Datenschutz - Wahrheit oder Pflicht?

Die DSGVO hat alle in Angst uns Schrecken versetzt. Wir haben wochenlang fast nichts anderes getan als zu informieren, Halbwahrheiten zu relativieren und selbst ein Datenschutz Management System einzuführen. Nun ist die Übergangsfrist zuende, die ersten Abmahnungen sind unterwegs und dennoch dreht sich die Welt weiter.

In den vergangenen drei Monaten haben wir 2000 E-Mails zum Stichwort Datenschutz verarbeitet. Das Hauptproblem sind die unklaren und darum weitreichenden Pflichten die sich aus der DSGVO für Unternehmen ergeben und keiner so recht weiß was nun konkret zu tun ist. Daraus resultieren alle möglichen Theorien und Halbweißheiten. Selbst die Branchenverbände und Kammern wissen dazu nur wage Vermutungen anzustellen. Unterstrichen wird das alles von der Tatsache, dass etliche Entscheidungen erst noch ausstehen, welche dann richtungsweisend für den Datenschutz und die Prozesse der Unternehmen sein werden.

Die Plage mit den Abmahnungen

Leider erlaubt das deutsche Recht unter bestimmten Voraussetzungen Unternehmen anwaltlich abzumahnen, wenn diese nicht alle erforderlichen Informationspflichten erfüllt haben. Man muss dazu erkennen, dass es an dieser Stelle nicht um die Betroffenen (als die Kunden) selbst geht, die in irgendeiner Form geschädigt worden wären. Es handelt sich bei den Abmahnungen um eine lästige Begleiterscheinung, bei der auch noch nicht zu 100% sichergerstellt ist, ob diese überhaupt vor Gericht stand halten. Darum bitte keine unbedachten Reaktionen auf etwaige Anschreiben. Besprechen Sie Anfragen von Anwälten, Behörden und Betroffenen immer zuerst mit dem Datenschutzbeauftragten oder Datenschutzverantwortlichen, ggf. auch mit einem Anwalt für IT-Recht oder Wettbewerbsrecht.

Die ersten Meldungen zu Abmahnungen sind bei Heise zusammengetragen: https://www.heise.de/amp/meldung/DSGVO-Die-Abmahn-Maschinerie-ist-angelaufen-4061044.html?xing_share=news

Nun zu den eigenen Pflichten

Natürlich handelt es sich bei der DSGVO nicht um einen zahnlosen Tiger, wie das vom deutschen Bundesdatenschutzgesetz oft behauptet wird. Es sei aber an der Zeit, die Panik abzubauen, sagte der hessische Datenschutzbeauftragte Michael Ronellenfitsch. "Wir haben Zähne bekommen, sind aber nicht bissig geworden."

Darum möchte ich die wichtigsten Punkte zum Datenschutz nun kurz zusammenfassen:

  • Weiterhin gilt es die Webseite im Auge zu behalten, wie sich die Gesetzgebung zum Umgang mit Google, facebook und Co. verändern wird - und sie wird sich verändern.
  • Im Unternehmen muss eine Bestandsaufnahme zu den Prozessen und Verarbeitungen durchgeführt werden, an welchen Stellen mit welcher Software oder welchen Lieferanten, personenbezogene Daten verarbeitet werden.
  • Dabei müssen zuerst die öffentlich sichtbaren und kritischen Verarbeitungen beleuchtet und sichergestellt werden. Möglicherweise müssen Betroffene informiert oder sogar der Prozess angepasst werden. Ich denke dabei vor allem an die Verarbeitungen die Betroffenen offensichtlich sind (Videoüberwachung, Bestellformulare, sensible Mitarbeiterdaten usw.)
  • Dann ist zu prüfen, für welche Verarbeitungstätigkeiten ein besonderer Schutzbedarf erforderlich ist. Dazu wurde erst vor wenigen Tagen ein Papier veröffentlicht, dass solche Verarbeitungen für Baden-Württemberg beschreibt: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf
  • Nach der Bestandsaufnahme müssen die erforderlichen Maßnahmen definiert und die Aufgaben verteilt und kontrolliert werden.

  • Beim Datenschutz handelt es sich nicht um ein Produkt das gekauft werden kann - es ist ein Prozess und ein Umdenken bei allen Beschäftigten erforderlich.

Vorlagen und bestehendes Wissen nutzen!

Grundsätzlich geht es vor allem um personenbezogene Daten (pbD) die elektronisch verarbeitet, übertragen und gespeichert werden (in sogenannten Verfahren). Da wir in der Vergangenheit einen Großteil der dazu benötigten Systeme geliefert und betreut haben, können wir viele Fragen zum Datenschutz schon heute positiv beantworten.

Aus diesem Grund haben wir in den letzten Wochen Mitarbeiter ausgebildet und ein Datenschutz-Konzept ausgearbeitet, mit dem wir unsere Kunden ideal auf die DSGVO vorbereiten können. Dieses ergänzt die bisherige IT-Dokumentation um ein Datenschutz-Portal. Es beinhaltet Vorlagen zu Standardverfahren und Mustertexten und liefert Erkenntnisse darüber, an welchen Stellen nachgebessert werden muss. Mithilfe dieser Werkzeuge bekommt der interne Verantwortliche für Datenschutz oder ein externer Datenschutzbeauftragter einen schnellen Überblick - und das Leben kann weitergehen.

Unser Datenschutz-Konzept begleitet damit folgende Schritte:

  1. Grundkonfiguration des Datenschutz-Portals im Web
  2. Prüfung der Internetseiten auf Einhaltung der Richtlinien
  3. Bestandsaufnahme zu Verfahren, Maßnahmen und IT-Systemen
  4. Zuordnung an Verantwortliche und ggf. den Datenschutzbeauftragten
  5. und letztlich die Überwachung und regelmäßige Kontrolle der Maßnahmen

Online Vertrag zur Auftragsverarbeitung

Da wir in vielen Fällen beim IT-Support und während der Umsetzung von IT-Projekten mit personenbezogenen Daten vom Auftraggeber in Berührung kommen, sind wir nach DSGVO so genannter „Auftragsverarbeiter“. Unsere Auftraggeber müssen nun sicherstellen, dass die Daten bei uns in sicheren Händen sind und einen Vertrag abschließen der den Rahmen dazu festlegt. Wir haben darum eine Möglichkeit eingerichtet, schnell und unkompliziert einen entsprechenden Vertrag mit uns abzuschließen. Auf Anfrage senden wir Ihnen den Link zum Vertrag gerne zu.

Sicherheit by Design

Wir leben die Datensicherheit natürlich schon lange, da dies unsere Existenzgrundlage als IT-Dienstleister darstellt. Wir stehen für Datenschutz und Transparenz und tun alles dafür, dass Daten bei uns in sicheren Händen sind. Um hautnah zu erleben was das bedeutet planen wir Informationsveranstaltung, bei der wir das Thema Datenschutz beleuchten, das eSZet Datenschutz-Konzept im Detail vorstellen und unsere Maßnahmen zum Schutz der Daten erläutern. Wir haben hier drei kurze Fragen zusammengestellt, die uns erleichtern den passenden Rahmen zu planen:

https://forms.office.com/Pages/ResponsePage.aspx?id=NH7Wbp8prUibjao7EhFVyiHpckRgGDRNk7QvSDej5pJUOUlYSkZMWUlYR0lMVENLRURSV09CUjFUSS4u

Sicherheitslücke in Prozessoren

Das Jahr fängt gut an - so wurden nun Sicherheitslücken bekannt, über die Angreifer den Speicher des Computers auslesen können. Alle Programme und Dienste arbeiten im Arbeitsspeicher, welcher über die Bedrohung direkt vom Angreifer ausgelesen werden kann.

Aktuell wird in den Medien viel darüber geschrieben und berichtet. Aus unserer Sicht sollten nun die Antivirus Programme auf mögliche Inkompatibilität geprüft und Windows Updates installiert werden. Auch sollten alle angebotenen Updates von Drittsoftware wie Browser, Firefox, Java und Co. installiert werden, nachdem der Herausgeber der Software im Setup Dialog geprüft wurde.

Windows Updates automatisch installieren

Entgegen der landläufigen Meinung, Updates würden das System beschädigen, ständig nerven und verlangsamen, empfehlen wir Updates automatisch installieren zu lassen - von Windows und allen anderen installierten Programmen. Vor allem wenn das Betriebssystem auch einen Internetzugriff für den Anwender zur Verfügung stellt.

Mit unserer f-secure Business Protection for Business Lösung können fehlende Updates für die Systeme gefunden und automatisch im Hintergrund installiert werden. Das verringert den Aufwand für IT und Benutzer und erhöht die Sicherheit ohne manuellen Eingriff. Gerne stellen wir die Software vor und erstellen ein Angebot das zu Ihren Anforderungen passt.

weitere Informationen gut erklärt hier - Quelle: http://stadt-bremerhaven.de/meltdown-und-spectre-die-letzten-tage-zusammengefasst/

Update 10.01.2018

Microsoft hat eine Liste von Herstellerlinks veröffentlicht, unter der die notwendigen Treiber und BIOS Updates geladen und anschließend installiert werden können. Wir empfehlen diese Updates manuell zu suchen und zu installieren. Gerne unterstützen wir Sie dabei. Prüfen Sie vorab ob eine Datensicherung von dem System sinnvoll und vorhanden ist.
Link zu Microsoft: https://support.microsoft.com/en-us/help/4073757/protect-your-windows-devices-against-spectre-meltdown

 

kritische Sicherheitslücke in Outlook

Aktuell wurden Sicherheitslücken in Microsoft Outlook für Windows und Apple Mac entdeckt. Insgesamt wurden drei Sicherheitslücken identifiziert, welche einem Angreifer ermöglichen über manipulierte Dokumente im Spam das System zu beschädigen und sich Zugriff zum System zu beschaffen.

