen von Banken oder Versicherungen erfüllen

Im Gespräch mit der Geschäftsleitung sollten Sie sich die Freigabe zum Aufbau eines „Planungsteams ISMS“ einholen. Unabhängig davon ob künftig externe Spezialisten zur Unterstützung herangezogen werden, gilt es, die wichtigen nächsten Schritte gemeinsam zu planen.

 

Mögliches Team

 

Informationssicherheitsbeauftragter (ISB)

Die Bestellung eines ISB ist in jeden Fall eine gute Entscheidung. Damit bilden Sie eine zentrale Stelle mit direktem Focus auf IT-Sicherheit. Die notwendige Fachkunde ist aufzubauen, beispielsweise über die UDIS Akademie Ulm.

 

Vertreter der IT-Abteilung

Später kann ein zusätzlicher IT-Mitarbeiter notwendig sein, der die erkannten Anforderungen technisch umsetzt.

Vorhandene Managementbeauftragte

Existiert in Ihrem Unternehmen bereits ein Managementbeauftragter, beispielsweise für Qualität oder Umweltschutz, sollten Sie diese Stelle mit in das ISMS-Team aufnehmen. Das Team profitiert von vorhandenen Management-Erfahrungen.

 

Datenschutzbeauftragter

Durch den erkannten Auftrag aus der DS-GVO ein Management-System zu etablieren, sollten wir im eigenen Interesse das Thema ISMS vorantreiben.

 

Vorbereitende Aufgaben

Um eine kommende Schutzbedarfsanalyse und Risikoeinschätzung erst möglich zu machen, müssen die vorhandenen Datenverarbeitungsprozesse im Unternehmen bekannt sein. Sollte eine vorhandene Verfahrensübersicht veraltet sein oder Lücken aufweisen, müssen diese geschlossen werden.

 

Mein Tipp:

Die DS-GVO bietet die Chance eines Neuanfangs. Über einen einfachen Fragenkatalog an die Abteilungen, können nicht gemeldete Datenverarbeitungsvorgänge erkannt und erfasst werden.

 

Für den passenden Weg entscheiden

Zusammen mit dem Team gilt es mögliche Standards zu bewerten. Abhängig von der Größe und Ausrichtung Ihres Unternehmens kommen verschiedene Möglichkeiten in Frage. Die bekanntesten sind ISO27001 und IT-Grundschutz. Für kleine und mittelständische Unternehmen kommen auch ISIS12 und VdS3473 in Frage. Ein weiterer Weg führt über die in Art.40, 41 DS-GVO beschriebenen „genehmigten Verhaltensregeln“. Diese adressieren Kleinstunternehmen, werden von Verbänden und anderen Vereinigungen ausgearbeitet und über ein festgelegtes Verfahren von der Datenschutzaufsichtsbehörde genehmigt.

 

Fazit

Für unser Unternehmen werde ich ein ISMS auf Basis der Cyber-Richtlinie VdS3473 empfehlen. Aus meiner Sicht bietet diese Richtlinie einen idealen Mittelweg aus umzusetzenden Maßnahmen und notwendigen personellen sowie finanziellen Ressourcen. Zusätzlich stellt sie eine fundierte Grundlage für eine mögliche, spätere Zertifizierung nach ISO27001 dar.

Einen kostenlosen Quick-Check zur Feststellung des Status der Informationssicherheit in Ihrem Unternehmen können Sie über die Webseite  http://www.vds-quick-check.de durchführen.

 

Stefan Bachmann

 

Der Artikel wurde für die Ausgabe 02/2017 der Zeitschrift Datenschutz Digital erstellt.

 http://www.datenschutz-digital.de/

Vielen Dank für die Freigabe.

Kommentare 2 Views: 36



Aktueller Gesetzentwurf der Bundesregierung zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 veröffentlicht

Wie im Blog-Beitrag vom 29.01.2017 bereits angedeutet ist am heutigen Mittwoch, dem 01.02.2017, vom Bundeskabinett der Entwurf zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 veröffentlicht worden.

Sprich, nun haben wir den amtlich von der Bundesregierung beschlossenen Entwurf (u.a.) des neuen BDSG.

Natürlich wird dieser Gesetztesentwurf jetzt den ganz normalen Weg eines Gesetzes gehen, es wird ggf. Expertenanhörungen geben, der Bundesrat muss zustimmen und auch den Bundestag.

Aber trotzdem hat es heute schon eine ganze Reihe von Stellungnahmen und Äußerungen zu dem Gesetzesentwurf gegeben. Die zumeist negativ sind.


Da die folgende Auflistung nun auch auf der EU-DSGVO-Seite des BvD weitergeführt wird, aktualisiere ich diese Liste nicht mehr weiter.



Im Folgenden eine (unvollständige) Auflistung von Stimmen zum Gesetzesentwurf:


Bei der Gelegenheit: Die im Blogbeitrag vom Sonntag getroffenen Feststellungen bleiben weiterhin bestehen, die heute beschlossene Version hat sich ja nicht wesentlich zu der am 28.01.2017 geleakten Version geändert.


Eines kann festgehalten werden: Wir sind wahrscheinlich einen größeren Schritt näher an einem BDSG-Nachfolgegesetz (welches jetzt dann tatsächlich nicht mehr ABDSG oder BDSG-neu, sondern schlicht und ergreifend wieder BDSG heißen soll) dran.

 

Die nächsten Wochen bleiben spannend.

 

(Autor: Frank Spaeing)

Kommentare 0 Views: 103



ab 1. Februar: Informationspflicht nach § 36 Verbraucherstreitbeilegungsgesetz (VSBG)

 

Es war schon immer etwas umstritten, wie weit eine rechtliche Beratung durch bestellte externe Datenschutzbeauftragte erfolgen darf, wenn keine Zulassung als Rechtsanwalt vorliegt. Unstreitig ist eine Beratung zu datenschutzrechtlichen Gestaltungen. Allerdings werden auch Hinweise zur Klärung und Umsetzung von verbraucherrechtlichen Vorgaben erlaubt sein, solange sie keine Einzelfallberatung darstellen.

 

So wird der allgemeine Hinweis, dass Unternehmen prüfen sollten, ob sie den Vorgaben des Verbraucherstreitbeilegungsgesetzes unterliegen und diese umsetzen, sicher noch erlaubt sein.

 

Ein Unternehmer der eine Website unterhält oder AGB verwendet, muss nach § 36 VSBG den Verbraucher leicht zugänglich, klar und verständlich darüber in Kenntnis setzen, inwieweit er bereit oder verpflichtet ist, an Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen. Zudem muss er auf die zuständige Verbraucherschlichtungsstelle hinweisen, wenn er sich zur Teilnahme an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle verpflichtet hat oder, wenn er auf Grund von Rechtsvorschriften zur Teilnahme verpflichtet ist. Der Hinweis muss Angaben zu Anschrift und Webseite der Verbraucherschlichtungsstelle, sowie eine Erklärung des Unternehmers, an einem Streitbeilegungsverfahren vor dieser Verbraucherschlichtungsstelle teilzunehmen. Diese Informationen müssen auf der Webseite des Unternehmers erscheinen, wenn der Unternehmer eine Webseite unterhält. Weiter müssen diese Informationen in den Allgemeinen Geschäftsbedingungen eingebracht werden, wenn der Unternehmer Allgemeine Geschäftsbedingungen verwendet. Eine Ausnahme gilt für Unternehmen die am 31. Dezember des vorangegangenen Jahres zehn oder weniger Personen beschäftigt haben.

 

Weitere Informationen finden Sie unter:

 Verbraucherschlichtung - Ein Leitfaden für Unternehmen

 Allgemeine Verbraucherschlichtungsstelle

 

Rudi Kramer

stellv. BvD-Vorsitzender

Kommentare 0 Views: 76



Neuer Entwurf des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU geleaked

Am 28.01.2017 ist ein neuer Entwurf des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU geleaked worden:

 

https://www.datenschutzbeauftragter-online.de/wp-content/uploads/2017/01/DSAnpUG-EU-Entwurf-Kabinett.pdf

 

Zur Zeit scheinen einige Entwürfe zu zirkulieren, es gab letzte Woche schon einen anderen Entwurf (der allerdings nicht geleaked wurde), der eine abweichende Anzahl Seiten hatte und sich auch inhaltlich (zumindest leicht) unterschied.

 

Allen neuen Entwürfen ist gemein, dass über sie gesagt wurde und wird, dass sie "demnächst" im Bundeskabinett besprochen werden sollen. Zu der oben verlinkten Version war konkret von der KW 5 die Rede. Diese Aussage deckt sich auch mit der aus anderen Quellen kommenden Aussage, dass der nächste Entwurf Anfang Februar diskutiert werden solle.

 

Bisher hat es keine offizielle neue Version gegeben, die auch in die Verbändeanhörung gegeben wurde, dieses war ja im November recht schnell passiert, nachdem der damalige 2. Entwurf geleaked wurde. Wir dürfen also gespannt sein, was die nächste Woche so bringt.

 

Unabhängig davon kann natürlich schon die geleakte Version gelesen und es können die Veränderungen zum zweiten Entwurf herausgearbeitet werden.

 

Hier also eine erste (unvollständige) Einschätzung zu den Änderungen:

  • Wir reden nicht mehr von ABDSG (wie im 1. Entwurf vom September 2016) oder vom BDSG-neu (wie im 2. Entwurf vom November 2016), wir reden nun wieder vom BDSG, allerdings von einer Neufassung desselben.
  • Videoüberwachung: Das jetzige BDSG sollte ja noch novelliert werden, um die Videoüberwachungsregelung zu ändern (Details dazu u.a. hier: https://www.datenschutzverein.de/wp-content/uploads/2016/11/Stellungnahme_Videoueberwachung_06112016.pdf). Diese Regelungen scheinen in die Neufassung des BDSG im §4 übernommen worden zu sein. Das ist aus den (in der verlinkten Stellungnahme) genannten Gründen schlecht. Auch der Absatz 2 des § 6 ist m.M.n. nicht gut: "(2) Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen." Wann ist der frühestmögliche Zeitpunkt? Das kann, geschickt argumentiert, Monate später sein. Diese Formulierung gab es so im 2. Entwurf noch nicht.
  • Die Verarbeitung zu anderen Zwecken war im § 23 des 2. Entwurfs (BDSG-neu) noch für öffentliche wie auch für nicht-öffentliche Stellen zusammen geregelt. Dieses wurde in der geleakten Fassung getrennt. Dafür haben wir für öffentliche Stellen eine neue Teilregelung bekommen (wenn es ums Geld des Staats geht...):
    "§ 23 - Verarbeitung zu anderen Zwecken durch öffentliche Stellen
    (1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn [...] 4. sie [...] zur Sicherung des Steuer- und Zollaufkommens erforderlich ist, [...]"
  • Die Paragrafen zu Scoring und zur Übermittlung an Auskunfteien (§27 und §28 des 2. Entwurf (BDSG-neu) vom 23.11.2016) sind ersetzt worden duch einen §31 "Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften". In diesem findet sich der § 28 des 2. Entwurfs (BDSG-neu) zum Scoring ziemlich unverändert wieder, der § 27 des 2. Entwurfs (BDSG-neu) zu Auskunfteien hat sich deutlich geändert.
    in dem auch kursierenden aber nicht geleakten Entwurf waren die beiden Paragrafen nicht mehr enthalten.
  • Der DSB ist weiterhin enthalten (§ 36), im Wortlaut tatsächlich fast gleichlautend mit dem Entwurf vom 23.11.2016. Die einzige Änderung liegt im Wort "automatisiert": "... soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."

 

Wie oben bereits geschrieben fällt die Einschätzung, welches gerade die aktuellste Version ist, schwer, da keine der geleakten Versionen mit einem Datum versehen ist. Hier hilft dann nur Warten auf die nächste offiziell veröffentlichte Version. Vielleicht wird es ja nächste Woche...

 

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat eine Stellungnahme zum "4. Entwurf eines neuen Bundesdatenschutzgesetzes (BDSG)" veröffentlicht, in dem er deutliche Kritik daran geäußert hat:

Link zur Pressemitteilung https://www.datenschutz-mv.de/presse/2017/pm-bdsg-e4.html

und zur Stellungnahme https://www.datenschutz-mv.de/presse/2017/sn-bdsg-e4.pdf.

 

(Autor: Frank Spaeing)

 

Anderungshistorie:

Ich habe den Aufzählungspunkt zu Scoring geändert, da er inhaltlich nicht ganz korrekt war.

Ich habe den Aufzählungspunkt zum DSB geändert, da er inhaltlich nicht ganz korrekt war.

Kommentare 0 Views: 109



Schweiz: Swiss-US Privacy Shield für Datenübermittlungen in die USA

 

Die Schweiz hatte 2008 ein bilaterales Rahmenabkommen zur Datenübermittlung in die USA, ein so genanntes „Safe Harbor“-Abkommen mit den USA vereinbart. Auch diese Vereinbarung wurde mit dem Urteil am 06. Oktober 2015 des EuGH in Frage gestellt. Der Schweizer Bundesrat hat es zwar nicht für ungültig erklärt. Aber es war erforderlich, dass die Schweiz schnell ein dem EU-US Privacy Shield entsprechendes Abkommen abschließt.

 

Am 11. Januar 2017 hat der Bundesrat von der Einrichtung eines neuen Rahmens für die Übermittlung von Personendaten aus der Schweiz in die USA Kenntnis genommen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ersetzt mit dem Swiss-US Privacy Shield das aufgehobene Safe-Harbor-Abkommen.

 

Gemäß Art. 6 Abs. 1 des Schweizer Datenschutzgesetztes (DSG) dürfen Personendaten aus der Schweiz nur ins Ausland übermittelt und bearbeitet werden, wenn im betreffenden Drittland ein angemessener Datenschutz gewährleistet ist. Die USA verfügt nicht über eine Gesetzgebung, die gemäß dem DSG ein angemessenes Datenschutzniveau gewährleistet (wie auch gemäß Bundesdatenschutzgesetz (BDSG)). Mit dem Swiss-US Privacy Shield erkennt die Schweiz die Angemessenheit des Datenschutzniveaus für solche US-Firmen an, welche sich nach dem Swiss-US Privacy Shield zertifizieren lassen (analog Safe Harbor).

 

Bundesrat Johann Schneider-Ammann will dies in den nächsten Tagen in einem Schreiben an die US-Handelsministerin Penny S. Pritzker offiziell bestätigen.

 

Der Schweizer Bundesrat sieht im Swiss-US Privacy Shield Verbesserungen zu Safe Harbor: Die Anwendung der Datenschutzprinzipien durch die teilnehmenden Unternehmen, als auch die Verwaltung und Überwachung des Rahmens durch die US-Behörden sind verstärkt worden. Des Weiteren wird die Zusammenarbeit zwischen dem US-Department of Commerce und dem EDÖB intensiviert. Zusätzlich wird ein Schlichtungsorgan eingeführt, das Streitigkeiten behandeln soll.

 

Experten sehen das Swiss-US Privacy Shield kritisch: Es sei fast so ungenügend wie das Safe-Harbor-Abkommen aus dem Jahr 2008.

Das „Swiss-US Privacy Shield“ entspricht inhaltlich (nahezu) dem „EU-US Privacy Shield“, welches genauso in der Kritik steht.

 

Links:

EDÖB deutsch: https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01406/index.html?lang=de

Englisch: https://www.admin.ch/gov/en/start/documentation/media-releases.msg-id-65210.html

 

(Autorin: Regina Mühlich)

 

Kommentare 0 Views: 106



Schweiz: Datenschutzgesetz in Revision

Das Schweizer Datenschutzgesetz soll der neuen EU-Gesetzgebung und den neuen technologischen Anforderungen angepasst werden.

 

Das Bundesgesetz für den Datenschutz (DSG) trat am 01. Juli 1993 in Kraft. Zu einer Zeit, wo es noch kein Internet und kaum Mobilfunktelefone gab, Computer langsam waren und über wenig Speicherplatz verfügten. Der Bundesrat will das DSG nun modernisieren. Ende Dezember 2016 wurde eine entsprechende Vernehmlassungsvorlage präsentiert.

 

Bei der Anpassung des Gesetzes werden vorrangig zwei Ziele verfolgt: Zum einen ist es erforderlich, dass die Gesetzgebung an die technologische Entwicklung angepasst wird. Zum anderen wird am 25. Mai 2018 ein neues EU-weites Datenschutzgesetz gültig - die Datenschutzgrundverordnung (DSGVO). Entsprechende gesetzliche Anpassungen sind notwendig, damit der Marktzugang für Schweizer Unternehmen in die Europäische Union weiterhin gewährleistet ist.

 

Folgende Änderungen werden angestrebt:

 

Die Strafbestimmungen sollen verschärft werden.

Bisher war eine maximale Busse bei einem Gesetzesverstoß von 10 000 Franken vorgesehen. Diese soll auf 500 000 Franken erhöht werden.

Die EU hat die Sanktionen drastisch erhöht. Gemäß Art. 83 DSGVO sollen diese „verhältnismäßig und abschreckend“ sein. In Abhängigkeit des Verstoßes kann ein Bußgeld bis zu 10 000 000 EUR (Organisationsregeln) oder im Fall eines Unternehmens von bis zu 2 % seines weltweiten Jahresumsatzes des Vorjahres bzw. bei Verstößen u. a. gegen die Betroffenenrechte bis zu 20 000 000 EUR oder 4 % des weltweiten Jahresumsatzes (je nach dem was höher ist) verhängt werden.

 

Informationspflicht

Personen, deren Daten genutzt oder bearbeitet werden, sollen besser informiert werden. Die Nutzer sollen auch informiert werden, wenn ein Algorithmus entscheidet, persönliche Daten zu verwenden oder zu bearbeiten.

Ähnliches ist in Art. 13 DSGVO zu finden.

 

Recht auf Löschung

Das Recht persönliche Daten löschen zu können, soll explizit verankert werden.

Dies ist vergleichbar mit Art. 17 DSGVO „Recht auf Vergessenwerden“ (right to be forgotten)

Auch das Auskunftsrecht (Art. 8 DSG) über die eigenen persönlichen Daten soll gestärkt werden (Art. 15 DSGVO).

 

Erweiterung der Verantwortung des Inhabers einer Datensammlung

In der Verantwortung soll nicht mehr nur der Inhaber sein, sondern sämtliche private und auch juristische Personen, die über den Zweck, die Mittel und den Umfang einer Datenbearbeitung entscheiden.

Der Inhaber einer Datensammlung soll zukünftig als „Verantwortlicher“ bezeichnet werden. Dies Begrifflichkeit wurde auch in der DSGVO eingeführt.

 

Ziel des Bundesrates ist es, die umfassende und laufende Revision bis spätestens zum Sommer 2018 abzuschließen, um den Marktzutritt der Schweiz in der EU weiterhin zu sichern, denn ab 25. Mai 2018 gilt EU-weit die Datenschutzgrundverordnung.

 

Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert, wie auch Kanada, Neuseeland, Argentinien und weitere Länder, nach Auffassung der EU-Kommission (Art. 26 Abs. 6 EU-Datenschutzrichtlinie) einen adäquaten Datenschutz. Mit den geplanten Anpassungen sollte auch weiterhin ein angemessenes Datenschutzniveau gewährleistet sein. Es spricht also nichts dagegen, dass die Schweiz auch weiterhin als Drittland mit angemessenem Schutzniveau gilt und die EU-Kommission gemäß Art. 45 DSGVO diesen Status auch nach dem 25. Mai 2018 bestätigt.

 

(Autorin: Regina Mühlich)

 


Tags: dsg, eu, schweiz
Kommentare 0 Views: 120



Leitfaden des BITKOM zur Übermittlung personenbezogener Daten – Inland, EU-Länder, Drittländer – wurde in der Version 1.1 veröffentlicht

Der Leitfaden wurde hinsichtlich der Rechtsentwicklungen der letzten Jahre aktualisiert und bietet Orientierung bis zur Anwendung der DS-GVO. Auf insgesamt 61 Seiten werden u.a. die Rechtsfolgen des Safe-Harbor-Urteils, Hinweise zum EU-US-Privacy Shield sowie die Anwendung der Standardvertragsklauseln dargestellt.

 

Der Leitfaden ist beim BITKOM kostenlos hier erhältlich:

https://www.bitkom.org/Bitkom/Publikationen/Uebermittlung-personenbezogener-Daten-Inland-EU-Laender-Drittlaender-2.html

 

Mit vorweihnachtlichen Grüßen

 

Rudi Kramer

stellv. BvD-Vorsitzender

Kommentare 0 Views: 141



Entwurf der Guidelines der Art-29-Gruppe zur DS-GVO vom 13.12.2016 veröffentlicht

Fast jeder Datenschutzbeauftragte, der seine Aufgabe ernst nimmt, erhofft sich zu vielen Fragen zur Umsetzung der DS-GVO ein klärendes Wort aus Sicht der Aufsichtsbehörden. Die Art. 29-Gruppe hatte bereits angekündigt zu verschiedenen Punkten Stellung zu beziehen.

 

Zu den Themenkomplexen „Datenportabilität“, „Datenschutzbeauftragter“ und zur „zuständigen Aufsichtsbehörde“ wurden diese Woche am 13.12. Guidelines und FAQs veröffentlicht, zu denen die Art. 29-Gruppe noch bis Ende Januar 2017 Hinweise entgegen nimmt.

 

Die Guidelines sind hier veröffentlicht:

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

 

 

Mit vorweihnachtlichen Grüßen

 

Rudi Kramer

stellv. BvD-Vorsitzender

Kommentare 0 Views: 148



Entwurf der ePrivacy-Verordnung ist öffentlich – Auswirkung auf das Direktmarketing?


Für den BvD-Blog, Werner Hülsmann [1]


Nachdem am 10. Dezember 2016 darüber berichtet [2] wurde, dass der Entwurf der Nachfolgeregelung der ePrivacy-Richtlinie von der EU-Kommission am 11. Januar 2017 in Brüssel vorgestellt werden soll und es sich bei dieser Nachfolgeregelung um eine direkt wirkende Verordnung handeln wird, wurde am 13. Dezember der Entwurf [3] der ePrivacy-Verordnung (ePrivVO) geleakt.

An dieser Stelle kann noch keine umfassende Stellungnahme zu dem Entwurf erfolgen. Eine für viele Unternehmen wichtige Fragestellung soll hier aber bereits beleuchtet werden:

 

Das elektronische Direktmarketing

 

Relevant ist hierbei vor allem Art. 16 ePrivVO-E, in dem die bisherige Regelung aus Artikel 13 ePrivacy-Richtlinie übernommen wird. Diese Regelung wurde bislang in Deutschland (in völlig unpassender Weise) im § 7 des Gesetzes gegen den unlauteren Wettbewerb umgesetzt. In Art 16 Abs. 2 ePrivVO-E finden sich die (in Deutschland durch § 7 Abs. 3 UWG umgesetzten) Regelungen zur vereinfachten Erlaubnis zur Nutzung von E-Mail-Adressen (oder SMS-Nummern) für eigene Werbezwecke, wenn die dortigen Bedingungen (s.u.) erfüllt sind.

Diese Beibehaltung bestätigt die bereits vertretene Auffassung, dass sich die insbesondere der Satz „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ aus Erwägungsgrund 47 der EU-Datenschutzgrundverordnung (DSGVO) zum Direktmarketing nur auf das postalische Direktmarketing, nicht aber auf das Direktmarketing per elektronischer Kommunikation (E-Mail, Telefon, FAX, SMS) bezieht.

