Home / Aktuelles & Termine / it.sec blog

Die ITSECX in Österreich ist mittlerweile zu einer der bekanntesten IT-Security Konferenzen aufgestiegen. Internationale Referenten und motivierte Studenten treffen sich einmal im Jahr an der Fachhochschule St. Pölten und tauschen ihr Wissen aus. Die it.sec war dieses Jahr mit den Wienern Kollegen das erste Mal dabei!

Entstanden ist die ITSECX im Jahre 2007. Die Konferenz bestand damals aus ca. 30 Studenten und Professoren, welche zusammen in einem Netzwerklabor Systeme gehackt und Vorträge gehalten haben.

Mittlerweile ist das anders: Circa 600 Teilnehmer kommen Jahr für Jahr an die Fachhochschule– Tendenz steigend! Die Konferenz ist kostenlos und die Qualität der Vorträge und der Referenten ist sehr hoch. Dieses Jahr konnte die ITSECX den Head of Cyber Security Architecture von Airbus, Dr. Kevin Jones für seine Keynote gewinnen.

Unter den Gästen befanden sich auch etliche Firmen welche als Sponsoren und Aussteller fungierten. Auch die it.sec darf sich in diesem Jahr als Sponsor der ITSECX bezeichnen und ist Stolz, an einer Konferenz wie dieser mitgewirkt zu haben.

Zusätzlich hatten wir die Möglichkeit, einen Vortrag über ein paar Ergebnisse aus einem aktuellen Research Projekt von uns zu präsentieren. Der Titel des Vortrags war "Alexa Top 1 Million Security – Hacking the Big Ones" und die Unterlagen dazu können unter https://itsecx.fhstp.ac.at/wp-content/uploads/2018/11/05_David-Wind_it.sec_.pdf abgerufen werden. Alle Vorträge zu der Konferenz können hier (auch teilweise zum Nachschauen auf Youtube) abgerufen werden: https://itsecx.fhstp.ac.at/vortraege-2018/

Wir werden auch nächstes Jahr wieder ein Teil dieser Konferenz sein und hoffen, auch Sie dort begrüßen zu dürfen.

Die Klingelschild-Debatte wurde losgetreten durch die Beschwerde eines Mieters bei einer Wohnungsbaugesellschaft in Österreich und griff dann sogleich auf Deutschland über.Unter großer medialer Aufmerksamkeit wurde angenommen, dass die Namen auf den Klingelschildern nun überall entfernt werden müssen, da die damit verbundene Datenverarbeitung nach der Datenschutzgrundverordnung (DSGVO) unzulässig sei.

Aufsichtsbehörden und Fachliteratur haben sich zu Recht verwundert gezeigt, über die plötzlich aufkommende Diskussion, die mehr von „Panikmache“ und weniger von „fachliche[r] Auseinandersetzung“ (Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349) bestimmt wurde.

Auf Klingelschildern am Hauseingang stehen üblicherweise die (Nach-) Namen der Mieter und sind für jeden einsehbar, der vor dem Haus steht oder daran vorbeigeht. Namensangaben und Wohnungsanschrift sind auch definitiv personenbezogene Daten.

Die Frage ist nun, wie diese Datenverarbeitung nach der DSGVO zu bewerten ist:

Bringt der Mieter seinen Namen auf dem Klingelschild selbst an, fällt diese Datenverarbeitung schon nicht unter die DSGVO. Als betroffene natürliche Person darf der Mieter mit seinen personenbezogenen Daten machen, was er möchte. Auf jeden Fall aber unterliegt diese Datenverarbeitung dem ausschließlich persönlichen oder familiären Bereich, so dass die DSGVO schon gemäß Art. 2 Abs. 2 lit. c) DSGVO nicht gilt.

Werden die Klingelschilder jedoch vom Vermieter angebracht, ist der Anwendungsbereich der DSGVO eröffnet. Der Vermieter (bzw. die Hausverwaltung) ist Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO, da die Datenverarbeitung zu geschäftlichen Zwecken vorgenommen wird.

