Datenschutz – Pflicht oder Kür?
Mit der Entwicklung immer moderneren Informationstechnologien erkannten die Gesetzgeber die Notwendigkeit, die Verarbeitung von personenbezogenen Daten rechtlich zu regeln. Am 25.Mai 2018 trat neben dem Bundesdatenschutzgesetz (BDSG) die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Mit dieser europaweit geltenden Verordnung werden die Persönlichkeitsrechte aller EU-Bürger noch mehr gestärkt. Auf die Unternehmen und die verantwortlichen Stellen kommen jedoch neue Anforderung im Zusammenhang mit der Umsetzung zu. Es ist sowohl eine Pflicht als auch eine Kür, denn eine Missachtung der Vorgaben kann hohe Strafen und dadurch ein Imageverlust nach sich ziehen.
Wir unterstützen mit unserem Know-how interne Datenschutzbeauftragte bzw. Datenschutzverantwortliche und betreuen Unternehmen als externe Datenschutzbeauftragte.
Datenschutzberatung
Eine gute Datenschutzberatung geht weit über die DSGVO und das BDSG hinaus. Unternehmen und Vereineunterliegen heute einer Vielzahl von Gesetzen, wie z.B. dem Sozialgesetzbuch (SGB), dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) und dem Gesetz gegen den unlauteren Wettbewerb (UWG). Jede Branche hat zudem noch spezifische Gesetze und Regelungen zu beachten, z.B. im Gesundheitswesen, im Bildungssektor, in der Hotellerie oder bei Online-Dienstleistungen im In- und Ausland. Insbesondere für kleine und mittelständische Unternehmen ist es schwierig, diese komplexen Anforderungen zu durchschauen und in ihren Arbeitsprozessen zu berücksichtigen.
Als zertifizierte Datenschutzbeauftragte beraten wir individuell und praxisorientiert. Unsere Kunden profitieren aus der Erfahrung aus unserer Beratungstätigkeit seit 2006 in der Datenschutzberatung in den unterschiedlichsten Branchen.
UNSERES LEISTUNGEN IM ÜBERBLICK
- Datenschutzanalyse – Aufnahme des Istzustandes
- Erstellung eines Umsetzungskonzeptes
- Aufbau und Pflege eines Zentralen Datenschutzmanagement Systems (ZDMS)
- Erstellung von relevanten Richtlinien und Vereinbarungen
- Vertretung bei Kontrollen durch die Datenschutzaufsichtsbehörde
- Bereitstellung eines Online-Schulungstools für die Grundschulung Datenschutz und andere Themen
- Schulung der Mitarbeiter vor Ort
- Führen des Verzeichnisses für Verarbeitungstätigkeiten
- Vertragsgestaltung/-ergänzung mit Dienstleistertern im Rahmen der Datenverarbeitung im Auftrag
- Durchführung der Schutzbedarfsfeststellungen, Risikobewertungen und Datenschutz-Folgenabschätzungen
- Durchführung von internen Datenschutzaudits
- Beratung zu einschlägigen und relevanten Rechtsvorschriften (keine Rechtsberatung im juristischen Sinne)
- Beratung über technische und organisatorische Maßnahmen
- Prüfung der Anfragen von Betroffenen (Auskunft, Löschung, Widerspruch)
- Bearbeitung Datenschutzbeschwerden und Datenpannen
- Coaching interner Datenschutzbeauftragter
Datenschutzaudits
Der Umgang mit Kunden- und Mitarbeiterdaten ist für jedes Unternehmen, ob klein oder groß, ein heikles Thema. Welche Daten dürfen erfasst und wie lange dürfen diese gespeichert werden? Wie müssen sie vor Unbefugten geschützt werden? Es gibt viele Punkte zu beachten, die der Gesetzgeber vorgibt.
Um Ihnen die notwendige Sicherheit zu geben, welche Vorgaben Sie bereits im Unternehmen zum Thema Datenschutz umgesetzt haben und wo sich vielleicht noch Schwachstellen befinden, bieten wir Ihnen ein Datenschutzaudit zur Überprüfung der internen Vorgaben in Ihrem Hause oder bei Ihren Dienstleistern im Rahmen der Kontrollpflichten nach Art. 28 Abs. 3 lit. h DSGVO an.
