Mittwoch, 22. Dezember 2021

Wenn der Admin aus dem Haus ist, tanzen die Hacker auf dem Tisch

Warnung vor erhöhtem Risiko von Ransomeware-Angriffen über die Feiertage durch BSI und BKA.


Für Unternehmen besteht über die bevorstehenden Weihnachtsfeiertage wieder ein erhöhtes Risiko für Cyber-Angriffe. Davor warnen die Sicherheits-Experten der yourIT aus Balingen.  


Bin dann mal weg
Bin dann mal weg - Gruß Admin
Durch bekannte aber nicht behobene Sicherheitslücken wie z.B. Log4Shell in Log4j oder HAFNIUM in MS Exchange sind ist so manche vermeintlich stabile Burgmauer von Unternehmen bereits untertunnelt. Angreifer nutzen gerne die Abwesenheit der Administratoren, um z.B. bereits installierte Backdoors auszunutzen. Die Empfehlung der Experten lautet:

"Niemals ungepacht ins lange Wochenende!"


Dienstag, 21. Dezember 2021

Dropbox, Google Drive & Co: Darum kann Eigeninitiative gefährlich sein

Dropbox, Google Drive & Co: Darum kann Eigeninitiative gefährlich sein 

Legen Beschäftigte Daten in einem Cloud-Speicher wie Google Drive ab, können sie über das Internet von überall darauf zugreifen. Für das flexible Arbeiten im Homeoffice und unterwegs ist das ideal. 

Cloud Speicher
Cloud-Speicher ideal oder gefährlich?

Für den Datenschutz aber sieht das ganz anders aus.  

Montag, 20. Dezember 2021

Offene Mailverteiler

Offene Mailverteiler 

Verstärktes HomeOffice hat dazu geführt, dass noch mehr Mails verschickt werden als bisher. Häufig sind das Mails an mehrere Adressaten. 

Offene Mailverteiler
Offene Mailverteiler - ein Problem?



Damit taucht das Problem der „offenen Mailverteiler“ auf.

Dienstag, 7. Dezember 2021

TTDSG - Das Ende der Cookie-Banner?

TTDSG und PIMS - Das Ende der Cookie-Banner? 


Dass das TTDSG wenig wirklich Neues regelt, könnte ein klarer Konsens beim rechtlichen Fachpublikum sein. Wäre da nicht § 26 und die PIMS. PIMS steht für "Personal Information Management System" und es soll die Cookie-Banner abschaffen.

TTDSG- Das Ende der Cookie-Banner?

 Der TTDSG-Cookie-Banner: Unbedingt erforderlich und ausdrücklich vom Nutzer erwünscht?


 Ban the banner - oder der Anfang vom Ende des Cookie-Banners?

Dienstag, 30. November 2021

3G am Arbeitsplatz - DO's and DON'Ts für IT-Systemhäuser

3G am Arbeitsplatz - DO's and DON'Ts für IT-Systemhäuser

Seit Dienstag 24. November 2021 gilt sie nun: Die 3G-Regel am Arbeitsplatz. Durch eine Änderung des § 28b Infektionsschutzgesetzt (IfSG) sind Unternehmen zur flächendeckenden Überprüfung ihrer Mitarbeiter auf die 3G - geimpft / genesen / getestet - verpflichtet.

3G am Arbeitsplatz
Kostenloses Webinar zur Aufklärung!


Was sich erst einmal einfach anhört, stellt gerade mittelständische und große Unternehmen in der Praxis vor enorme Herausforderungen.

Mittwoch, 24. November 2021

3G am Arbeitsplatz - DO's and DON'Ts für Arbeitgeber

3G am Arbeitsplatz - yourIT präsentiert die wichtigsten DO's & DON'Ts für Arbeitgeber. Das Gebot der Stunde heißt Datensparsamkeit!


Seit 24.11.2021 gilt bundesweit "3G am Arbeitsplatz". Da bedeutet die Pflicht zur Überprüfung der 3G Nachweise der Mitarbeiter für alle Arbeitgeber. Und zweifellos stellt dies Unternehmen vor große rechtliche und logistische Herausforderungen. Wir möchten gerne mithelfen, unnötige Fehler zu vermeiden. Daher hier unsere Liste der DOs & DON'Ts für Arbeitgeber.