Einige Aufsichtsbehörden nehmen an, dass auch in diesem Fall der Anwendungsbereich der DSGVO wegen Art 2 Abs. 1 DSGVO nicht eröffnet ist, da „das Ausstatten der Klingelschilder mit Namen für sich genommen (…) weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar[stellt].“

Die Aufsichtsbehörden in Sachsen und Schleswig-Holstein teilen diese Auffassung zwar nicht. Die Datenverarbeitung ist aber dennoch zulässig nach Art. 6 Abs. 1 lit. b) oder f) DSGVO: Entweder weil der zwischen Mieter und Vermieter abgeschlossene Mietvertrag eine solche Datenverarbeitung erforderlich macht. Hier kommt es auf die konkrete Ausgestaltung des Vertragsverhältnisses an. In jedem Fall haben aber Vermieter oder Dritte (Postdienstleister, Lieferanten, Rettungsdienst etc.) ein berechtigtes Interesse an der Datenverarbeitung (hierzu auch ausführlich: Engelhardt/Riess: Die datenschutzrechtliche Zulässigkeit des Klingelschilds, in: ZD-Aktuell 2018, 06349).

Sofern die Datenverarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO gestützt wird, hat der Mieter selbstverständlich auch das Recht, der Anbringung seines Namens auf dem Klingelschild zu widersprechen gemäß Art. 21 Abs. 1 DSGVO. Allerdings steht dem Mieter dieses Recht nur zu, sofern sich aus seiner besonderen persönlichen Situation schutzwürdige Interessen am Ausschluss der Datenverarbeitung ergeben, bspw. wenn er gefährdet ist aufgrund seiner Prominenz, Opfer von Stalking ist oder sich im Zeugenschutzprogramm befindet.

Die Aufsichtsbehörden führen an, man hätte sich vorab bei ihnen „nach der Rechtslage erkundigen“ sollen, anstatt mit haltlosen Behauptungen die DSGVO „als ‚weltfremdes europäisches Recht‘ [zu] diskreditieren“.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Das E-Government-Gesetz

 

Unscheinbar kam sie daher, die Richtlinie 2014/55/EU über die elektronische Rechnungsstellung bei öffentlichen Aufträgen im Jahre 2014. In formelles nationales Recht wurde sie erst im April 2017 umgesetzt, durch eine Änderung des E-Government-Gesetzes, doch nun geht es Schlag auf Schlag. Der Bund hat seine E-Rechnungs-Verordnung schon letztes Jahr verabschiedet und die Länder sollen noch in diesem Monat folgen. Der Bund will bereits in diesem Monat mit seinem zentralen E-Rechnungs-Portal online gehen. Doch was ist die Konsequenz?

 

Bis spätestens April 2020 müssen auch die Kommunen in Deutschland die Voraussetzung dafür schaffen, dass sie elektronische Rechnungen empfangen und weiterverarbeiten können. Wer sich bislang noch nicht damit beschäftigt hat, sollte dies schleunigst nachholen, wissen wir doch spätestens seit der Umsetzung der DSGVO, dass kleine Verordnungen durchaus große praktische Auswirkungen haben können und dass derartige Anpassungen nicht von heute auf morgen zu schaffen sind.

 

Konkret: Jede Kommune (und auch alle weiteren öffentlichen Einrichtungen der Länder und natürlich auch des Bundes) ist in Zukunft verpflichtet, E-Rechnungen zu empfangen und zu bearbeiten. Bei geschätzten 75,8 Millionen Rechnungen pro Jahr alleine auf kommunaler Ebene keine Kleinigkeit. Wo bislang Papierrechnungen von Schreibtisch zu Schreibtisch wandern, geprüft, freigegeben, gestempelt, gelocht und abgelegt werden, sollen nun durch den digitalen Workflow viel Arbeit, Zeit und Ressourcen eingespart werden.

 

Was ist eine X-Rechnung?

