Querschnittsprüfung

Querschnittsprüfung der LFD Niedersachsen

Die DSGVO ist nun seit geraumer Zeit in Kraft getreten, ein guter Anlass einmal nachzusehen, wie es denn so aussieht. Die LFD hat darum eine Querschnittsprüfung durchgeführt, um sich einen Überblick zu verschaffen.

Die Querschnittsprüfung der Landesbeauftragten für den Datenschutz Niedersachsen fällt sehr mäßig aus. Diese Ergebnisse sind aus meiner Sicht wie erwartet.

50 mittelgroße und große Unternehmen erhielten einen Fragebogen. Mithilfe eines Kriterienkataloges wurde dieser Fragebogen zur Querschnittsprüfung ausgewertet. Das Ergebnis ist wie bereits erwähnt ernüchternd.

9 Unternehmenüberwiegend zufriedenst. Antworten
Querschnittsprüfung32 Unternehmenvereinzelter Handlungsbedarf
9 Unternehmenerhebliche Defizite

Defizite bei der Querschnittsprüfung

technisch-organisatorischer Datenschutz

Der technisch-organisatorischer Datenschutz  soll sicherstellen, dass die Rechte der betroffenen Personen, das sind die, deren Daten verarbeitet werden, angemessen geschützt werden. Hierzu zählen auch Schutzmassnahmen gegen Angriffe, wie z.B. Trojaner, Servereinbrüche, Notfallpläne u.ä.

Die Unternehmen scheinen immer noch nicht verstanden zu haben, dass es hier nicht vorrangig um den Schutz der eigenen Interessen geht, sondern dass der Schutz der verarbeiteten personenbezogenen Daten im Fokus steht.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist grundsätzlich vor der Umsetzung neuer Datenverarbeitungsverfahren zu erstellen, bei denen die Verarbeitung personenbezogener Daten voraussichtlich ein großes Risiko darstellt oder darstellen könnte. Hier soll das Risiko für die Betroffenen-Daten eingeschätzt werden, um das Sicherheitsniveau festzustellen und ggf. zu erhöhen.

Positive Ergebnisse bei der Querschnittsprüfung

Zufriedenstellende Antworten hat es gegeben zu den Themen Auftragsverarbeitung, Datenschutzbeauftragte, Meldung von Datenpannen und Dokumentationspflichten.

Wie geht es weiter?

Die LFD wird natürlich die mit rot bewerteten Unternehmen nachprüfen und dann ggf. auch Bussgelder verhängen. Aber natürlich wird sie diesen Bericht auch dazu nutzen, Unterstützung bei der Umsetzung derjenigen Themen zu geben, bei denen es mit der Umsetzung noch hapert.

20191105_Abschlussbericht_Querschnittsprfung

DSGVO Seminarreihe

DSGVO Seminarreihe

Aufgrund großer Nachfrage nach unseren inhouse Schulungen und Beratungen zum Thema DSGVO veranstalten wir nun eine eigene Seminarreihe. Die Seminare sind unterteilt in die momentan am meisten nachgefragten Themenbereiche und bewußt kurz und knackig gehalten. Ziel ist es, die Thematik nach dem Seminar selber mit einem vernünftigen Aufwand umsetzen zu können.

Alle Seminare sind afterwork und starten ab 16:00 Uhr. Unser Seminarpartner ist das Bremer Lernkontor, hier finden die Seminare für die bremer Reihe statt.

praktische Anwendung der DSGVO

Die Erfahrung zeigt, die Umsetzung der DSGVO läuft etwas ruckelig. Überall werden Unterschriften im Namen der DSGVO verlangt, der Verwaltungsaufwand ist enorm. Dabei ist es gar nicht so schwierig, ein ordentliches Datenschutzniveau mit einem vertretbaren Aufwand umzusetzen und zu erhalten. Die Seminarreihe soll praxisorientiert Anleitung zur Selbsthilfe geben.

Die Reihe ist geeignet für Entscheider von Betrieben mit oder ohne betrieblichen Datenschutzbeauftragten, Inhaber von Kleinstbetrieben ohne betrieblichen Datenschutz, Vereinsfunktionäre etc.

