Personaler haben Facebook & Co. im Blick

Ein "angemessener" Auftritt in Sozialen Netzwerken wie Facebook, XING, LinkedIN, etc. ist bei der Bewerbung um einen Job mittlerweile sehr wichtig. Fast die Hälfte der Personalverantwortlichen (46 Prozent) informiert sich laut einer Umfrage des Branchenverbands Bitkom bei Neueinstellungen in Sozialen Medien über die Bewerber. 15 Prozent hätten aufgrund von dort gefundenen Informationen sogar mindestens schon einmal Bewerber nicht eingeladen oder nicht eingestellt – meist, weil diese im Widerspruch zu den Bewerbungsdaten standen. Allerdings: Private Dinge, Fotos und vor allem politische Ansichten erscheinen den Personalern auch hier weniger relevant als die fachliche Qualifikation.

Erst denken - dann Posten

Das Posten von Kommentaren oder Statusmeldungen sollte daher mit Bedacht erfolgen. Leichtsinnige negative Posts über den Chef oder die Kollegen beim letzten Arbeitgeber können sich bei Ihrer nächsten Bewerbung schnell negativ für Sie auswirken.

Beleidigungen und unwahre Tatsachenbehauptungen sind dazu hin illegal und werden oft sogar strafrechtlich verfolgt. Auch die Urheber vermeintlich anonymer Posts z.B. auf Unternehmens-Bewertungsplattformen wie Kununu o.ä. können durch Einschaltung von Polizei und Staatsanwaltschaft schnell ausfindig und haftbar gemacht werden. Grenzen sind hier schnell überschritten. Also immer erst denken und dann Posten.

Aktuelle Abmahnungen wegen „Gefällt mir“-Button von Facebook

Die Verbraucherzentrale NRW mahnt zur Zeit Facebook-„Gefällt mir“-Buttons (auch Facebook-Like-Button) auf Webseiten ab.

Das sollten Sie beachten:

• Der Einsatz des Facebook-"Gefällt mir"-Buttons auf einer Unternehmensseite ist datenschutzrechtlich problematisch.
• Bieten Sie dem Nutzer Ihrer Unternehmensseite die Möglichkeit, seine Like-Entscheidung durch einen zweiten Klick zu bestätigen.

Die Einbindung des "Gefällt mir"-Buttons von Facebook erfolgt über HTML-Codeseiten, durch welche der Programmcode direkt von dem Server des Anbieters geladen wird. Dadurch findet bereits bei Aufrufen der Website ein Datenaustausch zwischen dem Browser des Nutzers und den Servern von Facebook statt, ohne dass der jeweilige Website-Nutzer vorher eine Einwilligung erteilt hätte oder darüber belehrt wurde. Dies geschieht allein schon deshalb, weil der Browser automatisch eine Verbindung mit den Servern dieses Netzwerks aufbaut. Ist der Nutzer bei Facebook eingeloggt, so kann der Besuch der Website direkt seinem Nutzerprofil bei Facebook zugeordnet werden.

Selbst wenn der Nutzer der Website nicht bei Facebook angemeldet ist und noch nicht einmal einen Facebook-Account besitzt: Mit Hilfe der Cookies können die IP-Adressen wiedererkannt und daraus "anonyme" Surfprofile angelegt werden. Wenn der Nutzer sich dann irgendwann bei Facebook anmeldet und damit seine Identität preisgibt, wird einfach de-anonymisiert und zugeordnet.

Wettbewerbszentrale NRW mahnt Facebook-"Gefällt mir"-Button auf Websites ab

Aktuelle Abmahnungen durch die Verbraucherzentrale NRW 

Die Verbraucherzentrale NRW mahnt zur Zeit die Implementierung des Facebook-Gefällt-mir-Buttons ab, da der Nutzer weder im Vorfeld ausdrücklich über die Datenweitergabe belehrt wurde oder vorher eingewilligt habe und er dieser Weitergabe auch nicht widersprechen könne.

Erstmal trafen die Abmahnungen große Namen wie HRS, Nivea (Beiersdorf), Payback, CTS Eventim, Peek&Cloppenburg (Fashion-ID) und Kik. Es ist damit zu rechnen, dass im nächsten Schritt auch kleine und mittelständische Unternehmen in Anspruch genommen werden.