 

Wesentliche Punkte des Entwurfs ePrivVO

 

Die folgende Darstellung ist nur eine erste kurze Einschätzung und verzichtet auf den (wesentlichen) Teil der Verordnung, der nur für die Unternehmen gilt, die Dienste der elektronischen Kommunikation für die Öffentlichkeit anbieten:


  • Art 1 Abs. 3 ePrivVO-E: Die ePrivVO konkretisiert und detailliert die Regelungen DSGVO, insoweit in der ePrivVO die Verarbeitung personenbezogener Daten geregelt ist
  • Art. 4 Abs. 1 ePrivVO-E: die Begriffsbestimmungen aus der DSGVO gelten auch für die ePrivVO
  • Art. 4 Abs. 2 lit f und g: Hier sind die Definitionen von "electronic mail" und "direct marketing communication" enthalten
  • Art. 9 ePrivVO-E: Nach Art. 9 Abs. 1 ePrivVO-E gelten für Einwilligungen die Anforderungen aus Art. 7 DSGVO.
  • Art. 16 Abs. 1: ePrivVO-E: Werbung mit Hilfe elektronischer Kommunikation (E-Mail, Telefon, AX, SMS) ist nur mit vorheriger Einwilligung der End-Nutzer zulässig.
  • Art. 16 Abs. 2: ePrivVO-E: Enthält die Regelungen bereits bekannten vereinfachten Erlaubnis für Werbung für "electronic mail" bei Einhaltung der dortigen Regelungen (Erhebung der Daten bei Verkauf einer Ware oder Dienstleistung in Übereinstimmung mit der DSGVO, Werbung für eigene ähnliche Produkte und Dienstleistungen, Hinweis auf die werbliche Nutzung sowie Hinweis auf Widerspruchsmöglichkeit bei Erhebung und bei jeder Nutzung)
  • Art. 25 ePrivVO-E Abs. 4: Die Mitgliedstaaten sollen die Sanktionen für Verstöße gegen Art. 16 (und andere Artikel) der ePrivVO selbst regeln.
  • Art. 31: Inkrafttreten und Anwendbarkeit: Das Inkrafttreten ist am 21.Tag nach der Verkündung im EU-Amtsblatt vorgesehen, gelten soll die Verordnung sechs Monate nach dem Inkrafttreten.


Eine ausführlichere Bewertung des – bis dahin dann offiziell bekannt gemachten – Verordnungsentwurfs wird in der nächsten Ausgabe der BvD-News erfolgen.

 

Weiteres Verfahren

 

Aus Brüssel gab es zum Verfahren noch folgende ergänzende Information:

"Therefore, it has to go into inter-service consultation (ISC) on 21st December the latest, maybe a bit earlier. That is normally the point when documents become de facto public, however it may be more difficult so short before Christmas with many officials already on holidays. The main battle will start on 11th January. But it already now would make sense to speak to the cabinets of relevant other Commissioners besides Oettinger and Ansip in order to influence the ISC."

 

Fazit

 

Mit dem Entwurf der ePrivacy-Verordnung wird das Verhältnis zwischen der EU-Datenschutzgrundverordnung und den bereichsspezifischen Regelungen zum Datenschutz in der elektronischen Kommunikation deutlich besser geregelt als es noch mit der ePrivacy-Richtlinie möglich ist. Es bleibt allerdings abzuwarten, welche der jetzt bekannt gewordene Entwurf im Rahmen des EU-Gesetzgebungsverfahren erfahren wird.

 

...................

 

[1] Werner Hülsmann ist selbstständiger Datenschutzberater ( https://datenschutzwissen.de/) und

DSGVO-Experte ( https://dsgvo.expert/)

[2] ( https://dsgvo.expert/entwurf-fuer-die-nachfolgeregelung-der-e-privacy-richtlinie-wird-am-11-januar-2017-vorgestellt/)

[3] ( http://www.politico.eu/wp-content/uploads/2016/12/POLITICO-e-privacy-directive-review-draft-december.pdf)

 

 

 

Kommentare 0 Views: 158



Neuer Entwurf zum BDSG-Nachfolgegesetz veröffentlicht

Das Bundesministerium des Innern hat am 11.11.2016 eine 2. Fassung des Referentenentwurfs des "Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU" vorgelegt. Zunächst wird es innerhalb der Ministerien beraten und dann in die Verbändeanhörung gegeben.

 

Mit diesem Gesetz werden die Regelungsmöglichkeiten aus der DS-GVO genutzt, aber auch die Richtlinie zur Datenverarbeitung in Strafverfahren (RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates) in deutsches Recht umgesetzt. Zudem werden auch die Regelung zur Datenverarbeitung behandelt, die von beiden europäischen Vorgaben ausgenommen sind, wie die Datenverarbeitung aus nationalen Sicherheitsinteressen.

 

Daher umfasst der Entwurf auch Regelungen zu Tatbeständen, die in der DS-GVO schon geregelt sind, aber für die Richtlinie noch geregelt werden müssen (z.B. Definitionen oder Auftragsverarbeitung)

 

Durch das DSAnpUG-EU wird das bisherige BDSG aufgehoben und ein neues BDSG geschaffen (Es bleibt bei BDSG, nicht ABDSG). Gleichzeitig werden weitere Gesetze angepasst.

 

Hinsichtlich des DSB werden die Regelungsmöglichkeiten des Art. 37 Abs. 4 DS-GVO genutzt und die bestehenden Bestellpflichten in die künftigen Benennungspflichten übernommen.

 

Auch eine Änderung des aktuellen BDSG ist mit einem § 42b angedacht: Die Datenschutzaufsichtsbehörden können Angemessenheitsbeschlüsse der Kommission einer gerichtlichen Entscheidung zuführen.

 

Hier finden Sie den unter www.datenschutzverein.de geleakten Referentenentwurf.

 

Hier finden Sie den unter www.datenschutzverein.de veröffentlichten zur Verbändeanhörung offiziell versandten Referentenentwurf mit Stand vom 23.11.2016.

 

 

Rudi Kramer

stellv. BvD-Vorsitzender

 

Kommentare 0 Views: 225



AK Krypto: Unternehmenslösung zur E-Mail-Verschlüsselung – Ein Erfahrungsbericht

Erfahrungsbericht eines Mitglieds des Arbeitskreis Verschlüsselung und Signierung (AK Krypto). Beschreibung einer Unternehmenslösung zur E-Mail-Verschlüsselung – unter Berücksichtigung der unterschiedlichen Kommunikationspartner mit unterschiedlichsten IT-Kenntnissen und -Ausstattungen.

 

Der im letzten Jahr neu gegründete AK Krypto des BvD hat sich vorgenommen, verschiedene Themen in Form von Blog-Beiträgen zu veröffentlichen. Der hier vorliegende Text ist ein Erfahrungsbericht im Rahmen dieser Veröffentlichungen. Der Autor stellt die E-Mail-Verschlüsselungslösung vor, die bei dem Unternehmen umgesetzt ist, bei dem er als Datenschützer (Stellvertreter des Konzerndatenschutzbeauftragten) bestellt ist.

 

Es handelt sich bei der eingesetzten Lösung um eine Appliance (also nicht nur Software, sondern eine Komplettlösung aus Hard- und Software), mit der alle E-Mails des Unternehmens von einem Gateway ver- und entschlüsselt werden können. Das große praktische Problem bei der Etablierung einer E-Mail Verschlüsselung ist, dass es hierfür keinen einheitlichen Standard gibt, bei dem man davon ausgehen kann, dass ihn jeder Kommunikationspartner einsetzen kann (oder will). Zunächst gibt es zwei Standards, die untereinander nicht kompatibel sind: PGP und S/MIME. Beide basieren auf einer Verschlüsselung mit öffentlichen Schlüsseln. Der Vorteil der Verschlüsselung mit öffentlichen Schlüsseln (Public-Key Kryptographie) ist, dass man keine „geheimen“ Schlüssel austauschen muss, sondern nur „öffentliche“. Das vereinfacht den Schlüsselaustausch sehr, weil diese öffentlichen Schlüssel entweder auf einem Schlüsselserver veröffentlicht sind und von dort abgerufen werden können oder auch per normaler unverschlüsselter E-Mail zugesendet werden können. Möglich ist dies, weil man mit diesen öffentlichen Schlüsseln nur ver- aber nicht entschlüsseln kann. Zum Entschlüsseln braucht man den zum jeweiligen öffentlichen Schlüssel passenden privaten Schlüssel, den nur der Empfänger selbst hat und den er sich mit niemandem teilen muss/darf/kann. Um die Vorteile dieser Verschlüsselung nutzen zu können, muss der Empfänger jedoch auch eines dieser Systeme (S/MIME oder PGP) nutzen bzw. der Absender muss vom Empfänger einen für diese Systeme passenden/kompatiblen [1] PGP-Schlüssel oder ein S/MIME-Zertifikat [2] haben, mit dem die zu verschlüsselnde E-Mail verschlüsselt werden kann.

 

Das große praktische Problem bei der Einführung einer unternehmensweiten Verschlüsselung ist nun, dass man weder davon ausgehen kann, dass sich alle Kommunikationspartner auf eines dieser Verfahren einigen können, noch, dass alle Kommunikationspartner überhaupt gewillt und/oder in der Lage sind, eines dieser Verfahren bei sich einzuführen. Zur Lösung dieses Problems kommt nun die oben genannte Appliance zum Einsatz.

 

Wenn ein Mitarbeiter des Unternehmens eine E-Mail versenden will, wird er zunächst gefragt, ob sie verschlüsselt werden soll. Wenn diese Frage mit „nein“ beantwortet wird, wird die E-Mail unverschlüsselt versendet. Diese Möglichkeit soll es nach wie vor für unkritische E-Mails geben. Falls die Frage jedoch mit „ja“ beantwortet wird, geht der Inhalt dieser E-Mail nur verschlüsselt über das Internet – egal welche Variante der Empfänger bei sich installiert hat. Es gibt nun die folgenden drei Möglichkeiten:

  1. Falls vom Empfänger (bzw. der E-Mail-Adresse) ein S/MIME-Zertifikat vorliegt, dann wird die E-Mail mit dem öffentlichen S/MIME-Schlüssel verschlüsselt.
  2. Falls vom Empfänger (bzw. der E-Mail-Adresse) ein PGP-Schlüssel vorliegt, dann wird die E-Mail mit dem öffentlichen PGP-Schlüssel verschlüsselt.
  3. Falls vom Empfänger (bzw. der E-Mail-Adresse) weder ein S/MIME-Zertifikat noch ein PGP-Schlüssel vorliegt, dann kommt ein Verfahren zum Einsatz, das „SecureMail“ genannt wird. Dabei wird die vertrauliche E-Mail zunächst gar nicht versendet. Stattdessen geht eine E-Mail an den Empfänger, im der dieser darüber informiert wird, dass eine (vertrauliche) E-Mail für ihn zur Abholung auf einem DFS-Server (dem Gateway) bereitsteht. Diese E-Mail ist bereits mit einem Link zum Gateway bzw. zur vertraulichen Nachricht versehen. Wenn der Empfänger den Link dieser E-Mail anklickt wird er über eine verschlüsselte Verbindung (https:…) mit der Anmeldeseite des Gateways verbunden. Hier kann er sich mit seiner E-Mail-Adresse und einem Passwort anmelden. Bei der ersten Anmeldung muss er sich dieses Passwort selbst vergeben und (wie üblich) merken. Bei weiteren E-Mails kann er sich immer wieder mit diesem Passwort sofort anmelden. Die Gefahr eines Missbrauchs besteht somit nur bei der ersten Verbindung, so dass man hier möglichst noch keine wirklich vertraulichen Daten versenden sollte. Erst wenn man vom Empfänger (z. B. telefonisch) eine Bestätigung bekommen hat, dass er die erste Test-Mail auch entschlüsseln konnte, weiß man, dass er es auch ist, der den Zugang über das selbst gewählte Passwort zu den vertraulichen E-Mails hat.

Im umgekehrten Fall, wenn vertrauliche E-Mails zurückgeschickt werden sollen, geschieht dies analog:

  1. Falls der Absender eine mit S/MIME verschlüsselte E-Mail an unser Unternehmen sendet, dann wird die E-Mail mit dem privaten S/MIME-Schlüssel des Gateways entschlüsselt und dann an den entsprechenden Mitarbeiter weitergeleitet.
  2. Falls der Absender eine mit PGP verschlüsselte E-Mail an unser Unternehmen sendet, dann wird die E-Mail mit dem privaten PGP-Schlüssel des Gateways entschlüsselt und dann an den entsprechenden Mitarbeiter weitergeleitet.
  3. Falls der Absender weder S/MIME noch PGP verwendet, dann kann er sich wieder über seinen Zugang zum Gateway über die verschlüsselte Internetverbindung mit dem Tool verbinden (SecureMail) und dort direkt seine Nachricht (ggf. einschließlich der Anhänge) eingeben, die dann an den entsprechenden Mitarbeiter weitergeleitet wird.

Vor- und Nachteile des Verfahrens:

  • Aus Sicht der Beschäftigten des Unternehmens ist es egal, ob von einem Empfänger ein S/MIME-, ein PGP- oder gar kein Schlüssel hinterlegt ist. Die zu versendende E-Mail wird geht in jedem Fall nur verschlüsselt über das Internet. Falls aufgrund mehrerer Empfänger unterschiedliche Verfahren zum Einsatz kommen müssen, werden aus einer einzigen zu versendenden E-Mail ggf. unterschiedliche E-Mails generiert – mit unterschiedlichen Verschlüsselungen. Die Kollegen merken nichts davon.
  • Im Falle von „SecureMail“ kommt zwar ein Passwort zum Einsatz, das der Kommunikationspartner sich merken muss, aber auch dieses Passwort wird nur mit dem Gateway vereinbart und nicht mit Mitarbeitern unseres Unternehmens. Letztere müssen sich somit weder ein Verfahren noch ein Passwort merken, das beim Kommunikationspartner verwendet wird.
  • Für die jeweiligen Kommunikationspartner ist der Einsatz des Tools auch weitgehend unbedeutend, sofern er S/MIME oder PGP nutzt und die entsprechenden Zertifikate/Schlüssel ausgetauscht wurden. Nur für den Fall, dass er keines der beiden Verfahren nutzt, wird die E-Mail-Kommunikation für ihn schwieriger. Falls er sich daran stört die E-Mails aus unserem Server immer abholen zu müssen, anstatt sie in seinem eigenen E-Mail Eingang vorliegen zu haben, muss man ihm klarmachen, dass IT-Sicherheit nicht ganz umsonst zu haben ist. Er muss entweder mit dieser unkomfortablen Situation umgehen oder sich nachträglich für eine Kommunikation über S/MIME oder PGP entscheiden. Sowie er mit uns einen entsprechenden Schlüssel (bzw. ein Zertifikat) ausgetauscht hat, liegen auch wieder alle (ab diesem Zeitpunkt versendeten) E-Mails direkt in seiner Eingangsbox vor.
  • Bei uns wurden sowohl für S/MIME als auch für PGP nur Gateway-Schlüssel generiert – also keine individuellen Schlüssel für jeden Beschäftigten. Somit handelt es sich nicht um eine Ende-zu-Ende Verschlüsselung, sondern nur um eine Verschlüsselung ab bzw. bis zum Gateway des Unternehmens. Das Wesentliche bei einer Unternehmenslösung ist jedoch, dass die Daten nicht unverschlüsselt über das (offene) Internet übertragen werden und das ist mit dieser Lösung der Fall.
  • E-Mail Clients der jeweiligen Kommunikationspartner haben in manchen Fällen Probleme mit den Gateway-Schlüsseln. Das liegt daran, dass die Zertifikate/Schlüssel nur eine allgemeine E-Mail-Adresse des Unternehmens (aber nicht die exakte der jeweiligen Empfänger) haben können und somit nicht vollständig mit den E-Mail-Adressen der in den E-Mails eingetragenen Empfänger übereinstimmen können. Bei PGP lässt sich das bei manchen Clients einstellen, indem dem E-Mail Client mitgeteilt wird, dass alle E-Mails mit z. B. der Endung „@company.de“ mit dem vorliegenden PGP-Gateway-Schlüssel des Unternehmens verschlüsselt werden sollen. Bei S/MIME lässt sich das in manchen Fällen nicht konfigurieren. Kleine Unternehmen und Berater nutzen jedoch häufig PGP (bzw. gpg oder gpg4win). Große Unternehmen und speziell Behörden nutzen eher S/MIME – jedoch auch mit irgendeiner Serverlösung für die Verschlüsselung, bei der serverseitig oft eingestellt werden kann, dass alle E-Mails mit der gleichen Endung den selben S/MIME-Schlüssel verwenden sollen. Trotzdem gibt es Fälle, bei denen wir hier noch keine Lösung und somit ein Problem haben.
  • Bei Variante drei, bei der sich die Kommunikationspartner über ein Passwort Zugang zu den E-Mails verschaffen, muss sichergestellt sein, dass die erstmalige Anmeldung (mit der Passwortvergabe) auch wirklich der berechtigte Empfänger durchführt. Falls die E-Mail mit dem Link von Unbefugten abgefangen wurde, könnten diese sich auch das Passwort vergeben. Daher sollte die erste Kommunikation noch keine wirklich vertraulichen Daten enthalten und es sollte nach der Passwortvergabe noch einmal (z. B. telefonisch) sichergestellt werden, dass die E-Mail auch wirklich vom korrekten/berechtigten Empfänger gelesen wurde. Danach ist die Kommunikation sicher.
  • Ähnlich ist es mit der Aufnahme der öffentlichen PGP-Schlüssel oder S/MIME-Zertifikate der externen Kommunikationspartner. Auch hier sollte einmalig überprüft werden, dass die importierten Schlüssel/Zertifikate wirklich von dem Kommunikationspartner stammen, mit dem man kommunizieren möchte. Ansonsten besteht die Gefahr eines Man-in-the-Middle-Angriffs [3]. Überprüfen lassen sich die öffentlichen Schlüssel z. B. über deren Fingerabdrücke, die man schnell auch telefonisch abgleichen kann.

 

Abschließend sei noch angemerkt, dass die mit S/MIME oder PGP (bzw. gpg oder gpg4win) verschlüsselten E-Mails auch signiert werden können, was bei uns auch entsprechend konfiguriert ist. Bei signierten eingehende E-Mails wird die Signatur geprüft und das Ergebnis dem Empfänger mitgeteilt. Beides geschieht über die gleichen bereits sowieso vorliegenden Schlüssel, worauf in diesem Beitrag jedoch nicht näher eingegangen wird.

 

Bei der eingesetzten Appliance handelt es sich um „SecureMail Gateway“ von Zertificon Solutions GmbH, es gibt aber auch anderen Anbieter, die ähnliche Lösungen bereithalten.

 

Für Rückfragen stehe ich gern zur Verfügung

 

Riko Pieper (für den AK Krypto)

Stellvertreter des Konzerndatenschutzbeauftragten der DFS Deutsche Flugsicherung GmbH, Langen

Kontakt über Riko.Pieper (at) dfs.de

 

Fußnoten:

[1] Statt PGP „Pretty Good Privacy“ kann auch das kostenlose vom BSI geförderte Tool gpg „Gnu Privacy Guard“ bzw. die auf Windows optimierte GPG-Version „gpg4win“ genutzt werden. Die Schlüssel von PGP und GPG sind zueinander kompatibel.

[2] Bei PGP spricht man von Schlüsseln, bei S/MIME von Zertifikaten. In beiden Fällen braucht man für die Verschlüsselung einen öffentlichen Schlüssel und ein paar Zusatzinformationen wie z. B. eine E-Mail-Adresse, damit ein Tool die jeweils korrekten Schlüssel in Abhängigkeit vom Empfänger nutzen kann. In einem S/MIME-Zertifikat sind ggf. weitere Informationen enthalten auf die hier nicht näher eingegangen wird.

[3] Mehr Informationen zu Man-in-the-Middle-Angriffen unter https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff

 

Kommentare 0 Views: 208



Aktuelle Prüfung durch Aufsichtsbehörden zur grenzüberschreitenden Datenübermittlung

Dass die deutschen Aufsichtsbehörden angesichts ihrer Aufgabenfülle nicht mit ausreichenden Ressourcen ausgestattet sind, die beraten, entscheiden, kontrollieren und Verfehlungen verfolgen, ist in der Datenschutzszene nichts Neues. Eingaben Betroffener können nicht zeitnah bearbeitet werden, und behördenübergreifende Abstimmungen ziehen sich oft monatelang hin. Dies scheint auch Politikern bewusst zu werden, zumindest, wenn man einem Spiegel Online – Artikel (http://www.spiegel.de/netzwelt/web/datenhandel-und-bundestag-abgeordnete-verlangen-aufklaerung-a-1119604.html ) Glauben schenken darf, wenn Politikern auch mal das passiert, was jedem Bürger tagtäglich widerfährt – die offensichtlich unrechtmäßige Nutzung seiner Daten durch Internetanbieter.

 

Um die knappen Ressourcen besser zu bündeln, haben sich zehn Aufsichtsbehörden zusammengeschlossen, um im November 2016 bei ungefähr 500 Unternehmen in Deutschland die Praxis bei grenzüberschreitenden Datenübermittlungen zu ermitteln. Die Auswahl erfolgte nach dem Zufallsprinzip mit dem Ziel auch unterschiedliche Unternehmensgrößen und verschiedene Branchen zu erreichen.

 

Die Fragen behandeln daher auch die Datenübermittlung in Drittstaaten – natürlich mit der Thematik USA - aber auch Cloud Computing und die Fernwartung werden abgefragt. Wer an den Fragen interessiert ist, aber nicht zu den rund 500 Unternehmen gehört, findet den Fragebogen auch auf den Seiten des BayLDA hier: https://www.lda.bayern.de/de/international_audit.html .

 

(Autor: Rudi Kramer, Vorstand)

 

Kommentare 0 Views: 186



Datenschutzbußgeld weil Unternehmen IT-Leiter zum Datenschutzbeauftragten bestellt

 

Der von der Aufsichtsbehörde für den Datenschutz entschiedene Fall

 

In einem bayerischen Unternehmen bekleidete der dortige “IT-Manager” auch die Position des betrieblichen Datenschutzbeauftragten (DSB). Das Bayerische Landesamt für Datenschutzaufsicht (LDA) beanstandete diesen Umstand. Es hielt die exponierte Position eines IT-Managers für unvereinbar mit den Aufgaben eines DSB. Dies liefe nach Auffassung des LDA letztlich auf eine Datenschutzkontrolle eines maßgeblichen Funktionsträgers im Unternehmen durch sich selbst hinaus. Eine solche Selbstkontrolle widerspreche der Funktion eines DSB. Dieser soll gerade eine unabhängige Instanz sein, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt. Diese Aufgabe könne der DSB nicht erfüllen, wenn er gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprogramm besitze.

 

Das LDA wies das Unternehmen auf diese Bedenken hin. Zudem forderte die Datenschutzbehörde das Unternehmen auf, einen DSB zu bestellen, der keine derartigen Interessenkollision unterliege. Das Unternehmen kam dieser Aufforderung über Monate hinweg nicht nach. Daraufhin verhängte das LDA gegen das Unternehmen eine Geldbuße. Die festgesetzte Geldbuße ist mittlerweile rechtskräftig. (PM v. 20.10.2016).

