Freitag, 26. Mai 2017

EU-DSGVO-Halbzeit! Nur noch 365 Tage

In genau 365 Tagen ist es soweit: Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO). Auch wenn viele das nicht mitbekommen haben: Bereits vor einem Jahr ist diese wichtige Änderung zum BDSG in Kraft getreten. Die Hälfte der 2-jährigen Übergangsfrist ist nun schon vorbei. Trotzdem verharrt eine Vielzahl mittelständischer Unternehmen und Konzerne noch immer in Untätigkeit. Die Datenschutz-Experten von yourIT empfehlen: Es gibt viel zu tun. Packen Sie's an!



yourIT: Halbzeit auf dem Weg zur EU-DSGVO
yourIT: Halbzeit auf dem Weg zur EU-DSGVO

Wer wie wir von yourIT an IT-Umstellungs-Projekten mitarbeitet, weiß, dass es wichtig ist, frühestmöglich zu starten und dann koordiniert zu arbeiten, um ein von extern festgelegtes Enddatum einhalten zu können.

Betrachten wir die Einführung der EU-DSGVO (manchmal auch als GDPR bezeichnet, die Kurzform für General Data Protection Regulation) einmal als ein solches IT-Umstellungs-Projekt, ergeben sich folgende externe Vorgaben:

Montag, 22. Mai 2017

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!

US-Präsident Donald Trump war kaum im Amt, als er am 25. Januar 2017 direkt den Datenschutz für Europäer in Frage gestellt. Datenschutz-Experten aus der EU raten daher Unternehmen aus der EU, Cloud-Produkte nur noch von Europäischen Anbietern zu nutzen.


Deutsche und alle übrigen Europäer sind für den US-Präsidenten ganz offensichtlich Internetnutzer zweiter Klasse. Per Dekret vom 25. Januar erklärte er, dass Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht auszuschließen oder zumindest ihre Rechte diesbezüglich einzuschränken sind, "soweit dies mit geltendem Recht vereinbar ist".

Der Datentransfer zwischen der EU und der USA auf Basis des Privacy Shield steht seither unter europäischem Beschuss. Das Privacy Shield ist als Nachfolger des Vorgängers Safe Harbor seit dem 12. Juli 2016 in Kraft und war von Anfang an umstritten. Es sollte eigentlich den EU-US-Datenaustausch für europäische Unternehmen mit US-Dienstleistern vereinfachen, die sich zu den darin notierten Prinzipien und organisatorischen Vorgaben bekennen. Ob sich damit aber tatsächlich ein "angemessenes Datenschutzniveau" sicherstellen lässt, das die Grundvoraussetzung für einen Datenaustausch mit anderen Unternehmen darstellt, gilt als unsicher.

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!
EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!


EU-Datenschützer befürchten nun , dass der Privacy Shield unter Trump von den USA gekündigt oder zumindest nicht ernst genommen werden könnte. Wieder einmal steht der Datenaustausch europäischer Unternehmen mit Dienstleistern aus den USA unter Kritik.

Wie die Deutsche IT-Branche von diesem Streit profitieren wird


Viele deutsche Unternehmen stehen derzeit vor der Entscheidung, ob sie die nächste Server-Generation noch im eigenen Serverraum betreiben wollen oder direkt in die Cloud wechseln. Zur Zeit-Überbrückung sollen aus dem Service laufende Server länger betrieben werden. Dies zeigen z.B. die seit November 2014 stark gestiegenen Zugriffsraten auf den Blogbeitrag zum Thema "Lebensdauer Server" des IT-Dienstleister yourIT aus Hechingen.

Zusätzlich sind deutsche Unternehmen derzeit dabei, die Vorbereitung für die EU-Datenschutzgrundverordnung zu treffen, die ab dem 25. Mai 2018 gelten wird.

Unternehmen, die künftigen Ärger mit dem Datenschutz vermeiden möchte, tun gut daran, sich jetzt ausschließlich auf europäische oder noch besser deutsche Cloud-Dienstleister einzulassen, die direkt der EU-DSGVO unterliegen. Mit diesen ist relativ einfach eine Vereinbarung zur Auftragsverarbeitung machbar. Außerdem setzt die EU-DSGVO auf eine Zertifizierung der Auftragsverarbeiter.

Für Online-Backup, Cloud-Speicher, E-Mail, Kalender, Messaging und viele andere Dienste gibt es inzwischen gute Alternativen europäischer Dienstleister zu Dropbox, Google & Co. Sprechen Sie mit den Cloud- und Datenschutz-Experten von yourIT. Wir empfehlen Ihnen gerne datenschutzkonforme Produkte deutscher und europäischer Anbieter.