Wir ermitteln für Ihr Unternehmen und Ihre Dienstleister einen Datenschutzstatus für sämtliche Verfahren bzw. Produkte. Mit ihm erkennen wir einen möglichen Handlungsbedarf. Nach erfolgter Prüfung erhalten Sie einen Bericht, den Sie als Nachweis verwenden können. Im Zuge einer kontinuierlichen Evaluierung kann der Datenschutzbeauftragte oder die IT-Abteilung Maßnahmen ergreifen, welche die Verarbeitung der Ihnen anvertrauten, personenbezogenen Daten verbessern.
Die Vorbereitung eines Datenschutzaudits lässt sich – ohne Anspruch auf Vollständigkeit – mit Hilfe von vier Leitfragen vereinfachen:
- In welchen Verfahren werden welche personenbezogenen Daten für welchen Zweck erhoben, verarbeitet oder genutzt?
- Wer ist gegenüber den Betroffenen sowie innerhalb der Organisation für die Datenverarbeitung und seine Datenschutzkonformität verantwortlich?
- Entspricht das Verfahren seiner Dokumentation? Ist das Datenschutz- und Sicherheitskonzept nachvollziehbar und implementierbar?
- Auf welcher Rechtsgrundlage erfolgt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten und werden die entsprechenden Anforderungen erfüllt?
Durch eine zielorientierte Umsetzung reduzieren Sie das Risiko, sensible Daten zu verlieren, einen Imageverlust zu erleiden oder gar verklagt zu werden.
Datenschutzlösungen
Schon zu alten BDSG-Zeiten ging es um die Technischen und organisatorischen Maßnahmen, kurz TOMs genannt. Das Thema ist nicht neu. Die Anforderungen spiegeln sich vor allem in der DSGVO unter Artt. 5, 25 und 32 wider – und das nicht ohne Grund. Softwarelösungen helfen uns, die Datenverarbeitung sicher zu gestalten, unabhängig ob es sich um personenbezogene oder betriebliche Daten handelt. Während Art. 25 DSGVO den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen regelt, fordert Art. 32 DSGVO von uns Instrumente zu implementieren, welche die Sicherheit in der Verarbeitung von Daten gewährleistet.
Als externe Datenschutzbeauftragte prüfen wir die Software- und Systemanwendungen für unsere Kunden und bewerten diese unter datenschutzrechtlichen Aspekten. Zudem organisieren wir unsere tägliche Arbeit in einem eigenen System und erfüllen die Anforderungen der Dokumentations- und Nachweispflicht, welche die DSGVO jedem Unternehmen auferlegt.
Nachfolgend gehen wir sowohl auf unsere eigenen Lösungen als auch auf Lösungen anderer Anbieter ein, welche wir zum größten Teil auch selber nutzen.
Unsere eigenen Lösungen
Unsere Datenschutzmanagement Software (ZDMS)
Um den Dokumentations- und Nachweispflichten für unsere Kunden, aber auch eigenen Tätigkeiten gerecht zu werden, haben wir uns ein eigenes Datenschutzmanagement System auf der Basis einer Ninox Datenbank entwickelt.
Das selbst entwickelte Tool bietet uns die Möglichkeit, das System ohne große Programmierkenntnisse individuell auf unsere Bedürfnisse anzupassen bzw. zu erweitern. Unsere Kunden können individuell eingebunden werden, da unser ZDMS mandantenfähig ist. Uns ermöglicht die zentrale Datenverwaltung, unabhängig von Exceldateien und Dateiablagen auf Fileservern oder Cloudsysteme, effizient zu arbeiten und Synergieeffekte zu nutzen.
Wir bieten unsere Softwarelösung gern anderen Unternehmen an, die sich für eine Datenschutzmanagement Softwarelösung interessieren.
Mehr unter: www.ds-zdms.de
Self-Assessment-Systems NIS2 „SINuS“
Mithilfe unseres Self-Assessment-Systems NIS2 „SINuS“ auf Grundlage des vom BSI initiierten Projektes „Weg in die Basis-Absicherung“ (WiBA) lässt sich effizient die Risikoanalyse nach den BSI-Gefährdungen und/oder die Anwendbarkeit der ISO Controls (Statement of Applicability, SoA) nach ISO 27001:2022 Anhang A erfüllen. Die Risikobewertung wird in Form einer Selbstbewertung durch sie selbst durchgeführt. Sie benötigen an dieser Stelle keine externe Beratung.
