Wie lange darf ich Bewerberdaten speichern? 

In der heutigen Geschäftswelt, wo der Wettbewerb um Talente stetig zunimmt, sind Bewerbungsunterlagen für mittelständische Unternehmen mehr als nur Papierstapel – sie sind das Tor zu potenziellen neuen Mitarbeitern, die wesentlich zum Unternehmenserfolg beitragen können. Doch mit dem Sammeln dieser wertvollen (und personenbezogenen) Daten geht eine große Verantwortung einher. Die Einhaltung der Datenschutz-Grundverordnung (EU-DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein Ausdruck von Integrität und Professionalität gegenüber den Bewerbern. 

Frist für Bewerberdaten

In diesem Artikel beleuchten wir daher die nach der EU-DSGVO zu beachtenden Löschfristen. Unser Ziel ist es, Ihnen praktische Leitlinien an die Hand zu geben, um in diesem wichtigen Bereich sowohl rechtlich abgesichert zu sein, als auch ethisch zu handeln.

Angst vor Datenmissbrauch begründet Schadenersatz - EuGH-Urteil bringt Unternehmen nach Cyberattacke in Beweisnot

Neues EuGH-Urteil setzt Meilenstein: Unternehmen, denen durch eine Cyberattacke Daten entwendet wurden, müssen nun beweisen, dass ihre Datenschutzmaßnahmen ausreichen, um Schadenersatzforderungen wegen der Angst vor Datenmissbrauch abzuwehren.

EuGH-Urteil: Angst vor Datenmissbrauch berechtigt zu Schadenersetz

Cyberkriminalität und Datenschutz: Ein Leitfaden für Geschäftsführer mittelständischer Unternehmen

Zulässigkeit des Lettershop-Verfahrens im Datenschutz

Das Lettershop-Verfahren ist in der Direktmarketing-Branche weit verbreitet und bietet sowohl wirtschaftliche als auch rechtliche Vorteile. Doch was genau verbirgt sich hinter diesem Verfahren und wie steht es um die datenschutzrechtliche Zulässigkeit?

Direktmarketing - Lettershop-Verfahren

Dieses Verfahren ist Gegenstand intensiver datenschutzrechtlicher Diskussionen, insbesondere in Bezug auf die Verantwortlichkeiten der beteiligten Akteure und die Rechte der betroffenen Personen.

Mapping-Tabelle NIS2 zu ISO 27001:2022

In der Übergangsphase zur Einhaltung der NIS2-Anforderungen stehen viele betroffene Organisationen vor erheblichen Herausforderungen. 

NIS-2-Richtlinie

Zum Aufbau eines ISMS wäre in der Regel ein Übergangszeitraum von 1-3 Jahren erforderlich, was eine frühzeitige Implementierung der notwendigen Maßnahmen unerlässlich gemacht hätte.

Umsetzung der NIS-2-Richtlinie in Deutschland: Ein Leitfaden für Unternehmen

Willkommen im neuen Zeitalter der Cybersicherheit!

Mit der bevorstehenden Umsetzung der NIS-2-Richtlinie in Deutschland bis Ende 2024 betreten wir ein neues Zeitalter der Cybersicherheit. Diese Richtlinie wird nicht nur die Resilienz von Unternehmen mit kritischen Dienstleistungen stärken, sondern auch ein hohes gemeinsames Niveau der Netzwerk- und Informationssicherheit in der gesamten EU sicherstellen.

NIS-2 Richtlinie

Die Herausforderungen sind vielfältig: Von Cyberversicherungen über Cyberkriminalität bis hin zu aufsichtsrechtlichen Anforderungen. Es wird erwartet, dass die Anforderungen an Unternehmen deutlich erhöht und Strafen sowie Haftungsrisiken für das Management vergrößert werden.

LinkedIn darf "Do-Not-Track" - Signale nicht ignorieren

Mit "Do Not Track" (DNT) - Signalen teilt der Browser eines Webseitenbesuchers einer Webseite mit, dass er nicht getrackt werden will und dass keine Nutzungsprofile über ihn erstellt werden sollen. 

Do-Not-Track Signale 

Das Landgericht Berlin entschied am 24.08.23 (Az.: 16 O 420/19), dass solche Signale nicht rechtlich irrelevant sind. 

