Der Datentransfer zwischen der EU und Großbritannien ist trotz Brexit gesichert. Seit dem 01.07.2021 besteht ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
In letzter Zeit ist zu beobachten, dass die Aufsichtsbehörden neben der Prüfung von Webseiten auch einen Fokus auf die Videoüberwachung von Unternehmen gesetzt haben. Aber warum gerade auf die Videoüberwachung?
Wie bei einer Webseite kann auch bei einer Videoüberwachung schnell von außen ohne große Umstände ein erster Eindruck eingeholt werden, ob sich das Unternehmen mit dem Thema Datenschutz auseinandergesetzt hat. Was bei der Webseite der Blick auf die Datenschutzerklärung oder den Cookie-Banner ist, ist bei der Videoüberwachung zunächst die Sichtung der Kamera an sich sowie ein kurzer Blick auf das Hinweisschild zur Videoüberwachung.
Ein Piktogramm reicht nicht aus
Wer bei der Videoüberwachung der Ansicht ist, dass ein einfaches Hinweisschild mit einem Kamera-Piktogramm und der Aufschrift „Videoüberwachung“ ausreicht, hat hier die Rechnung nicht mit dem Datenschutz gemacht. Denn die Datenschutz-Grundverordnung (DSGVO) sieht bereits in Ihren Grundsätzen der Datenverarbeitung vor, dass jede Verarbeitung personenbezogener Daten rechtmäßig und für die betroffenen Personen transparent sein muss. Um eine Transparenz herzustellen, sind den betroffenen Personen bereits vor Datenerhebung bestimmte Informationen zur Datenverarbeitung zugänglich zu machen. Im Falle der Videoüberwachung bedeutet dies, dass Personen bereits vor Betreten des Erfassungsbereichs der Kamera unter anderen darüber informiert werden, wer für die Videoüberwachung verantwortlich ist und zu welchen Zwecken und auf welcher Rechtsgrundlage diese erfolgt. Die niedersächsische Aufsichtsbehörde hat ein Muster-Hinweisschild veröffentlicht. Dieses und weitere Dokumente zur Videoüberwachung finden Sie hier.
Ist die Aufsichtsbehörde einmal auf die Videoüberwachung in einem Unternehmen aufmerksam geworden, wird sie es höchstwahrscheinlich nicht bei der Sichtung des Hinweisschildes belassen. Sicherlich wird in diesen Fällen dann auch geprüft werden, ob die Videoüberwachung überhaupt zulässig ist und ob diesbezüglich die erforderlichen Vorüberlegungen (wie die Risikobewertung und die Implementierung geeigneter technischer und organisatorischer Maßnahmen) getroffen wurden.
Sollten Sie Unterstützung bei der Implementierung einer Videoüberwachungsanlage benötigen, melden Sie sich gerne bei unserem ds²-Team.
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien.
Laut dem IT-Dienstleister Shodan seien voraussichtlich schon viele dieser angreifbaren Server mit Schadsoftware infiziert. Denn scheinbar seien diese insgesamt vier Schwachstellen einer Gruppe von Hackern ebenfalls nicht entgangen. Das BSI hält es für wahrscheinlich, dass die Hacker aufgrund dieses Einfallstors die gesamte Domäne mit wenig Aufwand kompromittieren könnten. Denn durch den Fernzugriff auf die Exchange-Server könnte durch die Übernahme weiterer Berechtigungen tiefer in die Struktur eingegriffen und weitere Schadsoftware installiert werden.
Microsoft reagierte prompt und veröffentlichte kurzer Hand neue Sicherheitsupdates, mit denen die insgesamt vier Schwachstellen bei Exchange-Server geschlossen werden. Das BSI rät dringend zur Installation dieser Updates und warnt: “Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden“. Unternehmen sollten ihre Exchange-Systeme umgehend auf so genannte „Web-Shells“ untersuchen, welche die Hacker hinterlassen, um über das Internet auf die Systeme zugreifen zu können.
Das regelmäßige Einspielen von Patches spielt auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) eine große Rolle. Denn bereits in den Grundsätzen für die Verarbeitung von personenbezogenen Daten wird festgehalten, dass Verantwortliche eine angemessene Sicherheit der personenbezogenen Daten gewährleisten muss. Mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen soll unter anderen verhindert werden, dass Unbefugte Zugriff auf die Daten erlangen. Bei der Wahl der technischen und organisatorischen Maßnahmen ist auch immer der Stand der Technik zu berücksichtigen. Ein durchdachtes Patch-Management kann hierbei unterstützen, die Schwachstellen zu schließen und die Sicherheit der Daten aufrecht zu erhalten.
Möchten Sie mehr über die Gewährleistung der Sicherheit von personenbezogenen Daten erfahren? Kommen Sie gerne auf unser ds²-Team zu.
Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben.
Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.
Weltweit gingen die zuständigen Aufsichtsbehörden wegen unzureichendem Datenschutz gegen Krankenhäuser vor. Die Aufsichtsbehörde Datainspektion in Schweden hat acht klinische Einrichtungen auf ein angemessenes Risikomanagement und wirksame Zugriffsbeschränkungen der Kernsysteme der Krankenhauseinrichtungen geprüft. Sieben von ihnen wurde ein Bußgeld verhängt.
Häufig fehlen Risikoanalysen für den Zugriff auf Patientendaten sowie Protokollierungen von Zugriffen. Auch Kontrollen werden oftmals versäumt und Berechtigungen für Benutzer der Krankenhausinformationssysteme werden nicht nach dem Minimalprinzip vergeben. Letzteres führt dazu, dass auch Beschäftigte Zugriff auf die Daten haben, ohne dass dies für ihre Arbeit notwendig wäre.
So auch im Falle des eingangs genannten Amsterdamer Krankenhauses. Es wurden unzureichende Kontrollen darüber vorgenommen, wer sich welche Datei angesehen hat und es gab nur eine unzureichende Sicherheit der Computersysteme.
Auch in Portugal wurde ein Bußgeld in Höhe von 400.000 € verhängt, weil viel zu viele Personen Zugriff auf Patientendaten hatten.
Die unberechtigten Zugriffe bergen neben dem Risiko, das Unbefugte die eigene Krankengeschichte kennen, weitere hohe Risiken. Patientenakten/Krankenakten können auch Informationen enthalten, die einen Identitätsbetrug und bspw. Phishing ermöglichen.
„In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks“, so die Vizepräsidentin der Autoriteit Persoonsgegevens Verdier, zur Situation in den Niederlanden.
ds² ist Experte im Gesundheitsdatenschutz und hilft Ihnen gerne bei der Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten und insbesondere von Gesundheitsdaten.
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Die Technik der Videoüberwachung ist heute eine weit verbreitete Möglichkeit, um in den betroffenen Bereichen sowohl Eigentum, als auch Mitarbeiter und Kunden zu schützen.
Doch die Installation dieser Anlagen erfordert eine durchgehende und detaillierte Prüfung, um die Rechte der betroffenen Personen zu schützen. Durch die Erstellung eines Datenschutzkonzeptes im Rahmen der gesetzlichen Vorgaben kann die Videoüberwachung zu einem beliebten und gesetzeskonformen Überwachungstool werden, welches Unternehmen vor Diebstahl und Sachbeschädigung schützen kann. Doch die Einhaltung der Datenschutz-Bestimmungen muss sorgfältig betrachtet und überprüft werden. Denn gerade weil das Thema Videoüberwachung in den Medien so präsent ist, gerät diese Technik immer wieder in den Fokus der zuständigen Aufsichtsbehörden. Der Betrieb erfordert eine Risikoabwägung und gegebenenfalls auch eine Datenschutz-Folgenabschätzung und in Einzelfällen sogar die Hinzuziehung der zuständigen Aufsichtsbehörde. Welche Anlagen evtl. gegen die Vorschriften verstoßen und welche Vorschriften für die individuellen Fälle gelten, sollte genau von Experten untersucht werden, um das System den einschlägigen Regelungen anzupassen.
Nutzen Sie unsere Erfahrung aus zahlreichen Projekten in den unterschiedlichsten Branchen.
Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.
Wie findet man den richtigen internen Datenschutzbeauftragten (DSB)?
Ein interner DSB kennt die Unternehmensprozesse und die entsprechenden Ansprechpartner. Damit hat er einen entscheidenden Vorteil. Da der interne DSB einen gesetzlichen Kündigungsschutz erfährt, sind Unternehmen gut beraten, bei der Auswahl die richtige Person entsprechend den gesetzlichen Anforderungen zu ermitteln. Schon in diesem Auswahlprozess können wir Sie aufgrund unserer langjährigen Erfahrung unterstützen. Neben diversen Anforderungen an die Zuverlässigkeit und Fachkunde darf der DSB auch keinem Interessenskonflikt unterliegen. Gerade hier kommt es immer wieder zu Abberufungen durch die Aufsichtsbehörden.
Welche Qualifikation benötigt ein interner DSB?
Ausbildungen zum Datenschutz gibt es heute wie Sand am Meer. Gute Ausbildungen allerdings nur wenige. Wir können Ihnen bei der Auswahl der richtigen Ausbildung helfen oder Ihren Datenschutzbeauftragten direkt bezogen auf die Anforderungen in Ihrem Unternehmen ausbilden und coachen. Das Coaching und damit die stufenweise Ausbildung von internen Datenschutzbeauftragten hat sich in vielen Fällen bewährt, da der interne Datenschutzbeauftragte eine genau auf ihn skalierte Unterstützung erfährt und dabei direkt anhand der Anforderungen für die Verarbeitungsprozesse Ihres Unternehmens ausgebildet wird. Der ds²-Berater ist dabei stets als Sparringspartner für den fachlichen Austausch und die Lösung komplexer Aufgaben verfügbar. Darüber hinaus kann er bei Abwesenheiten des internen DSB als Stellvertreter fungieren.
Welche Phasen durchläuft das Coaching?
Neben der initialen Ausbildung Ihres DSB stellt das individuelle Coaching eine hervorragende Möglichkeit dar, einen internen DSB schnell und sicher in die Lage zu versetzen, die komplexen Aufgaben wahrzunehmen.
Dieses Verfahren läuft üblicherweise in 4 Schritten ab:
Jede Phase wird durch den ds²-Berater (Coach) begleitet und unterstützt. Da diese Phasen auf immer komplexere Aufgaben angewandt werden, erwirbt der interne DSB die erforderliche Kompetenz an konkreten Beispielen und schafft gleichzeitig die gewünschte Rechtssicherheit für das Unternehmen.
Möchten Sie weitere detaillierte Informationen zu diesem Thema erhalten, rufen Sie uns gerne an unter +49 5421 308950.
Wo steht Ihr Unternehmen beim Datenschutz?
Der Einstieg in den integrierten Datenschutz by ds² ist die Bestandsaufnahme. Sie dient der Ermittlung der datenschutzrechtlichen Situation im Unternehmen. Durch ihre Skalierbarkeit ist die Bestandsaufnahme für jede Art und Größe einer Organisation wirtschaftlich und effizient darstellbar. Mit der ds²-Datenschutz-Bestandsaufnahme erhalten Sie so schnell einen Überblick und eine erste Einschätzung des Handlungsbedarfes.
Wie läuft die Bestandsaufnahme ab?
Die ds²-Datenschutz-Bestandsaufnahme wird von ausgebildeten und zertifizierten ds²-Beratern durchgeführt. Sie erhalten – nach Abschluss einer Vertraulichkeitsvereinbarung – vorab einen Fragenkatalog, der uns zur Vorbereitung der Bestandsaufnahme dient. Bei Ihnen vor Ort werden unsere Berater die entsprechenden Prozesse und Datenverarbeitungen prüfen. Dies erfolgt durch Interviews und Prozess-Stichproben. Die Berater werden die Erkenntnisse vor Ort erfassen und anschließend in unseren Büros dokumentieren und zusammenfassen.
Ziel ist es, einen Überblick über die Unternehmensprozesse und die dazu gehörigen Anforderungen an den Datenschutz zu erhalten und damit einen ersten Ansatzpunkt zur Erstellung eines Maßnahmenplans zu erhalten. Im Zentrum stehen dabei die wesentlichen Risiken im Bereich Datenschutz und möglicher Schwachstellen bei der Sicherheit der Daten.
Was bringt die Bestandsaufnahme?
Im Rahmen eines Abschlusstermins werden unsere Berater Ihnen die Ergebnisse vorstellen. Je nach Skalierungsstufe gehören dazu
Diese Dokumente ermöglichen es Ihnen, den Aufwand für die Optimierung des Datenschutzes im Unternehmen besser einzuschätzen. Auf der Basis dieser Ergebnisse können die Aufgaben priorisiert und ggf. budgetiert werden. Notwendigkeit und Umfang einer Projektphase für die dringendsten Aufgaben können hierdurch ebenfalls definiert werden.
Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421/308950.
Erschienen am 27. August 2020
Datenschutz leidet unter einem schlechten Ruf. Den Befürwortern gehen die Gesetze meist nicht weit genug, den Gegnern viel zu weit. Als Geschäftsführer der ds² Unternehmensberatung für Integrierten Datenschutz und Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. weiß ich: Wir haben in den letzten 50 Jahren viel geschafft. Nur eines nicht – die Menschen für den Datenschutz zu begeistern.
Datenschutz ist in Deutschland ein Grundrecht jedes Menschen. Datenschutz ist damit so wichtig und so wertvoll wie die Menschenwürde, das Recht auf Leben, das Recht auf Gleichberechtigung, das Recht auf Religions- oder Meinungsfreiheit, um nur wenige zu nennen. Dennoch geht für Datenschutz kaum jemand auf die Straße. Im Gegenteil. Viele gehen mit ihren Daten viel zu lässig um, wundern sich dann aber, wenn sie darüber an der einen oder anderen Stelle stolpern.
Neue Technologien, wie sie das Internet tagtäglich hervorbringt, werden fast ausnahmslos begrüßt, jedoch nur wenig hinterfragt. Laien können sich zudem kaum mehr vorstellen, dass ein funktionierender Schutz vor Datenmissbrauch möglich ist.
Diese Denke hemmt die Arbeit an der Verbesserung von Schutzsystemen. Hierdurch bremsen sich Unternehmen oft selbst aus, statt die Vorteile aus verbesserten Schutzsystemen zu heben. Datenschutz ist in der Praxis von Unternehmen nur eine Herausforderung mehr. Wir von ds² stellen aber immer wieder fest, dass der Datenschutz auch eine Chance ist, bestehende Technologien und Praktiken nachhaltig zu verbessern.
Wir gehen davon aus, dass das Thema die Vorteilsdiskussion der Zukunft bestimmen wird: Wer in der Lage ist, Datenschutz für seine Kunden zu garantieren, ist dem Wettbewerb mehr als eine Nasenlänge voraus.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Grundsätzlich ist eine erteilte Einwilligung so lange gültig, bis die betroffene Person diese widerruft. Die Parteien können in der Einwilligung jedoch auch festlegen, dass diese nur für einen bestimmten Zeitraum gelten soll. In diesem Fall endet die Gültigkeit der Einwilligung dann automatisch zum festgelegten Zeitpunkt. Der Widerruf einer datenschutzrechtlichen Einwilligung darf jederzeit erfolgen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Datenschutz hat es zu keiner Zeit leicht gehabt. Den Befürwortern ging es nie weit genug, die Gegner fühlten sich in ihrer Arbeit stets eingeschränkt. Statt für Akzeptanz zu werben, wurde mit Strafen gedroht. Ein wahrhaft schlechter Start. Wir von ds² werden weiter daran arbeiten, das Positive und die Vorteile des Datenschutzes aufzuzeigen.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320