Als externer Datenschutzbeauftragter vieler mittelständischer Unternehmen beschäftigt sich unser yourIT-Datenschutz-Team ständig mit den datenschutzrechtlichen Auswirkungen der Corona-Pandemie. Jetzt gilt es für Sie als Arbeitgeber, die Vorschriften "3G am Arbeitsplatz" sinnvoll umzusetzen. Der Arbeitgeber ist für die Einhaltung der Vorschriften verantwortlich.

3G am Arbeitsplatz - Do's and Dont's für Arbeitgeber
3G am Arbeitsplatz - hilfreiche Tipps für Arbeitgeber

Trotzdem sollten Sie nicht "einfach loslegen" - dafür kann zu viel zu leicht schief gehen. 

Dienstag, 23. November 2021

3G am Arbeitsplatz - aber wie?

3G am Arbeitsplatz - aber wie?

Seit 24.11.2021 sind die Änderungen am Infektionsschutzgesetz (IfSG) in Kraft. Ihre Kernpunkte: 3G am Arbeitsplatz und die Rückkehr der HomeOffice-Pflicht. 

3G am Arbeitsplatz
Ohne 3G-Nachweis geht nichts mehr - aber wie organisiere ich die Kontrolle?


Mit diesem Beitrag wollen wir Sie über die aktuelle Rechtslage auf dem Laufenden halten und Tipps zur datenschutzkonformen Umsetzung der Vorschriften gerade für mittelständische Unternehmen geben.

Dienstag, 16. November 2021

HAFNIUM - es ist noch nicht vorbei

HAFNIUM - es ist noch nicht vorbei

Das BSI warnt: Im Frühjahr kompromittierte Exchange Server werden vermehrt für Phishing-Angriffe genutzt.

Hafnium - es ist noch nicht vorbei
Achtung Phishing

Derzeit beobachtet das BSI (Bundesamt für Sicherheit in der Informationstechnologie - Deutschlands höchste IT-Sicherheitswächter) eine deutliche Zunahme von Angriffen per E-Mail.


Dienstag, 9. November 2021

Private Aktivitäten und die EU-DSGVO

Private Aktivitäten und die EU-DSGVO


Immer wieder hört man, dass die EU-DSGVO nicht gilt, wenn jemand Daten für private Zwecke verarbeitet. Was ist da dran? Und wo verlaufen die Grenzen?

Private Aktivitäten und die EU-DSGVO
Private Verarbeitung von Daten

Der Anwendungsbereich der Datenschutz-Grundverordnung (EU-DSGVO) geht sehr weit. Aber für die private Verarbeitung von Daten gilt sie tatsächlich nicht. Genauer:

Mittwoch, 3. November 2021

BLACKOUT - Unsere Buchempfehlung fürs Corona-HomeOffice 2021

BLACKOUT - der Roman von Marc Elsberg - empfiehlt sich als nützliche Lektüre fürs Corona-HomeOffice - nicht nur für Geschäftsführer und IT-Leiter.


Seit 1,5 Jahren arbeiten Mitarbeiter häufiger von zu Hause als aus dem Büro. Sie auch? Dann nutzen Sie die eingesparte Fahrtzeit doch für eine interessante Lektüre, die sich mit dem Thema IT-Security beschäftigt und viel mit Ihrem Beruf als Geschäftsführer, IT-Leiter / Administrator oder Datenschutzbeauftragter zu tun hat: Entscheiden Sie sich jetzt für den Roman BLACKOUT - Morgen ist es zu spät.


Buchempfehlung BLACKOUT
Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Der aktuelle Lagebericht 2021 des Bundesamtes für Informationssicherheit (BSI) macht es deutlich: 

Sonntag, 31. Oktober 2021

Verhältnis Datenschutzbeauftragter und Betriebsrat - Endlich Klarheit!

Das Verhältnis zwischen Datenschutzbeauftragter und Betriebsrat war lange Zeit unklar. Eine aktuelle Gesetzesänderung bringt Licht ins Dunkel.

