Home / Aktuelles & Termine / it.sec blog

Unternehmen kann es nur gelingen, die Vorgaben der Datenschutzgrundverordnung (DSGVO) flächendeckend einzuhalten, wenn ihre Mitarbeiter, Auszubildende, Praktikanten und Leiharbeiter, die an der Datenverarbeitung mitwirken, ausreichend zum Thema Datenschutz geschult sind.

Die gesetzliche Regelung zur Durchführung von Datenschutzschulungen sowie die Rechtsgrundlage für den Nachweis, dass solche durchgeführt wurden, findet sich in Art. 5 Abs. 2, 24 Abs. 1, Art. 38, 39 Abs. 1 lit. a), b) DSGVO. Daher sollten Unternehmen zunächst ein Schulungskonzept implementieren und in den Datenschutzschulungen die Beschäftigten über die wesentlichen Datenschutz-Themen unterrichten und entsprechend im Umgang mit personenbezogenen Daten sensibilisieren:

- Begriffe, Beteiligte und Grundsätze der Datenschutzgrundverordnung

- Zulässigkeit der Datenverarbeitung

- Informationspflichten und Rechte der betroffenen Personen

- Datenschutzbeauftragter

- Verzeichnis von Verarbeitungstätigkeiten

- Technische & organisatorische Maßnahmen

- Besonderheiten im Konzern

- Auftragsverarbeitung

- Datenübermittlung an Dritte

- Datentransfer in Drittstaaten

- Datenlöschung

- Datenschutz-Folgenabschätzung

- Melde- und Benachrichtigungspflichten

Die Datenschutz-Schulungen sollten jährlich wiederholt werden. Zusätzlich sollten spezielle Datenschutz-Schulungen für Personalwesen, Marketing & Vertrieb sowie IT angeboten werden.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Ein Grundsatz des Datenschutzes ist es, dass personenbezogene Daten irgendwann auch wieder gelöscht werden müssen.

Unternehmen sind daher grundsätzlich verpflichtet, die bei ihnen verarbeiteten personenbezogenen Daten nach Zweckwegfall bzw. nach Ablauf sich daran anschließender Aufbewahrungsfristen zu löschen (Grundsatz der Speicherbegrenzung, „Recht auf Vergessenwerden“).

Gerade bei Einsatz von Datenverarbeitungssystemen ist dies jedoch nicht immer so einfach, da man auf die Funktionen, die der Hersteller zur Löschung bereitstellt oder eben nicht bereitgestellt hat, angewiesen ist. Selbst wenn eine solche Löschfunktion vorhanden ist, bedeutet das noch nicht, dass die Daten dann auch gelöscht sind i.S.e. irreversiblen Entfernung der Daten vom Datenträger (Festplatte, Speicherchip etc.).

Unternehmen können sich auch nicht darauf berufen, dass die Löschung aufgrund technischer Gründe unmöglich oder aufgrund des Aufwands einer entsprechenden Nachrüstung unzumutbar ist. Gemäß § 35 BDSG-Neu kann die Pflicht zur Löschung zwar entfallen, wenn dies mit einem unverhältnismäßig hohen Aufwand verbunden ist. Dies gilt jedoch nur im Fall einer nicht-automatisierten Datenverarbeitung.

Daher dürfen Unternehmen nur solche Technik einsetzen, die eine datenschutzgerechte Löschung durch entsprechende Funktionalitäten erlaubt (Grundsatz von Privacy by Design). Die Pflicht zur Löschung und zur Einhaltung von Privacy by Design trifft eben denjenigen, der die Technik einsetzt und damit personenbezogene Daten verarbeitet.

Die Landesbeauftragte für Datenschutz in Schleswig-Holstein (ULD) hätte sich zwar „gewünscht, dass die Datenschutz-Grundverordnung auch die Hersteller unmittelbar zu eingebautem Datenschutz verpflichtet“, aber dies sei „immerhin für die kommende europäische e-Privacy-Verordnung so geplant“ (vgl. unter https://www.datenschutzzentrum.de/artikel/1208-Datenschutz-einbauen!-Appell-an-die-Hersteller-und-Betreiber-am-Safer-Internet-Day.html).

Man kann nur hoffen, dass Produkte, deren Einsatz Bußgelder auslösen können (Art. 83 Abs. 4 lit. a), Abs. 5 lit. a), b) DSGVO), sich zukünftig schwerer verkaufen lassen. Denn nur somit lässt sich derzeit überhaupt Druck auf Hersteller und Entwickler aufbauen, wenn sie den Markt der Europäischen Union auch weiterhin beliefern möchten.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Auch die Hardware der Beschäftigten sollte mit Bedacht und Verstand ausgewählt werden. Hacker können nun auch die Verbindung zwischen Tastatur und Computer hacken und somit eigene Befehle an den Computer senden. Mit solchen MouseJack-Angriffen können nicht nur Programme am Computer gestartet werden, sondern auch Scripte geschrieben und ausgeführt, sowie Dateien ins Internet hochgeladen werden.

Ziel der Hacker ist es, sensible Daten zu entwenden oder Schadsoftware auf Ihrem Computer zu installieren. Es sind aktuell beinahe alle gängigen Funktastaturen im 2,4-GHz-Band anfällig für einen solchen Angriff. Mit Hilfe von Updates kann auf dieses Risiko reagiert werden. Idealerweise sollten zukünftig nur noch Tastaturen angeschafft werden, die über Bluetooth oder das alt bewerte Kabel funktionieren. Bluetooth ist durch die oben beschriebenen Angriffe nicht gefährdet.

Der Angriff ist schnell und einfach durchzuführen. Benötigt wird hierfür nur ein Empfänger und eine Antenne, mit denen dann die Funksignale der Tastatur abgefangen und so die Adressen aktiver Mäuse und Tastaturen ermittelt werden können. Die Reichweite des Empfängers liegt bei bis zu 1.000 m im Freien und 50 m in geschlossenen Räumen.

Vor allem in sensiblen Bereichen wie beispielsweise der Personalabteilung sollte auf solche Funktastaturen verzichtet werden.

Dr. Bettina Kraft
Volljuristin, Senior Consultant für Datenschutz

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Aufsichtsbehörde Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Notebook Nutzungsbedingungen Öffnungsklauseln One Stop Shop One-Stop-Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung verloren Verlust Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28