-
Datenschutz ist Chefsache
Datenschutz ist Chefsache. Dies folgt aus den hohen möglichen Bußgeldern bei Verstößen sowie aus den gesetzlichen Vorgaben z.B. aus dem KonTraG. Beide Vorstände der Süd IT haben in diesem Sinne die Initiative ergriffen und sind durch den TÜV Rheinland als Lead-Auditoren zu dem Datenschutz-Standard ISO/IEC 27701 berufen worden Datenschutz-Zertifizierung Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 42 eine Zertifizierung als Nachweis vor, dass Unternehmen die Vorgaben der DSGVO einhalten. Jedoch kann bis heute noch keine solche Zertifizierung nach dem Schema einer Produktzertifizierung durchgeführt werden. Mittlerweile scheint sich mit der ISO/IEC 27701 eine Alternative zu eröffnen. Aufbauend auf dem Standard ISO/IEC 27001 beschreibt die ISO/IEC 27701 einen Prüfstandard zum Datenschutz-Management. Er beschreibt…
-
Datenschutz für Schnäppchenjäger
Schnäppchenjäger dürfen sich auch weiterhin darauf verlassen, dass sie regelmäßig ihre Strom- oder Gaslieferanten wechseln können, um immer von den günstigsten Angeboten zu profitieren. In einem Beschluss hat die Datenschutzkonferenz festgestellt, dass die Energieversorger nicht Daten über ehemalige Kunden sammeln und speichern dürfen, um häufig wechselnde Kunden von Angeboten auszuschließen. Beschluss der Datenschutzkonferenz Der Beschluss der DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) erfolgte, weil es bei Auskunfteien und Energieversorgern Überlegungen gab, eine zentrale Datenbank aufzubauen. Damit sollten Verbraucher identifiziert werden, die häufig Ihre Lieferverträge wechseln, um immer von günstigen Wechselangeboten zu profitieren. Dazu hat die DSK festgestellt: „Vertragstreue Verbraucher*innen dürfen zu Recht erwarten, dass keine über…
-
Zertifizierungspflicht von Energienetzbe-treibern bei Betriebsführung durch Dritte
Netzbetreiber müssen gemäß §11 Abs. 1a EnWG den Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sicherstellen. Der Nachweis erfolgt durch eine Zertifizierung gemäß den Vorgaben des „IT-Sicherheitskatalog gemäß § 11 Abs. 1a Energiewirtschaftsgesetz“ der Bundesnetzagentur. In einigen Fällen haben Energienetzbetreiber die Betriebsführung ihres Energieversorgungsnetzes an Dritte, den Betriebsführer, ausgelagert. Damit erlosch bisher in der Regel auch die Pflicht des Netzbetreibers eine eigene Zertifizierung nach dem IT-Sicherheitskatalog durchzuführen. Mit einem Schreiben hat die Bundesnetzagentur diese Netzbetreiber adressiert. In Zukunft müssen diese in der Regel selbst eine Zertifizierung nachweisen. Ausnahmen davon sind jedoch in einem begrenztem Umfang möglich. Netzbetreiber, die den Betrieb Ihres Netzes ausgelagert…
-
Clubhouse – Gier frisst Verstand
Clubhouse ist derzeit ohne Zweifel der angesagte Hype unter den sozialen Medien. In ist wer drin ist – denn rein kommt man nur per Einladung. Einmal drin wird häufig das Hirn vor Begeisterung und der Gier nach Publicity ausgeschaltet. „Frei von der Leber“ wird in Gesprächen alles geteilt, was man sonst nur hinter verschlossenen Türen sagen würde. Aber was macht denn Clubhouse mit all den Daten, die durch die App fließen incl. der aufgezeichneten Sprachkommunikation? Steht in den AGBs. Aber wen interessieren die schon? Schattenparker, Warmduscher, AGB-Leser. Verlust der Privatsphäre gehört zum Geschäftsmodell: Als Berater für unsere Kunden in Sachen Informationssicherheit und Datenschutz haben wir die AGBs einmal ganz genau…
-
Ausbildung zum Informationssicherheitsbeauftragten (Schulung | Online)
Eine solide und praxisorientierte Ausbildung zum Informationssicherheitsbeauftragen ist eine wichtige Grundlage, um im Alltag ein Informationssicherheitsmanagementsystem erfolgreich betreiben zu können. Zudem sind Betreiber kritischer Infrastrukturen (KRITIS), beispielsweise Netzbetreiber, seit der Verabschiedung des IT-Sicherheitskatalogs der Bundesnetzagentur bzw. des BSI-Gesetzes zur Benennung eines Ansprechpartners für IT-Sicherheit verpflichtet. Nach ISO/IEC 27001 darf dieser nicht einfach ernannt werden, er muss auch nachweislich kompetent sein. Die Teilnahme an dieser Maßnahme gewährleistet die richtige Expertise. Termin: 18.01.2021 – 20.01.2021 Anmeldung unter: info@sued-it.de Eventdatum: 18.01.21 – 20.01.21 Eventort: Online Firmenkontakt und Herausgeber der Eventbeschreibung: Süd IT AGStahlgruberring 1181829 MünchenTelefon: +49 (89) 4613505-12Telefax: +49 (89) 4613505-99http://www.sued-it.de Weiterführende Links Zum Event Originalinserat von Süd IT AG Alle Events…
-
Google, Amazon und Co. nach Schrems II – Wie geht es weiter
Google, Amazon und Co. nach Schrems II – Wie geht es weiter? Der Europäische Gerichtshof hat das Privacy-Shield Abkommen mit den USA in dem sog. Schrems II Urteil für ungültig erklärt. Auch die Anwendung der EU-Standardvertragsklauseln oder von verbindlichen Unternehmensregeln hält das european data protecion board nicht für ausreichend. Die Aufsichtsbehörden gehen jetzt den nächsten Schritt und erwarten, dass auch Auftragsverarbeitungen durch Tochterfirmen von US-Unternehmen kritisch zu betrachten sind. Unternehmen müssen jetzt handen um Bußgelder zu vermeiden. Ausgangssituation Die Situation, dass eine Übertragung personenbezogener Daten in die USA extrem schwierig bis nahezu unmöglich geworden ist, war Gegenstand unseres Newsletters von September. Die meisten US-Cloud-Anbieter bieten daher Lösungen an, bei denen eine Verarbeitung…
-
Schrems II – Das Aus für die Datenübermittlung in die USA?
