Datenschutz

Datenschutz – Pflicht oder Kür?

Mit der Entwicklung zu immer moderneren Informationstechnologien erkannten die Gesetzgeber die Notwendigkeit, die Verarbeitung von personenbezogenen Daten rechtlich zu regeln. Als Antwort auf die Risiken der Informations- und Kommunikationstechnologien für das Persönlichkeitsrecht wurden in Europa eine einheitliche Gestzgebung geschaffen. Seit 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) und das BDSGneu. Die Persönlichkeitsrechte werden dann mit den europaweit geltenden Regelungen noch mehr gestärkt, auf die Unternehmen kommen neue Anforderungen zu. Eine Missachtung der Regelungen kann hohe Strafen und einen Imageverlust nach sich ziehen.

Seit mehr als 14 Jahren beraten wir Unternehmen in den unterschiedlichsten Branchen rechtsübergreifend und praxisorientiert zum Thema Datenschutz. Wir coachen interne Datenschutzbeauftragte oder betreuen Unternehmen als externe Datenschutzbeauftragte. Als Datenschutzauditor überprüfen wir den Stand der Umsetzungsmaßnahmen innerhalb der Datenschutzorganisation und geben Handlungsempfehlungen.

Wir unterstützen Sie gern beim Aufbau und der Organisation eines effektiven Datenschutz Management Systems (DSMS).

Datenschutzberatung

Eine gute Datenschutzberatung geht weit über das Datenschutzgesetz hinaus. Unternehmen und Vereinen unterliegen heute einer Vielzahl von Gesetzen, wie z.B. dem Sozialgesetzbuch (SGB), dem Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) und dem Gesetz gegen den unlauteren Wettbewerb (UWG). Jede Branche hat zudem noch spezifische Gesetze und Regelungen zu beachten, z.B. im Gesundheitswesen, im Bildungssektor, in der Hotellerie oder bei Online-Dienstleistungen im In- und Ausland. Insbesondere für kleine und mittelständische Unternehmen ist es schwierig, diese komplexen Anforderungen zu durchschauen und in ihren Arbeitsprozessen zu berücksichtigen.

Als zertifizierte Datenschutzbeauftragte beraten wir individuell und praxisorientiert.  Unsere Kunden profitieren aus der Erfahrung aus mehr als 13 Jahren in der Datenschutzberatung in unterschiedlichen Branchen.

UNSERES LEISTUNGEN IM ÜBERBLICK

  • Datenschutzanalyse – Aufnahme des Istzustandes
  • Erstellung eines Umsetzungskonzeptes
  • Aufbau und Pflege eines Zentralen Datenschutz Managements (ZDM)
  • Erstellung von relevanten Richtlinien und Vereinbarungen
  • Vertretung bei Kontrollen durch die Datenschutzaufsichtsbehörde
  • Bereitstellung eines Online-Schulungstools für die Grundschulung Datenschutz und andere Themen
  • Schulung der Mitarbeiter vor Ort
  • Führen des Verzeichnisses für Verarbeitungstätigkeiten
  • Vertragsgestaltung/-ergänzung mit Dienstleistertern im Rahmen der Datenverarbeitung im Auftrag
  • Durchführung der Schutzbedarfsfeststellungen, Risikobewertungen und Datenschutz-Folgenabschätzungen
  • Durchführung von internen Datenschutzaudits
  • Beratung zu einschlägigen und relevanten Rechtsvorschriften (keine Rechtsberatung im juristischen Sinne)
  • Beratung über technische und organisatorische Maßnahmen
  • Prüfung der Anfragen von Betroffenen (Auskunft, Löschung, Widerspruch)
  • Bearbeitung Datenschutzbeschwerden und Datenpannen
  • Coaching interner Datenschutzbeauftragter

Durchführung von Datenschutzaudits

Der Umgang mit Kunden- und Mitarbeiterdaten ist für jedes Unternehmen, ob klein oder groß, ein heikles Thema. Welche Daten dürfen erfasst und wie lange dürfen diese gespeichert werden? Wie müssen sie vor Unbefugten geschützt werden? Es gibt viele Punkte zu beachten, die der Gesetzgeber vorgibt.

Um Ihnen hier Sicherheit geben zu können, was Sie bereits alles im Unternehmen zum Thema Datenschutz umgesetzt haben und wo vielleicht noch Schwachstellen sind, bietet die DataSolution Thurmann GbR Ihnen ein Datenschutzaudit zur Überprüfung der internen Verhaltensregeln in Ihrem Hause oder bei Ihren Dienstleistern im Rahmen der Kontrollpflichten nach Art. 28 Abs. 3 lit. h DSGVO an.