Lernziel:     Entmystifizierung der DSGVO und Anleitungen für eine praxisgerechte Umsetzung

Kosten:      Pro Seminar beträgt die Gebühr € 150,- (brutto). Die Gebühr ist im voraus fällig. Bei Buchung aller 4 Teile beträgt die Gebühr € 550,-.

Alle Seminare sind begrenzt auf max. 8 Teilnehmer, damit auf eigene Fragen eingegangen werden kann.

Teil 1:  Einwilligung oder Informationspflicht

Termin: 22.10.2019 16:00; Dauer: ca. 2 Stunden

Inhalt:

  • Beurteilung der richtigen Rechtsgrundlage
  • Wann benötige ich eine Einwilligung?
  • Wie kann ich die Einwilligung umgehen?
  • Richtige Gestaltung der Einwilligung
  • Richtige Gestaltung der Betroffeneninformation
  • Eigene Beispiele können mitgebracht werden.

Teil 2: Auftragsdatenverarbeitung

Termin: 05.11.2019 16:00; Dauer: ca. 2 Stunden

Inhalt:

  • Grundlagen zur ADV
  • Wann ist es keine Auftragsdatenverarbeitung
  • Bestandteile eines ADV-Vertrages
  • und organisatorische Massnahmen

Teil 3: Datenschutz durch Technik

Termin: 19.11.2019 16:00; Teil 2 Dauer: ca. 2 Stunden

Inhalt:

  • Was ist Datenschutz durch Technik?
  • Möglichkeiten anhand von Beispielen
  • Sondersoftware und Standardsoftware
  • Welche Punkte der DSGVO sind relevant
  • Diskussion und Beispiele

Teil 4: Löschkonzepte

Termin: 26.11.2019 16:00; 2 Dauer: ca. 2 Stunden

Inhalt:

  • Grundlage des Löschens von Daten nach DSGVO
  • Was ist ein Löschkonzept?
  • Aufbewahrungspflichten
  • Sperrung statt Löschung
  • korrekte Dokumentation
  • Eigene Beispiele können mitgebracht werden.

Bei Interesse bieten wir weitere Themen an. Natürlich führen wir auch Inhouse-Seminare bzw. Beratungen zum Thema durch.

Verbindliche Anmeldung unter: info@cheyenne-IT.de

Die Seminare finden statt beim:

Bremer Lernkontor
Industriestrasse 12
28199 Bremen

https://www.bremer-lernkontor.de/

Office 365 stell Dir vor, keiner macht mit?

Office 365 stell Dir vor, keiner macht mit?

Ein paar kritische Gedanken zum Thema Cloudcomputing am Beispiel Office 365

Office 365 der Firma Microsoft ist das cloudbasierte MS-Office. Seit ca. 2014 gilt bei Microsoft die Devise „Cloud-first“, dieser Slogan kommt uns doch irgendwie bekannt vor, oder?

Das Konzept ist recht ausgeklügelt, es werden viele Businessanwendungen wie Skype for Business, Microsoft OneDrive und ähnliches angeboten. Hier liegt der Fokus auf dem Wort „Business“ und schon sind wir mitten in der DSGVO. Microsoft besitzt die Daten, deren Eigentümer wir selber sind. Nach DSGVO liegt die Verantwortung für die verarbeiteten Daten aber bei uns, dem Käufer von Office 365. Also wir haften, nicht Microsoft!

Wie kann man DSGVO und Office 365 in Einklang bringen, kann man das denn überhaupt?

Natürlich hat Microsoft einen Auftrags-Datenverarbeitungs-Vertrag  (ADV) bereitgestellt. Microsoft ist der Verarbeiter im Auftrag und muss sich nach den Weisungen des Verantwortlichen der Daten, wie gesagt, das sind wir, richten. So jedenfalls sieht es die DSGVO vor.

Microsoft klärt hier über alle möglichen Fragen zum Thema Compliance/Datenschutz/etc. auf.  Klingt erstmal gut und zugewandt. Das meiste ist sehr allgemein und wenig konkret gehalten.