Vorsicht, Spionage-Apps!

Sicherheitsforschende warnen vor einer Zunahme mobiler Apps, die die Nutzenden von Smartphones und Tablets ausspionieren. Chats, Anruflisten, E-Mails, Kontakte – nichts ist dann noch sicher, alles wird ausgespäht. 

Sind unsere Smartphones noch sicher?

Dabei stammen die Spyware-Apps nicht etwa nur aus zwielichtigen App-Stores, sondern auch aus offiziellen Quellen.

Geheimnisverrat an die KI?

Einen langen Text kürzen, Ergebnisse einer Besprechung zusammenfassen oder Programmcode schreiben – die Möglichkeiten eines KI-Dienstes wie ChatGPT scheinen fast grenzenlos. 

Haben Sie schon mal ein Geheimnis an die KIverraten?

Doch leider sind auch die möglichen Risiken durch Künstliche Intelligenz (KI) weitreichend. Das darf niemand bei dem Hype um KI vergessen.

Rückblick auf die BvD Herbstkonferenz & Behördentag 2023

Vor zwei Wochen hatten wir von yourIT das Privileg, mit vier unserer Consultants an der BvD Herbstkonferenz teilzunehmen. Hier gibt sich jährlich das "Who's Who" in Sachen Datenschutz das Mikrofon in die Hand. 

yourIT bei der BvD Herbstkonferenz 2023 in München

Diese Datenschutz-Veranstaltung bedeutet für uns daher immer wieder eine großartige Gelegenheit, unser Wissen zu vertiefen, uns mit Branchenexperten auszutauschen und die neuesten Entwicklungen im Bereich Datenschutz & Informationssicherheit zu verfolgen.

Whistleblowing im digitalen Zeitalter - eine sichere Plattform für mutige Stimmen

In der heutigen Zeit, in der Transparenz in Unternehmen groß geschrieben wird, spielt Whistleblowing eine entscheidende Rolle. 

Sichere Plattform für mutige Stimmen 

Whistleblower sind oft die unsichtbaren Helden, die Missstände aufdecken und so dazu beitragen, dass Unternehmen ethisch und rechtlich korrekt handeln. Doch wie können diese mutigen Stimmen sicher und vertraulich ihre Informationen teilen, ohne Angst vor Repressalien zu haben?

Die Bedeutung des Lieferantenmanagements im Datenschutzkontext

 

In einer immer stärker vernetzten Geschäftswelt sind Unternehmen zunehmend auf externe Lieferanten angewiesen. Diese Zusammenarbeit kann jedoch Risiken in Bezug auf Datenschutz und Informationssicherheit mit sich bringen. 

A. 15 Lieferantenbeziehungen

Ein effektives Lieferantenmanagement ist daher unerlässlich, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

 

Geister der Zukunft: Wie Hacker Deine Daten durch KI-Chatbots abschöpfen

In der neuesten Dystopie der Technologie können KI-Chatbots – diese vermeintlich nützlichen digitalen Helferlein – tatsächlich als unauffällige Agenten von Hackern agieren, die hungrig auf DEINE Daten sind!

Wir alle wissen, wie verlockend es ist, mit ChatGPT und anderen KI-Assistenten zu interagieren. Sie versprechen insbesondere, unsere Arbeit effizienter zu machen, Antworten auf unsere Fragen zu liefern und den Kundenservice zu revolutionieren. 

Geister der Zukunft

Aber was ist, wenn hinter diesem glänzenden digitalen Vorhang tatsächlich eine dunkle Gefahr lauert?

Smartphone-Apps: Die Suche nach dem Datenschutz

Die Bedeutung mobiler Geräte nimmt weiter zu. Die Zahl der installierten Apps auf Smartphones und Tablets wächst und wächst. Doch wie steht es um den Datenschutz bei den mobilen Anwendungen? 

Datenschutz bei mobilen Anwendungen?

Die Antwort fällt nicht immer leicht, ist aber zunehmend wichtig für die Privatsphäre. 

Auskunftsanspruch nach Art. 15 EU-DSGVO – auch nach dem Tod?

