Standortdaten machen Personen leichter identifizierbar und Nutzerprofile zu Bewegungsprofilen. Entsprechend begehrt sind sie bei Werbetreibenden, entsprechend hoch muss ihr Schutz sein. Doch die unerwünschte Ortung hat viele Gesichter. Welche Gegenmaßnahmen wirken wirklich?
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“ So heißt es in Art. 5 Abs. 2 DSGVO lapidar. Damit ist alles gesagt, oder? Wir werden für die Praxis dann doch etwas konkreter.
Die Datenschutz-Folgenabschätzung (DSFA) ist eine Risikoanalyse, die für einige Verarbeitungsvorgänge vorgeschrieben ist. Dieser Beitrag skizziert die Anforderungen an die DSFA, bestimmt ihre Anwendungsfälle genauer und stellt unterstützende Maßnahmen für die praktische Umsetzung vor.
Eine der größten Erleichterungen 2023 war, dass wieder rechtlich korrekte Datenübermittlungen in die USA möglich sind. Was manche übersehen: Die Beachtung bestimmter Voraussetzungen führt zu teils erheblichen Prüfpflichten seitens der Datenübermittler.
Betreiber kritischer Infrastrukturen (KRITIS) müssen zukünftig noch höhere IT-Sicherheitsanforderungen erfüllen. Dies betrifft auch den Datenschutz aller Unternehmen und Behörden in der EU, denn KRITIS-Vorfälle lösen oftmals Datenschutzverletzungen aus.
Immer mehr Unternehmen setzen auf die deutsche Cloud-Lösung Nextcloud. Sie bietet viele Funktionen, die auch Microsoft 365 hat. Die Installation erfolgt im eigenen Rechenzentrum, erfordert aber einige Anpassungen bezüglich des Datenschutzes. Der Beitrag zeigt, was wichtig ist.
Auf die Betreiber Kritischer Infrastrukturen kommen bald neue umfangreiche Vorgaben zu. Verantwortliche und DSB sollten diese bereits jetzt genau analysieren, um ausreichend Zeit zu haben, die erforderlichen Maßnahmen im eigenen Unternehmen zu implementieren.
Ohne Fachkräfte in der Cybersicherheit fehlt die Expertise, um Cyberangriffe besser abwehren zu können. Das steigert das Risiko für Datenschutzverletzungen. Zudem sorgt der Fachkräftemangel für eine veränderte Suche nach Beschäftigten – mit massiven Konsequenzen.
Während „Privacy by Design“ als Schlagwort weitgehend bekannt ist, führt die gesetzliche Verpflichtung, konkrete Maßnahmen durch (Technik-)Gestaltung zu ergreifen, eher ein Schattendasein. Erfahren Sie mehr über wichtige Anforderungen und auf welche Aspekte Sie achten sollten.
Die DSGVO hat die Möglichkeiten, personenbezogene Daten z.B. in Konzernstrukturen zu nutzen, stark eingeschränkt. Zudem ist bei der werblichen Verwendung das Wettbewerbsrecht zu beachten. Lösungen für dieses Problem sind rar, doch es gibt sie.
„Kein Gesetzgebungsvorschlag kommt so aus dem Gesetzgebungsverfahren heraus, wie er hineingegangen ist.“ Diese Erfahrung bewahrheitet sich immer wieder. Dennoch sollten DSB grob orientiert sein, welche Neuregelungen im Datenschutz die Bundesregierung ins Auge fasst.
Datenschützer warnen schon lange vor den tiefen Einblicken in die Privatsphäre, die Fitness-Tracker, Smartwatches oder Smart-Home-Geräte erhalten. Die EU-Agentur für Cybersicherheit ENISA sieht darin sogar eine zentrale Wissensbasis für Internetkriminelle. Sensibilisieren Sie daher Mitarbeitende für die Risiken, die damit verbunden sind.
Bei Cyberangriffen denkt jeder zuerst an Attacken aus dem Internet. Doch Internetkriminelle sind nicht an Online-Verbindungen gebunden und kombinieren viele Angriffswege, um an die Daten ihrer Opfer zu gelangen. Teile der Attacken können z.B. direkt vor Ort stattfinden.
Beim Social Engineering erschleichen Angreifende das Vertrauen der Opfer, indem sie eine falsche Identität vortäuschen und verfügbares Wissen über die Opfer ausnutzen. Die Opfer geben im guten Glauben vertrauliche Daten oder den Zugang zu den Daten weiter. Rein technische Datenschutz-Maßnahmen reichen als Gegenreaktion nicht aus. Die psychologischen Tricks der Angreifenden zu kennen, muss hinzukommen.
RFID und NFC sind etwa beim kontaktlosen Bezahlen von zentraler Bedeutung. RFID (Radio Frequency Identification Technology, Funkfrequenzidentifizierung) ist eine Technologie, mit der sich Daten berührungslos und ohne Sichtkontakt lesen und speichern lassen. Nahfeldkommunikation (Near Field Communications, NFC) basiert auf den RFID-Standards.
Viele Unternehmen haben ein Datensicherheitskonzept, das die Risiken nicht genau genug berücksichtigt. Oft finden sich nur allgemeine Aussagen zum Datenschutz. Das Standard-Datenschutzmodell (SDM 3.0) hilft dabei, die Schutzmaßnahmen zu konkretisieren.
Blutabnahme, Urintests und andere Einstellungsuntersuchungen haben in der Vergangenheit einige Großkonzerne, Rundfunkanstalten und öffentliche Verwaltungen in die Schlagzeilen gebracht. Ihr Vorgehen stieß bei Datenschützern, Gewerkschaften und Arbeitsrechtlern auf harsche Kritik. Trotzdem hat eine Einstellungsuntersuchung im gewissen Umfang ihre Berechtigung. In manchen Fällen ist sie sogar Pflicht.
Angreifer nutzen Schwachstellen in IT-Systemen aus, um personenbezogene Daten auszuspähen und zu missbrauchen. Zur Sicherheit der Verarbeitung nach Datenschutz-Grundverordnung (DSGVO / GDPR) gehört deshalb ein Patch-Management, um Sicherheitslücken zu beheben. Erfahren Sie, worauf es beim Patch-Management ankommt.
Sind Headhunter eigenständig Verantwortliche, wenn sie für ein Unternehmen Bewerber suchen, oder ist ein Vertrag zur Auftragsverarbeitung erforderlich? Lesen Sie, was sich in dieser Konstellation empfiehlt.
Seit Inkrafttreten des TTDSG hat sich die Onlinewelt leise, aber stetig von den omnipräsenten Cookies verabschiedet. Nun sind die meisten Tools cookielos. Das macht es Verantwortlichen und DSB immer schwieriger, zu erkennen, welche Daten bei Webseitenaufrufen verarbeitet werden.
Die Fehler, die wir Menschen bei neuen Technologien begehen, ist aktuell eine der größten Cyberbedrohungen. Bei der Schwachstelle Mensch hilft aber kein herkömmliches Patching. DSB sollten deshalb die Bedeutung der Schulung von Beschäftigten stärker bewusst machen.
Die EU-Kommission hat erneut in einem Angemessenheitsbeschluss festgestellt, dass in den USA ein angemessenes Datenschutzniveau besteht. Mit Inkrafttreten des „EU-U.S. Data Privacy Framework“ (DPF) lassen sich personenbezogene Daten unter erleichterten Bedingungen in die USA übermitteln. Doch Datenexporteure müssen trotz DPF einiges beachten.