Lange waren sich Datenschützer, Betriebsräte, Verantwortliche und Juristen uneins: Kann ein Betriebsrat im Rahmen seiner Betriebsratstätigkeit für die Verarbeitung von personenbezogenen Daten ein eigener „Verantwortlicher“ i. S. d. Art. 4 Nr. 7 EU-DSGVO sein? Am 16.07.2021 wurde die Sache durch die Neuregelung von § 79a Betriebsverfassungsgesetz geklärt. Die Antwort lautet: Nein!


Datenschutz-Verhältnis zwischen Geschäftsführung als Verantwortlicher Datenschutzbeauftragter und Betriebsrat
Das Verhältnis zwischen Datenschutzbeauftragtem und Betriebsrat wurde endlich geklärt

Bisher stand die Idee des Betriebsrats als eigener Verantwortlicher immer wieder im Raum. Dies verhinderte in vielen Fällen, dass der Datenschutzbeauftragte sich um die datenschutzrechtlichen Verarbeitungstätigkeiten des Betriebsrats richtig kümmern konnte...

Dienstag, 19. Oktober 2021

Die neue Corona-Verordnung BaWü - Test-Annahme-Pflicht für (manche) Arbeitnehmer

Vergangenen Freitag (15.10.2021) wurde die Corona-Verordnung für Baden-Württemberg zuletzt an die veränderte epidemische Lage angepasst. Was ist neu? Aus Datenschutzsicht erst einmal nicht viel - das 2G Optionsmodell gibt es jetzt auch bei uns. Aber eine Neuerung gibt es, die datenschutzrechtlich außerordentlich relevant ist - § 18 Allgemeine betriebliche Testungen.

Neue Corona-Verordnung für Baden Württemberg 

Dienstag, 12. Oktober 2021

Kostenlose Muster der EU für Datenschutzverträge

Kostenlose Vertragsmuster, frei verwendbar – das bietet die EU für die Auftragsverarbeitung und für die Datenübermittlung in „Drittstaaten“ wie die USA. Diese nützlichen Arbeitsinstrumente sollte man kennen.

Datenübermittlung in Drittstaaten

Sonntag, 26. September 2021

Geldbußen nach der EU-DSGVO

Der Begriff „Geldbuße“ klingt so, als ginge es um ein paar Euro. Bei den Geldbußen nach der Datenschutz-Grundverordnung (EU-DSGVO) sieht das allerdings etwas anders aus. Und auch sonst weisen sie einige Besonderheiten auf, die man kennen sollte.

Geldbußen in maßloser Höhe?

„Irrsinn“ war ein Begriff, den man anfangs häufig hören konnte, wenn es um die mögliche Höhe von Geldbußen nach der EU-DSGVO ging. Und tatsächlich: Eine maximale Höhe von 20 Millionen Euro bzw. 4% des gesamten weltweit erzielten Konzern-Jahresumsatzes des vorangegangenen Geschäftsjahrs ist eine echte Ansage.

Bußgelder nach EU-DSGVO
Geldbußen nach EU-DSGVO

Doch wie so oft im Leben sollte man auch hier genauer hinsehen, um was es eigentlich geht...

Mittwoch, 15. September 2021

Aus der Datenschutz-Praxis: Diese Arbeitgeber dürfen den Corona-Impfstatus abfragen - alle anderen nicht

Mittlerweile sind 62% der Gesamtbevölkerung in Deutschland vollständig gegen COVID-19 geimpft. Trotzdem oder vielleicht gerade deshalb häufen sich bei unserem Datenschutz-Team die Anfragen von Unternehmen, ob sie den Impfstatus ihrer Mitarbeitenden abfragen dürften. Bisher lautete unsere Antwort eindeutig: "NEIN". Das ändert sich ab heute, 15.09.2021, denn durch die am 07.09.2021 durch den Deutschen Bundestag beschlossenen Änderungen am Infektionsschutzgesetz (IfSG) dürfen bestimmte Arbeitgeber ab sofort den Impfstatus erheben. 