Jede Person hat Anspruch auf Auskunft über personenbezogene Daten, die sie betreffen. So regelt es Art. 15 EU-DSGVO. 

Wie geht es mit Art. 15 EU-DSGVO nach dem Tod weiter?

Aber was ist, wenn die betroffene Person verstirbt? Geht ihr Auskunftsanspruch dann auf den (oder die) Erben über?

Datenschutzfallen bei PDF-Dokumenten

Sie müssen ein Word-Dokument weiterleiten? Sie wollen dabei Ärger mit dem Datenschutz vermeiden? Sie wandeln das Word-Dokument deshalb in ein PDF-Dokument um? An sich eine gute Idee. Gerade deshalb sollten Sie wissen, was dabei an Details zu beachten ist. 

Vorsicht bei PDF-Dokumente 

Leider kosten manche wichtigen Hilfsmittel etwas.

Bessere Datensicherheit durch ChatGPT  

Aus der Sicht von Datenschutz und Datensicherheit sehen viele ChatGPT ausgesprochen kritisch. Das BSI setzt andere Akzente. Es sieht in ChatGPT eine Chance zur Verbesserung der Datensicherheit – vorausgesetzt, man setzt es dafür sinnvoll ein. 

Chat GPT - eine Chance zur Verbesserung der Datensicherheit 

Denn das menschliche Denken wird durch ein solches System nicht überflüssig 

Hinweisgeberschutzgesetz - Der Datenschutzbeauftragte als Lösung ? So können Unternehmen Whistleblower datenschutzkonform schützen

Das Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen zur Einrichtung von internen Meldestellen, um Whistleblower zu schützen und Rechtsverstöße aufzudecken. Eine effektive Lösung, die den Datenschutzanforderungen gerecht wird, bietet sich in der Rolle des Datenschutzbeauftragten.

Der Datenschutzbeauftragte als Lösung des HinSchG?

In diesem Artikel erfahren Sie, wie der Datenschutzbeauftragte als zentrale Figur dazu beitragen kann, den Schutz der Whistleblower datenschutzkonform zu gewährleisten.

Hinweisgeberschutzgesetz - Was ist zu tun? So schützen Unternehmen Whistleblower datenschutzkonform

Whistleblower sind unverzichtbare Helden, die Missstände in Unternehmen aufdecken und für Transparenz und Verantwortlichkeit sorgen. Endlich hat der deutsche Gesetzgeber mit dem Hinweisgeberschutzgesetz (HinSchG) ein klares Signal gesetzt und Unternehmen dazu verpflichtet, interne Meldestellen einzurichten und betreiben. 

Hinweisgeberschutzgesetz - Was ist zu tun?

Doch was genau müssen Unternehmen jetzt tun, um den Schutz der Whistleblower datenschutzkonform zu gewährleisten?

Hilfe mein Kunde ist jetzt ISO zertifiziert! Was muss ich als Systemhaus jetzt tun?

Hilfe! Mein Kunde ist jetzt ISO 27001 zertifiziert! Die neue Herausforderung für unser Systemhaus

Herzlichen Glückwunsch an Ihren Kunden zur ISO 27001 Zertifizierung! Das ist in der Tat eine wichtige Anerkennung für die Einhaltung von Informationssicherheitsstandards in ihrem Unternehmen. 

Neue Herausforderungen für Systemhäuser

Als Systemhaus stehen Sie jetzt vor der Herausforderung, die ISO 27001-Anforderungen in Ihre Dienstleistungen und Prozesse zu integrieren, um den Anforderungen Ihres zertifizierten Kunden gerecht zu werden.

Freie Bahn für Datenklau im Zugabteil!

Freie Bahn für Datenklau!

Als Datenschützer sind wir alarmiert angesichts der schockierenden Ergebnisse unserer Untersuchung, die wir während mehrerer Zugfahrten zur Zugänglichkeit sensibler Unternehmensdaten durchgeführt haben.

Vorsicht, beim Arbeiten im Zugabteil. 

In unserer Funktion als Berater für Datenschutz und Informationssicherheit möchten wir Führungskräfte dringend sensibilisieren, wie leicht vertrauliche und streng vertrauliche Informationen in Zügen von Datendieben abgeschöpft werden können.