Datenschutzrechtlicher Hintergrund

Von zahlreichen Landesdatenschutzbeauftragten wird die Ansicht vertreten, dass es sich dabei um eine nach § 15 Abs. 1 TMG ohne Einwilligung des Nutzers unzulässige Datenübermittlung handelt, da vor Inanspruchnahme des Telemediums eine Einwilligung erteilt werden müsse.

Aufgrund dieser datenschutzrechtlichen Problematik wird empfohlen, die sogenannte „Zwei-Klick-Lösung“ von Heise/Shariff zu integrieren. Bei dieser Lösung werden erst dann Daten übertragen, wenn der Nutzer den Button anklickt.

Achtung: Auch bei diesem Verfahren ist noch nicht abschließend geklärt, ob die Nutzung unter einer Einwilligung erfolgt, bei der dem Betrachter der Seite hinreichend klar ist, dass die Daten übertragen werden, wenn der Nutzer den Button anklickt.

Folgende Ideen wurden mir schon angetragen, bringen aber leider keine Abhilfe: Die Einbindung eines Hinweises in das Impressum bzw. in die Datenschutzerklärung der Website, dass die Weiterleitung der Nuitzerdaten an Facebook erfolgt, genügt nicht. Auch der übliche Passus, dass das verantwortliche Unternehmen keinen Einfluß auf diese Praktik und den Umfang der Daten hat, die das soziale Netzwerk mit Hilfe der Social Plugins erhebt, ist kein stichhaltiges Alibi. Auf die Datenschutz-Richtlinien von Facebook zu verweisen, wird Ihnen auch nichts bringen.

Ergänzender Hinweis wegen Änderung der Verbandsklagebefugnis

Es wird darauf hingewiesen, dass derartige Verstöße in Zukunft sehr wahrscheinlich noch stärker abgemahnt werden. Wenn die Änderungen im Bereich des Unterlassungsklagengesetzes UKlaG (siehe unser Datenschutz Now! Sonderausgabe 05|2015) umgesetzt werden, dann werden diese Themen noch stärker in den Focus der Verbraucherverbände treten.

Download_yourIT_DatenschutzNow_052015_zum_Unterlassungsklagengesetz_UKlaG

Diese Abmahnung durch die Verbraucherzentrale NRW zeigt erneut, wie wichtig es ist, die rechtlichen Hinweise in Webshops, Onlineplattformen und Webpages stets aktuell zu halten und im Hinblick auf die datenschutzrechtliche Rechtsprechung zu prüfen. Wir von yourIT unterstützen Sie gerne dabei.

Über das IT- und Beratungshaus yourIT

yourIT - securITy in everything we do

securITy in everything we do...

… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus in der Region Neckar-Alb prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT- Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

Informationen:

- Gründung 2002
- Geschäftsführer Ralf und Thomas Ströbele
- 20 Mitarbeiter
- Consulting, Solutions, IT-Dienstleistungen

Auszeichnungen/Zertifikate:

- BEST OF CONSULTING 2015
- DIN EN ISO 9001:2008

BEST OF CONSULTING 2015 - Ausgezeichnete Beratungspakete von yourIT

Ihr Kontakt zu yourIT: 

yourIT GmbH
Häselstr. 10
D-72336 Balingen
Fon: +49 7433 30098-0
Fax: +49 7433 30098-15
E-Mail: Datenschutz-Team@yourIT.de
Internet: Datenschutz.yourIT.de


Quelle: Rechtsanwaltskanzlei WOLFF, GÖBEL, WAGNER in Hagen

Datenverlust in der Cloud: Was jetzt?

Dateien in der Cloud lassen sich von jedem Endgerät mit Internetzugang aus bequem erreichen, vorausgesetzt, die Dateien verschwinden nicht. Denken Sie bei Backups daran: Wolken können Löcher haben.

Der Speicherplatz in der Wolke

Jeder fünfte Bundesbürger speichert oder teilt Dateien wie Dokumente, Fotos oder Videos im Netz, wie eine Umfrage des Digitalverbands BITKOM ergeben hat. 36 Prozent der deutschen Internetnutzer ab 14 Jahren können sich vorstellen, Daten künftig ausschließlich in der Cloud zu speichern.

Wenn Sie nun denken, Sie gehören nicht zu denjenigen, die einen Speicherplatz in der Cloud nutzen, könnten Sie falsch liegen. Verwenden Sie einen Webmail-Dienst, dann liegen Ihre gespeicherten E-Mails in der Cloud. Und wenn Sie ein Smartphone verwenden, landen ebenfalls viele Dateien in der Cloud, da sowohl das iPhone als auch die Android-Smartphones beharrlich anbieten, Kontaktdaten, Dokumente, Fotos und Videos mit der jeweiligen Cloud zu synchronisieren.