 

Die derzeitige Rechtslage

 

Beschäftigen Unternehmen mehr als neun Personen an Computerarbeitsplätzen oder mit anderen Formen der Datenverarbeitung, müssen Sie einen DSB bestellen. Dies kann ein Mitarbeiter oder ein externer DSB sein. Nach § 4f Abs. 2 Bundesdatenschutzgesetz (BDSG) dürfen Unternehmen nur solche Personen zum DSB bestellen, die über die für die Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit verfügen. Bestellt ein Unternehmen einen DSB der nicht den gesetzlichen Anforderungen genügt, nach Meinung der Aufsichtsbehörden für den Datenschutz umfasst die geforderte Zuverlässigkeit auch ein nicht unerhebliches Maß an Unabhängigkeit. Neben der Tätigkeit als DSB darf ein interner Mitarbeiter auch weitere Tätigkeiten ausüben. Gerade bei kleinen oder mittleren Unternehmen ist dies der Regelfall. Die sonstigen Aufgaben des DSB dürfen aber keinen Interessenkonflikt zu seiner Datenschutzfunktion darstellen. Diese Anforderung hatte das Unternehmen nach Auffassung des LDA beharrlich missachtet.

 

Hierzu Thomas Kranig, Präsident des LDA „Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.”

 

Mit seiner Entscheidung geht das LDA über die bislang von der Rechtsprechung aufgestellten Anforderungen hinaus. In der Vergangenheit hatten Gerichte hier teilweise deutlich großzügiger geurteilt. Beispielsweise hatte das Bundesarbeitsgericht die Bestellung eines Betriebsratsmitglieds im Jahr 2011 nicht beanstandet (Az. 10 AZR 562/09). Zwar haben auch Betriebsräte über die Einhaltung des Datenschutzes und anderer Rechtsvorschriften zum Schutz der Arbeitnehmer zu wachen, § 80 Abs. 1 Nr. 1 Betriebsverfassungsgesetz (BetrVG). Zudem sind Betriebsräte und Arbeitgeber nach § 75 Abs. 2 BetrVG verpflichtet, die Persönlichkeitsrechte der Belegschaft zu schützen. Ihre wesentliche Aufgabe ist aber die Vertretung von Arbeitnehmerinteressen und nicht die Umsetzung des Datenschutzes im Unternehmen.

 

Handlungsempfehlungen und künftige Anforderungen nach der EU-Datenschutz-Grundverordnung (DSGVO)

 

Mit der ab Mai 2018 geltenden DSGVO drohen Unternehmen deutlich höhere Sanktionen, wenn sie gegen die Vorgaben zur Bestellung eines Datenschutzbeauftragten verstoßen. Sofern der deutsche Gesetzgeber die derzeitige Pflicht zur Bestellung eines DSB nicht abschafft oder anders regelt, müssen Unternehmen weiterhin einen DSB bestellen, wenn sie mehr als neun Personen bei der Datenverarbeitung beschäftigen. Denn nach Art. 37 Abs. 4 DSGVO müssen Verantwortliche oder Auftragsverarbeiter stets dann einen Datenschutzbeauftragten benennen, wenn dies nach dem Recht des jeweiligen Mitgliedstaats vorgeschrieben ist.

 

Auch nach dem künftigen Recht kann der Datenschutzbeauftragte andere Aufgaben und Pflichten im Unternehmen wahrnehmen. Allerdings müssen verantwortliche oder Auftragsverarbeiter sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, Art. 38 Abs. 6 DSGVO. Bei Verstößen gegen diese Anforderung drohen Bußgelder von bis zu EUR 10 Millionen. Im Fall eines Unternehmens können die Bußgelder sogar bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes betragen, je nachdem welcher der Beträge höher ist, Art. 83 Abs. 4 DSGVO. Vor diesem Hintergrund kann man Unternehmen nur raten, genau darauf zu achten, dass der bestellte DSB und seine Position im Unternehmen den Anforderungen der DSGVO genügen. Er muss insbesondere über eine hinreichende berufliche Qualifikation und ein entsprechendes Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen. Zudem muss er zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben des DSB in der Lage sein, Art. 37 Abs. 5 DSGVO. Ferner müssen Unternehmen sicherstellen, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, Art. 30 Abs. 1 DSGVO. Zudem müssen sie dem DSB die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen – aber auch die zur Erhaltung seines Fachwissens erforderlichen Mittel – zur Verfügung stellen, Art. 38 Abs. 2 DSGVO. Auch Verstöße gegen die in Art. 30 Abs. 3 geregelte Weisungsfreiheit und Benachteiligungsabsicht sowie die Berichtslinie unmittelbar an die höchste Managementebene des Unternehmens sind bußgeldbewehrt.

 

Für den BvD Blog - Stefan Bachmann

 

Quelle: Hogan Lovells Unternehmensblog

Einen Beitrag zu dieser Entscheidung finden Sie ebenfalls in der BvD-Mitgliederinfo Nr. 47.

Kommentare 0 Views: 266



Arbeitnehmerdatenschutz in Österreich

Datenschutz ein wichtiges Thema auch im Hinblick auf die Personalakte von Mitarbeitern. Was müssen Unternehmen bei Führung und Nutzung beachten?

 

Bei der Personaladministration handelt es sich hauptsächlich um personenbezogene Daten und Arbeitgeber müssen Maßnahmen zum Schutz dieser Daten ergreifen. Der Datenschutz spielt in der Arbeitswelt in Österreich eine immer bedeutendere Rolle. Seit 01. Januar 2000 regelt das Bundesgesetz DSG 2000, Datenschutzgesetz 2000, den Schutz personenbezogener Daten.

 

Datenschutz ist ein Grundrecht

Der Datenschutz ist in Österreich seit Jahrzehnten gesetzlich verankert. Gemäß § 1. DSG 2000 ist Datenschutz ein Grundrecht: jeder hat Anspruch auf Geheimhaltung seiner ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das DSG 2000 sieht umfassende Regelungen u. a. über Melde- und Genehmigungspflichten, Datensicherheitsmaßnahmen und Rechte der Betroffenen vor.

 

Was sind Daten?

Der Begriff „Daten“ ist im österreichischen Datenschutzgesetz ein sehr weiter Begriff. Was sind personenbezogene Daten? Das sind Angaben über von der Datenverarbeitung Betroffene, deren Identität bestimmt oder bestimmbar ist. Darunter fallen auch Filmaufnahmen. Der Datenschutz umfasst nicht nur Informationen aller Art, sondern auch ein „konkretes Verhalten wie auch Lebensgewohnheiten einer Person“ (VwGH 29.03.2014, 98/01/0213).

Es handelt sich damit bei personenbezogenen Daten also um sämtliche Informationen über eine natürliche Person, unabhängig davon, welchen Aspekt der Person sie betreffen. D. h. es fallen auch „indirekt“ personenbezogene Daten darunter, wie z. B. Sozialversicherungsnummern oder verschlüsselte Patientendaten, die vom Verwender der Daten nur mit rechtswidrigen Mitteln auf eine Person zurückzuführen sind.

 

Das DSG 2000 schließt, anders als die DS-RL und das BDSG mit dem Begriff „Person“ auch juristische Personen ein. Wirtschaftsdaten juristischer Personen sind daher i. d. R. datenschutzrechtlich geschützt. Die Datenschutzgrundverordnung (DS-GVO) löst das DSG 2000 am 25. Mai 2018 ab – dann werden (EU-weit) auch in Österreich „nur noch“ natürliche Personen datenschutzrechtlich geschützt.

 

Das Datenverarbeitungsregister

Für die Sicherung der Öffentlichkeit der Verarbeitungen ist das Datenverarbeitungsregister zuständig. Die Datenschutzbehörde hat ein Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen zum Zweck der Information der Betroffenen zu führen (§ 16. (1) DSG 2000). Jedermann kann in das Register Einsicht nehmen.

Jede Datenanwendung muss vom Auftraggeber (im Arbeitsverhältnis ist dies der Arbeitgeber) beim Datenverarbeitungsregister über DVR-online gemeldet werden. Beispiele für eine Datenanwendung in der Personaladministration sind elektronische Personalakten, Personaldatenverwaltungssysteme, Systeme für Zeiterfassung und Mitarbeiterbeurteilungen.

 

Es gibt auch Ausnahmen von der Meldepflicht. Diese sind in der Standard- und Musterverordnung 2004 (StMV 2004 https://www.wko.at/Content.Node/Service/Wirtschaftsrecht-und-Gewerberecht/Verwaltungs--und-Verfassungsrecht/Datenschutz/Datenschutz_durch_Standard-_und_Musteranwendungen_in_der_W.html) geregelt.

 

Outsourcing

Auftraggeber, also der Arbeitgeber, darf bei seinen Datenanwendungen Dienstleister in Anspruch nehmen (externe Datenverarbeitung). Voraussetzung dafür ist, dass diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten (§ 10 DSG 2000). Bei der Datenverarbeitung ergeben sich Pflichten des Dienstleisters (§ 11 DSG 2000), die es zu vereinbaren und einzuhalten gilt – ein Dienstleistervertrag ist abzuschließen.

 

Es können auch Dienstleister im Ausland beauftragt werden (§ 12 DSG 200 „Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland). „Genehmigungsfrei“ bedeutet hier, dass der Dienstleister (= Empfänger der Daten) seinen Sitz in der EU bzw. in den Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) hat. Hier ist ebenfalls eine sogenannte Datenschutzvereinbarung gemäß § 10 DSG 2000 zwischen Auftraggeber (Arbeitgeber) und Auftragnehmer (z. B. Lohnbüro, IT-Dienstleister) zu vereinbaren.

 

Wie lange dürfen Daten aufbewahrt werden?

Die Aufbewahrung von personenbezogenen Daten ist nur in dem Ausmaß und Dauer zulässig, wie dies im konkreten Fall erforderlich ist („erforderlich, nicht nur nützlich“). Je nach Datenart sind zum einen gesetzliche Aufbewahrungsfristen, zum anderen die Einschränkungen des österreichischen Datenschutzgesetzes zu beachten. Daten, die für die Abgabenerhebung relevant sind, sind sieben Jahre aufzubewahren. Unterlagen, die zur sozialversicherungsrechtlichen Beurteilung eines Dienstverhältnisses notwendig sind, müssen fünf Jahre aufbewahrt werden. Je nach Datenart gilt auch die Verjährungsfrist von 30 Jahren, wie z. B. für die Unterlagen zur Ausstellung eines Dienstzeugnisses (allerdings beschränkt auf Dauer und Art der Tätigkeit).

 

Sobald personenbezogene Daten für die Abwicklung des Arbeitsverhältnisses oder damit in Zusammenhang stehenden Rechte und Pflichten nicht mehr erforderlich sind, sind diese zu anonymisieren oder zu löschen. Löschen bedeutet Vernichtung, so dass eine Wiederherstellung nicht mehr möglich ist.

Die Personalakte, sowohl in elektronischer als auch in Papierform, ist regelmäßig zu prüfen und es ist abzuwägen, ob nicht Daten aufbewahrt werden, die nicht mehr aufbewahrt werden müssen oder dürfen und demzufolge gelöscht werden müssen.

 

Betriebsrat

Das DSG 2000 enthält keine speziellen Regelungen zu Mitwirkungsrechten des Betriebsrates; diese sind im Arbeitsverfassungsgesetz (ArbVG) geregelt.

Der Betriebsrat hat ein Informationsrecht darüber, welche personenbezogenen Arbeitnehmerdaten automationsunterstützt aufgezeichnet und welche Verarbeitungen und Übermittlungen gemacht werden (vergleichbar mit dem deutschen Betriebsverfassungsgesetz § 87 Abs. 2 Pkt. 6 BetrVG). Der Betriebsrat hat aber kein generelles Einsichtsrecht in die Arbeitnehmerdaten.

 

Zustimmungspflichtig durch den Betriebsrat sind z. B. Zeiterfassungssysteme, Videoüberwachungen am Arbeitsplatz und Zugangskontrollen.

 

§§ 96 und 96 a ArbVG regelt, bei welchen innerbetrieblichen Maßnahmen eine Betriebsvereinbarung zwingend erforderlich ist.

 

Die Einführung eines Personalfragebogens, der mehr als Stammdaten und Qualifikation enthält, ist z. B. zustimmungspflichtig. Der Oberste Gerichtshof (OGH) beschreibt Personalfragebögen wie folgt: „(sie verschaffen) dem/der ArbeitgeberIn Informationen über persönliche Umstände oder Meinungen der einzelnen ArbeitnehmerInnen, an deren Geheimhaltung diese ein Interesse haben könnten.“

 

Ausblick

Die EU-Datenschutzgrundverordnung wird ab 25. Mai 2018 gültig und ist für alle Mitgliedsstaaten der EU unmittelbar und direkt anwendbar. Der Arbeitnehmerdatenschutz stellt EU-weit bzw. grenzüberschreitend tätige Arbeitgeber vor neue Herausforderungen: die DS-GVO regelt den Arbeitnehmerdatenschutz nicht abschließend. Sie ermöglicht mit Kapitel IV Vorschriften für besondere Verarbeitungssituationen (Erwägungsgründe 153 – 165) den Mitgliedsstaaten eigene nationale Regelungen zu treffen (sogenannte Öffnungsklauseln). Nach Art. 88 Datenverarbeitung im Beschäftigungskontext (ErwG 155) kann Österreich durch eine eigene Rechtsvorschrift spezifische Vorschriften zur Gewährleistung der Datenschutzrechte der Arbeitnehmer vorsehen. Es bleibt abzuwarten wie und wie weit Österreich – und die anderen EU-Länder – von diesem Recht Gebrauch machen werden.

 

(Autorin: Regina Mühlich)

Kommentare 0 Views: 224



Initiative „Datenschutz geht zur Schule“ veröffentlicht Arbeitsmaterialsammlung für Lehrer anlässlich des Dozententages 2016


vlnr: Frank Spaeing, Sprecher der Initiative „Datenschutz geht zur Schule“, BvD e. V.; Rudi Kramer, stv. Vorstandsvorsitzender BvD e.V.; Stefanie Fächner, klicksafe; Eckhard Schwarzer, Vorstandsvorsitzender der DATEV-Stiftung Zukunft

Zwischen den Meldungen zur Ausstattung der Schulen mit Laptops durch den „Digitalen Pakt“ zwischen Bund und Ländern und der Neuigkeiten auf der Sicherheitsmesse it-sa in Nürnberg präsentiert der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. eine Arbeitsmaterialsammlung für Lehrer, um das Angebot zur Sensibilisierung abzurunden.

 

In den Schulen hat sich der rechtskonforme Umgang mit den Daten anderer Personen und die Schutzmöglichkeiten der eigenen Daten lange Zeit nicht in den Lehrplänen wiedergefunden – und wenn, dann nur am Rande.

 

Der Ansatz der Initiative „Datenschutz geht zur Schule“ des BvD hat zum Ziel, Schülerinnen und Schülern klare und einfache Verhaltensregeln für den sensiblen Umgang mit ihren persönlichen Daten im Netz näher zu bringen. Seit Anfang 2010 sind Dozentinnen und Dozenten des BvD mit Unterrichtskonzepten für die Sekundarstufen I und II bundesweit an Schulen unterwegs.

 

Letztendlich kann dieses ehrenamtliche Engagement der Dozentinnen und Dozenten der Initiative aber nur ein Impuls sein, dass datenschutzrechtliche Aspekte in Fächern wie Informatik, Sozialkunde, Religion/Ethik, Deutsch, Wirtschaft/Recht oder Verbraucherbildung aufgegriffen werden. Regelmäßig wurde die Initiative „Datenschutz geht zur Schule“ seitens der Lehrkräfte nach hilfreichen Arbeitsmaterialien gefragt und konnte dabei auf zahlreiche Angebote der Landesmedienanstalten und weitere pädagogisch ansprechende Hilfsmittel verweisen.

Aus der Fülle der Angebote passende Arbeitsblätter herauszufinden fällt aber nicht jedem leicht.

Wir freuen uns daher, dass es uns mit der pädagogischen Unterstützung durch unseren Partner klicksafe und Dank der großzügigen Unterstützung durch die DATEV-Stiftung Zukunft gelungen ist, hier eine übersichtliche und zielgruppenorientierte Zusammenstellung zu veröffentlichen, die diese Lücke schließt.

 

Die Arbeitsblattsammlung „Datenschutz geht zur Schule“ - Sensibler Umgang mit persönlichen Daten können Sie ab sofort bei uns unter

https://www.bvdnet.de/fileadmin/BvD_eV/pdf_und_bilder/DSgzS/Lehrerhandout_DSgzS_klicksafe.pdf, https://www.bvdnet.de/dsgzs.html oder bei klicksafe.de unter http://www.klicksafe.de/materialien bzw. direkt unter http://www.klicksafe.de/service/materialien/broschueren-ratgeber/datenschutz-geht-zur-schule/ als PDF herunterladen.

 

Hier finden Sie auch die Pressemitteilung des BvD zum Thema:

https://www.bvdnet.de/system-ordner/tt-news/detailansicht/article/datenschutz-geht-zur-schule-veroeffentlicht-arbeitsmaterialsammlung-fuer-lehrer-anlaesslich-de.html

 

Bei Fragen wenden Sie sich an:

Sprecher der Initiative "Datenschutz geht zur Schule" (DSgzS):

Frank Spaeing, Riko Pieper (Stellvertreter)

Budapester Straße 31

10787 Berlin

Tel.: (030) 26 36 77 62

E-Mail: dsgzs@bvdnet.de Web: www.bvdnet.de/dsgzs

 

Kommentare 0 Views: 283



So optimieren Sie die Zusammenarbeit mit Ihrer IT-Administration


Eine vertrauensvolle Zusammenarbeit zwischen IT-Administration und Ihnen als Datenschutzbeauftragtem bietet signifikantes Verbesserungspotenzial für Ihr Unternehmen. Beide Parteien sind wichtige, unverzichtbare Stellen und dochim Grundsatz sehr verschieden.

 

Zieht man ein Organigramm als zentrale Übersicht der Unternehmensstruktur heran, findet sich der Datenschutzbeauftragte als Stabsstelle unter der Geschäftsleitung. Die Nähe zur Unternehmensführung kann dafür sorgen, dass Datenschutzbeauftragte von den Mitarbeitern und somit auch von den Administratoren mit Skepsis betrachtet werden.

 

Wurde die Stelle des Datenschutzbeauftragten dazu noch neu besetzt und die Kollegen aus der IT sind bereits länger im Unternehmen, sorgt dies zusätzlich für ein Ungleichgewicht. Abhilfe schafft hier ein zeitnahes Vorgespräch und weitere regelmäßige Meetings mit den Kollegen aus der IT-Abteilung. In diesen ersten Gesprächen gilt es den Grundstock für eine vertrauensvolle Zusammenarbeit zu legen.

 

Rechtliche Vorgaben als Grundlage unseres Aufgabenspektrums

 

Erklären Sie anhand von Datenschutzvorfällen [1] welche rechtlichen und organisatorischen Bausteine neben der technischen Umsetzung in Projekten wichtig sind. Damit wird klar, dass Datenschutz-Empfehlungen keine eigenen Ideen von Ihnen als Datenschutzbeauftragten sind, sondern auf gesetzlichen Grundlagen basierende Vorgaben.

 

Administratoren ziehen bei der Analyse, Konzeption und Umsetzung von Projekten, datenschutzrechtliche Thematiken in der Regel nicht mit ein. Treibende Einflüsse sind meist Zeit, Kosten und technische Umsetzbarkeit. Die Beachtung von datenschutzrechtlichen Regelungen entscheidet aber zwangsläufig über den gemeinsamen, langfristigen Projekterfolg.

 

Bilden Sie diese Sensibilisierungstätigkeiten in einer speziellen Datenschutzschulung für Administratoren ab. Zeigen Sie Ihre Wertschätzung durch das Aushändigen von Teilnahmezertifikaten.

 

Verschwiegener Ansprechpartner

 

Vermitteln Sie in den Treffen auch, dass Sie den Kollegen als verschwiegener Ansprechpartner zu Verfügung stehen. Diese Information wird dann besonders wichtig, wenn es um administrative Zugriffe auf sensible Inhalte wie beispielsweise E-Mail-Postfächer geht. Wird dieser "heimliche" Zugriff durch Vorgesetzte beauftragt, befindet sich der Administrator im Spannungsfeld dieser Unternehmensanforderung. Gerade in diesen Situationen fehlt es den Administratoren oft an einem vertraulichen Ansprechpartner.

 

Kommt der Administrator für ein diskretes Gespräch auf Sie zu, haben Sie bereits ein hohes Vertrauenspotential erreicht. Dieser Status erlaubt Ihnen ebenfalls heikle Themen gegenüber der Administration anzusprechen.

 

Dokumentation, Aufgaben und Monitoring

 

Die Einhaltung der zyklischen Meetings sorgt für einen dauerhaften Informationsaustausch.

 

Dokumentieren Sie die besprochenen Themen sowie das Erstellen und Überwachen erkannter Aufgaben. Zu jedem Termin sollte der Status aktualisiert werden. Übernehmen Sie als Datenschutzbeauftragter diese Dokumentationsaufgabe. Im Fokus der Administration stehen schnelle Lösungsansätze, für das Erstellen von Aufzeichnungen ist in der Regel nie Zeit. Zudem erfolgt der Dokumentationsstil nach Ihrer gewünschten Vorgehensweise.

 

Unterstützung der Administration

 

Administratoren haben immer wiederkehrende Themen die als Störungs-Tickets in der IT-Abteilung aufschlagen. Oft gibt es hier Berührungspunkte mit dem Datenschutz, wie:

  • Umgang mit E-Mails (Phishing\Zugriffskontrolle)
  • Verschlüsselte Kommunikation (Weitergabekontrolle)
  • Passwortmanagement (Zugangskontrolle)

Versuchen Sie in Ihren Gesprächen mit der Administration wiederkehrende Anwenderfehler zu erfassen. Verständigen Sie sich auf gemeinsame zielführende Lösungswege. Lassen Sie diese Themen in Ihre Schulungen einfließen. Damit bietet sich Ihnen die Chance, Anwender mit bekannten aktuellen Themen zu konfrontieren und technisch wie organisatorisch freigegebene Lösungswege anzubieten.

 

Sorgen Sie für einen zentralen Zugriff

 

Um erkannte Themen auch zwischen den Regelterminen bearbeiten zu können, sollten die Unterlagen an zentraler Stelle für beide Seiten zugänglich sein. Zusammen mit der IT-Abteilung können Sie sich für eine gemeinsame Plattform entscheiden. Hier können Sie von den technischen Möglichkeiten der IT-Kollegen profitieren.

 

Ein Tipp für externe Datenschutzbeauftragte

Möchten Sie eine einfache zentrale Lösung für verschiedene Unternehmen selbst zu Verfügung stellen, könnte sich die Kollaborationsplattform Protonet [2] anbieten. Die Standard-Architektur bietet bereits eine zentrale Datenablage, Aufgaben- und Terminplanung sowie eine verschlüsselte Kommunikation.

Mitarbeiterschulungen: Gemeinsam von diesen Mehrwerten profitieren

 

Ihre Kernaufgabe nach § 4g Abs.1 Nr.2 ist die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz vertraut zu machen. Für diese Schulungsrolle können Sie vom Wissen der IT-Kollegen besonders profitieren.

 

Sprechen Sie Tool-Vorschläge ab

 

Idealerweise werden Themen wie die Zugangs- oder Weitergabekontrolle mit praktischen Beispielen veranschaulicht. Empfehlen Sie dabei Tools, sollten Sie diese vorab mit der Administration abstimmen. Das garantiert die volle Unterstützung durch die IT-Kollegen bei der Konzeption und Umsetzung. Dann können sich darauf verlassen, dass die Software korrekt in die Systemlandschaft integriert, durch die Administration supportet und gegenüber den Mitarbeitern vertreten wird.