Impfstatus-Fragebogen für Beschäftigte? So nicht!
Impfstatus-Fragebogen für Beschäftigte? So nicht!

Für welche Unternehmen die Änderung gilt und was bei der Abfrage des Impfstatus zu beachten ist, lesen Sie hier.

Samstag, 28. August 2021

Die zwei Seiten des Auskunftsanspruchs

Alle haben Anspruch auf Auskunft über ihre personenbezogenen Daten. Das sieht die EU-DSGVO so vor. Der Bundesgerichtshof legt den Anspruch sehr weit aus. Das ist schön, wenn man selbst Auskunft haben möchte. Es kann aber viel Arbeit machen, wenn man im Unternehmen eine Auskunft vorbereiten muss.


Auskunftsanspruch


Dienstag, 24. August 2021

Datenschutzerklärung besser verstehen

Eine aktuelle Studie zeigt, dass viele Datenschutzerklärungen nicht verständlich genug sind. Entsprechend häufig verzichten Internetnutzer darauf, die sogenannten Privacy Policies zu lesen. Doch darunter kann der persönliche Datenschutz leiden.

Datenschutzrichtlinien - akzeptieren ohne zu lesen?
Datenschutzrichtlinien- akzeptieren ohne zu lesen?

Von wegen Erklärung des Datenschutzes 

Online-Angebote wie Websites und Webshops müssen eine Datenschutzerklärung besitzen, so verlangt es nicht erst die Datenschutz-Grundverordnung (EU-DSGVO). Trotzdem gibt es immer noch Webseiten, die keine „Privacy Policy“ veröffentlichen. 

Freitag, 20. August 2021

Clubhouse & Co.: Neue Apps, alte Risiken

Die App „Clubhouse“ ist in aller Munde und hat einen erheblichen Nutzeransturm zu verzeichnen. Leider sind beliebte Apps nicht automatisch datenschutzfreundlich. Schauen Sie deshalb genau hin, wenn Sie einem Trend bei Apps und Online-Diensten folgen.

Was beliebte Apps mit den Daten machen

Digitale Kommunikation in Pandemie-Zeiten

Während der Corona-Pandemie sind drei Viertel der Internetnutzer in Deutschland vermehrt in sozialen Medien aktiv: Insgesamt geben 75 % an, solche Plattformen seit Ausbruch des Coronavirus in Deutschland intensiver zu nutzen, so eine Umfrage des Digitalverbands Bitkom.

Dienstag, 27. Juli 2021

Awareness - mit einfachen Mitteln viel erreichen

Trickbetrüger 2.0 - Phishing, Social Engeneering und andere "krumme Touren". Auch die Kriminalität ist längst im digitalen Zeitalter angekommen. Was in den letzten Jahrzehnten Drückerkolonnen und betrügerische Werbeanrufe waren, kommt schon längst auch digitalisiert daher. Wir schützen unsere Systeme mit komplexen Firewalls und Intrusion-Detection-Systemen. Das ist gut und wichtig. Aber eine Schwachstelle bleibt - der Mensch.


Und genau da setzen die Täter an - bei netten Kollegen, hilfsbereiten Dienstleistern und sorgfältigen Managern. 

Die häufigsten Angriffsmethoden im Überblick


Phishing-Mails - Längst nicht mehr voller Druckfehler!

Folgende Angriffsmethoden sollten allen Mitarbeitern Ihres Unternehmens kennen:

Dienstag, 20. Juli 2021

Datentransfers in die USA – Was bringt die Verschlüsselung?

Datentransfers in einen Drittstaat wie die USA sind nur zulässig, wenn dort ein angemessenes Datenschutzniveau sichergestellt ist. Reicht es dazu, die personenbezogenen Daten zu verschlüsseln? Oder ist die Verschlüsselung nur eine Maßnahme von vielen? 

Handlungsbedarf bei der Nutzung von Online-Diensten aus den USA

Drei von vier Unternehmen (76 Prozent) nutzten im Jahr 2019 Rechenleistungen aus der Cloud, so die Studie „Cloud-Monitor 2020“ des Digitalverbands Bitkom und der Wirtschaftsprüfungsgesellschaft KPMG. 

