DS-GVO: "Böse Überraschungen"

Eine weitere Mahnung vom Heise Verlag an deutsche Firmen. Die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) müssen zwingend bis zum 25. Mai umgesetzt werden.

Dabei ist problematisch, dass viele Stellen davon ausgehen, von der Verordnung gar nicht betroffen zu sein. Die DSGVO gilt aber für alle Unternehmen, Vereine, Behörden, Kirchen und Institutionen, die Daten verarbeiten – zum Beispiel E-Mail Versand mit angebundenem Adressbuch. Es wird also kaum jemand geben, der hier nicht Handeln muss. Je nach Unternehmensgröße ist das mit einem unterschiedlichen Aufwand verbunden.

Da ab Mai 2018 hohe Bussgelder bei Verstössen fällig werden, sollten Unternehmer diesen Warnruf ernst nehmen und die Vorgaben genau auf die bestehenden Prozesse hin überprüfen.

Kommentar: Die Uhr tickt. Wer personenbezogene Daten verarbeitet und die europäische Datenschutzgrundverordnung ignoriert, kann böse überrascht werden…. Weiter…

DSGVO: Mitteilungspflichten über den Datenschutzbeauftragten

Die EU-Datenschutz-Grundverordnung verlangt in Artikel 37, Abs. 7, dass Verantwortliche die zuständige Aufsichtsbehörde über ihren Datenschutzbeauftragten informieren.

Laut der Landesbeauftragten für Datenschutz in NRW arbeiten die deutschen Behörden daran, die tatsächlich zu meldenden Daten zu konkretisieren und Übermittlungswege bereit zu stellen. 

Kommentar: Die Aufsichtsbehörden sind also quasi in Ihrem Prozess, die DSGVO umzusetzen, auch noch nicht fertig. Interessant ist die These, ob Unternehmen, die ihrer Mitteilungspflicht nicht nachkommen, schneller in den Fokus der Aufsichtsbehörden kommen werden.

Sie möchten Unterstützung zu diesem oder ähnlichen Themen?
Das Büro für Datenschutz und Projektmanagement ist unter 0521-4469606-0 oder unter info@bfd.pm erreichbar.

Link: Weiter…

Microsoft SharePoint/Office 365 und DSGVO

Auf den Seiten von sharepoint360 kann man sich nach einer kurzen Registrierung eine Übersicht herunterladen, die zunächst erklärt, was die DSGVO im Kern bedeutet und was hierzu beim Einsatz von SharePoint/Office 365 zu beachten ist.

Kommentar: Microsoft Produkte stehen nicht gerade in Verdacht, Privacy By Design/Default nativ zu unterstützen. Hier ist also jede Hilfe willkommen, die Datenhoheit im Sinne der Betroffenen umzusetzen.

Sie möchten Unterstützung zu diesem oder ähnlichen Themen?
Das Büro für Datenschutz und Projektmanagement ist unter 0521-4469606-0 oder unter info@bfd.pm erreichbar.

Link: https://sharepoint360.de/neues-whitepaper-zur-dsgvo-deadline-sicher-mit-sharepoint-und-office-365-beim-neuen-eu-da … Weiter…

Prüfung von Windows 10 im Unternehmensumfeld

Zitat aus der Presseerklärung:

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat dieses Jahr das Betriebssystem Windows 10 Enterprise etwas näher unter die Lupe genommen. Ergebnis der Untersuchung ist, dass ein datenschutzkonformer Einsatz von Windows 10 in der geprüften Version bei bayerischen Unternehmen möglich ist.

Kommentar: Der Bericht ist nicht in allen Belangen überzeugend:
„Ergebnis dieser Prüfung des BayLDA ist, dass es mit wenigen Einstellungen in den Gruppenrichtlinien von 
Windows 10 Enterprise gelungen ist, die meisten vom Betriebssystem aus initiierten Datenübertragungen zu unterbinden.“
Man muss also Hand anlegen. 
Privacy By Design/Default meint sicher etwas anderes…
Weiter: 
„Obwohl das BayLDA im Rahmen seiner Prüfung nicht alle Windows Gruppenrichtlinien näher untersuchen konnte [ … Weiter…

Unternehmen sollen Maßnahmen ergreifen, um Identitätsdiebstähle zu verhindern.

Achtung: IdentitätsdiebstahlDie Berliner Beauftragte für Datenschutz warnt davor, dass allein mit fremden Vornamen, Namen und Geburtsdatum Betrüger bei vielen Anbietern die Lieferung von Waren an eine beliebige Anschrift auslösen können. Die Opfer des Identitätsdiebstahls können sich nur mühsam wehren und haben dadurch Ärger mit dem Händler und gegebenenfalls auch noch mit Inkassounternehmen sowie SCHUFA & Co.

Grundforderung ist, dass Unternehmen geeignete Methoden zur Identifizierung ihrer Kunden einsetzen müssen und mit ein paar weiteren Vorkehrungen die Betrüger außen vor zu halten – Identitätsdiebstahl soll nicht als allgemeines Geschäftsrisiko hingenommen werden.

Kommentar: Im Jahr 2015 ist ein Schaden von 4,6 Millionen Euro durch Online Betrug entstanden(1). Betrüger … Weiter…

Hamburg G20: Schwarze Liste des BKA

Geht gar nicht...Die Vorgänge rund um den G20 Gipfel 2017 beherrschten lange Tage die Schlagzeilen. Nun kommt im Nachgang erneut das Thema Datenschutz hoch – hier aber im Kontext ungenügender Löschpraxen von Behörden. Konkret geht es um Journalisten, denen die Akkreditierung für den G-20 Gipfel verwehrt wurde.

Erste eingeforderte Auskünfte zeigen eklatante Schwächen in der Datenhaltung staatlicher Stellen.

Kommentar: Die neue Datenschutz-Grundverordnung (DSGVO) bringt auch erweiterte Rechte für Betroffene. Unternehmen, aber eben auch Behörden, müssen konkrete Auskünfte über vorgehaltene und verarbeitete Daten auf Verlangen herausgeben. Es ist nicht nur eine Frage des Respekts, mit den erhobenen Daten verantwortungsvoll umzugehen. In diesem Beispiel wurden durch fehlerhafte Einträge Journalisten daran gehindert, ihrem Beruf nachzugehen. 

Weiter…

Peter Tauber: Mit schlechtem Beispiel voran

Geht gar nicht...Peter Tauber (CDU) ist eine zentrale Figur im Bundestagswahlkampf 2017 für die Union.
Nun präsentiert er den Homescreen seines Smartphones, wo man einen fahrlässigen Mix aus privaten und dienstlichen Apps (und damit Daten) sehen kann.

In dieser Position und Verantwortung ist eine strikte Trennung von Beruf und Privat Grundvoraussetzung für Vertrauen.

Kommentar: Nicht besonders vorbildlich. War aber auch leider nicht unbedingt zu erwarten…
Ein Grund, warum ein allgemeiner Tenor nach dem Motto „macht doch eh jeder“ herrscht.

Sie möchten Unterstützung zu diesem oder ähnlichen Themen?
Das Büro für Datenschutz und Projektmanagement ist unter&nb … Weiter…

Frankreich: Vorgeschmack auf Bußgeldzahlungen?

GeldstrafeIn der Vergangenheit wurden Verstöße gegen den Datenschutz europaweit eher gering bestraft.

In Frankreich wurde dem Autoverleiher Hertz nun durch die Datenschutzbehörde eine Geldbuße von 40.000,00 Euro auferlegt. Das Vergehen war vergleichsweise gering (Daten wurden wohl nicht abgegriffen) und das Problem bestand auch nur kurze Zeit – sonst wäre der Betrag offensichtlich weitaus höher ausgefallen.

Kommentar: Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung im Mai 2018 sollen Strafen bei Verstößen empfindlich sein. Das Beispiel hier kann schnell Schule machen. 

Sie möchten Unterstützung zu diesem oder ähnlichen Themen?
Das Büro für Datenschutz und Projektmanagement ist … Weiter…

Urteil: Bundesarbeitsgericht zu Spyware am Arbeitsplatz

keylogger - Tastatureingaben mitschneiden, Bild: Axel VeilDas Bundesarbeitsgericht befindet einen pauschalen Einsatz einer Keylogger-Software in Unternehmen als unverhältnismäßig.
Firmen dürfen also nicht anlasslos alle Aktivitäten eines Mitarbeiters an seinem PC-Arbeitsplatz aufzeichnen und z. B. nach privater Nutzung auswerten.

Weitere Klarstellung: Schweigen != Zustimmung
Im konkreten Fall hat die Firma die Mitarbeiter per E-Mail informiert, alle Aktivitäten am PC-Arbeitsplatz aufzuzeichnen. Da kein Widerspruch einging, ging das Unternehmen von einer allgemeinen Akzeptanz aus.
Das Gericht wertete, dass Schweigen keine Zustimmung sei.

Kommentar: Es wird oft zu sorglos in Unternehmen mit Kontrollmaßnahmen umgegangen. Das berechtigte Ziel, dass Arbeitnehmer das tun, wofür sie bezahlt werden, kann einfacher und datenschutzkonformer überprüft werden.

Weiter…