 

Planen Sie mit der Administration eine automatisierte Ausbringung dieser Tools am Schulungstag. Somit stehen den Teilnehmern diese Tools sofort zu Verfügung.

Dies bietet die höchstmögliche Chance, dass diese Tools umgehend verwendet werden.

 

Gestalten Sie spannende praktische Schulungselemente mit Ihrem Admin

 

Durch die Zusammenarbeit mit der Administration ergeben sich für Sie weitere Möglichkeiten Ihre Schulungsinhalte spannender zu gestalten. So kann Ihr Admin Sie bei der Erstellung von Phishing-Mails, Duplikaten von Webseiten (Outlook Web Access) oder dem Erstellen von Viren oder Keyloggern unterstützen.

 

Bei praktischen Schulungsinhalten ist es oft sinnvoll zusammen mit dem Administrator aufzutreten. Damit wird die technische Darstellung und Erklärung einfacher. Sie verlieren nie den Kontakt zu den Teilnehmern und können zusammen mit dem Administrator auch tiefergehende technische Fragen beantworten.

 

Praktisches Beispiel einer umfangreichen Zusammenarbeit zum Thema Phishing

 

Zusammen mit der Administration können Sie vorab Ziele und Lösungswege zum Thema Phishing definieren. Lassen Sie sich durch die IT-Kollegen Phishing-Mails, angelehnt an die Unternehmensausrichtung, erstellen. In der Schulung selbst kann im Detail auf diese Beispiel-Phishing-Mail eingegangen werden. Mit den Teilnehmern können Sie Erkennungsmerkmale für Phishing-Angriffe identifizieren.

Haben Sie sich vorab mit der Administration auf Maßnahmen geeinigt, bietet es sich an, diese Maßnahmen den Teilnehmern vorzustellen. In Frage kommen zum Thema Phishing beispielsweise: der Entzug von lokalen Administrationsrechten oder das Filtern von Mailanhängen im Exe-, Word-, Zip-, Java-Format.

Durch das praktische Vorführen und Darstellen der möglichen Konsequenzen, wächst das Verständnis der Teilnehmer für mögliche Komforteinbußen.

 

Sehr zielführend ist die Ausgabe eines Handouts zum Schulungsinhalt. Arbeiten Sie auch hier mit der IT-Administration zusammen.

 

Veröffentlichen Sie das Script an zentraler Stelle, beispielsweise im Intranet. Ergeben sich auf Grund neuer Phishing-Varianten technische oder organisatorische Änderungen, kann das zentrale Handout aktualisiert und die Mitarbeiter über den neuen Versionsstand informiert werden. Somit bringen Sie das Thema Phishing wieder in das Bewusstsein der Mitarbeiter und sorgen für eine tiefgehende Sensibilisierung.

 

Fazit

Eine vertrauensvolle Zusammenarbeit zwischen IT-Administration und Datenschutz sorgt für eine weitreichende Verbesserung der Datenschutz- und IT-Sicherheitsthemen in den Unternehmen.

Beide Seiten profitieren von einer Korrelation und treten gegenüber den Mitarbeitern als erweiterte Einheit auf. Zusammen behandelte Konzepte erfahren eine technisch-datenschutzrechtliche Freigabe und erhöhen somit den Projekterfolg. Die dabei von beiden Seiten investierte Zeit in Sensibilisierung und somit Fehlervermeidung ist mehr als gut angelegt.

 

In Hinblick auf die Europäische Datenschutz Grundverordnung in der technisch-organisatorische-Maßnahmen eine gewichtige Rolle einnehmen, wird die Kooperation mit den Administratoren essentiell.

 

 

Stefan Bachmann

 

Der Artikel wurde für die Ausgabe 09 der Zeitschrift Datenschutz Digital erstellt.

 http://www.datenschutz-digital.de/

Vielen Dank für die Freigabe.

 

[1]  http://www.projekt-datenschutz.de

[2]  http://www.protonet.info

Kommentare 2 Views: 528



Gutachten: Die DSGVO und das nationale Recht – Erste Überlegungen zum nationalen Regelungsbedarf

Gemeinsam mit Herrn Professor Jürgen Kühling (Universität Regensburg) sowie Forschungsreferenten des Deutschen Forschungsinstituts für öffentliche Verwaltung hat Herr Professor Mario Martini im Auftrag des BMI ein Gutachten zu den Auswirkungen der DSGVO auf das nationale Recht erstellt. Es analysiert systematisch den mitgliedstaatlichen Regelungsspielraum, den die DSGVO der Bundesrepublik belässt, und fragt, welche Auswirkungen das auf das BDSG-neu haben wird.

 

Das 525 Seiten umfassende Gutachten ist jetzt für jedermann zum kostenfreien Download verfügbar:

http://www.foev-speyer.de/files/de/downloads/Kuehling_Martini_et_al_Die_DSGVO_und_das_nationale_Recht_2016.pdf

 

Bei der Gelegenheit sei hier auch auf die 15-seitige "Schriftliche Stellungnahme zum öffentlichen Fachgespräch zur Datenschutz-Grundverordnung am 24. Februar 2016 im Ausschuss Digitale Agenda des Deutschen Bundestags“ verwiesen:

https://www.bundestag.de/blob/409512/4afc3a566097171a7902374da77cc7ad/a-drs-18-24-94-data.pdf

 

Mit kollegialen Grüßen

 

Riko Pieper

Kommentare 0 Views: 613



Datenschutz-Grundverordnung (DSGVO) als Website übersichtlich dargestellt

 

Der genaue Wortlaut der Datenschutz-Grundverordnung steht nun schon seit geraumer Zeit fest. Dennoch ist bis jetzt keine Online-Version des Gesetzestextes zu finden, mit der man unkompliziert arbeiten kann. In dem offiziellen PDF ist die Schrift sehr gedrängt und man kann einzelne Artikel z.B. nicht verlinken.

 

Deshalb wurde die Website  www.dsgvo-gesetz.de erstellt.

 

Durch die folgenden Punkte wird das Nachschlagen, Zitieren oder Herumblättern in der Datenschutz-Grundverordnung angenehmer:


  • aktueller Gesetzestext und alle Erwägungsgründe
  • einfache Navigation
  • Schnellzugriff
  • übersichtliche Formatierung
  • Artikel sind mit ihren Erwägungsgründen verknüpft
  • alle erwähnten Normen sind verlinkt
  • Suchfunktion

 

Viel Erfolg beim Arbeiten mit der Datenschutz-Grundverordnung (DSGVO)!

 

Für den BvD-Blog

Stefan Meier

Kommentare 0 Views: 498



"EU-US Privacy Shield launched"

Die EU-Kommission hat, nachdem sie am gestrigen Montag dem EU-Parlament die Garantien des EU-US Privacy Shield erläutert hat und der EU-Rat schon am 08.07.2016 dem EU-US Privacy Shield zugestimmt hatte [1], am heutigen Dienstag verkündet, dass der EU-US Privacy Shield in Zukunft als von der EU anerkannte Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA genutzt werden kann [2], wenn die genannten Voraussetzungen erfüllt sind.

 

Somit gibt es einen Nachfolger für die vom Europäischen Gerichtshof (EuGH) im Oktober 2015 einkassierten Safe-Harbor-Prinzipien [3].

 

Laut der Mitteilung der EU-Kommission hat sie mit den europäischen Datenschutzaufsichtsbehörden, dem EU-Parlament, den Mitgliedsstaaten und den USA zusammen gearbeitet, um die höchsten Standards zum Schutz der personenbezogenen Daten der Europäer zu etablieren.

"The Commission has worked together with the European data protection authorities, the European Parliament, Member States and the U.S. to put in place the highest standards to protect Europeans' personal data."

 

Die europäischen Aufsichtsbehörden konnten scheinbare ihren Ansichten bei der Zusammenarbeit nicht dauerhaft Gehör verschaffen, denn nach deren Votum am 13.04.2016 war der vorliegende Entwurf noch nicht der Weisheit letzter Schuss [4].

 

Unabhängig davon hat die EU-Kommission in Form einer Adäquanzentscheidung den EU-US Privacy Shield am heutigen Tag als angemessen akzeptiert. Ab dem 1. August 2016 sollen sich US-Unternehmen selbst auf die Einhaltung des EU-US Privacy Shield verpflichten können [5].

 

Es bleibt spannend abzuwarten, wie genau die Artikel-29-Gruppe sich nun dazu äußert [6]. Die irische Aufsichtsbehörde soll schon angekündigt haben, im laufenden Facebook-Verfahren, welches schon zur Aufhebung von Safe Harbor geführt hat, den EuGH neben den Mustervertragsklauseln auch zum aktuellen EU-US Privacy Shield anzurufen. Also stellt sich die Frage, wie lange wir nun mit dieser "neuen und besseren" Rechtsgrundlage zur Datenübermittlung werden arbeiten können.

 

Auf der Pressemitteilungsseite wird unter anderem auch auf die FAQ zum EU-US Privacy Shield verwiesen [7]. Diesen kann das Procedere für US-Unternehmen entnommen werden (im Wesentlichen läuft es analog zu dem Procedere nach den Safe-Harbor-Prinzipien). Alle auf der Pressemitteilungsseite angegebenen Dokumente sind auf jeden Fall eine empfehlenswerte Lektüre.

 

Ich bin gespannt auf die ersten Seminare und Fortbildungen, die die genaue Vorgehensweise bei der Arbeit mit dem EU-US Privacy Shield fundiert vorstellen. Ein regelmäßiger Blick auf die vom BvD angebotenen Fortbildungen [8] macht also Sinn.

 

Autor: Frank Spaeing

 

[1] https://www.bvdnet.de/verband/bvd-blog/post/2016/07/08/privacy-shield.html und http://europa.eu/rapid/press-release_STATEMENT-16-2443_de.htm

[2] http://ec.europa.eu/news/2016/07/20160712_en.htm

[3] https://www.bvdnet.de/verband/bvd-blog/post/2015/10/07/eu-us-data-protection-safe-harbor-not-safe-anymore.html

[4] http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/press_release_shield_en.pdf

[5] http://europa.eu/rapid/press-release_IP-16-2461_en.htm

[6] Am 1. Juli gab es schon eine Ankündigung für das weitere Vorgehen der

Artikel-29-Gruppe: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160701_wp29_press_release_eu_us_privacy_shield_en.pdf

[7] http://europa.eu/rapid/press-release_MEMO-16-2462_en.htm

[8] https://www.bvdnet.de/fortbildungen.html

Kommentare 0 Views: 410



Privacy Shield zugestimmt

 

Die Artikel-31-Gruppe (Vertreter der Mitgliedsstaaten) hat heute, 08.07.2016, in Brüssel mit großer Mehrheit für das Privacy Shield gestimmt.

Die EU ist der Meinung, dass die Garantien weit über Safe Harbor hinausgehen und der EU-US-Datenschutzschild ein hohes Schutzniveau für natürliche Personen und Richtssicherheit für Unternehmen gewährleistet.

Erstmals haben die USA der EU zugesichert, dass der Datenzugriff von Behörden aus Gründen der Rechtsdurchsetzung oder der nationalen Sicherheit klaren Beschränken, Garantien und Aufsichtsmechanismen unterliegen.

 

Es bleibt abzuwarten, ob sich die Artikel-29-Gruppe dieser positiven Entscheidung anschließt.

 

Hintergrund:

Die Kommission legte am 29. Februar 2016 einen Entwurf eines Beschlusses über den EU-US-Datenschutzschild vor. Die Artikel-29-Datenschutzgruppe (unabhängige Datenschutzbehörden) gaben am 13. April 2016 eine Stellungnahme ab. Am 26. Mai nahm das Europäische Parlament eine Entschließung an.

 

Weitere Informationen:

europa.eu/rapid/press-release_STATEMENT-16-2443_de.htm

europa.eu/rapid/press-release_IP-16-433_de.htm

 

Autorin: Regina Mühlich


Tags: privacy shield, eu, usa, datenschutz
Kommentare 0 Views: 456



eSIM-Karte und Datenlöschung

Adé SIM-Karte, welcome eSIM

 

Die herkömmlichen SIM-Karten sollen durch sogenannte eSIM-Karten in Mobilfunkgeräten ersetzt werden, spätestens ab 2017.

 

Eine Embedded SIM-Karte hat ein anderes Funktionsprinzip als eine herkömmliche SIM-Karte. Wechselt der Kunde den Anbieter, benötigt er bis dato eine neue SIM-Karte. Mit der eSIM-Karte wird sich die Karte per Funksignal auf einen anderen Anbieter umstellen lassen. Eine eSIM soll genauso sicher sein, wie eine physische SIM-Karte. Die Profildaten werden verschlüsselt auf die eSIM übertragen.

 

Die Karten selbst sind nicht neu. Sie werden bereits in Maschinen im Industriebereich verwendet. Die Umprogrammierung erfolgt z. B. über OTA (Over The Air).

Die Löschung von Daten auf der eSIM bzw. um eine neue Systemsoftware auf mobile Endgeräte aufzuspielen, kann über die Methode Firmware-Over-the-Air (FOTA) erfolgen. Während beim OTA lediglich Einstellungen angepasst werden, wird bei FOTA die Firmware komplett neu auf das Endgerät aufgespielt. Ich denke, das wird dann auch die bevorzugte Löschmethode sein, wenn man das Mobilfunkgerät an ein Refurbishment-Unternehmen übergibt.

 

Datenlöschung: Die Vorgabe aus Datenschutzsicht ist - und daran ändert auch die DSGVO (EU-Datenschutzgrundverordnung) ab 25.05.2018 nichts: personenbezogene Daten auf Datenträgern sind (unwiederbringlich) zu löschen bzw. zu vernichten. SIM-Karten sind mobile Datenträger. Physische SIM-Karten werden im Moment mittels Schredder, gemäß den Vorgaben der DIN 66399, vernichtet. Die eSIM-Karte ist in das Gerät fest eingebaut und kann daher nicht physisch vernichtet werden bzw. nur zusammen mit dem Mobilfunkgerät selbst.

 

Die eSIM-Karten können nicht einfach mehr geschreddert werden. Beim Verkauf oder der Nichtmehrnutzung des Mobilfunkgerätes ist ein dezidierter Löschprozess der eSIM-Karten zukünftig erforderlich, um die darauf befindlichen personenbezogenen Daten nicht Dritten zugänglich zu machen und den Datenschutz sicherzustellen.

 

Autorin: Regina Mühlich

 


Tags: esim, datenlöschung, fota, ota
Kommentare 0 Views: 368



Geschäftsführerbetrug

Heute, 30.06.2016, haben wir eine Sonderausgabe unseres INES IT Security-Newsletters veröffentlicht.

Basis dafür waren Hinweise aus verschiedenen Quellen (bayme, LKA, Kanzlei WBS) auf eine aktuelle, hoch professionelle Betrugsmasche.

Dabei werden durch Angreifer E-Mails des Unternehmenschefs gefälscht und den Prokuristen zugespielt. Über einen frei erfundenen Grund werden diese in der E-Mail angewiesen, hohe Geldsummen zu überweisen.

 

In einem aktuellen Fall der Kanzlei WBS ( www.wbs-law.de) ging es um die Summe von 380.000 €. Begründet wurde die Überweisung durch besondere Kaufoptionen in Zusammenhang mit dem Brexit. Parallel zur E-Mail meldete sich telefonisch eine vermeintliche Rechtsanwaltskanzlei "Luther" aus Luxemburg, die auf den Prokuristen zusätzlich Druck ausübte.

 

Laut Rechtsanwaltskanzlei WBS erhielt der Prokurist die fristlose Kündigung. Der Geschäftsführer sah es als fahrlässig, dass der Mitarbeiter keinen Verdacht geschöpft hatte, als dieser in der E-Mail gesiezt und nicht wie üblich geduzt wurde.

 

Wie hätten Sie reagiert?

 

Wie hätten Sie reagiert wäre die vermeintliche Anwaltskanzlei in CC gewesen? Könnte hier ein "Sie" statt dem üblichen "Du" nicht eine berechtigte Ausnahme sein?

 

Die Kanzlei WBS legte dem Artikel wichtige Empfehlungen bei

  • Berücksichtigen Sie Details: Klingt die E-Mail wie immer oder werden Sie plötzlich gesiezt und nicht geduzt.
  • Wird ungewöhnlicher Zeitdruck ausgelöst?
  • Achten Sie auf den Zielort der Überweisung. Insbesondere bei Osteuropa oder China sollten Sie skeptisch sein.


In unserem Beitrag haben wir diese Hinweise noch erweitert

  • Sensibilisieren Sie die Mitarbeiter auf Social Engineering Angriffe. Damit sind beispielsweise Anrufe im Vorfeld gemeint, mit denen sich Betrüger wichtige Informationen für die Erstellung der gefälschten E-Mails erschleichen.
  • Informieren Sie betroffene Abteilungen über aktuelle Vorfälle. Wir haben bereits mehrfach positive Rückmeldungen erhalten, dass Aufgrund von aktuellen Hinweisen kritische Klicks nicht ausgeführt wurden.


Speziell für die Geschäftsleitung

  • Schaffen Sie Vertrauen und machen Sie den Mitarbeitern klar, dass eine Rückfrage immer in Ordnung ist.
  • Sorgen Sie dafür, dass betroffene Mitarbeiter Sie erreichen können. Für Social Engineers ist ein genau definierter Zeitpunkt (Geschäftsleiter auf Dienstreise) ein wichtiges Kriterium für einen funktionierenden Angriff.


Technische Absicherung

In einem weiteren uns vorliegenden Fall, wurde das Geschäftsführer-Notebook eines international tätigen Unternehmens am Flughafen gestohlen. Einen Monat später wurde der Leiter der Finanzabteilung eines Tochterunternehmens im Zusammenhang mit einer internen Geschäftsabwicklung gezielt angeschrieben. Die dabei verwendeten vertraulichen Informationen stammten aus dem gestohlenen Notebook.


  • Verschlüsseln Sie mobile Geräte und Datenträger, um einen unberechtigten Zugriff zu verhindern.


Fazit

Fortlaufende Sensibilisierung auf Basis von Rundmails, Intranet-Beiträgen und Präsenzschulungen sind wichtige Abwehrmechanismen für diese Form von Angriffen. Installieren Sie parallel dazu technische Lösungen in einem ausgewogenen Verhältnis zwischen Sicherheit, Komfort und Kosten.

 

...und wenn im Zweifelsfall der Ansprechpartner nicht klar sein sollte, wenden Sie sich an Ihren Datenschutzbeauftragten.

 

 

Stefan Bachmann

 

 

Bild: pixabay.com /flashbak60

 

 

Kommentare 0 Views: 341



Brexit und Datenschutz

 - 
29.06.2016
 - 
08:44
Regina Mühlich

Brexit und Datenschutz

Großbritannien hat sich für den Austritt aus der EU entschieden.

Was bedeutet der Ausstieg für den Datenschutz?

 

Eine Datenübermittlung erfolgt nicht mehr innerhalb der EU. Großbritannien wird Drittstaat. Sämtliche Verhältnisse mit britischen Unternehmen oder Unternehmen mit Standorten in Großbritannien, bei denen personenbezogene Daten übermittelt werden, müssen geprüft und neu vereinbart werden. Eine Vereinbarung über die Verarbeitung von personenbezogenen Daten gemäß § 11 BDSG (Auftragsdatenverarbeitung) ist nicht mehr ausreichend.

 

Die EU-Datenschutzgrundverordnung (DSGVO) wird ab 25. Mai 2018 europaweit gültig. Solange Großbritannien noch EU-Mitglied ist, wird diese Regelung unmittelbar greifen. Großbritannien wird sich also mit allen anderen EU-Mitgliedstaaten ein weitgehend einheitliches Datenschutzrecht teilen. Solange Großbritannien noch zur EU gehört, zählt es damit weiterhin zum „datenschutzrechtlichen Binnenraum".

 

 

Blick in die Kristallkugel

 

Nach der Übergangszeit, die die EU bis zum endgültigen Austritt sicherlich einräumen wird? U.K. wird aus Datenschutzsicht zum Drittland. Es ist dabei nicht gewährleistet, dass Großbritannien automatisch ein entsprechendes Datenschutzniveau (Angemessenheitsentscheidung) bestätigt wird.

 

Szenario 1: Großbritannien ist vor dem 25. Mai 2018 kein EU-Mitglied mehr

Es gelten die Regelungen des Bundesdatenschutzgesetzes (BDSG): die Vorschriften über den Datentransfer in Drittstaaten nach § 4b und § 4c BDSG.

Wer personenbezogene Daten in ein Drittland übermitteln will, muss sicherstellen, dass auch in diesem Zielstaat ein angemessenes Datenschutzniveau gewährleistet ist.

Prüfen der Zulässigkeit der Datenübermittlung in Drittstaaten in einem zweistufen Verfahren:

• Erste Stufe: Ist die Datenübermittlung als solche nach nationalen Datenschutzvorschriften (insbesondere § 28 und § 32 BDSG) zulässig?

• Zweite Stufe: Werden die besonderen Anforderungen bzgl. des Drittstaatentransfers nach §§ 4b, 4c BDSG im Zielstaat eingehalten, kurz gesagt: herrscht im Zielstaat ein angemessenes Datenschutzniveau?

 

Auch die Weitergabe von Daten innerhalb eines Konzerns stellt eine datenschutzrechtlich relevante Datenübermittlung dar. Das BDSG kennt kein Konzernprivileg. Ein angemessenes Datenschutzniveau setzt eine nationale Gesetzgebung in dem Drittstaat voraus, die die wesentlichen Datenschutzgrundsätze in einer Weise festlegt, wie sie auch für das Datenschutzrecht der EU und der EU-Mitgliedsstaaten gelten.

 

 

Szenario 2: Großbritannien ist nach dem 25. Mai 2018 kein EU-Mitglied mehr

Die Unternehmen mit Sitz in Großbritannien werden sicherlich weiterhin Geschäfte mit Ländern in der EU machen wollen. Es gelten hier die in der verabschiedeten EU-DSGVO verankerten Richtlinien und Vorgaben. Großbritannien kann sich mit dem Austritt aus der EU nicht von der DSGVO „verabschieden“. U. a. regelt Art. 3 der DSGVO den räumlichen Anwendungsbereich, hier Abs. 2 „Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht.“

 

Es gelten außerdem die Vorschriften über den Datentransfer in Drittstaaten nach Art. 44 ff DSGVO

Damit müsste grundsätzlich sichergestellt sein, dass angemessene Schutzmaßnahmen in Großbritannien als Drittstaat durch die Zielunternehmen bestehen (Art. 46 DSGVO). Diese Maßnahmen beinhalten Standardvertragsklauseln, Binding Corporate Rules o.ä. Instrumente. Auftragsdatenverarbeitung ist bei Anwendung der zusätzlichen Instrumente nach der DSGVO auch in Drittstaaten möglich.

 

 

Ausblick

 

Großbritannien bleibt trotz Referendum vollwertiges Mitglied. Erst wenn sie einen Antrag nach Art. 50 der Verträge stellt, beginnt eine zweijährige Frist für die Verhandlungen. Sollte kein Antrag gestellt werden, ändert sich nichts. Der Austritt Großbritanniens aus der EU wird also nicht von heute auf morgen abgeschlossen sein.

 

Auf Unternehmen, die Daten mit britischen Empfängern austauschen, kommen auf jeden Fall dann grundlegende Veränderungen zu und sie sollten schon jetzt prüfen, welche Datenflüsse von und nach UK gehen.

Es gibt keinen Grund zur Panik und zur Hektik, solange man vorbereitet ist.

 

 

Links:

§ 11 BDSG https://www.gesetze-im-internet.de/bdsg_1990/__11.html

§ 4b BDSG https://dejure.org/gesetze/BDSG/4b.html

§ 4c BDSG https://dejure.org/gesetze/BDSG/4.html

DSGVO eur-lex.europa.eu/legal-content/DE/TXT/HTML/

 

Autorin: Regina Mühlich

Kommentare 0 Views: 600



DS-GVO

 - 
06.06.2016
 - 
15:11
Stefan Bachmann

Komfortabler Zugang zur EU-Grundverordnung


Mittels  www.privacy-regulation.eu lässt sich der amtliche Text der EU-Datenschutz-Grundverordnung komfortabel lesen. Die 99 Artikel und 173 Erwägungsgründe sind mit einem Inhaltsverzeichnis versehen und durch Querverweise leicht zu erschließen. Darüber hinaus werden Parallelen zum BDSG aufgezeigt.

 

Der Datenschutz wird ab 2018 sehr viel internationaler; daher ist es für die alltägliche Arbeit sehr erfreulich, den Verordnungstext (bald) in allen europäischen Landessprachen vorzufinden. Anfang Juni sind schon 5 von 24 aufgeführt.

 

Endlich kann man auch wieder einzelne Artikel mit einem einfachen Hyperlink ansprechen und so in Texten und E-Mails darauf verweisen. Beispielsweise  http://www.privacy-regulation.eu/de/6.htm#4 verweist sehr komfortabel auf Artikel 6 Abs. 4 DS-GVO. Für eine andere Landessprache (z.B. Englisch) muss man einfach nur das „de“ durch ein „en“ ersetzen. Das vereinfacht die Zusammenarbeit ganz erheblich.

 

Für den BvD Blog

 

Nicholas Vollmer

Geschäftsführer SecureDataService

 

 

Kommentare 0 Views: 413



weitere Materialien zur DS-GVO: Synopse zur DS-GVO und Auswirkungen auf das Dialogmarketing

Es finden sich nun immer mehr Informationen, Hilfestellungen und Zusammenfassungen im Netz, die sich mit der DS-GVO befassen. Manche sind gut, manche sind sehr gut, andere sind einfach nur. Die Bewertung richtet sich dabei allerdings auch immer an den Vorkenntnissen und der Erwartungshaltung des Bewertenden aus. Wenn wir hier im Blog auf Materialien hinweisen, erfolgt dies immer wertneutral, aber immer auch dankbar und wertschätzend, dass sich andere die Mühe machen etwas zu erarbeiten und andere daran teilhaben zu lassen.

 

Dies gilt für die Zuordnung von Erwägungsgründen zu Artikeln durch Werner Hülsmann (https://extdsb.wordpress.com/2016/05/23/dsgvo-synopse-mit-gegenueberstellung-der-artikel-und-erwaegungsgruende-sowie-vergleichbarer-bdsg-regelungen-erschienen/) oder einen Best Practice Guide des Deutschen Dialogmarketing Verband e.V. zu Werbung unter der DS-GVO. (https://www.ddv.de/fileadmin/user_upload/pdf/Verband/Publikationen/Best_Practice_Guide/DDV_BPG_DSGVO_Juni2016.pdf) .

 

Bei allen Einschätzungen zur DS-GVO muss beachtet werden, dass es fast noch zu früh ist, rechtssichere Hinweise und Empfehlungen geben zu können:

Zu unbestimmt sind viele Rechtsbegriffe aus der DS-GVO und eine belastbare Auslegung kann nur im Europäischen Gesamtkontext unter Einbeziehung der Europäischen Aufsichtsbehörden erfolgen. Dennoch ist jedem zu empfehlen, sich mit den Änderungen vertraut zu machen und die Rechtsentwicklung zu beobachten, welche Aussagen von den Aufsichtsbehörden kommen und wie der deutsche Gesetzgeber in den Öffnungsklauseln noch Gestaltungsspielräume ausnutzt.

 

Haben Sie weitere Unterlagen zu DS-GVO gefunden, die wir hier teilen können? Schreiben Sie uns in den Kommentaren...

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 0 Views: 444



Gliederung EU-DSGVO für den schnellen Überblick

Bisher fehlte mir für die EU-DSGVO eine Gliederung bzw. Übersicht oder auch nur ein Inhaltsverzeichnis, was mir persönlich die Einarbeitung erschwerte.

 

Deshalb habe ich mir eine entsprechende Word-Datei erstellt, die ich hiermit gerne den geneigten Lesern zur Verfügung stelle. Mit dieser Datei können Sie sich schnell eine Übersicht über die Kapitel, Abschnitte und Artikel der EU-DSGVO verschaffen, ohne die 260 Seiten durchblättern zu müssen:

EU-Datenschutzgrundverordnung-Gliederung.docx

 

Außerdem habe ich diese Datei auch noch als MindManager-Datei zur Verfügung gestellt, falls Sie dieses Format übersichtlicher finden:

EU-Datenschutzgrundverordnung-Gliederung.mmap

 

Mit kollegialen Grüßen

 

Riko Pieper

Kommentare 1 Views: 809



Generalanwalt des EuGH rechnet IP-Adresse zu personenbezogenen Daten

In seiner Stellungnahme (http://curia.europa.eu/juris/document/document.jsf?text=&docid=178241&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=809146) vom 12.05.2016 zu den Fragen, ob die IP-Adresse für den Telemediendienstanbieter ein personenbezogenes Datum nach § 12 Abs. 1 TMG zählt, empfiehlt der Generalanwalt dem EuGH die IP-Adresse als personenbezogenes Datum anzusehen.

 

Entgegen der gesetzlichen Beschränkungen in § 15 Abs. 1 TMG hält er auch ein berechtigtes Interesse an einer Speicherung der IP-Adresse für den Zweck der Aufrechterhaltung der Funktionsfähigkeit (wie Abwehr von Cyberangriffen) für eine zulässige Rechtsgrundlage.

 

Diese Fragen waren bislang in Deutschland noch nicht abschließend gerichtlich entschieden und haben direkte Auswirkungen auf die Verpflichtungen von Webseitenbetreiber, aber auch hinsichtlich ihrer Berechtigung zur Speicherung der IP-Adressen zur Abwehr von Cyberattacken, wenn der EuGH der Empfehlung des Generalanwalts folgt.

 

 

„Ergebnis:

 

Nach alledem schlägt der Generalanwalt dem Gerichtshof vor, auf die Vorlagefragen wie folgt zu antworten:

 

1. Gemäß Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen.

 

2. Art. 7 Buchst. f der Richtlinie 95/46 ist dahin auszulegen, dass der Zweck, die Funktionsfähigkeit des Telemediums zu gewährleisten, grundsätzlich als ein berechtigtes Interesse anzusehen ist, dessen Verwirklichung die Verarbeitung dieses personenbezogenen Datums rechtfertigt, sofern ihm Vorrang gegenüber dem Interesse oder den Grundrechten der betroffenen Person zuerkannt worden ist. Eine nationale Rechtsvorschrift, die die Berücksichtigung dieses berechtigten Interesses nicht zulässt, ist mit dem genannten Artikel nicht vereinbar.“

 

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 0 Views: 532



WhatsApp

 - 
12.05.2016
 - 
16:33
Stefan Bachmann

WhatsApp die Dritte – Vorsicht vor unberechtigten Mitlesen

 

Gestern, 12.5.2016 hat WhatsApp eine eigene App für Windows und Mac OS veröffentlicht.

Auf der Download-Seite von WhatsApp  https://www.whatsapp.com/download/ kann neben den Download-Links für sämtliche Mobiltelefone, nun auch die Desktop-Variante für Windows 8 und höher sowie Mac OS 10.9 und höher, heruntergeladen werden.

 

Nach Installation des 60 MB großen Setup-Programms und Doppelklick auf die Programm-Verknüpfung, öffnet sich eine bekannte Oberfläche. Die Desktop-Variante ist identisch mit der im Januar 2015 veröffentlichten WebApp  https://web.whatsapp.com. Auch über die Desktop-Variante muss der QR-Code vom Handy zur Authentifizierung eingescannt werden. Dann ist die App verbunden und synchronisiert die Nachrichten.



Neben Handy- und Web-App hat WhatsApp mit der Desktopvariante nun einen weiteren Zugang geschaffen. Damit wird es noch einfacher und komfortabler WhatsApp zu nutzen. Parallel zum Mehrwert gilt es einige Punkte im Auge zu behalten:

 

WhatsApp als E-Mail Alternative?

Die App aus dem Hause Facebook entwickelt sich immer mehr zu einer E-Mail-Alternative. Neben der eingeführten Möglichkeit Text zu formatieren, in dem die zu formatierenden Passagen in definierte Zeichen gesetzt werden: *fett* _kursiv_ ~durchgestrichen~ , lassen sich mittlerweile auch pdf, doc(x), xls(x), ppt(x) - Dateien mit Ende-zu-Ende-Verschlüsselung versenden.

WhatsApp behält sich dabei das Recht vor, Metadaten wie Telefonnummern und Zeitpunkte zu sichern. "Wertvolle Daten" zur Nutzer-Profilgestaltung für Facebook.

 

Für Firmen bildet sich damit ein Schatten-Kommunikations-Kanal, der an der internen IT-Infrastruktur vorbeigeht. Durch den hohen Verbreitungsgrad von WhatsApp und die komfortable Nutzung über Maus und Tastatur am Desktop, ist die Wahrscheinlichkeit hoch, dass Anwender dies nutzen werden.

 

Unsere Empfehlung ist, lokale Administrationsrechte zu verbieten, alleine schon aus Schutz vor Schadsoftware-Befall und somit selbstständige Installationen von Anwendern gar nicht erst zu ermöglichen.

Auch für Privatanwender empfehlen wir die Nutzung des Rechners ohne Administrationsrechte. Das bedeutet einen enormen Schutz bei Viren-Attacken. Für Installationen unter dem Standard-Profil können über ein Abfragefenster (Benutzerkontensteuerung) die Administrations-Anmeldedaten eingegeben werden. Ein umständliches Ab- und Anmelden ist somit nicht notwendig.

 

Datenverbrauch im Auge behalten

WhatsApp WebApp und Desktop-Variante sind keine eigenständigen Apps und benötigen einen Zugriff auf das Handy. Beide Varianten sind eine Art Schnittstelle. Geht eine WhatsApp-Nachricht auf dem Handy ein, wird diese an den Browser oder die Desktop-App weitergeleitet. Durch diesen Push-Service wird zusätzlicher Traffic erzeugt und erhöht den Datenverbrauch. Deshalb sollte man die Werte im Auge behalten, wenn man nicht via WLAN verbunden ist.

 

Handy-Akku leidet

Wie beschrieben läuft die Kommunikation auch bei Verwendung von WebApp oder Desktop-Variante weiter über das Handy. Somit wird der Akku nicht entlastet, sondern zusätzlich belastet, wenn Traffic generiert wird.

 

Vorsicht, Mitlesen leichtgemacht!

Durch das Scannen des QR-Codes in der Web- und Desktop-App, werden die WhatsApp-Chats in diese Anwendungen synchronisiert. Würde ein Smartphone ohne Zugangsschutz und außer Sichtweite des Besitzers greifbar sein, ist es ein Leichtes, den Chatverlauf auf den eigenen Rechner zu ziehen. In wenigen Sekunden hat man Einblick in die privaten Chatverläufe. Kehrt der Besitzer zurück, kann man weiter in Ruhe die fremde Kommunikation lesen. WhatsApp informiert den Anwender beim Öffnen der App nicht, wenn weitere Geräte im Hintergrund aktiv sind.



Um zu überprüfen ob jemand mit liest, öffnet man am Smartphone in WhatsApp den Menüpunkt "WhatsApp Web". Wird der QR-Code-Scanner angezeigt, ist alles in Ordnung. Sind angemeldete Geräte zu sehen, liest jemand mit.

Über den Menüpunkt "Von allen Computern abmelden?" kann die Verbindung getrennt werden.

 

Ein Zugangsschutz und das Smartphone nicht aus der Hand geben, sind Schutzmechanismen gegen diese Art der Spionage. Denn wenn WhatsApp verwendet wird, finden sich wohl bei allen von uns sensible Chatverläufe.

 

Bleiben Sie geschützt,

 

Stefan Bachmann

 

Kommentare 0 Views: 453



EU-DSGVO im EU-Amtsblatt veröffentlicht

Heute, am 4. Mai 2016 wurde die EU-Datenschutz-Grundverordnung im EU-Amtsblatt veröffentlicht:

 

http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.DEU&toc=OJ:L:2016:119:TOC

 

Sie gilt damit ab dem 25. Mai 2018.

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 0 Views: 438



DS-GVO

 - 
03.05.2016
 - 
11:24
Stefan Bachmann

DS-GVO: Gesetzgebungsverfahren unmittelbar vor Abschluss

 

In der heutigen (3. Mai 2016 ) Fassung des Europäischen Amtsblatts wurde die Position des Rates zur ersten Lesung der Datenschutz-Grundverordnung veröffentlicht.

Sie enthält neben dem Text der Erwägungsgründe und der Artikel auch die Begründung aus Sicht des Rates (ab Seite 83). Bitte nicht mit der noch zu veröffentlichenden Endfassung der DS-GVO verwechseln.

 

Unter folgendem Link finden Sie alle Sprachfassungen:

 http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:C:2016:159:TOC

 

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

 

Kommentare 0 Views: 483



Leitfaden zu Windows 10


Der Landesbeauftragte für den Datenschutz Baden-Württemberg hat seinen Leitfaden für die Nutzung von Windows 10 überarbeitet. Er wird nun in der Version "Mai 2016" angeboten.

In ihm finden sich auf 27 Seiten Hinweise und Empfehlungen zu den möglichen Datenschutzeinstellungen. Der Leser wird mit anschaulichen Bildern zu den entsprechenden Auswahlmöglichkeiten in Windows 10 und dem Microsoft-Nutzerkonto geführt.

 

Der Leitfaden kann unter folgender Adresse bezogen werden:

 http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2016/04/2016-04_leitfaden_win10.pdf#

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 0 Views: 438



Datenschutz in Russland - Was bedeutet "Primardatenbank"?

Seit 01. September 2015 sind Datenbankbetreiber in Russland dazu verpflichtet, personenbezogene Daten russischer Bürger innerhalb der Russischen Föderation zu speichern (Änderungsgesetz zum Föderalen Gesetz über personenbezogene Daten (Nr. 242-FZ)). Wobei das Gesetz nur auf russische Staatsbürger, die ihren Wohnsitz in Russland haben, Anwendung findet.

 

Dabei ist der Begriff der personengezogenen Daten mit der Definition in der EU-Richtlinie 95/46/EG („irgendeine Person identifizierbar machen“) vergleichbar.

 

Es wird kein Unterschied zwischen russischen Firmen, ausländischen Firmen mit Niederlassungen in Russland oder ausländischen Firmen ohne Niederlassung in Russland gemacht. Es ist allein ausschlaggebend, dass die von einem ausländischen Unternehmen angebotenen Leistungen bzw. Waren an russische Kunden adressiert sind.

 

Der „Föderale Dienst für die Aufsicht im Bereich der Kommunikation, Informationstechnologie und Massenkommunikation“ (Roskomnadsor, RKN) versteht unter Datenbanken jede „beliebige Anhäufung von personenbezogenen Daten unabhängig vom materiellen Träger“. Es spielt also keine Rolle wie die Daten gesammelt werden, z. B. einfach nur in einem Word-Dokument oder einer Excel-Tabelle. Ausschlaggebend ist, dass es getan wird.

 

Wer die personenbezogenen Daten russischer Bürger auf einem Computer, Server oder in einem Datenzentrum innerhalb Russlands speichert, hat die gesetzlichen Vorgaben zu erfüllen. Die in Russland basierte Datenbank gilt als primär (siehe Abb. Primär-/Sekundärdatenbank). Der Standort der Primärdatenbank muss binnen gesetzlich vorgeschriebener Frist der Aufsichtsbehörde mitgeteilt werden.

 

Wann muss die Information an die zuständige Behörde erfolgen?

Vor der Aufnahme von Datentätigkeiten ist die RKN zu informieren. Auch hier gibt es Ausnahmen: Es muss z.B. dann nicht geschehen, wenn (nur) Beschäftigtendaten erfasst werden. Ebenso wenig bei Datenerhebungen, die zur Erfüllung von Verträgen geschehen. Ebenfalls nicht meldepflichtig sind Erfassungen von ausschließlich Vorname und Name einer Person. Da die Datenverarbeitung aber häufig sehr komplex ist, empfiehlt sich eine vorsorgliche Meldung an die RKN - innerhalb von 10 Tagen.

 

Die Datenbanken mit personenbezogenen Daten russischer Bürger können entweder im Ausland, als gleichwertige Kopie der russischen Datenbank oder nur als Teil davon aufbewahrt werden. Nicht ausreichend ist es, wenn eine Kopie auf russischem Territorium gespeichert ist. Die Primärdatenbank muss sich grundsätzlich auf russischem Staatsgebiet befinden. Es gibt einige Ausnahmefälle, wie z. B. im Bankenwesen und Flugverkehr.

 

 

Welche Verarbeitungsschritte dürfen wo erfolgen?

Ausschließlich auf der Primärdatenbank in Russland ist erlaubt:

• Erfassen

• Aufnehmen

• Systematisieren

• Aufbewahren

• Speichern

• Abfragen

• Anpassen bzw. aktualisieren oder verändern

 

Auf ausländische Datenbanken zulässig ist nur:

• Benutzen

• Anonymisieren

• Sperren

• Löschen

• Vernichten

• Weitergeben

 

 

Wie die Einhaltung des Gesetzes kontrolliert werden soll, ist immer noch unklar. Laut Roskomnadsor soll dies über die Betreiber der Primärdatenbanken in Russland durch schriftliche Anfrage erfolgen. Die Effektivität dieser Vorgehensweise mag dahingestellt sein. Nichts destotrotz verfügt RKN über wirksame Sanktionshebel gegen ausländische Firmen, die beispielsweise. nicht kooperationsbereit sind. So kann die Internetseite schlichtweg blockiert werden (innerhalb von 24 Std.). Die Geldstrafe beträgt umgerechnet 150 und 4.500 Euro. Es ist allerdings nicht klar, ob sich die Strafe auf einen kompletten Vorfall oder jeden einzelnen Datensatz beziehen soll.

 

Die internationalen Verpflichtungen, die Russland mit der EU vereinbart hat (Konvention Nr. 108) bleiben vorrangig. D. h. Russland darf grenzüberschreitende Übermittlung weder verbieten noch sich Sondergenehmigungen dafür ausbedingen.

 

Für Ende 2015 waren Abstimmungsgespräche zwischen AHK, Unternehmen und Roskomnadsor geplant. Leider haben bisher noch keine weiteren Gespräche stattgefunden.

 

(Autorin: Regina Mühlich)


Tags: datenschutz, russland, primärdatenbank, datenbankbetreiber
Kommentare 0 Views: 717



Finale Textfassungen der EU-DSGVO

Am 6.4.2016 veröffentlichte der Rat der Europäischen Union die Fassungen in den 24 Sprachen der Europäischen Union, die nun im Gesetzgebungsverfahren in die erste Lesung gehen:

http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=consil%3AST_5419_2016_INIT

 

Die 261 Seiten umfassende deutsche Version finden Sie hier:

http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=DE

 

Es ist davon auszugehen, dass im weiteren Gesetzgebungsverfahren keine Änderungen mehr durchgeführt werden und die EU-DSGVO voraussichtlich bis Juni 2016 in Kraft tritt (der Anwendungszeitpunkt ist dann zwei Jahre später).

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 0 Views: 421



Kostenloser Praxisleitfaden "das Verfahrensverzeichnis" des Bitkom

 

Der kostenlose Praxisleitfaden "das Verfahrensverzeichnis" des Bitkom wurde gerade in einer komplett überarbeiteten Version in der nunmehr dritten Auflage veröffentlicht ( https://www.bitkom.org/Bitkom/Publikationen/Leitfaden-Das-Verfahrensverzeichnis.html). Eine gute Gelegenheit ihn im BvD-Blog kurz vorzustellen. Lassen Sie mich am Rande etwas über den Weg zum Leitfaden, also die Arbeit der Autoren im Bitkom, berichten, um das Ergebnis vielleicht etwas besser beurteilen bzw. einordnen zu können.

 

Stellen Sie sich vor: sieben Datenschutzbeauftragte setzen sich zusammen und erklären wie man zu einem Verfahrensverzeichnis kommt. Dann haben wir sieben unterschiedliche Erfahrungswelten, im Detail unterschiedliche Meinungen und eine Vielzahl von Best-Practice Beispielen. Diverse Telefonkonferenzen und auch Präsenzmeetings sind notwendig, denn am Ende soll ein Vorgehensmodell stehen und nicht sieben Alternativen. Der Diskurs ist bzw. war für mich wieder eine gute Gelegenheit die eigene Vorgehensweise im Detail zu optimieren, Tipps und Tricks der Kollegen aufzunehmen. Darin sollte auch der Nutzen des Leitfadens für erfahrene Datenschutzbeauftragte liegen, als Anregung und Gelegenheit die eigene Arbeit zu reflektieren und zu optimieren.

 

Der Leitfaden ist vom Arbeitskreis Datenschutz des Bitkom verabschiedet worden, d.h. mehr als 100 aktive Datenschutzbeauftragte von Unternehmen haben in mehreren Review-Runden den Leitfaden geprüft und kommentiert. Damit stellt er auch einen breit getragenen Konsens dar, der die Sicherheit einer Benchmark bietet. Dem Datenschutzbeauftragten im Unternehmen, meist ja einem Einzelkämpfer, fehlt in der Praxis häufig ein Maßstab für den Detailgrad der Dokumentation, für den Aufwand den ein Unternehmen im Datenschutz betreiben muss.

 

Die wenigsten Datenschutzbeauftragten werden das Erstellen oder Aktualisieren eines Verfahrensverzeichnis als ihre Lieblingsbeschäftigung bezeichnen, das geht dem Autorenteam zumindest aber mir persönlich nicht anders. Rafft man sich dann endlich auf und macht sich an das Verfahrensverzeichnis, steht man leicht unter dem Verdacht Bürokratie zu pflegen. An verschiedenen Stellen zeigt der Leitfaden deshalb, wofür das Verfahrensverzeichnis gebraucht wird, klärt dessen Daseinsberechtigung und stellt es als das wesentliche Werkzeug für die Arbeit des Datenschutzbeauftragten im Unternehmen dar. Mit Blick auf die Geschäftsführung wird dabei auch noch mal deutlich gemacht, wer im Unternehmen welche Verantwortung bezüglich des Verfahrensverzeichnis trägt und wie man Schritt für Schritt ein Projekt „Erstellung des Verfahrensverzeichnis“ angehen kann.

 

Ziel des Leitfadens ist sowohl den Datenschutzpraktikern wie Berufseinsteigern und der Geschäftsführung die Datenschutzdokumentation näher zubringen. Was meinen Sie, ist das gelungen? Ich freue mich auf Ihr Feedback. Vielleicht können wir hier im Blog weitere Praxistipps sammeln und unter den Kollegen teilen.



Für den BvD Blog, Lars Kripko

 

...................

Lars Kripko ist Berater für Datenschutz bei der T-Systems Multimedia Solutions GmbH.

Sein Team unterstützt Unternehmen, Projekte, Fachabteilungen und betriebliche Datenschutzbeauftragte.