Freitag, 19. Mai 2017

Google Analytics als Auftragsdatenverarbeiter - Was Unternehmen als Nutzer jetzt beachten sollten

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.


Wieso ist Google Analytics im Datenschutz-Focus?


Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics


Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg
Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg


Wie wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise die IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"



Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics
Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...


Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten
  1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
  2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.
Nutzen Sie jetzt unsere Erfahrung und unser Knowhow aus 10 Jahren externer Datenschutzberatung.

Fazit: Vereinbarung zur Auftragsdatenverarbeitung mit Google Analytics jetzt!


Holen Sie sich jetzt von uns kostenlos unser Hinweisblatt zu Google Analytics. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics". Sie erhalten von uns ein Hinweisblatt zur konkreten Vorgehensweise sowie die aktuelle Version des Vertrages zur Auftragsdatenverarbeitung mit Google Ireland Ltd. in Dublin.

Brief an Google mit Inhalt Vereinbarung zur Auftragsdatenverarbeitung
Sie müssen die Vereinbarung zur Auftragsdatenverarbeitung mit Google dann nur noch kurz ausfüllen, unterschreiben und ab die Post!

Achtung: Neben der Vereinbarung sind weitere Schritte zu unternehmen. Gerne unterstützen wir Sie dabei.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Mittwoch, 17. Mai 2017

yourIT - Nützliche Sicherheitstipps vom BSI

BSI – bisher noch nie gehört? Das ist schade! Denn das „Bundesamt für Sicherheit in der Informationstechnik“ hilft Unternehmen und Normalbürgern gleichermaßen. Von seinen Sicherheitstipps kann jeder profitieren. Machen Sie einen Versuch!


Scheinbar sichere Internetseiten


„Ich surfe nur auf vertrauenswürdigen Seiten, darum muss ich mich nicht vor Cyber-Angriffen schützen.“

So denkt mehr als einer. Schön wär's, kann man dazu nur sagen.

Natürlich ist es vernünftig und richtig, sich von dubiosen Internetseiten von vornherein fernzuhalten. Das allein reicht aber nicht. Denn, so das BSI: „Leider können auch vertrauenswürdige Seiten hin und wieder von Schadsoftware betroffen sein.

Sie kann sich beispielsweise in Werbebannern verstecken und sich unbemerkt auf dem PC des Nutzers installieren. Sogenannte Drive-by-Downloads, bei denen Inhalte ohne Zutun des Nutzers im Hintergrund heruntergeladen werden, können auch über populäre Internet-Seiten erfolgen.“

yourIT - nützliche Sicherheitstipps vom BSI
yourIT - nützliche Sicherheitstipps vom BSI


Bequeme öffentliche WLANs


„Das Surfen in öffentlichen WLANs spart nicht nur Kosten, sondern ist auch sicher.“ 

Jedenfalls an der Ersparnis ist etwas dran. Doch sollte man auch bedenken, dass die Datenübertragung zwischen dem mobilen Gerät und dem Router, der die Internetverbindung herstellt, meist unverschlüsselt erfolgt.

Deshalb empfiehlt das BSI: „Über öffentliche WLANs sollten nie vertrauliche Daten übertragen werden, es sei denn, sie werden zuvor lokal auf dem eigenen Gerät verschlüsselt oder über ein virtuelles privates Netzwerk (VPN) übertragen. Das gilt vor allem, wenn auf das Heim- oder Firmennetzwerk zugegriffen werden soll.“

Bitte denken Sie dabei daran, die Vorschriften Ihres Unternehmens für externe Zugriffe auf das Firmennetzwerk zu beachten!

Scheinbar uninteressante Daten


„Ich habe nichts zu verbergen und keine wichtigen Daten, also bin ich doch kein Ziel für Cyber-Kriminelle und muss mich deshalb nicht schützen.“

Für Unternehmensdaten gilt das natürlich niemals. Aber vielleicht wenigstens für Ihre privaten Daten?

Das BSI sieht auch das anders: „Diese Ansicht ist grundlegend falsch. Cyber-Kriminelle können alle Daten für ihre Zwecke nutzen. Jeder, der mit einem ungeschützten Gerät im Internet surft, einkauft oder Online-Banking betreibt, hinterlässt eine Vielzahl an Daten, für die sich Cyber-Kriminelle interessieren.

Das sind nicht unbedingt die auf dem Rechner gespeicherten Urlaubsfotos, Korrespondenzen oder andere private Dokumente. Von einem ungeschützten Rechner können Kriminelle dort gespeicherte oder im Internet übertragene Zugangs-, Konto- und Kreditkartendaten leicht stehlen und missbrauchen.“

Wiegen Sie sich also nicht in falscher Sicherheit und achten Sie auch beim privaten Rechner auf einen aktuellen Virenschutz sowie auf regelmäßige Updates aller Programme!