Weiterhin stellt Microsoft die sogenannte „Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365 zur Verfügung -> hier lesen

Dieser Katalog gibt zum größten Teil Empfehlungen, welche Einstellungen der Verantwortliche am besten vornimmt, um seine Daten besser schützen zu können. Im Prinzip sind es techn. und organisatorische Massnahmen, vom Auftragsverarbeiter an den Verantwortlichen. Die DSGVO sieht dies aber in anderer Richtung vor.

Beim Lesen stellt sich die Frage, wie es funktionieren kann, wenn der Verantwortliche, der ja nach DSGVO weisungsbefugt ist, dem Auftragnehmer eine Weisung erteilen möchte. Dafür ist dann einer dieser Textbausteine verlinkt, die dem Verantwortlichen etwas von oben herab empfehlen, wie er mit seinen Daten umzugehen hat. Eine konkrete Information wie eine diesbzgl. Weisung an den Auftragsverarbeiter zu richten hat und was dieser dann in welcher Zeit tut, konnte ich hier nicht finden.

Die Einhaltung der DSGVO alleine zu betrachten, empfinde ich immer als ein wenig zu kurz gedacht. Es ist, als hätte ich ein Auto ohne Führerschein, beides geht… DSGVO funktioniert meines Erachtens nur, wenn man die Einhaltung als QM-Massnahme betrachtet, nur dann muss man auch gleichzeitig das Thema IT-Sicherheit betrachten.

Ein Beispiel, das wohl jeder nachvollziehen kann. Ich lege meine Passwortliste in die Cloud (in irgendeine, fremdgehostete), weil ich mir ja nicht alles merken kann und es ja so praktisch ist. Beim Anbieter findet ein erfolgreicher Cyber-Angriff statt. So ein Angriff wird fast immer erst später oder auch manchmal nie erkannt. Und jetzt? Vielleicht wird meine Identität geklaut, vielleicht meine Konten abgeräumt, wer weiß, welche Ideen jemand entwickelt.

Es lohnt sich also, ein paar Sicherheitsüberlegungen im Vorfeld anzustellen und nicht jedem Microsoft-Platin-Partner zu vertrauen. Oder würdest Du, wenn es klingelt und Dir jemand irgendeinen Vertrag (nennen wir ihn ADV-Vertrag) unter die Nase hält, glauben, dass er Deine Bankzugangsdaten besser aufbewahren kann als Du selber?

Weil alles, was irgendwie mit IT zu tun hat, auch irgendwie etwas undurchsichtig ist, muss man sich hier wohl einige Gedanken mehr machen. Für IT gibt es zum Glück die BSI-Grundschutzkataloge. Für einen Brand hat man einen Notfallplan, warum nicht auch für IT-Vorfälle? Hier heißt es dann Incidence response. Hat man ein paar Notfallpläne, weiß jeder, was zu tun ist, es wird schneller reagiert und weniger Spuren verwischt. Während man sich Gedanken macht und Konzepte entwickelt, kann man eine höhere Sensibilität entwickeln und Unsicherheiten abbauen. Danach sollte man noch einmal neu überprüfen, welche Anwednugnen mit Fremddatenspeicherung man wirklich benötigt und ob man bei Konzepten wie Office 365 überhaupt mitmachen möchte.

Sehr modern momentan ist es auch, gleichzeitig die Übertragung der Active-Directory-Domain. Dann kann man die Office-Produkte ganz bequem mit seinen Domänenanmeldedaten aktivieren. Echt jetzt?

Alternativen?

Für alles gibt es immer und überall Alternativen. Oft sind sie sogar preisgünstiger und ein Wechsel läßt sich einfacher gestalten. Jeder betreibt ja heutzutage irgendeinen Webserver und wenn nicht, läßt man sich einen einrichten. Dort könnte man seinen eigenen Clouddienst einrichten. Natürlich kann man auch hier Emails, Dateien, Kalender und alles mögliche teilen. Auch kann man hier seinen eigenen Officeserver aufsetzen, z.B: LibreOffice.

