Datenschutz

Zentrale Ansprechstellen
Cybercrime der Polizeien für Wirtschaftsunternehmen


Die Vereinten Nationen wurden im Juli 2019 mit EMOTET gehackt.
Möglich wurde das, weil nicht gepatcht worden war.
Im Bericht steht laut dem verlinkten Artikel, dass der Angriff mit einem einfachen Patch zur Behebung eines Softwarefehlers hätte vermieden werden können.
Der Hack war sehr ausgefeilt und wird staatsnahen Gruppen zugeschrieben.
Unter den dutzenden kompromittierten UN-Servern waren auch Systeme in den Menschenrechtsbüros und der Personalabteilung. Dabei wurden auch Administratorkonten übernommen, so ein vertraulicher UN-Bericht, der New Humanitarian vorliegt. Der Hack ist einer der größten, der jemals in der UN bekannt wurde.
Beim Hack wurden Personaldaten, die Krankenversicherungsdaten von Mitarbeitern und die Daten von Handelsverträgen kompromittiert. Die Mitarbeiter wurden gebeten, ihre Passwörter zu ändern, aber niemand informierte sie über den Hack.

Und dann wollte man das alles unter der Decke halten.
Das kam durch Zufall ans Tageslicht, weil Journalisten von The New Humanitarian bei einer Recherche auf einen vertraulichen Bericht stießen, der den Hack beschrieb.

Aufgrund der diplomatischen Immunität ist die UNO nicht verpflichtet, den Hack öffentlich zu machen oder die Betroffenen zu benachrichtigen.

Quelle: Borncity, BleepingComputer


Der Berliner Datenschutzbeauftragte hat das zweithöchste Bußgeld seit Inkrafttreten der DSGVO verhängt.
Die Immobiliengesellschaft "Deutsche Wohnen" hatte personenbezogene Daten gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.

Dieser Entscheid ist aus mehreren Gründen bedeutsam.

• Wie erwartet steigen die DSGVO-Bußgelder in Deutschland
• Löschfristen werden ein wichtiges Thema
• Überprüfen Sie Ihre Datenverarbeitung auf eine Rechtsgrundlage nach DSGVO Art. 6

Über die Internetseite präsentiert sich ein Unternehmen öffentlich und an keiner Stelle ist man so angreifbar für Versöße gegen die DSGVO.
Das gilt überwiegend gegenüber Abmahnern, aber letztendlich auch gegenüber Datenschutz-Behörden und Kunden.

Internetseiten übertragen systembedingt Kundendaten an den Webprovider.

Oft können auf Internetseiten Daten eingegeben werden, sei es in Kontaktformularen, Kommentaren oder Blogs, bei Logins oder Übermittlung von Bankingdaten, Zählerständen usw.

Viele Webseiten verwenden Cookies, um Informationen für einige Zeit lokal auf dem PC zwischenzuspeichern und bei Bedarf dem Webserver wieder zur Verfügung zu stellen.

Häufig werden Google Webfonts verwendet, um eine einheitliche Darstellung des Schriftbildes bei allen Anwendern zu erreichen.

Richtig kompliziert wird es bei der Nutzung von Sozial Media Plugins und Einbindung von Seiten von Drittanbietern.

Beim Arbeitsmedizinischen Dienst liegt eine eigenständige Verarbeitung vor, ein Vertrag zur Auftragsverarbeitung ist nicht erforderlich.

Begründung:
Keine Auftragsverarbeitung liegt lt. DSK Kurzpapier Nr. 13 vor bei Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, der für die Verarbeitung personenbezogener Daten eine eigene Rechtsgrundlage gemäß Art. 6 DSGVO besitzt.
Beispiele dafür sind die Einbeziehung eines Berufsgeheimnisträgers wie Steuerberater, Rechtsanwälte, Wirtschaftsprüfer oder ext.Betriebsarzt.
Es besteht autonome Entscheidungskompetenz mit einem unabhängigen Zweck der Verarbeitung.

Die Datenverarbeitung findet auf Rechtsgrundlage DSGVO Art. 9 Abs. 2 Lit. h) statt.