WiBA wurde vom BSI entwickelt, um den Einstieg in den IT-Grundschutz für Behörden, Unternehmen und Einrichtungen zu vereinfachen. Es eignet sich ebenso für öffentliche Verwaltungen wie auch für betroffene Einrichtungen der KMU.
Bewerten sie ihren IST-Stand, identifizieren sie die Risiken und implementieren sie Maßnahmen, um das Risiko zu reduzieren. Hierzu werden ihnen zu jeder Frage zahlreiche Maßnahmenempfehlungen angeboten. Mehr unter: www.sinus-nis.cloud.
SINuS haben wir auf der Basis einer Ninox Datenbank entwickelt.
Bei Fragen oder zur Einladung in das Test-Team wenden Sie sich per E-Mail unter: b.schubert@ds-lud.de oder telefonisch unter: 03378/205729 an uns. Oder buchen Sie hier direkt einen Termin.
Lösungen von anderen Anbietern
E-Mail-Verschlüsselung
E-Mail-Verschlüsselung im Bereich von klein- und mittelständische Unternehmen stellte sich bisher als recht umständlich heraus. Die einfachste Lösung ist eine Datei oder einen Container (ZIP-Datei) zu verschlüsseln. Allerdings ist dann noch nicht der Inhalt der E-Mail verschlüsselt. Im nächsten Schritt bietet sich eine End-zu-End-Verschlüsselung mit Zertifikaten wie S/MIME oder PGP an. Das generieren der Zertifikate und der Austausch mit den Kommunikationspartnern stellt sich aber als recht kompliziert da. Auch wir hatten hier so unsere Herausforderungen. Dann lernten wir REDDCRYPT, ein Produkt der REDDOXX GmbH kennen und waren von der einfachen Handhabung begeistert.
Eine Registrierung mit E-Mail-Adresse und Passwort reichte aus, es konnte auf der Weboberfläche oder in einer App fürs Smartphone losgehen. Für die betriebliche Nutzung konnten wir ein Outlook Plugin installieren. Die Kosten halten sich im Rahmen und sind auf jeden Fall ihr Geld wert.
5 Sterne von uns
Passwortmanager
Wir predigen immer ein gutes Passwortmanagement. Mindestens 12 Stellen, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen. Dann soll noch für jeden Account ein separates Passwort vergeben werden. Da kann man schnell den Überblick verlieren.
Auf der Suche nach geeigneten Passwortmanagern, ohne die ist ein gutes Passwortmanagement nicht möglich, haben wir kostenfreie und kostenpflichtige Tools getestet. Dabei haben wir im betrieblichen Bereich ein Augenmerk auf die Administration gelegt. In vielen Firmen nutzen zum Teil mehrere Mitarbeiter dieselben Zugangsdaten in Onlineportalen, haben aber auch ihre eigenen Passwörter. Gemeinsam genutzte Passwörter sollten aber nicht von jedem Mitarbeiter gesehen werden, um einen Missbrauch zu vermeiden. Auch das zuverlässige, selbstständige Ausfüllen der Zugangsdaten auf der Webseite stellt einige Passwortmanager vor Herausforderungen. Mit Keeper haben wir einen Passwortmanager gefunden, welcher unsere Bedürfnisse erfüllt und den wir gerne weiterempfehlen.
5 Sterne von uns
Unser Datenschutzpaket für klein- und mittelständische Unternehmen und Einrichtungen
Auch für kleine Unternehmen, Verbände, Arztpraxen, Apotheken, Onlineshops etc., die keinen Datenschutzbeauftragten seitens der Gesetzgebung benötigen, gilt die DSGVO im vollen Umfang. Insbesondere wo sensible und vertrauliche Daten verarbeitet werden, bspw. Gesundheits- oder Zahlungsdaten, sollte sich die Unternehmensleitung oder der Inhaber mit der Thematik Datenschutz genauer auseinandersetzen. Das ist oft nicht leicht, denn ohne einen Lehrgang zum Datenschutz ist es nahezu unmöglich, die Tragweite der Anforderungen, die sich aus der DSGVO, dem BDSG und anderen Gesetzen ergeben, zu erfassen.
Unser Know-how möchten wir gern weitergeben, um Ihnen das Leben in Hinblick Datenschutz zu erleichtern. Für ausgewählte Branchen, in welchen wir selbst beratend tätig sind, haben wir individuelle Pakete mit branchenspezifischen Vorlagen geschnürt. Die Verantwortung bleibt weiter bei Ihnen, im Aufbau einer Datenschutzorganisation nach den Vorstellungen der Gesetzgebung können wir Sie unterstützen.
Mehr zu den Branchenlösungen und Preisen erfahren Sie hier.
UMFANG
Grundpaket
- individueller Account auf unser Datenschutz-Management-System
- individueller Account auf unser Onlineschulungstool zum Datenschutz
- Bereitstellung von branchenspezifischen Unterlagen (Richtlinien, Arbeitsanweisungen, Vereinbarungen, …) als Entwurf
- branchenspezifische Vorlagen für Verzeichnis für Verarbeitungstätigkeiten
- Verzeichnis zu branchenspezifische Auftragsdatenverarbeiter
optional
- Webseiten-Check inkl. Prüfung/Anpassung Datenschutzerklärung
- Bereitstellung eines Consent Manager Tools (umgangssprachlich Cookiebanner) für die eigene Webseite (über Kooperationspartner)
- individuelle Beratung zu Datenschutzthemen auf Anfrage (Probleme, die Sie nicht lösen können oder wollen) via Telefon oder Video
- Durchführung von Datenschutzaudits vor Ort inkl. Bericht
Einsatz von KI im Unternehmen und der Schutz von Unternehmens- und Personendaten
Künstliche Intelligenz (KI oder AI) ist nichts Neues, seit der Einführung der Software ChatGPT jedoch in aller Munde. Mit dieser Software ist es für Jeden sehr einfach KI zu nutzen, das Ausprobieren macht Spaß. Dennoch ist es erforderlich auch einen kritischen Blick auf das Thema zu werfen und den Schutz von Unternehmens- und Personendaten sowie das Urheberrecht zu bewerten.
Was hat KI mit Datenschutz zu tun?
Es ergibt sich bereits aus der Definition, dass KI und Datenschutz eng miteinander verknüpft sind. Die KI lernt aus der Analyse von vielen Daten und wertet Texte, Bilder, Sprache und Verhaltensweisen aus. Ein Beispiel was wir alle kennen ist das Navigationssystem mit Verkehrserkennung. Wie in jedem Prozess, bei dem personenbezogene Daten verarbeitet werden, ist auch hier eine Rechtgrundlage erforderlich. Diese zu finden, fällt nicht leicht. Eine mögliche Grundlage wäre die Einwilligung des Nutzers. Sollen die Bedingungen der Einwilligung, die sich aus Art. 7 DSGVO ergeben, umgesetzt werden, muss der Verantwortliche transparent über die Datenverarbeitung informieren. Diese Transparenz zu schaffen ist schwer möglich, da derzeit nicht eindeutig ist, wie die KI die Daten verarbeitet und wo diese gespeichert werden. Selbst die Programmierer geben teilweise zu, dass sie nicht zu 100% wissen, wie der Algorithmus der KI funktioniert. Wie soll da ein Anwender transparent informiert werden?
Hinzu kommt aus Sicht des Datenschutzes, dass die Anbieter von KI-Software wie z.B. OpenAI (ChatGPT) Datenschutzvereinbarungen anbieten, die nicht zum Verarbeitungsumfang der Software passen. Die KI verarbeitet die Daten eigenständig, ohne dass der Auftraggeber, also das nutzende Unternehmen weiß, welche Daten verarbeitet werden. Das Unternehmen hat keinen bzw. einen eingeschränkten Einfluss auf die Verarbeitung. Damit handelt es sich nicht um eine reine Datenverarbeitung im Auftrag, wie wir sie von den meisten Dienstleistern kennen, sondern es liegt die Verantwortung zum überwiegenden Teil bei den Anbietern der KI. Hier ist rechtlich noch einiges zu klären.