Gelöscht und trotzdem noch vorhanden


„Wenn ich alle Daten von meinem Gerät lösche und anschließend den Papierkorb leere, sind die Daten ein für alle Mal weg.“ 

Sie sind gut mit der EDV vertraut und lächeln über so viel Naivität? Glückwunsch! Aber kennt sich Ihr Kollege genauso gut aus? Man kann über das Thema nicht oft genug sprechen: „Durch das Verschieben von Dateien in den Papierkorb bleiben die Dateien vollständig auf dem Speichermedium erhalten.

Auch nach Leeren des Papierkorbs lassen sich Daten mit wenig Aufwand wiederherstellen, da bei diesem Vorgang lediglich die Verweise auf die Daten im Index, dem Inhaltsverzeichnis der Festplatte, gelöscht werden und der Bereich zum Überschreiben freigegeben wird.“ So der Hinweis des BSI zu diesem Thema.

Ach übrigens: Auch in Scangeräten und Fotokopierern gibt es Datenträger mit großer Kapazität, die alles längerfristig festhalten. Wird das Gerät gestohlen, hat der Dieb Zugriff auf all diese Daten.

Attacke per E-Mail


„Wenn ich eine E-Mail nur anschaue, aber keinen Anhang öffne, kann nichts passieren.“

Klarer Fall: Bevor man einen Anhang öffnet, sollte man immer erst einmal überlegen, ob die Mail vertrauenswürdig ist. Aber für sich allein reicht das nicht als Schutz. Denn, so das BSI: „Viele E-Mails sind farbig, mit verschiedenen Schriften und Grafiken gestaltet.

Dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der Mail ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss.“

Empfehlung daher: „Deshalb sollten Nutzer in ihrem E-Mail-Programm die Anzeige von E-Mail im HTML-Format deaktivieren.“


Sie möchten noch mehr Tipps?


Dann geben Sie in einer Suchmaschine einfach „BSI Sicherheitsirrtümer“ ein! Und registrieren Sie sich jetzt für unser Online-Magazin Datenschutz Now!

Sonntag, 7. Mai 2017

Locky ist wieder da - und die Version 2.0 der Ransomware ist gefährlicher denn je!

Achtung: Locky ist wieder da!


Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail mit einem PDF-Dokument im Anhang erhalten, welches beim Öffnen um die Erlaubnis bittet, ein Zusatzdokument zu öffnen, dann brechen Sie den Vorgang unbedingt sofort ab. Klicken Sie unter keinen Umständen auf „OK“! Schließen Sie die PDF-Datei und informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus.

Locky 2.0 ist wieder da - yourIT informiert Sie jetzt über die Gefahr

Weitere Informationen zu Locky 2.0 jetzt auf unserem Blog simplify-yourIT...

Bitte informieren Sie jetzt auch Ihre Kollegen und Bekannten, bevor diese den Hackern in die Falle gehen.

Dienstag, 2. Mai 2017

Ausgeschiedene Mitarbeiter als Adressaten von E-Mails – was tun mit den Mails?

Ein Mitarbeiter scheidet aus dem Unternehmen aus. Kann der Arbeitgeber den Mail-Account des Mitarbeiters einfach schließen? Wie ist mit E-Mails umzugehen, die ausdrücklich an ihn gerichtet sind? Das Bayerische Landesamt für Datenschutzaufsicht bietet in seinem Tätigkeitsbericht für 2015/2016 einige Orien-tierungshilfen für diese Fragen.


Existieren schon Regelungen?


Vorab sei auf Folgendes hingewiesen: Falls zu diesem Thema eine Betriebsvereinbarung existiert, ist alles klar. Es gelten ihre Regelungen. Manchmal treffen das Unternehmen und der ausscheidende Mitarbeiter auch eine ausdrückliche Vereinbarung, etwa in einem Aufhebungsvertrag. Schön für alle Beteiligten! Denn das schafft Klarheit.

Datenschutz, E-Mail
Datenschutz, E-Mail

Und wenn nicht?


Aber was ist, wenn es an Beidem fehlt? Vielleicht lässt sich noch über eine ein-vernehmliche Regelung reden. Aber manchmal erscheint das kaum vorstellbar, etwa nach einer fristlosen Kündigung. In solchen Fällen hilft die Meinung der Datenschutzaufsicht weiter.