. Schrems II – Das Aus für die Datenübermittlung in die USA? Der Europäische Gerichtshof das Privacy-Shield Abkommen mit den USA für ungültig erklärt. Dazu hat das European Data Protection Board Erläuterungen für die Zulässigkeit eines Datenexports in die USA und andere unsichere Drittländer herausgegeben. Damit ist die bisher übliche Praxis des Datenexports in vielen Fällen nicht mehr rechtens. Was ist passiert. Bisher war es gängige Praxis Dienstleister zur Verarbeitung personenbezogener Daten in den USA auf Grundlage des Privacy Shield Abkommens zu beauftragen und manchmal als doppelten Boden noch die Standardvertragsklauseln zu vereinbaren. Bei großen Anbietern konnten dazu noch verbindliche Unternehmensregeln bzw. Binding Corporate Rules (BCR) herangezogen werden. Wieder einmal…
-
Technisch- Organisatorische Maßnahmen zum sicheren E-Mail Versand
E-Mail ist nach wie vor das wichtigste Kommunikationsmittel Geschäftsverkehr, auch wenn Messenger und andere Kommunikationskanäle immer stärker genutzt werden. Wie aber Geschäftsgeheimnisse und personenbezogene Daten in E-Mails wirksam geschützt werden können, ist oft noch ein Buch mit sieben Siegeln. Frage Bei der Übermittlung personenbezogener per E-Mail Daten müssen gemäß Art. 32 DSGVO technische und organisatorische Maßnahmen getroffen werden, um ein angemessenes Schutzniveau zu erreichen. Ähnliches gilt für Geschäftsgeheimnisse. Werden diese beim Versand nicht angemessen geschützt, so verlieren sie den Status eines Geschäftsgeheimnisses nach §2 Nr. 1 b) des Gesetzes zum Schutz von Geschäftsgeheimnissen. Die große Frage ist aber, was ist jeweils angemessen, und wie erreicht man einen angemessenen Schutz? Analyse…
-
Corona-Warn-App auf den Diensthandy?
Seit Dienstag ist die Corona-Warn-App verfügbar und viele wollen diese natürlich auch auf ihrem dienstlichen Handy installieren. Dazu haben uns erste Anfragen erreicht, wie dies datenschutzrechtlich zu bewerten sei. Eine offizielle Stellungnahme dazu ist uns derzeit nicht bekannt, jedoch sehen wir grundsätzlich keine Bedenken, wenn gewisse Randbedingungen beachtet werden. Die App darf nur freiwillig durch den Mitarbeiter oder auf Wunsch des Mitarbeiters installiert werden. Die App sollte nur auf Geräten installiert werden, die einzelnen Mitarbeitern ausschließlich und persönlich zur Verfügung gestellt wurden. Nur der Mitarbeiter selbst darf in der Lage sein die App zu bedienen. Sie darf nicht auf gemeinschaftlich genutzten Geräten installiert werden Andere Mitarbeiter oder Vorgesetzte dürfen nicht…
-
Datenschutz-Konformes Tracking von Corona-Infektionen
Nicht nur Apple und Google beschäftigen sich mit der Entwicklung von Apps, die es ermöglichen mögliche Infektionswege effizient nachzuverfolgen um so die Ausbreitungsgeschwindigkeit der Corona-Epidemie zu zu verringern. Eine solche App kann jedoch nur dann international erfolgreich sien, wenn der Datenschutz ausreichend gewürdigt wird und kein Big-Brother geschaffen wird, der dadurch in die Lage versetzt wird alle Bürger unter dem Vorwand des Gesundheitsschutzes zu verfolgen. Eine genaue Analyse zeigt, dass dies auch nicht erforderlich ist. Die folgende Spezifikation ist ein Diskussisonsvorschlag für eine effektives und effizientes Tracking von potentiell infektiösen Zusammentreffen ohne den Datenschutz und die Privatsphäre der Betroffenen zu beeinträchtigen. 1. Motivation Das Erfassen und Nachverfolgen von Kontakten und…