E-Mail: lars.kripko [at] t-systems.com

 https://www.xing.com/profile/Lars_Kripko

 

 

Kommentare 0 Views: 666



Schadsoftware

 - 
11.03.2016
 - 
08:45
Stefan Bachmann

Informationen im Umgang mit Schadsoftware

Alleine im Februar 2016 gab es mehr Schäden durch eine bestimmte Art von Viren, als in den vergangenen 5 Monaten. Seit dem 15. Februar treibt „locky“, eine sogenannte „Ransomware“ (Kofferwort aus ransom=Lösegeld und ware=Software) auch Verschlüsselungs-, Erpressungs-Trojaner oder Cryptolocker genannt, sein Unwesen. Der Spitzenwert lag bei 5000 Infektionen pro Stunde bzw. 5 Infektionen pro Sekunde weltweit.

Wird ein Computer von diesem Schädling befallen, versucht dieser so viele Daten als möglich zu verschlüsseln. Vom Opfer wird im Anschluss Lösegeld gefordert, bei locky zwischen 0,5-1 Bitcoin (1 Bitcoin = 380€).

 

Dabei arbeitet diese Schadsoftware extrem schnell. Innerhalb von 40 Minuten waren bei einem betroffenen Unternehmen 85000 Dateien unbrauchbar. Die Software hat es dabei auf die wichtigsten Dateiformate abgesehen. Rund 54 verschiedene Dateitypen werden verschlüsselt. (weitere Quellen sprechen von mehr als 150 Dateitypen)

 

Herausforderung Wissenstransfer

 

Als IT-Dienstleister haben wir es als unsere Pflicht angesehen, den Kundenstamm fortlaufend über die Entwicklung im Umgang mit Schadsoftware zu informieren. Dies begann über Schulungen innerhalb des Unternehmens, damit unsere Mitabeiter vor Ort im Kundeneinsatz dieses Wissen weitergeben können. In der direkten Ansprache von Kunden mit besonders kritischen Infrastrukturen und über weitere Informationskanäle wie unseren Security-Newsletter. Dabei versuchen wir wichtige Themen als pdf-Handout beizulegen. Diese Handreichungen können dann im jeweiligen Unternehmen den Mitarbeitern zu Verfügung gestellt werden.

 

Zielgruppe kleine Infrastrukturen

 

Speziell für kleine IT-Umgebungen und private Anwender haben wir die wichtigsten Informationen über Schadsoftware im Kontext von "locky" zusammengefasst. Wir sind der Auffassung, dass Mitarbeiter die den Nutzen in der privaten Umgebung erkennen, diese Erfahrungswerte auch in der Arbeitswelt umsetzen und der vermeidbare kritische "Klick" ausbleibt.

 

[...] und vielleicht ergibt sich auch für Sie, der eine oder andere Mehrwert beim Lesen des Scripts [1].

 

Bleiben Sie geschützt, Florian Wiesenbauer

 

 

[1]  Informationen im Umgang mit Schadsoftware

 

...................

Florian Wiesenbauer ist Vorstand und Informationssicherheitsbeauftragter der INES AG.

Er berät Kunden bei der Umsetzung von Sicherheitsstrategien, bei der Erstellung von Konzepten und referiert zu Themen der IT-Sicherheit.

E-Mail: florian.wiesenbauer [at] ines-it.de

Internet:  www.ines-it.de

Kommentare 0 Views: 401



EU-DSGVO - eine Terminprognose

Mittlerweile gibt es belastbarere Angaben zum weiteren Verlauf des Gesetzgebungsverfahrens.

 

Zum 18. März wird eine offizielle deutsche Fassung der EU-DSGVO erwartet. Diese kann sich bis 6. April noch leicht ändern, sofern sprachliche Anpassungen zwingend erforderlich werden. Danach steht die EU-DSGVO beim EU-Ministerrat am 21. April auf der Tagesordnung zur Abstimmung. Wenn danach noch das Europäische Parlament der EU-DSGVO zustimmt und die Verordnung im Europäischen Amtsblatt veröffentlicht ist, tritt sie nach 20 Tagen in Kraft und kommt nach weiteren 24 Monaten zur Anwendung.

Es ist daher mit einer Anwendung der EU-DSGVO ab Juni/Juli 2018 zu rechnen.

 

Fast täglich erscheinen nun Zusammenfassungen und Erörterungen zur EU-DSGVO, die wir hier alle gar nicht auflisten, geschweige denn bewerten können. Hervorzuheben ist daraus allerdings ein Foliensatz der LDI NRW, die sich mit der EU-DSGVO auseinandersetzt. Natürlich mit den nötigen Vorbehalten über die Aussagekraft auf Basis der Erkenntnis zum Erstellungszeitpunkt.

Interessant sind u.a. die Ausführungen für die Zeit bis zur Anwendbarkeit der EU-DSGVO, aber lesen Sie selbst…:

 

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/EU-Datenschutzreform_tritt_in_entscheidende_Phase_-_UPDATE_neu_18_02_2016/20160218-DSGVO_Ueberblick-Homepage.pdf

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 0 Views: 622



Mitarbeiter kommen und gehen - Daten bleiben?!

Jedes Unternehmen sieht sich einer mehr oder weniger ausgeprägten Fluktuation ausgesetzt. In diesem Zusammenhang fallen große Datenmengen an. Von der Personalakte bis hin zu persönlichen Inhalten der Mitarbeiter, wie Bilder oder E-Mails auf dem firmeneigenen Computersystem, gibt es viele Dinge zu beachten.

 

Sind Unternehmen verpflichtet, eine Personalakte über jeden Angestellten zu führen?

Arbeitsrechtlich gesehen besteht für den Arbeitgeber gegenüber dem Arbeitnehmer keine Pflicht zur Führung einer Personalakte. Es gibt tatsächlich also keine Rechtsgrundlage über die Führung von Personalakten. Gelegentlich sind in Tarifverträgen allerdings entsprechende Angaben zu finden.

Wozu dann die Mühe?

Ohne die Führung einer Personalakte wird ein Unternehmen kaum den handels-, gesellschafts- und steuerrechtlichen Pflichten nachkommen können. Hinzu addieren sich die Meldepflichten gegenüber den Krankenkassen, zum Beispiel wegen der Entgeltfortzahlung oder bei Beendigung des Arbeitsverhältnisses gegenüber dem Arbeitsamt.

 

Eine Akte fürs Amt?

Tatsächlich bleibt es dem Arbeitgeber überlassen, wie genau er die Personalakte führt. Hauptsache ist, dass er bei Bedarf den anfragenden Stellen Informationen oder benötigte Unterlagen aushändigen kann und alles korrekt dokumentiert ist. Wenn jedoch eine explizite Personalakte angelegt und geführt wird, hat auch der Arbeitnehmer zu jeder Zeit ein Einsichtsrecht in die über ihn geführte, vollständige Dokumentation.

 

Welche Inhalte soll oder darf die Personalakte beinhalten?

Sie soll möglichst vollständig sein und ein wahrheitsgemäßes Bild über die persönlichen und dienstlichen Verhältnisse des Arbeitsnehmers wiedergeben. In erster Linie umfasst dies alle Unterlagen, welche das Beschäftigungsverhältnis betreffen, beispielsweise Bewerbungsunterlagen, Eignungstests, ärztliche Gutachten, Berufsausbildung, Fortbildungsnachweise, Fähigkeiten, Beurteilungen sowie Abmahnungen.

 

Die Rechte des Arbeitnehmers bezüglich seiner Daten?

Zum einen ist der Arbeitgeber limitiert in der Erhebung personenbezogener Daten. Erlaubte Zwecke sind die Entscheidung über die Begründung, die Durchführung sowie die Beendigung eines Beschäftigungsverhältnisses (§ 32 BDSG). Zum anderen verfügt der Arbeitnehmer neben dem bereits erwähnten Einsichtsrecht über weitere Rechte bei der Personaldatenverarbeitung:

• Benachrichtigung über die Speicherung (§ 33 BDSG)

• Schadensersatz wegen Verletzung des allgemeinen Persönlichkeitsrechts (§ 823 Abs. 1 BGB)

• Korrektur, nämlich Löschung, Berichtigung (§ 35 BDSG) sowie Zusatzerklärung des Arbeitnehmers zur Personalakte (§ 83 Abs. 2 BetrVG)

Außerdem ist der Arbeitgeber verpflichtet, die Personalakten sorgfältig zu verwahren, bestimmte Informationen nach § 3 Abs. 9 BDSG verstärkt zu schützen und vertraulich zu behandeln. Ebenso muss der Kreis derer, die innerhalb des Unternehmens Zugriff auf die Personalakten haben, möglichst gering gehalten werden. Auf die besonders vertrauliche Behandlung ist hinzuweisen und gegebenenfalls zu schulen.

 

Was geschieht beim Ausscheiden des Mitarbeiters?

Keinesfalls darf die Akte „einfach so“ entsorgt werden. Zunächst gilt eine Aufbewahrungsfrist von bis zu 10 Jahren. In dieser Zeit ist das Unternehmen verpflichtet, alle entsprechenden Unterlagen zu archivieren und jederzeit vorzuhalten. Nach Ablauf der Aufbewahrungsfrist muss auf eine „sichere“ Vernichtung der Daten geachtet werden. Neben dem datenschutzkonformen Schreddern der Papierakten (DIN 66399 Datenträgervernichtung) gibt es hierzu auch spezielle Verfahren zur spurenlosen Löschung elektronischer Unterlagen.

 

Was darf der Mitarbeiter selbst löschen?

Unabhängig der Ursache, warum ein Mitarbeiter das Unternehmen verlässt, ob Kündigung, Trennung im beiderseitigen Einvernehmen oder Ruhestand. Als verantwortliche Stelle für den Datenschutz hat das Unternehmen Sorge dafür zu tragen, dass scheidende Mitarbeiter vor dem letzten Arbeitstag eventuelle personenbezogene Daten aus dem Firmensystem löschen. Der betroffene Mitarbeiter sollte folgende Punkte prüfen:

• E-Mail-System auf private Ein- und Ausgangs-Post

• Persönliche Daten im Home-Verzeichnis des Servers

• Einträge auf der Workstation unter „Eigene Dateien“

• Persönliche Rufnummern, SMS-Nachrichten, Fotos oder MP3-Dateien im Firmenhandy, usw.

• Private Routenplanungen im Kfz-Navigationssystem

• Persönliche Unterlagen am Arbeitsplatz

• …

 

Darf ein Arbeitgeber einfach löschen?

Nein, laut Urteil des Oberlandesgerichts Dresden, macht sich der Arbeitgeber gegebenenfalls schadensersatzpflichtig, wenn er das E-Mail-Konto ohne Nachfrage löscht. Ähnliche Urteilssprüche sind auch für die weiteren, oben genannten Aspekte denkbar. Ein Unternehmen sollte sich die Prüfung auf persönliche Inhalte seitens des Mitarbeiters deshalb aus Rechtsgründen stets bestätigen und dokumentieren lassen.

 

Links:

§ 33 BDSG www.gesetze-im-internet.de/bdsg_1990/__33.html

§ 823 BGB www.gesetze-im-internet.de/bgb/__823.html

§ 35 BDSG www.gesetze-im-internet.de/bdsg_1990/__35.html

§ 83 BetrVG www.gesetze-im-internet.de/betrvg/__83.html

§ 3 BDSG www.gesetze-im-internet.de/bdsg_1990/__3.html

 

Kommentare 0 Views: 496



Datenschutz - die elektronische Personalakte

Das papierlose Büro… davon ist so manches Unternehmen noch weit entfernt, die elektronische Personalakte hält aber in vielen Personalabteilungen Einzug und freut sich steigender Beliebtheit. Durch die Verwendung der elektronischen Personalakte ergeben sich viele Verwendungs- und Verknüpfungsmöglichkeiten. Die Einbindung in Personalinformationssysteme, um die Arbeitsabläufe im Personalmanagement und auch im Unternehmen zu vereinfachen und zu optimieren, ist nur eine davon.

 

Unabhängig, ob die Personalakte in Papierform oder elektronischer Form geführt wird, gilt es in Sachen Datenschutz einiges zu beachten. Die Vorschriften stellen den Arbeitgeber bei der elektronischen Form, noch vor besondere Anforderungen.

 

...es beginnt bereits bei der Bewerbung

Der Bewerbungsprozess ist als vorvertragliches Vertrauensverhältnis zu sehen. Eine Speicherung von Daten, die mit zulässigen Fragen erhoben werden, ist aus Datenschutzsicht unproblematisch. Zu diesen Daten gehören z. B. Name und Anschrift, Telefonnummer und E-Mail-Anschrift.

 

Bewirbt sich der Bewerber über das Online-Portal eines Unternehmens ist § 6a Abs. 1 BDSG zu beachten. Darin heißt es: „Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.“ Das bedeutet, dass eine automatisierte Vorselektion zwar stattfinden darf, die abschließende Entscheidung über die Einstellung eines Bewerbers hat aber durch eine natürliche Person stattzufinden und darf nicht durch ein elektronisches System erfolgen.

 

Bei einem Online-Bewerbungsprozess ist § 35 BDSG ebenfalls zu beachten. Dieser erklärt die Verarbeitung von personenbezogenen Daten im Rahmen des Onlineprozesses zwar auch ohne ausdrückliche Einwilligung des Betroffenen, sprich des Bewerbers, für zulässig. Es empfiehlt sich dennoch eine entsprechende Einwilligungserklärung einzuholen. Zum einen schafft dies Vertrauen, zum anderen kann man bei der Gelegenheit auch auf den Zeitraum, in dem die Bewerberdaten vom Unternehmen gespeichert werden dürfen, hinweisen.

 

Anlegen der elektronischen Personalakte

Der erste Schritt ist das Einscannen der Dokumente. Hier ist mit Vorsicht ranzugehen. Bei neuen Mitarbeitern ist das relativ einfach. Bei „alten“ Mitarbeitern darf nicht alles eingescannt werden. In (fast) jeder Personalakte befinden sich alte und veraltete Unterlagen, die aus Datenschutzsicht nicht mehr gespeichert werden dürfen. Das BDSG spricht in § 20 Abs. 2 BDSG von „nicht mehr erforderlich“. Ein solches Dokument ist umgehend zu löschen.

 

Kurzum: Eine elektronische Personalakte darf nur die Informationen enthalten, die der Arbeitgeber a) rechtmäßig erworben hat und b) für die ein sachliches Interesse besteht. § 32 BDSG regelt, dass nur die Informationen erhoben, verarbeitet und genutzt werden dürfen, die für die Begründung, Durchführung und Beendigung eines Beschäftigtenverhältnisses erforderlich sind. Das Schlüsselwort ist hier erforderlich, d.h. die Informationen dürfen nicht nur nützlich sein.

 

Entscheidet sich das Unternehmen dafür, das Einscannen der Personalakten und Dokumente an einen Dienstleister auszulagern (Outsourcing), ist mit ihm eine Auftragsdatenverarbeitung nach § 11 BDSG abzuschließen.

 

Einwilligung durch den Mitarbeiter

Das Bundesdatenschutzgesetz (BDSG) ist ein Auffanggesetz mit Erlaubnisvorbehalt. Ein Erlaubnisvorbehalt ist die Einwilligung durch den Betroffenen. Die Datenverarbeitung im Rahmen einer elektronischen Personalakte unterliegt einem Verbot mit Erlaubnisvorbehalt.

 

Wird die elektronische Personalakte in ein Personalinformationssystem integriert geht das automatisierte Verarbeiten über das „normale“ Speichern und Verarbeiten hinaus. Das BDSG stellt Arbeitgeber beim automatisierten Verfahren vor besondere Anforderungen. Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten ist bei einer elektronischen Personalakte in der Regel nur mit Einwilligung des betroffenen Mitarbeiters möglich. Der Arbeitgeber muss vor Erteilung der Einwilligung durch den Betroffenen, den Arbeitnehmer über den vorgesehenen Zweck der Datenspeicherung und auf die Folgen der Verweigerung der Einwilligung hinweisen.

 

Eine Einwilligung muss in der Regel schriftlich erfolgen. Dies kann im Rahmen des Arbeitsvertrages vereinbart werden, sofern die Textpassage entsprechend und besonders hervorgehoben wird. Empfehlenswert ist aber, die Einwilligung gesondert einzuholen, zum einen das Vorgehen transparenter zu machen und zum anderen, um bei einem möglichen Audit, z. B. durch Kunden oder Aufsichtsbehörde, nicht den kompletten Arbeitsvertrag vorlegen zu müssen. Denn dieser enthält personenbezogene Daten, die im Rahmen eines Audits oder Revision unerheblich sind und keinem Dritten zur Verfügung gestellt werden dürfen.

 

Ein weiterer Erlaubnisvorbehalt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist eine anderweitige Rechtsvorschrift. Dazu zählt eine Betriebsvereinbarung. In Abstimmung mit dem Betriebsrat ist die Einführung der elektronischen Personalakte für alle Mitarbeiter möglich. Ein Mitbestimmungsrecht hat der Betriebsrat, wenn allgemeine Beurteilungsgrundsätze eingeführt werden und dies im Zusammenhang mit einer technischen Einrichtung, sprich elektronischem System, geschieht. Hier greift § 87 Abs. 1 Satz 6 Betriebsverfassungsgesetz: „Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen:

[...] Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen; […].

 

Und dann sind da noch die Aufbewahrungsfristen

Arbeitgeber speichern Unterlagen von Bewerbern und Mitarbeitern im verschließbaren Aktenschrank, oder, vielleicht sogar mit Hilfe eines Personalinformationssystem, elektronisch. In der Regel gibt es keinerlei Regelungen über Aufbewahrungs- und Vernichtungs- bzw. Löschfristen, sodass Bewerbungs- und Mitarbeiterunterlagen oft länger aufbewahrt werden als erlaubt ist.

 

Gemäß § 32 Abs. 2 Nr. 2 BDSG sind personenbezogene Daten zu löschen, sobald der Zweck der Speicherung nicht mehr vorhanden ist (Zweckbindung). Die Erhebung und Speicherung von Bewerberdaten erfüllt ihren Zweck, bis der passende Kandidat gefunden ist. Wenn der Kandidat dabei ungeeignet ist und/oder für die Position abgelehnt wird, entfällt der Zweck und die Daten sind zu löschen.

 

Einer Löschung von Bewerbungsunterlagen stehen ggf. bestehende Aufbewahrungsfristen entgegen: § 21 Abs. 5 AGG, welcher eine Frist von zwei Monaten für entsprechende Klageerhebung einräumt bzw. das Gericht gewährt noch eine Fristverlängerung. Es kann also durchaus von einer gerechtfertigten Aufbewahrungsfrist von drei Monaten ausgegangen werden. Ist die Frist abgelaufen, sind sämtliche Daten unwiderruflich zu löschen bzw. zu vernichten. Dies gilt übrigens auch für das Anschreiben. Eine Ausnahme bildet hier, wie oft, die schriftliche Einwilligung des Betroffenen.

 

Häufig werden Personalakten ausgeschiedener Mitarbeiter jahrzehntelang aufbewahrt. Vielfach wird die Auffassung vertreten, dass der Arbeitgeber dazu verpflichtet ist. Hier ist aber zu differenzieren:

Die gemeinten Vorschriften sind steuer- und sozialversicherungsrechtlicher Natur, welche den Arbeitgeber verpflichten, zum einen Abrechnungsunterlagen (z. B. Gehaltsabrechnung) zu führen und zum anderen diese auch eine gewisse Zeit aufzubewahren. Der Erlaubnisvorbehalt zur weiteren Speicherung resultiert aus einem einschlägigen Gesetz sowie bilanzrechtlichen Vorschriften.

 

Verschiedene arbeitsschutzrechtliche Vorschriften, u. a. das ArbZG, MuSchG, verpflichten den Arbeitgeber ebenfalls Personalunterlagen aufzubewahren bzw. zu speichern. Es handelt sich hier um Unterlagen, die in Listenform, außerhalb der Personalakte des einzelnen Mitarbeiters geführt werden.

 

Grundsätzlich muss sich der Arbeitgeber beim Ausscheiden von Mitarbeitern zwei Fragen stellen bzw. unterscheiden:

1. Ist der Arbeitgeber verpflichtet, Dokumente von Mitarbeitern nach Beendigung des Beschäftigungsverhältnisses (weiter) aufzubewahren?

2. Ist der Arbeitgeber verpflichtet, dem ehemaligen Mitarbeiter Einsicht in die Unterlagen zu gewähren und wenn ja, unter welchen Voraussetzungen?

 

Fazit:

Die elektronische Personalakte birgt Gefahren und Missbrauch. Mit die größte Gefahr besteht auch darin, dass sie durch Profilerstellung eine weitere Möglichkeit der Leistungs- und Verhaltenskontrolle der Mitarbeiter missbraucht werden kann. Sie erleichtert außerdem die Möglichkeit den Datenschutz durch automatisierte Einzelentscheidungen zu verletzen. Die Einführung und Nutzung der elektronischen Personalakte sollte deshalb auch schriftlich geregelt werden, z. B. in einer Unternehmensrichtlinie oder Betriebsvereinbarung.

 

Natürlich ist eine Einführung der elektronischen Personalakte möglich, wenn die Speicherung der Daten des Mitarbeiters der Zweckbestimmung des Beschäftigungsverhältnisses entspricht (§ 32 BDSG). Empfehlenswert ist hier unbedingt, eine Prüfung des Einzelfalles.

Ach ja, unabhängig davon sind natürlich die Vorgaben gemäß § 9 BDSG, technische und organisatorische Maßnahmen, hinsichtlich für die Speicherung und Nutzung der elektronischen Personalakte genutzten Systems, umzusetzen, zu dokumentieren und regelmäßig durch den Datenschutzbeauftragten zu auditieren. So ist z. B. ein Berechtigungskonzept zu erstellen wie auch ein Löschkonzept zu entwickeln. Hier kann die DIN 66398:2015-02 „Leitlinie eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ sicherlich hilfreich sein.

 

Links:

§ 6a BDSG  

§ 35 BDSG <link https://www.gesetze-im-internet.de/bdsg_1990/__35.html

§ 20 BDSG  

§ 32 BDSG <link https://www.gesetze-im-internet.de/bdsg_1990/__32.html

§ 87 BetrVG  

Art. 21 AGG <link https://www.gesetze-im-internet.de/agg/BJNR189710006.html

 

Kommentare 0 Views: 1113



Die neue EU-Datenschutz- Grundverordnung:- ausreichend innovativ für unsere Geschäftsmodelle?


am Freitag, 29. Januar 2015, von 13:30-15:00 Uhr

Factory Berlin, Rheinsberger Straße 76/77, 10115 Berlin

 

Nach einer kurzen Einführung durch Frau Nikolay diskutieren:


  • Herr Rechtsanwalt Karsten U. Bartels LL.M, Stellvertretender Vorsitzender des Geschäftsführenden Ausschusses der Arbeitsgemeinschaft DAVIT Arbeitsgemeinschaft IT-Recht im DeutschenAnwaltverein)
  • Herr Dr. Joachim Bühler, Mitglied der Geschäftsleitung Politik & Wirtschaft, Bitkom e.V.
  • Herr Rechtsanwalt Dr. Bernd Nauen, Geschäftsführer Zentralverband der deutschen Werbewirtschaft e.V. (ZAW)
  • Frau Renate Nikolay, Kabinettschefn von Kommissarin Vera Jourová, EU-Kommissarin für Justiz, Verbraucher und Gleichstellung
  • Florian Döllner, Head of Public Policy Germany, Yelp


Moderation: Herr Niclas Rohrwacher, CRO & Founder, Factory Berlin

 

 Link zur Veranstaltungsseite mit weiteren Informationen

Kommentare 0 Views: 488



Arbeiten in der digitalen Welt – Mensch | Organisation | Technik


Am Europäischen Datenschutztag 28.01.2016, findet durch das Bundesministerium für Wirtschaft und Energie und das Bundesministerium für Arbeit und Soziales, ein Kongress [1] unter dem Motto "Arbeiten in der digitalen Welt – Mensch | Organisation | Technik“ statt.

