Donnerstag, 9. Juni 2016

EU-Datenschutz-Grundverordnung - 8 Dinge, die Sie jetzt vorbereiten sollten

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) soll das Datenschutzrecht innerhalb der Europäischen Union wesentlich vereinfachen, um Privatpersonen und Unternehmen mehr Kontrolle über die eigenen Daten zu verschaffen.


Wichtigste Neuerungen im Überblick


Der wichtigste Teil der neuen Datenschutzverordnung bezieht sich auf Data Governance und Rechenschaftspflicht, wodurch auf die Aufsichtspersonen (Bundesaufsichtspersonal) zahlreiche neue Verpflichtungen zukommen werden. Die Verordnung "Privacy by design" stellt für die Rechtssysteme aller EUMitgliedstaaten eine Neuerung dar. "Privacy by design" besagt, dass Unternehmen interne Richtlinien ausarbeiten und alle notwendigen technischen und organisatorischen Maßnahmen treffen müssen, so dass künftig eine personenbezogene Datenverarbeitung gewährleistet werden kann, bei der die persönlichen Daten ausschließlich für spezifische Zwecke verarbeitet werden können.

Die EU-Datenschutz-Grundverordnung ist jetzt festzementiert


Schutzverletzung und Persönlichkeitsrechte


Mit der neuen EU-Datenschutz-Grundverordnung werden neue Fristen eingeführt, die sich auf den Zeitraum beziehen, ab wann nationalen Aufsichtsorgane über eine Datenschutzverletzung informiert werden müssen. Die neue Frist beträgt nun 72 Stunden. Einzelpersonen werden zudem mehr Kontrolle über ihre persönlichen Daten haben. So können künftig Unternehmen verpflichtet werden, die personenbezogenen Daten der betroffenen Person zu löschen und alle Kopien zu vernichten.

Wie in unserem Blogbeitrag EU-DSGVO – was kommt auf den Mittelstand zu? ausgeführt, gibt es eine Übergangsfrist bis Mai 2018. Wir raten Ihnen aber dringend, Ihr Unternehmen jetzt bereits auf Kurs zu bringen.

Acht Dinge aus der EU-DSGVO, die sich jetzt schon umsetzen sollten


Anhand dieser unvollständigen Liste lässt sich klar erkennen, dass auf Unternehmen eine Menge Arbeit zukommen wird, um die neuen Regelungen und Richtlinien befolgen zu können:


  1. Vorbereitung auf den Verstoß gegen Persönlichkeitsrechte: Es sollten Richtlinien und Methoden entwickelt werden, die es ermöglichen, auf Datenschutzverletzungen schnellstens zu reagieren.
  2. Klar definierte Richtlinien gewährleisten Rechenschaftspflicht: Es sollte sichergestellt werden, dass klar definierte und transparente Richtlinien eingesetzt werden, um zu beweisen, dass alle notwendigen Datenschutz-Kriterien erfüllt werden.
  3. Integration von "Privacy by Design": Die Datenschutzbestimmungen sollten in jedem Datenverarbeitungs-Prozess befolgt werden, insbesondere bei Software-Lösungen.
  4. Detaillierte Analyse der Rechtsgrundlage, auf der personenbezogene Daten verwendet werden: Es sollte eine ausführliche Analyse der unternehmensinternen Datenverarbeitung durchgeführt werden, um sicherzustellen, dass gegen keine der neuen Datenschutzverordnungen verstoßen wird.
  5. Datenschutzbestimmungen und Richtlinien transparent und verständlich gestalten: Die Datenschutzbestimmungen und Richtlinie des Unternehmens sollten transparent gestaltet und in einer verständlichen Ausdrucksweise formuliert werden.
  6. Die Rechte der "Datensubjekte" in den Vordergrund stellen: Unternehmen sollten sich darauf vorbereiten, dass Einzelpersonen ihre zustehenden Rechte nach der neuen EU-Datenschutz-Grundverordnung einfordern werden. Bei der Speicherung persönlicher Daten, sollte unbedingt darauf geachtete werden, dass alle neuen Richtlinien zur Aufbewahrung persönlicher Daten erfüllt werden.
  7. Neue Verpflichtungen für Datenanbieter: Durch die neue EU-Datenschutz-Grundverordnung werden neue Verpflichtungen für Datenanbieter entstehen, die künftig umgesetzt und befolgt werden müssen.
  8. Internationale Datenübertragung: Bei internationalen Datentransfers sollte festgestellt werden, ob es gesetzlich erlaubt ist, personenbezogene Daten in ein anderes Land weiterzuleiten. 


Aus diesem kurzen Überblick über die neue EU-Datenschutz-Grundverordnung wird ersichtlich, dass die neuen Richtlinien Unternehmen nicht nur zwingen, personenbezogene Daten zu speichern, sondern auch bei Bedarf sicher und effektiv zu löschen.

Bei eventuellen Fragen und Unklarheiten zu der neuen EU-Datenschutz-Grundverordnung oder zu Datenschutz-Themen ganz allgemein stehen wir Ihnen jederzeit mit unserem fachmännischen Rat zur Seite.

Wir helfen Ihnen gerne, Ihr Unternehmen optimal auf die neuen Datenschutzregelungen vorzubereiten.

Ihr yourIT-Datenschutz-Team
Posted by am
Labels: , ,

Mittwoch, 25. Mai 2016

EU-Datenschutz-Grundverordnung – was kommt auf den Mittelstand zu?

Selbst Tageszeitungen haben darüber berichtet: In Brüssel hat man sich auf eine EU-Datenschutz-Grundverordnung EU-DSGV geeinigt. Lesen Sie, warum die Verordnung zwar erst ab Mitte 2018 gilt, aber schon jetzt eine gewisse Beachtung verdient.