Wer Pseudonyme einsetzt, kann die Sicherheit der Verarbeitung personenbezogener Daten verbessern. Und Anonymisierung kann den Datenschutz für den betreffenden Fall überflüssig machen, sofern sie richtig ausgeführt wird. Es lohnt sich also, Anonymisierung und Pseudonymisierung näher zu betrachten und im Unternehmen zu empfehlen.
Bewerbungs- und Einstellungsprozesse sind ohne personenbezogene Daten undenkbar. Doch Verantwortliche müssen darauf achten, wirklich nur mit solchen Informationen zu arbeiten, die unbedingt erforderlich sind.
Wer muss nach DSGVO einen Datenschutzbeauftragen (DSB) benennen, wer nicht? Selbst wenn keine Pflicht zur Benennung besteht: Kann es trotzdem sinnvoll sein, einen DSB zu bestellen?
Wer personenbezogene Daten verarbeitet, muss die betroffenen Personen darüber informieren. Das mündet oft in lange Texte, die wenig lesefreundlich sind. Bietet die Verwendung von Datenschutz-Icons eine Alternative?
Biometrische Daten werden für die Zugangs- und Zutrittskontrolle neben der Multi-Faktor-Authentifizierung (MFA) als Sicherheitsfaktor immer wichtiger. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.
Die Gefahr von Cyberangriffen wächst. Die Angreifenden sind zunehmend professionell organisiert und in der Lage, Sicherheitslücken schnell zu nutzen, so die LDI NRW. Erfolgreiche Cyberattacken bedeuten meist auch eine Datenschutzverletzung. Datenschutzbeauftragte sollten die Entwicklungen der Cybersecurity deshalb genau verfolgen.
Ohne das Recht auf Auskunft wäre Datenschutz ein zahnloser Tiger. Denn nur wer weiß, was ein anderer über ihn weiß, kann sich frei entfalten. Aus Sicht desjenigen, der ein Auskunftsbegehren beantworten muss, gibt es jedoch einige Fallstricke, die er im Auge behalten sollte.
Die Verletzung des Schutzes personenbezogener Daten sowie die Melde- und Benachrichtigungspflichten sind ein wiederkehrendes Thema in der Praxis. Der EDSA hat dazu aktualisierte „Guidelines“ veröffentlicht. Auch wenn nicht alles neu ist, sind einzelne Aspekte hervorzuheben.
Personenbezogene Daten sicher zu löschen, ist Teil der Datensicherheit und der Betroffenenrechte nach der Datenschutz-Grundverordnung (DSGVO). Neben den technischen Löschverfahren sind organisatorische Prozesse wichtig. Verantwortliche und Datenschutzbeauftragte müssen dabei die Verpflichtung, Daten zu löschen, genauso betrachten wie die gesetzlichen Aufbewahrungspflichten.
Viele Unternehmen und Behörden sind nach HinSchG verpflichtet, eine interne Meldestelle einzurichten. In der Praxis stellt sich dann oft die Frage, ob ein DSB diese Aufgabe zusätzlich übernehmen kann bzw. sollte.
Damit Betroffene ihre Rechte nach der DSGVO wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten vor.
Zahlreiche Aufgaben im Unternehmen wie etwa die Suche nach Informationen lassen sich mithilfe von eigenen KI-Systemen gut oder sehr gut lösen. Wer die Systeme datenschutz- bzw. datenfreundlich aufbaut, sorgt dafür, dass sensible Daten keinen unnötigen Risiken ausgesetzt sind.
Die EU-Agentur für Cybersicherheit ENISA stuft Desinformation als eine der größten Cyberbedrohungen ein. Falsche, manipulative Informationen können auch den Datenschutz verletzen. Wir zeigen, wie sich Unternehmen besser gegen Desinformation schützen.
Gerade bei der Datensicherheit sowie bei der der Erkennung und Abwehr von Cyberattacken suchen viele Unternehmen Orientierung und Unterstützung. Hier hilft der IT-Grundschutz des BSI. Lesen Sie, was der Grundschutz ist und wie Sie damit arbeiten.
Einen Prozess zu haben, um Datenpannen nach der Datenschutz-Grundverordnung (DSGVO) zu melden, ist ein „Must have“. Wann aber ist ein Vorfall meldepflichtig? Und wie muss die Meldung genau ausgestaltet sein?
Das Hinweisgeberschutzgesetz (HinSchG) ist ohne Zweifel datenschutzrelevant. Welche datenschutzrechtlichen Aspekte bei der Einrichtung und dem Betrieb eines Hinweisgebersystems nach HinSchG zu beachten sind, erfahren Sie in diesem Beitrag.
Bereits vor der Corona-Pandemie haben zahlreiche Unternehmen neue Arbeitsweisen für sich entdeckt. DSB müssen nun immer wieder prüfen, ob diese Konzepte im Einklang mit dem Datenschutz stehen. Eine Checkliste hilft hier weiter.
Die Pflicht, personenbezogene Daten rechtzeitig zu löschen, sowie das Recht auf Vergessenwerden bereitet Unternehmen seit Langem Kopfzerbrechen. Doch gibt es Tools, die bei der Umsetzung helfen.
Cryptshare ist ein Tool, das den sicheren Austausch von Dateien und Informationen über das Internet ermöglicht. Es nutzt eine Kombination aus Verschlüsselung und sicheren Übertragungsmethoden, um den Schutz von Daten zu gewährleisten.
IT-Sicherheitsbehörden warnen vor Schwachstellen in der Software- und Hardware-Lieferkette. Aktuelle Vorfälle belegen diese Gefahren, die sich auch auf den Datenschutz auswirken. Datenschutzkonzepte sollten deshalb die Sicherheit der IT-Lieferkette berücksichtigen.
Operationslisten, Bewerbungsmappen, Passwörter, … – das und vieles mehr können Sie bei einer Vor-Ort-Kontrolle in Besprechungsräumen finden. Worauf müssen Sie achten?
Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und sind ein Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten. Sie brauchen daher Schutz innerhalb und außerhalb des internen Netzwerks.
Was müssen Verantwortliche zur Löschung personenbezogener Daten und zu den dazugehörigen Nachweispflichten wissen? Welche Pflichten gibt die DSGVO vor und welche Dokumentationsmaßnahmen sind sinnvoll?
Um Kennwörter oder PINs zu schützen, sind Passwort-Manager eine sinnvolle Möglichkeit. Welche Lösungen sind aus Datenschutzsicht empfehlenswert, welche nicht?
Dass Beschäftigte von Unternehmen in Deutschland ganz oder teilweise aus dem Homeoffice in einem Drittstaat arbeiten, kommt seit der Corona-Pandemie deutlich häufiger vor als früher. Aus der Sicht des Datenschutzes ist dabei einiges zu beachten.
Setzen Verantwortliche Auftragsverarbeiter ein, deren Mutterkonzern in einem Drittstaat seinen Sitz hat, kann sich das auf die Zuverlässigkeit dieses Auftragsverarbeiters auswirken. Lesen Sie, in welchen Fällen das so ist und was die Datenschutzkonferenz (DSK) empfiehlt.
Die Digitalisierung der Wirtschaft und öffentlichen Stellen macht auch vor der Suche nach neuen Mitarbeiterinnen und Mitarbeitern nicht halt. Bewerberdaten kommen zunehmend über E-Recruiting-Plattformen in die Personalabteilung. Was heißt das für den Datenschutz?
Wer sich zum ersten Mal an einem EuGH-Urteil versucht, ist oft der Verzweiflung nahe. Alles wirkt noch schwieriger und unübersichtlicher als bei den Urteilen deutscher Gerichte. Lesen Sie anhand eines Beispiels, wie Sie mit dieser Herausforderung zurechtkommen.