Bisher scheint das Problem nicht von Angreifern entdeckt worden zu sein, wodurch noch keine große Gefahr von den Sicherheitslücken ausgeht.

Windows Updates regelmäßig installieren

Entgegen der landläufigen Meinung, Updates würden das System beschädigen, ständig nerven und verlangsamen, empfehlen wir schon seit geraumer Zeit Updates automtiasch installieren zu lassen - von Windows und allen anderen installierten Programmen. Vor allem wenn das Betriebssystem auch einen Internetzugriff für den Anwender zur Verfügung stellt.

Microsoft stellte die Updates zur Schließung dieser Sicherheitslücken bereits zur Verfügung. Diese können über die Funktion Windows Updates in der Systemsteuerung installiert werden.

Quelle: http://www.security-insider.de/schwachstellen-in-outlook-a-630962/?cmp=nl-36&uuid=534F15DF-A977-44E7-B2D8-3A5AB36E3F57

 

WLAN für alle - Regelungen nun endlich klar

Bisher war es fast unmöglich das eigene WLAN Netzwerk für Gäste zur Verfügung zu stellen, ohne dabei rechtlich sofort Geldstrafen und Abmahnungen zu riskieren. Diese Gefahr ging vor allem davon aus, wenn Gäste im Internet Rechte oder Gesetzte verletzt haben.

Den ein Verstoß eines Gastes gegen Urheberrechte (zum Beispiel durch das Teilen und Laden von Musik und Filmen) oder sonstige Gesetzte hatte zur Folge das die so genannte Störer-Haftung den Betreiber des Netzwerks zur Rechenschaft zog. Doch das ändert sich jetzt endlich.

Die Störer-Haftung soll endgültig abgeschafft werden

Am 30. Juni 2017 verabschiedete die Bundesregierung die Reform, der Reform zur Reform, die noch in diesem Jahr in Kraft treten soll. An den Gesetzten wurde in den vergangenen Jahren mehrfach gearbeitet und immer wieder waren die Reglungen zu schwammig und nicht klar definiert. Die Anbieter müssten ihr Angebot weder verschlüsseln noch brauchten sie eine Vorschaltseite, erläuterte Wirtschaftsministerin Brigitte Zypries (SPD). Sie müssten auch die Identität ihrer Nutzer nicht überprüfen. Das Gesetz soll dieses Jahr noch in Kraft treten.

Quelle: http://www.spiegel.de/netzwelt/netzpolitik/wlan-gesetz-koalition-einigt-sich-in-letzter-minute-a-1154695.html

Webserver im Visier von Hackern

Derzeit nutzen Angreifer gehäuft eine kritische Sicherheitslücke aus und versuchen so Web-Server zu übernehmen. Da viele Hersteller auch unter Windows den Apache Dienst verwenden um die Webseite zur Anwendung bereitzustellen, sind die eigenen Anwendungen auf diese Sicherheitslücke zu prüfen.

Bedrohung erkennen

Besonders gefährdet sind Webserver, die aus dem Internet erreichbar sind. In der Regel sind dafür Freigaben an der Firewall eingerichtet worden und ggf. der Zugriff mit einem Passwort versehen. Dies ist jedoch bei dieser Sicherheitslücke kein Schutz vor einem Angriff. Auf Basis der Programmierung kann schadhafter Code implementiert werden, um Zugriff auf den Server und auch auf die gespeicherten Daten zu erhalten.

Updates installieren

Zuerst gilt zu prüfen, welche Webseiten ins Internet freigegeben wurden. Die Anwendungen müssen über den Hersteller auf Sicherheitslücken geprüft und anschließend vorhandene Updates für das System installiert werden. Wenn klar ist dass die Sicherheitslücke besteht aber keine Updates zur Verfügung stehen, empfehlen wir dringend den Webdienst vorübergehend vom Netz zu nehmen. Die offizielle Webseite darf nicht übersehen werden. Hierzu kann der Webdesigner bzw. Programmierer schnell Infos liefern.

Neuen Gefahren vorbeugen

Um grundsätzlich auch in der Zukunft Sicherheitslücken vorzubeugen empfehle ich, regelmäßig Updates zu installieren und den Newsletter des Herstellers zu abonnieren. Weitere Sicherheit bringen VPN Tunnel und das Abweichen von den Standardeinstellungen.

  • 1
  • 2

Anfahrt

Anmeldung

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen