EU-DSGVO - was ist zu tun?

EU DSGVO2Mit Einführung der EU-DSGVO werden umfangreiche Dokumentations-Pflichten eingeführt (Artikel 5, Absatz 2) und außerdem gibt es eine Beweislastumkehr bei Cloud- und Auftrgagsdatenverarbeitungen (Artikel 82). Hohe Strafen (20 Millionen Euro bzw. 4% vom Jahresumsatz!) sollen dafür sorgen, dass die Bestimmungen auch eingehalten werden.
Es muss kein Schaden eingetreten sein, die Verantwortlichen müssen jederzeit nachweisen können, dass sie alle erforderlichen Maßnahmen zur Einhaltung der DSGVO getroffen haben. Das ist die Konsequenz der Beweislastumkehr nach Artikel 82.

In einem modernen Betrieb werden neben PC Arbeitsplätzen und Servern auch immer mehr Smartphones, Tablets und andere mobile Devices eingesetzt. Jedes dieser Geräte speichert in irgend einer Form personenbezogene Daten (und sei es nur die Kontaktliste). Wenn nun geschäftliche und private Daten auf diesen Geräten verwendet wird, müssen Maßnahmen getroffen werden, um eine sichere Trennung zu gewährleisten. Auch auf diesen Geräten müssen personenbezogene Daten gemäß DSGVO geschützt werden.

 

Für den Umgang mit personenbezogenen Daten gelten strenge Regeln:

  • Der für die Datenverabeitung Verantwortliche muss jederzeit nachweisen können, dass alle Regeln der DSGVO eingehalten werden.
  • Die Gründe zur Verarbeitung der personenbezogenen Daten müssen valide und dokumentiert sein.
  • Die Verarbeitung muss gesetzeskonform, angemessen und transparent sein.
  • Es muss einen klaren und triftigen Grund für die Verarbeitung der personenbezogenen Daten geben.
  • Es dürfen nur die Daten verarbeitet werden, die dem betreffenden Zweck eindeutig dienlich sind (Datensparsamkeit).
  • Zugang darf nur den Personen gewährt werden, die ihn für den betreffenden Zweck benötigen.
  • Daten müssen korrekt sein, Fehler müssen beseitigt werden (Datenwahrheit)
  • Daten dürfen nur so lange gespeichert werden, wie es für den betreffenden Zweck notwendig ist.
  • Es müssen technische und organisatorische Maßnehmen ergriffen und dokumentiert werden, die verhindern, dass ein Verlust, genauso wie eine Verarbeitung, durch Unbefugte stattfindet
  • Wenn ein Sicherheitsproblem aufgetreten ist (z.B. ein Virus auf einem PC!), muss dieser Vorfall, eine Beurteilung der Auswirkungen, die getroffenen Maßnahmen zur Problembeseitigung und zum Schutz vor Wiederholung den Behörden gemeldet werden
Sprechen Sie mit uns - wir helfen Ihnen dabei, daß Sie für die EU-DSGVO vorbereitet sind!

EU - DSGVO - Datenschutzverordnung ab 2018


EU DSGVOEU DSGVO - ein sperriger Begriff. Leider wird diese kryptische Bezeichnung vielen Unternehmen noch große Kopfschmerzen verursachen.

Die Euröpäische Datenschutz-Grundverordnung gilt ab 25. Mai 2018 und sie ersetzt das bisher in Deutschland geltende Bundesdatenschutzgesetz. Der Hintergedanke ist das zu begrüßende Ziel, dass in ganz Europa vergleichbare Anforderung an den Datenschutz gestellt werden und damit keine Wettbewerbsvorteile durch Verlagerung von Aktivitäten in ein anderes E.U.-Land mit geringeren Datenschutzanforderungen entstehen.

Es sprengt den Rahmen, hier auf alle Änderungen einzugehen. Nur soviel: Datenschutz wird nicht mehr "nebenbei machbar", sondern es bedarf umfangreicher Vorbereitung im Hinblick auf Dokumentation, Verfahrensanweisungen und Datenhaltung. Nicht zu vergessen sind die erheblichen Bußgelder, die bei Nichtbeachtung von Vorschriften oder vorgesehenen Abläufen drohen.

Wir haben uns intensiv mit den Änderungen und den daraus notwendigen Konsequenzen beschäftigt. Sprechen Sie uns an; wir sind gerne bereit, die Sie betreffenden Dinge zu analysieren und mit Ihnen gemeinsam ein System zu entwickeln, mit dem Sie für die zukünftigen Datenschutzbelange gerüstet sind.


Datenschutz und Datensicherheit


Datenschutz

Nicht erst seit den Vorgängen um Edward Snowden ist es sinnvoll, sich um die Sicherheit der persönlichen und Unternehmensdaten Sorgen zu machen. Jeder weiß, dass die großen Serviceprovider wie Google, Facebook, Apple, aber auch viel benutzte Dienste wie WhatsApp oder Dropbox den persönlichen Datenschutz der Nutzer nicht gerade ernst nehmen. Aus den Daten, die der Benutzer freiwillig zur Verfügung stellt (auch wenn es nur eine Suche in Google ist!), werden Profile gebildet, über die der Benutzer in Gruppen eingeordnet wird, wo er vielleicht gar nicht dazu gehören will.


Gegen diese Datenkraken kann man kaum etwas unternehmen - man kann aber sehr wohl den Einfluss auf das eigene Unternehmen oder die eigene Persönlichkeit minimieren. 

Es gibt natürlich Informationen, die möchte man veröffentlichen. Ein Unternehmen, das sich versteckt, wird kaum neue Kunden gewinnen.

Wir können Ihnen helfen, dass Ihre Daten sicher sind. Wir bieten Ihnen

  • eigene Email-Server, auf die fremde Dienste keinen Zugriff haben
  • eigene Cloud Server, auf die nur berechtigte Personen Zugriff haben
  • Server-Strukturen, die in einem Hochsicherheitsrechenzentrum in Deutschland angesiedelt sind
  • Kompetenz durch regelmäßige Weiterbildung unserer Mitarbeiter
  • qualifizierte Beratung über Datenschutz und Datensicherheit in Ihrem Unternehmen
  • zertifizierte Datenschutzbeauftragte

Bei uns sind Ihre Daten sicher!


Wie geht's weiter nach dem WhatsApp Urteil?


WhatsApp

Nach dem Urteil des Amtsgerichts Bad Hersfeld muss man, ehe man sich bei WhatsApp anmeldet, die Einverständnis jeder Person einholen, deren Daten man in den Kontakten seines Smartphones gespeichert hat.

"Wer den Messenger-Dienst 'WhatsApp' nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen. Wer durch seine Nutzung von 'WhatsApp' diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung ..." - so das Gericht.

Wie mittlerweile bekannt wurde, erfolgt ein Datenabgleich ja auch mit den Profilen von Facebook, so dass über diese WhatsApp/Facebook-Schiene eine weitreichende Profilbildung über Personen erfolgt, die davon nicht einmal etwas erahnen können.

Das Urteil ist nun bereits einige Zeit alt und was hat sich seit dem geändert? Erkennbar nichts! Es scheint völlig unverständlich, dass eine derartige Verletzung der informellen Selbstbestimmung völlig ohne Reaktion bleibt. Ich kenne niemand, der daraufhin sein WhatsApp-Konto gelöscht hätte. Vermutlich müssen wirklich erst mal Abmahnanwälte tätig werden, damit die Problematik in den Focus der Nutzer gerät.

Aber vielleicht ändert sich ja doch bald etwas: Der Verbraucherzentrale Bundesverband hat WhatsApp verklagt. Die Geschäftspraktiken von WhatsApp werden kritisiert und müssten geändert werden. Jeder Nutzer muss die Hoheit über seine Daten haben, so die Verbraucherschützer. "Die Verbraucherzentrale NRW sieht WhatsApp in der Pflicht, für eine datenschutzkonforme Umsetzung der Kontaktsynchronisation zu sorgen", sagte ein Sprecher.

Ob allerdings ein deutscher Verbraucherschutzverband in der Lage ist, einem amerikanischen Konzern erfolgreich Grenzen zu setzen, ist zweifelhaft.


Datensicherung - sind die Daten wirklich sicher?


CDs

In den meisten Unternehmen gibt es wohl Abläufe, die für eine regelmäßige Sicherung der Daten sorgen. Was bei Privatpersonen vielleicht nur ärgerlich ist, kann für Unternehmen existenzbedrohend werden. Der Verlust wichtiger Daten kann ein Unternehmen in den Ruin führen.

Moderne Hardware ist zuverlässig

Datenverlust durch defekte Hardware ist äußerst selten. Die Logfiles der Datensicherung werden mehr oder minder regelmäßig überwacht. Vielleicht gibt es noch eine Kopie der Daten, die auf externen Datenträgern außerhalb derr Serverumgebung im Tresor aufbewahrt wird. Was soll schief gehen? Und doch kommt es vor, dass selbst gespiegelte Datenbestände plötzlich weg sind.

Viele einzelne Dateien

Es gibt einen Punkt, der vielfach übersehen wird: Moderne IT-Systeme enthalten tausende, ja Millionen von Dateien. Es ist nicht möglich, die Protokolle so detailliert zu überwachen, dass man sicher sein kann, dass wirklich der gesamte Datenbestand im Sicherungsarchiv enthalten ist. Der kritische Punkt ist deshalb die Vollständigkeit der Datensicherung.

Konsequenz

Eine Datensicherung ist erst dann komplett, wenn sie regelmäßig auf Konsistenz und Vollständigkeit überprüft wird. Das ist in im Laufenden Betrieb schwierig zu realisieren. Aus diesem Grund muss der Katastrofenfall regelmäßig durchexerziert werden. Man muss regelmäßig eine vollständige Systemwiederherstellung auf einem leeren System vornehmen, um wirklich sicher sein zu können, dass die Datensicherung funktioniert.

Sicherungs- und Wiederherstellungskonzepte durch CSA

Unser Angebot:
  • Überprüfung Ihres Sicherungskonzeptes
  • Organisation von Datensicherungs- und Wiederherstellungskonzepten
  • Regelmäßige Durchführung von Notfallprozeduren
  • Zertifizierung des Sicherungs- und Wiederherstellungskonzepts

Wir sorgen dafür, dass Sie ruhig schlafen können