Schließung des Mail-Accounts


Zunächst zu der Frage, wie lange ein Mail-Account noch bestehen darf. Etwa drei Monate nach dem Ausscheiden sollte er nach Auffassung des Landesamts geschlossen werden. Der Grund: Danach ist nicht mehr damit zu rechnen, dass noch Mails an den ausgeschiedenen Mitarbeiter eingehen. Eine ausdrückliche gesetzliche Regelung dazu gibt es aber nicht.

Private Nutzung erlaubt oder nicht?


Schwieriger ist eine Antwort auf die Frage, ob Mails, die noch eingehen, an einen anderen Mitarbeiter weitergeleitet werden dürfen. Hier unterscheidet das Landesamt danach, ob der Arbeitgeber die private E-Mail-Nutzung erlaubt hat oder nicht.

Falls private Nutzung verboten ist ...


Relativ freie Hand hat der Arbeitgeber, wenn er die private E-Mail-Nutzung verboten hat. In diesem Fall kann er einfach festlegen, dass eine Weiterleitung erfolgt. Denn private Mails können dann ja eigentlich keine eingehen.

Im Einzelfall kann dies aber trotzdem vorkommen. Denn immer wieder gibt es Absender, die nicht wissen, dass die private Nutzung verboten ist, oder denen das egal ist.

Umgang mit einzelnen privaten Mails


Sofern eine private Mail im Unternehmen weitergeleitet wird, darf der Empfänger ihren Inhalt nicht lesen. Das gilt naturgemäß nur dann, wenn er schon am Absender und/oder am Betreff erkennen kann, dass die Mail privaten Charakter hat. Eine solche Mail ist entweder zu löschen oder an den ausgeschiedenen Mitarbeiter weiterzusenden.

Falls private Nutzung erlaubt ist ...


Falls der Arbeitgeber private Mails erlaubt hat, handelt es sich um eine freiwillige Leistung des Arbeitgebers. Das führt jedoch nicht dazu, dass er einfach die Weiterleitung aller eingehenden Mails anordnen kann. Vielmehr muss er dann das Fernmeldegeheimnis beachten.

Einwilligung nötig


Ohne eine Einwilligung des ausgeschiedenen Mitarbeiters wäre eine Weiterleitung privater Mails daher nicht zulässig. Andererseits dürfte dann auch niemand in den Account schauen, um dienstliche und private Mails zu trennen.

Das Ergebnis: Der Account wäre letztlich insgesamt blockiert. Für viele Unternehmen ist das nicht akzeptabel.

Übliche Bedingungen für private Nutzung

In der Praxis ist deshalb üblich, dass der Arbeitgeber private Mails nur unter Bedingungen erlaubt:

Bedingung 1: Der Arbeitnehmer erklärt sich damit einverstanden, dass Mails, die nach seinem Ausscheiden eingehen, an einen anderen Mitarbeiter weitergeleitet werden.

Bedingung 2: Er ist außerdem damit einverstanden, dass dieser andere Mitarbeiter den Betreff und den Absender aller eingehenden Mails prüft. Hat eine Mail danach erkennbar privaten Charakter, öffnet er sie nicht. Je nach Vereinbarung löscht er sie oder leitet sie an den ausgeschiedenen Mitarbeiter weiter.

Eigenes Smartphone als Lösung?


Falls private Mails erlaubt sind, geht es also nicht ohne relativ komplizierte Vereinbarungen. Das ist ein wichtiger Grund dafür, warum viele Unternehmen auf dienstlichen Geräten nur dienstliche Mails erlauben.

Viele Mitarbeiter haben ohnehin ständig ihr privates Smartphone dabei. Private Mails schreiben sie von dort aus. Mit den Inhalten solcher Mails hat der Arbeitgeber nichts zu tun. Datenschutzprobleme gibt es keine.

Folgeprobleme anderer Art


Allerdings: Mailen ist hier eine private Tätigkeit während der Arbeitszeit. Ob und in welchem Umfang sie erlaubt ist, sollte man klären, bevor es Ärger gibt. Selbstverständlich ist eine solche Erlaubnis auf keinen Fall.

Außerdem: Probleme kann auch der umgekehrte Fall bereiten. Ein Arbeitnehmer benutzt sein privates Smartphone, um dienstliche Mails zu verschicken. Auch das ist nicht einfach so erlaubt.

Hilfe bietet Ihr Externer Datenschutzbeauftragter


Gerne senden wir Ihnen ein kostenloses Muster oder unterstützen Sie bei Ihrer individuellen in Ihrem Unternehmen. Nutzen Sie jetzt unsere Erfahrung undunser Knowhow aus über 10 Jahren Datenschutz-Beratung in über 100 Unternehmen.

Fordern Sie uns!

Ihr yourIT-Datenschutz-Team