Homeoffice und Remote Work haben die Zahl der Online-Videokonferenzen steigen lassen. Die Webcam abzusichern, wird daher immer wichtiger. Abdeckungen für Webcams sind nur eine der Maßnahmen, die Sie in der Datenschutzschulung empfehlen können.
Eine Radiologie-Praxis beauftragt einen externen Dienstleister, alle anfallenden Daten für den Abruf durch die Patienten in einer Cloud bereitzuhalten. Eine CD mit seinen Daten bekommt jeder Patient trotzdem nach wie vor. Geht das auch ohne Einwilligung? Die hessische Datenschutzaufsicht stieg tief in die Thematik ein.
Die DSGVO legt bei der Sicherheit der Verarbeitung großen Wert auf den Schutz vor unberechtigten Zugriffen und damit auf Zugangskontrolle. Was heißt das genau? Was müssen Datenschutzbeauftragte hier prüfen?
Aus Unternehmenssicht kommt es darauf an, nicht nur einzelne Datenschutzinstrumente im Unternehmen auf die DSGVO auszurichten. Sondern die Summe aller Einzelteile, also das komplette Datenschutzmanagementsystem (DMS).
Das „dritte Geschlecht“ ist auch für Datenschutzbeauftragte (m/w/d/keine Angabe) von Bedeutung. Denn die korrekte Unterscheidung der Geschlechter muss sich in Online-Formularen und Kundendatenbanken widerspiegeln.
Die DSGVO nennt Verschlüsselung als eine Maßnahme, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten. Müssen Datenschutzbeauftragte daher den Verantwortlichen raten, alle E-Mails zu verschlüsseln? Das kommt darauf an - auf die E-Mails und die Art der Verschlüsselung.
Nicht nur Privatpersonen sind in Gefahr, beim Online-Shopping Opfer von Cyberattacken zu werden. Auch die Einkaufsabteilung in Unternehmen beschafft zunehmend digital. Sicherheitslücken in Webshops können so zu einem betrieblichen Datenrisiko werden. Das können Datenschutzbeauftragte dagegen tun.
Ein Arbeitgeber wollte stets exakt nachprüfen können, wann sich die Fahrzeuge des Unternehmens in den letzten sechs Monaten wo befunden hatten. Die Datenschutzaufsicht verhängte deswegen allerdings eine recht saftige Geldbuße.
Bevor ein Verantwortlicher personenbezogene Daten verarbeitet, muss er die Rechtmäßigkeit der Verarbeitung prüfen. Rechtsgrundlagen bietet die DSGVO v.a. in Art. 6. Machen Sie den Kollegen klar, dass sie dabei möglichst nicht mit der Einwilligung anfangen sollten.
Hand aufs Herz: Könnten Sie – jetzt, sofort und gleich – das Passwort für Ihr E-Mail-Postfach ändern? Das wäre die wichtigste Schutzmaßnahme, die Sie bei einem Identitätsdiebstahl ergreifen müssten! Lesen Sie, was Sie sonst noch beherrschen müssen, um gewappnet zu sein.
Bei einem weltweit breit gestreuten Angriff wurden laut Medienberichten tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und verschlüsselt. Dieser Vorfall zeigt, wie bekannte Sicherheitslücken zu Datenschutzverletzungen beitragen.
Wer kennt sie nicht: seitenlange Datenschutzhinweise, die Nutzerinnen und Nutzer bereits auf den ersten Blick erschlagen. Icons bieten eine Möglichkeit, die Informationen übersichtlicher zu gestalten.
Nach Ansicht mancher Spötter sind papierlose Büros so selten wie weiße Elefanten. Wie auch immer: Schon wegen diverser Aufbewahrungspflichten gibt es in vielen Unternehmen noch große Aktenberge. Wehe, sie kommen mit Wasser in Berührung und werden unbrauchbar. Dann tauchen erhebliche Datenschutzfragen auf.
KI soll die Analyse von Bewerberinnen und Bewerbern optimieren und die Auswahl der richtigen Talente erleichtern. Die Erwartungen sind hoch, die Risiken für den Datenschutz allerdings auch. Informieren Sie als DSB über die Stolperfallen und beraten Sie bei der DSFA.
Bieten Unternehmen eine Newsletter-Registrierung per Double-Opt-in-Verfahren an, stellt sich die Frage, was mit der angegebenen E-Mail-Adresse passiert, wenn die Anmeldung nicht zeitnah bestätigt wird.
Nach Veranstaltungen oder Wettkämpfen ist es üblich, auf der Internetseite des Vereins oder in der örtlichen Presse Fotos und Ergebnisse zu veröffentlichen. Hierbei müssen Vereine die DSGVO einhalten. Doch was geht und wo ist besondere Aufmerksamkeit erforderlich?
Welche Gefahren gehen von ausscheidenden Mitarbeitern aus? Wie begegnet man ihnen am besten? Lesen Sie, welche Schritte erforderlich sind, um den Risiken gezielt vorzubeugen.
In Teil 1 lernten Sie das Konzept der Objectives and Key Results (OKR) kennen. Sie erhielten Antworten auf einzelne Datenschutzfragen sowie zur Zweckbestimmung. Teil 2 behandelt die weiteren Datenschutzgrundsätze und beantwortet, wie OKR datenschutzkonform umsetzbar sind.
Das Auswerten von Website-Besuchern hilft bei der Beurteilung, welche Inhalte besonders beliebt und welche weniger relevant sind. Viele denken hierbei an Google Analytics. Dabei gibt es zahlreiche datenschutzkonforme Alternativen. Neben der Rechtssicherheit bieten sie den Vorteil, keine Einwilligung zu benötigen.
Unternehmen und Konzerne setzen zunehmend auf Offboarding-Prozesse und informieren intern über den Weggang bestimmter Mitarbeiterinnen und Mitarbeiter. Gleichwohl muss eine solche Bekanntgabe im Einklang mit dem Datenschutzrecht stehen.
Objectives and Key Results (OKR) als Zielerreichungssystem verbreiten sich in den letzten Monaten in vielen Organisationen. Vielen DSB dürften OKR noch unbekannt sein. Lesen Sie in zwei Teilen, was DSB und Organisationen dazu im Hinblick auf den Datenschutz wissen sollten.
Ransomware-Attacken können personenbezogene Daten gegen den Willen der Opfer verschlüsseln. Ohne Backup sind die Daten nicht mehr verfügbar, der Datenschutz ist verletzt. Damit die schnelle Wiederherstellung funktioniert, reicht eine einfache Datensicherung nicht. Lesen Sie, was DSB dazu wissen müssen.
Bei „Direktwerbung“ wird eine Person unmittelbar persönlich angesprochen, etwa per Brief, Telefon oder E-Mail. Das geht nicht, ohne Daten dieser Person zu verarbeiten. Ein ausführliches Papier der Datenschutzkonferenz (DSK) stellt dar, was dabei zu beachten ist.
Im besten Fall sind Datenschutzbeauftragte (DSB) im Vorfeld beteiligt, wenn ein Verantwortlicher einen Messenger auswählt und einführt. Doch auch wenn Sie bereits einen Dienst vorfinden, gilt es, die folgenden Aspekte aus Datenschutzsicht zu prüfen.
Wie managen wir Daten von B2B-Kunden? Das ist oft ein Streitpunkt zwischen Vertrieb und Datenschutz. Erfahren Sie, wie eine Balance zwischen vertrieblichen Interessen und den Vorgaben der DSGVO gelingt.
Wer EU-Tochterfirmen zumeist amerikanischer Cloud- und IT-Serviceprovider einsetzt, muss einige datenschutzrechtliche Fragen beantworten. Lesen Sie, welche aktuellen Entwicklungen es gibt und worauf Datenschutzbeauftragte (DSB) achten müssen.
