Aufgrund großer Nachfrage nach unseren inhouse Schulungen und Beratungen zum Thema DSGVO veranstalten wir nun eine eigene Seminarreihe. Die Seminare sind unterteilt in die momentan am meisten nachgefragten Themenbereiche und bewußt kurz und knackig gehalten. Ziel ist es, die Thematik nach dem Seminar selber mit einem vernünftigen Aufwand umsetzen zu können.

Alle Seminare sind afterwork und starten ab 16:00 Uhr. Unser Seminarpartner ist das Bremer Lernkontor, hier finden die Seminare für die bremer Reihe statt.

praktische Anwendung der DSGVO

Die Erfahrung zeigt, die Umsetzung der DSGVO läuft etwas ruckelig. Überall werden Unterschriften im Namen der DSGVO verlangt, der Verwaltungsaufwand ist enorm. Dabei ist es gar nicht so schwierig, ein ordentliches Datenschutzniveau mit einem vertretbaren Aufwand umzusetzen und zu erhalten. Die Seminarreihe soll praxisorientiert Anleitung zur Selbsthilfe geben.

Die Reihe ist geeignet für Entscheider von Betrieben mit oder ohne betrieblichen Datenschutzbeauftragten, Inhaber von Kleinstbetrieben ohne betrieblichen Datenschutz, Vereinsfunktionäre etc.

Lernziel:     Entmystifizierung der DSGVO und Anleitungen für eine praxisgerechte Umsetzung

Kosten:      Pro Seminar beträgt die Gebühr € 150,- (brutto). Die Gebühr ist im voraus fällig. Bei Buchung aller 4 Teile beträgt die Gebühr € 550,-.

Alle Seminare sind begrenzt auf max. 8 Teilnehmer, damit auf eigene Fragen eingegangen werden kann.

Teil 1:  Einwilligung oder Informationspflicht

Termin: 22.10.2019 16:00; Dauer: ca. 2 Stunden

Inhalt:

• Beurteilung der richtigen Rechtsgrundlage
• Wann benötige ich eine Einwilligung?
• Wie kann ich die Einwilligung umgehen?
• Richtige Gestaltung der Einwilligung
• Richtige Gestaltung der Betroffeneninformation
• Eigene Beispiele können mitgebracht werden.

Teil 2: Auftragsdatenverarbeitung

Termin: 05.11.2019 16:00; Dauer: ca. 2 Stunden

Inhalt:

• Grundlagen zur ADV
• Wann ist es keine Auftragsdatenverarbeitung
• Bestandteile eines ADV-Vertrages
• und organisatorische Massnahmen

Teil 3: Datenschutz durch Technik

Termin: 19.11.2019 16:00; Teil 2 Dauer: ca. 2 Stunden

Inhalt:

• Was ist Datenschutz durch Technik?
• Möglichkeiten anhand von Beispielen
• Sondersoftware und Standardsoftware
• Welche Punkte der DSGVO sind relevant
• Diskussion und Beispiele

Teil 4: Löschkonzepte

Termin: 26.11.2019 16:00; 2 Dauer: ca. 2 Stunden

Inhalt:

• Grundlage des Löschens von Daten nach DSGVO
• Was ist ein Löschkonzept?
• Aufbewahrungspflichten
• Sperrung statt Löschung
• korrekte Dokumentation
• Eigene Beispiele können mitgebracht werden.

Bei Interesse bieten wir weitere Themen an. Natürlich führen wir auch Inhouse-Seminare bzw. Beratungen zum Thema durch.

Verbindliche Anmeldung unter: info@cheyenne-IT.de

Die Seminare finden statt beim:

Bremer Lernkontor
Industriestrasse 12
28199 Bremen

https://www.bremer-lernkontor.de/

Der Beitrag DSGVO Seminarreihe erschien zuerst auf cheyenne-Blog.

Ein paar kritische Gedanken zum Thema Cloudcomputing am Beispiel Office 365

Office 365 der Firma Microsoft ist das cloudbasierte MS-Office. Seit ca. 2014 gilt bei Microsoft die Devise „Cloud-first“, dieser Slogan kommt uns doch irgendwie bekannt vor, oder?

Das Konzept ist recht ausgeklügelt, es werden viele Businessanwendungen wie Skype for Business, Microsoft OneDrive und ähnliches angeboten. Hier liegt der Fokus auf dem Wort „Business“ und schon sind wir mitten in der DSGVO. Microsoft besitzt die Daten, deren Eigentümer wir selber sind. Nach DSGVO liegt die Verantwortung für die verarbeiteten Daten aber bei uns, dem Käufer von Office 365. Also wir haften, nicht Microsoft!

Wie kann man DSGVO und Office 365 in Einklang bringen, kann man das denn überhaupt?

Natürlich hat Microsoft einen Auftrags-Datenverarbeitungs-Vertrag  (ADV) bereitgestellt. Microsoft ist der Verarbeiter im Auftrag und muss sich nach den Weisungen des Verantwortlichen der Daten, wie gesagt, das sind wir, richten. So jedenfalls sieht es die DSGVO vor.

Microsoft klärt hier über alle möglichen Fragen zum Thema Compliance/Datenschutz/etc. auf.  Klingt erstmal gut und zugewandt. Das meiste ist sehr allgemein und wenig konkret gehalten.

Weiterhin stellt Microsoft die sogenannte „Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365 zur Verfügung -> hier lesen

Dieser Katalog gibt zum größten Teil Empfehlungen, welche Einstellungen der Verantwortliche am besten vornimmt, um seine Daten besser schützen zu können. Im Prinzip sind es techn. und organisatorische Massnahmen, vom Auftragsverarbeiter an den Verantwortlichen. Die DSGVO sieht dies aber in anderer Richtung vor.

Beim Lesen stellt sich die Frage, wie es funktionieren kann, wenn der Verantwortliche, der ja nach DSGVO weisungsbefugt ist, dem Auftragnehmer eine Weisung erteilen möchte. Dafür ist dann einer dieser Textbausteine verlinkt, die dem Verantwortlichen etwas von oben herab empfehlen, wie er mit seinen Daten umzugehen hat. Eine konkrete Information wie eine diesbzgl. Weisung an den Auftragsverarbeiter zu richten hat und was dieser dann in welcher Zeit tut, konnte ich hier nicht finden.

Die Einhaltung der DSGVO alleine zu betrachten, empfinde ich immer als ein wenig zu kurz gedacht. Es ist, als hätte ich ein Auto ohne Führerschein, beides geht… DSGVO funktioniert meines Erachtens nur, wenn man die Einhaltung als QM-Massnahme betrachtet, nur dann muss man auch gleichzeitig das Thema IT-Sicherheit betrachten.

Ein Beispiel, das wohl jeder nachvollziehen kann. Ich lege meine Passwortliste in die Cloud (in irgendeine, fremdgehostete), weil ich mir ja nicht alles merken kann und es ja so praktisch ist. Beim Anbieter findet ein erfolgreicher Cyber-Angriff statt. So ein Angriff wird fast immer erst später oder auch manchmal nie erkannt. Und jetzt? Vielleicht wird meine Identität geklaut, vielleicht meine Konten abgeräumt, wer weiß, welche Ideen jemand entwickelt.

Es lohnt sich also, ein paar Sicherheitsüberlegungen im Vorfeld anzustellen und nicht jedem Microsoft-Platin-Partner zu vertrauen. Oder würdest Du, wenn es klingelt und Dir jemand irgendeinen Vertrag (nennen wir ihn ADV-Vertrag) unter die Nase hält, glauben, dass er Deine Bankzugangsdaten besser aufbewahren kann als Du selber?

Weil alles, was irgendwie mit IT zu tun hat, auch irgendwie etwas undurchsichtig ist, muss man sich hier wohl einige Gedanken mehr machen. Für IT gibt es zum Glück die BSI-Grundschutzkataloge. Für einen Brand hat man einen Notfallplan, warum nicht auch für IT-Vorfälle? Hier heißt es dann Incidence response. Hat man ein paar Notfallpläne, weiß jeder, was zu tun ist, es wird schneller reagiert und weniger Spuren verwischt. Während man sich Gedanken macht und Konzepte entwickelt, kann man eine höhere Sensibilität entwickeln und Unsicherheiten abbauen. Danach sollte man noch einmal neu überprüfen, welche Anwednugnen mit Fremddatenspeicherung man wirklich benötigt und ob man bei Konzepten wie Office 365 überhaupt mitmachen möchte.

Sehr modern momentan ist es auch, gleichzeitig die Übertragung der Active-Directory-Domain. Dann kann man die Office-Produkte ganz bequem mit seinen Domänenanmeldedaten aktivieren. Echt jetzt?

Alternativen?