EU-U.S. Data Privacy Framework - Neues Datenschutzabkommen mit den USA - Ende der Hängepartie? 

"Aller guten Dinge sind Drei!" Nachdem die vorherigen Datenschutzabkommen "Safe Harbor" und "Privacy Shield" scheiterten, wurde nun mit dem "EU-U.S. Data Privacy Framework" ein neues Abkommen zwischen der EU und den USA verabschiedet. 

EU.U.S Data Privacy Framework

Ein Schritt, der für einen wahren Paukenschlag sorgt und die Diskussionen um den Datentransfer in die USA erneut entfacht.

Wenn die KI zum Datenleck wird

Datenschützer warnen schon länger davor, dass die unbedachte Nutzung von Künstlicher Intelligenz (KI) zum Risiko für die Privatsphäre werden kann. Dienste wie ChatGPT sorgen nun für eine einfache Verbreitung von KI in Unternehmen und Haushalten. 

Risiken von KI

Höchste Zeit, den Umgang mit KI zu hinterfragen. 

Vorsicht bei Sammelmails mit offenem Verteiler

Sie schicken eine E-Mail an mehrere Adressaten. In manchen Fällen darf jeder Adressat alle anderen Adressaten sehen, in anderen dagegen nicht. Das kommt Ihnen bekannt vor? 

Gerade dann lesen Sie bitte unbedingt weiter!

Keine Updates in der IT, kein Datenschutz 

Denken Sie auch, dass die vielen Aktualisierungen in der IT lästig sind? Doch ein Verzicht auf regelmäßige Updates würde den Datenschutz und die Datensicherheit aushöhlen: 

Updates ist auch wichtig für den Datenschutz

Viele Datenpannen geschehen, weil es offene Sicherheitslücken in der IT gibt. 

Bußgelder wegen Aufnahmen mit einer Dashcam

Sie lassen beim Autofahren ständig eine Kamera auf dem Armaturenbrett mitlaufen? Vorsicht, das kann schnell richtig teuer werden! 

Aufnahmen mit einer Dashcam

Diese Punkte müssen Sie beachten, damit es keinen Ärger gibt.

Verpflichtung auf die Vertraulichkeit

Allgemein vorgeschrieben ist die Verpflichtung auf die Vertraulichkeit durch die EU-DSGVO nicht. Das verblüfft viele, denn nach wie vor gehört sie zu den Ritualen bei der Einstellung. 

Neue Mitarbeitende verweigern die Unterschrift unter der Verpflichtungserklärung?

Aber was ist, wenn neue Mitarbeitende die Unterschrift unter der Verpflichtungserklärung verweigern?

Das sind die Tricks bei Cookie-Bannern

Cookie-Banner sind unbeliebt und lästig. Und schuld daran ist der Datenschutz, so denken viele. Doch das stimmt nicht. 

Cookie-Banner - Das sind die Tricks

Aber das ist nicht das Einzige, was bei Cookie-Bannern häufig nicht richtig ist. Viele Cookie-Banner missachten Vorgaben. 

Die große Frage: löschen, aufbewahren oder archivieren? 

Einerseits sollen bestimmte Geschäftsdokumente noch in vielen Jahren verfügbar sein und müssen „archiviert“ werden. Andererseits kennen Sie vom Datenschutz die Löschpflichten. 

Löschen oder aufbewahren?

Was gilt denn nun? Zu frühes Löschen ist ebenso zu vermeiden wie eine zu lange Aufbewahrung.

Outlook Einladungen zu Bewerbungsgesprächen 

An Gesprächen mit Bewerbern nehmen in einem Unternehmen normalerweise mehrere Personen teil. Eine Termineinladung über Outlook bringt die Akteure zusammen. Welche Informationen über den Bewerber oder die Bewerberin dürfen dabei im Outlook-Kalender und in der Outlook-Einladung enthalten sein?

Outlook-Termineinladung zum Bewerbungsgespräch

Welche Informationen über den Bewerber oder die Bewerberin dürfen dabei im Outlook-Kalender und in der Outlook-Einladung enthalten sein?

