Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien.
Laut dem IT-Dienstleister Shodan seien voraussichtlich schon viele dieser angreifbaren Server mit Schadsoftware infiziert. Denn scheinbar seien diese insgesamt vier Schwachstellen einer Gruppe von Hackern ebenfalls nicht entgangen. Das BSI hält es für wahrscheinlich, dass die Hacker aufgrund dieses Einfallstors die gesamte Domäne mit wenig Aufwand kompromittieren könnten. Denn durch den Fernzugriff auf die Exchange-Server könnte durch die Übernahme weiterer Berechtigungen tiefer in die Struktur eingegriffen und weitere Schadsoftware installiert werden.
Microsoft reagierte prompt und veröffentlichte kurzer Hand neue Sicherheitsupdates, mit denen die insgesamt vier Schwachstellen bei Exchange-Server geschlossen werden. Das BSI rät dringend zur Installation dieser Updates und warnt: “Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden“. Unternehmen sollten ihre Exchange-Systeme umgehend auf so genannte „Web-Shells“ untersuchen, welche die Hacker hinterlassen, um über das Internet auf die Systeme zugreifen zu können.
Das regelmäßige Einspielen von Patches spielt auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) eine große Rolle. Denn bereits in den Grundsätzen für die Verarbeitung von personenbezogenen Daten wird festgehalten, dass Verantwortliche eine angemessene Sicherheit der personenbezogenen Daten gewährleisten muss. Mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen soll unter anderen verhindert werden, dass Unbefugte Zugriff auf die Daten erlangen. Bei der Wahl der technischen und organisatorischen Maßnahmen ist auch immer der Stand der Technik zu berücksichtigen. Ein durchdachtes Patch-Management kann hierbei unterstützen, die Schwachstellen zu schließen und die Sicherheit der Daten aufrecht zu erhalten.
Möchten Sie mehr über die Gewährleistung der Sicherheit von personenbezogenen Daten erfahren? Kommen Sie gerne auf unser ds²-Team zu.
Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben.
Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.
Weltweit gingen die zuständigen Aufsichtsbehörden wegen unzureichendem Datenschutz gegen Krankenhäuser vor. Die Aufsichtsbehörde Datainspektion in Schweden hat acht klinische Einrichtungen auf ein angemessenes Risikomanagement und wirksame Zugriffsbeschränkungen der Kernsysteme der Krankenhauseinrichtungen geprüft. Sieben von ihnen wurde ein Bußgeld verhängt.
Häufig fehlen Risikoanalysen für den Zugriff auf Patientendaten sowie Protokollierungen von Zugriffen. Auch Kontrollen werden oftmals versäumt und Berechtigungen für Benutzer der Krankenhausinformationssysteme werden nicht nach dem Minimalprinzip vergeben. Letzteres führt dazu, dass auch Beschäftigte Zugriff auf die Daten haben, ohne dass dies für ihre Arbeit notwendig wäre.
So auch im Falle des eingangs genannten Amsterdamer Krankenhauses. Es wurden unzureichende Kontrollen darüber vorgenommen, wer sich welche Datei angesehen hat und es gab nur eine unzureichende Sicherheit der Computersysteme.
Auch in Portugal wurde ein Bußgeld in Höhe von 400.000 € verhängt, weil viel zu viele Personen Zugriff auf Patientendaten hatten.
Die unberechtigten Zugriffe bergen neben dem Risiko, das Unbefugte die eigene Krankengeschichte kennen, weitere hohe Risiken. Patientenakten/Krankenakten können auch Informationen enthalten, die einen Identitätsbetrug und bspw. Phishing ermöglichen.
„In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks“, so die Vizepräsidentin der Autoriteit Persoonsgegevens Verdier, zur Situation in den Niederlanden.
ds² ist Experte im Gesundheitsdatenschutz und hilft Ihnen gerne bei der Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten und insbesondere von Gesundheitsdaten.
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Das Thema Cookie-Banner ist in aller Munde. Und dennoch besteht diesbezüglich in vielen Unternehmen (teilweise sogar Werbeagenturen) Unsicherheit. Wann muss man einen Cookie-Banner setzen und kann eine Website eigentlich auch ohne Cookie-Banner rechtskonform sein?
Um diese Fragen zu beantworten ist zunächst zwischen Session Cookies (z.B. für die Funktionalität des Warenkorbs beim Onlineshopping oder zum Laden von Voreinstellungen zur Sprache) und Persistenten Cookies (z.B. zum Tracking oder zum Speichern und Laden von Nutzereinstellungen) zu unterscheiden. In diesen Cookies werden personenbezogene Daten (wie z.B. die IP-Adresse) gespeichert. Da für die Verarbeitung von personenbezogenen Daten immer das Vorliegen einer Rechtsgrundlage erforderlich ist und die Datenschutz-Grundverordnung hinsichtlich des Einsatzes von Cookies keine speziellen Regelungen vorsieht, kommen die Einwilligung und das berechtigte Interesse als Rechtsgrundlagen in Betracht.
Die Nutzung von Session Cookies, die ausschließlich dem Zweck dienen, die Website nutzerfreundlich darzustellen oder technisch erforderlich sind, kann in der Regel mit einem berechtigten Interesse begründet werden. Ob tatsächlich ein berechtigtes Interesse besteht, ist im Einzelfall mit einer dokumentierten Interessenabwägung für Implementieren des Cookies zu ermitteln. Cookies, bei denen kein berechtigtes Interesse besteht, dürfen nur dann aktiviert werden, wenn der Website-Besucher in die Nutzung eingewilligt hat. An dieser Stelle kommt der Cookie-Banner ins Spiel, der vor der Aktivierung den Website-Besucher über die einwilligungspflichtigen Cookies informiert, die der Website-Betreiber nutzen möchte. Nur, wenn der Website-Besucher die Einwilligung erteilt hat, dürfen die von der Einwilligung betroffenen Cookies aktiviert werden. Einwilligungsbedürftig sind beispielsweise regelmäßig Persistente Cookies, die zu Marketingzwecken (z.B. Tracking) eingesetzt werden.
Ob ein Cookie-Banner gesetzt werden muss, hängt somit davon ab, ob und wenn ja welche Cookies zu welchem Zweck auf der Website genutzt werden. Nicht auch zuletzt vor dem Hintergrund der Datensparsamkeit empfiehlt es sich, immer zu hinterfragen, ob auf den Einsatz bestimmter Cookies verzichtet werden kann. Denn nicht selten teilen uns Unternehmen mit, dass sie zwar Tracking-Cookies einsetzen, die Auswertungen aber nie einsehen. Werden keine Cookies auf der Website genutzt (wie es bei unserer ds²-Website zutrifft), muss auch kein Cookie-Banner gesetzt werden.
Benötigen Sie Unterstützung beim Thema Website datenschutzgerecht gestalten? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Immer wieder wird deutlich, dass bei vielen Unternehmen hinsichtlich des Prinzips der Speicherbegrenzung noch dringender Handlungsbedarf besteht.Auch die datenschutzrechtlichen Aufsichtsbehörden decken diesbezüglich kontinuierlich Defizite auf. Dies kommt Unternehmen teuer zu stehen. Aber wie geht es denn nun richtig?
Die Datenschutz-Grundverordnung (DSGVO) sieht den Grundsatz der Speicherbegrenzung bei der Verarbeitung personenbezogener Daten vor. Vereinfacht bedeutet es, dass die personenbezogenen Daten, die gespeichert werden, ein Ablaufdatum haben müssen und nicht dauerhaft gespeichert werden dürfen. Was zunächst so simpel klingt, stellt Unternehmen in der Praxis regelmäßig vor eine Herausforderung. Denn es muss gut durchdacht und nachvollziehbar begründet werden, wie lange die Speicherung der personenbezogenen Daten tatsächlich erforderlich ist.
Personenbezogene Daten dürfen nur dann verarbeitet werden - hierunter fällt auch die Speicherung - wenn es für die Verarbeitung eine Rechtsgrundlage gibt. Diese richtet sich nach dem Zweck der eigentlichen Verarbeitung. Ist der Zweck, zu dem die personenbezogenen Daten erhoben wurden, erfüllt, besteht grundsätzlich erst einmal keine Rechtsgrundlage mehr, die Daten weiter zu verarbeiten, d.h. zu speichern. Sollte daraufhin eine unmittelbare Löschung der Daten erfolgen, kann dies allerdings schnell zu Problemen führen - zum Beispiel mit dem Finanzamt. Denn der sofortigen Löschpflicht nach der DSGVO stehen oftmals gesetzliche Aufbewahrungspflichten entgegen, die berücksichtigt werden müssen. Die gesetzlichen Aufbewahrungspflichten können sich aus diversen Normen ergeben (z.B. dem HGB oder der Abgabenordnung). Folglich ist für jede Datenkategorie personenbezogener Daten einer Verarbeitungstätigkeit zu ermitteln, welchen Aufbewahrungspflichten der Verantwortliche unterliegt. Diese Überlegungen sollten bereits vor der Einführung einer Verarbeitungstätigkeit durchgeführt werden. Mit Hilfe der ermittelten Informationen hinsichtlich gesetzlicher Aufbewahrungspflichten und der tatsächlichen Erforderlichkeit der Speicherung der personenbezogenen Daten aus allen Verarbeitungstätigkeiten, sollte ein Löschkonzept erstellt werden. Wichtig hierbei ist, dass die vorgesehenen Löschfristen und -regeln im Unternehmen tatsächlich gelebt werden.
Benötigen Sie Unterstützung bei der Erstellung und Umsetzung eines Löschkonzepts oder möchten Sie mehr zu diesem Thema wissen? Wenden Sie sich gerne an unser ds²-Team. Wir freuen uns auf Ihren Anruf!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
In fast jedem Unternehmen sind die Produkte von Microsoft, teilweise auch mangels Alternativen, im Einsatz. Vielen Unternehmern ist jedoch nicht bewusst, dass die Nutzung mancher Funktionen datenschutzrechtlich kritisch ist, wie es die neueste Funktion von Microsoft wieder zeigt.
Denn mit einer neuen Funktion des Office-Pakets Microsoft 365 kann die Leistung und das Verhalten von Mitarbeitern minuziös kontrolliert werden. Die Software kann aufzeichnen, wann und wie oft Mitarbeiter die Software nutzen. So kann beispielsweise auch ausgewertet werden, wann ein einzelner Mitarbeiter wie viele E-Mails mit Outlook verschickt hat und wie lange und wie oft Mitarbeiter über Teams miteinander kommuniziert haben. Bei der Auswertung wird der konkrete Mitarbeiter namentlich genannt. Es erfolgt also durch Microsoft eine Datenverarbeitung, wodurch auch neue (Meta-)Daten wie Nutzungsverhalten und Muster von Arbeitsabläufen, aber auch Prognosen hinsichtlich der Produktivität der einzelnen Beschäftigten erstellt werden. Auch Aussagen über die Arbeitshäufigkeit und -weise des Einzelnen an einem gemeinsamen Dokument können getroffen werden.
Zwar ist eine Anonymisierung möglich, diese muss allerdings aktiv eingestellt werden. Und selbst dann ist es fraglich, ob die Auswertung tatsächlich immer anonym erfolgen kann. Denn gerade in einer kleineren Gruppe können durch bestimmte Merkmale ggf. einzelne Personen identifiziert werden.
Allein die Möglichkeit diese Auswertungen nutzen zu können, unterstellt eine anlasslose Überwachung von Beschäftigten und stellt damit einen Eingriff in das Persönlichkeitsrecht der Beschäftigten dar, was nicht nur datenschutzrechtlich unzulässig, sondern auch arbeitsrechtlich problematisch ist. Microsoft wehrt sich und stellt klar, dass der Produktivitätswert, den die Software aufzeichnet, kein Überwachungswert sei, sie sich an das europäische Datenschutzrecht halten und die Daten nach 28 Tagen gelöscht werden.
Bei der Nutzung von Microsoft 365 werden diese und viele weitere Daten jedoch nicht nur massenhaft gesammelt, sondern auch in die USA, ein datenschutzrechtlich unsicheres Drittland, übertragen. Es empfiehlt sich daher, dass Unternehmen, die Microsoft 365 nutzen, selbst den Zugriff auf die Produktivitätsdaten sperren.
Die Nutzung von Tools wie der Office-Statistik sollten zudem zwingend (sofern vorhanden) mit dem Betriebsrat abgesprochen werden. Es empfiehlt sich, entsprechende Betriebsvereinbarungen zu schließen. Arbeitgeber die diese Gesichtspunkte bei der Nutzung von Microsoft 365 missachten, handeln rechtswidrig. Wer die Möglichkeit hat, auf Alternativen zurückzugreifen, ist gut beraten, dies zu tun.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Erschienen am 1. Oktober 2020
Gerne stellen wir Ihnen eine kleine Übersicht über unternehmensrelevante Dokumente rund um das Thema "Datenschutz" zur Verfügung. Gerne helfen wir Ihnen auch mit weiteren Unterlagen aus. Rufen Sie uns einfach an.
Informationen zum Datenschutz im Homeoffice
Hinweiskarten zur Mitarbeitersensibilisierung am Arbeitsplatz
Hinweisschild zur Datenschutzverletzung
Hinweisschild zum Umgang mit Passwörtern
Hinweisschild zum sicheren Arbeitsplatz
Hinweisschild zu Schadsoftware
Entgegen den Erwartungen der Gesetzgeber stecken immer noch viele Tausend Firmen in dem Prozess, Datenschutz in ihrem Unternehmen einzuführen, fest. Gründe gibt es viele, der wohl wichtigste ist: Viele versuchen, nur mit ein paar Formularen dem Gesetz Genüge zu tun, ohne die Unternehmensprozesse zu berücksichtigen.
Tatsächlich erleben wir immer wieder Unternehmen, die es auch nach Jahren nicht geschafft haben, die gesetzlichen Vorgaben in das Tagesgeschäft zu integrieren. Es liegen dabei oft schon umfangreiche Dokumente vor, die irgendwo eingekauft wurden, aber nichts mit den Prozessen im Unternehmen zu tun haben. Nicht selten wird der laufende Prozess frustriert abgebrochen, das Thema in die unterste Schublade verbannt.
Der Hauptgrund liegt unserer Erfahrung nach darin, dass der Datenschutz zu eindimensional gesehen wird: "Es geht nicht nur darum, einen Datenschutzbeauftragten zu berufen und ein paar Formulare auszufüllen. Datenschutz muss in die Prozesse integriert werden,“ ist die feste Überzeugung in unserem Team.
Und dazu gehört nicht nur die Betrachtung durch die juristische Brille. Die IT-Experten und auch die Prozessverantwortlichen müssen eingebunden werden. In vielen Fällen kann ein prozessual integrierter Datenschutz die Unternehmensabläufe beschleunigen. „Wer die Einführung des Datenschutzes nicht mehrdimensional angeht, wird die Furcht vor punktueller Lähmung eher bestätigt finden“, so Datenschutzexpertin Sabrina Daniel, die in unserem Team Unternehmen beim Restart der Datenschutzprojekte und der Einführung von Datenschutzmanagementsystemen unterstützt.
Um hier die Effizienz des Unternehmens zu erhalten und ggf. optimieren, bietet sich die Umsetzung der Anforderungen mittels eines Datenschutzmanagementsystems an. Managementsysteme sind in den Unternehmen bewährte Praxis und im Qualitätsbereich schon lange Standard. Diese Erfahrungen kann man auch für die Umsetzungen im Datenschutz nutzen. So kann bspw. ein Datenschutzmanagement in ein bestehendes Managementsystem integriert werden. In jedem Fall erleichtert ein Managementsystem die Gewährleistung der gesetzlich geforderten Rechenschaftspflicht erheblich.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
Datenschutz leidet unter einem schlechten Ruf. Den Befürwortern gehen die Gesetze meist nicht weit genug, den Gegnern viel zu weit. Als Geschäftsführer der ds² Unternehmensberatung für Integrierten Datenschutz und Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. weiß ich: Wir haben in den letzten 50 Jahren viel geschafft. Nur eines nicht – die Menschen für den Datenschutz zu begeistern.
Datenschutz ist in Deutschland ein Grundrecht jedes Menschen. Datenschutz ist damit so wichtig und so wertvoll wie die Menschenwürde, das Recht auf Leben, das Recht auf Gleichberechtigung, das Recht auf Religions- oder Meinungsfreiheit, um nur wenige zu nennen. Dennoch geht für Datenschutz kaum jemand auf die Straße. Im Gegenteil. Viele gehen mit ihren Daten viel zu lässig um, wundern sich dann aber, wenn sie darüber an der einen oder anderen Stelle stolpern.
Neue Technologien, wie sie das Internet tagtäglich hervorbringt, werden fast ausnahmslos begrüßt, jedoch nur wenig hinterfragt. Laien können sich zudem kaum mehr vorstellen, dass ein funktionierender Schutz vor Datenmissbrauch möglich ist.
Diese Denke hemmt die Arbeit an der Verbesserung von Schutzsystemen. Hierdurch bremsen sich Unternehmen oft selbst aus, statt die Vorteile aus verbesserten Schutzsystemen zu heben. Datenschutz ist in der Praxis von Unternehmen nur eine Herausforderung mehr. Wir von ds² stellen aber immer wieder fest, dass der Datenschutz auch eine Chance ist, bestehende Technologien und Praktiken nachhaltig zu verbessern.
Wir gehen davon aus, dass das Thema die Vorteilsdiskussion der Zukunft bestimmen wird: Wer in der Lage ist, Datenschutz für seine Kunden zu garantieren, ist dem Wettbewerb mehr als eine Nasenlänge voraus.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
Erschienen am 01. September 2020
In Deutschlands Unternehmen haben sich rund 50 Prozent aller Datenschutz-Einführungen festgefahren, bevor sie ins Ziel gekommen sind. Die Gründe sind vielfältig. Meistens liegt es an mangelnder Priorität oder mangelnder Akzeptanz in den Unternehmen. Doch es gibt Möglichkeiten, das Datenschutz-Projekt erfolgreich zum Abschluss zu bringen.
„Vor jedem Restart steht eine Analyse: Wie weit ist die Grundlagenarbeit gekommen? Woran hat es gelegen, dass sich der Prozess festgefahren hat?“, sagt Thomas Spaeing, Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. Der Restart sollte möglichst unter Moderation eines erfahrenen, externen Datenschutzberater angegangen werden. Denn der könne glaubwürdig für eine höhere Priorität und für eine bessere Akzeptanz bei den Beteiligten werben und oft auch den internen Datenschutzbeauftragten den Rücken stärken.
Ein erfolgreicher Abschluss der Einführungsphase sei alternativlos, so Spaeing. Denn die Aufsichtsbehörden bemängeln schon Organisationsverschulden, wenn die Aufgaben zum Datenschutz im Unternehmen nicht geregelt sind oder die Dokumentation unvollständig ist.
Und nach Jahren sei auch nicht glaubhaft, dass man noch intensiv daran arbeite, so der Experte. In mittleren wie großen Unternehmen dauere eine gelungene Einführung gerade einmal sechs bis zwölf Monate – vorausgesetzt, dass die zuständigen Fachbereiche sowie das Management eingebunden sind. Und danach warte auch eine Phase der Entspannung: „Im laufenden Betrieb sinkt der Aufwand deutlich“, sagt Thomas Spaeing, der mit seinem Team der Unternehmensberatung ds² viele Unternehmen betreut. Und die Geschäftsführung könne auch wieder besser schlafen, weil sie auch diese Hürde genommen habe.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
In Berlin wurde am 07. Juni 2020 die European Federation of Data Protection Officers (EFDPO) gegründet. Der europäische Dachverband der Datenschutzbeauftragten hat sich zum Ziel gesetzt, die Datenschutzbeauftragten der EU-Mitgliedsstaaten zu vernetzen, gemeinsame Standards zu entwickeln und die Interessen des Berufsverbandes in Brüssel zu vertreten.
„Ein weiteres Ziel ist es, weltweit dafür zu werben, das schützenswerte Daten in Europa gut aufgehoben sind“, sagt Thomas Spaeing. Denn der strenge Datenschutz in der EU sei sowohl ein Standort- wie auch ein Wettbewerbsvorteil. Thomas Spaeing, Geschäftsführer der auf integrierten Datenschutz spezialisierten Unternehmensberatung ds², wurde zum Gründungspräsident gewählt. Er hatte als Vorstandvorsitzender des Bundesverbandes der Datenschutzbeauftragten (BvD) den europäischen Dachverband initiiert. Gründungsmitglieder sind neben dem BvD nationale Berufsvertretungen aus Österreich, Frankreich, Portugal, Tschechien, der Slowakei, Griechenland und Liechtenstein. Arbeitssitz des neuen Verbandes ist Brüssel.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320