KI bietet viele neue Möglichkeiten, die schwer vorhersehbar sind. Dienstleister werden immer häufiger Lösungen mit KI-Schnittstellen anbieten. Bevor sie eine KI-Software nutzen wollen, z.B. als ChatBot zur Beantwortung von Fragen auf der Webseite, für die Kommunikation mit Kunden etc. – halten sie bitte Rücksprache mit Ihrem Datenschutzbeauftragten.
Welche Rolle spielt das Urheberrecht?
Texte und Bilder mit KI zu erstellen, birgt die Gefahr das Urheberrecht zu verletzen. Die Rechte am Bild z.B. ein Foto einer Person, sind auch bei der Verwendung von KI zu schützen. Es ist nicht erlaubt geschützte Bilder, Texte oder Fotos, insbesondere mit Personenbezug, einfach in eine KI-Software hochzuladen. Hier bedarf es ebenfalls der Einwilligung der abgelichteten Person oder des Fotografen. Das Urheberrechtsgesetz ist auch bei der Nutzung von KI zu beachten.
Was ist mit Unternehmens- und Geschäftsgeheimnissen?
Daten, welche in die KI-Software eingegeben werden, können je nach Anbieter für das Anlernen der KI frei verwendet werden. D.h., wenn interne Unterlagen, Gesprächs- oder Meetingnotizen hochgeladen werden, dann sind diese nicht mehr in der Kontrolle des Nutzers, sondern in den Datenspeichern der KI. Daher ist es unbedingt zu vermeiden, dass interne Unterlagen, Gesprächsnotizen oder andere für das Unternehmen schützenswerte Daten mittels KI verarbeitet werden.
Welche Konsequenzen kann das für das Unternehmen haben?
ChatGPT wurde in Italien bereits verboten. Es ist zu erwarten, dass sich auch die deutschen Aufsichtsbehörden dazu entsprechend positionieren. Eine rechtssichere Nutzung von KI-Software in Verbindung mit personenbezogenen Daten ist derzeit nicht möglich, sodass es hier zu hohen Bußgeldern kommen kann. Weiterhin kann es für das Unternehmen existenzbedrohend sein, wenn z.B. Geschäftsgeheimnisse durch die KI in Umlauf geraten, wie der Vorfall bei Samsung zeigt.
Gibt es geseztliche Regelungen?
Ein Gesetz zur Regelung des Einsatzes von KI in Europa, die KI-Verordnung, ist im Entwurf bereits vorhanden, allerdings wird mit dem Inkrafttreten erst 2025 gerechnet.
Ziel der Verordnung ist die Harmonisierung der Vorschriften für KI-Systeme in Europa und die Festlegung von Verpflichtungen in Bezug auf die Entwicklung, das Anbieten und die Verwendung von KI-Software.
Welche Regeln sind bei der Nutzung zu beachten?
Bei der Nutzung von KI im Unternehmensbereich sollten zum Schutz von Geschäfts- und Personendaten folgende Regeln aufgestellt werden:
- Keine Eingabe sensitiver Unternehmensdaten oder Geschäftsgeheimnisse!
- Keine Eingabe personenbezogener Daten!
- Keine Abfrage von sensitiven personenbezogenen im Rahmen der Bereitstellung von Kommunikationsmöglichkeiten!
Sie sollten sicherstellen, dass die Regeln im Unternehmen kommuniziert werden und die Beschäftigten entsprechend geschult werden. Denn wichtig für die Einhaltung der Vorgaben ist die Sensibilisierung der Beschäftigten zu diesem Thema.
Bei Fragen zur Verwendung von KI im Unternehmen oder insgesamt zum Datenschutz können Sie sich an uns wenden. Wir beraten Sie gern! Kontakt
NIS2 – Pflicht oder Kür?