Chancen und Risiken der Nutzung KI-basierter Systeme wie ChatGPT in Unternehmen

Künstliche Intelligenz (KI) ist zweifellos eine der am schnellsten wachsenden Technologien unserer Zeit. Von Chatbots wie ChatGPT über Spracherkennung und Gesichtserkennung bis hin zu selbstfahrenden Autos: Die Anwendungsbereiche von KI-basierten Systemen sind breit gefächert und haben das Potenzial, unser Leben in vielerlei Hinsicht zu verändern.

Seit dem Start des Chatbots ChatGPT erkennen immer mehr Unternehmen aus verschiedensten Branchen die Chancen, die KI-basierte Systeme für die Optimierung ihrer Geschäftsprozesse bieten. Doch mit der steigenden Anzahl von KI-Anwendungsmöglichkeiten kommen auch enorme Risiken auf die Unternehmen zu.

In diesem Blogbeitrag betrachten wir die Chancen und Risiken von KI aus Sicht eines Datenschutzbeauftragten, eines Informationssicherheitsbeauftragten, eines Netzwerk-Technikers, eines Entwicklers und eines Geschäftsführers.

 Auszug aus "Der Mittelstand - Das Unternehmermagazin" 2/2023| April/Mai

Wer zertifiziert, gewinnt

Eine Zertifizierung (z.B. nach ISO 27001) ist ein andauernder Prozess, in dem eine unabhängige Organisation regelmäßig prüft und bestätigt, ob eine Person oder ein Unternehmen bestimmte Fähigkeiten, Kenntnisse oder Standards erfüllt. 

DER MITTELSTAND

Im Interview spricht Thomas Ströbele, Geschäftsführer der yourIT GmbH, was die ISO 27001, der internationale Standard für Informationssicherheit, für Unternehmen bietet.

Wer ist jetzt eigentlich für unser Backup verantwortlich? Backup-Week bei yourIT

Wer ist eigentlich für unser Backup verantwortlich? Backup-Week bei yourIT

Am 31.03. ist traditionell der World Backup Day. In Zeiten wie diesen, in denen Unternehmen damit rechnen müssen, einem Cyberangriff zu unterliegen, haben Backups eine enorm hohe Bedeutung.

Wer ist eigentlich für das Backup verantwortlich?

Unsere Erfahrungen aus den vergangenen Wochen und Monaten, in denen wir uns mit Datenschutzbeauftragten, IT-Technikern, Geschäftsführern und Informationssicherheitsbeauftragten darüber unterhalten haben, wer sich denn nun um das Thema Informationssicherheit kümmert, müssen wir leider subsummieren: Gemäß dem bekannten Fußball-Prinzip „Nimm Du den Ball, ich hab ihn sicher!“ ist das alles andere als klar und eindeutig. 

Cyber-Attacken in Deutschland - diese Unternehmen waren bereits Opfer

"Cybersicherheit ist Chefsache!"

Es hat lange gebraucht, aber angesichts der immer weiter zunehmenden Zahl an Cyber-Attacken auf große, mittelständische und auch kleine Unternehmen realisieren immer mehr GeschäftsführerInnen, dass es tatsächlich um die Wurst geht. Und dass das, was sie bisher mit ihrer internen und/oder externen IT-Betreuung zur Abwehr von Bedrohungen installiert haben, sehr wahrscheinlich nicht reichen wird. Bei den Meetings, die wir in den letzten Tagen und Wochen begleiten durften, präsentierten die GeschäftsführerInnen deren IT-Dienstleistern überraschenderweise häufig Listen von technischen und organisatorischen Maßnahmen. Diese entstammen meist Unternehmertreffen, in denen Verantwortliche von betroffenen Unternehmen den noch nicht betroffen erklären, welche verheerenden Auswirkungen eine Cyber-Attacke auf ihr Unternehmen hatte und welche Maßnahmen sie nach dem Cyber-Angriff getroffen haben. Ja, die Chefs und Cheffinnen unterhalten sich mittlerweile über IT, Informationssicherheit und Datenschutz. Wer hätte das noch für möglich gehalten...

Zu diesen Gesprächen werden wir in den nächsten Wochen weitere Beiträge veröffentlichen. Anfangen wollen wir heute mit einer Liste von Unternehmen, die bereits Bekanntschaft machen durften mit Phishing, Ransomware, Brute Force, DDoS & Co. Wir präsentieren eine Liste von deutschen Unternehmen, die in den letzten Jahren bereits Cyber-Attacken erlegen sind.

Welche Auswirkung hat ein Cyber-Angriff auf ein Unternehmen

Allein im vergangenen Jahr 2022 wurden über 80 deutsche Unternehmen Opfer einer Cyberattacke, ...

Auftragsverarbeitung im Fokus der Datenschutz-Aufsicht

Ausgangspunkt sind Webhosting-Verträge

Auftragsverarbeitung

Ohne Internetseite kommt heute so gut wie kein Unternehmen mehr aus. 

So wird Filesharing nicht zum Risikoaustausch

In Zeiten von Homeoffice und mobiler Arbeit müssen auch größere Dateien mit anderen Nutzenden ausgetauscht werden. Datenaustausch über Filesharing-Dienste ist deshalb beliebt, leider aber nicht automatisch sicher. 

Richtige Nutzung von Filesharing

Denken Sie an zusätzliche Schutzmaßnahmen.

Sichere Passwörter erstellen und merken - Tipps und Tricks

Das Thema Passwortsicherheit ist in der heutigen Zeit, in der Online-Konten und persönliche Daten immer häufiger Ziel von Cyber-Angriffen werden, für Unternehmen und Privatpersonen allgegenwärtig. Daher ist es wichtiger denn je, sichere Passwörter zu verwenden und diese an einem sicheren Ort aufzubewahren. 

Sichere Passwörter erstellen und merken - Tipps und Tricks

Doch wie erstelle ich sichere Passwörter, die ich mir anschließend auch noch merken kann?

Zunahme erfolgreicher Hacking-Attacken um fast 300 %

Weshalb aktuell so viele Unternehmen gehackt werden

Laut Branchenverband Bitkom e.V. stiegen die Ausgaben für IT-Sicherheit letztes Jahr um 13%. Aber obwohl Unternehmen mehr in IT-Sicherheitslösungen investieren denn je, erleben wir derzeit eine dramatische Zunahme von erfolgreichen Hacking-Angriffen auf Unternehmen und Organisationen. 

Trotz steigender Ausgaben für IT-Sicherheit - immer mehr Unternehmen gehackt

Fast täglich erscheinen Meldungen über neue Sicherheitsverletzung und Datenverlust in den Schlagzeilen. 

Wer kümmert sich um die Informationssicherheit in Ihrem Unternehmen?

In den letzten Wochen wurden wir gleich von mehreren Unternehmen eingeladen, die Ist-Situation im IT-System zu analysieren und die Behebung eventueller technischer und organisatorischer Schwachstellen zu beraten. Obwohl die beratenen Unternehmen oft schon viele Jahre vom selben IT-Dienstleister betreut werden, war dies meist die erste Besprechung, in der es nicht vorrangig um Technik bzw. IT-Sicherheit ging. 

Unternehmenssicherheit

Willkommen in der Welt der Informationssicherheit!

 

Phishing-Mails erkennen und damit umgehen

Phishing-Mails sind ein beliebtes Mittel von Cyberkriminellen. Phishing-Mails zu erkennen ist nicht immer einfach. Wir zeigen auf, wie Sie sich Verhalten sollten - auch im Ernstfall. 

Aktuell sind viele Phishing-Mails im Umlauf. Die Menschen werden durch aktuelle Themen auf Fake-Seiten gelockt oder es werden Schadsoftware auf den Rechner installiert.

Phishing-Mails müssen erkannt werden
- anderenfalls muss entsprechen gehandelt werden

Risikoanalysen bei Verarbeitungen

Risikoanalysen vielfacher Art gehören zum Alltag in Unternehmen. So auch bei der Verarbeitungen von personenbezogenen Daten. 

Verarbeitung personenbezogener Daten

Ein Thema nur für Spezialisten? Keineswegs.

Protokollierung - für unsere Sicherheit!

"Systeme zur Angriffserkennung" funktionieren nur, wenn Zugriffe auf personenbezogene Daten und andere Verarbeitungsvorgänge protokolliert werden. 

Protokollierung für Ihre Sicherheit

Die Protokollierung bildet die Basis für eine sichere Datenverarbeitung.