IT & Datenschutz

USE-Partner für den Datenschutz

Philipp Nägele, Geschäftsführer der DIP Datenschutz GmbH

08/2022: Der Spam-Filter – das unterschätzte Sicherheits-Feature

Den Spam-Filter kennt jeder, und die allermeisten schätzen ihn, weil er uns lästige Werbeangebote und unerwünschte Newsletter vom Leib hält.

Viel wichtiger ist jedoch, dass der Spam-Filter uns auch vor Phishing-Mails schützt. Beim Phishing werden gefälschte E-Mails von vermeintlich etablierten Anbietern geschickt. Über eine Verlinkung in diesen Mails werden wir auf eine gefälschte Webseite geleitet. Dort werden wir aufgefordert, unsere Zugangsdaten einzugeben, die dann schließlich von den Betrügern gestohlen werden.

Diese Bedrohung ist nicht zu unterschätzen. Waren Phishing-E-Mails früher meist noch recht dilettantisch gestaltet und leicht zu enttarnen, sind sie heute teilweise kaum noch von den „echten“ Mails zu unterscheiden.

Auch das Schadenpotenzial ist enorm – in bestimmten Konstellationen kann sogar die Zwei-Faktor-Authentifizierung überlistet und auf ein Bankkonto zugegriffen werden!

Beispiel:
Die Phishing-Mail fordert Sie auf, sich über den in der Mail enthaltenen Link bei Ihrem Bankkonto anzumelden, um z.B. Ihre Kontaktdaten bei der Bank zu bestätigen.
Über den Link werden Sie zu einer gefälschten Anmeldeseite geschickt, die der Anmeldemaske Ihrer Bank täuschend ähnlich sieht. Der Betrüger bekommt eine Meldung in dem Moment, in dem Sie die gefälschte Seite aufrufen und meldet sich parallel bei Ihrem echten Bankkonto an – mit den von Ihnen auf der falschen Seite eingegebenen Zugangsdaten.

Deshalb bekommen Sie z.B. eine SMS-TAN geschickt, um den Anmeldeversuch zu bestätigen. Diese geben Sie wiederum unwissentlich auf der gefälschten Seite ein, wodurch der Betrüger vollen Zugriff auf Ihr Bankkonto hat…

Dieses Szenario kann beliebig verändert bzw. erweitert werden.

Wir empfehlen Ihnen daher folgende Maßnahmen:

  • Achten Sie daher bei eingehenden E-Mails immer auf den tatsächlichen Absender. Prüfen Sie die Absende-E-Mail-Adresse und vertrauen Sie nicht auf den im E-Mail-Kopf enthaltenen Namen.
  • Prüfen Sie den in der E-Mail enthaltenen Link, ob er auch tatsächlich zu Ihrem Anbieter führt. Eben Sie diesen Link selbst manuell in der Browser-Zeile ein – manchmal führen Links nämlich zu einer ganz anderen Stelle als ihre Bezeichnung in der E-Mail vermuten lässt.
  • Kontaktieren Sie den „echten“ Anbieter, wenn Sie Zweifel an der Authentizität einer E-Mail haben.
  • Nutzen Sie die technischen Möglichkeiten, die eine professionell gemanagte Firewall bietet. Die Firewall vergleicht ein- und ausgehende Daten mit einem Verzeichnis bekannter krimineller E-Mail-Server und Webserver. Sie kann mit dieser Information einerseits bereits den Eingang von E-Mails unterbinden oder auch den Aufruf des betrügerischen Links verhindern.

Die Cyber-Risiken wachsen ständig weiter – mit der Beachtung der obenstehenden Verhaltensregeln und dem Einsatz einer geeigneten Firewall können Sie Ihr Risiko deutlich reduzieren.

12/2021: Telekommunikation-Telemedien-Datenschutz-Gesetz TTDSG

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wurde zum 1. Dezember 2021 eingeführt, um den Schutz der Privatsphäre zu regeln und zugleich der Umsetzung der ePrivacy-Richtlinie zu dienen.
Das Einwilligungsmanagement soll Nutzenden mehr Kontrolle darüber geben, welche personenbezogenen Daten erhoben werden bzw. wie der Zugriff auf die Informationen erfolgt.

Was bedeutet das für Sie?

  • Weiterhin muss ein Cookie-Banner vorgehalten werden, denn nur wenige Anwender nutzen bisher ein PIMS (Personal Information Management System) bzw. die lokale oder Online-Speicherung von eigenen personenbezogenen Daten.
  • Seitenbetreiber sind verpflichtet, die Einstellungen von PIMS zu berücksichtigen, d.h. beim Aufsetzen von Skripten und Cookies müssen die Einstellungen der Endbenutzer berücksichtigt werden (unterschiedliche PIMS machen ggf. den Einsatz eines systemseitigen "Managers" notwendig).
  • Es sollten nur Zugriffe/Cookies installiert werden, die auch unbedingt erforderlich sind, um unnötige Datenzugriffe zu vermeiden.

Unsere Empfehlung für Sie:

  • Sie als Betreiber der Webseite müssen weiterhin dafür sorgen, dass ohne explizite Zustimmung keine Daten im Browser der Besucher gesetzt werden.
  • Zustimmung bei Mehrzweckcookies ist erforderlich; achten Sie darauf, dass kein Abgleich mit anderen Verarbeitungen vorgenommen und die Gültigkeitsdauer begrenzt wird.

02/2021: Rechtslage rund um den Einsatz von Cookies bleibt weiterhin dynamisch

Das Bundeskabinett hat im Februar den Entwurf des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) verabschiedet. Die Umsetzung wird noch für die laufende Legislaturperiode erwartet.

In § 24 TTDSG findet sich eine Neuregelung zum Einsatz von Cookies und vergleichbaren Technologien. Gleichzeitig hat sich im Februar der Europäische Rat auf einen Entwurf für die ePrivacy-Verordnung geeinigt. Dadurch wird die Rechtsgrundlage für den Einsatz von Cookies vermutlich ab 2023 erneut verändert.

Das Beispiel zeigt: Die Anforderungen im Datenschutz bleiben hochdynamisch und anspruchsvoll – bleiben Sie am Ball!

01/2021: Verschärfte Homeoffice-Regeln in Folge der Corona-Pandemie

Warum ist das relevant?

  • Mitarbeiter, für die mobiles Arbeiten bislang nicht relevant war, haben nun möglicherweise einen rechtlichen Anspruch auf Homeoffice.
  • Wenn keine zwingenden betrieblichen Gründe dagegensprechen, müssen Arbeitgeber ihren Beschäftigten Homeoffice anbieten.
  • Als Arbeitgeber sind Sie auch bei Homeoffice-Aktivitäten weiterhin für den Datenschutz und die Sicherheit der verarbeiteten Daten verantwortlich.

Was bedeutet das für Sie?

  • Ohne besondere Vorkehrungen reichen die bestehende technische Infrastruktur und die bestehenden Mitarbeitervereinbarungen häufig nicht aus, um am mobilen Arbeitsplatz ein dem Büroarbeitsplatz gleichwertiges Sicherheitsniveau zu erreichen.
  • Um Risiken zu vermeiden, müssen Sie schnell und pragmatisch dafür sorgen, dass auch die Homeoffice-Arbeitsplätze über ein angemessenes Schutzniveau verfügen.

Unsere Empfehlung für Sie:

  • Stellen Sie sicher, dass auch die im Rahmen der Telearbeit verarbeiteten Daten mit geeigneten technischen Maßnahmen adäquat geschützt sind.
  • Machen Sie Vorgaben, welche Regeln am Heimarbeitsplatz einzuhalten sind.
  • Schließen Sie ggf. noch fehlende Vereinbarungen mit Ihren Mitarbeitern.

 

Die wichtigsten Datenschutz-Maßnahmen beim Homeoffice

Um Ihnen einen Überblick über die wichtigsten Maßnahmen zu geben, haben wir Ihnen ein Infoblatt mit den wichtigsten Informationen zusammengestellt:

11/2020: Ende der Privacy Shields. Was nun?

Der Europäische Gerichtshof hat mit einem vielbeachteten Urteil das Privacy Shield Abkommen für ungültig erklärt. Das Abkommen regelte, dass Unternehmen in den USA, die sich freiwillig dem Abkommen unterwarfen, datenschutzrechtlich privilegiert waren. Diese Unternehmen erfüllten besonders hohe Anforderungen an den Datenschutz und konnten daher Unternehmen mit Sitz im Geltungsbereich der DSGVO gleichgestellt werden. In der Folge waren Datenübermittlungen an diese Unternehmen zulässig. Den datenschutzrechtlichen Ansprüchen der DSGVO steht jedoch das amerikanische Recht entgegen, insbesondere der „Patriot Act“. Die Bestimmungen des Patriot-Act erlauben US-Behörden ohne richterliche Anordnung den Zugriff auf die Server von US-Unternehmen. Damit besteht kein mit der DSGVO vergleichbarer Schutz für personenbezogene Daten.

Hand aufs Herz: Komplett ohne Datentransfer in die USA kommt derzeit kaum ein marktführendes System aus, selbst wenn Sie keine Cloud-Lösung nutzen. So übermittelt beispielsweise Microsoft beim Systemstart Lizenzdaten an einen Server in den USA, wo die Gültigkeit der Lizenz überprüft wird. Solche und ähnliche Konstellationen werden sich bis auf weiteres nicht verhindern lassen. Und eine vollständige Abschaltung aller IT-Systeme ist auch nicht praktikabel.

Dies wissen auch die Datenschutz-Aufsichtsbehörden, zwischen denen sich eine rege Diskussion in Folge des Urteils entwickelt hat. Es kristallisiert sich heraus, dass eine gezielte risikoorientierte Nutzung der betroffenen Systeme wohl eher akzeptiert wird. Eine undifferenzierte Weiternutzung der Systeme soll eher mit Bußgeldern belegt werden. Die Unternehmen müssen also Transparenz über die von ihnen verarbeiteten Daten schaffen und in Abhängigkeit der Kritikalität der genutzten Daten geeignete Maßnahmen ergreifen.

Wir haben eine Methodik entwickelt, mit der wir gemeinsam mit Ihnen effektiv Transparenz schaffen und geeignete Systemeinstellungen vornehmen können. So vermeiden Sie unnötige Risiken ohne Ihre Geschäftsabläufe zu beeinträchtigen.

Sprechen Sie uns an!

DSGVO – ALLGEMEIN

Am 25. Mai 2018 war es so weit: für alle 28 EU-Mitgliedsstaaten trat die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie regelt die Verarbeitung personenbezogener Daten durch private Unternehmen sowie öffentliche Stellen.

Ziel ist, einerseits den Schutz von personenbezogenen Daten innerhalb der Europäischen Union sicherzustellen, andererseits den freien Datenverkehr innerhalb des europäischen Binnenmarktes zu gewährleisten.

Im Rahmen der DSGVO haben Privatpersonen zudem das Recht auf eine Auskunft, welche Daten Unternehmen von ihnen erhoben haben und was damit gemacht wird. Des Weiteren unterliegen Unternehmen dann der Kontrolle staatlicher Prüfinstanzen. Neben hohen Sicherheitsanforderungen bedarf es deshalb Transparenz bei den Datenverarbeitungsprozessen.

Die DSGVO gilt für jedes Unternehmen, deren Angebot sich an EU-Bürger wendet, ganz gleich, wo deren Firmensitz liegt.

Unternehmen, die die Regelungen der DSGVO nicht umsetzen, riskieren hohe Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes.

DSGVO – Umsetzung der Richtlinie (Inhouse Workshop)

Buchen Sie unseren ½-Tages-Workshop für Ihre Mitarbeiter bei Ihnen vor Ort.

Unser Referent ist gem. der DSGVO zertifiziert und vermittelt im Rahmen des Workshops das Grundwissen zur ordnungsgemäßen Umsetzung der DSGVO-Vorschriften.

Termin + Ort: Nach Absprache bei Ihnen im Hause

Weitere Information:
Email: info @use-projekt .de | Telefon: +49 7141 97302-0

DSGVO – IT-Security als Voraussetzung für den Datenschutz

Unsere Schulungen zur IT-Sicherheit richten sich an:

  • System-Administratoren
  • Anwender in Unternehmen
  • Sonstige Interessierte

½-Tages-Seminare Inhouse bei Ihnen vor Ort oder in unseren Schulungsräumen in Ludwigsburg

Weitere Informationen: hier klicken

DSGVO – Werkzeug zur Umsetzung: DMS

Nun folgt bei Ihnen sicherlich die spannende Frage: WIE UMSETZEN?

Zur Umsetzung der DSGVO ist die revisionssichere Ablage Ihrer Dokumente, pdf-Rechnungen, Bewerbungen, etc. unter den gesetzlich vorgeschriebenen Speicherfristen notwendig. Hierzu bietet sich die unternehmensweite Umstellung auf ein "papierloses" Unternehmen mittels eines Dokumentenmanagementsystems (DMS) an.

Damit haben Sie gleich zwei Lösungen auf einen Streich geschaffen:

  1. 1. Sie entsprechen den Vorschriften der DSGVO durch

    • Befristung von Dokumenten-Lebenszyklen
      (Recht auf Vergessen, Fristgerechte Deaktivierung/Löschung) Gilt insbesondere für die "Digitale Personalakte" und das "Bewerbermanagement"!
    • Erhöhten Daten- und Dokumentenschutz
      durch Anwender- und Rollenberechtigungen
    • Verbesserung der Daten- und Dokumentensicherheit
      durch das revisionssicheres Archiv-System und den optionalen Einsatz der WORM-Technologie
    • Dokumentation der gesamten Vorgangshistorie
      und daraus auch Erfüllung der Nachweispflichten bezüglich Entstehung, Verwendung und Zugriff
    • Vermeidung der Geschäftsführer-Haftungsrisiken
      ( z.B.: §§ 34 & 69 AO)
  2. 2. Sie sind für die Digitalisierung gerüstet

    Sie haben immer und überall Zugriff auf Ihre Dokumente, Verträge, etc. Gerade in Zeiten der Digitalisierung werden Sie ohne ein umfassendes Dokumentenmanagment das Nachsehen haben. Bleiben Sie vorne mit dabei und profitieren Sie von:
    • Transparenzsteigerung
    • Effizienzgewinn
    • Kostenreduzierung
    • Höhere Mitarbeitermotivation

Dürfen wir Ihre offenen Fragen beantworten?

Sie möchten weitere Informationen zum Dokumentenmanagement?