Die Cloud als Speicherplatz in der Wolke

Flexibilität, Komfort und Gefahr in einem

Der Wunsch, von überall auf die eigenen Daten zugreifen zu können, lässt sich mit der Cloud verwirklichen. Einzige Voraussetzung für diese flexible und komfortable IT-Nutzung scheint eine gute Internetverbindung zu sein. In Wirklichkeit aber müssen die Dateien auch in der Cloud verfügbar sein, um auf sie zugreifen zu können.

Obwohl viele Nutzer die Cloud als ihr Backup nutzen, ist ein Datenverlust in der Cloud nicht ausgeschlossen, im Gegenteil. Die Verfügbarkeit in einer Cloud ist keineswegs selbstverständlich, wie viele Ausfälle und Datenverluste in Clouds in den letzten Monaten und Jahren gezeigt haben.

Unerlaubte Zugriffe sind nicht das einzige Cloud-Risiko

21 Prozent der Bundesbürger sind laut Umfrage besorgt um den Datenschutz, wenn es um die Datenspeicherung in der Cloud geht. Die meisten aber fürchten den Kontrollverlust und einen möglichen Datenmissbrauch durch unbefugte Zugriffe auf ihre Daten. Zweifellos muss man diese Risiken ernst nehmen.

Das Problem Verfügbarkeit

Doch die Verfügbarkeit der Daten in der Cloud ist ebenfalls in Gefahr:

• Einerseits kann der Cloud-Dienst ausfallen oder gestört sein. Die Daten sind dann zwar nicht automatisch weg, aber zumindest nicht erreichbar, selbst nicht mit der besten Internetverbindung.
• Zudem können die Daten auch tatsächlich verloren gehen. Es gab selbst bei führenden Cloud-Anbietern bereits Ausfälle und Störungen, bei denen Daten zerstört wurden, die sich nicht mehr wiederherstellen ließen.

Die Cloud braucht selbst ein Backup

Gerade bei der Nutzung mobiler Endgeräte scheint die Cloud das ideale Medium für die Datensicherung zu sein, und die meisten mobilen Backup-Lösungen nutzen Cloud-Speicher.

Allerdings kann man sich nicht einfach darauf verlassen, dass die Cloud ein Speicher ohne Löcher wäre. Ein Datenverlust ist auch in der Cloud möglich, und die Wiederherstellung und Datenrettung sind nicht einfach. Denn dazu muss man ja den ursprünglichen Speicherort kennen und die Bedingungen für eine Datenrettung herstellen, was gerade in einer Cloud, die man sich mit vielen anderen Nutzern teilt (Public Cloud), nicht ohne Weiteres möglich ist.

Wenn Sie also einen Cloud-Speicherdienst nutzen, um die Daten auf Ihrem Smartphone zu sichern oder um wichtige Dateien von jedem Standort mit Internetzugang im Zugriff zu haben, sollten Sie an das Verlustrisiko denken. Die Cloud braucht selbst ein Backup, auch wenn sie oftmals als Backup-Medium genutzt wird. Dass der Cloud-Anbieter für regelmäßige Backups sorgt, können Sie leider nicht einfach voraussetzen.

Was bedeutet das für Ihre Arbeit?

Clouds spielen nicht nur im Privatleben eine zunehmend wichtige Rolle. Im vergangenen Jahr haben in Deutschland 44 Prozent aller Unternehmen Cloud Computing eingesetzt. Das ist ein Anstieg um 4 Prozentpunkte im Vergleich zum Vorjahr, wie eine Studie der Wirtschaftsprüfungsgesellschaft KPMG gezeigt hat.

Umfrage zum Einsatz von Cloud Computing in deutschen Unternehmen bis 2014

Bei der Nutzung von Public Clouds sind Lösungen wie E-Mail und Kalender mit 46 Prozent die am weitesten verbreitete Anwendung. 36 Prozent der befragten Unternehmen nutzen Cloud-Lösungen für das Kundenmanagement.

Allein die Verwendung einer Cloud-Lösung sorgt nicht dafür, dass die E-Mails, Termine und Kundenadressen vor Verlust geschützt sind. Denken Sie deshalb daran, die internen Vorgaben zur Datensicherung genau einzuhalten.