Und nun wird alles durch den Adminstrator des eigenen Vertrauens betreut und DSGVO in Verbindung mit IT-Sicherheit sind plötzlich Peanuts.

Anmerkung

Dieser Artikel ist entstanden, weil mich in meinem täglichen Beratungsgeschäft die Naivität von Geschäftsführern und Inhabern mitunter mittelständischer oder sogar größerer Unternehmen oft wie ein Tsunami trifft.

Beispielphrasen:

  • Machen doch alle, dann muss es doch sicher sein
  • Microsoft, ist doch der Größte, die müssen es doch wissen usw.
  • Ohne WhatsAPP kann man keine Photos schicken
  • bei uns ist doch nichts zu holen
  • geht unendlich so weiter

Es ist mitunter schwierig, in diesen Unternehmen wenigstens ein minimales Sicherheitsniveau zu etablieren.  Hochinteressant, dass viele immer noch ein Urvertrauen in Unternehmen haben, deren Inhaber, sie gar nicht kennen. Cybercrime ist ein einträgliches Geschäft, Bankraub vom Sofa aus, während die Lieblingsserie auf Netflix läuft, oder so. Es gibt zwar nie keine 100-%ige Sicherheit, aber man sollte sich wenigstens Gedanken darüber machen, was man zu verlieren hat. Oft gibt es imUnternehmen die teuerste Alarmanlage, mit Wachdienst, Videoüberwachung u.ä. und dann kopieren diese Unternehmen ihre Geschäftsgeheimnisse in irgendwelche Clouds. Das muss man erstmal sacken lassen.

Deshalb ist dieser Artikel für die, die kein Lichtschwert besitzen, für die anderen nicht 😉

 

Im Gespräch mit dem URV

Im Gespräch mit dem URV

Hier mein Interview für den URV zum Thema Datenschutz. Es ist eine Art lastminute Empfehlung geworden, denn wer die DSGVO jetzt immer noch nicht umgesetzt hat, der hat es wohl auch immer noch nicht verstanden.

Im Rahmen meiner Tätigkeit schaue ich mir auch immer wieder einmal Webseiten an, erstaunlich wie wenige verstanden haben, was zu tun ist. Auch gerade Agenturen sind oftmals sehr schlecht aufgestellt, man kann sich also nicht unbedingt darauf verlassen, dass der Dienstleister es schon richtig machen wird. Verantwortlicher im Sinne des Gesetzes ist eben der Geschäftführer, der auch verantwortlich für die Inhalte der Seite ist. Er steht deshalb auch im Impressum.

Eigentlich ist es einfach, es steht alles in der DSGVO. Wenn man einmal meine anderen Interviews liest, kann man auch sehen, dass die Behörden davon ausgehen, dass dieses Gesetz so gemacht ist, dass gerade auch Nicht-Juristen damit arbeiten können. Datenschutzbeauftragte sind in den seltensten Fällen Juristen und diese Konstellation ist europäisch so gewollt. Datenschutz ist Grundrechtsschutz, jeder kann die Inhalte verstehen.

Auch die Landesbehörden geben viele Hilfestellungen, hier z.B. Niedersachsen.

Hier das fertige Interview für die URV-Mitgliederzeitschrift, Seite 10.

Wunschzettel DSGVO / Was ist zu tun? Ist noch etwas zu tun?

Wunschzettel DSGVO

Ach, bald ist ja Weihnachten und im Mai steht uns die DSGVO mit viel Arbeit ins Wunschzettel DSGVOHaus, da bietet doch die Adventszeit eine Steilvorlage, um einen weihnachtlichen Wunschzettel DSGVO zu formulieren.

hm, was wünsche ich mir denn mal, man will ja auch nicht zu unverschämt sein, aber einen Vorteil sollte er schon bringen.

  • Alle Vorlagen von der Aufsichtsbehörde bereitgestellt
  • Abgabe sämtlicher Verantwortung
  • Erhöhung meiner Pauschalen
  • ….