Sie können von uns für Ihr gesamtes Unternehmen oder für Ihre Dienstleister, für Verfahren oder Produkte den Datenschutzstatus ermitteln lassen. Mit dem unvoreingenommenen Blick von außen erkennen wir möglichen Handlungsbedarf. Nach erfolgter Prüfung erhalten Sie einen Bericht, den Sie als Nachweis verwenden können. Im Zuge eines kontinuierlichen Verbesserungsprozesses kann Ihr Datenschutzbeauftragter oder Ihre IT-Abteilung Maßnahmen ergreifen, die den Umgang mit den Ihnen anvertrauten Daten verbessert.

Die Vorbereitung eines Datenschutzaudits lässt sich – ohne Anspruch auf Vollständigkeit – mit Hilfe von vier Leitfragen vereinfachen:

  • In welchen Verfahren werden welche personenbezogenen Daten für welchen Zweck erhoben, verarbeitet oder genutzt?
  • Wer ist gegenüber den Betroffenen sowie innerhalb der Organisation für die Datenverarbeitung und seine Datenschutzkonformität verantwortlich?
  • Entspricht das Verfahren seiner Dokumentation? Ist das Datenschutz- und Sicherheitskonzept nachvollziehbar und implementierbar?
  • Auf welcher Rechtsgrundlage erfolgt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten und werden die entsprechenden Anforderungen erfüllt?

Durch eine zielorientierte Umsetzung reduzieren Sie das Risiko, sensible Daten zu verlieren, einen Imageverlust zu erleiden oder gar verklagt zu werden.

Datenschutzschulung

Mitarbeiter, die mit der Erhebung, Verarbeitung oder Nutzung personenbezogenen Daten beschäftigt werden, müssen vom Unternehmen auf die Einhaltung des Datengeheimnisses verpflichtet werden.

Darüber hinaus hat der Datenschutzbeauftragte den Mitarbeitern durch geeignete Maßnahmen mit den Vorschriften des Datenschutzes vertraut zu machen. Mitarbeiterschulungen sind ein wichtiger Bestandteil zur Sensibilisierung für den Datenschutz im Unternehmen. Nur mit informierten Mitarbeitern kann eine effiziente Datenschutzorganisation aufgebaut werden. Wir bieten sowohl Präsentveranstaltungen als auch eine Online-Schulung an.

Schulungen für Unternehmen

Die Online-Schulung Datenschutz vermittelt die Grundlagen des Datenschutzes und sensibilisiert Ihre Mitarbeiter. Sie bildet somit eine solide Basis im Umgang mit personenbezogenen Daten. Oft reicht dies aber nicht aus, da Fachabteilungen oder unterschiedliche Branchen speziellen Anforderungen unterliegen.

Gern kommen wir mit einer maßgeschneiderten Schulung in Ihr Unternehmen und bilden Mitarbeiter speziell nach Ihren Zielvorgaben und Bedürfnissen fort. Wir schulen insbesondere in den Fachbereichen Personal und Marketing ebenso wie branchenspezifisch in der Hotellerie, im Bildungssektor sowie im Gesundheitswesen.

Wir bieten unter anderem themenspezifische Schulungen an, wie:

  • Grundlagen des Datenschutzes (mehr)
  • Datenschutz & Informationssicherheit
  • Datenschutz in der Hotellerie
  • Datenschutz im Personalwesen
  • Verhaltensgrundsätze „Datenschutz & Datensicherheit“
  • Digitale Selbstverteidigung
  • Google & Co.

Schulungen im Rahmen von Veranstaltungen/Seminare

Am Ende des Seminars erhalten Sie ein Skript mit allen wichtigen Informationen zum Thema. Gern stellen wir auch Teilnahmebescheinigungen aus.

Neben den allgemeinen Datenschutzthemen hat der Datenschutzbeauftragte die Möglichkeit, firmen- oder branchenspezifische Schulungsthemen und Prüfungsfragen hinzuzufügen. Wichtige Dokumente, mit denen sich Mitarbeiter vertraut machen müssen, können durch den Datenschutzbeauftragten auf der Onlineplattform bereitgestellt werden.

