Im Gespräch mit dem URV

Im Gespräch mit dem URV

Hier mein Interview für den URV zum Thema Datenschutz. Es ist eine Art lastminute Empfehlung geworden, denn wer die DSGVO jetzt immer noch nicht umgesetzt hat, der hat es wohl auch immer noch nicht verstanden.

Im Rahmen meiner Tätigkeit schaue ich mir auch immer wieder einmal Webseiten an, erstaunlich wie wenige verstanden haben, was zu tun ist. Auch gerade Agenturen sind oftmals sehr schlecht aufgestellt, man kann sich also nicht unbedingt darauf verlassen, dass der Dienstleister es schon richtig machen wird. Verantwortlicher im Sinne des Gesetzes ist eben der Geschäftführer, der auch verantwortlich für die Inhalte der Seite ist. Er steht deshalb auch im Impressum.

Eigentlich ist es einfach, es steht alles in der DSGVO. Wenn man einmal meine anderen Interviews liest, kann man auch sehen, dass die Behörden davon ausgehen, dass dieses Gesetz so gemacht ist, dass gerade auch Nicht-Juristen damit arbeiten können. Datenschutzbeauftragte sind in den seltensten Fällen Juristen und diese Konstellation ist europäisch so gewollt. Datenschutz ist Grundrechtsschutz, jeder kann die Inhalte verstehen.

Auch die Landesbehörden geben viele Hilfestellungen, hier z.B. Niedersachsen.

Hier das fertige Interview für die URV-Mitgliederzeitschrift, Seite 10.

Wunschzettel DSGVO / Was ist zu tun? Ist noch etwas zu tun?

Wunschzettel DSGVO

Ach, bald ist ja Weihnachten und im Mai steht uns die DSGVO mit viel Arbeit ins Wunschzettel DSGVOHaus, da bietet doch die Adventszeit eine Steilvorlage, um einen weihnachtlichen Wunschzettel DSGVO zu formulieren.

hm, was wünsche ich mir denn mal, man will ja auch nicht zu unverschämt sein, aber einen Vorteil sollte er schon bringen.

  • Alle Vorlagen von der Aufsichtsbehörde bereitgestellt
  • Abgabe sämtlicher Verantwortung
  • Erhöhung meiner Pauschalen
  • ….

Jetzt im Ernst, letzte Woche war ich beim ERFA-Kreis Hannover der GDD, er fand dieses Mal in Hameln statt. Wie immer war die Veranstaltung sehr gut besucht, die Themen waren schon mal besser, aber die Pausengespräche mit meinen Kollegen waren wie immer sehr wertvoll und aufschlußreich. Ich habe viele geschätzte Kollegen getroffen, gute Anregungen bekommen, so soll es sein.

Es herrscht offensichtlich auch unter Kollegen viel Unsicherheit zur Umsetzung der DSGVO, wie kann das sein? Wer hat denn dieses große Fass aufgemacht? Gut, einiges ändert sich, das meiste ist aber doch wohl bekannt, da geht es um Details. Zum Beispiel: die erweiterten Informations- und Rechenschaftspflichten. Finde ich persönlich gar nicht so verkehrt. Schließlich wird hier der Wert unserer Arbeit nochmal deutlicher und nun versteht wohl auch der letzte, dass man  wirklich eine gute Organisation benötigt.

Ich habe teilweise sehr gestaunt, einige Kollegen warten immer noch, bis „die Aufsichtsbehörde“ die erforderlichen Unterlagen/Vorlagen bereitstellt. Eine Teilnehmerin hatte gar große Sorge, weil der Datenschutzbeauftragte ihres Bundeslandes irgendein Kurzpapier (noch) nicht zur Verfügung gestellt hatte.

Vielleicht verstehe ich das große ganze ja nicht, aber ich kann doch nicht immer auf andere warten. Ich bin und war immer schon die Erbsenzählerin des Landes, also habe ich natürlich (fast) alle Unterlagen fertig, bei der Datenschutzfolgen-abschätzung muß ich nochmal etwas in mich gehen, aber sonst… Also ich glaube…oder?