Der dritte Teil der Reihe „Betriebsrat & DSGVO“ beschäftigt sich damit, welche Anforderungen das Bundesarbeitsgericht an die Datenschutzorganisation des Betriebsrats stellt und was ein „BR-Datenschutzkonzept“ ist.
Die eAU soll die Datenweitergabe im Zusammenhang mit der Arbeitsunfähigkeit verbessern. Dafür stellen Krankenkassen den Arbeitgebern die Daten elektronisch zur Verfügung. Was heißt das für den Datenschutz, wo sind Anpassungen nötig?
Kritiker behaupten, dass sich Microsoft 365 nicht datenschutzkonform einsetzen lässt. Ist der Verantwortliche anderer Meinung, so muss er den rechtskonformen Einsatz per Datenschutz-Folgenabschätzung nachweisen. Doch ist eine DSFA bei Microsoft 365 in jedem Fall verpflichtend?
Viele Websites binden Schriftarten von Google-Servern ein, um Texte darzustellen. Aus dieser Nutzungsart der Schriften entstehen Datenschutzprobleme, die sogar zum Schadenersatz für Website-Besucher führen können. Glücklicherweise lassen sie sich vermeiden.
Datenschutz und IT-Sicherheit stellen Unternehmen angesichts wachsender Cyberbedrohungen vor große Herausforderungen. Gerade digitale Identitäten und damit personenbezogene Daten sind gefährdet. Security-Konferenzen wie die ISD 22 unterstreichen den Handlungsbedarf bei Datenschutzkonzepten.
Trotz aller Digitalisierung bleiben Drucker wichtige Ausgabegeräte in Büros und Homeoffices. Während viele Unternehmen ihre Drucker nicht auf ihrer Liste der möglichen Schwachstellen haben, stehen die Drucker bei den Angreifern zunehmend im Fokus.
Sollen personenbezogene oder unternehmenskritische Daten in der Cloud verarbeitet werden, müssen Sie als DSB prüfen, ob der Cloud-Anbieter die Anforderungen der DSGVO erfüllen kann.
Jedes Unternehmen mit einer Website muss transparent informieren, was es mit den dort verarbeiteten Daten tut. Wie lässt sich das in Zeiten von Abmahnungen wegen Google Fonts, von Analysetools, TTDSG und nötigen Belehrungen über Joint-Controller-Verhältnisse umsetzen?
Dürfen Verbände bei Datenschutzverstößen gegen Unternehmen auf Unterlassung klagen? Der EuGH meint: Ja. Grund genug, zu klären, was Unterlassungsklagen sind und wie sich Unternehmen dagegen wappnen.
Das TTDSG regelt, welche Maßstäbe für Cookies gelten, die Website-Betreiber ohne Einwilligung durch den Nutzer verwenden dürfen. Der Beitrag zeigt einerseits, welche Cookies konkret einwilligungsfrei sind, und andererseits, woraus sich eine Einwilligungspflicht ableiten lässt.
Gewinnspiele als Marketing-Maßnahme von Unternehmen haben sich – vor allem auf Social-Media-Plattformen – längst etabliert. Doch worauf müssen Veranstalter aus Sicht des Datenschutzes achten?
Das erpresserische Geschäftsmodell von Ransomware stellt Unternehmen vor die Wahl: Lösegeld zahlen oder nicht? Der Beitrag skizziert einen souveränen Umgang mit Cyberangriffen und positioniert sich zu dem Dilemma.
Nicht nur die Datenrisiken und die digitalen Technologien wandeln sich, auch das menschliche Verhalten im Umgang mit Daten und IT. Lesen Sie, wie Sie diesen Trend bei den Inhalten Ihrer Datenschutzschulungen berücksichtigen.
Gerade bei mobilen Apps gehen Nutzerinnen und Nutzer auf einen scheinbaren Kompromiss ein: Sie verwenden eine App, deren Datenschutz mindestens fraglich ist, die aber über viel Funktionalität und Komfort verfügt. Doch mit Privacy Friendly Apps muss niemand auf Datenschutz verzichten, der eine gute App haben will.
Ein vollumfängliches Datenschutz-Löschkonzept muss auch E-Mails inklusive etwaiger Anhänge berücksichtigen. Denn sie enthalten ebenfalls personenbezogene Daten und sind somit aus Datenschutzsicht zum gegebenen Zeitpunkt zu löschen.
Wer eine Dashcam nutzt, muss auf viele Fallstricke achten – im schlimmsten Fall liefert man nicht nur selbst die Beweise für einen verschuldeten Unfall, sondern erhält zusätzlich noch einen Bußgeldbescheid wegen eines damit verbundenen Datenschutzverstoßes.
Art. 12 Abs. 2 Satz 1 DSGVO regelt die Pflicht des Verantwortlichen, den betroffenen Personen die Ausübung ihrer Rechte zu erleichtern. Die Praxis verkennt diese Pflicht speziell mit Blick auf das Recht auf Werbewiderspruch häufig. Doch Untätigkeit kann eine Pflichtverletzung sein.
Mit den Datenschutzhinweisen (der „Datenschutzerklärung“) setzen Unternehmen die Informationspflichten von Art. 13 und Art. 14 DSGVO um. Doch wie lassen sich die vorgeschriebenen Angaben praxisgerecht zur Verfügung stellen? Diese Vorschläge können Sie als DSB machen.
Wer nicht weiß, warum er eigentlich bestimmte personenbezogene Daten verarbeitet, hat ein massives Problem. Und das nicht nur mit der Datenschutzaufsicht, sondern oft auch mit den eigenen Prozessen. Also gilt es, sich im Vorfeld einer Verarbeitung den Zweck bewusst zu machen.
Wer hat welche Zugriffe auf Daten im Unternehmen? Darf derjenige überhaupt zugreifen? Schaffen Sie Ordnung per Zugriffskontrolle! Denn sie ist unabdingbar, um die Sicherheit der Verarbeitung unter der DSGVO zu gewährleisten.
Einer der Grundgedanken, der die Datenschutz-Grundverordnung durchzieht, ist der risikobasierte Ansatz. In der Theorie ist das leicht erklärt. Aber wie sieht die Umsetzung in der Praxis konkret aus?
Eine Einwilligung auf einer Webseite abzufragen, geschieht meist über Cookie-Banner. Für solche Abfragen gibt es Tools verschiedener Anbieter. Was ist bei ihrem Einsatz zu beachten?
Datenschutzverletzungen kommen täglich in Unternehmen und öffentlichen Stellen vor, egal ob es sich um kommunale Verwaltungen, kleine und mittlere Unternehmen oder Konzerne handelt. Ganz vermeiden lassen sie sich sicher nicht. Doch arbeiten Sie mit Ihren Empfehlungen daran, die gröbsten Schnitzer zu umschiffen.
Um die Krankenquote langfristig zu senken, nutzen Unternehmen oft sogenannte „Krankenrückkehrgespräche“. Doch ist diese Bezeichnung überhaupt korrekt, welche Rahmenbedingung sind zu beachten und welche datenschutzrechtlichen Fallstricke drohen?
Wer Social Media im Unternehmen oder in der Behörde nutzen möchte, braucht verbindliche Regelungen. Geeignet sind beispielsweise Social-Media-Leitfäden für die Mitarbeitenden. Denn allzu schnell geraten sonst Datenschutz und Informationssicherheit ins Hintertreffen.
Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen das Datenschutzkonzept immer wieder überarbeiten. Lesen Sie, was dabei wichtig ist.
Auch wenn Präsenzveranstaltungen und Firmenevents derzeit kaum stattfinden können: Das Fotografieren oder Filmen bei Events und Veranstaltungen bleibt ein datenschutzrechtlicher Dauerbrenner. Was geht auf welcher Rechtsgrundlage, was geht nicht?
Das neue Arbeiten zwischen Homeoffice und Büro stellt Unternehmen vor vielerlei Herausforderungen. Für Datenschutzbeauftragte ist es umso wichtiger, bei Veränderungen, die die Arbeitssituation der Beschäftigten betreffen, kompetent zu beraten.
Wer Bewerbungsunterlagen per E-Mail entgegennimmt, während er gleichzeitig alle E-Mails revisionssicher archiviert, um seinen Aufbewahrungspflichten nachzukommen, handelt im Widerspruch zu den Löschpflichten aus der DSGVO. Wie lässt sich das Dilemma lösen?
Besonders wichtig für Datenschutzbeauftragte (DSB) in KRITIS-Unternehmen ist das BSIG. Betroffenen Einrichtungen legt es viele Verpflichtungen auf, die sich auch auf personenbezogene Daten beziehen.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) und das Bundesdatenschutzgesetz (BDSG-neu) machen Vorgaben zur Löschung personenbezogener Daten. Daher empfiehlt es sich, ein Löschkonzept zur Umsetzung zu entwickeln. Hier unterstützt die Norm DIN 66398.
Ein VPN zu nutzen, gehört regelmäßig zu den Sicherheits-Empfehlungen, für das Homeoffice genauso wie für die mobile Arbeit. Doch damit Virtual Private Networks den erwarteten Schutz bieten, müssen die jeweiligen VPN-Lösungen eine Reihe von Kriterien erfüllen.
Arbeiten die Beschäftigten teils im Büro und teils im Homeoffice, steigt die Gefahr, dass sie vertrauliche Unterlagen mit nach Hause nehmen. Bei aller Digitalisierung ist es daher notwendig, zu regeln, wie die Kolleginnen und Kollegen Papierdokumente richtig behandeln.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) nimmt auch Auftragsverarbeiter in die Pflicht: Bei einer Auftragsverarbeitung ist nicht mehr nur der Verantwortliche gefordert. Was muss der Auftragsverarbeiter tun?
Neben den Geldbußen und Schadenersatzklagen ergeben sich bei Datenschutzverstößen Risiken aus dem Wettbewerbsrecht. Dazu gehören die Abmahnung und ihre Folgekosten. Wie ist hier der aktuelle Stand?
Ausgangspunkt und zentraler Mechanismus, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen, ist eine Einzelfallbewertung oder Neudeutsch ein „Transfer Impact Assessment“ (kurz TIA). Was steckt genau hinter diesem Prozess?
Angesichts der wachsenden Bedrohung müssen Unternehmen nachhaltige Cyber-Resilienz, also Widerstandsfähigkeit, anstreben, um Angriffe zu verhindern und bei Sicherheitsvorfällen schnell zu reagieren. Dazu eignen sich Sicherheitsaudits, sogenannte Penetrationstests, besonders gut.
Die Spam-Filterung erfolgt teils lokal auf den Endgeräten. In Zeiten von Remote Work und Home-Office sind dann oftmals die Nutzer gefragt, wenn es um das Training der Spam-Filter geht. Erklären Sie deshalb in einer Unterweisung, wie man die unerwünschten E-Mails am besten behandelt. Zeigen Sie dabei beispielhaft die Einstellungen in einem E-Mail-Client.
Die Datenschutz-Grundverordnung (DSGVO) verlangt eine faire und transparente Verarbeitung von personenbezogenen Daten. Welche Pflichten kommen damit auf mein Unternehmen als verantwortlichen Verarbeiter zu?
Unter Outsourcing versteht man die Nutzung von Ressourcen anderer Anbieter. Verbreitet ist vor allem das Outsourcing von IT-Dienstleistungen oder von Teilen der IT.
Verantwortliche müssen Datenpannen nicht nur erkennen und ggf. rechtzeitig melden. Sie sind auch angehalten, Fehler zu analysieren, die überhaupt erst zu dem Vorfall führen konnten. Ziel ist es, zukünftig Datenpannen zu vermeiden. Unterstützung bieten auch hier die Leitlinien des EDSA.
Will ein Unternehmen personenbezogene Daten erheben, erhält es oft Informationen, die über die abgefragten Daten hinausgehen. Denkbar ist auch, dass Kunden oder Mitarbeiter ungefragt personenbezogene Daten übermitteln. Was tun mit solchen Daten?
Jeden Monat gibt es derzeit neue Urteile deutscher Gerichte zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus. Wie verteidigen sich Verantwortliche gegen Schadenersatzansprüche, welche Fallstricke gilt es zu vermeiden?
Niemand kann sich zig Passwörter merken. Daher ist es sinnvoll, Passwörter in einem Passwort-Manager oder -Safe zu speichern. Doch wie lernen die Nutzerinnen und Nutzer, damit richtig umzugehen?
Um die Datenschutz-Grundverordnung (DSGVO/GDPR) umzusetzen, gilt es, die IT-Sicherheitsmaßnahmen und die Organisation der Sicherheit zu dokumentieren. Unternehmen sollten deshalb ihre IT-Sicherheits-Rahmenrichtlinie sowie das IT-Sicherheitskonzept auf die DSGVO anpassen. Das verankert den Datenschutz in der IT-Sicherheit.
Sie begegnen einem immer öfter beim Surfen auf Webseiten oder bei Bestellvorgängen im E-Commerce: sogenannte Chatbots. Was müssen Verantwortliche datenschutzrechtlich beachten, wenn sie solche
Dialogsysteme mit „sprachlichen Fähigkeiten“ einsetzen?
Das einfache Cookie-Management im Webbrowser reicht nicht, um raffinierte Verfahren zu unterbinden, die Nutzer-Aktivitäten nachverfolgen. Doch Webbrowser haben Funktionen, um auch moderne Tracking-Verfahren zu erkennen und zu blockieren. Selbst die sogenannten Super-Cookies lassen sich damit besser abwehren.
Wie überwacht der DSB den Datenschutz im Homeoffice? Denn grundsätzlich ist ja bei einer Begehung z.B. das Grundrecht der Unverletzlichkeit der Wohnung zu beachten oder Hygienevorschriften. Wie so oft derzeit gilt auch hier: besser virtuell als gar nicht.
Das Berechtigungskonzept muss abbilden, welche Zugriffe im Datenschutz jeweils erlaubt sind und welche nicht. Ist das Berechtigungskonzept zu strikt, hemmt es die Produktivität. Ist es zu lasch, sind die Daten in Gefahr. Trends wie Cloud, Mobility, Big Data und IoT machen es nicht leichter, ein solches Konzept auf die Beine zu stellen. Wir zeigen, worauf es ankommt.
Rein rechtlich gesehen fiel das Datengeheimnis mit Anwendbarkeit der DSGVO weg. Doch ist es sinnvoll, die Verpflichtung auf das Datengeheimnis aufgrund der Rechenschaftspflicht in angepasster Form beizubehalten. Wir schlagen ein Muster vor.
Brauchen kleine Einheiten mit weniger als 250 Beschäftigten keine Verarbeitungsübersicht? Was ist eigentlich ein Verfahren bzw. eine Verarbeitungstätigkeit? Was sind typische Verarbeitungstätigkeiten?
In den letzten Monaten warnten Sicherheitsbehörden vor Phishing-Wellen im Zusammenhang mit der Covid-19-Pandemie. Schon zuvor war Phishing eine ernstzunehmende Gefahr für den Schutz personenbezogener Daten. Grund genug, eine spezielle Schulung anzubieten. Wer dabei Phishing-Simulationen nutzt, sollte das genau vorbereiten.