Die digitale Welt entwickelt sich rasant weiter, und mit ihr wachsen auch die Bedrohungen für die Cybersicherheit. Um diesen Herausforderungen zu begegnen, hat die Europäische Union die NIS2-Richtlinie (Network and Information Systems Directive 2) eingeführt. Diese überarbeitete Richtlinie baut auf der ursprünglichen NIS-Richtlinie von 2016 auf und zielt darauf ab, die Cybersicherheit in der EU zu stärken. Die NIS2-Richtlinie erweitert den Geltungsbereich auf mehr Sektoren und umfasst nun auch öffentliche Verwaltungen, was ihre Bedeutung noch einmal unterstreicht.
Die Hauptziele von NIS2 sind die Erhöhung der Cybersicherheit, die Harmonisierung der Sicherheitsanforderungen und die Verbesserung der Zusammenarbeit zwischen den Mitgliedstaaten und relevanten Akteuren. Zu den wesentlichen Neuerungen der NIS2 gehören die Erweiterung des Geltungsbereichs, erhöhte Sicherheitsanforderungen, verstärkte Meldepflichten und die stärkere Verantwortlichkeit der Führungsebene.
Die NIS2-Richtlinie gilt für eine breite Palette von Einrichtungen und Unternehmen in der EU, die als Betreiber wesentlicher Dienste oder Anbieter digitaler Dienste eingestuft sind. Dazu gehören Unternehmen in kritischen Sektoren wie Energie, Transport, Gesundheitswesen, Bankenwesen, Wasser- und Abfallwirtschaft, Raumfahrt sowie digitale Infrastruktur. Außerdem umfasst die Richtlinie auch öffentliche Verwaltungen auf nationaler, regionaler und lokaler Ebene, die wichtige öffentliche Dienste bereitstellen.
Während die ursprüngliche NIS-Richtlinie hauptsächlich kritische Infrastrukturen abdeckte, umfasst NIS2 nun auch weitere Sektoren wie digitale Dienste und Lieferketten. Dies bedeutet, dass die Richtlinie für eine breitere Palette von Unternehmen gilt, darunter Betreiber wesentlicher Dienste (OES) und Anbieter digitaler Dienste (DSP) wie Online-Marktplätze, Cloud-Computing-Dienste und Suchmaschinen.
Ein bedeutender Aspekt der NIS2-Richtlinie ist die Einführung von Schwellwerten zur Größe einer Organisation und deren Umsatz. Betroffen sind wichtige Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro bzw. einer Jahresbilanzsumme von mehr als 43 Millionen Euro. Bei den besonders wichtigen Einrichtungen sind Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen Euro bzw. einer Jahresbilanzsumme von mehr als 43 Millionen Euro betroffen. Diese Organisationen müssen umfassende Sicherheitsmaßnahmen implementieren, um ihre Netzwerke und Informationssysteme zu schützen, einschließlich Risikomanagement, Notfallplänen und regelmäßigen Sicherheitsbewertungen.
Ein weiteres wichtiges Element der NIS2-Richtlinie sind die Meldepflichten. Organisationen müssen Sicherheitsvorfälle innerhalb von 24 Stunden nach deren Entdeckung melden, um eine schnelle Reaktion und Schadensbegrenzung zu ermöglichen. Die Führungskräfte der betroffenen Unternehmen sind stärker in die Verantwortung genommen, um sicherzustellen, dass Cybersicherheitsmaßnahmen ordnungsgemäß umgesetzt werden.
Die Umsetzung der NIS2-Richtlinie in nationales Recht erfolgt in den EU-Mitgliedstaaten schrittweise. Für Deutschland und Österreich wird erwartet, dass die nationalen Gesetze zur Umsetzung der NIS2-Richtlinie spätestens bis Herbst 2024 in Kraft treten. Dieser Zeitpunkt kann sich jedoch verschieben, je nachdem, wie schnell die nationalen Gesetzgebungsverfahren abgeschlossen werden.
Die NIS2-Richtlinie stellt somit einen wichtigen Schritt zur Verbesserung der Cybersicherheit in der EU dar. Durch die Erweiterung des Geltungsbereichs, die Verschärfung der Sicherheitsanforderungen und die verstärkten Meldepflichten sollen die Resilienz und der Schutz kritischer Infrastrukturen und digitaler Dienste verbessert werden. Unternehmen und öffentliche Verwaltungen, die unter die NIS2-Richtlinie fallen, müssen proaktive Maßnahmen ergreifen, um die neuen Anforderungen zu erfüllen und ihre Cybersicherheit zu stärken.