76 Prozent der Unternehmen setzen bereits auf Cloud-Computing
Drei Viertel der Unternehmen setzen auf Cloud Computing

Dienstag, 13. Juli 2021

In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Die Erkenntnis, dass mindestens seit Dezember letzten Jahres Schwachstellen in den lokalen Microsoft Exchange Servern in bis dato undenkbarem Umfang von Hackern ausgenutzt wurden, hat viele Unternehmen tief getroffen. Nicht nur die großen, professionellen Hackergruppen waren hier tätig, sondern Kriminelle jeder Art, vom Profiteam bis zum Skript-Kiddy. Und sie alle waren erfolgreich. Überall! Bei großen Konzernen und kleinen Mittelständlern.

In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Dienstag, 6. Juli 2021

Internationale Datentransfers - Das How-To

Internationale Datentransfers - Das How-To

In den vergangenen Wochen haben wir uns am Datenschutz-Dienstag immer wieder mit internationalen Datentransfers befasst - was das ist, wer betroffen ist und was die betroffenen Unternehmen nun tun sollten. Erläutert an bekannten und weit verbreiteten Beispielen wie Microsoft365 und Mailchimp. Heute wollen wir etwas genereller an die Sache herangehen - in Form eines How-To's. Schritt für Schritt erklären wir Ihnen, wie Sie internationale Datentransfers im Unternehmen finden, analysieren und dokumentieren.

Internationale Datentransfers- Aber wie
Internationale Datentransfers

Und was es auf dem Weg alles zu beachten und zu entscheiden gibt.

Dienstag, 29. Juni 2021

Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Bereits am Datenschutz-Dienstag letzte Woche haben wir  über die derzeit laufende bundesweite Überprüfung internationaler Datentransfers am Beispiel Microsoft 365 berichtet. Heute möchten wir nochmal darauf eingehen, dass das radikale Abschaffen aller internationalen Dienste weder praktikabel noch notwendig ist. In vielen Fällen kann die Zusammenarbeit mit dem bewährten Partner fortgeführt werden - wenn die Datenverarbeitungsprozesse rechtskonform gestaltet und vollständig dokumentiert sind.


Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?!

Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?!

Im Folgenden erläutern wir nochmals, worauf es bei der Gestaltung und Dokumentation internationaler Datentransfers ankommt:

Dienstag, 22. Juni 2021

Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an!

Seit dem Fall des "Privacy Shield" im vergangenen Sommer geistern viele Gerüchte durch die Datenschutzwelt: Die Einen behaupten, eine Zusammenarbeit mit US-Anbietern wie z.B. Microsoft sei jetzt komplett rechtswidrig und müsse sofort gestoppt werden. Die Anderen sagen, es gäbe überhaupt kein Problem. Man könne ja nicht einfach den Betrieb einstellen". Was ist wirklich Sache? Was müssen gerade mittelständische Unternehmen tun, um weiter Microsoft 365 einsetzen zu können?


Microsoft 365 rechtskonform einsetzen
Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an

Auf diese Fragen soll unser Blogbeitrag knappe und verständliche Antworten geben. Nicht theoretisch, sondern ganz praktisch anhand der Fragen, die uns unsere vielen Kunden aus dem Mittelstand in den letzten Wochen und Monaten gestellt haben. Eben Datenschutz von Praktikern für Praktiker.

Dienstag, 15. Juni 2021

Datentransfer in die USA – Eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Die EU-DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt aktuell große Herausforderung für deutsche Unternehmen.


Datenschutz-Aufsichtsbehörden kontrollieren den Datentransfer in die USA
Datenschutz-Aufsichtsbehörden kontrollieren den Datentransfer in die USA

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten...

Freitag, 4. Juni 2021

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Anfang Juni 2021 haben die Datenschutzaufsichtsbehörden länderübergreifend koordiniert mit der Kontrolle der internationalen Datentransfers bei deutschen Unternehmen begonnen. Überprüft werden Datenübermittlungen durch Unternehmen in sogenannte "Drittstaaten" außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Es drohen Untersagungsverfügungen und Bußgelder.

Ziel dieser koordinierten Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs EuGH in dessen Schrems-II-Entscheidung vom 16. Juli 2020. Darin hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten "Privacy Shields" erfolgen können (Wir berichteten hier).

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Mittwoch, 2. Juni 2021

Phishing-Mails erkennen und damit umgehen

Phishing-Mails sind ein beliebtes Mittel von Cyber-Kriminellen. Phishing-Mail zu erkennen ist nicht immer einfach. Wir zeigen auf wie Sie sich Verhalten sollten - auch im Ernstfall. 

Gerade in der aktuellen Lage, sind viele Phishing-Mails im Umlauf. Die Menschen werden mit Themen rund um Corona auf Fake-Seiten gelockt oder es werden Schadsoftware auf den Rechner installiert.


Die Prüfung der E-Mail

Oft lassen sich die Phishing-Mails an mangelnder Grammatik- und Orthografie erkennen. Der fehlende Name in der Ansprache kann ein Hinweis sein, denn Geschäftskontakte oder auch Ihre Bank würde Sie vermutlich niemals mit "Sehr geehrter Kunde/Nutzer" anschreiben. Doch oft helfen diese kleinen Mittel nicht, daher haben wir Ihnen hier ein kurzes Prüf-Schema:


Fahrradpark  Phishing E-Mail
Phishing-Mails müssen erkannt werden
- anderenfalls muss entsprechen gehandelt werden


Montag, 10. Mai 2021

Weitergabe von Mitarbeiterdaten wegen Corona

Die erste Corona-Welle ist Mitte 2020 wieder abgeebbt. Wir befinden und mittlerweile bereits in der x-ten Welle. Umso mehr sind die Gesundheitsbehörden hinter jedem „Verdachtsfall“ her. Schließlich will man alles, bloß keine weitere
Krankheitswelle. Welche Auskünfte müssen Arbeitgeber den Gesundheitsbehörden über Mitarbeiter geben?

Infektionsverfolgung und Datenschutz

In der ersten, teils schlimmen Corona-Phase dachten eher wenige über Fragen des Datenschutzes nach. Das ändert sich nun, und das ist gut so. Denn bei der „Infektionsverfolgung“ geht es um viele Daten. Dabei gibt es rechtlich gesehen zwei Aspekte: Welche Fragen darf ein Gesundheitsamt stellen? Und welche Antworten darf ein Unternehmen geben? 

Weitergabe von Gesundheitsdaten


Samstag, 24. April 2021

Datenschutz-Verletzung aus dem Verbandskasten - Jetzt Verbandbuch austauschen!

Ein "Verbandbuch" ist bis heute in den orangefarbenen Verbandskästen der meisten Unternehmen auffindbar. Es sieht aus wie ein typisches Fahrtenbuch. Darin sind Arbeits- und Wegeunfälle zu dokumentieren und es enthält damit zwangsläufig Gesundheitsdaten der Mitarbeiter - oft aus mehreren Jahren. Weshalb dieses Verbandsbuch regelmäßig die nach EU-DSGVO und BDSG-neu geltenden Datenschutzvorgaben verletzt und wie Sie dies heilen können, lesen Sie in diesem Beitrag.


Ihr Verbandsbuch verletzt den Datenschutz - Jetzt austauschen!
Ihr Verbandsbuch verletzt den Datenschutz - Jetzt austauschen!

Einmal kurz nicht aufgepasst - und schon ist es passiert: Ein Unfall im Betrieb. Ein Unfall ist versicherungstechnisch definiert als ein Plötzlich von Außen Unfreiwillig auf den Körper Einwirkendes Ereignis, das zur Gesundheitsschädigung führt (kurz "PAUKE"). Laut dem Bundesministerium für Arbeit und Soziales (BMAS) gilt grundsätzlich: „Arbeitsunfälle sind die Unfälle, die versicherte Personen infolge einer versicherten Tätigkeit erleiden.“

Mittwoch, 24. Februar 2021

Externer Datenschutzbeauftragter und interner Datenschutzkoordinator - ein unschlagbares Team

Die EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) verpflichten viele Unternehmen zur Bestellung eines Datenschutzbeauftragten. Es lässt Ihnen dabei die Wahlfreiheit, Ihren Datenschutzbeauftragten entweder intern oder extern zu bestellen. Optimal erweist sich die Kombination aus einem internen Datenschutz-Team aus einem oder mehreren Koordinatoren sowie einem externen Datenschutz-Team rund um den externen Datenschutzbeauftragten.