Neben den themenspezifischen Schulungen bieten wir noch Ganztageslehrgänge an. Zusammen mit unseren Partnern bieten wir ein Seminar an für:

  • Datenschutz in der Hotellerie

Online-Schulung Datenschutz

Nicht immer ist es möglich, einzelne Mitarbeiter persönlich zu schulen. So müssen neu eingestellte Mitarbeiter bereits mit der Aufnahme ihrer Tätigkeit verpflichtet und geschult werden. Der Datenschutzbeauftragte kann aber nicht in jeden Einstellungsprozess integriert werden. Vertriebs- und Außendienstmitarbeiter sind aufgrund ihres beruflichen Profils heute hier, morgen dort und nur schwer als Gruppe für eine Schulung zu erreichen.

Mithilfe der Onlineschulung im Datenschutz können Mitarbeiter effizient mit den Grundanforderungen des Datenschutzes vertraut gemacht werden. Die Mitarbeiter können die Schulung selbst am eigenen PC-Arbeitsplatz durchführen. Wenn der Mitarbeiter die Datenschutz-Schulung durchgearbeitet und die Prüfungsfragen erfolgreich beantwortet hat, wird automatisch eine Teilnahmebescheinigung erzeugt, die als Nachweis für die durchgeführte Schulung dienen kann.

Neben den allgemeinen Datenschutzthemen hat der Datenschutzbeauftragte die Möglichkeit, firmen- oder branchenspezifische Schulungsthemen und Prüfungsfragen hinzuzufügen. Wichtige Dokumente, mit denen sich Mitarbeiter vertraut machen müssen, können durch den Datenschutzbeauftragten auf der Onlineplattform bereitgestellt werden.

MERKMALE

  • individuelle Zugangsdaten (Benutzer/Passwort)
  • allgemeine Datenschutzthemen (vorkonfiguriert) | deutsch/englisch
  • firmenspezifische Themen (frei konfigurierbar nach Themen und Abschnitten)
  • Prüfungsfragen (Multiple Choice) | deutsch/englisch – 20 Fragen nach Zufallsprinzip
  • Teilnahmebescheinigung als Nachweis
  • Bereitstellung von firmenspezifischen Unterlagen zum Download
  • Statistik nach durchgeführte Prüfungen

HINWEIS

Die Schulungsplattform ist kein Ersatz für datenschutzspezifische Themen, wie sie in Arbeitsgruppen oder Meetings in den Bereichen besprochen werden sollten. Sie erfüllt aber alle Anforderungen an eine Grundschulung, wie sie regelmäßig durchzuführen ist.

Wenn Sie weitere Informationen wünschen, können Sie gern Kontakt zu uns aufnehmen. Wir richten Ihnen auch gern einen Testzugang ein.

PREISE

Für die Nutzung des Online-Schulungstool wird eine jährliche Gebühr von 350,00 Euro zzgl. MwSt. berechnet. In diesem Leistungsumfang ist eine deutsche und englische Grundschulung zum Datenschutz nach DSGVO enthalten. Wir stellen auch gern weitere Schulungsthemen auf Nachfrage bereit. Holen Sie sich hierzu ein Angebot ein.

Themenspezifische Onlineschulungen

  • Datenschutz in der Hotellerie
  • Datenschutz in der Immobilienbranche
  • Datenschutz & Informationssicherheit
  • Verhaltensgrundsätze „Datenschutz & Datensicherheit“

Aktuelle Bußgeldverfahren in Deutschland

Delivery Hero Germany GmbH

Nach den Erkenntnissen des Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen keine Konten ehemaliger Kunden gelöscht, obwohl diese Betroffenen seit Jahren nicht mehr auf der Zustelldienstplattform des Unternehmens aktiv waren – in einem Fall sogar seit 2008. Außerdem hatten sich acht ehemalige Kunden über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Eine betroffene Person, die der Verwendung ihrer Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails vom Zustelldienst. In weiteren fünf Fällen hat das Unternehmen den Betroffenen die erforderlichen Informationen nicht oder erst nach einem Eingriff des Berliner Datenschutzbeauftragten zur Verfügung gestellt.