Beginnen sie jetzt mit der NIS2 Umsetzung, wenn sie zu den benannten Einrichtungen und Unternehmen gehören!
Die NIS2-Richtlinie verpflichtet Einrichtungen und Unternehmen, Risikomanagementmaßnahmen für ein hohes Cybersicherheitsniveau zu ergreifen. Wir können öffentliche Verwaltungen sowie kleine und mittlere Unternehmen (KMU) auf ihrem Weg unterstützen. Mithilfe unseres Self-Assessment-Systems NIS „SINuS“ auf Grundlage des vom BSI initiierten Projektes „Weg in die Basis-Absicherung“ (WiBA) lässt sich effizient die Risikoanalyse nach den BSI-Gefährdungen und/oder die Anwendbarkeit der ISO Controls (Statement of Applicability, SoA) nach ISO 27001:2022 Anhang A erfüllen. Die Risikobewertung wird in Form einer Selbstbewertung durch sie selbst durchgeführt. Sie benötigen an dieser Stelle keine externe Beratung.
WiBA wurde vom BSI entwickelt, um den Einstieg in den IT-Grundschutz für Behörden, Unternehmen und Einrichtungen zu vereinfachen. Es eignet sich ebenso für öffentliche Verwaltungen wie auch für betroffene Einrichtungen der KMU.
Bewerten sie ihren IST-Stand, identifizieren sie die Risiken und implementieren sie Maßnahmen, um das Risiko zu reduzieren. Hierzu werden ihnen zu jeder Frage zahlreiche Maßnahmenempfehlungen angeboten. Mehr unter: www.sinus-nis.cloud.
Informieren Sie sich auch hier oder vereinbaren Sie einen Termin zur Vorstellung unseres Systems. Bei Fragen oder zur Einladung in das Test-Team wenden Sie sich per E-Mail unter: b.schubert@ds-lud.de oder telefonisch unter: 03378/205729 an uns. Oder buchen Sie hier direkt einen Termin.
Cookies und Trackingdienste werden vom EuGH gefressen
Am 01.10.2019 hat der Europäische Gerichtshof (EuGH) ein Grundsatzurteil zur Verwendung von Cookies getroffen. Demnach ist der Einsatz von „nicht notwendigen Cookies“ nur noch mit einer aktiven Einwilligung gestattet. Sowohl die gewöhnlichen Cookie-Banner mit Bestätigung der Kenntnisnahme zur Verwendung von Cookies als auch mit einem Haken voreingestellte Consent-Lösungen sind ab sofort unzulässig!
WICHTIG Werbe- und Tracking-Cookies dürfen nicht schon aktiv sein bzw. gespeichert werden, bevor der Webseitenbesucher sich gegen deren Verwendung entscheiden kann. Vielmehr muss der Webseitenbesucher aktiv einwilligen.
Das Urteil hat zur Folge, dass es zukünftig für das Marketing sehr schwer wird, Onlinemarketing zu betreiben. Webseitenbesuche werden zusätzlich nur noch schwer auswertbar sein. In jeder schlechten Nachricht, hier insbesondere für die Marketingabteilung, ist aber auch etwas Positives zu finden. Als Datenschützer sehen wir den Betrieb von Webseiten immer als kritisch an. Durch die eingesetzten Tracking-Scripte wie Google Analytics oder Google Ad war es bisher dem Datensammler Google möglich, ein sehr detailliertes Persönlichkeitsprofil von Nutzern zu erstellen; besser als jeder Geheimdienst. Google stellt zwar Tools zur Abwehr dieser Dienste bereit, kaum einer kennt aber diese. Nun werden Datensammler zukünftig in Europa nicht mehr so einfach an die Nutzerdaten Unwissender herankommen. Unsere Persönlichkeitsrechte werden aktiv gestärkt, dass werden auch die Richter am EuGH im Hinterkopf gehabt haben, als sie das Urteil sprachen.
Keine Einwilligung bei vorangekreuzter „Checkbox“
Das Problem: Der Otto-Normalwebseitenbesucher erkennt nicht, dass im Hintergrund Daten über ihn gesammelt und ausgewertet werden, dass Profile über ihn erstellt, ausgewertet und ggf. weiterverkauft werden, um direkten Einfluss auf seine Entscheidungen zu nehmen. Hinzu kommt, dass diese Datensammlung nur über Advertising-Tools von weiteren Drittanbieter, wie Google Ad, angeboten werden, die somit ebenfalls Daten erhalten und nutzen.
Die Antworten des EuGHs auf die aktuelle Geschäftspraxis fielen deutlich aus. Da die Vorgaben der DSGVO zur Einwilligung in die Datenspeicherung, -übermittlung und -auswertung durch Dritte insbesondere ein aktives Verhalten voraussetzen und eine „Nichthandlung“ keine Einwilligung darstellen kann, war es eigentlich klar, dass der EuGH in einer vorangekreuzten Checkbox oder in einem Cookie-Banner ohne Entscheidungsmöglichkeiten keine wirksame Einwilligung erkennen kann.
Empfehlung zu Software-Produkten
Es gibt zahlreiche Anbieter für Consent-Lösungen. Zur Umsetzung der Erfordernisse können Sie sich mal das Tool von
Comply: https://comply-app.com/features/consent-management
Usercentrics: https://usercentrics.com oder
Consentmanager.net: https://www.consentmanager.net ansehen.
Hohe Bußgelder für zu geringe IT-Sicherheit
Der Hotelkette Marriott droht ein hohes Bußgeld im dreistelligen Millionenbereich wegen Verstoß gegen die EU Datenschutz-Grundverordnung (DSGVO). Bei Marriott ist Ende 2018 ein Hack bekanntgeworden, der Daten von vermutlich 339 Millionen Kunden betraf. Im November 2018 hatte der Hotelkonzern eingestanden, dass Dritte unerlaubt auf die Reservierungsdatenbank der Marriott-Tochterfirma Starwood zugegriffen haben. Größtenteils seien nur Daten wie Namen und Adressinformationen abgegriffen worden, aber in einigen Fällen auch vertrauliche Daten wie Pass- und Kreditkartennummern, teilweise sogar unverschlüsselt.
Das Unternehmen hat nach Ansicht der zuständigen Aufsichtsbehörde gegen den Grundsatz verstoßen, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn eine angemessene Sicherheit dieser gewährleistet wird. Hierfür sollen insbesondere geeignete technische und organisatorische Maßnahmen eingesetzt werden, um vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust zu schützen. Die technischen und organisatorischen Maßnahmen der genannten Unternehmen sind demnach nicht ausreichend gestaltet worden, um solch einem Risiko entsprechend entgegenzuwirken.
Den Vorfall möchten wir gern zum Anlass nehmen, das Thema „Passwortmanagement“ aufzugreifen. Die Umsetzung der internen Vorgaben; für jedes System ein anderes, mind. 12-stelliges, komplexes Passwort zu verwenden, endet zumeist in der Erfassung von Zugangsdaten in einer Excelliste. Da sowohl die Passwortlisten in Papier als auch als Excel- oder Worddateien nicht den Sicherheitsanforderungen entsprechen, die Vertraulichkeit der Zugangsdaten sicherzustellen, möchten wir den Einsatz eines Passwortmanagers nahelegen.
Der Vorfall in der Hotelkette Marriott lässt vermuten, dass auch hier ein schlechtes Passwortmanagement die Ursache war. Bei einem Verlust der Vertraulichkeit von Kundendaten inkl. Zahlungsdaten durch einen Missbrauch von Passwörtern hätten Sie auch in Deutschland gegenüber den Aufsichtsbehörden nur wenig Argumente, wenn nicht die technischen Lösungen genutzt werden, die es auf dem Markt gibt.
Empfehlung zu Softwareprodukten
Wir empfehlen derzeit nachfolgende Passwortmanager, da in diesen eine Benutzerverwaltung integriert ist, die es ermöglicht, dass Anwender die Passwörter nicht im Klartext lesen können:
- Keeper (Onlineanwendung) https://keepersecurity.com/de_DE/
- Lastpass (Onlineanwendung) https://www.lastpass.com/de
- PasswordSafe Professional (lokale Netzwerklösung) https://www.passwordsafe.de/kaufen/