Jetzt im Ernst, letzte Woche war ich beim ERFA-Kreis Hannover der GDD, er fand dieses Mal in Hameln statt. Wie immer war die Veranstaltung sehr gut besucht, die Themen waren schon mal besser, aber die Pausengespräche mit meinen Kollegen waren wie immer sehr wertvoll und aufschlußreich. Ich habe viele geschätzte Kollegen getroffen, gute Anregungen bekommen, so soll es sein.

Es herrscht offensichtlich auch unter Kollegen viel Unsicherheit zur Umsetzung der DSGVO, wie kann das sein? Wer hat denn dieses große Fass aufgemacht? Gut, einiges ändert sich, das meiste ist aber doch wohl bekannt, da geht es um Details. Zum Beispiel: die erweiterten Informations- und Rechenschaftspflichten. Finde ich persönlich gar nicht so verkehrt. Schließlich wird hier der Wert unserer Arbeit nochmal deutlicher und nun versteht wohl auch der letzte, dass man  wirklich eine gute Organisation benötigt.

Ich habe teilweise sehr gestaunt, einige Kollegen warten immer noch, bis „die Aufsichtsbehörde“ die erforderlichen Unterlagen/Vorlagen bereitstellt. Eine Teilnehmerin hatte gar große Sorge, weil der Datenschutzbeauftragte ihres Bundeslandes irgendein Kurzpapier (noch) nicht zur Verfügung gestellt hatte.

Vielleicht verstehe ich das große ganze ja nicht, aber ich kann doch nicht immer auf andere warten. Ich bin und war immer schon die Erbsenzählerin des Landes, also habe ich natürlich (fast) alle Unterlagen fertig, bei der Datenschutzfolgen-abschätzung muß ich nochmal etwas in mich gehen, aber sonst… Also ich glaube…oder?

Gerne möchte ich hier einige Informationen zu meiner eigenen, ganz persönlichen Herangehensweise geben, also stichpunktartig auflisten, wie ich an die Aufgaben herangegangen bin:

  • Zusammenstellung und Vergleich der mögl. Rechtsgrundlagen für die Branchen, der von mir betreuten Betriebe.
  • Neue Vorlage für Einwilligungen, sie enthält alles, was sein könnte, überzähliges wird nach Branche und Verarbeitungsgrund der Einwilligung im Bedarfsfall angepasst.
  • Verzeichnis der Verarbeitungen, hier habe ich meine alten Vorlagen genommen, sie um die Rechtsgrundlagen ergänzt, ein wenig Feinschliff hier und dort, einige bessere Formulierungen habe ich auch noch gefunden, fertig.
  • Datenschutzfolgenabschätzung, ist noch nicht fertig, aber zu ca. 70%, die lasse ich noch etwas liegen und lese noch ein wenig, die LDSB Niedersachsen wird sicher auch noch etwas dazu herausgeben, am Ende alles in den Mixer…wird bestimmt bis Mitte Januar fertig sein.
  • Unterweisung zum Thema DSGVO für Mitarbeiter „meiner“ Betriebe, sind bereits terminiert Dez/Jan/Feb.
  • Anmeldung meiner Tätigkeit bei der Aufsichtsbehörde, hier warte ich aufgrund der Empfehlung einer Mitarbeiterin der LDSB Niedersachsen noch etwas, die Behörde wird in Kürze ein Onlineanmeldeformular zur Verfügung stellen.

und sonst?