Gerne möchte ich hier einige Informationen zu meiner eigenen, ganz persönlichen Herangehensweise geben, also stichpunktartig auflisten, wie ich an die Aufgaben herangegangen bin:

  • Zusammenstellung und Vergleich der mögl. Rechtsgrundlagen für die Branchen, der von mir betreuten Betriebe.
  • Neue Vorlage für Einwilligungen, sie enthält alles, was sein könnte, überzähliges wird nach Branche und Verarbeitungsgrund der Einwilligung im Bedarfsfall angepasst.
  • Verzeichnis der Verarbeitungen, hier habe ich meine alten Vorlagen genommen, sie um die Rechtsgrundlagen ergänzt, ein wenig Feinschliff hier und dort, einige bessere Formulierungen habe ich auch noch gefunden, fertig.
  • Datenschutzfolgenabschätzung, ist noch nicht fertig, aber zu ca. 70%, die lasse ich noch etwas liegen und lese noch ein wenig, die LDSB Niedersachsen wird sicher auch noch etwas dazu herausgeben, am Ende alles in den Mixer…wird bestimmt bis Mitte Januar fertig sein.
  • Unterweisung zum Thema DSGVO für Mitarbeiter „meiner“ Betriebe, sind bereits terminiert Dez/Jan/Feb.
  • Anmeldung meiner Tätigkeit bei der Aufsichtsbehörde, hier warte ich aufgrund der Empfehlung einer Mitarbeiterin der LDSB Niedersachsen noch etwas, die Behörde wird in Kürze ein Onlineanmeldeformular zur Verfügung stellen.

und sonst?

  • Rechte der Betroffenen sind jetzt nicht soooo neu, Prozesse sind überprüft, teilweise ist noch zu klären, wie der beste Weg ist, wer ihn einleitet, aber 95% fertig
  • Datenübertragbarkeit, ich prüfe noch für „meine“ Betriebe, welche Daten aufgrund einer Einwilligung erfaßt wurden, denn nur diese müssen übertragbar sein (seien wir mal ehrlich, wer arbeitet heute ohne Datenbank, im Prinzip könnte man alles übertragen..) und welche Daten ist der Betrieb gewillt, darüber hinaus elektr. herauszugeben, als zus. Serviceleistung z.B. sind ja schließlich alles freundliche, serviceorientierte Betriebe…
  • Datenschutzmanagementsystem, programmieren wir selber, können wir schließlich, ist sicher sinnvoll wegen der vielen Schreibarbeit, die wir künftig machen machen müssen. Ist für mich auch einfacher, wann habe ich welche Mail an wen geschrieben, wann Auskunft erteilt, wann Gespräche geführt, welche Mitarbeiter wurden wann unterwiesen….
  • Strategietermine mit den GF der Firmen sind für Frühjahr geplant, das reicht bei uns, da wir alle Unterlagen für den Kunden erstellen. Wenn wir darauf warten, dass der Kunde ein Verfahrensverzeichnis selbst erstellt, dann warten wir, bis wir schwarz werden, also haben wir uns schon vor langer Zeit für rundum-Sorglos entschieden.

Datenschutz by design / Datenschutz by default

  • Unsere eigenen Produkte sind schon weitestgehend so, weil wir das immer schon als selbstverständlich ansahen.
  • Für die in „meinen“ Betrieben eingesetzte Software werde ich im Laufe des Frühjahrs einen Rundum Check einplanen, man kann immer weiteres Verbesserungspotential finden, wenn man das möchte, aber trotzdem immer schön, die Kirche im Dorf lassen.

Fazit:

Viel Arbeit – auf jeden Fall, aber nichts Unlösbares dabei, wo ein Wille ist, ist auch ein Weg.

Ich habe mich nach diesem Artikel nun gegen einen Wunschzettel DSGVO entschieden. Die Umsetzung nimmt mir leider doch keiner ab. Hätte ich mir denken können.

Tipp: Als kleiner Spaß zu Weihnachten, kann man den Einschätzungstest der Aufsichtsbehörde Bayern durchführen, aber mit Verlaub, der ist wirklich albern;-)

digitale Signatur

digitale Signatur, was ist das, wie geht das, wofür brauche ich das?

Früher war die rechtsverbindliche, persönliche Unterschrift auf Dokumenten der Nachweis für die Echtheit, für die Authentizität des Absenders. Das Senden von Fax-Nachrichten ist seit vielen Jahren aus der Mode gekommen, die meisten Dokumente werden ganz einfach an Emails angehängt und versendet. Geht schneller und spart Porto.

In Zeiten, in denen Diebstahl ganz einfach vom Sofa aus zu machen ist, nebenbei läuft noch die Lieblingsserie, machen sich viele Menschen Gedanken darüber, ob die Dokumente eigentlich echt sind, die sie so bekommen. Einen Emailabsender zu fälschen ist mit wenig krimineller Energie und geringem technischem Wissen mit Hilfe von google sehr leicht möglich.

Woher soll der Empfänger denn nun wissen, ob erstens Absender und zweitens Dokument echt und unverändert sind? Hier kommt für rechtlich relevante Dokumente die digitale Signatur ins Spiel.

digitale Signatur – elektronische Signatur

Meint im Prinzip dasselbe. Der juristische Begriff ist allerdings elektronische Signatur. Es gibt verschiedene Sicherheitsstufen der digitalen Signatur, wer das nachlesen möchte, findet es in den folgenden Rechtsschriften:

SignaturGesetz SigG

Verordnung zur elektronischen Signatur SigV

Wie funktioniert das nun technisch?

Die einfache digitale Signatur basiert auf einem Schlüsselpaar. Dem öffentlichen und dem privaten Schlüssel. Der private Schlüssel wird zum Entschlüsseln der Nachricht benötigt, der öffentliche Schlüssel zum Verschlüsseln. Der öffentliche Schlüssel wird in der Regel mit einem sogenannten Hashwert kombiniert, mit dem Ergebnis wird dann die Mail digital unterschrieben, also signiert.

Beispiel: Sie möchten sicherstellen, dass ein Dokument den Empfänger unverändert erreicht.

Senderseite

  • Fügen Sie das Dokument in eine Emailnachricht ein
  • Mithilfe spezieller Software (s.u.)  erzeugen Sie einen Fingerabdruck (Hash-Wert) des Dokumentes.
  • Nun verschlüsseln Sie den Hashwert mit Ihrem privaten Schlüssel
  • Das Ergebnis wird nun zur Signatur Ihrer Email, diese Signatur ist jedesmal anders.

Empfängerseite

  • Der Empfänger vergleicht nun mit Hilfe des öffentlichen Schlüssels den Hashwert Ihrer Nachricht, hiermit kann sichergestellt werden, dass der Inhalt von Ihnen stammt und unverändert ist.

Signatur vs. Verschlüsselung

Weil diese Begriffe oftmals in einen Topf geworfen werden, hier die Unterscheidung. Eine Signatur ist eine authentifizierte Unterschrift, bei einer Verschlüsselung wird der gesamte Inhalt verschlüsselt, so dass er nur mit dem entsprechenden Schlüssel (auch bei der Verschlüsselung wird das Verfahren angewendet) gelesen werden kann. In der Praxis werden oftmals beide Verfahren miteinander kombiniert.

digitale Signatur in der Praxis

In der Praxis wird man die elektronische Signatur in Verbindung mit einem Zertifikat verwenden. Das Zertifikat kann man bei einer Zertifizierungsstelle beantragen, dieses wird dann in ein öffentliches Verzeichnis eingetragen, so daß die echte Identität jederzeit nachvollziehbar ist.

Als Software kann zum Beispiel gpg für Windows verwendet werden, wenn es kostenlos sein soll. Natürlich gibt es jede Menge Anbieter passender Software.

Zertifizierungsstellen

Hier eine Liste der Bundesnetzagentur

Zusätzliche Infos

Hier ein sehr nützlicher Link zum Signaturrecht

Vortrag für den URV am 12. April 2016

Vortrag für den URV am 12. April 2016

Mein Vortrag für den URV zum Thema betrieblicher Datenschutz letzte Woche Vortrag beim URVwar gut besucht. Die Teilnehmer waren interessiert am Thema, es wurden viele Fragen gestellt und nicht zuletzt kamen im Nachgang interessante Anfragen. Vielen Dank an die Firma Deuteron für die Ausrichtung der Veranstaltung und an den  URV für die wie immer gute Organisation.

Besonderes Interesse erzeugten erwartungsgemäß die Themen: Datenschutz und SocialMedia, Datenschutz in Bezug auf cloud computing und die Fragestellung wer benötigt einen betrieblichen Datenschutzbeauftragten.

Wie ist es um den Datenschutz in Ihrem Unternehmen bestellt? Ab dem 10. Mitarbeiter, der regelmäßig mit elektronisch gespeicherten, personenbezogenen Daten arbeitet, ist ein betrieblicher Datenschutzbeauftragter gesetzlich vorgeschrieben.
Gerne können Sie mich zu diesem Thema unverbindlich ansprechen.

http://www.urv-online.de/index.php/einzelansicht/vortragsveranstaltung-betrieblicher-datenschutz.php

Vortrag im April: „Datenschutz im Unternehmen“

Am 12. April in der Zeit zwischen 16.00 bis 18.00 Uhr werde ich für den URV Unternehmensverband Rotenburg-Verden einen Vortrag zum Thema „Datenschutz im Unternehmen – muß das sein?“ halten.

Hier die vorläufige Agenda:

  • betr. Datenschutz eine Einführung
  • personenbezogene Daten
  • Zweckbindungs- und Erforderlichkeitsprinzip
  • Rechte von Betroffenen (Auswahl)
  • Datenschutz in Bezug auf Email, WhatsAPP & Co
  • Homeoffice, Umleitung auf priv. Mailadressen u.ä.
  • Sammeln von Mailadressen für Werbezwecke (opt-in)
  • Aufgaben des betr. Datenschutzbeauftragten
  • interner Mitarbeiter vs. ext. Dienstleister

Der Ort steht erst kurz vorher fest.