Wenn Sie selbst Backups Ihrer Arbeitsdateien machen wollen, nutzen Sie bitte nur die intern freigegebenen Möglichkeiten. Verwenden Sie nicht einfach Ihren privaten Cloud-Speicherplatz, um Ihre beruflichen Dateien zu sichern. Das kann den Datenschutz gleich mehrfach gefährden, unter anderem durch das Risiko, Daten in der Cloud zu verlieren. Wolken können Löcher haben, durch die am Himmel die Sonne durchkommt, in der IT aber gehen auf diese Weise Daten verloren.

Schriftliche Regelung für Cloud-Nutzung ist notwendig

Eine Regelung der Nutzung von Cloud-Diensten sollte in jedem Unternehmen schriftlich erfolgen. In der Regel wird diese Teil der Datenschutz- bzw. der IT-Sicherheitsrichtlinie sein, ggfs. aber auch als separater Anhang.

Sie tun sich schwer damit, für Ihr Unternehmen schriftliche Richtlinien für Datenschutz & IT-Sicherheit zu formulieren? Wir übernehmen das gerne für Sie. Mit unserem Beratungspaket "Datenschutzkonzept Phase A+B" legen wir die Grundlage für die Erstellung von zu Ihrem Unternehmen passenden Datenschutzrichtlinien und IT-Sicherheitsrichtlinien.

Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Auszug aus Datenschutz Now! April 2015 

Datenschutz Now! ist unsere kostenlose Mitarbeiterzeitung für mehr Datenschutz & IT-Sicherheit in Ihrem Unternehmen. Eine Übersicht über die bisherigen Themen finden Sie unter http://mydatenschutz.blogspot.de/p/datenschutz-now.html. Dort können Sie unsere Mitarbeiterzeitungen auch kostenlos herunterladen.

Brauchen wir überhaupt einen Datenschutzbeauftragten (DSB)?

Immer wieder werde ich von mittelständischen Unternehmen gefragt, ob sie überhaupt dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Dafür habe ich hier eine kurze Checkliste erstellt.

Checkliste zur Prüfung der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten

Wenn Sie eine der folgenden Fragen mit JA beantworten, muss Ihr Unternehmen nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG) einen Datenschutzbeauftragten (DSB) bestellen:

1. Werden in Ihrem Betrieb personenbezogene Daten von mehr als neun (9) Beschäftigten erhoben, verarbeitet oder genutzt?
2. Lassen Sie in Ihrem Betrieb personenbezogene Daten von mehr als zwanzig (20) Beschäftigten auf andere Weise (= nicht automatisiert)  verarbeiten?
3. Werden in Ihrem Unternehmen besondere personenbezogene Daten nach § 3 (9) BDSG automatisiert verarbeitet?
4. Lassen Sie in Ihrer Firma personenbezogene Daten geschäftsmäßig zwecks (anonymisierter) Übermittlung verarbeiten und Nutzen?

Wie gesagt: 1x JA reicht aus!

Die Rechtsgrundlage hierzu finden Sie in § 4f  BDSG Beauftragter für den Datenschutz.

Sie fragen sich jetzt sicher, welche Möglichkeiten / Alternativen Sie jetzt für die Bestellung eines DSB in Ihrem Unternehmen haben?!

• interner Datenschutzbeauftragter (mehr Informationen)
• externer Datenschutzbeauftragter (mehr Informationen)

Externer DSB und interner DSK - ein unschlagbares Team

Seit der letzten großen Novellierung des Bundesdatenschutzgesetzes (BDSG) im Jahr 2009 bietet sich eine Kombination aus externem Datenschutzbeauftragten (DSB) und internem Datenschutzkoordinator (DSK) an. Was dieses unschlagbare Team ausmacht, lesen Sie hier ...weiterlesen

Jetzt Fördermittel nutzen für die Umsetzung von Datenschutz im Unternehmen

Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Mark Zuckerbergs nächster Coup: Unternehmensdienst "Facebook at Work" gestartet

Gestern hat Facebook offiziell mit der Testphase des geplanten kostenpflichtigen Unternehmensdienstes Facebook at Work begonnen. Erst einmal sind nur wenige handverlesene Firmen an den Tests beteiligt. Damit will Facebook seine Beliebtheit bei den Mitarbeitern nutzen und künftig unternehmensinterne E-Mails und Chats überflüssig machen (vgl. hierzu Zero Mail Policy).

Facebook at Work - aus Datenschutz-Sicht eher nicht!

Das ganze soll wohl aussehen wie Facebook, allerdings soll der Dienst nicht öffentlich sondern ausschließlich auf die Mitarbeiter eines Unternehmens begrenzt sein. Über die Kosten des Dienstes schweigt sich Facebook noch aus.

Stellen Sie sich das so vor: Alles was Ihre Mitarbeiter bisher mit vielen E-Mails hin- und herschicken, schreiben diese sich künftig im Unternehmens-Facebook. Das können belanglose Dinge sein wie "Wer geht mit zum Mittagessen?" oder "Soll ich Dir einen Kaffee mitbringen?". Allerdings werden über kurz oder lang auch Projekte und Produktneuerungen aus der Forschungs- und Entwicklungsabteilung auf diesem Facebook diskutiert werden. Wer soll das verhindern, nachdem die Lawine erst einmal losgetreten wurde?

Wie schaut's bei "Facebook at Work" mit dem Datenschutz aus?

Die Unternehmensdaten mit "Facebook at Work" sollen vermutlich wieder nicht auf Servern des Unternehmens sondern auf Facebook-Servern gespeichert werden (Cloud-Prinzip). Wohl sollen die Daten verschlüsselt versendet und abgelegt werden. Aber Facebook ist auch weiterhin ein amerikanisches Unternehmen, das sich dem amerikanischen Recht unterwerfen muss. Somit droht hier jederzeit z.B. die gerichtliche Durchsetzung von Durchsuchungsbeschlüssen von US-Ermittlern, wie dies erst im August 2014 Microsoft erdulden musste. (Wir berichteten auf diesem Blog.)

Solange die rechtliche Situation sich so darstellt, ist Deutschen Unternehmen, die Wert auf Datenschutz und die Vertraulichkeit von Betriebs- und Geschäftsgeheimnissen legen, somit erst einmal von der Nutzung von "Facebook at Work" abzuraten. Ich würde mich hier nicht auf eine "Social Media Policy" verlassen.

Die Idee ist gut - aber muss es ausgerechnet Facebook sein?

Übrigens: Die Idee hinter "Facebook at Work" ist nicht neu. Bereits seit längerer Zeit gibt es vergleichbare Unternehmensdienste am Markt. Und einige davon kann man sogar bereits so einstellen, dass Datenschutz und Betriebs- und Geschäftsgeheimnisse tatsächlich eingehalten werden können.

Falls Sie das interessiert: Wir von yourIT haben mit solchen Lösungen bereits in mehreren Projekten Erfahrungen gesammelt. Wir unterstützen Sie daher gerne bei der Auswahl des richtigen und sicheren Systems, helfen Ihnen bei der Einrichtung und schulen Ihre Mitarbeiter.

Ich freue mich auf Ihre Anfragen.

 

Ihr Thomas Ströbele
Berater für Datenschutz & IT-Sicherheit
ISO 27001:2013 Lead Auditor

Vorsicht vor gefälschten Überweisungsträgern - Betrugsversuche aus dem Ausland

Wir möchten Sie hiermit dringend vor einer Betrugsmasche warnen, die gerade um sich greift. Immer öfter werfen Unbekannte Überweisungsträger mit gefälschten Unterschriften bei Banken ein oder senden diese per Post. Manchmal haben sie damit Erfolg. Bei uns von yourIT ging's gerade nochmal gut.

Uns von yourIT war diese Betrugsmasche mit den gefälschten Überweisungsträgern bereits bekannt. Immerhin durften wir erst im Juli 2014 neben Banken und dem LKA vortragen und die IT-Sicht vertreten bei der Veranstaltung "Betrugsversuche aus dem Ausland". Ein Vertreter der regionalen Banken hatte über die Betrugsmasche mit gefälschten Überweisungsträgern berichtet. Er hatte auch darauf hingewiesen, dass sie ihr Risikomanagement darauf ausgerichtet hatten. Die Bankmitarbeiter sind darauf geschult. Wer hätte gedacht, dass jemand versuchen würde, diesen Betrugsversuch kaum 5 Monate später bei uns selbst anzuwenden.

Betrugsversuch aus dem Ausland - gefälschter Überweisungsträger

Wie läuft der Betrugsversuch ab?

Innerhalb von nur 3 Tagen wurden an unsere beiden Girokonten bei unseren Hausbanken 2 Überweisungsträger geschickt. Beide kamen aus Spanien. Beide wollten etwas mehr als 19.000 EUR abbuchen. Wir sprechen hier also von fast 40.000 EUR. Die Unterschriften beider (!) Geschäftsführer auf den Überweisungsträgern sahen täuschend etc. aus.

In beiden Fällen fielen die Überweisungsträger den Bankangestellten nur deshalb auf,

• weil die Bank unser Unternehmen kennt,
• weil wir eigentlich nie Überweisungsträger verwenden und
• weil wir selten bis nie Überweisungen ins Ausland tätigen.

Die Bankvertreter haben daher erstmal bei uns angefragt und um Freigabe gebeten. Da bei uns nur Geschäftsführer Zahlungen freigeben dürfen, konnte dies bei uns selbstverständlich nicht funktionieren.

Wie sieht das bei Ihrem Unternehmen aus?

Sie sollten sich folgende Fragen stellen:

• Ist Ihr Unternehmen Ihrer Bank ausreichend bekannt?
• Verwenden Sie noch papierbasierte Überweisungsträger? Ist dies der Bank bekannt?
• Kommen Überweisungen ins Ausland von Ihrem Konto vor?

Wer haftet bei einem erfolgreichen Überweisungsmissbrauch?

Erst einmal wird gemäß § 675 u BGB (Bürgerliches Gesetzbuch) die Bank haften, denn bei einer vom Kontoinhaber nicht autorisierten Überweisung ist zwischen Kontoinhaber und der Bank kein wirksamer Vertrag zustande gekommen. Kein Wunder also, dass die Bankmitarbeiter gut geschult und das Risikomanagement aktiv sind.

Um Ärger mit der Bank zu vermeiden empfehlen wir allerdings, selbst entsprechende Vorkehrungen zu treffen und die Schadenswahrscheinlichkeit dadurch zu senken.

Wie können Sie diesen Betrugsversuchen mit gefälschten Überweisungsträgern vorbeugen?

Folgende Maßnahmen sollten Sie jetzt ergreifen:

• Machen Sie Ihre Bank auf die Betrugsmasche aufmerksam (falls noch nicht bekannt).
• Teilen Sie Ihrer Bank Ihr übliches Überweisungsverhalten mit.
• Falls möglich: Verzichten Sie komplett auf beleghafte Überweisungen. Oder veranlassen Sie, dass Ihre Bank bei beleghaften Überweisungen immer Rücksprache mit Ihnen hält.
• Grenzen Sie die Zahl der Länder ein, an die Sie Überweisungen tätigen werden.

Ein weiterer wichtiger Hinweis kommt vom LKA und zielt auf die täuschend echten Unterschriften der yourIT-Geschäftsführer auf den Überweisungsträgern:

• Veröffentlichen Sie auf keinen Fall Unterschriftsproben der Zeichnungsberechtigten Ihres Unternehmens (Vorstand, Geschäftsführer, Prokuristen, ...). Angebote müssen in der Regel nicht unterschrieben werden. Wer von sich Unterschrifts-Muster gar im Internet veröffentlicht, braucht sich über Betrugsversuche mit gefälschten Überweisungsträgern nachher nicht wundern.

Achtung: Es wurden bereits Fälle bekannt, in denen der Überweisungsträger ein deutsches Girokonto als Empfängerkonto enthielt. Begrenzen Sie Ihr Augenmerk also nicht ausschließlich auf ausländische Konten.

So machen Sie Ihr Unternehmen sicherer

Bereits im Juli haben wir 10 Handlungsempfehlungen verfasst, um Ihr Unternehmen sicherer zu machen. Lesen Sie hier weiter.

Wir hoffen, wir konnten Ihnen mit dieser Information weiterhelfen.

yourIT - securITy in everything we do.

Wir stehen für Sicherheit in allen IT-Fragen!

Ihr Thomas Ströbele

yourIT stellt mit Thomas Ströbele ab sofort einen leitenden Auditor ISO 27001

Das Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa verstärkt sein Engagement im Bereich Informationssicherheit. Mitglieder aus dem Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa (IDIE) nahmen in der Woche vom 24.11.2014 bis zum 28.11.2014 an der Schulung zum „ISO/IEC 27001:2013 Leitender Auditor“ in Bad Arolsen teil. Für die yourIT GmbH aus Balingen (damals noch Hechingen) nahm Thomas Ströbele erfolgreich teil. Nach eigenen Recherchen ist er damit einer von derzeit gerade mal etwa 80 ISO 27001:2013 Lead Auditoren in ganz Baden-Württemberg.

Das Seminar durchgeführt hat der Marktführer für Normung, Zertifizierung und Weiterbildung, die British Standards Institution (kurz: BSI – http://www.bsigroup.com/de-DE/). Der Tutor Adrian Lambeck begleitete die Teilnehmer durch das fünftägige Training und vermittelte die notwendigen Fähigkeiten und Fertigkeiten, um ein Informationssicherheits-Management-Audit kompetent und konform bis zur höchsten Stufe durchführen zu können.

Die Teilnehmer der BSI-Schulung zum "ISO/IEC 27001:2013 Lead Auditor" mit Thomas Ströbele (5. v.links) von yourIT

Inhalte des Seminars

Durch die Schulung wurde das Fundament der modernen Informationssicherheits-Management-Systeme (ISMS - Information Security Management System) beschrieben und vermittelt, im Einzelnen:

• der internationale Standard für Informationssicherheit ISO/IEC 27001:2013,
• der dazugehörige Implementierungsleitfaden ISO/IEC 27002 mit
• allen wichtigen Teilbereichen wie Security Policies, Risikomanagement, Business Continuity Planning oder internes Auditing.

In den fünf Tagen wurden nicht nur die wesentlichen Grundlagen der Informationssicherheit dargelegt, erörtert und besprochen, sondern auch übergeordnete Aspekte wie die Organisation, Technik oder das Prozessmanagement kamen nicht zu kurz. Zudem wurden die nachfolgenden Inhalte im Kurs erarbeitet:

• Erstellung eines ISMS, Auswahl und Handhabung der Kontrollinstrumente;
• Audit- und Interviewtechniken, Führen und Leiten des Auditteams;
• Einleitung und Durchführung eines Audits, Organisation von Einführungs- und Abschlussmeeting;
• Auditbericht, Formulierung von Abweichungen und Ausarbeitung von Korrekturmaßnahmen.

bsi.-Zertifikat ISO 27001:2013 Lead Auditor Thomas Ströbele

Resümee eines Teilnehmers

Mit erfolgreichem Bestehen der IRCA Prüfung haben die Teilnehmer die Fähigkeit mitgenommen, exzellente interne und externe Audits nach ISO/IEC 27001:2013 planen und durchführen zu können. Dies kann Thomas Ströbele, Geschäftsführer der yourIT GmbH aus Hechingen und Teilnehmer des ISO/IEC 27001:2013-Seminars, nur bestätigen: "Zusammen mit anderen Experten aus den Bereichen Datenschutz & IT-Sicherheit an einem fünftägigen Intensivtraining teilzunehmen war ein besonderes Erlebnis. Ohne die langjährige Erfahrung aus vielen Datenschutz- und IT-Sicherheits-Audits wäre der Stoff kaum zu meistern gewesen. Wir werden unsere Vorgehensweise nun noch mehr an den Standards der Norm ISO 27001 ausrichten. Dennoch steht für unsere mittelständischen Kunden die Zertifizierung nach ISA+ weiterhin im Vordergrund - eventuell als Zwischenschritt zur ISO 27001.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Abgrenzung Datenschutz & Informationssicherheit

Der Begriff "Informationssicherheit" bezieht sich auf alle schutzwürdigen Informationen im Unternehmen (wie z.B. Betriebsgeheimnisse, Technologie-Knowhow, etc.). Zur Informationssicherheit zählt somit auch die Sicherheit personenbezogener Daten. Der Schutz personenbezogener Daten wird als Datenschutz bezeichnet und ist somit Teil der Informationssicherheit.

Abgrenzung Informationssicherheit und Datenschutz

Ein wichtiger Unterschied: Der Schutz personenbezogener Daten ist gesetzlich vorgeschrieben und somit für Unternehmen unumgänglich.

In beiden Bereichen sind vom Unternehmen bestimmte Sicherheitsstandards einzuhalten. Dies kann über Informations-Sicherheits-Management-Systeme (ISMS - Information Security Management System) geschehen sowie über proaktives Vorgehen zum Datenschutz. Damit erfüllen Unternehmen die gesetzliche Vorschriften (Datenschutzgesetze) und gewinnen und sichern gleichzeitig das Vertrauen von Kunden, Lieferanten und Partnern.

yourIT - securITy in everything we do

… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

yourIT - securITy in everything we do

Wir stehen für Sicherheit in allen IT-Fragen und freuen uns auf Ihre Projektanfragen.

Ihr yourIT-Team

Für weitere Fragen zum Thema Datenschutz und Informationssicherheit steht Ihnen Herr Ströbele gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele

Kein Impressum-Button im XING-Profil - OLG Stuttgart beendet #XINGGATE

Stuttgart, 20.11.2014: Das OLG Stuttgart hat entschieden, dass Personenprofile auf XING nun doch kein Impressum benötigen. Damit endet die sogenannte #XINGGATE-Affäre mit einem Sieg des vor einiger Zeit abgemahnten XING-Nutzers. Im Sommer 2014 musste man noch mit einer großen Abmahnwelle auf XING rechnen.

Mit einem Verweis auf dieses Urteil haben XING-Nutzer große Chancen, im Falle einer Abmahnung e benfalls den Sieg davon zu tragen. Wer allerdings schon gar nicht in die Gefahr einer Abmahnung geraten möchte, sollte auch weiterhin einen Link auf das Unternehmens-Impressum auf seinem XING-Profil platzieren. Eine Anleitung finden Sie im weiteren Verlauf dieses Posts.

Was vorher geschah:

Hechingen, 19.08.2013: Die häufigen Anfragen von uns Datenschützern haben endlich gefruchtet. XING hat reagiert und stellt nun zumindest im persönlichen XING-Profil einen Impressum-Button im Standard zur Verfügung. Leider steht der Impressum-Button für das XING-Unternehmensprofil noch aus. Hier zeigen wir Ihnen, wie Sie es richtig machen und Abmahnungen vermeiden.

Um diesen zu aktivieren scrollen Sie in den Profildetails ganz nach unten und klicken dann auf Impressum bearbeiten.

Neue XING-Funktion "Impressum bearbeiten"

*******************************************************************

Änderung im August 2014 zum Impressum-Link auf XING

Der Impressum-Link im XING-Profil wurde nun weiter nach oben verschoben. XING reagiert damit auf ein Urteil des Landgerichts Stuttgart. Dieses stellte fest, dass der bisherige klitzekleine Impressum-Link rechts unten die gesetzlichen Anforderungen nicht erfüllte. Ob das nun besser gelöst ist, bleibt abzuwarten.

Der Impressum-Link auf dem XING-Profil ist nun weiter oben zu finden

******************************************************************

Im sich öffnenden Fenster weist XING auf folgendes hin:
"Hier können Sie Ihr Impressum eintragen, das in einigen Ländern auch für Internetpräsenzen von Privatpersonen vorgeschrieben ist. 
Ob eine Verpflichtung für Sie besteht und welche Angaben notwendig sind, entnehmen Sie bitte den auf Sie anwendbaren Gesetzen. Im deutschen Recht finden Sie Impressumspflichten insbesondere in § 5 Telemediengesetz."
Wir empfehlen Ihnen, zumindest einen Link zum Impressum auf der Firmenwebseite zu setzen. Dort sollten Sie noch folgenden Text hinterlegen: "Dieses Impressum gilt auch für die XING-Profile unserer Mitarbeiter." Zum Thema "Abmahnungen und korrektes Impressum" berichteten wir hier bereits im März 2012.

So sieht das fertige XING-Impressum dann für Besucher Ihres XING-Profils aus:

XING-Impressum von Thomas Ströbele mit Link zum yourIT-Impressum

Leider hat es XING bisher nicht geschafft, einen Impressum-Button auch für das XING-Unternehmenprofil bereitzustellen. Als Zwischenlösung empfehlen wir daher, einen direkten Link auf das Impressum der Firmen-Webseite zu setzen. Ein korrektes Beispiel sehen Sie auf dem XING-Unternehmensprofil von yourIT.

Achtung: Weisen Sie Ihre Mitarbeiter unbedingt in Ihrer Social Media Policy auf die korrekte Vorgehensweise mit dem XING-Impressum hin. Die wesentlichen Inhalte einer solchen Social Media Policy finden Sie in meinem Post "Chefsache Facebook".

Für weitere Fragen zum Thema Datenschutz und Social Media stehe ich Ihnen mit unserem Team gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele