Tag Archives: Datenschutz Baden Württemberg

Pressemitteilungen

Datenschutz: So schützen Sie sich vor Terrorismus

Terrorismusbekämpfung betrifft Unternehmen

Datenschutz: So schützen Sie sich vor Terrorismus

So schützen Sie sich vor Terrorismus

Die Einführung der EU-Antiterrorismusverordnung hat für das europäische Außenwirtschaftsrecht gravierende Auswirkungen. Bisher waren Warenlieferungen in bestimmte Länder untersagt, oder sie bestanden unter dem Vorbehalt der Genehmigung. Durch die Gesetzesnovelle sind auch geschäftliche Kontakte zu Personen oder Gruppen verboten, sofern diese auf einer von den zuständigen Behörden veröffentlichten Liste von terroristisch geprägten Institutionen oder Personen aufgeführt sind. Ihre Nichteinhaltung ist strafbar. Das Strafmaß liegt bei einer Freiheitsstrafe von bis zu 15 Jahren und einer Geldstrafe in Höhe von bis zu 500.000 Euro.

Viele Unternehmen sind wenig vorbereitet
Die EU-Verordnung stellt Unternehmen aller Branchen vor erhebliche Herausforderungen. In der Vergangenheit waren Kontrollen von einzelnen Ländern oder Waren, die unter das Embargo fielen, mit einem vertretbaren Aufwand realisierbar. Die nun erforderlichen Überprüfungen sind länderunabhängig, und sie betreffen Personen und Organisationen. Die EG-Verordnung Nr. 2580/2001 untersagt die Bereitstellung von Geldern jeglicher Art an Terrororganisationen und ihnen nahestehende Personen, die auf getrennten Listen geführt werden. Die VO Nr. 881/2002 ist davon unabhängig und deckt die Kontrolle von benannten Personen und Organisationen ab, die mit den Anschlägen des 11. September 2001 in einen direkten Zusammenhang zu bringen sind. Aus beiden Verordnungen resultiert die Auflage, dass Terroristen und ihnen nahestehenden Gruppen weder Geld oder andere Vermögenswerte zugänglich gemacht werden dürfen. Somit muss branchenunabhängig bei jeder Lieferung in ein Drittland und bei allen Inlands- und Binnenmarktgeschäften überprüft werden, ob eine Namensgleichheit mit einer Person auf einer der unterschiedlichen Listen besteht. Entsprechende Kontrollmechanismen sind in vielen Betrieben noch nicht umgesetzt.

Gesamte Prozesskette ist betroffen
In der Finanzbuchhaltung müssen Guthaben von gelisteten Personen und Organisationen eingefroren werden. Auszahlungen an diese Gelisteten sind untersagt. Im Vertrieb muss jedes Geschäft überprüft werden, ob eine verdächtige Person in einen Kauf involviert ist. Der Einkauf muss entsprechende Ankäufe von Waren verhindern, der Kundenservice darf für involvierte Kunden keine Leistungen erbringen. Die Personalabteilungen haben zu prüfen, ob gelistete Personen im Unternehmen arbeiten. Die getroffenen Maßnahmen müssen sicherstellen, dass Verstöße gegen die Verordnungen nicht fahrlässig oder vorsätzlich möglich sind. Sollten Fehler bei der Umsetzung auftreten, drohen strafrechtliche Konsequenzen, Umsatzabschöpfungen sowie eine Eintragung ins Gewerberegister.

Datenschutzrechtlich muss geprüft werden, ob eine Verfahrensbeschreibung geführt werden muss. Zudem ist das Schliessen einer Auftragsdatenverarbeitung zu prüfen, falls die geforderten Kontrollen von externen Dienstleistern erbracht werden.

Weiter Informationen zu diesem Thema, sowie zum Datenschutz und IT-Sicherheit können vom Datenschutzexperten Peter Suhling von suhling management consulting unter http://suhling.biz bezogen werden.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG, EU-DSGVO und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Hauptstraße 128
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressemitteilungen

Datenschutz: 4 kostenlose Tipps zum Umgang mit E-Mails im Unternehmen

Ohne Richtlinien zum Umgang mit E-Mail im Unternehmen ist Ärger vorprogrammiert

Datenschutz: 4 kostenlose Tipps zum Umgang mit E-Mails im Unternehmen

Ohne Richtlinien ist Ärger vorprogrammiert

E-Mail-Tipp 1:
Der Gebrauch des Internets und dabei vor allem der Umgang mit betrieblichen E-Mail-Accounts im Unternehmen sollten zur Sicherheit aller Beteiligten schriftlich fixiert werden. Das betrifft insbesondere den Onlinezugang, die Dokumentation, die Analyse und mögliche legale Kontrollmaßnahmen. Speziell die in Betracht kommenden Kontrollen der Nutzung sowie eventuelle Maßregelungen bei Verstößen sind dort explizit festzuhalten. Die Mitarbeiter sind darüber ausführlich zu informieren. Die Art der Onlinenutzung (beruflich oder privat) bleibt davon unberührt.

E-Mail-Tipp 2:
Falls den Mitarbeitern des Unternehmens die private Nutzung des firmeneigenen E-Mail-Accounts auch für die private Onlinepost gestattet wird, sind unbedingt das Telekommunikationsgesetz (TKG) sowie das Fernmeldegeheimnis zu berücksichtigen. Erfahrungsgemäß ergeben sich dabei häufig Streitpunkte, weil die betrieblichen Abläufe dann auch den Einblick Dritter in private Mails mit sich bringen. Im Falle der privaten Nutzung des firmeneigenen Onlinezugangs ist den Mitarbeitern daher der Gebrauch von sogenannten Freemail-Providern (gmx, yahoo, freenet, etc.) anzuraten. Dadurch wird sichergestellt, dass die Postfächer der Unternehmen weiterhin ausschließlich für die betrieblichen Belange zur Verfügung stehen.

E-Mail-Tipp 3:
Bei einer privaten Nutzung des betrieblichen E-Mail-Postfaches dürfen private Mails vom Arbeitgeber nur sehr eingeschränkt und unter strengen Voraussetzungen gelesen werden. So muss der Mitarbeiter dem Einblick in seine Privatpost zuvor zugestimmt haben. Außerdem darf die Kenntnisnahme der privaten Mails nur zur eindeutigen Identifizierung bzw. Abgrenzung gegenüber betrieblicher Post erfolgen. Vor allem der E-Mail-Verkehr mit vertraulichen Inhalten bedarf daher von allen Beteiligten besondere Sorgfalt. Die Nutzung der betrieblichen Postfächer ist dementsprechend gegen Missbrauch vertraglich abzusichern. Es muss deutlich werden, dass eindeutig private Mails von unberechtigten Dritten nicht gelesen, beantwortet oder weitergeleitet werden dürfen.

E-Mail-Tipp 4:
Nach dem Ausscheiden eines Mitarbeiters aus dem Unternehmen ist seine bzw. ihre innerbetriebliche E-Mail-Adresse umgehend abzuschalten bzw. zu löschen. Bei einer Neubesetzung einer freien Stelle empfiehlt sich gleichzeitig immer eine neue E-Mail-Adresse.

Setzen Sie diese Tipps im Unternehmen um, damit Sie die Vorteile der transparenten Prozesse und Rechtskonformität nutzen können. Sollten Sie Fragen haben, können Sie sich gerne per E-Mail (info@suhling.biz) oder per Telefon (06201 8725124) an einen Datenschutzexperten von suhling management consulting wenden.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG, EU-DSGVO und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressemitteilungen

Datenschutz: Ich glotz TV. TV glotzt mich?

Datenschutzhilfe bei Smart-TV

Datenschutz: Ich glotz TV. TV glotzt mich?

Datenschutzhilfe Smart-TV

Moderne Smart-TVs zeichnen sich dadurch aus, dass sie parallel zum klassischen TV-Programm Internetdienste und seitens der Rundfunkanstalten bereitgestellte Internetinhalte wie Online-Mediatheken oder Programminformationen abrufen können. Smart-TV-Nutzer können durch diese Verknüpfung von TV- und Internetinhalten nicht immer erkennen, welche Inhalte und Dienste gerade abgerufen werden.

Bei Abruf dieser Dienste und Inhalte wird bei Verbindungsaufbau ein internetbasierter Rückkanal zur Rundfunkanstalt, zum Hersteller des Smart-TVs oder zu anderen Drittanbietern eröffnet, über welchen nutzerspezifische Profile erstellt und ausgewertet werden können. Dies steht in uneingeschränkter Form im Gegensatz zum verfassungsrechtlich verankerten Recht auf freien und anonymen Informationszugang, weshalb bestimmte datenschutzrechtliche Prämissen erfüllt sein müssen:

Anonymität bei Smart-TV
Erstens muss auch bei der Nutzung von Smart-TV-Angeboten die Anonymität der Nutzer gewahrt bleiben. Nutzerbezogene Daten dürfen ausschließlich nur bei ausdrücklicher Zustimmung des jeweils betreffenden Nutzers erhoben und zur Erstellung von Nutzungsprofilen verwendet werden. Der Zustimmung muss eine hinreichende Aufklärung vorangegangen sein.

Folge dem Telemediengesetz
Zweitens gelten über Smart-TV angebotene HbbTV- und Internetdienste als Telemedien und müssen dementsprechend den Datenschutzrichtlinien des Telemediengesetzes gerecht werden. Dies bedeutet im Speziellen, dass
– nutzerspezifische Daten ausschließlich zur Bereitstellung von Diensten oder zur Rechnungsstellung erfasst und herangezogen werden dürfen,
– die Nutzer hinsichtlich der Erfassung und Verwendung ihrer personenbezogenen Daten umfänglich im Vorfeld aufgeklärt werden müssen,
– nutzerspezifische Verhaltensprofile lediglich anonymisiert (bspw. durch Pseudonyme) und bei nicht erfolgtem Widerspruch seitens der Nutzer generiert werden dürfen. IP-Adressen oder Geräte-IDs sind gemäß Telemediengesetz keine hinreichende Anonymisierung. Die Nutzer müssen über ihr Widerspruchsrecht informiert werden.

Erfolgte Widersprüche müssen umgehend realisiert werden. Hierzu gehört auch das Löschen von sämtlichen Daten und Tracking Snippets wie beispielsweise Cookies auf den Smart-TVs. Zudem muss gewährleistet werden, dass die erfassten nutzerspezifischen Profildaten nicht auf den jeweiligen Pseudonymträger zurückgeführt werden können.

Korrekte Werkseinstellungen
Drittens müssen die Werkseinstellungen dem Recht nach freiem und anonymen Informationszugang gerecht werden, indem lediglich der Nutzer selbst den internetbasierten Rückkanal nach umfassender Aufklärung über den wechselseitigen Daten- und Informationsaustausch eröffnen kann („privacy by default“). Der Nutzer muss ferner auf sämtliche Daten auf seinem Smart-TV, insbesondere auf Cookies, zugreifen und diese verwalten können.

Sicher von Angriffen aus dem TV
Viertens müssen die Endgerätehersteller sowie die Rundfunkanstalten und andere Drittanbieter von Internetdiensten sicherstellen, dass sowohl die Smart-TVs als auch die über sie stattfindende Kommunikation vor nicht autorisierter Dritter technisch geschützt sind.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG, EU-DSGVO und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressemitteilungen

Datenschutz: Ab in die Cloud, aber mit Sicherheit

Worauf jedes Unternehmen achten sollte, wenn es die Cloud verwendet

Datenschutz: Ab in die Cloud, aber mit Sicherheit

Cloud-Checkliste

Cloud Computing bietet Datenverarbeitung per Internet und über Netzwerke von Unternehmen und ebenso natürlich von Verwaltungen.

Software-as-a-Service
Software-as-a-Service (SaaS) und weitere Nutzungsmodelle lassen Anwender bestimmte skalierbare Leistungen nutzen und zahlen. Dabei differieren Umfang und Art sowie Ort und Infrastruktur der jeweiligen Leistung. Datenschutz und Informationssicherheit hängen ebenfalls von veränderlichen Faktoren der jeweiligen cloudbasierten Verarbeitung ab. Wirtschaftliche Vorteile für Anwender resultieren aus reduzierter Infrastruktur und kleinerem IT-Personal bei besserem Kostenüberblick. Eine Situation, die im eigenen Rechenzentrum zu gleichen Preisen oft nicht zu realisieren wäre.

Platform-as-a-Service
Gleiches gilt neben SaaS auch für Platform-as-a-Service (PaaS), das cloudbasierte Plattformen für Webentwickler bietet. Dazu zählen zügig verfügbare Laufzeitumgebungen für Anwendung und Entwicklung. In der Cloud entfallen hoher Verwaltungsaufwand und Kosten für Hard- wie Software. Davon profitieren Software-Lebenszyklen, vom Entwurf über Development und Test zum Roll-out. Auch der Betrieb von Webapplications im Internet gelingt per Cloud Computing. Obige Cloudvorteile entspringen auch Infrastructure-as-a-Service (IaaS) als mietbare Rechen- bzw. Serverleistung.

Cloud-Checkliste
Im Cloud Computing gilt Compliance zu Kontrollierbarkeit und Transparenz sowie Beeinflussbarkeit als starke Herausforderung an Anbieter genauso wie für die Anwender. Speziell müssen Verantwortliche von Unternehmen ihre Datenverarbeitung angemessen verantworten. Dazu gehört
a) die richtige Wahl von Anbietern: Public, Private, Community oder Hybrid Clouds,
b) die transparente Technik, inkl. zertifizierter Infrastrukturen wie beispielsweise ISO 27001, Sicherheitskonzepte,
c) Organisation wie Software as a Service, Platform as a Service oder Infrastructure as a Service,
d) Rechtslage speziell zu persönlichen Daten in Clouds und
e) Sicherheit ihres Cloud Computing gewährleisten.
Vor diesen Abhängigkeiten fällt die prinzipielle Entscheidung zum Einsatz von Cloud Computing. Zu jenen Bedingungen zählt auch
f) die Möglichkeit der unterbrechungsfreien Cloud dank eines Neuanbieters bei Insolvenz des bisherigen.

Wer schreibt, der bleibt
Zudem stimmen Anbieter und Anwender ihre Sicherheitsmaßnahmen ab Mai 2018 in Form einer Auftragsverarbeitung nach Artikel 26 der EU-Datenschutzgrundverordnung ab. Öffentliche Stellen nutzen Clouds mit Sitz in Drittstaaten besonders umsichtig: Gerade außereuropäische Behördenstellen greifen oft umfänglich, ohne Anlass und ohne direkten Bedarf auf persönliche Daten zu. Dies interessiert speziell Unternehmen in Deutschland, die Daten an US-Stellen senden. EU-Standardvertragsklauseln oder BCR bei Cloud-Anbieter, die außerhalb der EU/des EWR ihren Sitz haben, müssen verwendet werden.

Vorsicht Geheimdienste
Der Zugriff ausländischer Nachrichtendienste auf Informationen von Menschen in Deutschland verläuft derzeit nicht sonderlich begrenzt. Entsprechend zurückhaltend erteilen Datenschutzbehörden neue Erlaubnis zur Datensendung in Drittstaaten, etwa während der Cloud-Nutzung. Zugleich prüfen diese Stellen das mögliche Aussetzen solcher Übermittlungen, speziell wegen des EU-US Privacy Shields Abkommens.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG, EU-DSGVO und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressemitteilungen

Industrie 4.0 sprengt den Datenschutz

Warum der Datenschutz der Digitalisierung hinterher hingt.

Industrie 4.0 sprengt den Datenschutz

Industrie 4.0 sprengt den Datenschutz

Angesichts der Geschwindigkeit im technologischen Fortschritt, der der Industrie 4.0 ein enormes Potenzial eröffnet, muss konstatiert werden: Der Datenschutz in der heutigen Form kann diesen Entwicklungen und Möglichkeiten überhaupt nicht gerecht werden – neue, flexible Konzepte sind gefragt.

Die Digitalisierung machte den Quantensprung hin zur sogenannten Industrie 4.0, die mit vernetzten und automatisierten Wertschöpfungsprozessen die Wettbewerbsfähigkeit im globalen Maßstab verbessert: Sämtliche Bereiche, angefangen bei der Produktion über den Service bis hin zur Wartung, können per Datentransfer von jedem beliebigen Ort gesteuert und überwacht werden – Smart Factory ist längst Realität. Wo aber die Big Data verarbeitet und übertragen werden müssen, eröffnen sich auch neue Risiken in Bezug auf Datendiebstahl und damit Industriespionage oder Kriminalität. Ein Blick auf das in Deutschland geltende Bundesdatenschutzgesetz (BDSG) offenbart das ganze Dilemma: Mit diesem gesetzlichen Rahmen sollen die vollkommen neuen Welten der Industrie 4.0 geschützt werden – ohne einen Fachexperten ein Ding der Unmöglichkeit.

Natürlich sind die Herausforderungen enorm, denn es sind gegensätzliche Interessen zu berücksichtigen: Einerseits sind neue Vertragsmodelle unverzichtbar, da die Verarbeitung der Big Data andere Rechtsbeziehungen hervorbringt. Andererseits benötigt die Wirtschaft flexible Rahmenbedingungen, um wettbewerbsfähig bleiben zu können. Über all dem steht der Bedarf an Schutz für die sensiblen Daten und Informationen, die vor allem auch in den komplexen Produkten selbst an Kunden geliefert werden: Die Einfallstore für ein Aushebeln öffnen sich damit weit.

Die Novellierung des Datenschutzes ist unumgänglich und sollte nicht nur dem Gesetzgeber überlassen werden – wie die EU-Datenschutzgrundverordnung im aktuellen Entwurf als bisher nicht ausformuliertes Beispiel zeigt. Die Industrie muss sich selbst in die Erarbeitung von Lösungen einbringen, die den Anforderungen der jeweiligen Branche effektiv genügen. Allgemeine Ansätze verbieten sich schon von selbst, berücksichtigt man angesichts der normen Komplexität die unterschiedlichen Ausrichtungen. Industrie 4.0 sprengt damit nicht nur die bisherigen Produktionsprozesse, sondern vor allem den aktuellen Datenschutzrahmen.

Für eine Analyse der Produktionsprozesse in Bezug auf den Datenschutz nehmen Sie Kontakt mit suhling management consulting ( http://suhling.biz ) auf, und sprechen mit Datenschutzexperten und Datenschutzauditoren.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG, EU-DSGVO und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressemitteilungen

Datenschutzskandal beim Tag der offenen Tür

Worauf Unternehmen bei der Zutrittskontrolle achten sollten

Datenschutzskandal beim Tag der offenen Tür

Datenschutz: Die Zutrittskontrolle betrifft jedes Unternehmen.

Die Festlegung einer Zutrittskontrolle wird nicht nur vom Bundesdatenschutzgesetz in Bezug auf personenbezogene Daten gefordert. Auch die zu erwartende EU-Datenschutzgrundverordnung (EU-DSGVO) fordert den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen sicherzustellen. Dies wird durch die angemessenen technischen und organisatorischen Maßnahmen (TOMs) realisiert.

Ob es sich dann um einen sogenannten „für die Verarbeitung Verantwortlichen“ oder einen Auftragsverarbeiter handelt, spielt keine Rolle. Auf die Angemessenheit sollte das Augenmerk gelegt werden. Die Definition lautet: Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Im Rahmen einer Auftragsdatenverarbeitung sind die technisch und organisatorischen Maßnahmen in Sachen Zutrittskontrolle ohnehin zu beschreiben. Daher macht es Sinn, sich bereits vor Abschluss einer Auftragsdatenverarbeitung um dieses Thema zu kümmern. Im Nachfolgenden sind einige Beispiele aufgeführt, mit welchen technischen und organisatorischen Maßnahmen die Zutrittskontrollen zu realisieren sind:

Schließanlagen, Radio-frequency Identification, Festlegung der Sicherheitszonen wie Haupteingang, Büroräume, Abteilungen, Archive, Server- und Technik-Räume, Lager, Bestimmung der zutrittsberechtigten Personen, Einsatz von Zugangskontrollsystemen, Verschluss der Arbeitsplätze, Zutrittsregelungen für betriebsfremde Personen, Zutrittskontrollsystem: Ausweisleser, Magnetkarte, Chipkarte, Schlüssel und Schlüsselvergabe, Türsicherung (elektrische Türöffner usw.), Überwachungseinrichtung wie Alarmanlage, Videomonitor oder Fernsehmonitor, Alarmanlage, Absicherung von Gebäudeschächten, automatisches Zugangskontrollsystem, Chipkarten- und Transponder-Schließsystem, Schließsystem mit Codesperre, manuelles Schließsystem, biometrische Erkennungssysteme bzw. Zugangssperren wie Fingerabdruck, Handgeometrie, Gesichtserkennung, Stimmerkennung, Unterschriftserkennung, Iriserkennung oder Retinaerkennung, Videoüberwachung der Zugänge, Lichtschranken oder Bewegungsmelder, Sicherheitsschlösser, Schlüsselregelung (Schlüsselausgabe etc.), Werkschutz, Personenkontrolle beim Pförtner bzw. beim Empfang, Protokollierung der Besucher, sorgfältige Auswahl von Reinigungspersonal, sorgfältige Auswahl von Wachpersonal, Tragepflicht von Berechtigungsausweisen mit und ohne Profilfoto (Mitarbeiterausweise, Besucherausweise, Gästeausweise), Gebäudesicherung: Zäune, Pforte, Sicherung der Räume: Sicherheitsschlösser, Chipkartenleser, Codeschlösser, Sicherheitsverglasung, Alarmanlagen und noch viele weitere Möglichkeiten.

Auch Standards und Normen lassen sich bei der Zutrittskontrolle sehr gut integrieren: Anforderungen nach ISO/IEC 27002 sind Sicherheitsbereiche und Sicherheitszonen, Zutrittskontrolle, Sicherung von Büros, Räumen und Einrichtungen, Schutz vor Bedrohung von außen und aus der Umgebung, Arbeiten in Sicherheitszonen, Öffentlicher Zutritt, Anlieferungs- und Ladezonen. Anforderungen nach dem BSI IT-Grundschutzkatalog sind Aufgabenverteilung und Funktionstrennung, Vergabe von Zutrittsberechtigungen, Schlüsselverwaltung.

Keine technischen und organisatorischen Maßnahmen zu ergreifen, kann an den Tag der offenen Tür erinnern. Doch selbst am echten Tag der offenen Tür sollte Unbefugten der Zutritt zu Datenverarbeitungsanlagen mit geeigneten Maßnahmen verwehrt werden. Fragen zum Thema Zutrittskontrolle kann von den Datenschutzexperten und Datenschutzauditoren von suhling management consulting, http://suhling.biz , beantwortet werden.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG, EU-DSGVO und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressemitteilungen

Datenschutz: Schreibtischtäter öffentlich entlarvt

Was der Schreibtisch über jemanden verrät

Datenschutz: Schreibtischtäter öffentlich entlarvt

Was der Schreibtisch über jemanden verrät

Fotos von Schreibtischen offenbaren viel über die Infrastruktur eines Unternehmens und sollten daher datenschutzrechtlich betrachtet werden.

In einer Hamburger Radiosendung wird kürzlich dazu aufgerufen, den Schreibtisch zu fotografieren. Es sollen die unterschiedlichen Menschen anhand ihrer Ordnung auf dem Schreibtisch identifiziert werden. Da gibt es den aufgeräumten Typen, den Chaoten, und den Stapler, um nur drei zu nennen. Ferner wird nicht nur darum gebeten, den eigenen Schreibtisch zu Hause zu fotografieren, sondern auch den des Kollegen im Büro. Das geknipste Foto soll dann auf die Facebook-Seite des Radiosenders hochgeladen werden. Damit ist es dann der Öffentlichkeit zugänglich gemacht worden. Was dieses Mitmachspiel vom Radiosender mit Datenschutz und IT-Sicherheit zu tun hat, wird im Folgenden erläutert.

Transparente Infrastruktur: Jedes Foto eines Schreibtisches verrät viel über den Eigentümer. Und zwar nicht nur sein Verhalten in Sachen Ordnung. Die Infrastruktur ist möglicherweise erkennbar. Das Foto könnte folgendes zeigen: Es handelt sich um ein Notebook, einen Desktop oder einen Tower-Computer. Monitor und Tastatur, sowie Mouse lassen auf das Betriebsystem schließen, und damit auf die verwendeten Betriebssysteme im Unternehmen. Icons und Dokumente auf dem Desktop des Monitors lassen auf verwendete Programme schließen, sowie die Taskleiste, die zeigt, welche Programme derzeit geöffnet sind. Namen der Dokumente lassen auf aktuelle Projekte schließen. Papierdokumente auf dem Schreibtisch lassen ebenfalls auf aktuelle Projekte schließen.

Einladung zum Diebstahl Da sich Diebe nicht nur am Ende der Welt aufhalten, sondern möglicherweise auch im entfernten Freundes- und Bekanntenkreis, bieten diese Fotos nun eine Gelegenheit, sich ein Bild über die Ausstattung zu machen, inklusive deren Wiederverkaufswert. Denn Freunde- und Bekannte können auf die Veröffentlichung des Fotos aufmerksam gemacht werden, wenn sie mit dem Fotografen auf Facebook verbunden sind, oder mit der Seite des Radiosenders.

Verraten von Geschäftsgeheimnissen Ob Passwörter auf Notizzetteln am Monitor geklebt wurden, Tastatur-Kürzel, oder eine Liste der Telefondurchwahlen der Kollegen: nichts davon hat etwas in der Öffentlichkeit zu suchen, weder in Suchmaschinen, noch in Sozialen Gruppen. Werden noch weitere Internas auf den Fotos ersichtlich, und verstößt dies gegen die IT-Sicherheitsrichtlinien des Unternehmens, kann es zu Abmahnungen oder sogar zu Kündigungen kommen.

Je nachdem, welche Informationen der Fotografierende noch auf seinem Profil veröffentlicht hat (Ort, Arbeitgeber, Vollständiger Name) und diese öffentlich zugänglich sind, ist es ein leichtes, sich ein Bild der technischen und organisatorischen Infrastruktur eines Unternehmen oder eines Privathaushaltes zu machen. Auch Facebook-Gruppen, die sich zum Ziel gesetzt haben, beispielsweise Ihre Mac-Schreibtische fotografieren zu lassen, geben Dritten kostenlos einen Einblick in die eigene digitale Infrastruktur.

Fazit: Es sollte immer sparsam mit Fotos vom eigenen Schreibtisch bei der Veröffentlichung umgegangen werden, und um so mehr noch vom Schreibtisch im Büro oder des Kollegen. Es sollte geprüft werden, ob das Fotografieren des eigenen Schreibtisches oder des Kollegen gegen die IT-Sicherheitsrichtlinien des Unternehmens verstößt. Gibt es im Unternehmen womöglich bisher keine IT-Sicherheitsrichtlinien, und macht dieser Artikel auf den Bedarf aufmerksam, kann sich vertrauensvoll an Datenschutzexperten gewendet werden, die sich mit diesem Thema auskennen: suhling management consulting – Datenschutz intelligent integriert – http://suhling.biz

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressemitteilungen

Datenschutz: Wenn der Chef die E-Mails mitliest

Pflicht zum korrekten Umgang mit vertraulichen Informationen

Datenschutz: Wenn der Chef die E-Mails mitliest

Pflicht zum korrekten Umgang mit vertraulichen Informationen

Einen Ansprechpartner im Unternehmen zum Thema Datenschutz zu haben ist Gold wert. Dies ist in der Regel der betriebliche Datenschutzbeauftragte. Er hat in Sachen Datenschutz eine neutrale Position einzunehmen und steht für alle Beteiligten zur Verfügung: der Geschäftsleitung, den Mitarbeitern, dem Betriebsrat, den Kunden, den Lieferanten, den Aufsichtsbehörden, und allen Betroffenen.

Damit sich alle beteiligten Gruppen vertraulich an ihn wenden können, muss eine sichere Kommunikation geschaffen werden. Dazu gehört nicht nur ein Büro, in dem man sich vertraulich unter vier Augen unterhalten kann. Dazu gehört auch ein Briefkasten, der an den Datenschutzbeauftragten adressiert ist. Post an den Beauftragten für den Datenschutz sollte nur von diesem geöffnet werden. Das gleiche gilt für die elektronische Kommunikation – dem E-Mail-Postfach. E-Mails, die an den Datenschutzbeauftragten gesendet werden, unterliegen der Vertraulichkeit und sollten demnach entsprechend abgesichert werden. Technisch sollte es die Möglichkeit geben, ihm eine E-Mail verschlüsselt zu übermitteln. Ebenso sollte auch er die Möglichkeit haben, verschlüsselte E-Mail zu versenden oder auf empfangene zu antworten.

Organisatorisch muss das E-Mail-Postfach des Beauftragten für den Datenschutz ebenfalls wie der Briefkasten nur von ihm zu lesen sein. Umleitungen oder Weiterleitungen sollten zuvor auf Sicherheit und Vertraulichkeit geprüft werden, unabhängig davon, ob es sich um einen internen Datenschutzbeauftragten oder einen externen Datenschutzbeauftragten handelt. Von sogenannten Sammelkonten ist abzuraten, bei denen beispielsweise die Geschäftsleitung automatisch eine E-Mail-Kopie erhält. Mitarbeiter die sich vertraulich an den Datenschutzbeauftragten wenden, würden damit das Vertrauen in den Datenschutz des Unternehmens verlieren. Vergleichbar ist demnach das E-Mail-Postfach des Datenschutzbeauftragten wie das eines Betriebsrats oder der Geschäftsleitung.

Fazit: Um einen korrekten Umgang mit vertraulichen Informationen an den Datenschutzbeauftragten zu gewähren, sollte er der einzige Empfänger sein. Weitere Fragen zum Umgang mit vertraulichen Informationen und zum Datenschutz können vom Datenschutzexperten Peter Suhling von suhling management consulting ( http://suhling.biz ) beantwortet werden.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Firmenkontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressekontakt
Blogsupport
Peter Suhling
Nördl. Hauptstr.1
69469 Weinheim
+4932121240862
blogsupport@me.com
http://blogsupport.me

Pressemitteilungen

Datenschutz: ab in die Tonne

Keine Aktenvernichtung ohne definierten Prozess

Datenschutz: ab in die Tonne

Keine Aktenvernichtung ohne definierten Prozess

Jedes Unternehmen sollte sich über die Entsorgung seiner Papiere, Akten und Festplatten Gedanken machen. Allzuoft werden Papiere unbedacht entsorgt und vom Reinigungspersonal im Hausmüll entsorgt. Unterstützung erhalten Unternehmen, indem sie Schredder verwenden, die je nach Vertraulichkeit zu entsorgende Papiere entweder in Streifen zerschneiden, oder in Partikel. Der Datenschutzbeauftragte kann bezüglich der Sicherheitsstufe unterstützen. Fallen größere Mengen an, die die Kapazität eines Schredders übersteigt, kommen Aktenvernichtungsunternehmen ins Spiel.

Beleg der Vernichtung

Akten- und Datenvernichtungsunternehmen helfen die Mengen an vertraulichen und geheimen Dokumenten und Datenträgern zu bewältigen. Fachgerecht werden sie zerschnitten und zerkleinert, geschreddert und gehäckselt. Die Kunden erhalten für diese Dienstleistung einen sogenannten Vernichtungsbeleg. Der dient im Nachhinein als Beleg Dritten gegenüber, dass die Unterlagen oder Datenträger ordnungsgemäß vernichtet wurden. Ohne diesen Beleg ist es für das Unternehmen schwer, eine korrekte Vernichtung nachzuweisen. Die Vernichtungsbelege werden dem Datenschutzbeauftragten zugänglich gemacht, damit dieser bei Bedarf darauf zugreifen kann.

Schlüsselausgabe

Häufig liefern die Akten- und Datenvernichtungsunternehmen einen Schlüssel für die Datenschutzbehälter aus, wenn ihr Kunde dies wünscht. Gründe für die Schlüsselausgabe gibt es viele. Beispielsweise kann der Schlüssel für die Datenschutztonne dazu dienen, bei der Entsorgung von großen Aktenbergen gleich den gesamten Ordner zu entsorgen. Dazu wird das Schloss des Datenschutzbehälters aufgeschlossen, der Deckel geöffnet und die gewünschten Ordner verschwinden. Oder das Unternehmen ist sich nicht sicher, ob die in den Datenschutzbehältern entsorgten Dokumente wirklich entsorgt werden dürfen. Der Schlüssel im Unternehmen dient als Notfalllösung, falls doch versehentlich Unterlagen entsorgt werden, die noch gebraucht werden könnten.

Wer den Schlüssel hat

Genau an dieser Stelle beginnt das Problem, denn den Kunden ist nicht immer bewußt, dass sie ohne einen definierten Prozess keine Vertraulichkeit gegenüber den Beteiligten gewährleisten können. Ob das Sekretariat oder die Geschäftsleitung im Besitz des Schlüssels für die Datenschutzbehälter ist – bereits entsorgte Unterlagen können eingesehen werden.

Dokumentierte Information als Lösung

Unabhängig davon, ob Schlüssel der Datenschutzbehälter im Unternehmen vorhanden sind oder nicht, unabhängig davon, ob ein Datenschutzbeauftragter und ein Betriebsrat im Unternehmen hier unterstützen können: Der Prozess sollte definiert werden. Hierzu zählt die genaue Definition, welche Unterlagen entsorgt werden dürfen und welche ggf. direkt im Büro geschreddert werden. Ebenso sollte im Unternehmen bekannt sein, wer im Notfall Zugriff auf einen Schlüssel hat und wann der Schlüssel verwendet werden darf. Zudem sollte definiert werden, wer ggf. bei der Öffnung anwesend sein sollte. Fehlt diese dokumentierte Information über den Ablauf und die Vorgehensweise, bietet ein Datenschutzbehälter keinen Schutz vor unbekannten Zugriff und ist damit überflüssig.

Fazit

Unternehmen, die das Thema Aktenvernichtung in professionelle Hände geben wollen, sollten einen schlanken Prozess etablieren und diesen als dokumentierte Information im Unternehmen bekannt machen.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Kontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressemitteilungen

Warum es den Datenschutzbeauftragten bald nicht mehr geben wird

Ein Berufsstand verabschiedet sich

Warum es den Datenschutzbeauftragten bald nicht mehr geben wird

Warum es den Datenschutzbeauftragten bald nicht mehr geben wird

In den Verhandlungen zur EU-Datenschutzverordnung könnte der verpflichtende Datenschutzbeauftrage wegfallen – mit erheblichen Auswirkungen auf den Datenschutz in Deutschland und Europa. In den sogenannten Trilog-Verhandlungen der Europäischen Union – einer Art Vermittlungsausschuss zwischen Kommission, Parlament und Rat – werden derzeit unterschiedliche Entwürfe zur EU-Datenschutzgrundverordnung (EU-DSGVO) behandelt. Dazu liegen die Entwürfe der EU-Kommission, des EU-Parlaments und des EU-Rates vor. Diese Verhandlungen werden für den europäischen Datenschutz entscheidend sein. Unternehmen in Deutschland müssen laut Bundesdatenschutzgesetz einen Datenschutzbeauftragten bestellen – und zwar ab 9 Mitarbeitern, die sich mit personenbezogenen Daten beschäftigten. Dieser kann ein interner Mitarbeiter sein, aber auch ein Externer.

Falls die Rolle des verpflichtenden Datenschutzbeauftragten entfallen würde, würde dies eine nicht unerhebliche Auswirkung auf den Datenschutz in Deutschland und Europa haben. Bis Ende des Jahres 2015 soll ein politisches Ziel erreicht werden. Eine Übergangsfrist von zwei Jahren bis zum Inkrafttreten der EU-Datenschutzgrundverordnung ist geplant.

Unternehmen, die bisher in der Pflicht standen, einen Datenschutzbeauftragten bestellen zu müssen, können sich vermeintlich auf die zu erwartende EU-Datenschutzgrundverordnung freuen, wenn sie planen, sich von ihm zu trennen. Doch die Freude wird nicht allzu lange anhalten. Keinen Datenschutzbeauftragten im eigenen Unternehmen zu haben, ob als Interner oder Externer, kann viele Nachteile mit sich bringen.

Zehn Nachteile, wenn die Rolle des Datenschutzbeauftragten entfällt:
– kein direkter Ansprechpartner zum Datenschutz im eigenen Unternehmen für die Betroffenen,
– kein fachkundiger Ansprechpartner für Vorabkontrollen wie beispielsweise der Videoüberwachung,
– keine unabhängige Stelle im Unternehmen für eine innerbetriebliche Selbstkontrolle,
– Lücken im Datenschutz können oder werden nicht rechtzeitig entdeckt,
– Pflichtdokumentationen wie Verfahrensverzeichnisse werden nicht aktuell gehalten,
– vertrauliche Datenschutzanfragen von Mitarbeitern können nicht adäquat eskaliert werden,
– Tätigkeiten rund um eine Auftragsdatenverarbeitung (vertragliche Inhalte, Prüfung technisch und organisatorischer Maßnahmen, Aktualisieren der ADV bei wechselnden Unterauftragnehmer usw.) können nur mit erheblichem Mehraufwand in Bezug auf Kosten und Zeit durchgeführt werden,
– Anfragen an Aufsichtsbehörden können zu Verzögerungen führen, da ohne den Datenschutzbeauftragten Fachwissen im Unternehmen nicht vorhanden ist und von Aufsichtsbehörden geliefert werden müssten,
– da es für einen Datenschutzberater keine Verpflichtung auf eine Teilnahme an Fort- und Weiterbildungsveranstaltungen zum Datenschutz gibt, kann sich dies für Unternehmen nachteilig auswirken,
– höhere Kosten bei der Implementierung des Datenschutzes, wie beispielsweise die Vorbereitung auf ein Datenschutzsiegel.

Der Datenschutzbeauftragte darf bleiben

Unternehmen, die derzeit einen Datenschutzbeauftragten beschäftigen, können diesen natürlich unabhängig von der kommenden EU-Datenschutzgrundverordnung weiterhin beschäftigen. Und das sollten sie sogar. Denn zu den jetzigen Bedingungen des Bundesdatenschutzgesetzes und weiterer Datenschutzgesetze würde das Unternehmen die gleichen Aufgaben von einem externen Datenschutzberatern durchführen lassen müssen. Die Konditionen könnten sich nicht nur drastisch für das Unternehmen verschlechtern. Der Datenschutzberater müsste sich zuerst in die unternehmenspezifischen Vorgänge einarbeiten.

Zeit ist Geld

Und das kostet nicht nur Geld, sondern auch Zeit. Zeit, die Unternehmen häufig nicht haben, um Verarbeitungstechniken prüfen zu lassen, um Einführungen von Geschäftsmodellen datenschutzrechtlich umzusetzen oder um auf Anfragen zu reagieren. Handelt es sich bei einer Kundenanfrage um die Auskunft über gespeicherte personenbezogene Daten, muss zeitnah reagiert werden, um weitere Eskalationen wie eine Meldung bei einer Aufsichtsbehörde zu verhindern und um den Betroffenen Auskunft zu erteilen. Handelt es sich um einen Besuch einer Aufsichtsbehörde oder sogar einer Bußgeldandrohung, können ad-hoc-Reaktionen mit einem externen Datenschutzberater schwierig werden.

Der König ist tot, es lebe der König

Getreu dem Motto „Totgesagte leben länger“ wird es den Berufsstand des Datenschutzbeauftragten trotz vieler Unkenrufe weiterhin geben. Aber wahrscheinlich nicht in der gleichen Art und Weise wie bisher. Warum? Weil durch den Wegfall einer möglichen Pflichtbestellung der Datenschutzbeauftragte einen anderen Stellenwert bekommen wird. Die unabhängige Stellung im Unternehmen und die Weisungsfreiheit im Datenschutz könnten auf dem Spiel stehen. Damit wäre Unternehmen Tür und Tor geöffnet, Datenschutzberatungen und Datenschutzberater nach ihren Ergebnissen auszuwählen. Sollte ein gewünschtes Ergebnis oder eine datenschutzrechtliche Betrachtung nicht den Wünschen des Unternehmens entsprechen, könnten andere Berater ausgewählt werden – so lange, bis das Ergebnis den eigenen Wünschen entspricht, womöglich zu Lasten der Betroffenen.

Europa wartet auf deutsche Datenschutzbeauftragte

Einer der größten Vorteile mit dem Erscheinen der EU-Datenschutzgrundverordnung wird die europaweite Gültigkeit sein. Natürlich in erster Linie für Unternehmen, da Datenschutzthemen länderübergreifend identisch abgewickelt werden können.

Aber insbesondere für den Berufsstand des Datenschutzbeauftragten. Dieser könnte dann, abgesehen von sprachlichen Unterschieden, europaweit tätig werden. Deutschland hat derzeit europaweit und weltweit mit das höchste Datenschutzniveau und genießt nach wie vor einen guten Ruf mit „Datenschutz Made in Germany“ als Gütesiegel. Dies bezieht sich nicht nur auf die derzeit gültigen Datenschutzgesetze. Betriebliche interne Datenschutzbeauftragte sowie externe Datenschutzbeauftragte sind im Durchschnitt sehr gut ausgebildet und bilden sich wie im Bundesdatenschutzgesetz verlangt regelmäßig fort. Diese Position, bestehend aus einem gesetzlich geforderten hohen Datenschutzniveau und einem hohen Ausbildungsniveau eröffnet dem deutschen Datenschutzbeauftragten die Türen für Europa. Mit der zu erwartenden EU-Datenschutzgrundverordnung können sich Datenschutzbeauftragte europaweit positionieren. Sie geben für Unternehmen, die europaweit tätig sind, den besten Berater in Sachen Datenschutz. Während der Übergangsfrist haben die deutschen Datenschutzbeauftragten ausreichend Zeit, die neuen Artikel der kommenden EU-Datenschutzgrundverordnung (EU-DSGV) für ihre Unternehmen umzusetzen. Damit sind sie fachlich bestens für den europäischen Datenschutz gewappnet.

Das Fazit

Als Fazit bleibt festzuhalten, dass sich mit der zu erwartenden Gesetzgebung vieles ändern wird. Das Datenschutzniveau wird mit der EU-DSGV für Deutschland eher niedriger ausfallen, gesamteuropäisch vermutlich höher. Zu begrüßen ist mindestens eine nationalstaatliche Regelung des Datenschutzbeauftragten für Deutschland – wünschenswert jedoch verpflichtend in der EU-DSGV, damit das Beispiel des betrieblichen Datenschutzbeauftragten europaweit Schule machen kann. Unternehmen sollten weiterhin einen Datenschutzbeauftragten beschäftigen, wenn sie es bisher getan haben. Die Vorteile des Datenschutzbeauftragten überwiegen – egal, wie das Ergebnis der EU-Datenschutzgrundverordnung sein wird.

suhling management consulting bietet externe Datenschutzbeauftragung, Managementberatung, Datenschutzaudits, Begleitung zur Zertifizierung und Siegelerteilung durch Implementierung von ISO 9001, ISO 14001, ISO 27001, BDSG und Datenschutzstandards, Integration von Managementsystemen und Auditierung von Managementsystemen.

Firmenkontakt
suhling management consulting – Datenschutz intelligent integriert
Peter Suhling
Nördliche Hauptstraße 1
69469 Weinheim
+49 6201 8725124
info@suhling.biz
http://suhling.biz

Pressekontakt
Blogsupport
Peter Suhling
Nördl. Hauptstr.1
69469 Weinheim
+4932121240862
blogsupport@me.com
http://blogsupport.me