Die betr. Datenschutzbeauftragte / Aufgaben

Welches sind die Aufgaben der betrieblichen Datenschutzbeauftragten? Was tut denn nun diese Datenschutzbeauftragte?

Die betr. Datenschutzbeauftragte (DSB) stellt die Einhaltung des BDSG (Bundesdatenschutzgesetz) sicher. Und was bedeutet das? In den von mir neu übernommenen Betrieben herrscht insbesondere bei denen, die vorher noch keine Datenschutzbeauftragte hatten, Unsicherheit über die Tätigkeiten, die im Rahmen dieses Vertrages zu erbringen sind. Hier ein paar Beispiele für Firmen, die das erste Mal eine betr. Datenschutzbeauftragte bestellt haben:

Etablierung des Schutzes personenbezogener Daten und damit verbundener IT-Sicherheitseinrichtungen

  • Erstellung der öffentlichen Verfahrensverzeichnisse, die nach dem „jedermann-Prinzip“ jedem! zugänglich gemacht werden müssen und über die jede Firma verfügen muss!
  • Überprüfung des Kenntnisstandes derjenigen Mitarbeiter, die regelmäßig mit personenbezogenen Daten umgehen
  • Durchführung von regelmäßigen Unterweisungen für Mitarbeiter, z.B. bei Prozessänderungen, neuen gesetzl. Auflagen, in Schadensfällen, bei besonderen Anlässen…
  • Prüfung der Systeme auf Zugangssicherheit, Optimierung von Zugängen u.ä.
  • Schwachstellenanalysen, Zutritt, Zugang, Apps, mobile etc.
  • Erteilung von Auskünften u.ä. bei Anfragen von Betroffenen
  • Übernahme der Gespräche mit dem Beauftragten für den Datenschutz des jeweiligen Bundeslandes bei Kontrollbesuchen
  • Zusammenarbeit mit dem Betriebsrat, Erstellung von Mitarbeitervereinbarungen u.ä.
  • Beratung der Geschäftsführung zu Themen rund um den Datenschutz
  • ….

Wie geht das in der Praxis? Der Gesetzgeber geht davon aus, dass nicht alle Punkte immer sofort nach Bestellung einer neuen Datenschutzbeauftragten erfüllt werden können. Vielmehr ist betr. Datenschutz ein Prozess, der sich immer weiter entwickelt und verändert. Mehr Wissen schafft mehr Sicherheit. Jeder Betrieb hat seine Besonderheiten. Je nach Branche ist ein anderes Sicherheitsniveau anzustreben.

Aus diesem Grund empfiehlt der Gesetzgeber, diese Tätigkeit, wenn eine externe Datenschutzbeauftragte bestellt werden soll, im Rahmen eines Vertrages durchzuführen. Wegen der erhöhten Anforderungen sollte dieser Vertrag über min. 2 Jahre abgeschlossen werden.

Wir bieten für unsere Kunden deshalb Verträge an, die über 2 Jahre laufen und sich jeweils um 1 weiteres Jahr verlängern, wenn man miteinander weiterarbeiten möchte. Die Preise sind gestaffelt nach Unternehmensgrösse:

Wartungsvertrag 1: <15 Mitarbeiter
Wartungsvertrag 2: <25 Mitarbeiter
Wartungsvertrag 3: <50 Mitarbeiter

Unsere Kunden kommen aus den folgenden Bereichen: Medizin, techn. Gewerbe und Auftragsdatenverarbeitung (Versicherungen, Hausverwaltungen u.ä.)

Gerne beraten wir Sie unverbindlich, rufen Sie uns an!
Flyer Datenschutz und IT-Sicherheit

Beauftragter für den Datenschutz BDSG §4f

Der betriebliche Datenschutz ist im BDSG (Bundesdatenschutzgesetz) geregelt. Das BDSG gilt für öffentl. und nicht öffentl. Stellen! Der Gesetzgeber sieht weiterhin vor, dass Firmen, ab dem 10. Mitarbeiter, der regelmäßig personenbezogene Daten automatisiert verarbeitet, einen betriebl. Datenschutzbeauftragten (Beauftragter für den Datenschutz BDSG §4f) benötigt. Beauftragter für den Datenschutz BDSG §4f weiterlesen

Datenschutz / Email Weiterleitung

Weiterleitung von Emails ist problematisch

Die Handhabung von personenbezogenen Daten regelt das Bundesdatenschutzgesetz‬ (BDSG). Jede Email enthält personenbezogene Daten. Dementsprechend stellt jede Weiterleitung, die der Absender der Email nicht explizit erlaubt hat, einen Verstoß gegen das BDSG dar. Desweiteren wird der Inhalt der Nachricht weitergegeben, dieser Inhalt ist zusätzlich durch das Postgeheimnis geschützt. Datenschutz / Email Weiterleitung weiterlesen