Unser Angebot - Ihr externer Datenschutzbeauftragter.

Der Umfang hängt erheblich davon ab, welche Voraussetzungen vorhanden sind (z.B. Firmengröße, Art der verarbeiteten Daten, Datenschutzdokumente, Sicherheitskonzepte, Verfahrensverzeichnis, vorhandene Schulungen und Dienstanweisungen) und welche Leistungen Sie selbst erbringen möchten.
Zunächst fallen Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend auf Stundenbasis.

Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht als Ansprechpartner zur Verfügung. Die Abrechnung erfolgt monatsbezogen pauschal oder auf Basis der erbrachten Einzelleistungen.
Die Kosten betragen je nach Umfang ab ca. 150,- EUR p.m. Netto.


Für Unternehmen bedeuten die DS-GVO einige Anpassungen und einen deutlichen organisatorischen Mehraufwand.
Wir stehen für Sie unter anderem für folgende Aufgaben mit oder ohne Vertrag (außer ext. Datenschutzbeauftragter) zur Verfügung:
  • kostenloses Beratungsgespräch vor Ort
  • Benennung als Ihr externer Datenschutzbeauftragter
  • Unterstützung Ihres internen Datenschutzbeauftragten
  • Beratung in Datenschutz und IT-Grundschutz
  • Schulung, Senibilisierung und regelmäßige Information zu aktuellen Datenschutz-Themen
  • Einrichtung einer Datenschutz-Management Software zur Dokumentation und vereinfachten Bearbeitung aller Vorgänge
  • Überprüfung der Internetseite auf Datenschutz-Konformität, Erstellung einer Datenschutzerklärung
  • Erarbeitung von Mitarbeiterverpflichtungen und Unternehmensrichtlinien
  • Überprüfung Ihrer Partnerverträge, Erarbeitung einer Vereinbarung zur Auftragsdatenverarbeitung
  • Iststand-Analyse und Erstellung einer Anlage TOM (Technisch organisatorische Maßnahmen)
  • Unterstützung bei der Erarbeitung eines Verfahrensverzeichnisses
  • Erarbeitung von Formularen, Informationsblättern und Verfahren für den datenschutzkonformen Umgang mit Personendaten
  • Unterstützung bei der Bearbeitung von Datenschutzvorfällen oder Betroffenenanfragen
  • Datenschutzrechtliche Beurteilung von Prozessen und Verfahren
Aus gesetzlichen Gründen leisten wir keine Rechtsberatung.

Es kommt vor dass die Polizei mit einem Auskunftsersuchen Unternehmen dazu auffordert, personenbezogene Daten ihrer Kunden hinsichtlich der Ermittlung in einer bestimmten Strafsache preiszugeben.
Hierbei handelt es sich um eine Datenweitergabe an Dritte, die einer Rechtsgrundlage nach DSGVO bedarf.

Da die Daten in den wenigsten Fällen zum Zwecke der Übermittlung an Strafverfolgungsbehörden erhoben werden, liegt außerdem eine sogenannte „Weiterverarbeitung“ vor. Mehr dazu im Artikel.

Die Strafverfolgungsbehörden müssen die Datenerhebung durch Abfrage auf eine Rechtsgrundlage stützen können.

Unternehmen sollten folgende Punkte prüfen:
  • den Tatvorwurf
  • den Zweck der Verarbeitung durch die Ermittlungsbehörde
  • die Rechtsgrundlage der Anfrage
  • ggf. gesetzliche Verpflichtung zur Übermittlung.
Außerdem muß die Identität des Anfragenden vor der Datenübermittlung geprüft werden.

Nach § 24 Abs.1 Nr.1 BDSG können Daten u.a. übermittelt werden, wenn sie zur Verfolgung von Straftaten erforderlich sind und die Interessen des Betroffenen an dem Ausschluss der Übermittlung nicht überwiegen.
Eine Übermittlung ist demnach nur zulässig bei Straftaten, nicht bei Ordnungswidrigkeiten.

Ebenfalls zu berücksichtigen ist, dass bestimmte Berufsgruppen und Geheimnisträger ein Zeugnisverweigerungsrecht haben, weil sie gemäß § 203 StGB der Schweigepflicht unterliegen.

Bei ehemaligen Mitarbeitern sind die Löschfristen der Personendaten zu beachten.

Da § 24 BDSG nur die Zulässigkeit der Übermittlung, aber keine Pflicht dazu vorsieht, sollten Unternehmen bei Behörden nach einer gesetzlichen Verpflichtung zur Übermittlung fragen (bspw. Auskunftsersuchen durch die Staatsanwaltschaft oder durch die Polizei im Auftrag der Staatsanwaltschaftm §§ 161 a Abs. 1, 163 Abs. 3 StPO).

Soll eine Übermittlung der Personendaten stattfinden, hat zunächst die Information des Betroffenen nach Art. 13 Abs. 3 DSGVO zu erfolgen.

Wenn andere Unternehmen Zugriff auf Ihre Personendaten haben, handelt es sich meist um Auftragsverarbeitung nach DSGVO Art.28.
Leider ist das alles andere als klar.
Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.
Die bloße Möglichkeit des Datenzugriffs durch den Auftragnehmer genügt dabei schon.
Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber, er ist der Hauptverantwortliche für den Datenschutz.
Der externe Auftragnehmer wird bei der Auftrags(daten)verarbeitung nur unterstützend tätig.

Keine Auftragsverarbeitung liegt bei einer sogenannten Funktionsübertragung vor.
Dabei ist die genaue Abgrenzung von Auftragsverarbeitung und Funktionsübertragung nicht immer eindeutig.
Der externe Auftragnehmer/Dienstleister ist im Rahmen einer Funktionsübertragung nicht weisungsgebunden, sondern kann frei entscheiden, was mit den Daten des Unternehmens geschieht und er hat ein eigenes Interesse an den Daten des Unternehmens.

Auftragsverarbeitung muß mit einem Vertrag zur Auftragsverarbeitung entsprechend DSGVO Art. 28 geregelt werden.
Die Verantwortung für die Daten und somit auch für den Vertrag liegt beim Auftraggeber.
Der Vertrag muß alle im Gesetz definierten Punkte beinhalten, seine Existenz ist zwingend vorgeschrieben und bußgeldbewährt.
Der Vertrag muß nicht schriftlich, sondern kann auch elektronisch abgeschlossen werden.

Zur Zeit werden Fragebögen zur Umsetzung der DS-GVO vom Thüringer Landesdatenschutz an rund 17.000 Thüringer Firmen versendet.
Die Beantwortung der Fragebogen ist freiwillig.
Dr. Hasse sagte dem MDR, dass er aber auch eine verpflichtende Umfrage in Erwägung zieht, wenn zu wenige Antworten kommen.

Unternehmen haben für die Antwort eine Woche Zeit. Das ist gerade jetzt in der Weihnachtszeit eine sehr kurze Zeitspanne.

Der Fragebogen besteht aus 7 Absätzen:
  1. Betrieblicher Datenschutzbeauftragter nach Art. 37 DS-GVO i. V. m. § 38 BDSG
  2. Verzeichnis von Verarbeitungstätigkeiten
  3. Erlaubnistatbestände Art. 6 DS-GVO
  4. Informationspflichten
  5. Betroffenenrechte
  6. Datenschutz-Folgenabschätzung
  7. Auftragsverarbeitung
Bis auf das Techn. Objektmanagment (TOM) und die IT-Sicherheit sind das die wesentlichen Fragen bei der Umsetzung der DS-GVO.
Ob und welche Probleme aus einer eventuell selbst belastenden Antwort entstehen, kann man bisher nur mutmaßen.
Wer bisher gar nichts oder zu wenig zur Umsetzung der DSGVO getan hat, wird sicher diesen Fragebogen nicht ausfüllen.
Aber vielleicht ist dieser Fragebogen ein Anlaß, um sich intensiver mit den Pflichten der DS-GVO zu beschäftigen.

Mehr zu allen Punkten des Fragebogens erfahren Sie in diesem Beitrag.

 
- Seite: 1 -