Kategorie: DSGVO

Online webinars from home via Teleconference Web Video Conferenc

DSGVO konforme Konferenzlösungen

Konferenzlösungen sind in der heutigen Arbeitswelt nicht mehr wegzudenken. Sie sorgen für ortsunabhängiges Telefonieren mit Kameras und Austauschen von Dokumenten. Allerdings ist der Aspekt des Datenschutzes nicht bei allen Anbietern gegeben.

DSGVO konforme Konferenzlösungen

Bei der Vielzahl an Anbietern ist zunächst die Benutzerfreundlichkeit aber auch die Datensicherheit besonders wichtig. Zudem variieren Installationsaufwand und Kosten zwischen den verschiedenen Anbietern deutlich. Auch wenn eine Videokonferenz mit Cloudanbindung zunächst konform scheint, sollte immer bedacht werden, dass die vollständige Kontrolle über die Daten dem Dienstanbieter überlassen sind. Die Einhaltung der DSGVO ist für alle Datenverarbeitungen und Datenspeicherungen gesetzlich vorgeschrieben. Zu beachten ist, dass die Daten bei den Anbietern zwar auf dem Transportweg durch das Internet verschlüsselt werden, doch die Entschlüsselung erfolgt auf den Servern der Anbieter, also auf den Cloudservern. Obwohl die DSGVO von den Anbietern eingehalten werden muss, ist der Nutzer auf das Vertrauen der Anbieter angewiesen. Da dieses Vertrauen datenschutztechnisch sehr bedenklich ist, sollte eine sichere Alternative gefunden werden.

Konferenzlösungen bei b.r.m.

Das Bremer Unternehmen b.r.m. IT & Aerospace bietet ihren Kunden DSGVO konforme Konferenzlösungen durch ihr Green-IT zertifiziertes Rechenzentrum an. Die Dateien werden bei b.r.m. , anders als bei herkömmlichen Anbietern, nicht auf den Cloudservern in den USA entschlüsselt, sondern auf den Servern von b.r.m. in Bremen. Die Nutzung von beispielsweise Zoom ist deshalb DSGVO konform, da Zoom nicht mehr die Kontrolle über die Daten hat. Mehrere Privacy-Prinzipien sowie Technische und Organisatorische Maßnahmen (TOM) sorgen dafür, dass die Daten der Konferenzlösung nachhaltig geschützt und DSGVO konform behandelt werden.

Die DSGVO gilt für alle personenbezogenen Daten, die im Internet verarbeitet werden. Somit ist jeder Anbieter dazu angehalten diese auch zu erfüllen. Verstößen führen zu Bußgeldern von 20 Millionen Euro und bei Tech-Giganten bis zu vier Prozent des weltweiten Umsatzes. Wir bieten Ihnen bei diesem Thema die Lösung. Die Beratung und Betreuung durch b.r.m. ermöglichen Sicherheitsanalysen und Risikobewertungen Ihres Datenflusses. Bei Fragen zu unserer DSGVO konformen Konferenzlösung können Sie sich jederzeit an unseren Datenschutzexperten Harald Rossol wenden.

Ein „sicherer“ Tag bei der b.r.m. IT & Aerospace GmbH

Am heutigen Tage hatte sich das 5-köpfige DSGVO Expertenteam der b.r.m. zusammengefunden. Unter der Leitung von Herrn Harald Rossol, Herrn Markus Rossol sowie Herrn Marius Ammermann erhielt die b.r.m. heute das Testat zur DIN SPEC 27076 überreicht.

ISO27001 Tastat DIN SPEC 27076
ISO27001 Tastat DIN SPEC 27076

Das Testat wurde von den externen Sicherheitsexperten Herrn Thorsten Brendel sowie Herrn Daniel Köster überreicht.

Das ist aber nur der Anfang des sicheren Weges…

Auch wurde heute der Fahrplan zur anstehenden Prüfung und Zertifizierung nach ISO 27001 festgelegt. Es ist hier mit einer sehr kurzen Projektdauer zu rechnen.

Dies lässt sich ganz einfach auf die sehr guten und vorhandenen Zertifizierungen, Leitfäden, Managementsysteme als auch Assets bei der b.r.m. zurückführen. Der baldige Jahreswechsel bei der b.r.m. ist „genormt“

Email security, data protection, secure personal email, encrypti

Mailverschlüsselungen

Im Internet herrscht ein generelles Sicherheitsrisiko, da der Datentransfer im Internet grundsätzlich unverschlüsselt abläuft. Damit E-Mails nur von berechtigten Personen empfangen und gelesen werden dürfen, gibt es verschiedene Sicherheitsmechanismen zur Mailverschlüsselung. Dadurch werden auch Anforderungen der Datenschutzgrundverordnung erfüllt.

Mailverschlüsselungen

end-to-end encryption

Die Ende-zu-Ende-Verschlüsselung garantiert ein hohes Maß an Sicherheit im Datentransfer. Vor dem Verschicken einer Mail wird diese vom Sender verschlüsselt, bleibt über alle Übertragungsstationen hinweg verschlüsselt und wird beim Empfänger wiederum entschlüsselt. Durch diese Mailverschlüsselung gibt es einen Komplettschutz, der keine mitwissenden Zwischenstationen zulässt. Dies sorgt für eine erhöhte Vertraulichkeit, Authentizität und Integrität der Daten.

Des Weiteren werden Mails mit Hilfe von digitalen Signaturverfahren mit zwei Schlüsseln verschlüsselt. Dabei erzeugt jeder Benutzer einen privaten Signaturschlüssel (Private Key) und einen öffentlichen Verifikationsschlüssel (Public Key). Mit Hilfe des Public Key kann jeder Benutzer seine Mail verschlüsseln und nur der Besitzer des Private Key, welcher diese verschlüsselte Mail wieder entschlüsselt, kann diese wieder entschlüsseln. Der Public Key kann also nur die Daten verschlüsseln und der Private Key kann diese wieder entschlüsseln. Diese Art der Codierung nennt man asymmetrische Verschlüsselung. Sie ist zwar langsamer als die symmetrische Verschlüsselung, bei der Sender und Empfänger einen gemeinsamen Schlüssel haben, aber sicherer.

Mailverschlüsselung bei Servern

Bei E-Mail Servern gehören Verschlüsselungen zum etablierten Standard. Dies erfolgt durch verschiedene Verschlüsselungsprotokolle. Dazu gehört beispielsweise das Transport Layer Security (TLS), welches bei den meisten Webbrowsern und Webservern, wie beispielsweise Firefox, zum Einsatz kommt. Die verschlüsselte Kommunikation zwischen einem Computer und einem Webserver ist anhand des Hypertext Transfer Protocol Secure (HTTPS) oder an einem kleinen Schloss in der Browserleiste erkennbar. Für die unverschlüsselte bzw. verschlüsselte Kommunikation zwischen Mailservern werden verschiedenen Ports verschiedene Austauschprotokolle zugewiesen. Der Port 25 wird normalerweise mit dem Simple Mail Transfer Protocol (SMTP), also unverschlüsselt, verwendet. Verschlüsselte Kommunikation kann zum Beispiel über den Port 465 mit Hilfe des Simple Mail Transfer Protocol Secure ablaufen.

Das Thema Mailverschlüsselung ist sehr wichtig, da sie von Europäischen Datenschutzgrundverordnungen (DSGVO) ausdrücklich empfohlen wird. Die DSGVO ist beim IT-Service des Bremer Unternehmen b.r.m. IT & Aerospace vollumfänglich mitinbegriffen. Bei Fragen rund um Mailversand und -verschlüsselung kommen Sie gerne auf uns zu.

セキュリティイメージ デジタルトランスフォ

Microsoft Teams Sicherheitslücke

Die Plattform Teams von Microsoft wird von vielen Unternehmen für Videokonferenzen oder sonstige Chats genutzt. Dabei werden häufig auch vertrauliche Dokumente ausgetauscht. Allerdings fanden Forscher nun heraus, dass es bei Microsoft eine Sicherheitslücke gibt.

Microsoft Teams Sicherheitslücke

Microsoft Teams wird nach der Installation von vielen Unternehmen in der Standardkonfiguration gelassen und man vertraut auf die Sicherheitsbarrieren von Microsoft. Die Standardkonfiguration lässt dabei die Kommunikation von den befugten Teammitgliedern mit anderen externen Nutzern zu. Dadurch herrscht eine Grundgefahr des Phishings, einer Methode, mit der Hacker versuchen an vertrauliche Informationen eines Teammitglieds oder der Firma mit beispielsweise einem Formular zu gelangen. Das Personal ist allerdings häufig genau für diese Fälle geschult und erkennt die Gefahr aufgrund der unseriösen oder auffälligen Links in E-Mails. Zusätzlich warnt die Sicherheitsbarriere mit Meldungen und Beschränkungen vor den Angriffen.

Wo ist die Sicherheitslücke?

Ein Forscherteam vom britischen Sicherheitsunternehmen Jumpsec hat einen Weg gefunden die Sicherheitsbarriere der Standardkonfiguration von Teams zu umgehen. Dazu änderten die IT-Experten die Empfänger-ID zum Post-Request der Nachricht von Externen. Dadurch wird die Nachricht des Externen mit der Schadsoftware als eine Nachricht von einem befugten Teammitglied identifiziert und nicht von der Sicherheitskontrolle von Teams erkannt. Somit ist dieser Phishingangriff von dem geschulten Personal schwerer zu erkennen und es kommt zur Einschleusung von Schadsoftware, die wiederum alle Teammitglieder des Unternehmens gefährden können. Unbefugte sind durch diese Sicherheitslücke in der Lage an sensible Daten zu gelangen. Durch diese Sicherheitslücke ist die Einhaltung der DSGVO massiv gefährdet.

Bei dem Bremer Unternehmen b.r.m. IT & Aerospace wird die DSGVO durch ein dafür zertifiziertes Rechenzentrum gesichert. Unsere Technische und Organisatorische Maßnahmen (TOM) sowie Sicherheitsanalysen als auch Risikobewertungen verbessern die IT-Sicherheit Ihres Unternehmens. Die effiziente Beratung und Betreuung unserer Kunden verhalf b.r.m. zu etlichen Auszeichnungen im Bereich der IT-Sicherheit und sogar der Umwelt, da das Rechenzentrum von b.r.m. nicht nur DSGVO, sondern auch Green-IT zertifiziert ist. Bei Interesse können Sie gerne mit dem Geschäftsführer von b.r.m. Harald Rossol in Kontakt treten.

Manches klar – und vieles unklar in Europa: Die DSGVO – Fortsetzung

Der erste Entwurf der Verordnung stammt aus dem Jahr 2012; beschlossen wurden die neuen Paragraphen im April 2016; am 25. Mai 2018 trat die Datenschutz-Grundverordnung (auf Englisch General Data Protection Regulation – kurz GDPR) dann in Kraft. Die Intention der Verordnung ist es, europaweit den Datenschutz auf eine kongruente Grundlage zu stellen. Das Unterlaufen von Standards durch einzelne Mitgliedsstaaten sollte mit ihr wirksam unterbunden werden.

Neu für den Nutzer von Online-Diensten ist vor allem sein ‚Recht auf Vergessenwerden‘. Er erhält die Möglichkeit, das Recht, Auskunft über die gespeicherten persönliche Daten zu erhalten, und er kann das Löschen von Daten verlangen, wenn eine Speicherung “überfällig”, “unnötig” oder “unrechtmäßig” erscheint. Weiterhin müssen alle Daten von nun an ‚portabel‘ sein: Auf Wunsch kann der Kunde eines Dienstes die Herausgabe seiner Daten in strukturierter Form verlangen, so dass er diese einem anderen Anbieter übergeben kann. Generell gelten für alle Datenverarbeitungsvorgänge im Internet, wie auch in Unternehmen zwei Prinzipien: ‚Privacy by Design‘ und ‚Privacy by Default‘ – das heißt: Der Schutz der Privatsphäre muss bereits beim Aufbau eines Datenverarbeitungsvorgangs miteinbezogen werden, und die Voreinstellungen müssen privatsphäreschützend eingerichtet sein.

Wer bei der Datenverarbeitung mit einem externen Dienstleister kooperiert, der darf sich bei b.r.m. heute schon sicher sein, dass unsererseits bei der Auftragsverarbeitung (AV) keine Verstöße gegen die neue Verordnung erfolgen. Auch die genannten Privacy-Prinzipien werden stets strikt eingehalten. Das Anlegen eines ‚Verzeichnisses der Verarbeitungstätigkeiten‘, welches die DSGVO fordert, ist bei uns längst implementiert. Ferner sind alle Verarbeitungstätigkeiten lückenlos dokumentiert. In allen Fragen rings um die DSGVO sind wir damit Ihr kompetenter Ansprechpartner, allein schon deshalb, weil Harald Rossol, der Geschäftsführer von b.r.m., zugleich als anerkannter Datenschutzbeauftragter arbeitet. Assistiert wird er hierbei von dem Senior Consultant Rainer Dedermann – genügend ‘Manpower’ ist bei b.r.m. damit stets vorhanden.

Beratung und Betreuung in allen Fragen der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) für Bremen und Umgebung läuft mit uns an Ihrer Seite völlig reibungslos – von den Technischen und  Organisatorischen Maßnahmen (TOM) über die Risikobewertung bis hin zum Verzeichnis der Verarbeitungstätigkeiten.

Von der DSGVO ist übrigens jeder betroffen, der personenbezogene Daten im Netz verarbeitet, vom kleinen Blogger bis hin zu globalen Giganten wie Facebook oder Google. Als ‚personenbezogen‘ gelten alle Merkmale wie Name, Geschlecht, Hautfarbe, politische Einstellung und sexuelle Orientierung, aber auch Autokennzeichen oder Kleidergrößen. Sobald Daten u.a. erhoben, gespeichert, verändert, ausgelesen oder übertragen werden, gilt dies als eine ‚Verarbeitung‘. Wer eine Webseite betreibt, der muss künftig jeden Besucher darüber aufklären, welche Daten er zu welchem Zweck erhebt und speichert. Ausgenommen hiervon sind allein Justiz und Strafverfolgung. Kontrolliert wird die Einhaltung der DSGVO von den Datenschutzbehörden. Maßgeblich für die Zuständigkeit ist die Hauptniederlassung eines Betreibers oder Unternehmens.

Auch nicht unbedeutend: Die Online-Datenschutzerklärungen müssen künftig ‚allgemeinverständlich‘ sein, sie dürfen also kein ‘Juristen-Chinesisch’ enthalten, was natürlich einen breiten Interpretationsspielraum öffnet. Neu ist auch die ‚datenschutzrechtliche Selbstauskunft‘: Jedes Unternehmen muss innerhalb eines Monats einem Bürger Auskunft darüber geben, welche Informationen über ihn dort zu welchem Zweck und wie lange gespeichert sind.

Die Grenze zwischen ‚privat‘ und ‚kommerziell‘ wird jetzt trennschärfer gefasst. Poste ich bspw. Bilder meines  Gemüsegärtchens, dann bleibt dies unkritisch. Verkaufe ich aber die dort gezeigte Hollywoodschaukel, dann fällt die Webseite künftig unter die Datenschutz-Grundverordnung. Das gilt auch für ‚Affiliate-Angebote‘, also dort, wo der Betreiber einer Webseite auf einen anderen Anbieter verlinkt. Derartige Plug-Ins, ob nun unter WordPress oder Firefox, sollten private Betreiber besser abschalten, bis rechtliche Klarheit herrscht.

Wesentlich ist auf alle Fälle eine Adaption der Datenschutzerklärung und der allgemeinen Geschäftsbedingungen auf jeder Webseite, sonst öffnet man bloß den ‚Abmahnwälten‘ Tür und Tor. Fragen Sie im Zweifel einfach unsere betrieblichen Datenschutzbeauftragten Harald Rossol und Rainer Dedermann.

Für viel Unruhe sorgten vor allem die angedrohten finanziellen Sanktionen bei Verstößen. Lag das Bußgeld bisher maximal bei 300.000 Euro, können jetzt – abhängig von der Schwere des Verstoßes – bis zu 20 Mio. Euro fällig werden (Art. 83 DSGVO). Eine Extra-Regel, die sich vor allem gegen die Tech-Giganten richtet, macht auch eine Strafe bis zu vier Prozent des weltweiten Umsatzes möglich, und letztlich auch den Zugriff aufs Privatvermögen.

 

Bei Vorliegen eines Datenschutzvorfalles hat eine Meldung an die zuständige Datenschutzbehörde immer zu erfolgen (Meldepflicht), außer wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Wenden Sie sich in jedem Fall an Ihren Datenschutzbeauftragten. Auch die betroffenen Personen müssen benachrichtigt werden, wenn ein hohes Risiko für deren Rechte und Freiheiten bestehen könnte. Ein hohes Risiko liegt beispielsweise vor, wenn Daten aus den “besonderen Kategorien” (Art. 9 DSGVO), z. B. Gesundheitsdaten oder politische Ansichten, in unbefugte Hände geraten.

Die DSGVO lässt natürlich noch manche Fragen offen: Was sind bspw. ‚berechtigte Interessen‘ (Art. 6 Abs. 1 lit. f) DSGVO) eines Unternehmens? Die Verordnung enthält eine Fülle von solchen schwammigen Formulierungen, die erst durch Gerichtsentscheidungen zu klären sind. Hilfestellungen geben die Erwägungsgründe. Auch musste das nationale Datenschutzrecht durch ein neues Bundesdatenschutzgesetz an die DSGVO angepasst werden. Andererseits gibt es jetzt keine Fluchtmöglichkeit vor dieser Verordnung mehr, zum Beispiel nach Übersee. Der Rahmen ist für alle gleich. Die Verordnung gilt unabhängig von der Herkunft für jeden, der innerhalb der EU Daten erheben oder auswerten will – sie gilt also auch für Google oder Facebook.

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO durch einige sogenannte ‚Öffnungsklauseln‘. Dies ist beispielsweise der Fall in  § 26 BDSG, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ausführt. Hier hat der Gesetzgeber spezifischere Vorschriften festgelegt.

Bei Fragen zur neuen DSGVO und zu einem rechtskonformen IT Service in der Hansestadt Bremen und Umgebung wenden Sie sich am besten einfach an uns. Gerne können Sie sich direkt mit unseren Datenschutzbeauftragten Harald Rossol und Rainer Dedermann in Verbindung setzen.

Alles unter Kontrolle?

Die Technisch-Organisatorischen Maßnahmen (TOM‘s)

Die DSGVO macht eine ganze Reihe von technisch-organisatorischen Maßnahmen (TOM’s) jetzt zur Pflicht für jeden Anbieter und Verarbeiter digitaler Dienstleistungen. Nicht alle sind neu, oft handelt es sich auch um Bestimmungen, wie sie sich bereits in den nationalen Datenschutzgesetzen fanden. In der Regel handelt es sich stets um Kontrollmaßnahmen, die auch dokumentiert und zertifiziert sein müssen. Hier die zehn wichtigsten TOM‘s, welche das Pflichtenheft der DSGVO jetzt umfasst:

1. Zugangskontrolle: Unbefugte sind von allen Einrichtungen, mit Hilfe derer eine Datenverarbeitung durchgeführt wird, fernzuhalten.

2. Zugriffskontrolle: Es muss sichergestellt sein, dass Mitarbeiter nur auf jene Daten Zugriff haben, welche ihrer Zugangsberechtigung entsprechen.

3. Datenträgerkontrolle: Es ist sicherzustellen, dass Daten nicht unbefugt ausgelesen, verändert oder gar gelöscht werden können.

4. Transportkontrolle: Personenbezogene Daten müssen auch bei der Übermittlung oder beim Transport von Datenträgern vertraulich und integer bleiben.

5. Speicherkontrolle: Der Anbieter muss sicherstellen, dass keine Daten unbefugt eingegeben, verändert oder gelöscht werden können.

6. Benutzerkontrolle: Jede Nutzung einer automatisierten Verarbeitung durch Unbefugte muss ausgeschlossen sein.

7. Übertragungskontrolle: Für alle personenbezogenen Daten muss gewährleistet sein, dass sie nur jenen Stellen zur Verfügung gestellt werden, die zur Kenntnisnahme berechtigt sind.

8. Eingabekontrolle: Auch nachträglich muss sichergestellt sein, dass jeder Nutzer, der Daten eingab oder veränderte, dauerhaft zugeordnet werden kann.

9. Auftragskontrolle: Es muss sichergestellt sein, dass Daten die im Auftrag verarbeitet werden, nur gemäß den Weisungen des Auftraggebers verarbeitet werden.

10. Verfügbarkeitskontrolle: Personenbezogene Daten müssen sicher vor Zerstörung oder Verlust geschützt sein.

Hinzu kommen noch einige technische und organisatorische Bedingungen, die sich auf die systemischen Eigenschaften der eingesetzten Geräte beziehen:

1. Wiederherstellbarkeit: Im Falle einer technischen Panne müssen die Daten fehlerfrei rekonstruiert werden können.

2. Zuverlässigkeit: Alle Funktionen eines datenverarbeitenden Systems müssen stets unterbrechungsfrei zur Verfügung stehen, auftretende Fehlfunktionen sind meldepflichtig.

3. Integrität: Es ist sicherzustellen, dass Daten nicht durch Fehlfunktionen der Technik verändert oder beschädigt werden können.

4. Trennbarkeit: Der Anbieter muss gewährleisten, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt verarbeitet werden können.

Bei der Umsetzung der neuerdings erforderlichen Technisch-Organisatorischen Maßnahmen (TOM’s) stehen Ihnen die zertifizierten Datenschutzbeauftragten bei b.r.m. sehr gerne zur Seite:

Rainer Dedermann & Harald Rossol

Privacy by Design

Die beiden Begriffe ‚Privacy by Design‘ und ‚Privacy by Default‘ sind älter als die neue Datenschutz-Grundverordnung (DSGVO). Durch das Gesetz haben sie allerdings ein ganz neues Gewicht erhalten (Art. 25 DSGVO).

‚Privacy by Design‘ meint, dass der technische Aufbau eines datenverarbeitenden Systems so gestaltet sein muss, dass der Datenschutz schon automatisch in das System integriert ist. Anders ausgedrückt: Der Datenschutz muss eine Systemeigenschaft sein. Dies geschieht durch die ‚Technischen und Organisatorischen Maßnahmen‘ (TOM) bei der Installation der Rechner und bei der Implementierung ihrer Programme. Hier ist der Hersteller am Zug.

Konkret nennt die DSGVO bei den Maßnahmen allerdings nur die Pflicht zur Pseudonymisierung (Art. 25, Abs. 1). Diese wird in Art. 4, Abs. 5 dann näher definiert. In allen anderen Punkten aber ist die DSGVO dann äußerst ‚schwammig‘:
„…Maßnahmen können unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern …“ (Erwägungsgrund 78).

‚So schnell wie möglich‘, ‚Transparenz herstellen‘, ‚minimieren‘, ‚in die Lage versetzen‘ – alles Formulierungen, die bisher kaum mehr als einen weiten Interpretationsspielraum schaffen.
Kurzum: Die Regel des ‚Privacy by Design‘ erlaubt keine standardisierte Antwort, sie ist abhängig von den jeweiligen Anforderungen im Datenschutz. Klar ist aber, dass schon beim Aufbau eines datenverarbeitenden Systems und bei der Auswahl und Implementierung der eingesetzten Technik und Software mögliche Anforderungen der DSGVO zu berücksichtigen sind.

Fragen Sie b.r.m. in Bremen. Neben unseren Ressourcen im Datenschutz durch Harald Rossol und Rainer Dedermann, verfügen wir auch über umfassende Expertise im Bereich IT.

Privacy by Default

Wo ‚Privacy by Design‘ sich eher auf den technischen Aufbau eines datenverarbeitenden Systems bezieht, da fasst ‚Privacy by Default‘ die Konfiguration des Systems ins Auge, die ‚Voreinstellungen‘. Die Datenschutzgrundverordnung (DSGVO) verlangt, dass ‚nutzerfreundliche‘ Werkseinstellungen gewählt werden müssen. Gerade ‚User‘, die wenig technikaffin sind, sollen durch ‚Privacy by Default‘ rechtlich verbindlich geschützt sein.

Anlass für diese Regelung war das ‚Privacy Paradox‘: Es gibt nutzerseitig einerseits das Bedürfnis nach einem umfassenden Schutz persönlicher Daten. Andererseits sind viele Anwender nicht in der Lage, oder auch nicht willens, die technischen Einstellungen eines Systems selbsttätig entsprechend anzupassen. Die Anbieterseite steht durch die DSGVO hier jetzt in der Pflicht, diesen Schutz zunächst ihrerseits zu gewährleisten.

Es gibt natürlich Grenzen: Die DSGVO spricht nebulös vom Stand der Technik, von Implementierungskosten, vom Umfang, den Umständen und dem Zweck der Verarbeitung. Klar ist in jedem Fall, allein schon durch den verwendeten Plural beim Wort ‚Maßnahmen‘, dass eine einzelne Aktion hier zumeist nicht ausreicht. Notwendig ist in fast jedem Fall ein ganzes Bündel von ‚Maßnahmen‘.

Der Artikel 25, Abs. 3 DSGVO gibt übrigens jedem Anbieter die Möglichkeit, sich zertifizieren zu lassen. Eine Zertifizierung im Sinne des Art. 42 DSGVO schafft hier Rechtssicherheit – zum Beispiel durch die zertifizierten externen Datenschutzbeauftragten Harald Rossol bei b.r.m. in Bremen.
Fragen Sie im Falle eines Falles einfach uns 

Personenbezogene Daten

Was genau sind überhaupt personenbezogene Daten? Diese Frage stellte sich bestimmt schon jeder , der in den Medien das Thema Datenschutzgrundverordnung verfolgt oder den 101. Newsletter mit den neuen Datenschutzhinweisen zugestellt bekommen hat.

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Infomationen, die sich entweder direkt oder indirekt (mittels Zuordnung zu einer Kennung) eindeutig einer Person, der sogenannten “betroffenen Person”, zuordnen lassen.

Gemeint sind damit wirklich alle Daten, die in jeglicher Hinsicht einer natürlichen Person zuzuordnen sind. Unter “personenbezogen” ist damit nicht nur der Name, das Geburtsdatum oder die Adresse gemeint sondern auch die IP-Adresse, das KFZ-Kennzeichen und sogar die Kleidergröße.

Besonders sensibel sind personenbezogene Daten über…

  • die rassische oder ethische Herkunft,
  • politische Meinungen oder Gewerkschaftszugehörigkeit,
  • religiöse oder weltanschauliche Überzeugung,
  • Gesundheit, Sexualleben und die sexuelle Orientierung sowie
  • genetische und biometrische Daten sowie auch Daten über Strafdaten

Diese Daten genießen gemäß Art. 9 Abs. 1 DSGVO einen besonderen Schutz.

Bei der Verarbeitung personenbezogener Daten aus diesen “besonderen Kategorien” sollten verschärfte Schutzmaßnahmen umgesetzt werden. Verarbeitet ihr Unternehmen in Bremen oder Umgebung sensible Daten? Nein? Sehr wahrscheinlich irren Sie sich, da schon allein die Aufführung der Religion in der Personalakte ein sensibles Datum darstellt.

Bei weiteren Fragen steht Ihnen unser Datenschutz-Team gerne zur Verfügung…

Datenschutzbeauftragter: Weisungsfreie Kontrollfunktion

b.r.m. bietet Unternehmen die Tätigkeiten eines externen betrieblichen Datenschutzbeauftragten an.

Aufgaben und Tätigkeiten eines internen oder externen Datenschutzbeauftragten regeln in Deutschland die Artt. 38 und 39 der Datenschutz-Grundverordnung (DSGVO) und die §§ 6 und 7 des Bundesdatenschutzgesetzes (BDSG neu). Hinzu kommen landesrechtliche Vorschriften. Der Beauftragte für Datenschutz soll die Einhaltung der DSGVO, des BDSG und anderer Gesetze kontrollieren (Telemedien-Gesetz (TMG) oder Telekommunikations-Gesetz (TKG)). Der Datenschutzbeauftragte handelt stets unabhängig und weisungsfrei.

Alle Unternehmen und Vereine, die nichtöffentlichen Stellen, müssen einen Datenschutzbeauftragten benennen, sobald mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder die Stellen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. ‚Automatisiert‘ ist jede Verarbeitung, die elektronische Datenverarbeitungsgeräte (z. B. PCs) für den Geschäftsablauf verwendet. Außerdem sollte ein Datenschutzbeauftragter benannt werden, wenn eine Datenschutzfolgenabschätzung durchgeführt werden muss. Der Datenschutzbeauftragte entstammt entweder ‚intern‘ der Organisation, oder er muss ‚extern‘ benannt werden und muss der zuständigen Aufsichtsbehörde gemeldet werden. Fristen gibt es seit der DSGVO nicht mehr, demnach sollte der Datenschutzbeauftragte schnellstmöglich mitgeteilt werden, um mögliche Strafen zu vermeiden.

Datenschutzbeauftragter kann nicht jeder werden. Er oder sie muss drei Hauptkriterien erfüllen:

1. berufliche Qualifikation und Fachwissen im Bereich des Datenschutzrechts

2. Fachwissen auf dem Gebiet der Datenschutzpraxis

3. Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.

Dazu sollte ein Datenschutzbeauftragter natürlich auch Diskretion wahren können sowie ein gewisses Konfliktlösungs- und Organisationstalent mitbringen.

Wer die Funktion eines Datenschutzbeauftragten nicht ‚aus Bordmitteln‘ erfüllen kann, darf gern uns und unsere Erfahrung ‚extern‘ von b.r.m. nutzen. Für Fragen stehen Ihnen die betrieblichen Datenschutzbeauftragten Harald Rossol sowie Senior Consultant Rainer Dedermann zur Verfügung.