EU-weite Regelungen als Vorteil


Einheitliche Datenschutzregelungen für die gesamte EU fordern gerade exportorientierte Unternehmen schon lange. Aber auch für Verbraucher, die gern über das Internet jenseits der deutschen Grenzen einkaufen, sind einheitliche Vorgaben von Vorteil. In erstaunlich kurzer Zeit haben sich die EU-Instanzen nun auf solche EU-weiten Regelungen geeinigt. Für jedes andere Mitgliedland ist die Regelung jetzt gültig und tritt in Kraft am 25. Mai 2018 – etwas mehr als zwei Jahre nachdem sie im Amtsblatt veröffentlich wurde.

Die EU-Datenschutz-Grundverordnung ist jetzt festzementiert

EU-Verordnungen wirken wie Gesetze


Das zentrale rechtliche Instrument - Die EU-Datenschutz-Grundverordnung EU-DSGV - ist nicht wie bisher nur eine Richtlinie sondern eine europäische "Verordnung" – und damit bindendes Recht in den teilnehmenden Mitgliedstaaten. Sie wirkt wie ein Gesetz. Daher gibt es keine Notwendigkeit mehr zur Anpassung in das lokale nationale Recht. Einige Länder werden dies aber höchstwahrscheinlich trotzdem tun und ihre bestehenden Datenschutzgesetze, sowie andere Gesetze in Bezug auf personenbezogene Daten, überarbeiten. Jedes Unternehmen sollte nun die verbleibende Zeit nutzen, um zu überprüfen, ob ihre aktuelle Datenverarbeitung und die Datenschutzrichtlinien und Regeln dem neuen Gesetz entsprechen.

Das war bei der EG-Datenschutzrichtlinie EU-DSGV von 1995 anders, die bisher die maßgebliche EU-Regelung für den Datenschutz darstellte. Diese hatte für sich allein keine rechtliche Wirkung für Unternehmen und Privatpersonen. Die erforderliche Umsetzung im Recht der Mitgliedstaaten geschah erst mit jahrelanger Verzögerung.

Übergangsfrist bis Mai 2018


Bei der EU-Datenschutz-Grundverordnung EU-DSGV wird es anders ablaufen. Anfang Mai 2016 wurde sie im Amtsblatt der EU veröffentlicht. Nun läuft eine Übergangszeit von zwei Jahren. Und dann gilt die Verordnung ab dem 25. Mai 2018 über Nacht in vollem Umfang für alle Unternehmen und Privatpersonen innerhalb der EU.

Folge dadurch: „Fallbeileffekt“


Dieser „Fallbeileffekt“ wird alle Unternehmen dazu zwingen, sich bis Mitte 2018 zunehmend stärker auf die Verordnung vorzubereiten. Wundern Sie sich also nicht, wenn demnächst viele Informationen im Unternehmen gesammelt werden müssen, obwohl die Verordnung streng rechtlich gesehen noch gar nicht gültig ist. Zu den Vorgaben der Grundverordnung gehört es nämlich, dass Unternehmen in vielerlei Hinsicht zusätzliche Dokumente erstellen müssen. So müssen sie etwa nachweisen, dass sie erforderliche technische Schutzmaßnahmen bei der Datenverarbeitung und bei der Auftragsdaten-Verarbeitung tatsächlich einhalten.

Extrem hohe Bußgelder möglich


Unabhängig wie hoch die (Geld-)strafen in der alten nationalen Gesetzgebung waren, die in der EU-DSGVO verankerten Strafen sind wirklich immens. So hoch, dass, wenn sie einer kleinen bis mittelgroßen Firma auferlegt werden, existenzbedrohend sein können. „Schlampereien“ können da teuer zu stehen kommen. Im Extremfall sind nämlich Bußgelder bis zu 20 Millionen Euro und 4% des weltweiten Umsatzes des Unternehmens möglich.

Das Bundesdatenschutzgesetz legt dagegen für Bußgelder bisher noch eine Obergrenze von 300.000 Euro fest. Der Vergleich der beiden Beträge zeigt deutlich, wie sehr die Zügel angezogen werden. Bitte haben Sie also Verständnis dafür, wenn notwendige Unterlagen auch einmal etwas drängend angefordert werden. Nur so lässt sich möglicher Schaden vom Unternehmen abwenden.

Mehr Datenschutzbeauftragte in der gesamten EU


Nichts ändert sich übrigens daran, dass es einen betrieblichen Datenschutzbeauftragten geben muss. Die Einzelheiten dafür, wann dies erforderlich ist, überlässt die Verordnung zwar weiterhin dem Recht der Mitgliedstaaten. Für Behörden schreibt sie jedoch europaweit behördliche Datenschutzbeauftragte vor. Für Unternehmen gilt dies dann, wenn es bei ihren Kernaktivitäten um die regelmäßige und systematische Beobachtung von Betroffenen geht oder um besonders sensible Daten. Zumindest im Personalbereich hat jedes Unternehmen solche besonders personenbezogenen Daten. Also braucht jedes Unternehmen einen Datenschutzbeauftragten. Außerdem brauchen Auftragsdatenverarbeiter künftig ganz selbstverständlich einen Datenschutzbeauftragten - unabhängig von der Größe.

Einwilligungen von Kunden gelten weiter


Für die Praxis wichtig: Einwilligungen von Kunden, die bereits vorliegen, wenn die Verordnung Mitte 2018 gültig wird, bleiben auch danach wirksam! Bedingung ist nur, dass sie unter Beachtung der Vorgaben des bisherigen Rechts eingeholt wurden. Beachten Sie also weiterhin peinlich genau das geltende Recht, wenn eine Einwilligung erfolgt! Das macht sich bezahlt, wenn die neue Verordnung ab Mai 2018 gilt.

Betriebsvereinbarungen bleiben in Kraft


Auch Betriebsvereinbarungen zum Datenschutz bleiben unverändert in Kraft. Eine entsprechende Klarstellung konnte bei den Verhandlungen in Brüssel erreicht werden. Es ist also nicht notwendig, wegen der EU-Datenschutz-Grundverordnung EU-DSGV bewährte Betriebsvereinbarungen neu zu verhandeln.
Anpacken statt abwarten!

Insgesamt gesehen wird es notwendig sein, die EU-Datenschutz-Grundverordnung EU-DSGV bis Mitte 2018 mehr und mehr zu berücksichtigen. Nur so lässt sich vermeiden, dass dann alles Mögliche sozusagen „über Nacht“ neu gestaltet werden muss. Wann gehen wir das Thema Datenschutz gemeinsam in Ihrem Unternehmen an?

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.


Posted by am
Labels: , ,

Mittwoch, 11. Mai 2016

Windows 10 - Datenschutz-Einstellungen nicht vergessen!

Das neue Microsoft-Betriebssystem zeigt deutlich, wie wichtig die Datenschutzkontrolle ist, bevor man neue Software nutzt. Denn Datenschutz als Standard ist auf dem IT-Markt bisher kaum in Sicht.


Ein verlockendes Angebot!?


Windows 10 erfreute sich gleich nach seinem Start Ende Juli 2015 großer Beliebtheit bei den Nutzern. Einer der Gründe dürfte sein, dass das Betriebssystem unter bestimmten Bedingungen als kostenloses Upgrade erhältlich ist. Doch kaum war das neue Betriebssystem von Microsoft auf dem Markt, meldeten sich Daten- und Verbraucherschützer mit deutlicher Kritik zu Wort. So bezeichnete der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit Windows 10 als "Fenster zur Privatsphäre". Die Verbraucherzentrale Rheinland-Pfalz e.V. sprach bei Windows 10 von "Überwachung bis zum letzten Klick".

Gratis-Upgrade auf Windows 10 jetzt! Ab August kostet jede Lizenz 279 EUR

Datenschutzerklärungen bleiben oft ungelesen


Die Medien haben daraufhin viel über den Datenschutz bei Windows 10 berichtet. Viele Nutzer waren überrascht von den Meldungen über die Sammlung personenbezogener Daten durch das Betriebssystem. Hätte man allerdings die Datenschutzbestimmungen von Windows 10 gelesen, wäre die Überraschung geringer gewesen. Denn dort liest man, dass Windows 10 eine "personalisierte IT-Umgebung" ist und dass die Schlüsselkomponenten von Windows auf der Cloud beruhen. Weiter heißt es dort: "Um dieses Computer-Erlebnis anzubieten, erheben wir Daten über Sie, Ihr Gerät und wie Sie Windows verwenden. Und weil Windows für Sie persönlich ist, geben wir Ihnen die Wahlmöglichkeiten darüber, welche personenbezogenen Daten wir sammeln und wie wir diese verwenden dürfen."

Datenschutz-Optionen müssen auch genutzt werden


Tatsächlich informiert Microsoft also über die Sammlung personenbezogener Daten. Manche Datenschützer lobten deshalb die Transparenz bei Windows 10. Was allerdings nicht den Vorstellungen des Datenschutzes entspricht, ist die im IT-Markt weit verbreitete Vorgehensweise, die Datenschutzeinstellungen im Standard eher datenschutzunfreundlich zu gestalten.

Whitepaper_Windows_10_Datenschutz-Einstellungen_für_Unternehmen

"Datenschutz als Standard" oder "Privacy by Design" hat also noch eher Seltenheitswert. Für Unternehmen und jeden einzelnen Nutzer von Windows 10 bedeutet das, die Datenschutz-Optionen zu überprüfen und individuell einzustellen.

Bequemlichkeit kann riskant sein


Die größte Gefahr bei Datenschutz-Optionen ist, dass man als Nutzer die Voreinstellungen ungeprüft übernimmt und damit die Entscheidung über den anzuwendenden Datenschutz dem jeweiligen Anbieter überlässt. Das gilt nicht nur für Microsoft und Windows 10, sondern ganz generell. Im Fall von Windows 10 sollte man also nicht die "Express-Einstellungen" bei der Installation wählen, sondern sich die Zeit nehmen, die vielfältigen Einstellungsmöglichkeiten rund um den Datenschutz zu sichten und zu nutzen. Abkürzungen wie die "Express-Einstellungen" erscheinen komfortabel und bequem. Doch sie sind nicht ohne Weiteres zu empfehlen.

Viele Einstellungen haben Bezug zum Datenschutz


Wer sich die Funktion "Einstellungen" bei Windows 10 ansieht, findet dort auch spezielle Datenschutzoptionen. Im Prinzip können sich aber auch in vielen anderen Auswahlbereichen Einstellungen finden, die für den Datenschutz wichtig sind. Bei Windows 10 sind das zum Beispiel neben "Datenschutz" auch Einstelloptionen wie "System", "Geräte", "Netzwerk und Internet", "Personalisierung", "Konten", "Zeit und Sprache" sowie "Update und Sicherheit".

Unter den "Datenschutzeinstellungen" bei Windows 10 finden sich dann gebündelte Auswahloptionen, die Sie allesamt durchsehen sollten. Nicht immer ist direkt ersichtlich und verständlich, warum dieser oder jener Punkt Relevanz für den Datenschutz haben könnte. Doch Einstellungen zum Beispiel zur Kamera legen fest, welche Anwendungen die Bilder nutzen dürfen. Würde es hier keine Einschränkung geben, könnten Bilder an Anwendungen und Dritte gelangen, die diese eigentlich nicht bekommen sollten, würde man den betroffenen Nutzer konkret fragen.

Datenschutz kann Verzicht mit sich bringen


Je nach Option führt die datenschutzfreundliche Einstellung allerdings dazu, dass sich bestimmte Funktionen nicht mehr vollständig oder sogar überhaupt nicht mehr nutzen lassen. Die Spracherkennung Cortana zum Beispiel möchte für eine vollständige Funktion auch Zugriff auf standortdaten, EMails, SMS, Kontaktdaten, Suchverlauf des Browsers und Kalendereinträge. Unterbindet man bestimmte Zugriffe, sind die Funktionen des Sprachassistenten eingeschränkt. Wenn man die Weitergabe der Standortdaten nicht zulässt, funktioniert der digitale Assistent Cortana überhaupt nicht. Das ist bedauerlich. Denn viele Spracheingabe-Funktionen brauchen eigentlich keine aktuellen Positionsdaten.

Der Datenschutz sollte es Ihnen aber wert sein, auf bestimmte Funktionen zu verzichten, insbesondere dann, wenn Datenzugriffe, die die Software fordert, aus Nutzersicht nicht nachvollziehbar sind. Grundsätzlich sollten Datenschutzerklärung und Datenschutzeinstellungen weitaus mehr Beachtung finden - und zwar nicht nur bei Windows 10, sondern bei jeder Software und bei jedem Online-Service.

Die gute Nachricht ist, dass man Windows 10 seine Geschwätzigkeit durch die richtigen Einstellungen weitgehend abgewöhnen kann, ohne dabei auf einen guten Kompromiss zwischen Komfort und innovativen Funktionen auf der einen Seite und Datenschutz sowie dem Schutz der Mitarbeiter und des Unternehmens vor Ausspähung auf der anderen Seite verzichten zu müssen. An dieser Stelle kann man Microsoft loben, hat der Hersteller doch mit Windows 10 die Möglichkeiten, den Datenschutz durch die Einstellungen selbst zu steuern, deutlich verbessert.

Holen Sie sich jetzt unser kostenloses Whitepaper mit den datenschutzkonformen Windows 10 Einstellungen


Was bei der privaten Nutzung oder bei mobilen Geräten wie Smartphones vielleicht akzeptabel erscheint, ist aus Sicht einer professionellen Unternehmens-IT zumindest für Arbeitsplatzrechner und Laptops nicht akzeptabel. Beim Umstieg auf Windows 10 sollten Unternehmen deshalb insbesondere auf diese Funktionen achten.

Gemeinsam mit unserem Partner Aagon stellen wir Ihnen ein Whitepaper zu den datenschutzkonformen Einstellungen in Windows 10 zur Verfügung. Zum Kostenlosen Download klicken Sie bitte hier:

Whitepaper_Windows_10_Datenschutz-Einstellungen_für_Unternehmen

Wie Sie diese Datenschutz-Einstellungen per ACMP-Clientmanagement paketieren und direkt auf allen Clients Ihres Unternehmens-Netzwerkes ausrollen, erfahren Sie gerne bei uns.


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


Beim obigen Text handelt es sich um einen Auszug aus unserem Magazin Datenschutz Now! Ausgabe 10/2015. Zum kostenlosen Download der Gesamtausgabe klicken Sie bitte hier:

Hier geht's zum kostenlosen Download der Gesamtausgabe Datenschutz Now! 10/2015

Ergänzung vom 1105.2016: Der Landesdatenschutzbeauftragte Baden-Württemberg bietet einen Step-by-Step-Leitfaden

Die Security-Experten von yourIT haben den 25-seitigen Leitfaden geprüft. Er ist ausführlich und gut verständlich. Aber unserer Meinung nach taugt er nur für die Anpassung der Datenschutz-Einstellungen von einem bis wenigen Rechnern. Bei mittelständische Unternehmen mit mehreren bis vielen Rechnern wäre die manuelle Einstellung jedes einzelnen Rechners mittels Turnschuh-Administration zu zeit- und kostenaufwändig. Diese stehen besser, wenn Sie diese Datenschutz-Einstellungen per ACMP-Clientmanagement paketieren und direkt auf allen Clients Ihres Unternehmens-Netzwerkes ausrollen
Posted by am
Labels: , ,

Mittwoch, 4. Mai 2016

Kostenlose Broschüre des BfDI zur EU-DSGVO

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) Andrea Voßhoff hat eine kostenlose Broschüre zur EU-Datenschutzgrundverordnung (EU-DSGVO) herausgegeben mit dem deutschsprachigen Gesetzestext und einigen ersten Erläuterungen.


Mit dieser Informationsbroschüre zeigt die BfDI in groben Zügen die Neuerungen der EU-DSGVO gegenüber dem bisherigen Bundesdatenschutzgesetz (BDSG) und den übrigen betroffenen Gesetzen auf.

BfDI-Informationsbroschüre zur EU-DSGVO
BfDI-Informationsbroschüre zur EU-DSGVO

Grundprinzipien und wesentliche Neuerungen der EU-DSGVO


Die rund 190 Seiten starke Informationsbroschüre soll dazu beitragen, einen ersten Überblick über die EU-Datenschutz-Grundverordnung, insbesondere über deren Grundprinzipien und die wesentlichen Neuerungen, zu vermitteln. Sie enthält eine Einführung in die komplexe Materie sowie den Verordnungstext.

Dem Verordnungstext vorangestellt sind folgende interessante Themen:

  • Grundprinzipien des Datenschutzrechts
  • Was ist neu in der EU-DSGVO
  • Technischer und organisatorischer Datenschutz


Hier geht's zum kostenlosen Download


Die Informationsbroschüre der BfDI steht hier zum kostenlosen Download bereit.
Posted by am
Labels:

Montag, 2. Mai 2016

Zwei Jahre "Recht auf Vergessen" - Anspruch auf Löschung von Suchmaschinenergebnissen

Der Europäische Gerichtshof (EuGH) hatte in einem Urteil am 13. Mai 2014 entschieden, dass Suchmaschinen-Betreiber wie Google bestimmte Links aus ihren Suchergebnissen aus datenschutzrechtlichen Gründen löschen müssen. Wie kam dieses Urteil zustande? Wie lautete die Urteilsbegründung? Und welche Bedeutung hat es für den Alltag?


Hintergrund des EuGH-Urteils


Hintergrund des Urteils war ein Streit zwischen einem Spanier und Google. Der Schriftexperte und Professor hatte nach seinem eigenen Namen gesucht und erhielt als Ergebnis von Google unter anderem den Link auf zwei Artikel einer spanischen Tageszeitung. In diesen war zu lesen, dass das Grundstück des Mannes 1998 wegen vorhandener Schulden bei der Sozialversicherung versteigert und dann gepfändet werden sollte. Er wandte sich an die spanische Datenschutzaufsichtsbehörde (AEPD).

Diese forderte Google auf, die Verlinkung zu den Artikeln bei der Suche nach dem Namen des Mannes aufzuheben. Sie begründete dies damit, dass die Pfändung, die im Zusammenhang mit seinem Namen über Google gefunden wird, längst abgeschlossen sei und keine Relevanz mehr besitze. Eine Erwähnung in den Suchergebnissen sei demnach nicht mehr gerechtfertigt. Google kam dieser Aufforderung nicht nach und so landete der Fall vor dem Europäischen Gerichtshof (EuGH).

EuGH zwingt seit 2 Jahren Suchmaschinen-Betreiber wie Google zum Löschen

Urteilsbegründung der Richter


Die Richter des EuGH prüften den Fall sorgfältig und kamen zu dem Ergebnis, dass es grundsätzlich datenschutzrechtliche Löschansprüche gibt und dass Suchmaschinenbetreiber wie Google betroffene Links entfernen müssen. Als Begründung des Urteils wiesen die Richter darauf hin, dass die Anzeige von Ergebnissen einer Suchmaschine bereits eine datenschutzrechtliche Verarbeitung enthalte. Für diese Verarbeitung seien die Suchmaschinenbetreiber wie Google verantwortlich, da sie entscheiden, welche Seiten in der Ergebnisliste auftauchen. Außerdem unterliege auch die digitale Verarbeitung von Daten dem Marktort- und Sitzlandprinzip, so der EuGH. Das bedeutet, dass das europäische Datenschutzgesetz immer dann angewendet werden darf, wenn diese Datenverarbeitung einen regionalen Bezug zu dem Ort der Niederlassung hat. Wo die Datenverarbeitung selbst stattfindet (im Fall von Google in den USA), spielt hierbei keine Rolle.

Das bedeutet das EuGH-Urteil für den Alltag


Das Urteil des EuGH wurde von den meisten europäischen Politikern und Datenschützern begrüßt. Hervorzuheben sind hierbei vor allem zwei Aspekte: Erstens bestätigte das Gericht die Gültigkeit des europäischen Datenschutzrechts für Nicht-EU-Unternehmen, die in der EU Niederlassungen haben. Zweitens räumten die Richter dem Datenschutz eine größere Bedeutung ein als wirtschaftlichen Interessen.

Für den einzelnen EU-Bürger bedeutet das Urteil, dass Suchmaschinenbetreiber wie Google Suchergebnisse löschen müssen, wenn diese kein allgemeines Interesse mehr bedienen, aber Rückschlüsse auf eine bestimmte Person erlauben. Dann muss die Verlinkung zu der jeweiligen Information gelöscht werden. Die Information selbst, die beispielsweise wie oben beschrieben in einem Zeitungsartikel steht, muss nicht zwangsläufig gelöscht werden. Sie kann weiterhin über interne oder externe Links aufgerufen werden. Bei Personen des öffentlichen Lebens gibt es
allerdings noch weitere Einschränkungen.

Das bedeutet das EuGH-Urteil für Sie


Wenn Sie von längst überholten Suchergebnissen ohne öffentliches Interesse betroffen sind oder sich rufschädigender Kritik ausgesetzt sehen, können Sie Google & Co. auffordern, entsprechende Links zu löschen. Beim Stellen eines Löschantrags ist jedoch eine genaue Prüfung und schlüssige Erklärung unverzichtbar. Ansonsten besteht die Gefahr, dass der Antrag abgelehnt wird. Um Formfehler zu vermeiden, können Sie sich vertrauensvoll an uns wenden. Wir beraten Sie professionell zur Löschung von Suchergebnissen und stehen Ihnen mit Rat und Tat zur Seite.


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


Auch interessant: Blogbeitrag "Immer Ärger mit Kununu"


Lesen Sie hierzu auch unseren Blogbeitrag "Immer Ärger mit Kununu". Dort haben Sie die Möglichkeit, sich eine kostenlose Anleitung herunterzuladen. Viel Erfolg. Und berichten Sie mir über Ihre Ergebnisse.

Hier geht's zum Blogbeitrag mit Anleitung zur Meldung von Rechtsverletzungen auf Kununu wie z.B. Datenschutz-Verstößen

Posted by am
Labels:

Mittwoch, 20. April 2016

Spam-Angriff auf XING legt Gruppen lahm

Auch Social Media Netzwerke wie Xing sind vor Spam-Attacken nicht gefeit. Gestern Abend meldet die Xing-Community, dass die Beitrittsoption für die Xing-Gruppen aufgrund eines massiven Spam-Angriffs zeitweilig abgeschaltet wird.


Beitrittsoption zu Xing-Gruppen aufgrund Spam-Attacke vorübergehend abgeschaltet
In einem Moderatorenbeitrag der Gruppe Xing Community erklärt Xing, das Abschalten der Beitrittsoption für die Xing-Gruppen bedeutet, dass derzeit keine neuen Mitglieder in vorhandene Gruppen eintreten können. Bei offenen Gruppen bleiben die Beiträge aber weiterhin  öffentlich sichtbar.

Xing entschuldigt sich bei den Mitgliedern für die Unannehmlichkeiten und sucht schnellstmögliche nach Lösungen, um das akute Problem zu beheben.

Spam ist ein Übel unserer Zeit. Erst im Februar 2016 meldete Web.de, dass das Spam-Aufkommen bei Web.de und GMX im Jahr 2015 mehr als verdoppelt habe. Die Anzahl schädlicher Links habe sogar noch deutlicher zugenommen.

Auch der derzeit bekannteste Erpressungs-Trojaner Locky verbreitet sich am Liebsten über Spam.

Sechs Tipps zum Umgang mit Spam in Ihrem Unternehmen

Die Security-Experten von yourIT raten zum sorgsamen Umgang mit Spam in Unternehmen. Der anfängliche Aufwand amortisiert sich schnell. Die Gefahr erfolgreicher Angriffe sinkt. Hier unsere Top-6-Tipps:


  1. Schalten Sie unbedingt einen "richtigen" Spamfilter ein. Es macht einen großen Unterschied, ob Ihre Mitarbeiter jeden Tag 5 oder 15 Spam-E-Mails manuell ausfiltern müssen. Gehen Sie davon aus, dass jede unnötig zu bearbeitende E-Mail etwa 5 Minuten Arbeitszeit kostet - auch wenn diese vom Mitarbeiter nur gelöscht wird. Aufgrund der aktuellen Attacken durch Erpressungs-Trojaner wie Locky haben die Security-Experten von yourIT den Spamfilter-Markt neu inspiziert. Wir empfehlen Ihnen gerne die zu Ihrem Unternehmen passende Anti-Spam-Lösung.
  2. E-Mail-Adressen sollten nicht öffentlich verwendet werden. Stellen Sie keine E-Mail-Adressen unbekümmert ins Netz - z.B. auf Websites, Blogs oder in Soziale Netzwerke. Spammer suchen dort gezielt nach E-Mail-Adressen, denen sie Spam zusenden können.
  3. Verwenden Sie verschiedene E-Mail-Adressen für verschiedene Anwendungen. Dadurch werden potentiell lohnenswerte Angriffsziele für Spammer weniger durchschaubar.
  4. Reagieren Sie niemals und in keinster Weise auf Spam. Antworten Sie nicht. Klicken Sie auch auf keinen der Links. Auch von experimentellen Selbstversuchen raten wir dringend ab - das haben andere schon versucht, z.B. hier ein Beitrag bei Channelpartner.
  5. yourIT rät dringend zur besonderen Vorsicht bei Rechnungen per E-Mail. Gerade Erpressungs-Trojaner wie z.B. Locky verstecken sich gerne hinter angeblichen Rechnungs-Anhängen. Die Security-Experten von yourIT haben eine Checkliste für Ihre Mitarbeiter erstellt, die wir Ihnen gerne zum kostenlosen Download bereitstellen.
  6. Sensibilisieren Sie Ihre Mitarbeiter. Machen Sie klar, wie gefährlich die aktuellen Spam-Angriffswellen, dass die bisher getroffenen Abwehrmaßnahmen der IT-Abteilung nicht 100-prozentig schützen und dass 1 falscher Klick genügt, um das gesamte Unternehmen zu gefährden. Investieren Sie etwas Zeit in die Erhöhung der Verantwortlichkeit Ihrer Mitarbeiter. Solche Schulungen führen wir gerne für Sie durch.

Wie können wir von yourIT Sie unterstützen?


Wir haben z.B. einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Diesen können Sie hier kostenlos downloaden, ausdrucken und in Sichtweite der Bildschirmarbeitsplätze Ihrer Mitarbeiter aushängen.

Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:
  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.


Posted by am
Labels: ,

Donnerstag, 7. April 2016

Auftragsdatenverarbeitung vs. Funktionsübertragung - Diese Punkte sollten Sie beachten

Häufig kommt es vor, dass Unternehmen sich nicht sicher sind, ob es sich bei einer Outsourcing-Dienstleistung datenschutzrechtlich um eine Auftragsdatenverarbeitung oder eine Funktionsübertragung handelt. Dies ist insofern wichtig, da im Falle einer Auftragsdatenverarbeitung natürlich ein ADV-Vertrag nach § 11 BDSG zwischen Auftraggeber und Auftragnehmer geschlossen werden muss.


Auftragsdatenverarbeitung


Eine Auftragsdatenverarbeitung zeichnet sich regelmäßig durch folgende Eigenschaften aus:

  • Der Outsourcing-Dienstleister/Auftragnehmer hat selber keinen Vertrag mit dem Betroffenen.
  • Er tritt gegenüber dem Betroffenen nicht mit eigenem Namen auf.
  • In der Regel hat er nur Umgang mit den Daten, die ihm der Auftraggeber zur Verfügung stellt.
  • Er hat keinerlei Befugnis, über die Daten zu entscheiden.
  • Er ist weisungsgebunden bezüglich der Daten.
  • Fiktiv tritt er als Teil des Auftraggeber-Unternehmens auf.
  • Die Nutzung der Daten zu eigenen Zwecken ist ausgeschlossen!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die ADV nach § 11 BDSG

Beispiele für Auftragsdatenverarbeiter


Auftragsdatenverarbeitung findet man nahezu immer im Bereich Outsourcing. Rechenzentren, Callcenter, Entsorgungsunternehmen oder Druckereien sind typische Auftragsdatenverarbeiter. Aber auch Systemhäuser sowie Hard- und Softwareunternehmen, die bei der (Fern-)Wartung beiläufig auf personenbezogene Daten treffen könnten, fallen hierunter.

Funktionsübertragung


Die Funktionsübertragung unterscheidet sich von der Auftragsdatenverarbeitung insbesondere dadurch, dass der Outsourcing-Dienstleister:
  • die Verantwortung was die Zulässigkeit der Datenverarbeitung betrifft, übernimmt. Er wird zur verantwortlichen Stelle.
  • gegenüber dem Auftraggeber weisungsfrei ist, was die Datenerhebung, -verarbeitung und -nutzung anbelangt. Der Auftraggeber hat keinen Einfluss.
  • eigenverantwortlich die Rechte der Betroffenen sicherstellen muss.
  • gegenüber dem Betroffenen unter eigenem Namen auftritt.
  • in der Regel über ein bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der Auftraggeber nicht besitzt.
  • Nutzungsrechte an den Daten hat.
  • die Daten zu eigenen Zwecken verwenden kann, falls dies nicht anders geregelt ist!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die Funktionsübertragung

Beispiele für Funktionsübertragung


Beispiele für Funktionsübertragung finden sich insbesondere im Falle von Ärzten, Rechtsanwälten, Steuerkanzleien, Inkassounternehmen oder Privatdetektiven. Es ist ganz klar zu erkennen, dass der Auftraggeber hier ja gar nicht in der Lage wäre, dem Dienstleister Anweisungen oder Vorgaben für die Durchführung des Auftrags zu geben. Somit fallen auch viele Datenweitergaben innerhalb eines Konzerns unter die Funktionsübertragung, z.B. die Bildung einer zentralen Konzern-Personalverwaltung.

Tipp: Auch Funktionsübertragung vertraglich regeln!


Auch wenn bei der Funktionsübertragung keine gesetzliche Pflicht zum Abschluss eines Vertrages besteht, ist es insofern aufgrund haftungsrechtlicher Überlegungen und zum Schutz von Betroffenen im Einzelfall sinnvoll, die in § 11 BDSG aufgeführten Kriterien auch bei der Funktionsübertragung als Maßstab für die Auswahl des Outsourcingnehmers und die Vertragsgestaltung anzuwenden. Hier kann der Auftraggeber für ihn wichtige Dinge konkret ausformulieren, z.B.

  • Verantwortlichkeiten
  • Zweckbindung
  • Hinweispflichten
  • Geheimhaltungspflichten
  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Festlegung der technischen und organisatorischen Maßnahmen
  • Prüfungs- und Kontrollrechte
  • Unterauftragsverhältnisse
Ich empfehle in der Regel, speziell auch das Thema Haftungsübernahme durch den Outsourcingnehmer explizit schriftlich zu regeln. Nicht dass hier Missverständnisse bleiben.

BEST OF CONSULTING 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2016 ausgezeichnet.


Gerne unterstützen wir auch Ihr Unternehmen. Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 
Posted by am
Labels: , , ,

Freitag, 1. April 2016

Erpressungs-Trojaner: So reagieren Sie richtig

Aktuell überstürzen sich die Meldungen über Erpressungs-Trojander, die sich auf Rechnern einschleichen. Diese "Ransomware" verschlüsselt wichtige Daten der Opfer und verlangt Lösegeld für die Entschlüsselung. Sowohl Unternehmen als auch Privatnutzer sind in Gefahr. Was tun, um dem zu begegnen?


Erpresser kommen per E-Mail sowie über Internet und Apps


2016 wird das Jahr der Online-Erpressung, da sind sich IT-Sicherheits-Experten einig. Bereits seit über zehn Jahren versuchen Internet-Kriminelle, ihren Opfern Angst einzujagen und Geld zu erpressen. Früher behaupteten die Erpresser, sie hätten die Nutzer bei einer illegalen Tat erwischt, zum Beispiel bei der Nutzung einer Raubkopie. Nur gegen Zahlung eines Geldbetrags würden sie der Polizei gegenüber schweigen. Die Erpressermasche hat sich inzwischen geändert und bedroht nun das Herzstück jeder IT, die Daten.

yourIT warnt vor gefährlichen Erpresser-Trojanern

Die Erpressung beginnt mit einer Schadsoftware, die über E-Mail, Browser oder mobile Apps auf das Gerät des Opfers kommt. Dort verschlüsselt das Schadprogramm alle Daten des Nutzers. Nur gegen Zahlung des Lösegelds werden die Daten wieder freigegeben, also entschlüsselt, so die Drohung.  Diese Art von Attacken werden auch als Ransomware bezeichnet ("Ransome" ist der englische Begriff für "Lösegeld").

Neue Maschen der Ransomware


Täglich erreichen unsere Security-Experten erschreckende  Meldungen über neue Arten von Erpressungs-Trojanern. Einer schlimmer als der letzte. Die neuesten Maschen sind:

  • 30.03.2016: Der Erpressungs-Trojaner SAMSA (auch Samsam, Samas oder Mokoponi genannt) wird über Hacker aktiv eingeschleust. Mittels aktive durchgeführter Penetrationstests finden die Cyber-Verbrecher bekannte und nicht geschlossene Schwachstellen in Ihrem IT-Netzwerk und nutzen diese daraufhin aus. Im nächsten Schritt versuchen die Erpresser soviele Systeme im Netz zu übernehmen wie möglich. Erst zum Schluß wird der eigentliche Erpressungs-Trojaner SAMSA eingeschleust und hat dann natürlich leichtes Spiel, einen großen Teil des Unternehmensnetzwerks zu verschlüsseln. 
  • 29.03.2016: Gelangt der Erpressungs-Trojaner PETYA auf ihren Rechner (häufig per Dropbox!), tut er erstmal so, als ob Windows abgestürzt wäre. Erst in einer zweiten Phase - beim Neustart des Systems - werden die Daten verschlüsselt. Startet man das System nicht neu, kann man die daten noch retten. Also: Aktuell sollte man Vorsicht walten lassen, wenn der Rechner plötzlich abstürzt.


Opfer sind größtenteils völlig hilf- und schutzlos


Leider sind viele Opfer so hilflos, dass sie tatsächlich bezahlen, oft aber ohne dass die versprochene Entschlüsselung stattfindet. Bezahlt man mit Kreditkarte, missbrauchen die Täter womöglich auch diese Daten, zusätzlich zu den unbrauchbaren eigenen Daten.

Der Schaden ist enorm 


Wie erfolgreich die Online-Erpresser sind, zeigen aktuelle Beispiele: Die Schadsoftware CryptoWall konnten IT-Sicherheitsforscher in über 406.000 Fällen nachweisen. Die Erpresser erbeuteten dabei 325 Millionen US-Dollar als Lösegeld. Leider ist das kein Einzelfall. Der Schaden für die betroffenen Unternehmen und Nutzer geht aber noch weiter, als es die Höhe des Lösegelds vermuten lässt. Da die Angreifer die Daten häufig gar nicht mehr entschlüsseln, fehlen sie dauerhaft.

Verschlüsselte Daten als Super-Gau


Häufig gibt es keine Datensicherung bei den Betroffenen, oder die Datensicherung war ebenso schlecht geschützt wie die Daten selbst, und beides wurde verschlüsselt. Je nach Daten und Art des Unternehmens kann ein solcher Datenverlust die Existenz bedrohen oder aber den Ruf so stark schädigen, dass Kundenzahl und Umsatz drastisch zurückgehen.

Bei Privatnutzern ist der Schaden finanziell gesehen zwar meist geringer. Aber wenn sich wichtige Daten wie die einzigen Fotos, die von einem geliebten Menschen noch vorhanden sind, nicht mehr öffnen lassen, ist der Verlust ebenfalls groß.

Nicht erpressen lassen, sondern Daten besser schützen


Auch Deutsche Sicherheitsbehörden wie das Bundeskriminalamt oder die Landeskriminalämter warnen derzeit vor Erpressungs-Trojanern. Sie raten dazu, den Online-Erpressern kein Lösegeld zu zahlen. Gegen diese Online-Erpresser können Sie sich nur durch eine gute Absicherung der IT wappnen: Ein professionelles Firewall-Konzept, aktuelle Antiviren-Software und eine Begrenzung der Berechtigungen auf den Computern, die mit dem Internet verbunden sind.

Entscheidend ist vor allem die regelmäßige, vollständige und geschützte Sicherung der Daten, um Erpressungs-Trojanern den Schrecken zu nehmen. Hat man ein Backup, braucht man keine Entschlüsselung – die oft sowieso nie kommen würde.

So schützen Sie sich vor den aktuellen Erpressungs-Trojanern



Liebe Unternehmer, den effektivsten Schutz für Ihre Daten bringt derzeit eine umfassende Sensibilisierung der Mitarbeiter! Schulen Sie diese jetzt und weisen Sie dabei auf folgende Punkte hin:

  • Prüfen Sie eingehende E-Mails sorgfältig, insbesondere dann, wenn Sie über einen Link zum Download von Unterlagen unbekannter Quellen aufgefordert werden.
  • Öffnen Sie niemals Links oder Dateianhänge in Nachrichten von Ihnen unbekanntem Absendern.
  • Überprüfen Sie Links hinsichtlich der tatsächlichen Zieladresse, indem Sie mit dem Zeiger der Maus über den Link streifen („Mouse-Over“). Bitte nicht klicken!
  • Öffnen Sie niemals Dateianhänge mit unüblichen Dateitypen (.exe, .vbs, .pdf.exe, .js, etc.). Achten Sie darauf, dass Ihr System Dateianhänge vollständig anzeigt. Sonst wird z.B. die Endung *.pdf.exe als *.pdf angezeigt.
  • Prüfen Sie ein- und ausgehende E-Mails und Dateien mit Anti Malware Tools (Spamfilter, etc.)
  • Sichern Sie Ihre Systeme mit Schutzsoftware (Firewall, Anti-Viren-Programm) und halten Sie diese aktuell
  • Installieren Sie regelmäßig Updates für Adobe Flash, Java, Adobe Reader etc.
  • Führen Sie regelmäßige Datensicherungen auf externe Medien bzw. Online-Backups durch.
  • Denken Sie zweimal nach, bevor Sie in Portalen wie Facebook auf sensationshaschende oder neugierigmachende Meldungen klicken.


Sollten Sie doch einmal Opfer eines solchen Angriffs werden: Ruhe bewahren!

Bleiben Sie ruhig und gehen Sie wie folgt vor:

  • Trennen Sie das befallene Gerät umgehend vom Netzwerk (durch Abziehen des LAN-Kabels).
  • Gehen Sie auf keinen Fall auf die Forderung der Kriminellen ein. Bezahlen Sie nicht!
  • Melden Sie das Problem Ihrem Vorgesetzten, dem IT-Verantwortlichen oder Ihrem IT-Dienstleister.
  • Erstatten Sie eine Anzeige bei der nächsten Polizeidienststelle.
  • Stellen Sie Ihre Daten aus einem Backup wieder her, gegebenenfalls mit der Unterstützung externer IT-Sicherheits-Spezialisten wie yourIT.

Wie können wir von yourIT Sie unterstützen?


Wir haben einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Fragen Sie uns jetzt an.

Erpressungs-Trojaner Wir von yourIT helfen Ihnen gern!
Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:

  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Posted by am
Labels: , , , , , ,
Abonnieren Posts (Atom)