Ausfall- und Fehlzeiten von Beschäftigten zu erfassen und zu analysieren, ist ein komplexer Vorgang. Wie lässt sich das am besten im Verzeichnis von Verarbeitungstätigkeiten abbilden?
DSB unterrichten, beraten, prüfen, überwachen und kontrollieren. Daneben sind sie Anlaufstelle für die Aufsichtsbehörden. Sinnvoll ist es, all diese Tätigkeiten zu dokumentieren – auch aus Haftungsgründen. Fraglich ist, wie umfangreich diese Dokumentation sein muss.
Im Datenschutzalltag taucht im Zusammenhang mit Unternehmensnetzwerken häufig der Begriff „VPN“ auf. Was ist das eigentlich genau? Und worauf müssen Verantwortliche achten?
Verschlüsselung gilt als wichtiges Mittel im Kampf gegen Hacker und Datenspione. Der Beitrag stellt die beiden Methoden Transport- und Inhaltsverschlüsselung gegenüber und gibt Ihnen Überlegungen zu einer risikobasierten Auswahl an die Hand.
Ehemalige Beschäftigte können gewollt oder ungewollt zu einem großen Datenrisiko werden. Nur ein durchdachtes Verfahren für Kolleginnen und Kollegen, die aus dem Unternehmen ausscheiden, kann hier gegensteuern. Prüfen Sie deshalb diese Verarbeitungstätigkeit Ihres Unternehmens oder Ihrer Behörde.
Die DSGVO regelt die Pflichten, die mit Anfragen der Aufsichtsbehörden verbunden sind, an verschiedenen Stellen. Und die Grundverordnung hat sie stark unterschiedlich ausgestaltet. Als DSB müssen Sie die Regelungen und ihre Inhalte kennen, um Stolperfallen zu vermeiden.
Das BSI hat seine Empfehlung, Passwörter regelmäßig zu wechseln, geändert. Ein Wechsel ist jetzt nur noch in Ausnahmefällen nötig. Welche Fälle sind das? Und was ist überhaupt ein sicheres Passwort?
Personenbezogene Daten müssen nach der Datenschutz-Grundverordnung (DSGVO) gegen Zerstörung und Verlust geschützt sein, Stichwort: Verfügbarkeit. Doch wie erkennen Sie, ob das gewährleistet ist? Monitoring-Tools helfen zum Beispiel dabei, die Backups zu überwachen.
Der Trend hin zu Cloud Computing darf nicht darüber hinwegtäuschen, dass es weiterhin Serverräume gibt, die eine umfassende Zutrittskontrolle benötigen. Aber mit Brandmeldeanlage, USV und Klimatisierung ist es nicht getan. In manchen Unternehmen befinden sich die Maßnahmen zur Kontrolle der Zutritte leider noch auf dem Stand einer besseren Bürotür.
Dynamische IP-Adressen sind personenbezogene Daten. Für Unternehmen und öffentliche Stellen wie Behörden heißt das, zu überprüfen, wie sie diese IP-Adressen verarbeiten, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?
Die Corona-Krise hat dafür gesorgt, dass mehr Beschäftigte im Homeoffice arbeiten als jemals zuvor. In der ersten Not war der Datenschutz oft kein Thema. Das sollte sich nun ändern.
Die Datenschutz-Grundverordnung (DSGVO) kennt das Recht auf Vergessenwerden. Das macht leider weder den Selbstdatenschutz noch die Datenlöschung überflüssig. Was können Sie tun, um unerwünschte persönliche Daten im Internet zu löschen – oder besser: um solche Informationen gar nicht erst entstehen zu lassen?
Wer Meetings zu organisieren hat, geht mit personenbezogenen Daten um. Der Beitrag greift die wichtigsten Punkte auf. Dabei behandelt er klassische Besprechungen, aber auch Telefon- und Videokonferenzen.
Ein DSB sieht sich mit schweren Datenschutzverstößen konfrontiert. Er legt sie der Unternehmensleitung mehrfach dar. Doch es geschieht: nichts. Darf er sich an die Aufsichtsbehörde wenden? Oder muss er es sogar? Die Frage ist strittig. Der Beitrag bezieht klar Position.
Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden, statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.
Software-Lösungen allein können die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht sicherstellen. Aber Tools können zumindest dabei helfen. In unserer Serie stellen wir verschiedene Werkzeuge vor. Den Anfang machen Tools und Verfahren, die helfen, ein Risiko zu bewerten.
Sind erneut Mail-Adressen und Passwörter in unbefugte Hände geraten und im Internet veröffentlicht worden, ist die Sorge nicht nur in Unternehmen und Behörden groß, selbst betroffen zu sein. Doch wie stellen Sie fest, ob Sie zu den Opfern zählen?
Das Auskunftsrecht hatte zu einem großen Aufschrei geführt: Wie soll eine öffentliche Stelle – insbesondere eine Kommunalverwaltung – dem nachkommen, ohne sich bei der Recherche nach diesen Daten komplett zu verzetteln? Ein Muster auf Basis des VVT schafft Abhilfe.
Smartphones sind mittlerweile tägliche Begleiter. Deshalb sind Spionage-Tools auf mobilen Geräten besonders gefährlich. Das ist allerdings noch nicht jedem Nutzer bewusst. Sorgen Sie als Datenschutzbeauftragte(r) für Aufklärung und geben Sie Tipps.
Die halbjährliche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) verabschiedete Anfang November 2019 eine neue Version des Standard-Datenschutzmodells (SDM-V2). Damit ist die knapp dreijährige Auswertungsphase des Modells beendet. Wir stellen das Ergebnis vor.
Ohne die Zusammenarbeit mit der IT-Administration wird kaum ein Datenschutzbeauftragter (DSB) auskommen. Doch die Kooperation darf nicht zu eng werden. Vor allem darf es nicht zu einer Doppelfunktion DSB und Administrator kommen, um der Datenschutzkontrolle gerecht zu werden.
Spätestens seit dem Urteil des EuGH vom Mai 2019 ist die Zeiterfassung in den Betrieben ein aktuelles Thema. Doch wie lässt sie sich datenschutzkonform gestalten? Denn es geht um personenbezogene Daten.
Kein Server, keine Workstation, kein Smartphone ist denkbar ohne Datenträger. Und die Speicherkapazitäten werden immer größer. Damit steigt das Risiko, dass über gelöschte, aber wiederhergestellte Datenträger sensible Informationen in fremde Hände fallen. Eine sichere Entsorgung ist daher unverzichtbar.
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, ist ein Datenschutz-Management nötig. Wie bauen Verantwortliche ein solches Management auf? Was können Datenschutzbeauftragte (DSB) raten?
Um kontrollieren zu können, ob eine Verarbeitungstätigkeit die datenschutzrechtlichen Anforderungen erfüllt, reicht meist der eher kurze Überblick im Verzeichnis der Verarbeitungstätigkeiten nicht aus. Daher heißt es, die Prozesse einer näheren Beschreibung zu unterziehen und sie detaillierter zu prüfen.
Archivlösungen unterstützen Unternehmen dabei, die relevanten Dokumente automatisch abzulegen. Doch wie stellen Sie sicher, dass sie auch fristgerecht gelöscht werden?
Datenschutz ist nur sinnvoll, wenn Betroffene das Recht haben, ihre Ansprüche durchzusetzen. Die Datenschutz-Grundverordnung (DSGVO) greift die schon früher unter dem altem Bundesdatenschutzgesetz geltenden Rechte auf und entwickelt sie weiter. Die interne Datenschutzorganisation muss diese Betroffenenrechte umsetzen können.
Wenn es darum geht, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen und der Aufsicht zu melden, ist mitnichten alles klar. Wir beantworten einige offene Fragen.
Der Widerruf einer Einwilligung löst Pflichten für den Werbeversender aus. Allerdings zeigt die Praxis, dass die betroffenen Personen manchmal die Umsetzung dieser Pflichten erschweren oder gar vereiteln. Mit dieser Spannungslage muss der Verantwortliche umgehen (können).
Zum Auskunftsrecht nach DSGVO gibt es bereits drei interessante Entscheidungen. Was können Sie Ihren Kolleginnen und Kollegen in Ihrer Datenschutzunterweisung derzeit zu diesem Thema mitgeben?
Die DSGVO hat für viel Verunsicherung gerade bei Fotos gesorgt. Dieser Beitrag gibt daher den Mitarbeitern Anhaltspunkte an die Hand, die ihnen helfen, selbst die Zulässigkeit von Fotoaufnahmen zu bewerten.
Kontrollieren Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter vor Ort die Arbeitsplätze, gilt es, eine Menge Details unter die Lupe zu nehmen. Darunter findet sich Vieles, an das Sie vielleicht nicht auf den ersten Blick denken.
Die deutschen Datenschutzbehörden haben mittlerweile erste Geldbußen verhängt. Für viele Unternehmen stellt sich nun die Frage unmittelbar, ob auch die Mitarbeiter für Datenschutzverstöße haften.
Allein durch Folienpräsentationen lassen sich Mitarbeiter kaum mehr für den Datenschutz sensibilisieren. Hier sind zusätzlich aktive Schulungsmaßnahmen gefragt. Eine gute Methode sind Selbst-Checks. Denn sie helfen bei der Selbsterkenntnis.
Zur Sicherheit der Verarbeitung personenbezogener Daten nach DSGVO gehört die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das erfordert mehr als regelmäßige Backups.
Der Auftakt hat geklappt. Das Kick-off-Meeting ist erfolgreich über die Bühne gegangen. Als DSB benötigen Sie jetzt umfangreiche Informationen: Kennen müssen Sie v.a. die Prozessabläufe und welche personenbezogenen Daten dabei für welche Zwecke auf welcher Rechtsgrundlage verarbeitet werden.
Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).
Der Jahresbericht ist ein gutes Instrument, um eine regelmäßige Bestandsaufnahme zu machen. Was ist gut gelaufen, was nicht? Wo besteht Handlungsbedarf? Ein absolutes Muss ist ein solcher Bericht jedoch nicht für den Datenschutzbeauftragten.
Um seinen Löschpflichten nachkommen zu können, ist es notwendig, dass der Verantwortliche ein Löschkonzept erstellt, dokumentiert und umsetzt. Dieser Artikel gibt Tipps zum Aufbau eines solchen Konzepts.
„Herzlichen Glückwunsch! Sie sind der/die neue Datenschutzbeauftragte der abc-GmbH! Wann können Sie loslegen, und womit beginnen wir?“ Hören Sie das, haben Sie den interessantesten Job der Welt angetreten ...
Unternehmen haben ihre Verarbeitungen personenbezogener Daten daraufhin zu prüfen, ob eine Datenschutz-Folgenabschätzung nötig ist. Wie lässt sich diese Prüfung durchführen und dokumentieren?
Eine neue Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.
Verantwortliche müssen ein systematisches Vorgehen und ein umfassendes Konzept entwickeln, um ihre Verarbeitungstätigkeiten datenschutzkonform zu gestalten. Hierbei unterstützt sie der neue Prozess zur Auswahl angemessener Sicherungsmaßnahmen, abgekürzt ZAWAS.
Nicht nur Brandmelder können einen Fehlalarm auslösen. Auch die IT-Sicherheit macht Fehler. Reagieren die Mitarbeiter darauf falsch, ist der Datenschutz in Gefahr. Machen Sie False Positives, also falsche Alarme, deshalb zum Thema in Ihrer Datenschutz-Unterweisung.
Viele Datenpannen, die Verantwortliche derzeit an die Aufsichtsbehörden melden, sind Fehlversendungen von Unterlagen mit personenbezogenen Daten. Besonders fehleranfällig sind dabei E-Mails.
Wer wünscht sich nicht mehr Sicherheit und Komfort? Immer neue technische Lösungen eröffnen uns hierbei Möglichkeiten, die vor wenigen Jahren undenkbar waren. Doch das Plus an Bequemlichkeit hat meist einen Haken: Der Datenschutz bleibt angesichts der vielfältigen (technischen) Möglichkeiten schnell auf der Strecke – so etwa auf dem Firmenparkplatz. Was können Sie dagegen tun?
Die Ortung von Handys bzw. Smartphones kann Unfallopfern das Leben retten, sie erleichtert die Disposition im Außendienst und spürt verlorene Geräte auf. Doch ein Ortungsdienst kann den Datenschutz gefährden, erfolgt die Ortung heimlich und zu unerlaubten Zwecken. Prüfen Sie deshalb die Verwendung solcher Dienste im Unternehmen.
Direktwerbung dient nicht nur dazu, Bestandskunden zu bewerben, sondern sie will auch Neukunden gewinnen. Dafür sind oft Fremdadressen nötig. Was ist hierbei zulässig, was nicht?
Um die Datenschutz-Grundverordnung (DSGVO) umzusetzen, führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Lesen Sie, worauf Sie dabei achten sollten.
Die Informationspflichten bringen viele Verantwortliche, gleich ob öffentlich oder nicht, „aus dem Tritt“. Die Frage ist meist: Wie lässt sich das bloß in der Praxis umsetzen? Wir stellen ein konkretes Beispiel vor.
Das Institut der Wirtschaftsprüfer (IDW) hat ein Dokument vorgelegt, das Vorgaben für die Datenschutz-Kontrolle durch Wirtschaftsprüfer macht. Worum geht es genau, und wie ist dieser Hinweis einzuordnen?
Die meisten Datenpannen, die Verantwortliche derzeit an die Aufsichtsbehörden melden, sind Fehlversendungen von Unterlagen mit personenbezogenen Daten. Zweifellos also ein wichtiges Thema für Schulungen, aber auch für die Geschäftsprozesse, die dahinterstecken.
Sind Monitore für Unbefugte einsehbar, müssen Beschäftigte sie vor unliebsamen Blicken schützen. Bildschirmsperren und Blickschutzfolien sind dabei immer noch die wichtigsten Helfer.
Derzeit stehen AV-Verträge hoch im Kurs. Es lohnt jedoch ein Check, ob es sich tatsächlich um Auftragsverarbeitung handelt. In vielen Fällen kommt man nämlich auch mit geringerem Aufwand zu einem sauberen Ergebnis.
Nun läuft der Echtbetrieb, die Mitarbeiter müssen in der täglichen Arbeit die DSGVO anwenden. Dieser Artikel leistet Hilfestellung, um lebbare, praxisnahe Prozesse zu entwickeln und umzusetzen.
Setzen Verantwortliche Public-Cloud-Dienste ein oder nutzen sie Cloud-Services Dritter mit, müssen sie ihre Daten besonders schützen. Ein wichtiger Baustein von mehreren ist dabei die Datenisolierung.
Ohne IT-Unterstützung geht heute nichts mehr. Sobald personenbezogene Daten ins Spiel kommen, greift die DSGVO – und zwar sowohl für neue als auch für bestehende Software-Lösungen. Was müssen Sie sich anschauen, um zu beurteilen, ob eine Software DSGVO-konform ist?
Die DSGVO hat die DSFA eingeführt, um bei Hochrisikoverarbeitungen die Grundrechte der Bürger besser zu schützen. Während die Listen von Verarbeitungen, die eine Folgenabschätzung nötig machen, zunehmend vorhanden sind, fragt sich weiterhin, wie sich eine DSFA konkret durchführen lässt.
Die „enormen Geldbußen“ der DSGVO sind überall ein Thema. Echte Fakten, Halbwahrheiten und unsinnige Gerüchte mischen sich auf kaum zu entwirrende Weise. Hier finden Sie daher Antworten auf häufige Fragen.
Sie suchen ein Werkzeug, mit dem Sie eine Datenschutz-Folgen- bzw. Risikoabschätzung als Dokument erstellen und in ein Datenschutz-Management-System einbinden können? Dann sehen Sie sich das im Folgenden vorgestellte Tool einmal näher an.
Mit der DSGVO müssen mehr Unternehmen einen DSB benennen, der u.a. die Datenverarbeitungsprozesse überwacht. Doch mit der bloßen Benennung im „Verborgenen“ ist es nicht ganz getan.
Die Datenlöschung ist ein wesentlicher Bestandteil der Betroffenenrechte, die die DSGVO zukünftig noch stärker betont. Ein durchdachtes Löschkonzept ist also wichtiger denn je. Was gehört alles dazu?
Die Verbesserung des Datenschutzes in einem Unternehmen erfordert vielfältige Regelungen und Umsetzungsmaßnahmen. Doch Sie wissen, „Papier ist geduldig“ – und wie wollen Sie kontrollieren, ob die angestrebten Schutzmaßnahmen bei den Mitarbeitern auch angekommen sind? Prüfen Sie doch einmal, inwiefern der Datenschutzgedanke präsent ist!
Sind die Hardware-Komponenten und alle Software-Systeme inventarisiert, beginnt für Datenschutzbeauftragte erst die eigentliche Arbeit: Es gilt, alle datenschutzrechtlichen Fragen zu klären, die im Zusammenhang mit Software oder Hardware entstehen, etwa bei der Wartung.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert Verfahren, die die Sicherheits-Maßnahmen im Unternehmen regelmäßig auf ihre Wirksamkeit überprüfen, bewerten und evaluieren. Dabei helfen verschiedene Security-Werkzeuge.
Provokante Frage für Datenschutzbeauftragte: Glauben Sie, dass Sie eine realistische Chance haben, jemals einen vollständigen Überblick über alle im Unternehmen vorhandenen und zum Einsatz kommenden Programme zu haben?
Kaum ein Unternehmen verfügt über eine aktuelle und v.a. vollständige Liste der gesamten Hardware. Zu oft können DSBs so ihren Prüfungspflichten – gleich ob nach BDSG oder DSGVO – nur schwer nachkommen. Ändern Sie diesen Zustand.
Welche Regeln gelten für Ausweiskopien? Wer darf eine Ausweiskopie anfertigen und was gilt für die Verarbeitung von personenbezogenen Daten einer Kopie des Personalausweises oder Reisepasses? Seit dem 15. Juli 2017 gelten die unten aufgeführten Regelungen.
Werbliche Ansprache von potenziellen Kunden, Adressgenerierung, Potenzialanalysen oder cloudbasierte CRM-Systeme, in denen weltweit Kundendaten abrufbar sind – was lässt die DSGVO alles zu?
Viele Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind für Verantwortliche noch recht nebulös. Schauen wir uns daher einmal die andere Seite an: Was sollten Sie ganz klar NICHT tun?
Eine der großen Herausforderungen der Datenschutz-Grundverordnung (DSGVO) ist die Datenschutz-Folgenabschätzung (DSFA). Wir stellen eine Lösung vor, die den rechtlichen Regelungen, aber auch den praktischen Anforderungen der Unternehmen gerecht wird.
Wie hat zukünftig nach DSGVO eine Benennung zum DSB formal korrekt abzulaufen, und was ist inhaltlich zu beachten? Der Beitrag zeigt dies am Beispiel eines DSB, der als Arbeitnehmer beschäftigt ist und neben der Tätigkeit als DSB andere Arbeiten zu verrichten hat.
Monitoring im Netzwerk und auf Endgeräten gehört zu den zentralen IT-Sicherheits-Maßnahmen. Unternehmen dürfen es aber nicht übertreiben: Der Datenschutz verlangt eine klare Beschränkung und eine Information der Betroffenen, damit das Monitoring nicht zur Spionage wird.
Die Datenschutz-Grundverordnung (DSGVO) stärkt den technischen Datenschutz. Sie bleibt aber vage, was konkrete Maßnahmen angeht. Wir stellen Möglichkeiten vor, diese Lücke zu füllen.
Ein Datenschutzbeauftragter steht immer wieder vor der Aufgabe, ein Rechenzentrum zu prüfen. Sehr häufig geht es um eine Kontrolle bei einem externen Auftragsverarbeiter. Wie gehen Sie die Prüfung am besten an?
Der Begriff des Risikos ist ein zentraler Baustein in der Datenschutz-Grundverordnung (DSGVO). Doch wie lässt sich eigentlich das Risiko konkret bestimmen? Eine Möglichkeit: Nutzen Sie eine Risikomatrix.
Die Datenschutz-Grundverordnung (DSGVO), die ab 25. Mai 2018 gilt, ist derzeit heiß diskutiert, nicht nur bei großen Unternehmen. Auch für junge Unternehmen wie Start-ups stellt sich die Frage, wie sie mit der Verordnung umgehen. Der Beitrag zeigt, wie sich speziell kleine Unternehmen auf die DSGVO vorbereiten sollten.
Das Standard-Datenschutzmodell soll zum einen die Prüfungen der Aufsichtsbehörden vereinheitlichen. Zum anderen möchte es Unternehmen und anderen Organisationen helfen, eine lückenlose Nachweisbarkeit – zukünftig zentral im Zusammenhang mit der DSGVO – herzustellen. Lesen Sie, wie das Modell arbeitet. Das SDM macht dabei eigentlich nichts Neues, sondern bietet eine Systematisierung mit 7 Schutzzielen, 3 Schutzbedarfsabstufungen und 3 Verfahrenskomponenten.
Der Volksmund sagt: „Die Schuster tragen die schlechtesten Schuhe.“ Auch wenn wir als Datenschutzbeauftragte das nicht gern hören: Manchmal machen selbst Datenschutzbeauftragte schnell Daten zugänglich, die verborgen bleiben sollten. Denken Sie beispielsweise an Teilnehmerlisten und Urkunden bei Schulungen. Wie gehen Sie in der Praxis damit um?
Um die Anforderungen aus der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, muss der Verantwortliche im Unternehmen einen bunten Blumenstrauß an Maßnahmen (risikobasiert) definieren, umsetzen, dokumentieren und kontrollieren – um dann festzustellen, dass die eigentliche Arbeit jetzt erst anfängt. Denn die DSGVO baut im Ergebnis auf einem kontinuierlichen Verbesserungsprozess auf. Um dem gerecht zu werden, zeigen wir Ihnen, wie sich die Aufgaben in einem P(lan)-D(o)-C(heck)-A(ct)-Zyklus organisieren lassen.
Wo gehobelt wird, da fallen Späne – und wo ein Büro ist, da fallen Daten an. Bei der täglichen Arbeit im Büro gibt es viele kleine und große Datenschutzfallen. Das Gemeine dabei ist, dass sie den dort tagtäglich Arbeitenden kaum auffallen. Besuchern dagegen schon. Beschäftigen Sie sich als Datenschutzbeauftragter also auch mit den kleinen Datenschutzfallen im Büro.
1 von 0
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.