 

Wer nicht vor Ort [2] dabei sein kann, hat die Option, die Veranstaltung ab 10:30 Uhr per Live-Stream [3] zu verfolgen.

 

Außerdem besteht die Möglichkeit, sich mit dem Hashtag #ArbeitenDigital zu beteiligen.

 

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

 

 

[1]  http://www.bmwi.de/DE/Service/veranstaltungen,did=743794.html

[2]  http://www.bmwi.de/BMWi/Redaktion/PDF/Events/20160128-arbeiten-in-der-digitalen-welt,property=pdf,bereich=bmwi2012,sprache=de,rwb=true.pdf

[3]  http://www.bmwi.de/DE/Service/veranstaltungen,did=743794.html

Kommentare 0 Views: 419



Aktualisierter Überblick zur EU-DSGVO

Auch wenn noch keine offizielle Übersetzung des Ergebnisses des Trilogs zur EU-DSGVO vorliegt, gibt es schon einige hilfreiche Dateien im Netz zu finden, die geeignet sind, die inhaltliche Annäherung zu erleichtern.

 

Das BayLDA hat seine bekannte Synopse der drei Entwurfsfassungen der EU-Kommission, des EU-Parlaments und des Ministerrats um die englische Fassung des Trilogs ergänzt (https://www.lda.bayern.de/media/baylda_synopse.pdf) und auf den Seiten den Datenschutz-Gurus findet sich eine Darstellung der systematischen Aufbereitung des Themas (https://www.datenschutz-guru.de/files/GeneralDataProtectionRegulation_poster%20151223.pdf), die anschaulich die 11 Kapitel visualisiert darstellt (Hier finden Sie auch die Rohdaten zum Importieren in das MindMap-Tool Ihrer Wahl).

 

Bei flickr wurde durch Dr. Veil zudem eine Mindmap-Darstellung über die Öffnungsklauseln in der EU-DSGVO (https://www.flickr.com/photos/winfried-veil/24134840885/in/dateposted/) veröffentlicht.

 

Es gibt auch schon erste Übersichten im Netz, in denen der Zeitverlauf des Gültigwerdens der EU-DSGVO dargestellt wird. Hier ist zum Beispiel eine Quelle aus den USA. Alle Zeitangaben sind (zumindest für die zukünftige Entwicklung) natürlich nur Spekulation.

 

Sollten BvD-Mitglieder noch weitere hilfreiche Informationen oder Links auffallen, können diese auch gerne über den BvD-Blog an andere weitergegeben werden.

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 1 Views: 1194



Neues zur EU-DSGVO

Noch kurz vor Weihnachten wurde ich durch Mitglieder auf eine FAQ-Liste der EU-Kommission zur EU-DSGVO aufmerksam gemacht, auf die ich hier gerne hinweise:

http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm

 

In ihr stellt die EU-Kommission die Hintergründe, spezielle neue Regelungen sowie einige – aus Sicht der EU-Kommission – Besonderheiten der EU-DSGVO vor.

Diese FAQ-Liste ist bisher nur auf Englisch veröffentlicht. Eine Zusammenfassung der Inhalte wurde durch den BVDW ins Netz gestellt:

http://www.bvdw.org/medien/eu-kommission-veroeffentlicht-erstes-factsheet-zur-datenschutzgrundverordnung?media=7301

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 0 Views: 558



IT-Sicherheit

 - 
22.12.2015
 - 
14:37
Stefan Bachmann

Websites sicher betreiben - Teil 2


Spam-Bots

Ein Spam-Bot ist eine Kombination aus Spam (nicht erwünschte Nachricht) und Bot (automatisiert handelndes Computerprogramm). Diese lästigen Zeitgenossen sind Programme, die eine Internetseite für gewöhnlich nach zwei Dingen absuchen, Formulare und E-Mail-Adressen:

 

Formulare

Diese werden durch den SPAM-Bot automatisiert, zum Beispiel mit unerwünschter oder anstößiger Werbung, befüllt. Je nach Funktion des Formulars (Kontaktformular, Bestellformular), werden die Inhalte im nächsten Schritt an Ihre User oder an Sie selbst versendet. Handelt es sich um ein Kommentarformular, wird der Inhalt direkt auf Ihrer Webseite für alle Besucher sichtbar angezeigt.

Kommentare sollten deshalb immer vor Freigabe durch einen Mitarbeiter geprüft werden.

 

Um sich vor diesen automatisierten Attacken zu schützen, kann man folgende drei Mechanismen einsetzen:

 

1) Honeypot

Honeypot, übersetzt „Honigtopf“, beschreibt in der IT allgemein ein System, welches einen Angreifer vom eigentlichen Ziel ablenken soll. Zum Beispiel wird mit Absicht ein Server mit Sicherheitslücken betrieben, der nur eine Kopie des Originalservers darstellt. Dem Angreifer wird somit simuliert, dass er sein Ziel erreicht hat.

Im Zusammenhang mit Formularen wird ein zusätzliches Feld angehängt, welches für einen echten User unsichtbar ist. Wird dieses unsichtbare Formular-Feld ausgefüllt, kann serverseitig eine Nachricht eindeutig als Spam identifiziert werden.

 

Vorteile: Diese Methode ist benutzerfreundlich. Sie können den Zugriff des Spam-Bots protokollieren und Daten wie IP-Adresse, Zeitstempel und Nachrichteninhalt speichern und auswerten.

 

Nachteile: Ein Spam-Bot, der auf Ihre Website zugeschnitten wurde, wird die geheimen Formular-Felder kennen und sie nicht befüllen. Solche Spam-Bots werden Sie mit dieser Methode nicht ohne weiteres erkennen können.

 

Fazit: Ich empfehle diese Methode als erste Maßnahme, um die Aktivitäten der Spam-Bots protokollieren zu können. Gleichzeitig haben Sie einen wirkungsvollen Schutz gegen die große Masse von Spam-Bots im Netz.

 

2) Generieren und Absenden von Formularen über JavaScript

Für gewöhnlich können Spam-Bots den Quellcode einer Website nur auslesen, nicht aber ausführen. Das heißt, es wird kein JavaScript durch einen Spam-Bot abgearbeitet. Diesen Umstand können Sie sich zunutze machen, indem Sie sämtliche Formulare über JavaScript anzeigen und absenden lassen.

 

Vorteile: Die Spam-Bots sehen keine Formulare auf Ihrer Website und werden diese mit ein wenig Glück nicht mehr durchsuchen. Dadurch haben Sie weniger Zugriffe auf Ihre Website und steigern so ihre Performance.

 

Nachteile: Es kann vorkommen, dass auch ein echter Nutzer Ihrer Website JavaScript deaktiviert hat. In diesem Fall würde auch dieser Nutzer keine Formulare sehen.

 

Fazit: Nach meiner Erfahrung verzichtet heutzutage keine Website mehr auf JavaScript. Sollten Sie auf Ihrer Website bereits Grundfunktionen einsetzen die auf JavaScript angewiesen sind, können Sie diese Methode auch als Mittel gegen Spam-Bots nutzen.

 

3) Captchas

Ein Captcha ist ein öffentlicher Test, mit dem sich feststellen lässt, ob ein Mensch oder eine Maschine ein Programm bedient. Im Zusammenhang mit Formularen würde ein Captcha-Test einen Spam-Bot als Computer entlarven. Captchas kennen Sie wahrscheinlich als kleine Bilder in einem Formular. In den Bildern sind Zeichen abgebildet, die es abzutippen gilt, um zu bestätigen, dass Sie ein Mensch sind. Captchas sind die wohl sicherste Methode, um ein Spam-Bot daran zu hindern, ein Formular abzusenden.

 

Vorteile: Captchas sind ein sehr sicherer Schutz gegen Spam-Bots.

 

Nachteile: Captchas sind nicht sehr nutzerfreundlich. Ich selbst hatte schon des Öfteren Probleme, die Zeichen in dem kleinen Bildchen zu entziffern. Eine einfache Protokollierung der Zugriffe von Spam-Bots ist mit dieser Methode, soweit mir bekannt ist, ebenfalls nicht möglich.

 

Fazit: Honeypots und JavaScript können nicht so gut vor dem Zugriff über Spam-Bots schützen. Die neuesten Spam-Bots beherrschen eventuell JavaScript. Speziell für Ihre Website geschriebene Spam-Bots werden Honeypots erkennen. Captchas sind zwar deutlich sicherer, aber auch sie lassen sich theoretisch von Spam-Bots umgehen: neue Spam-Bots können durchaus auch Informationen aus einem Bild auslesen.

 

Ich würde die drei beschriebenen Methoden in genau dieser Reihenfolge in die Website integrieren: Honeypot, JavaScript, Captcha. Wenn der Honeypot nicht funktioniert, können Formulare über JavaScript generiert und versendet werden. Klappt auch das nicht, können Captcha-Tests eingesetzt werden.

 

E-Mail-Adressen

Die E-Mail-Adressen die Sie auf Ihrer Website veröffentlichen, sind ebenfalls interessante Ziele für Spam-Bots. Es wird genau wie bei Formularen jede einzelne Seite nach E-Mail-Adressen durchsucht. Wird eine E-Mail-Adresse gefunden, wird diese abgespeichert und als Adresse für anstößige oder illegale Mail-Werbung missbraucht. Es gibt unterschiedliche Methoden eine E-Mail-Adresse für Spam-Bots unkenntlich zu machen.

 

1) Schreibweise der E-Mail-Adresse ändern

Aus info@ihre-domain.de wird info[at]ihre-domain.de

oder

i n f o @ i h r e – d o m a i n . d e

Gerade die erste Variante hat sich gut etabliert.

 

Vorteile: Es ist leicht umzusetzen.

 

Nachteile: Es ist nicht sehr nutzerfreundlich und funktioniert wohl nur noch bei alten und sehr primitiven Spam-Bots. Zudem gibt es noch einen weiteren Nachteil: Die E-Mail-Adressen können nicht verlinkt werden. Die nützliche Funktion, durch einen Klick auf die E-Mail-Adresse den lokalen E-Mail-Client zu öffnen, entfällt bei modifiziert geschriebenen E-Mail-Adressen.

 

Fazit: Schnell gemacht, aber kein sicherer Schutz, mit zusätzlicher Einbuße des Nutzerkomforts.

 

2) Generieren der E-Mail-Adressen mittels JavaScript

Hier können wir uns wieder zunutze machen, dass die meisten Spam-Bots kein JavaScript beherrschen. Der SPAM-Bot kann ausgetrickst werden, indem wir die E-Mail-Adresse mittels JavaScript generieren. Dadurch ist die E-Mail-Adresse im Quellcode nicht zu finden.

 

Vorteile: Keine kryptische Schreibweise, die richtige E-Mail-Adresse wird angezeigt und kann verlinkt werden.

 

Nachteile: Ein aktueller Spam-Bot der bereits JavaScript beherrscht, wird die E-Mail-Adresse finden. User, bei denen JavaScript deaktiviert wurde, sehen die E-Mail-Adresse nicht.

 

Fazit: Wenn die Website auch im Übrigen mit JavaScript arbeitet, empfehle ich den Einsatz der JavaScript-Variante, da sie sicher und nutzerfreundlich ist.

 

Phishing Mails

Phishing Mails sind fiese E-Mails mit gefälschten Absendern und Links zu gefälschten Websites. In der Regel gaukelt die Phishing-Mail vor, von einem Freund, einem Kollegen oder einem Internetdienst versendet worden zu sein. Oft werden Sie im Mail-Text darum gebeten, einen Link zu klicken. Folgen Sie der Anweisung, kommen Sie nicht wie vermutet zu dem gewünschten Dienst, sondern zu einer gefälschten Website, die genauso aussieht wie das Original. Dort sollen Sie sich nun einloggen. Mit dem Login haben die Angreifer Ihre Zugangsdaten.

 

Was hat das mit dem Betrieb der eigenen Website zu tun?

Angreifer können Ihre Website nachbauen und eine Phishing Mail an Ihre Mitarbeiter oder Kunden versenden. Der Inhalt der Phishing-Mail kann durchaus plausibel sein.

 

Da das Thema Phishing-Mails einen eigenen Artikel füllen würde, möchte ich Sie an dieser Stelle nur daran erinnern, dass auch die eigene Website sehr leicht kopiert werden kann.

 

 

Für den BvD Blog, Alexander Heit

 

...................

Alexander Heit ist technischer Leiter bei der H&N IT-SERVICES UG mit den Schwerpunkten:

Server-Administration unter Linux, Webentwicklung, Kundenberatung und Betreuung von Webprojekten

E-Mail: alexander.heit [at] hn-websolutions.com

Internet:  www.hn-websolutions.com

 

Kommentare 0 Views: 543



Datenschutzrisiko in Drittländer? Deutschland und Schweiz im Datenschutzvergleich

Global agierend, übermitteln immer mehr Firmen personenbezogene Daten ins Ausland - oftmals werden Daten ohne groß darüber nachzudenken und ganz selbstverständlich transferiert, ohne die datenschutzrechtlichen Rahmenbedingungen des betroffenen Landes näher zu kennen oder zu hinterfragen. Was bleibt, ist das Risiko eines Gesetzesverstoßes, der empfindlich geahndet wird.

 

EU-/EWR-Länder und Drittländer

Europäische Union hin, Europäische Union her. Geht es um den Datentransfer ins Ausland bietet das vereinte Europa Vorteile. Die Übermittlung in Vertragsstaaten des Europäischen Wirtschaftsraumes (EWR) wie Norwegen, Island und Liechtenstein, gestalten sich darüber hinaus unproblematisch (vgl. „sonstige ausländische Stellen“, § 4 b Abs 2 S. 2 BDSG). Problematisch sind Datentransfers in Länder, die weder der EU noch dem EWR angehören. Sie werden als sogenannte „Drittländer“ betitelt.

 

Was ist ein Drittland? „Ein Drittland ist ein Staat, in dem ein Datenschutzrecht herrscht, das unter dem Niveau liegt, das mit der Umsetzung der EU-Richtlinie erreicht werden sollte.“

 

Das Bundesdatenschutzgesetz (BDSG) sieht für die Datenübermittlungen in ein solches Drittland besondere Regelungen vor. Eine Datenübermittlung ins Nicht-EU-Ausland ist nur dann rechtlich zulässig, wenn entweder eine Ausnahmeregelung für die konkrete Datenübermittlung vorliegt oder wenn ein angemessenes Datenschutzniveau im Sinne des § 4 Abs. 2 S. 2 BDSG durch zusätzlich ergriffene Maßnahmen sichergestellt wird.

 

Drittländer mit angemessenem Datenschutzniveau

Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere eigene Überprüfung datenschutzrechtlich zulässig (unter Vorbehalt der Zulässigkeit nach §§ 28 ff. BDSG).

 

Schweiz versus Deutschland

Die Schweiz gehört nicht zu den EU-Mitgliedsstaaten. Sie garantiert aber nach Auffassung der EU-Kommission bei der Verarbeitung von personenbezogenen Daten einen adäquaten Datenschutz.

Ähnlich wie in Deutschland regelt das Datenschutzgesetz des Bundes den Datenschutz für die Bundesbehörden und für den privaten Bereich; auf die kantonalen Behörden ist das jeweilige kantonale Datenschutzgesetz anwendbar.

 

Kontrolliert wird die Einhaltung des Datenschutzgesetzes im Bund durch den „Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“.

Für die Kontrolle der Einhaltung der kantonalen Datenschutzgesetze sind die Kantone selbst zuständig. Sie sind unabhängig und dem Eidgenössischem Datenschutzbeauftragten nicht unterstellt.

 

Ein großer Unterschied zu den Regelungen in Deutschland ist, dass in der Schweiz zusätzlich zur Auskunftspflicht auch eine Informationspflicht existiert (Art. 14 und Art. 18a): Werden Personendaten von Bundesorganen bearbeitet oder besonders schützenswerte Personendaten oder Persönlichkeitsprofile von privaten Personen bearbeitet, dann müssen grundsätzlich die betroffenen Personen aktiv durch den Inhaber der Datensammlung informiert werden.

 

Ähnlich wie es in Deutschland und auch in Österreich definiert ist, sind auch in der Schweiz jegliche Daten, die eine Profilbildung erlauben (Art. 3d), den besonders schützenswerten Daten gleichgestellt.

 

Datenverarbeitung in der Schweiz: Deutscher Auftraggeber, Schweizer Auftragnehmer

Für die Verarbeitung von personenbezogenen Daten deutscher Auftraggeber gilt das Schweizer Datenschutzgesetz (DSG). Die Weitergabe von Daten ist nach deutschem Recht immer eine „Übermittlung“ an Dritte (§ 3 Abs. 8 i. V. m. § 3 Abs. 4 BDSG).

 

Aufgrund der nationalen Datenschutzgesetze ist die Rückübermittlung der Daten an den deutschen Auftraggeber, welcher ein angemessenes Datenschutzniveau gewährleistet (Art. 6 DSG, § 4 b BDSG) nach Schweizer Recht unproblematisch und zulässig.

 

Der Schweizer Auftragnehmer (Dienstleister) ist nach Art. 7 DSG verpflichtet, personenbezogene Daten durch entsprechende technische und organisatorische Maßnahmen zu schützen. Dies wird mit Art. 8 – 10 DSG konkretisiert.

 

Datenverarbeitung in Deutschland: Schweizer Auftraggeber, deutscher Auftragnehmer

Die Auftragsdatenverarbeitung nach BDSG (§ 11 BDSG) entspricht Art. 10 a DSG. Die Verarbeitung an Dritte darf erfolgen, wenn die personenbezogenen Daten nur so verarbeitet werden, wie der Auftraggeber es selbst tun darf.

 

Art. 10 a Abs. 3 DSG besagt, dass der Dritte dieselben Rechtfertigungsgründe wie der Auftraggeber geltend machen kann. Art. 13 Abs. 2 DSG regelt die Rechtfertigungsgründe allerdings nicht abschließend. Er enthält vielmehr einen Beispielkatalog.

 


Technische und organisatorische Maßnahmen im Ländervergleich

Bei der Bereitstellung technischer und organisatorischer Maßnahmen (TOM) zum Schutz personenbezogener Daten kennen das Schweizer DSG und das deutsche BDSG vergleichbar gesetzliche Anforderungen:

• § 11 Abs. 1 und 2 BDSG verpflichtet die verantwortliche Stelle (Auftraggeber), seine Dienstleister sorgfältig auszuwählen und zu kontrollieren.

• Das Schweizer Recht verpflichtet im Art. 10a Abs. 2 DSG den Auftraggeber sich zu vergewissern, dass der Dienstleister den Datenschutz und die Datensicherheit gewährleistet.

 

Die TOMs zur Gewährleistung des Datenschutzes und der Datensicherheit sind im BDSG sowie in der Verordnung zum DSG geregelt. Weitestgehend stimmen die Regularien beider Länder überein:

 

• Zutrittskontrolle

D: § 9 BDSG Nr. 1 der Anlage

CH: Zugangskontrolle Art. 9 Abs. 1a VDSG

 

• Zugangskontrolle

D: § 9 BDSG Nr. 2 der Anlage

CH: Benutzerkontrolle Art. 9 Abs. 1f VDSG

 

• Zugriffskontrolle

D: § 9 BDSG Nr. 3 der Anlage

CH: Personendatenträgerkontrolle Speicherkontrolle, Zugriffskontrolle Art. 9 Abs. 1b, e und g VDSG

 

• Weitergabekontrolle

D: § 9 BDSG Nr. 4 der Anlage

CH: Transportkontrolle, Bekanntgabekontrolle Art. 9 Abs. 1c und d VDSG

 

• Eingabekontrolle

D: Art. 9 BDSG Nr. 5 der Anlage

CH: Eingabekontrolle, Art. 9 Abs. 1 h VDSG

 

• Auftragskontrolle

D: § 9 BDSG Nr. 6 der Anlage

CH: Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet. Art. 10a Abs. 1 VDSG

 

• Verfügbarkeitskontrolle

D: § 9 BDSG Nr. 7 der Anlage

CH: Kein Pendant im DSG. Sichergestellt durch Allgemeine Maßnahmen. Art. 8 Abs. 1 VDSG

 

• Trennungskontrolle

D: § 9 BDSG Nr. 8 der Anlage

CH: Kein Pendant im DSG. Festlegung gemäß Art. 10a Abs. 1 DSG möglich.

 

Datenschutzverantwortlicher (CH) / Betrieblicher Datenschutzbeauftragter (D)

Ähnlich wie im DSG 2000 (österreichisches Datenschutzgesetz) gibt es in der Schweiz keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzverantwortlichen.

Das Schweizer Recht kennt in Art. 12a VDSG die Möglichkeit einen betrieblichen Datenschutzverantwortlichen zu bestellen. Mit der Bestellung wird das Unternehmen von seiner Pflicht befreit, seine Datensammlungen gemäß Art. 11 Abs. 5e DSG anzumelden.

 

Beide Gesetze kennen des Weiteren die Verpflichtung für Personen, die personenbezogene Daten verarbeiten: Art. 8 Abs. 1 VDSG (Vertraulichkeit, Verfügbarkeit, Integrität) und § 5 BDSG (Datengeheimnis).

 

Schweiz und das EuGH-Urteil zu Safe Harbor

Die Schweiz hatte 2008 ein bilaterales Rahmenabkommen zur Datenübermittlung in die USA, ein so genanntes „Safe Harbor“-Abkommen mit den USA vereinbart. Auch diese Vereinbarung ist vom Urteil am 06. Oktober 2015 des EuGH (Europäischer Gerichtshof) betroffen und wird in Frage gestellt.

 

 

Bei der Datenübermittlung in sogenannte Drittländer gibt es viele Einzelheiten zu beachten. Es spielt eine Rolle, ob das Drittland über ein angemessenes Datenschutzniveau verfügt, in welche Richtung Daten fließen, woher diese kommen und ganz besonders auf die individuelle Rechtslage im Drittland.

 

Autorin: Regina Mühlich

 

Links und Gesetze

VDSG https://www.admin.ch/opc/de/classified-compilation/19930159/index.html

DSG https://www.admin.ch/opc/de/classified-compilation/19920153/index.html

§ 9 BDSG www.gesetze-im-internet.de/bdsg_1990/__9.html

Anlage zu § 9 BDSG www.gesetze-im-internet.de/bdsg_1990/anlage.html

 

 


Tags: bdsg, dsg schweiz
Kommentare 0 Views: 1119



Websites sicher betreiben - Teil 1

 

Hundertprozentige Sicherheit im Internet lässt sich wohl kaum jemals erreichen. Sie können das Risiko von Angriffen jedoch erheblich minimieren, wenn Sie ein paar grundlegende Regeln befolgen. Ich gebe Ihnen einige Tipps an die Hand, wie Sie den Betrieb Ihrer Website sicherer gestalten.

 

Passwörter und Benutzernamen

Regel Nummer 1 für den sicheren Betrieb einer Website sind starke Passwörter und sichere Benutzernamen. Erstaunlich häufig werden bei Websites, die einen Online-Administrationsbereich zur Verfügung stellen, schwache Passwörter und Benutzernamen verwendet. Im schlimmsten Fall ist es die Kombination: Benutzername = admin, Passwort = admin. Aber auch Konstellationen aus Vor- und Nachnamen, Hobbys, Geburtsdatum, Nummernschildern etc. sollten nicht gewählt werden. Angreifer versuchen über Informationen die über Sie zugänglich sind, Passwortlisten zu generieren, über die automatisiert ein Login versucht wird. Die Erfolgsquote ist dabei erstaunlich hoch.

 

Passwortmanager

Beim Betrieb einer oder mehrerer Websites haben Sie sehr schnell eine Menge an Passwörtern zu verwalten, die im Idealfall alle kryptisch sind. Um diese sicher auf dem lokalen Rechner abzulegen, empfiehlt sich der Einsatz eines Passwortmanagers. Damit können Sie komplexe, unterschiedliche Passwörter generieren und verschlüsselt abspeichern.

 

Mitarbeitern nur notwendige Rechte und Passwörter geben

Meistens arbeiten mehrere Mitarbeiter und externe Dienstleister an einer Website. In den seltensten Fällen brauchen alle Beteiligten sämtliche Zugangsdaten und Berechtigungen. Nutzen Sie die Möglichkeit, den Berechtigten verschiedene Nutzerrollen mit entsprechend abgestuften Berechtigungen zuzuweisen.

 

Weitergabe von Zugangsdaten

Ein großes Risiko birgt das Versenden von Zugangsdaten.

Oft wird vergessen, dass eine gewöhnliche E-Mail unverschlüsselt übertragen wird. Das Abgreifen von Zugangsdaten ist für Angreifer hier besonders leicht. Auf diesen Übertragungsweg sollte bei Passwörtern am besten ganz verzichtet werden. Sollte es dennoch nötig werden, Zugangsdaten zu versenden, so verteilen Sie die Daten zumindest auf verschiedene Kanäle. Den Benutzernamen und die Login-URL z.B. über eine E-Mail, das Passwort per SMS.

Nach Versand sollten Sie den Empfänger nach Möglichkeit darum bitten, für sich ein neues Passwort zu erstellen und dieses sicher abzuspeichern.

 

Backups der Website durchführen

Nicht nur aus sicherheitstechnischen Gründen sollten immer automatisierte Backups aller Daten und der Website-Datenbank durchgeführt werden. Stellen Sie sich nur vor, Sie verlieren durch einen Angriff, einen Programmierfehler alle Daten und müssen Ihre Website komplett neu erstellen.

Bei Backups der Website kann Ihnen Ihr Webhoster behilflich sein.

 

Testsystem

In der Entwicklung von komplexen Webanwendungen ist es üblich, Änderungen in verschiedenen Stufen freizugeben und diese zu testen. Details gehen zu weit in die Softwareentwicklung, was sich aber für jedermann empfiehlt, ist ein Testsystem, eine Kopie Ihrer Website auf einer Subdomain mit Passwortschutz.

Darüber können Sie z.B. neue Features, Plugins und Updates testen, ohne einen Totalausfall Ihrer aktiven Website zu riskieren.

 

Dateiabgleich auf dem Webserver

Prüfen Sie automatisiert, ob sich Dateien auf dem Webserver verändert haben.

Bei den meisten Websites kommen heutzutage Content-Management-Systeme (CMS) zum Einsatz. Die Prüfung einzelner Dateien von Hand würde einen zu hohen Aufwand bedeuten. Für den Abgleich eignen sich Programme, die neue bzw. geänderte Dateien auflisten.

Unerlaubte Modifizierungen des Datenbestandes fallen Ihnen dabei sofort auf.

 

Logfiles überprüfen

Gerade automatisierte Angriffe, die Ihre Website auf bekannte Schwachstellen abchecken, verursachen eine Menge verdächtiger Zugriffe.

Diese Zugriffe werden von Ihrem Webserver protokolliert. Mit entsprechenden Tools lassen sich diese Logfiles überwachen und informieren Sie bei verdächtigen Einträgen per E-Mail.

 

Sichere Übertragung von Daten mit SSL/https

Ein normaler Zugriff auf eine Website mit http:// ist unverschlüsselt. Jeder kann die Kommunikation mitschneiden, auswerten und zu seinen Gunsten manipulieren. Viele kennen den Sinn von SSL in Verbindung mit Formularen. So werden vom Nutzer eingegebene Daten verschlüsselt übertragen und können nicht über WLAN, Router und Netzwerkknoten ausgelesen werden. Ich habe es schon oft erlebt, dass Websites SSL erst dann einschalten, wenn Daten über ein Formular übertragen werden.

SSL hat aber einen weiteren wertvollen Zweck. Mit SSL wird garantiert, dass beim User genau die Informationen ankommen, die vom Server gesendet werden. Das können Cookies, JavaScript oder der HTML-Quelltext der Website sein. Stellen Sie sich vor, ein User der Ihre Website besucht, bekommt Werbung eingeblendet, die nicht von Ihnen, sondern vom Betreiber eines offenen WLAN stammt.

Dieses Szenario wird durch SSL unterbunden.

 

Verschlüsselte Passwörter in Datenbanken

Zugangsdaten müssen auf dem Server gespeichert werden. Für gewöhnlich wird dies in einer Datenbank umgesetzt. Auf diese Datenbank haben verschiedene Personen Zugriff, die damit auch die Passwörter Ihrer Nutzer auslesen können. Dazu gehören z.B. Mitarbeiter des Webhosters und die meisten Ihrer Entwickler. Da Passwörter grundsätzlich sehr sensible Informationen sind, sollten diese immer verschlüsselt gespeichert werden. Gängige CMS-Systeme unterstützen das Hash-Verfahren MD5. Dabei werden logische Abbildungen von Passwörtern erstellt und abgespeichert, ohne die Passwörter selbst auf dem Server abzulegen. Da MD5 mittlerweile nicht mehr als sicher gilt, wird vor der Verschlüsselung ein zusätzlicher Salt-Wert – eine Kette von Zufallszeichen – erzeugt und an das Passwort angehängt. Bei der Installation eines CMS sollten Sie diesen Salt-Wert anpassen bzw. generieren lassen.

 

SQL-Injection

SQL-Injection ist ein Angriff auf SQL-Datenbanken, der es zum Ziel hat, Datenbank-Abfragen zu manipulieren. Durch das Eingeben von zusätzlichen Befehlen in ein Formularfeld oder in einer URL, kann eine Datenbankabfrage verändert werden. Je nach Abfragetyp bekommt der Angreifer Zugriff auf die komplette Datenbank und kann Informationen auslesen, manipulieren oder löschen. Bekannte SQL-Injection-Angriffe kommen vor allem bei gängigen Open Source Lösungen, aber auch bei älteren, ungepatchten Webprojekten vor. Sensibilisieren Sie Ihre Entwickler dafür, ein Verfahren zur Prüfung von SQL-Abfragen einzurichten und achten Sie immer darauf, dass Sie stets die aktuellste Version eines CMS oder Online-Shops nutzen.

Spielen Sie vorhandene Updates zeitnah ein.

 

Administrationsbereich schützen

Bei Websites ist es üblich, dass diese über den Browser verwaltet werden. Zu diesem Zweck gibt es einen Verwaltungs- bzw. Administrationsbereich, der über eine URL erreichbar ist. Bei gängigen CMS wie Joomla, WordPress, Contao und anderen, ist es ein Leichtes, diese URL herauszufinden und aufzurufen. Natürlich muss sich ein potenzieller Angreifer noch einloggen können, um Zugriff zu erhalten.

Sollte dem Angreifer aber schon der Benutzername bekannt sein, könnte über eine Passwortliste ein erfolgreicher, unerlaubter Login erfolgen.

Schützen Sie den Administrationsbereich zusätzlich mit einem Verzeichnisschutz. Dieser Baustein ist ein zusätzlicher Passwortschutz vor dem eigentlichen Login, ohne „Passwort vergessen“ Funktion. Dadurch kann der Angreifer nicht ermitteln, ob ein Benutzername (z.B. eine E-Mail-Adresse) zu einem Nutzer passt.

 

Zusätzlich sollten Sie beim Login die Anzahl der Fehlversuche beschränken und eine IP-Adresse, die verdächtig viele Anmeldeversuche verzeichnet, entsprechend sperren.

 

Regelmäßige Updates

Führen Sie immer regelmäßig und zeitnah Sicherheitsupdates durch.

Bei gängigen CMS werden geschlossene Sicherheitslücken bei jedem Update veröffentlicht. Dies bedeutet, wenn Systeme ungepatcht bleiben, dass Angreifer alle veröffentlichten Sicherheitslücken kennen und diese gezielt angreifen können. Je länger ein Update zurück liegt, umso mehr bekannte Sicherheitslücken liegen vor.

 

Erweiterungen ("Plugins")

Wenn Ihre Website auf einem CMS oder einem Framework basiert, wird es immer Erweiterungen geben, die Sie entweder kostenlos oder gegen eine Gebühr nutzen können. Die Verlockung ist groß, vor allem die kostenlosen Plugins einzusetzen.

Bitte nutzen Sie nur aktuelle Erweiterungen, die mit der neuesten Version Ihres CMS kompatibel sind. Prüfen Sie auch die Seriosität des Entwicklers. Hat der Entwickler eine Website? Wird Support angeboten? Laden Sie sich Ihre Erweiterungen von vertrauenswürdigen Plattformen herunter. Lassen Sie die Erweiterung von einem Entwickler prüfen, um ganz sicher zu gehen. Die Erweiterung hat Zugriff auf die Datenbank und Ihre Dateien auf der Website, sie stellt eventuell Formulare zur Verfügung und führt Datenbankabfragen durch.

Die meisten Sicherheitslücken finden sich nicht im eigentlichen CMS, sondern in seinen Erweiterungen.

 

Automatisierte Sicherheitstests bei Websites (Web Penetration Tester)

SQL-Injection, XSS (Cross Site Scripting), CSRF (Cross Site Request Forgery), DOM-based XSS, Directory Traversal – alles Fachbegriffe, die Möglichkeiten für einen unautorisierten Zugriff auf eine Website beschreiben. Hinzu kommen noch die vielen bekannten CMS-spezifischen Schwachstellen.

Sie können einen Penetrations-Tester damit beauftragen, automatisierte Scans Ihrer Website von außen durchzuführen. Solche Tests decken einen Großteil der potenziellen Sicherheitslücken auf. Besonders wichtig können diese Scans sein, wenn neue Features programmiert wurden, nach Implementierung neuer Erweiterungen oder nach einspielen von Updates.

 

 

Für den BvD Blog, Alexander Heit

 

...................

Alexander Heit ist technischer Leiter bei der H&N IT-SERVICES UG mit den Schwerpunkten:

Server-Administration unter Linux, Webentwicklung, Kundenberatung und Betreuung von Webprojekten

E-Mail: alexander.heit [at] hn-websolutions.com

Internet:  www.hn-websolutions.com

 

Kommentare 0 Views: 692



Betriebliche Selbstkontrolle vor dem Aus


Der Trilog für eine EU-Datenschutz-Grundverordnung (EU-DS-GVO) geht mit großen Schritten seinem Abschluss entgegen. Nach einem am 27.11.2015 öffentlich gewordenen Dokument sollen die Datenschutzbeauftragten als Fundament einer betrieblichen Selbstkontrolle weitestgehend für einen schnellen Kompromiss aufgegeben werden. GDD und BvD warnen eindringlich: Das Datenschutzniveau Deutschlands würde erheblichen Schaden nehmen.

 

Die Verhandlungspartner im Trilog für ein einheitliches europäisches Datenschutzgesetz möchten sich am anvisierten Zeitplan für die Verabschiedung der EU-DS-GVO noch in 2015 messen lassen. Um dieses Ziel zu erreichen und zwischen Gegnern und Befürwortern einer verpflichtenden Bestellung zu vermitteln, hat die luxemburgische Präsidentschaft in ihrem letzten Entwurfstext vom 27.11.2015 eine Bestellpflicht des Datenschutzbeauftragten nur noch bei Unternehmen vorgesehen, deren Kerntätigkeit aus Verarbeitungsvorgängen besteht, welche auf Grund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen. Ebenso sollen nur Datenverarbeiter, deren Kerntätigkeit aus der Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und 9a der EU-DS-GVO „in großem Umfang“ besteht, einer Bestellpflicht unterfallen.

 

Die geplante Regelung hätte zur Konsequenz, dass in Deutschland die Bestellung betrieblicher Datenschutzbeauftragter in Industrie, Handel und Mittelstand mit Geltung der EU-DS-GVO auslaufen würde. Betroffene würden einen Anwalt für ihre Rechte und Interessen in den Unternehmen verlieren. Zugleich würde für die Unternehmensleitung der unabhängige Berater und Garant der Selbstkontrolle auf betrieblicher Ebene wegfallen. Es ist nicht zu erwarten, dass Unternehmen von einer freiwilligen Bestellung Gebrauch machen werden, weil diese ausschließlich mit Verpflichtungen ohne Anreize verbunden sein würde. Das Bundesinnenministerium setzt sich zwar weiterhin für eine nationale Öffnungsklausel ein, sieht aber angesichts der Verhandlungsmasse wenige Erfolgsaussichten.

 

Vor diesem Hintergrund fordern GDD und BvD alle politischen Akteure dazu auf, das Modell der betrieblichen Selbstkontrolle in Deutschland zu bewahren. Nur so kann gewährleistet werden, dass das Versprechen, das Datenschutzniveau durch die europäische Regelung nicht abzusenken, eingehaltenen wird. Das sich nähernde Ende der Verhandlungen in Brüssel und der dort vorgesehene „Schnellschuss“ zum Datenschutzbeauftragten zwingen zu einem raschen Handeln.

Kommentare 0 Views: 526



Gibt es Neues zur EU-DSGVO?

So richtig irgendwie nicht… Dennoch ist es bemerkenswert, dass sowohl der Berichterstatter des EU-Parlaments (Jan Philipp Albrecht) wie auch der Schattenberichterstatter der EVP-Fraktion (Axel Voss) letzte Woche auf Veranstaltungen in Brüssel und Köln betonten, dass sie davon ausgehen, dass der vorgesehene Zeitplan eingehalten wird. Damit soll noch dieses Jahr eine politische Einigung zwischen EU-Ministerrat und dem EU-Parlament erzielt werden. Nach einer technischen Überarbeitung (Übersetzung in die 22 Sprachen der EU) kann dann das Ergebnis dem EU-Ministerrat und dem EU-Parlament zur Zustimmung vorgelegt werden. Gemäß den Formulierungen in der EU-DSGVO (Art. 91) tritt diese dann 20 Tage nach Veröffentlichung in Kraft, kommt zur Anwendung aber erst 2 Jahre danach.

 

Auf der Zielgeraden kommen Axel Voss nach seinen Aussagen letzter Woche aber noch Bedenken, ob die gewählte Formulierungen in der EU-DSGVO zu Zweckänderungen und Datensparsamkeit noch die Anforderungen der Zeit, wie sie durch Big Data gestellt werden, erfüllen. Zwar kann man diesen Überlegungen entgegenhalten, dass durch Art. 8 der Europäischen Charta der Grundrechte die Leitplanken für eine Zweckänderung und die Abweichung von den daraus resultierenden Vorgaben der Datenminimierung klar die Grenzen aufgeben, dennoch bleibt eine gewisse (theoretische?) Unsicherheit, ob sich diesen Überlegungen weitere Akteure im Gesetzgebungsverfahren anschließen werden.

 

Es überrascht schon fast, dass aus dem Trilog bisher nichts geleakt wurde, so dass eine Zwischenkommentierung oder eine „Wasserstandsmeldung“ nicht möglich ist. Hinsichtlich des DSB scheint das EU-Parlament auf eine Benennungsregelung im Art. 35 innerhalb der EU-DSGVO zu bestehen und die seitens des EU-Rats vorgesehene Öffnungsklausel für die Mitgliedsstaaten abzulehnen.

 

Somit bleibt es spannend!

 

Egal, mit welchen Formulierungen der Trilog enden wird: Der BvD plant natürlich Fortbildungen im Jahr 2016, um seine Mitglieder über die Änderungen im Datenschutzrecht zu informieren. Auch beim Verbandstag am 21. April 2016 wird man sich mit diesem Thema auseinandersetzen.

 

Rudi Kramer

stellv. Vorstandsvorsitzender BvD

Kommentare 2 Views: 1945



EU Data Protection

 - 
20.10.2015
 - 
11:33
Stefan Bachmann

EU Data Protection: Article 29 Working Party Says Standard Contractual Clauses, Binding Corporate Rules are Adequate—For Now


After the European Court of Justice ("ECJ") declared the 2000/520/EC Safe Harbor decision of the European Commission (the "Safe Harbor") to be invalid, there was considerable uncertainty as to whether alternative measures of protection to legalize the transfer of personal data from the EU to the U.S., such as Standard Contractual Clauses and Binding Corporate Rules, were available. The uncertainty was further fueled when one German State Data Protection Authority (Schleswig-Holstein) recently issued a statement that it considers data transfers on the basis of Standard Contractual Clauses to the U.S. to be no longer permitted. This statement came despite clear indications that the EU Commission and the Article 29 Working Party (the EU independent advisory body on data protection matters consisting of representatives from the national Data Protection Authorities, the European Data Protection Supervisor, and the European Commission) (the "Working Party") were expected to issue further guidance on the matter.

 

The Working Party has now issued a joint statement providing the eagerly awaited guidance on the practical consequences of the Safe Harbor invalidation for companies, and it indicated that alternative adequacy measures like Standard Contractual Clauses and Binding Corporate Rules can be applied. This is of particular importance for the more than 4,400 companies that were allowed to transfer EU personal data to the U.S. under the Safe Harbor program.

 

"New" Safe Harbor Could Be Part of the Solution

 

As a starting point, the Working Party confirmed that, as a direct result of the invalidation of the Safe Harbor, personal data transfers to the U.S. based on the Safe Harbor have become unlawful. Therefore, alternative solutions must be implemented to secure such data transfers. In this context, the Working Party called on the Member States and the EU institutions, in concert with U.S, authorities, to find "… political, legal and technical solutions enabling data transfers to the territory of the United States that respect fundamental rights…." According to the Working Party, a "new Safe Harbor," which is currently in discussions, "could be a part of the solution." However, these discussions have been ongoing for some time, and it remains to be seen whether the U.S. government and its European counterparts will expedite discussions to finalize and quickly implement the so-called "New" Safe Harbor. U.S. Secretary of Commerce Penny Pritzker was reported on October 16, 2015 to have urged quick action on improving the Safe Harbor while speaking at the National Foreign Trade Council's annual dinner.

 

Standard Contractual Clauses and Binding Corporate Rules Confirmed (for an Interim Period)

 

Most importantly, the Working Party expects that a suitable framework for transferring data to the U.S. will be finalized by the end of January 2016. Until then, the Working Party has said it will continue investigating the consequences of the ECJ ruling on other tools available for transferring personal data outside of the European Economic Area, namely Standard Contractual Clauses and Binding Corporate Rules. Thus, the Working Party has indicated the possibility that the ECJ ruling may also affect these alternative measures of protection for international personal data transfers to the U.S.

 

For the interim period until the end of January 2016, the Working Party confirmed that the Data Protection Authorities in the Member States will consider Standard Contractual Clauses as well as Binding Corporate Rules a viable basis for data transfers to the U.S. This does not, however, preclude authorities from investigating individual cases, for example, if a complaint has been lodged. In this context, it is important to understand that the Standard Contractual Clauses contain provisions allowing Data Protection Authorities to suspend transfers in individual cases, and thus this should be considered when implementing the Standard Contractual Clauses.

 

The Standard Contractual Clauses for transfers to processors (2010/87/EU), for example, allow for a suspension (see Art. 4(1)(a)):

 

in cases where it is established that the law to which the data importer or a sub-processor is subject imposes upon him requirements to derogate from the applicable data protection law which go beyond the restrictions necessary in a democratic society as provided for in Article 13 of Directive 95/46/EC where those requirements are likely to have a substantial adverse effect on the guarantees provided by the applicable data protection law and the standard contractual clauses.

 

This might leave a door open for more aggressive Data Protection Authorities to reference the EJC's reasoning and declare invalid personal data transfers to the U.S. Nevertheless, a simple reference to the reasoning of the ECJ ruling should not be sufficient to justify suspension on this basis because a detailed analysis of the national law of the U.S. seems required, and a substantial adverse effect would need to be established in the individual case.

 

Also, the Working Party did not address other viable means of legally permitting international personal data transfers, such as data subject consent and further relevant derogations from the requirement to ensure an adequate level of protection, including that the transfer is necessary for the performance of a contract. These would remain available and should be considered, where appropriate, to legalize EU personal data transfers to the U.S.

 

Practical Steps To Be Taken

 

A first practical consequence of the Safe Harbor invalidation is that companies that were relying on the Safe Harbor for their data transfer to the U.S. must urgently implement alternative legal solutions. Given the time it takes to adopt and obtain approvals for Binding Corporate Rules, the Standard Contractual Clauses appear to be the best and most expedient solution in the short term. However, the heightened scrutiny of the Data Protection Authorities applied with respect to such solutions requires companies to select the right set of clauses (including a correct differentiation between controller-to-controller and controller-to-processor transfers) and verify if the applicable national data protection law imposes additional administrative requirements (e.g., notification and registrations).

 

Companies will also need to identify where in the data transfer chain such clauses (and which type of clauses) will need to be implemented—for example, in intercompany transfers from the EU to the U.S. or to cover direct transfers from a data exporter in the EU to a third-party data importer processor in the U.S. Onward transfers from the U.S. importer to a third party (data processor or controller) require special attention, as the clauses concluded with the U.S. importer will also determine the respectively applicable flow-down requirements.

 

Further, companies should not forget that all data transfers need a justification (either a statutory justification or consent of the data subjects). Companies should document the basis for the data transfers, which can be helpful in defending such transfers if questioned by a data protection authority.

 

Also, companies should consider practical implications if a "New" Safe Harbor or other solution is agreed, especially if such solution is more desirable than the Standard Contractual Clauses or Binding Corporate Rules. For instance, companies might consider how best to effectuate a transition back to the "New" Safe Harbor under the circumstances.

 

Finally, continued monitoring of the developments will be required. The Working Party indicated in its statement that, depending on the outcome of its own assessment of alternative transfer tools in the light of the ECJ ruling, and should no solution be found with the U.S. by the end of January 2016, "… EU data protection authorities are committed to take all necessary and appropriate actions, which may include coordinated enforcement actions."

 

Authors

Undine von Diemar, Mauricio F. Paez, Olivier Haas - Jones Day

 

source:  http://www.jonesday.com/eu-data-protection-article-29-working-party-says-standard-contractual-clauses-binding-corporate-rules-are-adequatefor-now-10-19-20151/

 

Kommentare 0 Views: 631



Datenschutz-Grundverordnung


noch 

457

 Tage 

RSS-Feed abonnieren

RSS Feed abonnieren
https://www.bvdnet.de/blog-rss

Letzte Kommentare

ISMS Standards
15.02.2017 21:06
Zwei Anmerkungen
15.02.2017 18:17
Blogbeitrag
13.10.2016 18:55
Datenschutz und IT
13.10.2016 16:40

Kategorien

Archiv

Meist gelesene Posts

DSgzS-Infopool
8688 times viewed
17.01.2014 11:14
Hackerangriff auf ebay
6870 times viewed
21.05.2014 21:50
Telefonumfrage - ein Erfahrungsbericht
6405 times viewed
27.10.2013 22:41
Angriff übers Internet – diesmal: FRITZ!Box
5141 times viewed
12.02.2014 13:47