Betrachtet man die hohen Anforderungen an einen internen betrieblichen Datenschutzbeauftragten (bDSB) und insbesondere dessen Sonderkündigungsschutz realistisch, bietet sich die Bestellung eines externen Datenschutzbeauftragten geradezu an:

Vergleich interner vs. externer Datenschutzbeauftragter (DSB)

interner DSB externer DSB
unternehmerisches Risiko hoch - nur Arbeitnehmerhaftung gering - Beraterhaftung - auf Versicherungsschutz achten
Start später - erst notwendige Fachkunde aufbauen sofort - Knowhow und Erfahrung aus unterschiedlichen Projekten vorhanden
Kosten hoch - Achtung "eh da"-Kosten gering - nur tatsächlicher Aufwand wird bezahlt
Schulungskosten hoch - mind. jährliche Fortbildung ist Pflicht gering - auf mehrere Schultern (= Kunden) verteilt
Sonderkündigungsschutz ja nein
Betriebsblindheit möglich keine
Interessenskonflikte möglich keine
Ausfallrisiko hoch - da keine Vertretung bei Krankheit, Elternzeit, ... gering, da Vertretung geregelt

Wer darf eigentlich zum Datenschutzbeauftragten bestellt werden?


Firmeninhaber/innen kamen in der Vergangenheit häufig zum Entschluss, den Lebenspartner zum internen Datenschutzbeauftragten zu bestellen, da dieser sich ja eh um die Beschäftigten-Daten und die Gehaltsabrechnung kümmert und die Kunden- und Lieferanten-Kontaktdaten pflegt. Solche Konstellationen schließt der Gesetzgeber in Art. 38 Abs. 6 EU-DSGVO aber aus. Es darf bei der Bestellung nicht zu einem Interessenkonflikt kommen.

Wichtige Info hierzu: Falsch bestellt ist nicht bestellt!

Interessenskonflikte können auch bei weiteren Konstellationen von Tätigkeit und Position unterstellt werden:
  • Geschäftsführer, Vorstand
  • Unternehmensinhaber, Gesellschafter
  • direkte Familiengehörige
  • alle Positionen des leitenden Managements wie
    • IT-Leiter
    • Marketing-Leiter
    • Leiter Rechtsabteilung
    • Personal-Leiter
    • Verkaufs-Leiter
    • Einkaufs-Leiter

Klarstellung: Diese Positionen dürfen nicht gleichzeitig die Position des Datenschutzbeauftragten begleiten, sehr wohl aber die Position eines internen Datenschutzkoordinators.

Stellt man der obigen "Ausschlussliste" die in Art. 37 Abs. 5 EU-DSGVO genannten Anforderungen "berufliche Qualifikation und Fachwissen auf dem gebiet des Datenschutzrechts und der Datenschutzpraxis" gegenüber, bleiben bei vielen Unternehmen kaum Mitarbeiter übrig, die für die Tätigkeit als interner Datenschutzbeauftragter in Frage kommen.

Betrachtet man dazu noch die weiteren Vorteile, welche die Bestellung eines externen Datenschutzbeauftragten mit sich bringt, wird klar:

In den meisten Unternehmen wird heute eine Kombination aus internem Datenschutz-Team von einem oder besser mehreren Datenschutz-Koordinatoren und einem externen Datenschutz-Team rund um einen externen Datenschutzbeauftragten gewählt.

Zusammenfassung Vorteile eines externen Datenschutzbeauftragten:


Freitag, 5. Februar 2021

Die yourIT-Academy für Weiterbildungen zum Thema Datenschutz & Informationssicherheit - Jetzt mit Fördermitteln!

Nicht verpassen: Als Teilnehmer von Schulungen in der yourIT-Academy erhalten Sie bis zu 50% Fördermittel auf die Teilnehmergebühr. Füllen Sie einfach den von uns bereitgestellten Fragebogen aus. Wir kümmern uns um den Rest. Wir präsentieren Ihnen die yourIT-Academy in Balingen. Mit vielen spannenden Schulungen / Seminaren zum Thema Datenschutz & Informationssicherheit, Software-Entwicklung und IT-Technik.


Mit dem erfolgreichen Umzug in unsere neue Firmenzentrale in Balingen bietet sich uns jetzt die Möglichkeit, Schulungen zu unseren Fachbereichen 

im eigenen Haus anzubieten. Diese Fachbereiche und das darin enthaltene Fachwissen wollen wir mit unserer Academy an Kunden und Interessenten bringen.


yourIT Academy Schulungen Datenschutz Datenschutzbeauftragter Hechingen Balingen Zollernalbkreis Datenschutzschulung IT-Sicherheit Weiterbildung
Moderne gut ausgestattete Schulungsräume erwarten Sie in der yourIT Academy


Mittwoch, 3. Februar 2021

Wechsel des Datenschutzbeauftragten - Gründe und Checkliste

Seit einigen Wochen erhält unser yourIT-Datenschutz-Team vermehrt Anfragen von Unternehmen, die Ihren bisherigen Datenschutzbeauftragten (DSB) austauschen möchten. Unseren Recherchen zufolge hatten viele der Anfrager den DSB etwa Mitte 2018 bestellt - also rund um den EU-DSGVO-Start. Aufgrund der Eile erfolgten damals viele DSB-Bestellungen unter Zeitdruck und Angebotsknappheit - erfahrungsgemäß keine optimalen Voraussetzungen für langfristig tragfähige unternehmerische Entscheidungen. Jetzt folgt oft die Ernüchterung. Falls es Ihnen auch so geht: Achten Sie auf die Kündigungsfristen...


Einige wichtige Hinweise vorneweg:

  • Wenn Sie Ihren Datenschutzbeauftragten von seinen Aufgaben entbinden wollen, müssen Sie diesen abberufen...
Jetzt Datenschutzbeauftragten wechseln
Wechsel des Datenschutzbeauftragten - yourIT zeigt wie es geht

Montag, 4. Januar 2021

Weshalb Ihr Unternehmen eine Social Media Policy braucht - Filmempfehlung für die ARD-Mediathek

Der Film "Eine Hochzeit platzt selten allein" soll eigentlich die Bankenkrise thematisieren - zumindest in der Wahrnehmung der meisten Fernsehzuschauer. Falls Sie schon immer mal wissen wollten, was ein Berater für Datenschutz & Informationssicherheit mit seiner Spezialbrille wahrnimmt: Für uns geht es um die "Vertraulichkeit" und wie leicht diese in Zeiten der Sozialen Medien" verloren gehen kann...


Das Fazit vorab


Kein Unternehmen kann sich den Sozialen Medien entziehen. Wenn das Unternehmen nicht selbst regelt, wie das Unternehmen von seinen Mitarbeitern auf Facebook, XING, LinkedIn, Twitter, Instagram, etc. dargestellt werden möchte, dann kann dies jederzeit aus dem Ruder laufen. Was hilft? Die Leitungsebene sollte rechtzeitig und regelmäßig die Mitarbeiter auf die Vertraulichkeit und deren Bedeutung für das Unternehmen hinweisen, unterstützt durch eine Vertraulichkeits-Richtlinie zur Festlegung der Vertraulichkeits-Kriterien. Und nicht zu vergessen: Schulung, Schulung, Schulung, ...


300 Millionen Klicks - Das Video einer Praktikantin geht "viral"


Filmszene aus "Eine Hochzeit platzt selten allein"
Filmszene aus "Eine Hochzeit platzt selten allein"


Der Film "Eine Hochzeit platzt selten allein" ist noch bis zum 03.04.2021 in der ARD Mediathek verfügbar. Unser Tipp: Unbedingt ansehen!