 

Der Empfang von E-Rechnung bedeutet nicht, dass die Kommune auch Rechnungen als PDF im digitalen Postfach akzeptiert. Es handelt sich bei der E-Rechnung um ein eigenes, maschinenlesbares Format, in Deutschland X-Rechnung genannt, welches ein auf XML basierendes semantischen Datenmodell darstellt und damit den für Deutschland verbindlichen Standard definiert. Zur Bearbeitung von E-Rechnungen werden seitens der KoSIT (Koordinierungsstelle für IT-Standards) kostenlose Tools sowohl für Unternehmen als auch für die Behörden bereitgestellt, mittels derer Rechnungen einerseits erstellt werden, dann aber auch durch die Behörden weiterverarbeitet werden können.

 

Der Vorteil für die Unternehmen? Jedem Lieferanten einer Kommune oder eines sonstigen öffentlichen Auftraggebers ist es dann erlaubt, seine Rechnungen online an die Kommunen zu übermitteln, wo sie schneller bearbeitet werden können, so dass die Lieferanten ihr Geld schneller bekommen. Die Kommunen erhalten durch E-Rechnungen den Überblick über eingegangene aber unbezahlte Rechnungen, es lässt sich nachvollziehen, auf welchem Schreibtisch sich welche Rechnung gerade zur Freigabe befindet und Vorgänge lassen sich elektronisch natürlich deutlich schneller suchen und nachvollziehen.

 

Was ist zu tun?

 

Die Herausforderung für die Kommunen ist es einerseits, ihre Arbeitsprozesse auch entsprechend anzupassen. Keinem ist geholfen, wenn die Rechnungen nur ausgedruckt und dann weiter „traditionell“ in Papierform bearbeitet werden. Das heißt, neue Workflows müssen definiert werden, um die digitale Bearbeitung sicherzustellen.

 

Im Sinne des Datenschutzes sollten dann Berechtigungskonzepte neu überdacht und implementiert werden, denn auch in den X-Rechnungen werden sich in Zukunft zahlreiche personenbezogen Daten finden, seien es Ansprechpartner, persönliche Telefonnummern von Sachbearbeitern aber vor allem die personenbezogenen Daten in den Buchungstexten sind trotz E-Rechnung durch die DSGVO geschützt.

 

Datenschutz und Datensicherheit

 

Weiß man, wer wem wann welche Rechnung gestellt hat, so sagt dies einiges über die beteiligten Parteien aus. Daher werden auch an die Ansprüche an die Datensicherheit in den Kommunen wachsen. Regelmäßige IT-Health-Checks und Pentests sollten auch in den Kommunen durchgeführt werden. Die Verzeichnisse für Verarbeitungstätigkeiten (ehemals Verfahrensverzeichnisse) sollten den neuen Prozessen angepasst werden bzw. neue Prozesse müssen definiert werden. Sofern Sie noch keine Projektgruppe gebildet haben, sollte dies umgehend passieren. Da es sich um eine gesetzliche Vorgabe handelt, müssen die entsprechenden Mittel zur Umsetzung eingeplant und bereitgestellt werden.

 

Wenn Sie bei der Umsetzung feststellen sollten, dass Sie hierbei Unterstützung benötigen, kommen Sie gerne auf uns zu.

 

Céline Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Was ist Whistleblowing?

 

Beim Whistleblowing geht es darum, Mitarbeitern in einem Unternehmen die Möglichkeit zu geben, zu melden, wenn sie bei Kollegen verbotenes Verhalten feststellen. Banken sind verpflichtet, einen Whistleblowing-Prozess einzuführen. Andere Branchen müssen dies im Rahmen der Korruptionsbekämpfung.

 

Was hat Whistleblowing mit Datenschutz zu tun?

 

Mit der Meldung von Verstößen müssen üblicherweise personenbezogene Daten erhoben, verarbeitet und genutzt werden. So kommt eine Meldung nicht ohne Angabe der Beschuldigten, etwaiger Zeugen und ggf. auch des Meldenden aus. Neben der möglichen Weiterleitung an Strafverfolgungsbehörden kann es sein, dass die so erhobenen Daten innerhalb des Konzerns und damit verbunden in Drittstaaten übermittelt werden.

 

Rechtsgrundlagen

 

Auch für den Datenverarbeitungsvorgang des Whistleblowings muss eine Rechtsgrundlage gegeben sein. Dafür kann Art. 88 Abs.1 DSGVO, § 26 Abs. 1 S. 2 BDSG herangezogen werden, wonach zur Aufdeckung von Straftaten Beschäftigtendaten unter bestimmten Voraussetzungen erhoben und verarbeitet werden dürfen. Nach Auffassung der Aufsichtsbehörden sollte der Hinweisgeber anonym bleiben oder seine Daten nur mit seiner informierten Einwilligung verarbeitet werden, Art. 6 Abs. 1 lit. a) DSGVO, § 26 Abs. 2 BDSG.

 

Mitarbeiterinformation

 

Regelungen über das Whistleblowing (z.B. Betriebsvereinbarungen) müssen im Unternehmen bekannt gemacht werden und zwar so, dass es für alle Arbeitnehmer möglich ist, ohne großen Aufwand vom Inhalt der Regeln Kenntnis zu bekommen. Die Betroffenenrechte wie Auskunftsrecht, das Berichtigungsrecht und das Löschungsrecht sind in diesem Zusammenhang nochmal deutlich zu erwähnen.

 

Information der Beschuldigten

 

Über Ermittlungen aufgrund von Whistleblower-Meldungen sind beschuldigte Personen gem. Art. 14 DSGVO umfassend zu informieren. Die Information an den Beschuldigten darf nach Art. 14 Abs. 5 lit. b) DSGVO zurückgehalten werden, wenn der Ermittlungserfolg durch eine frühzeitige Information gefährdet wäre. Allerdings muss der Verantwortliche seine Informationspflicht nachholen, wenn die Gefährdungslage nicht mehr gegeben ist. Dies ergibt sich aus Art. 14 Abs. 5 lit. b) S. 2 DSGVO, wonach der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen des Beschuldigten ergreifen muss.

 

Löschung

 

Unverzügliche Datenlöschung bei unbegründeter Meldung, ansonsten spätestens 2 Monate nach Beendigung des Untersuchungsverfahrens. Eine längere Speicherung ist nur bei der Durchführung eines Disziplinar- oder Strafverfahrens möglich. Wird ein Sachverhalt gemeldet, der den Verdacht einer Straftat begründet, dürfen die Daten für die Dauer der Untersuchung bzw. solange aufbewahrt werden bis sich daran anschließende rechtliche Maßnahmen und Verfahren abgeschlossen sind.

 

Maßnahmen vor Einführung des Whistleblowings

 

  • Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
  • Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs.1 DSGVO
  • Erfüllung von Informationspflichten Art. 13, 14 DSGVO
  • Betriebsrat beteiligen
  • Falls ein Dienstleister beteiligt ist (Anbieter eine Hotline) ADV mit dem Dienstleister nach Art. 28 DSGVO abschließen
  • Regellöschfristen festlegen

 

 

 

Michaela Dötsch

 

Rechtsanwältin

Die Datenschutzgrundverordnung (DSGVO) ist nun bald ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun droht aber das erste ernstzunehmende europäische Bußgeld für ein Krankenhaus in Portugal.

Ein Krankenhaus bei Lissabon soll insgesamt 400.000 Euro Strafe zahlen, weil u.a. zu viele Personen Zugriff auf Patientendaten hatten. Das Krankenhaus will nun gerichtlich gegen das Bußgeld vorgehen.

Obwohl aktuell nur knapp 300 Ärzte in dem Krankenhaus arbeiten, waren im System knapp 1000 aktive Benutzer als „Arzt“ registriert. Es wurde somit ein umfangreicher Zugriff auf besonders schützenswerte Gesundheitsdaten ermöglicht. Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, Art. 4 Nr. 15 DSGVO. Gerade für diese Daten müssen die Zugriffe so eng wie möglich ausgestaltet sein.

Aufgrund der Sensibilität der hier verarbeiteten Daten und des doch erheblichen Verstoßes hätte die Strafe hier auch durchaus noch höher ausfallen können.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30