  • Rechte der Betroffenen sind jetzt nicht soooo neu, Prozesse sind überprüft, teilweise ist noch zu klären, wie der beste Weg ist, wer ihn einleitet, aber 95% fertig
  • Datenübertragbarkeit, ich prüfe noch für „meine“ Betriebe, welche Daten aufgrund einer Einwilligung erfaßt wurden, denn nur diese müssen übertragbar sein (seien wir mal ehrlich, wer arbeitet heute ohne Datenbank, im Prinzip könnte man alles übertragen..) und welche Daten ist der Betrieb gewillt, darüber hinaus elektr. herauszugeben, als zus. Serviceleistung z.B. sind ja schließlich alles freundliche, serviceorientierte Betriebe…
  • Datenschutzmanagementsystem, programmieren wir selber, können wir schließlich, ist sicher sinnvoll wegen der vielen Schreibarbeit, die wir künftig machen machen müssen. Ist für mich auch einfacher, wann habe ich welche Mail an wen geschrieben, wann Auskunft erteilt, wann Gespräche geführt, welche Mitarbeiter wurden wann unterwiesen….
  • Strategietermine mit den GF der Firmen sind für Frühjahr geplant, das reicht bei uns, da wir alle Unterlagen für den Kunden erstellen. Wenn wir darauf warten, dass der Kunde ein Verfahrensverzeichnis selbst erstellt, dann warten wir, bis wir schwarz werden, also haben wir uns schon vor langer Zeit für rundum-Sorglos entschieden.

Datenschutz by design / Datenschutz by default

  • Unsere eigenen Produkte sind schon weitestgehend so, weil wir das immer schon als selbstverständlich ansahen.
  • Für die in „meinen“ Betrieben eingesetzte Software werde ich im Laufe des Frühjahrs einen Rundum Check einplanen, man kann immer weiteres Verbesserungspotential finden, wenn man das möchte, aber trotzdem immer schön, die Kirche im Dorf lassen.

Fazit:

Viel Arbeit – auf jeden Fall, aber nichts Unlösbares dabei, wo ein Wille ist, ist auch ein Weg.

Ich habe mich nach diesem Artikel nun gegen einen Wunschzettel DSGVO entschieden. Die Umsetzung nimmt mir leider doch keiner ab. Hätte ich mir denken können.

Tipp: Als kleiner Spaß zu Weihnachten, kann man den Einschätzungstest der Aufsichtsbehörde Bayern durchführen, aber mit Verlaub, der ist wirklich albern;-)

digitale Signatur

digitale Signatur, was ist das, wie geht das, wofür brauche ich das?

Früher war die rechtsverbindliche, persönliche Unterschrift auf Dokumenten der Nachweis für die Echtheit, für die Authentizität des Absenders. Das Senden von Fax-Nachrichten ist seit vielen Jahren aus der Mode gekommen, die meisten Dokumente werden ganz einfach an Emails angehängt und versendet. Geht schneller und spart Porto.

In Zeiten, in denen Diebstahl ganz einfach vom Sofa aus zu machen ist, nebenbei läuft noch die Lieblingsserie, machen sich viele Menschen Gedanken darüber, ob die Dokumente eigentlich echt sind, die sie so bekommen. Einen Emailabsender zu fälschen ist mit wenig krimineller Energie und geringem technischem Wissen mit Hilfe von google sehr leicht möglich.

Woher soll der Empfänger denn nun wissen, ob erstens Absender und zweitens Dokument echt und unverändert sind? Hier kommt für rechtlich relevante Dokumente die digitale Signatur ins Spiel.

digitale Signatur – elektronische Signatur

Meint im Prinzip dasselbe. Der juristische Begriff ist allerdings elektronische Signatur. Es gibt verschiedene Sicherheitsstufen der digitalen Signatur, wer das nachlesen möchte, findet es in den folgenden Rechtsschriften:

SignaturGesetz SigG

Verordnung zur elektronischen Signatur SigV

Wie funktioniert das nun technisch?

Die einfache digitale Signatur basiert auf einem Schlüsselpaar. Dem öffentlichen und dem privaten Schlüssel. Der private Schlüssel wird zum Entschlüsseln der Nachricht benötigt, der öffentliche Schlüssel zum Verschlüsseln. Der öffentliche Schlüssel wird in der Regel mit einem sogenannten Hashwert kombiniert, mit dem Ergebnis wird dann die Mail digital unterschrieben, also signiert.

Beispiel: Sie möchten sicherstellen, dass ein Dokument den Empfänger unverändert erreicht.

Senderseite

  • Fügen Sie das Dokument in eine Emailnachricht ein
  • Mithilfe spezieller Software (s.u.)  erzeugen Sie einen Fingerabdruck (Hash-Wert) des Dokumentes.
  • Nun verschlüsseln Sie den Hashwert mit Ihrem privaten Schlüssel
  • Das Ergebnis wird nun zur Signatur Ihrer Email, diese Signatur ist jedesmal anders.

Empfängerseite

  • Der Empfänger vergleicht nun mit Hilfe des öffentlichen Schlüssels den Hashwert Ihrer Nachricht, hiermit kann sichergestellt werden, dass der Inhalt von Ihnen stammt und unverändert ist.

Signatur vs. Verschlüsselung

Weil diese Begriffe oftmals in einen Topf geworfen werden, hier die Unterscheidung. Eine Signatur ist eine authentifizierte Unterschrift, bei einer Verschlüsselung wird der gesamte Inhalt verschlüsselt, so dass er nur mit dem entsprechenden Schlüssel (auch bei der Verschlüsselung wird das Verfahren angewendet) gelesen werden kann. In der Praxis werden oftmals beide Verfahren miteinander kombiniert.

digitale Signatur in der Praxis

In der Praxis wird man die elektronische Signatur in Verbindung mit einem Zertifikat verwenden. Das Zertifikat kann man bei einer Zertifizierungsstelle beantragen, dieses wird dann in ein öffentliches Verzeichnis eingetragen, so daß die echte Identität jederzeit nachvollziehbar ist.

Als Software kann zum Beispiel gpg für Windows verwendet werden, wenn es kostenlos sein soll. Natürlich gibt es jede Menge Anbieter passender Software.

Zertifizierungsstellen

Hier eine Liste der Bundesnetzagentur

Zusätzliche Infos

Hier ein sehr nützlicher Link zum Signaturrecht

Vortrag für den URV am 12. April 2016

Vortrag für den URV am 12. April 2016

Mein Vortrag für den URV zum Thema betrieblicher Datenschutz letzte Woche Vortrag beim URVwar gut besucht. Die Teilnehmer waren interessiert am Thema, es wurden viele Fragen gestellt und nicht zuletzt kamen im Nachgang interessante Anfragen. Vielen Dank an die Firma Deuteron für die Ausrichtung der Veranstaltung und an den  URV für die wie immer gute Organisation.

Besonderes Interesse erzeugten erwartungsgemäß die Themen: Datenschutz und SocialMedia, Datenschutz in Bezug auf cloud computing und die Fragestellung wer benötigt einen betrieblichen Datenschutzbeauftragten.

Wie ist es um den Datenschutz in Ihrem Unternehmen bestellt? Ab dem 10. Mitarbeiter, der regelmäßig mit elektronisch gespeicherten, personenbezogenen Daten arbeitet, ist ein betrieblicher Datenschutzbeauftragter gesetzlich vorgeschrieben.
Gerne können Sie mich zu diesem Thema unverbindlich ansprechen.

http://www.urv-online.de/index.php/einzelansicht/vortragsveranstaltung-betrieblicher-datenschutz.php

Vortrag im April: „Datenschutz im Unternehmen“

Am 12. April in der Zeit zwischen 16.00 bis 18.00 Uhr werde ich für den URV Unternehmensverband Rotenburg-Verden einen Vortrag zum Thema „Datenschutz im Unternehmen – muß das sein?“ halten.

Hier die vorläufige Agenda:

  • betr. Datenschutz eine Einführung
  • personenbezogene Daten
  • Zweckbindungs- und Erforderlichkeitsprinzip
  • Rechte von Betroffenen (Auswahl)
  • Datenschutz in Bezug auf Email, WhatsAPP & Co
  • Homeoffice, Umleitung auf priv. Mailadressen u.ä.
  • Sammeln von Mailadressen für Werbezwecke (opt-in)
  • Aufgaben des betr. Datenschutzbeauftragten
  • interner Mitarbeiter vs. ext. Dienstleister

Der Ort steht erst kurz vorher fest.

Die betr. Datenschutzbeauftragte / Aufgaben

Welches sind die Aufgaben der betrieblichen Datenschutzbeauftragten? Was tut denn nun diese Datenschutzbeauftragte?

Die betr. Datenschutzbeauftragte (DSB) stellt die Einhaltung des BDSG (Bundesdatenschutzgesetz) sicher. Und was bedeutet das? In den von mir neu übernommenen Betrieben herrscht insbesondere bei denen, die vorher noch keine Datenschutzbeauftragte hatten, Unsicherheit über die Tätigkeiten, die im Rahmen dieses Vertrages zu erbringen sind. Hier ein paar Beispiele für Firmen, die das erste Mal eine betr. Datenschutzbeauftragte bestellt haben:

Etablierung des Schutzes personenbezogener Daten und damit verbundener IT-Sicherheitseinrichtungen

  • Erstellung der öffentlichen Verfahrensverzeichnisse, die nach dem „jedermann-Prinzip“ jedem! zugänglich gemacht werden müssen und über die jede Firma verfügen muss!
  • Überprüfung des Kenntnisstandes derjenigen Mitarbeiter, die regelmäßig mit personenbezogenen Daten umgehen
  • Durchführung von regelmäßigen Unterweisungen für Mitarbeiter, z.B. bei Prozessänderungen, neuen gesetzl. Auflagen, in Schadensfällen, bei besonderen Anlässen…
  • Prüfung der Systeme auf Zugangssicherheit, Optimierung von Zugängen u.ä.
  • Schwachstellenanalysen, Zutritt, Zugang, Apps, mobile etc.
  • Erteilung von Auskünften u.ä. bei Anfragen von Betroffenen
  • Übernahme der Gespräche mit dem Beauftragten für den Datenschutz des jeweiligen Bundeslandes bei Kontrollbesuchen
  • Zusammenarbeit mit dem Betriebsrat, Erstellung von Mitarbeitervereinbarungen u.ä.
  • Beratung der Geschäftsführung zu Themen rund um den Datenschutz
  • ….

Wie geht das in der Praxis? Der Gesetzgeber geht davon aus, dass nicht alle Punkte immer sofort nach Bestellung einer neuen Datenschutzbeauftragten erfüllt werden können. Vielmehr ist betr. Datenschutz ein Prozess, der sich immer weiter entwickelt und verändert. Mehr Wissen schafft mehr Sicherheit. Jeder Betrieb hat seine Besonderheiten. Je nach Branche ist ein anderes Sicherheitsniveau anzustreben.

Aus diesem Grund empfiehlt der Gesetzgeber, diese Tätigkeit, wenn eine externe Datenschutzbeauftragte bestellt werden soll, im Rahmen eines Vertrages durchzuführen. Wegen der erhöhten Anforderungen sollte dieser Vertrag über min. 2 Jahre abgeschlossen werden.

Wir bieten für unsere Kunden deshalb Verträge an, die über 2 Jahre laufen und sich jeweils um 1 weiteres Jahr verlängern, wenn man miteinander weiterarbeiten möchte. Die Preise sind gestaffelt nach Unternehmensgrösse:

Wartungsvertrag 1: <15 Mitarbeiter
Wartungsvertrag 2: <25 Mitarbeiter
Wartungsvertrag 3: <50 Mitarbeiter

Unsere Kunden kommen aus den folgenden Bereichen: Medizin, techn. Gewerbe und Auftragsdatenverarbeitung (Versicherungen, Hausverwaltungen u.ä.)

Gerne beraten wir Sie unverbindlich, rufen Sie uns an!
Flyer Datenschutz und IT-Sicherheit

Beauftragter für den Datenschutz BDSG §4f

Der betriebliche Datenschutz ist im BDSG (Bundesdatenschutzgesetz) geregelt. Das BDSG gilt für öffentl. und nicht öffentl. Stellen! Der Gesetzgeber sieht weiterhin vor, dass Firmen, ab dem 10. Mitarbeiter, der regelmäßig personenbezogene Daten automatisiert verarbeitet, einen betriebl. Datenschutzbeauftragten (Beauftragter für den Datenschutz BDSG §4f) benötigt. Beauftragter für den Datenschutz BDSG §4f weiterlesen