Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Datenschutz macht Arbeit. Das gilt besonders für Maßnahmen der Datensicherheit, wie etwa die Verschlüsselung von E-Mails. Kann man sich solche Mühen sparen, wenn ein Kunde damit ausdrücklich einverstanden ist?

Datensicherheit verlangt Differenzierung

Gleich zu Beginn eine Klarstellung: Nein, es steht nirgends in der EU-Datenschutzgrundverordnung (EU-DSGVO), dass E-Mails immer verschlüsselt werden müssten. Aber die EU-DSGVO verlangt, dass man sich Gedanken darüber macht, wann dies nötig ist. Wir sprechen hier von einer "risikobasierten Vorgehensweise". Die sehr umfangreiche Regelung über die Sicherheit der Verarbeitung in Art. 32 EU-DSGVO zwingt Unternehmen dazu, sich zu entscheiden. Ist das Risiko für den Datenschutz so hoch, dass eine Verschlüsselung notwendig ist?Oder ist das nicht der Fall?

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Der Zwang zur Entscheidung gilt auch für viele andere Fragen rund um die Sicherheit der Verarbeitung. So ist etwa eine Entscheidung nötig, wie intensiv eine Zugangskontrolle sein muss. In einem großen Rechenzentrum wird sie sicher anders aussehen als in einer Werbeagentur mit einigen wenigen Kundenlisten. Oder nehmen Sie nur ein Krankenhaus als Beispiel...

Datenschutz-Verstöße: Geldbußen gegen Mitarbeiter?

Geldbußen gegen Mitarbeiter von Unternehmen sieht die EU-DSGVO nicht vor. So liest man in der letzten Zeit häufig. Doch stimmt das überhaupt? Die ehrliche Antwort auf diese Frage lautet: Meist schon, aber keineswegs immer!

Datenschutz-Verstoß eines Mitarbeiters

Ein Mitarbeiter übermittelt Daten, obwohl die Datenschutz-Grundverordnung (EU-DSGVO) das nicht zulässt. Der Grund: Er kennt sich mit den Vorschriften nicht richtig aus und hat sie falsch interpretiert. Eigentlich hätte ihm dies nicht passieren dürfen, denn er hat eine betriebsinterne Datenschutz-Schulung besucht. Aber wie es so geht: Gerade als diese Frage behandelt wurde, war er gedanklich woanders.

Datenschutz-Verstöße: Geldbußen gegen Mitarbeiter?

Das ist ein typischer Fall von Fahrlässigkeit. Dass er bloß fahrlässig gehandelt hat, würde dem Mitarbeiter für sich allein allerdings nichts helfen. Denn die Regelung zur Verhängung von Geldbußen in Art. 83 EU-DSGVO kennt auch Geldbußen für fahrlässiges Handeln.

Die DSGVO-Pannen-Show

Auf dem diesjährigen Chaos Communication Camp präsentierte der LfDI BW die "DSGVO-Pannen-Show", mit einem Quiz und vielen Fallbeispielen.

"Der Chaos Computer Club e. V. (CCC) ist die größte europäische Hackervereinigung und seit über dreißig Jahren Vermittler im Spannungsfeld technischer und sozialer Entwicklungen" heißt es auf der eigenen Website. Der CCC organisiert alle vier Jahre das Chaos Communication Camp, welches vom 21. - 25. August 2019 bei Berlin stattfand. 

Der LfDI testet das Wissen der Besucher!

EU-DSGVO - Entsorgung von Datenträgern - Darauf sollten Sie achten!

Fehler bei der Entsorgung von Datenträgern gehören unverändert zu den häufigsten Datenpannen. Eine überraschend große Zahl einschlägiger Verletzungsmeldungen an die Aufsichtsbehörden für den Datenschutz zeigt: Die Aufmerksamkeit bei der Entsorgung von Datenträgern darf nicht nachlassen!

Papier als klassischer Datenträger

Klassischer „Datenträger“ ist Papier. Büros ganz ohne personenbezogene Daten auf Papier sind nach wie vor selten. Fast jeder druckt gelegentlich eine E-Mail aus. Und Notizzettel aller Art finden sich auch fast überall. All dies landet im Papierkorb. Hoffentlich im richtigen. Denn sollte zum Beispiel für Kunststoffabfälle auch noch ein „gelber Sack“ bereitstehen, findet immer wieder so mancher Zettel seinen Weg unzulässigerweise dorthin.

Altbestände

Oft gibt es noch „Altbestände“ in Form von Ordnern voller Papier oder auch in Form von Schachteln voller loser Blätter.

EU-DSGVO - Entsorgung von Datenträgern - Darauf sollten Sie achten!

Das Verzeichnis von Verarbeitungstätigkeiten (VvV)

„Verzeichnis“ – das hört sich nach Bürokratie und Arbeit an. Und was bitte bedeutet der seltsame Begriff „Verarbeitungstätigkeiten“? In jedem Fall sollten Sie wissen: Unternehmen droht Ärger, wenn sie kein solches Verzeichnis von Verarbeitungstätigkeiten (VvV) haben. Also helfen Sie mit, es zu erstellen, wenn man Sie darum bittet.

Neue Regeln seit 25. Mai 2018

Unternehmen müssen seit 25. Mai 2018 die Europäische Datenschutz-Grundverordnung (EU-DSGVO) beachten. Sie ist ein EU-Gesetz. Das hat sich herumgesprochen. Weniger bekannt ist den meisten, dass die EU-DSGVO neue Formalien mit sich bringt. Kernstück ist dabei das „Verzeichnis von Verarbeitungstätigkeiten“ - kurz VvV.

Ohne Stress zum Verzeichnis von Verarbeitungstätigkeiten (VvV) - mit Unterstützung durch yourIT

Irisches Datentransferweltende: Schrems II, der EuGH und die (Un)Freiheiten der Aufsichtsbehörden

Irisches Datentransferweltende: Schrems II, der EuGH und die (Un)Freiheiten der Aufsichtsbehörden

Wir haben uns gestern näher mit dem „Schrems II“-Fall vor dem EuGH beschäftigt. Hintergrund war die Anhörung in Luxemburg am 09.07.2019. Offizielles Ziel war, rauszufinden, ob das Verfahren unsere Kunden betrifft, inoffiziell wollten wir nur eine Bestätigung, dass das uns nicht betrifft. Hat leider nicht ganz geklappt. 


Kurz zum Fall: Die irische Aufsichtsbehörde lässt beim EuGH anfragen (nachdem der Datenschutzaktivist Max Schrems gegen Facebook in Irland vorgegangen ist und ein nationales Gericht den Fall an den EuGH verwiesen hat), wie sie die Übertragung von personenbezogene Daten an Facebook USA bewerten soll, wenn diese Übertragung auf dem Privacy Shield sowie Standardvertragsklauseln basiert. 

Aus Sicht des Datenschutzes ist die Irische See manchmal kleiner als gedacht

Bundestag verabschiedet Anpassung zum BDSG-neu

Die Grenze für die Pflicht zur Benennung eines Datenschutzbeauftragten wird auf 20 Personen heraufgesetzt - oder wie der Gesetzgeber neue Bußgeldfallen stellt.

Der Bundestag hat am Donnerstag, 27. Juni 2019 den Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016 / 679 beschlossen. Am meisten Aufmerksamkeit hat dabei Veränderung der Benennungspflicht bekommen.

Das zweites Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG-EU) bietet aber noch mehr Gesprächsstoff. Z.B. das 'Bundesamt für Sicherheit in der Informationstechnik' (BSI) – „die mit dem IT-Grundschutz“ - wird vor Betroffenenanfragen geschützt durch Einschränkung der Auskunftsrechte. Es gibt berechtigte Zweifel, ob dies sinnvoll ist, wenn nun DIE Behörde für Informationssicherheit weniger transparent arbeiten darf - vertrauensbildende Maßnahmen sehen jedenfalls anders aus. 

Schön, wenn wenigstens für die Bürokratie die Bürokratie abgebaut wird. Wie aber ist nun zu bewerten, dass jetzt nur noch Unternehmen, in denen mehr als 20, statt bisher 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend einen Datenschutzbeauftragen bestellen müssen?

Zukünftige Pflicht zu Benennung eines DSB ab 20 Mitarbeitern - Wann es sich lohn, durchzählen

Achtung! Gefälschte E-Mails von IHK-Studien.de im Umlauf

Wieder sind gefälschte E-Mails im Umlauf und dabei besser getarnt denn je. Daher gilt es: Gehen Sie behutsam mit empfangenen E-Mails um. Öffnen Sie die Anhänge nicht wahllos und klicken Sie nicht auf die Links.

Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail der IHK-Studien erhalten, welche mehrere Links erhält, dann klicken Sie bitte keinen hiervon an. Informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus.

Gefälschte E-Mails sind besser getarnt denn je!

Der Aufbau der E-Mail entspricht diesem Schema:
_____________________________________________
Von: Andre Schneider <schneider@ihk-studien.de>

Gesendet: Montag, 24.06.2019 09:01
An: Musterfirma <info@musterfirma.de>
Betreff: [MASSMAIL]Re: Angebotsanfrage Studie New Work Arbeitswelt