Für alles gibt es immer und überall Alternativen. Oft sind sie sogar preisgünstiger und ein Wechsel läßt sich einfacher gestalten. Jeder betreibt ja heutzutage irgendeinen Webserver und wenn nicht, läßt man sich einen einrichten. Dort könnte man seinen eigenen Clouddienst einrichten. Natürlich kann man auch hier Emails, Dateien, Kalender und alles mögliche teilen. Auch kann man hier seinen eigenen Officeserver aufsetzen, z.B: LibreOffice.

Und nun wird alles durch den Adminstrator des eigenen Vertrauens betreut und DSGVO in Verbindung mit IT-Sicherheit sind plötzlich Peanuts.

Anmerkung

Dieser Artikel ist entstanden, weil mich in meinem täglichen Beratungsgeschäft die Naivität von Geschäftsführern und Inhabern mitunter mittelständischer oder sogar größerer Unternehmen oft wie ein Tsunami trifft.

Beispielphrasen:

• Machen doch alle, dann muss es doch sicher sein
• Microsoft, ist doch der Größte, die müssen es doch wissen usw.
• Ohne WhatsAPP kann man keine Photos schicken
• bei uns ist doch nichts zu holen
• geht unendlich so weiter

Es ist mitunter schwierig, in diesen Unternehmen wenigstens ein minimales Sicherheitsniveau zu etablieren.  Hochinteressant, dass viele immer noch ein Urvertrauen in Unternehmen haben, deren Inhaber, sie gar nicht kennen. Cybercrime ist ein einträgliches Geschäft, Bankraub vom Sofa aus, während die Lieblingsserie auf Netflix läuft, oder so. Es gibt zwar nie keine 100-%ige Sicherheit, aber man sollte sich wenigstens Gedanken darüber machen, was man zu verlieren hat. Oft gibt es imUnternehmen die teuerste Alarmanlage, mit Wachdienst, Videoüberwachung u.ä. und dann kopieren diese Unternehmen ihre Geschäftsgeheimnisse in irgendwelche Clouds. Das muss man erstmal sacken lassen.

Deshalb ist dieser Artikel für die, die kein Lichtschwert besitzen, für die anderen nicht

Der Beitrag Office 365 stell Dir vor, keiner macht mit? erschien zuerst auf cheyenne-Blog.

Gemeint ist damit die Speicherung von Telekommunikationskopfdaten für nun in der neuen Variante für 4-10 Wochen. Um, natürlich mit richterlichem Beschluß, im Falle von Straftaten, diese Daten auswerten zu können und auch um im Vorwege Straftaten verhindern zu können.

Kopfdaten
Das sind alle Verbindungsdaten ausser Inhaltsdaten. Also wer mit wem unter welcher Nummer wie lange telefoniert, gechattet xyz hat.

Sie spukt mir schon sehr lange im Kopf herum diese Massendatenspeicherung. Es stellen sich mir wieder viele Fragen:

• Wo sollen sie hin diese Massendaten, die da gespeichert werden sollen
• Wer bezahlt das ganze? Es werden ja die Telefon- und Internetprovider in die Pflicht genommen, dieses zu tun, das heisst wahrscheinlich, dass sie ihre Systeme darauf anpassen müssen, ist bestimmt teuer.
• Wer soll sie dann im Falle eines Falles auswerten, diese Massen von Daten, die da in der Massendatenspeicherung gespeichert werden?

Die Namensgebung ist auch super, Massendatenspeicherung, da muß ich gleich an Messies denken, die alles sammeln und nichts wegwerfen können. Es gibt noch das Synonym Vorratsdatenspeicherung. Speicherung auf Vorrat, so wie Suppe, falls uns die Daten mal ausgehen. Ok, ich höre jetzt auf und denke nochmal ernsthaft darüber nach:

Die Vorratsdaten, die ja nun zwischen 4 und 10 Wochen gespeichert werden, wer das wie festlegt, konnte ich noch nicht plausibel herausfinden, müssen danach wieder gelöscht werden. Sie dürfen nur ausgewertet werden, wenn es einen richterlichen Beschluß gibt. Da stellt sich natürlich die Frage, wie funktioniert das technisch.

Beispiel:
Mutmasslicher Terrorist x hat 5 Handys bei unterschiedlichen Providern, noch diverse Internetzugänge und unzählige Mailadressen. Es wird jetzt vermutet, dass der mutmassliche Terrorist x einen Anschlag auf Flughafen irgendwo plant. Der überarbeitete Richter gibt die Erlaubnis, diese Daten auszuwerten. Ab jetzt bis minus 10 Wochen würde ich sagen, oder? Wie bekommen jetzt diejenigen, die die Daten auswerten alle Daten?

Es erschliesst sich mir nicht, wie das ohne eine Art Metadatenbank, die alle Daten zusammenführt, funktionieren soll. Desweiteren gibt es in den Massendaten des mutmasslichen Terroristen x wahrscheinlich auch sehr viele Verbindungen zu Teilnehmern ohne terroristischen Hintergrund. Da hat er mal den Klempner angerufen, min. 3 mal beim Pizzaexpress (sind die jetzt auch verdächtig? 3 mal und die Pizzabecker sind alle arabischer Abstammung), Anruf bei Oma etc. Müssen jetzt die Verbindungsdaten dieser Teilnehmer auch ausgewertet werden? Oma hat bei dem selben Pizzaexpress bestellt und hat denselben Klempner (bei ihr war der 5 mal, die Heizung ging nicht), ist das vielleicht eine Gruppe? Und der Zeitrahmen, beim Angriff auf den Bundestag, haben sie 3 Monate benötigt, ehe sie tätig wurden.

Ihr seht, mangels Verständnis für diese Angelegenheit, schiessen mir viele Gedanken durch den Kopf, nicht alle sind ernst gemeint. Der mutmassliche Terrorist x ist eine Phantasiegestalt, eventuelle Ähnlichkeiten mit noch lebenden Personen sind rein zufällig.

Und Übrigens: In Frankreich gibt es bereits die Speicherung von Verbindungsdaten, und hat es prophylaktisch genützt bei Charlie?

Der Beitrag Massendatenspeicherung, tolles Wort erschien zuerst auf cheyenne-Blog.

Die betr. Datenschutzbeauftragte (DSB) stellt die Einhaltung des BDSG (Bundesdatenschutzgesetz) sicher. Und was bedeutet das? In den von mir neu übernommenen Betrieben herrscht insbesondere bei denen, die vorher noch keine Datenschutzbeauftragte hatten, Unsicherheit über die Tätigkeiten, die im Rahmen dieses Vertrages zu erbringen sind. Hier ein paar Beispiele für Firmen, die das erste Mal eine betr. Datenschutzbeauftragte bestellt haben:

Etablierung des Schutzes personenbezogener Daten und damit verbundener IT-Sicherheitseinrichtungen

• Erstellung der öffentlichen Verfahrensverzeichnisse, die nach dem „jedermann-Prinzip“ jedem! zugänglich gemacht werden müssen und über die jede Firma verfügen muss!
• Überprüfung des Kenntnisstandes derjenigen Mitarbeiter, die regelmäßig mit personenbezogenen Daten umgehen
• Durchführung von regelmäßigen Unterweisungen für Mitarbeiter, z.B. bei Prozessänderungen, neuen gesetzl. Auflagen, in Schadensfällen, bei besonderen Anlässen…
• Prüfung der Systeme auf Zugangssicherheit, Optimierung von Zugängen u.ä.
• Schwachstellenanalysen, Zutritt, Zugang, Apps, mobile etc.
• Erteilung von Auskünften u.ä. bei Anfragen von Betroffenen
• Übernahme der Gespräche mit dem Beauftragten für den Datenschutz des jeweiligen Bundeslandes bei Kontrollbesuchen
• Zusammenarbeit mit dem Betriebsrat, Erstellung von Mitarbeitervereinbarungen u.ä.
• Beratung der Geschäftsführung zu Themen rund um den Datenschutz
• ….

Wie geht das in der Praxis? Der Gesetzgeber geht davon aus, dass nicht alle Punkte immer sofort nach Bestellung einer neuen Datenschutzbeauftragten erfüllt werden können. Vielmehr ist betr. Datenschutz ein Prozess, der sich immer weiter entwickelt und verändert. Mehr Wissen schafft mehr Sicherheit. Jeder Betrieb hat seine Besonderheiten. Je nach Branche ist ein anderes Sicherheitsniveau anzustreben.

Aus diesem Grund empfiehlt der Gesetzgeber, diese Tätigkeit, wenn eine externe Datenschutzbeauftragte bestellt werden soll, im Rahmen eines Vertrages durchzuführen. Wegen der erhöhten Anforderungen sollte dieser Vertrag über min. 2 Jahre abgeschlossen werden.

Wir bieten für unsere Kunden deshalb Verträge an, die über 2 Jahre laufen und sich jeweils um 1 weiteres Jahr verlängern, wenn man miteinander weiterarbeiten möchte. Die Preise sind gestaffelt nach Unternehmensgrösse:

Wartungsvertrag 1: <15 Mitarbeiter
Wartungsvertrag 2: <25 Mitarbeiter
Wartungsvertrag 3: <50 Mitarbeiter

Unsere Kunden kommen aus den folgenden Bereichen: Medizin, techn. Gewerbe und Auftragsdatenverarbeitung (Versicherungen, Hausverwaltungen u.ä.)

Gerne beraten wir Sie unverbindlich, rufen Sie uns an!
Flyer Datenschutz und IT-Sicherheit

Der Beitrag Die betr. Datenschutzbeauftragte / Aufgaben erschien zuerst auf cheyenne-Blog.

Es handelt sich um Auftragsdatenverarbeitung, wenn der Zweck des Auftrages der Umgang mit den gelieferten personenbezogenen Daten ist. Also Ergänzung, Korrektur, Werbung etc.Keine Auftragsdatenverarbeitung im Sinne von §11 BDSG sind fremd in Anspruch genommene Tätigkeiten, die im eigentlichen Kern nicht den Umgang (Erhebung, Verarbeitung, Nutzung) mit personenbezogenen Daten betreffen, sondern es stehen andere Dienstleistungsschwerpunkte im Vordergrund und der dabei notwendigerweise mit verbundene Umgang mit personenbezogenen Daten ist nur ein unvermeidliches „Beiwerk“.

Auch wenn der Dienstleister eigenverantwortlich mit den Daten umgeht, handelt es sich um Funktionsübertragung und nicht um Auftragsdatenverarbeitung.

Keine Auftragsdatenverarbeitung liegt bei einer sog. Funktionsübertragung vor, bei der die Verarbeitung zugrunde liegende Aufgabe mit übertragen wird. z.B.: Bei Auslagerung bzw. externer Inanspruchnahme von Aufgaben/Funktionen wie Personalverwaltung, Steuerberatung, Wirtschaftsprüfung, Ärzte u.ä. an/durch ein verbundenes Unternehmen oder sonstige Dritte mit dort eigenverantwortlicher Wahrnehmung

Quellen: BDSG, TÜV NORD Akademie Schulungsunterlagen,  Auftragsdatenverarbeitung Orientierungshilfe und Checkliste, Landesbeauftragter für den Datenschutz Niedersachsen

siehe auch: http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=12908&_psmand=48

Der Beitrag Abgrenzung §11 BDSG Auftragsdatenverarbeitung — Funktionsübertragung erschien zuerst auf cheyenne-Blog.

Dieser Artikel regelt Auftragsarbeiten (durch dritte), die im Kern den Umgang (Erhebung, Verarbeitung, Nutzung) mit personenbezogenen Daten betreffen. Dies betrifft z.B. CallCenter, die im Rahmen Ihrer Telefonakquise Daten überprüfen und ergänzen. Hier ist es eindeutig Auftragsdatenverarbeitung, es geht vorrangig um die gelieferten Daten. Dieser Artikel wurde implementiert, um auch hier die Persönlichkeitsrechte der Betroffenen (das sind diejenigen, um deren Daten es sich handelt) zu schützen.

Hier wurden spezielle Regelungen formuliert, um Auditierung, Kontrolle und Nachvollziehbarkeit sicherzustellen. Sicherlich ein sehr wichtiger Artikel im BDSG (Bundesdatenschutzgesetz).

Die Abgrenzung zur Funktionsübertragung fällt in Einzelfällen schwer. Fallen Steuerberater, Handwerker, die im Auftrag von Verwaltungsgesellschaften arbeiten, Ärzte und ähnliche Berufsgruppen unter den Begriff Auftragsdatenverarbeitung? Jeder Fall sollte einzeln genau betrachtet werden.

Bei den genannten Berufsgruppen handelt es sich meiner Ansicht nach um Funktionsübertragung. Das Gesetz regelt das leider nciht eindeutig, aber die Kommentarliteratur, die sich mit Gesetzestexten befasst, liefert hierzu gute Informationen und vereinfacht die Abgrenzung.

 Lesen Sie auch unseren Artikel zur Abgrenzung §11 — Funktionsübertragung

Der Beitrag § 11 des BDSG Auftragsdatenverarbeitung erschien zuerst auf cheyenne-Blog.