Bußgeld: 195.407 € | 09’2019

N26

Die Geldbuße wurde gegen eine Bank (laut einer Zeitung N26) verhängt, die „personenbezogene Daten aller ehemaligen Kunden“ ohne Erlaubnis verarbeitet hatte. Die Bank hat bestätigt, dass sie Daten über ehemalige Kunden gespeichert hatte, um eine schwarze Liste zu führen, also eine Art Warndatei, damit diesen Personen kein neues Konto zur Verfügung gestellt wird. Die Bank begründete dies zunächst damit, dass sie nach dem deutschen Bankengesetz verpflichtet sei, Sicherungsmaßnahmen gegen geldwäscheverdächtige Kunden zu treffen. Die Berliner Aufsichtsbehörde hat dies als rechtswidrig eingestuft. Die Behörde argumentiert, dass, um die Eröffnung eines neuen Bankkontos zu verhindern, in einer Vergleichsdatei nur Betroffene aufgenommen werden dürfen, die tatsächlich der Geldwäsche verdächtigt werden oder für die es andere triftige Gründe gibt, ein neues Bankkonto abzulehnen. Die Behörde teilte einer Zeitung mit, dass das gegen die Bank eingeleitete Bußgeldverfahren „noch nicht rechtskräftig abgeschlossen“ sei.

Bußgeld: 50.000€ | 03’2019

EuGH kippt Privacy Shield

Wie fast zu erwarten hat der EuGH in seinem „Schrems II-Urteil“ vom 16.07.2020 das Privacy Shield, welches als Grundlage für eine Datenübertragung in die USA verwendet werden konnte, gekippt (EuGH, Urteil vom 16.07.2020, Az.: C-311/18). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat darauf hin am 28. Juli 2020 eine Pressemitteilung herausgegeben. Darin teilt sie mit, welche Folgen dieses Urteil für die Datenübermittlung von personenbezogenen Daten in die USA und andere Drittländer hat, welche wir hier kurz auflisten:

  1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden.
  2. Die bestehenden Standardvertragsklauseln der Europäischen Kommission können zwar grundsätzlich weiter genutzt werden, aber nur im Zusammenhang mit weiteren Garantien.
  3. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind.
  4. Es wurde keine Übergangs- oder Schonfrist eingeräumt. D.h. es ist umgehend zu prüfen auf welcher Grundlage eine weitere Übermittlung von personenbezogenen Daten in die USA und andere Drittländer möglich ist.

Was ist zu tun?                      

  • Die Aufsichtsbehörden empfehlen, anhand des Verzeichnisses von Verarbeitungstätigkeiten die Verarbeitungen, bei denen Daten auf Basis des Privacy-Shield oder dem EU-Standardvertrag in einen Drittstaat übermittelt werden, zu identifizieren und die Datenschutzvereinbarungen mit Dienstleistern zu überprüfen.
  • Je nach Branche unterliegen die Datenimporteure in den USA unterschiedlichen staatlichen Überwachungsgesetzen. Die Datenimporteure sollen deshalb gezielt gefragt werden, ob sie FISA 702 und EO 12333 unterliegen und ob sie die Klauseln einhalten können. Dies kann z.B. mit Hilfe von Fragebögen erfolgen.
  • Wenn sich bei dieser Überprüfung zeigt, dass der Datenimporteur bzw. der Unterauftragnehmer so weitgehenden und strengen staatlichen Überwachungsgesetzen unterliegt, die in einem unverhältnismäßigen Umfang in die Rechte von EU-Bürgern eingreifen, sodass die Rechte der Betroffenen nicht in einem ausreichenden Maß gewahrt werden können, kann der Datentransfer auch nicht mehr auf die Standardvertragsklauseln gestützt werden.
  • Wenn möglich sollten Alternativen gefunden werden, eine Übermittlung personenbezogener Daten in die USA oder andere Drittstaaten zu vermeiden.

Bei Fragen zum Thema Privacy Shield oder insgesamt zum Datenschutz können Sie sich gern an uns wenden. Wir beraten Sie gern! Kontakt

Datenübermittlung nach Groß Britannien

Wir möchten Ihnen einen Ausblick auf die künftige Übermittlung von personenbezogenen Daten ins Vereinigte Königreich Großbritannien geben.

Am 31. Januar 2020 ist das Vereinigte Königreich Großbritannien aus der EU ausgetreten. Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraumes (kurz EWG) sog. „Drittländer“. Jedoch wurde für das Vereinigte Königreich Großbritannien eine Übergangsphase bis zum 31.Dezember 2020 für die Datenübermittlung eingeräumt. Innerhalb dieser Frist ändert sich nichts.

Ab dem 01.Januar 2021 bestehen für die Datenübermittlung folgende Möglichkeiten:

  • Das Vereinigte Königreich Großbritannien erhält einen Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO der EU-Kommission
  • die Datenübermittlung erfolgt auf Grundlage des Abschlusses von Standartschutzklauseln

Bei folgenden Voraussetzungen darf die Datenübermittlung ausnahmsweise auch ohne die erforderlichen Garantien erfolgen:

  • wirksame Einwilligung der betroffenen Person
  • Erforderlichkeit zur Vertragserfüllung
  • wichtige Gründe des öffentlichen Interesses
  • Verfolgung von Rechtsansprüchen
  • Schutz lebenswichtiger Interessen
  • Wahrung zwingender berechtigter Interessen

Ob in der Kürze der Übergangsphase ein Angemessenheitsbeschluss der EU-Kommission umgesetzt werden kann, ist sehr fraglich. Davon auszugehen bleibt für die Datenübermittlung, wenn nicht ein Ausnahmetatbestand Rechtsgrundlage bildet, nur der Abschluss von Standartschutzklauseln.

Was ist nun von der verantwortlichen Stelle zu unternehmen:

  1. Überprüfung des Verzeichnisses für Verarbeitungstätigkeiten, welche personenbezogenen Daten nach Großbritannien übermittelt werden und wer Zugriff auf diese Daten hat.
  2. Schaffung von rechtlichen Grundlagen für die Datenübermittlung (z.B. Standartschutzklauseln, freiwillige Einwilligung nach Art. 7 DSGVO).
  3. Einholung von Informationen von den Unternehmen mit Sitz im Drittland über geeignete Garantien (Standartschutzklauseln und Datenschutzkonzepte).
  4. Anpassung Ihrer Datenschutzerklärungen (Hinweis der Rechtsgrundlage der Datenübermittlung in ein Drittland mit Aufzeichnung der Garantien).
  5. Hinweisblätter zur Erfüllung der Informationspflichten gem. Art. 13 und 14 DSGVO sind anzupassen.
  6. Überprüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung

Jede verantwortliche Stelle, die personenbezogene Daten aus einem Mitgliedstaat der EU in das Vereinigte Königreich Großbritannien übermittelt, muss rechtliche Vorkehrungen treffen, um die Einhaltung des Datenschutzrechts gewährleisten zu können,

Die Schaffung geeigneter Garantien ist in der Regel mit einem größeren Aufwand verbunden. Liegen diese nicht vor, wenn das Vereinigte Königreich Großbritannien Drittland ist, liegt bei jeder Datenübermittlung ein Verstoß gegen Art. 5 Abs. 1 lit. a in Verbindung mit Art. 44 DS-GVO vor, der durch die zuständige Datenschutzaufsichtsbehörde mit der Ausübung von Befugnissen bis hin zur Verhängung von Geldbußen geahndet werden kann.

Wir unterstützen und beraten unsere Kunden natürlich sehr gern auch zu diesem Thema. Kontakt

Cookies und Trackingdienste werden vom EuGH gefressen

Am 01.10.2019 hat der Europäische Gerichtshof (EuGH) ein Grundsatzurteil zur Verwendung von Cookies getroffen. Demnach ist der Einsatz von „nicht notwendigen Cookies“ nur noch mit einer aktiven Einwilligung gestattet. Sowohl die gewöhnlichen Cookie-Banner mit Bestätigung der Kenntnisnahme zur Verwendung von Cookies als auch mit einem Haken voreingestellte Consent-Lösungen sind ab sofort unzulässig!

WICHTIG Werbe- und Tracking-Cookies dürfen nicht schon aktiv sein bzw. gespeichert werden, bevor der Webseitenbesucher sich gegen deren Verwendung entscheiden kann. Vielmehr muss der Webseitenbesucher aktiv einwilligen.

Das Urteil hat zur Folge, dass es zukünftig für das Marketing sehr schwer wird, Onlinemarketing zu betreiben. Webseitenbesuche werden zusätzlich nur noch schwer auswertbar sein. In jeder schlechten Nachricht, hier insbesondere für die Marketingabteilung, ist aber auch etwas Positives zu finden. Als Datenschützer sehen wir den Betrieb von Webseiten immer als kritisch an. Durch die eingesetzten Tracking-Scripte wie Google Analytics oder Google Ad war es bisher dem Datensammler Google möglich, ein sehr detailliertes Persönlichkeitsprofil von Nutzern zu erstellen; besser als jeder Geheimdienst. Google stellt zwar Tools zur Abwehr dieser Dienste bereit, kaum einer kennt aber diese. Nun werden Datensammler zukünftig in Europa nicht mehr so einfach an die Nutzerdaten Unwissender herankommen. Unsere Persönlichkeitsrechte werden aktiv gestärkt, dass werden auch die Richter am EuGH im Hinterkopf gehabt haben, als sie das Urteil sprachen.

Keine Einwilligung bei vorangekreuzter „Checkbox“

Das Problem: Der Otto-Normalwebseitenbesucher erkennt nicht, dass im Hintergrund Daten über ihn gesammelt und ausgewertet werden, dass Profile über ihn erstellt, ausgewertet und ggf. weiterverkauft werden, um direkten Einfluss auf seine Entscheidungen zu nehmen. Hinzu kommt, dass diese Datensammlung nur über Advertising-Tools von weiteren Drittanbieter, wie Google Ad, angeboten werden, die somit ebenfalls Daten erhalten und nutzen.

Die Antworten des EuGHs auf die aktuelle Geschäftspraxis fielen deutlich aus. Da die Vorgaben der DSGVO zur Einwilligung in die Datenspeicherung, -übermittlung und -auswertung durch Dritte insbesondere ein aktives Verhalten voraussetzen und eine „Nichthandlung“ keine Einwilligung darstellen kann, war es eigentlich klar, dass der EuGH in einer vorangekreuzten Checkbox oder in einem Cookie-Banner ohne Entscheidungsmöglichkeiten keine wirksame Einwilligung erkennen kann.

15 Abs. 3 TMG ist nicht mehr anwendbar!

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

Empfehlung zu Software-Produkten

Es gibt zahlreiche Anbieter für Consent-Lösungen. Zur Umsetzung der Erfordernisse können Sie sich mal das Tool von

Cookiebot: https://www.cookiebot.com/de/ ,

Usercentrics: https://usercentrics.com oder

Consentmanager.net: https://www.consentmanager.net ansehen.

Hohe Bußgelder für zu geringe IT-Sicherheit

Der Hotelkette Marriott droht ein hohes Bußgeld im dreistelligen Millionenbereich wegen Verstoß gegen die EU Datenschutz-Grundverordnung (DSGVO). Bei Marriott ist Ende 2018 ein Hack bekanntgeworden, der Daten von vermutlich 339 Millionen Kunden betraf. Im November 2018 hatte der Hotelkonzern eingestanden, dass Dritte unerlaubt auf die Reservierungsdatenbank der Marriott-Tochterfirma Starwood zugegriffen haben. Größtenteils seien nur Daten wie Namen und Adressinformationen abgegriffen worden, aber in einigen Fällen auch vertrauliche Daten wie Pass- und Kreditkartennummern, teilweise sogar unverschlüsselt.

Das Unternehmen hat nach Ansicht der zuständigen Aufsichtsbehörde gegen den Grundsatz verstoßen, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn eine angemessene Sicherheit dieser gewährleistet wird. Hierfür sollen insbesondere geeignete technische und organisatorische Maßnahmen eingesetzt werden, um vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust zu schützen. Die technischen und organisatorischen Maßnahmen der genannten Unternehmen sind demnach nicht ausreichend gestaltet worden, um solch einem Risiko entsprechend entgegenzuwirken.

Den Vorfall möchten wir gern zum Anlass nehmen, das Thema „Passwortmanagement“ aufzugreifen. Die Umsetzung der internen Vorgaben; für jedes System ein anderes, mind. 12-stelliges, komplexes Passwort zu verwenden, endet zumeist in der Erfassung von Zugangsdaten in einer Excelliste. Da sowohl die Passwortlisten in Papier als auch als Excel- oder Worddateien nicht den Sicherheitsanforderungen entsprechen, die Vertraulichkeit der Zugangsdaten sicherzustellen, möchten wir den Einsatz eines Passwortmanagers nahelegen.

Der Vorfall in der Hotelkette Marriott lässt vermuten, dass auch hier ein schlechtes Passwort­management die Ursache war. Bei einem Verlust der Vertraulichkeit von Kundendaten inkl. Zahlungsdaten durch einen Missbrauch von Passwörtern hätten Sie auch in Deutschland gegenüber den Aufsichtsbehörden nur wenig Argumente, wenn nicht die technischen Lösungen genutzt werden, die es auf dem Markt gibt.

Empfehlung zu Softwareprodukten

Wir empfehlen derzeit nachfolgende Passwortmanager, da in diesen eine Benutzerverwaltung integriert ist, die es ermöglicht, dass Anwender die Passwörter nicht im Klartext lesen können: