Plea­se install the The Events Calen­dar or The Events Calen­dar Pro Plugin to dis­play a list of upco­m­ing Events


Aktuelles Angebot

1604Kuhrau_Button_EinführungsAngebot_cut

Bedarfs­ana­lyse nach ISA+ (ca. 50 Prüf­punkte zur Infor­ma­ti­ons­si­cher­heit) für Ihre Orga­ni­sa­tion vor Ort inklu­si­ve Aus­wer­tung für Unter­neh­men im Land­kreis (außer­halb des Land­krei­ses zzgl. Kosten An‐/Abfahrt und even­tu­ell Über­nach­tungs­ko­sten)

Externer Datenschutzbeauftragter DSGVO

Exter­ne Datenschutz‐ und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te für Unter­neh­men und Kom­mu­nen — DSGVO

Die DSGVO Schonfrist ist vorbei – Aufsichtsbehörden machen ernst

Seit Mai 2018 ist die EU Datenschutz‐Grundverordnung (DSGVO) wirk­sam, nach­dem sie bereits Mai 2016 in Kraft getre­ten ist. Zeit bestand aus­rei­chend, sich auf die Neue­run­gen vor­zu­be­rei­ten. Die eine oder ande­re Orga­ni­sa­ti­on hat die Gele­gen­heit genutzt, bestehen­de Lücken in der eige­nen Datenschutz‐Organisation zu schlie­ßen. In den letz­ten Mona­ten haben wir öfter mal den Satz gehört „Woher soll ich wis­sen, was da im Daten­schutz zu tun ist?“. Hier gilt eine Hol­schuld durch die Orga­ni­sa­ti­ons­lei­tung getreu dem Mot­to „Unwis­sen­heit schützt vor Stra­fe nicht“. Für die Ein­hal­tung gesetz­li­cher Vor­schrif­ten ist die Lei­tung zustän­dig und ver­ant­wort­lich. Für Geschäfts­füh­rer gilt hier § 130 Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) mit der tref­fen­den Bezeich­nung “Ver­let­zung der Auf­sichts­pflicht in Betrie­ben und Unter­neh­men“. Ähn­li­che Ver­pflich­tun­gen für Behör­den trifft sogar unser Grund­ge­setz.

Die DSGVO‐Schonzeit ist vorbei

Die mei­sten Lan­des­da­ten­schutz­be­hör­den haben jedoch in den letz­ten Mona­ten ein Auge zuge­drückt und eine im Gesetz nicht vor­ge­se­he­ne frei­wil­li­ge Karenz­zeit ein­ge­scho­ben. In die­sem Zeit­raum soll­ten Orga­ni­sa­tio­nen die Gele­gen­heit letzt­ma­lig nut­zen, die recht­li­chen Ver­pflich­tun­gen aus der DSGVO in Ver­bin­dung mit dem neu­en Bun­des­da­ten­schutz­ge­setz (BDSG) für Unter­neh­men und den Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den und kom­mu­na­le Ein­rich­tun­gen umzu­set­zen. Die­se Schon­zeit ist nun vor­bei!

Es wird ernst – aber Buß­gel­der sind nicht das eigent­li­che Pro­blem

Ende Okto­ber wur­de … Wei­ter­le­sen

Der Bei­trag Die DSGVO Schon­frist ist vor­bei – Auf­sichts­be­hör­den machen ernst erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: Novem­ber 27, 2018, 5:45 pm

WordPress und die DSGVO – Zusammenstellung für Umzug und Konfiguration

Panikmache mit der DSGVO

Lei­der häu­fen sich die letz­ten Mona­te wie­der die Panik­ma­cher nach dem Mot­to “Die DSGVO kostet Sie Ihre Exi­stenz, außer Sie kau­fen unse­re Dienst­lei­stun­gen, Vor­la­gen, Bücher .….”.  Web­sei­ten­be­trei­ber (egal ob mit Wor­d­Press oder ande­ren CMS erstellt) sind extrem ver­un­si­chert, was die DSGVO für sie bereit­hält.

Das ist in wei­ten Tei­len abso­lu­ter Quatsch und in unse­ren Augen unse­riö­se Geschäf­te­ma­che­rei. Sicher­lich bringt die Daten­schutz­grund­ver­ord­nung (DSGVO) eini­ges an Ver­än­de­run­gen und Neue­run­gen mit sich. Aber die Grund­zü­ge des Daten­schutz­rechts sind gleich geblie­ben. Wer also bis­her schon im Anwen­dungs­raum des BDSG oder der Lan­des­da­ten­schutz­ge­set­ze rechts­kon­form gear­bei­tet hat, nimmt noch eini­ge Anpas­sun­gen und Ergän­zun­gen an sei­nem Web­auf­tritt vor und das war es. Das mag unbe­quem sein, aber wel­ches Recht ist das nicht. Wen das Daten­schutz­recht bis­her nicht geküm­mert hat, ok, der hat jetzt eini­ges an Arbeit vor der Brust.

Das DSGVO‐Blog‐Sterben

In zahl­rei­chen Medi­en wer­den Schlie­ßun­gen von Blogs ange­kün­digt. Teil­wei­se pri­vat betrie­be­ne Blogs, teil­wei­se sol­che mit kom­mer­zi­el­ler Nut­zung. Schuld dar­an, sei die DSGVO. Schaut man genau­er hin, sind es jedoch oft Blog‐Funktionen, die bereits im alten Daten­schutz­recht nicht kor­rekt umge­setzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Pro­ble­men füh­ren.

Doch der Auf­wand, einen pri­va­ten Blog oder mit­tels des … Wei­ter­le­sen

Der Bei­trag Wor­d­Press und die DSGVO – Zusam­men­stel­lung für Umzug und Kon­fi­gu­ra­ti­on erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: May 8, 2018, 7:30 am

Sichere und komfortable Passwort‐Verwaltung mit Keepass

Passwörter – zu viele, zu komplex, kaum zu merken

Es gibt zahl­rei­che Mythen rund um die The­men Pass­wort und Sicher­heit, die sich hart­näckig hal­ten. Und das obwohl allen Akteu­ren eigent­lich klar sein soll­te, dass die Ide­en dahin­ter aus dem Bereich Fan­ta­sy ent­stam­men, jedoch nicht zur Passwort‐Sicherheit bei­tra­gen. Anhän­ger der Theo­ri­en “Pass­wör­ter müs­sen immer Son­der­zei­chen und Zah­len ent­hal­ten” und “Pass­wör­ter muss man regel­mä­ßig wech­seln” las­sen sich davon eh nicht abbrin­gen. Die Ver­nünf­ti­gen der Zunft haben die Zei­chen der Zeit erkannt und drang­sa­lie­ren die Nut­zer nicht mehr mit die­sem Bal­last, der kon­kret beleuch­tet eher Unsi­cher­heit statt Sicher­heit bringt. Doch hier sol­len kei­ne Glau­bens­krie­ge aus­ge­foch­ten wer­den. Wen es inter­es­siert, hier haben wir wei­te­re Details dazu zusam­men­ge­tra­gen:

Fakt ist, unter­schied­li­che Log­ins / Accounts soll­ten auch unter­schied­li­che Pass­wör­ter nut­zen. Damit ist sicher­ge­stellt, dass ein ein­zel­ner kom­pro­mit­tier­ter Zugang nicht zum Öff­nen aller ande­ren Zugän­ge genutzt wer­den kann. Unab­hän­gig von Pass­wort­län­ge und Kom­ple­xi­tät kom­men hier für einen Anwen­der im Lau­fe der digi­ta­len Nut­zung zig Login‐Daten zusam­men (PC Anmel­dung, Pro­gramm Anmel­dung, Cloud‐Speicher Anmel­dung, diver­se Accounts bei Online‐Shops, PINs und und und). Und alle Zugän­ge haben ein unter­schied­li­ches Pass­wort. Wer soll sich das alles mer­ken? Abhil­fe schaf­fen soge­nann­te Passwort‐Tresore wie … Wei­ter­le­sen

Der Bei­trag Siche­re und kom­for­ta­ble Passwort‐Verwaltung mit Kee­pass erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: April 5, 2018, 5:59 pm

Checkliste TOM Auftragsverarbeitung nach Art. 28 DSGVO – technische und organisatorische Maßnahmen

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Art. 28 DSGVO Auf­trags­ver­ar­bei­ter schreibt die Über­prü­fung exter­ner Dienst­lei­ster vor, ob aus­rei­chend Garan­ti­en (TOM – tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) für die siche­re Ver­ar­bei­tung im Sin­ne der DSGVO vor­lie­gen. Da wir für unse­re Kun­den zahl­rei­che Dienst­lei­ster im Rah­men der bis­he­ri­gen Auf­trags­da­ten­ver­ar­bei­tung und zukünf­ti­gen Auf­trags­ver­ar­bei­tung prü­fen, schla­gen hier nicht sel­ten ord­ner­wei­se Doku­men­ta­tio­nen über ein vor­han­de­nes oder ver­meint­li­ches Schutz­kon­zept beim Dienst­lei­ster auf. Nach dem Mot­to “Weni­ger ist oft­mals mehr” haben wir eine frü­he­re Check­li­ste für tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) vom Datenschutz‐Guru RA Ste­phan Hansen‐Oest ergänzt und im Hin­blick auf die Sor­tie­rung der DSGVO über­ar­bei­tet. Da Ste­phan wei­te Tei­le sei­ner genia­len Vor­la­gen und Muster kosten­frei zur Nut­zung zur Ver­fü­gung stellt und auch beim The­ma Daten­schutz gilt “Gemein­sam sind wir stark”, wol­len wir da nicht hin­ten­an­ste­hen.

Mit­tels der anhän­gen­den Check­li­ste Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men, kurz TOM, als aus­füll­ba­res Word‐Formular kann jeder Dienst­lei­ster ohne all­zu gro­ßen Zeit­auf­wand die bei ihm getrof­fe­nen Schutz­maß­nah­men doku­men­tie­ren (click & dir­ty). Die­se Anga­ben über­prüft der Auf­trag­ge­ber, kann bei Bedarf nach­fra­gen oder Punk­te im Detail klä­ren. Mit der Ergeb­nis­pro­to­kol­lie­rung am Ende soll­te auch der Dokumentations‐ und Rechen­schafts­pflicht zu dem Punkt Genü­ge getan sein. Ein Auf­trag­ge­ber kann sei­nem Dienst­lei­ster die­se Check­li­ste auch … Wei­ter­le­sen

Der Bei­trag Check­li­ste TOM Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO – tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: March 18, 2018, 5:21 pm

Frohes Fest und guten Rutsch

Lie­be Leser und Lese­rin­nen unse­res Datenschutz‐Blogs, lie­be Inter­es­sen­ten, Kun­den und Geschäfts­part­ner!

2018 hält für für jeden von uns Über­ra­schun­gen und Neue­run­gen parat. Unter­neh­men und Behör­den berei­ten sich auf die EU Datenschutz‐Grundverordnung vor. Im Kiel­was­ser der DS‐GVO zieht das The­ma Infor­ma­ti­ons­si­cher­heit nach. Ver­än­de­run­gen in gewohn­ten Arbeits­wei­sen wer­den die Fol­ge sein. Der Mensch mag nicht immer die Ver­än­de­rung, gro­ße Her­aus­for­de­run­gen ste­hen daher bevor. Doch auch im Pri­va­ten wird es Höhen und Tie­fen geben. Kin­der und Enkel­kin­der tre­ten bei dem einen oder ande­ren ins Leben, bei ande­ren wird der Ver­lust von Ange­hö­ri­gen eine nicht zu schlie­ßen­de Lücke rei­ßen. Doch das Leben wird wei­ter­ge­hen, auch wenn es einem im letzt­ge­nann­ten Fall lan­ge nicht so erschei­nen mag.

Nut­zen Sie bit­te die geruh­sa­me Zeit “zwi­schen den Jah­ren” und zum Neu­jahrsan­fang, um Zeit mit Ihren Lie­ben und Freun­den zu ver­brin­gen. Fin­den Sie Ruhe und holen Sie Luft, für alles, was 2018 für jeden von uns bereit­hal­ten wird. Herz­li­chen Dank für Ihr Inter­es­se und die gute Zusam­men­ar­beit im nun fast ver­gan­ge­nen Jahr.

Das Team von a.s.k. Daten­schutz wünscht Ihnen und Ihren Lie­ben ein schö­nes Weih­nachts­fest und einen guten Rutsch in ein gesun­des und glück­li­ches Jahr 2018.

Auf Wie­der­le­sen im Neu­en Jahr

PS: Statt Weih­nachts­kar­ten haben wir in die­sem … Wei­ter­le­sen

Der Bei­trag Fro­hes Fest und guten Rutsch erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: Decem­ber 22, 2017, 8:39 am

Danke Mailchimp! Abmahnrisiko für deutsche Newsletter‐Versender

Vorteile externer Newsletter‐Versender / Anbieter

Exter­ner Newsletter‐Versender sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Dien­stes das Risi­ko eines offe­nen Newsletter‐Verteilers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wur­den.

Double opt‐in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von Newsletter‐Empfängern mit­tels des sog. dou­ble opt‐in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim doup­le opt‐in Ver­fah­ren bestä­tigt der Newsletter‐Empfänger – zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail – sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu kön­nen.

Danke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Standard‐Anmeldeverfahren auf sin­gle opt‐in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen Newsletter‐Versender nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Anson­sten dro­hen Abmah­nun­gen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, … Wei­ter­le­sen

Der Bei­trag Dan­ke Mail­chimp! Abmahn­ri­si­ko für deut­sche Newsletter‐Versender erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: Octo­ber 30, 2017, 7:25 am

Email‐Werbung ohne schriftliche Einwilligung – geht das überhaupt?

Keine Email‐Werbung ohne Einwilligung

Oft wer­den wir als Daten­schutz­be­auf­trag­te gefragt, ob für Email‐Werbung  oder Wer­bung per SMS eine schrift­li­che Ein­wil­li­gung wirk­lich not­wen­dig ist. Dabei wird über­se­hen, dass hier das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) der erste Spiel­ver­der­ber ist. Das all­ge­mei­ne Daten­schutz­recht tritt hier erst mal zurück.

Und in § 7 Absatz 1 sowie Absatz 2 Num­mer 3 des UWG wird Email‐Werbung zusam­men mit SMS‐ und Telefax‐Werbung grund­sätz­lich als unzu­mut­ba­re Belä­sti­gung im Sin­ne des UWG ein­ge­stuft. Daher ist Email‐Werbung nur mit aus­drück­li­cher (vor­he­ri­ger schrift­li­cher) Ein­wil­li­gung der betrof­fe­nen Per­son erlaubt. Mit der wett­be­werbs­recht­li­chen Zuläs­sig­keit steht und fällt zugleich auch die daten­schutz­recht­li­che Zuläs­sig­keit.

Ausnahmsweise doch Email‐Werbung ohne Einwilligung?

Ja, Email‐Werbung ohne vor­he­ri­ge schrift­li­che Ein­wil­li­gung kann in einer ein­zi­gen Aus­nah­me mög­lich sein. Die­se Aus­nah­me beschreibt der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden‐Württemberg. Ver­brau­cher, aber auch Wer­be­trei­ben­de kön­nen sich in dem frei ver­füg­ba­ren und aktua­li­sier­ten Merk­blatt „Was Sie gegen uner­wünsch­te Wer­bung tun kön­nen” (Stand 10. Mai 2017) infor­mie­ren.

Wie lautet diese Ausnahme für Email‐Werbung ohne Einwilligung?

Nach Auf­fas­sung des Lan­des­be­auf­trag­ten ist Email‐Werbung ohne (vor­he­ri­ge) schrift­li­che Ein­wil­li­gung mög­lich nach § 7 Absatz 3 UWG, wenn der Wer­be­trei­ben­de (also das Unter­neh­men) schrift­lich alle nach­fol­gen­den Vor­aus­set­zun­gen nach­wei­sen kann (Original‐Zitat aus dem Merk­blatt):

  • Er hat die

Wei­ter­le­sen

Der Bei­trag Email‐Werbung ohne schrift­li­che Ein­wil­li­gung – geht das über­haupt? erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: Sep­tem­ber 5, 2017, 1:56 pm

Datenpanne: Offener Newsletter‐Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail‐ oder Newsletter‐Programm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Verteiler‐Liste genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor‐, Nach­na­me und Email‐Adresse. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter‐Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Geste. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email‐Adressen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter‐Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che … Wei­ter­le­sen

Der Bei­trag Daten­pan­ne: Offe­ner Newsletter‐Verteiler führt zu Buß­geld – Augen auf beim Direkt­mar­ke­ting erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: August 21, 2017, 7:03 am

Personalausweis einfach kopieren – einfach rechtswidrig

Personalausweis als Pfand, Personalausweis‐Kopie als Beleg – üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Dokumenten‐Management‐System gespei­chert. Bran­chen­über­grei­fend üblich, vom Fitness‐Studio bis zur Auto­ver­mie­tung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAus­wG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Aus­weis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopi­en des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­ni­ste­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll

Wei­ter­le­sen

Der Bei­trag Per­so­nal­aus­weis ein­fach kopie­ren – ein­fach rechts­wid­rig erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: August 18, 2017, 2:10 pm

Ich bereue den Passwort‐Wahnsinn”

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Sei­ten, die es in sich haben. Die “NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mister Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US‐Behörde, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­näckig. Auch der BSI IT‐Grundschutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf.

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST emp­fahl bis­her zur Pass­wort­si­cher­heit:

  1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Son­der­zei­chen)
  2. Pass­wör­ter sol­len alle 90 Tage gewech­selt wer­den

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit geko­stet.

Ich bereue den Passwort‐Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Passwort‐Richtlinien”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett Wei­ter­le­sen

Der Bei­trag “Ich bereue den Passwort‐Wahnsinn” erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: August 11, 2017, 12:37 pm

Auslegungshilfen zur EU Datenschutzgrundverordnung veröffentlicht

Die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat erste Aus­le­gungs­hil­fen zum neu­en Daten­schutz­recht der EU Daten­schutz­grund­ver­ord­nung (EU‐DSGVO) ver­öf­fent­licht.

Die­se Hil­fen ste­hen auf der Web­sei­te der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen zum Down­load zur Ver­fü­gung.

Wie bereits in einem frü­he­ren Bei­trag beschrie­ben, ist die Unter­stüt­zung mit Vor­la­gen und Hilfs­mit­teln zur Umset­zung der EU‐DSGVO noch recht „über­schau­bar“. Dies wird auch am Umfang der jetzt ver­öf­fent­lich­ten – und noch zu erwei­tern­den – Aus­le­gungs­hil­fen deut­lich. 3 The­men wer­den behan­delt:

  1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DS‐GVO
  2. Auf­sichts­be­fug­nis­se / Sank­tio­nen
  3. Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Wer­bung

Wei­ter­le­sen

Der Bei­trag Aus­le­gungs­hil­fen zur EU Daten­schutz­grund­ver­ord­nung ver­öf­fent­licht erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: July 7, 2017, 12:06 pm

Der Hype um das (private) Whatsapp‐Abmahnrisiko

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whatsapp‐Nutzer durch das Netz. Doch was steckt dahin­ter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whats­app

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whatsapp‐Nutzers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whatsapp‐Servern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kosten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die erste Nach­richt hier­zu im Web lan­ciert, ging der Copy & Paste – Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devi­se.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Car­sten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nut­zung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in … Wei­ter­le­sen

Der Bei­trag Der Hype um das (pri­va­te) Whatsapp‐Abmahnrisiko erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: June 28, 2017, 1:42 pm

Keine Panik: Die EU‐Datenschutzgrundverordnung kommt

Wer die letz­ten Woche und Mona­te die Mel­dun­gen in den Nach­rich­ten, auf Blogs, in sozia­len Netz­wer­ken und auch per Post ver­folgt, kann es nur mit der Angst bekom­men. Da kommt die EU‐Datenschutzgrundverordnung im Mai 2018 auf Unter­neh­men und Behör­den zu und man könn­te mei­nen, die Welt ste­he kurz vor ihrem Unter­gang. Ein­zi­ge Abhil­fe natür­lich, jetzt schnell diver­se Semi­na­re buchen oder diver­se Lite­ra­tur­zu­sam­men­stel­lun­gen kau­fen. Doch ist das wirk­lich so schlimm, was da auf Unter­neh­men und Behör­den zu kommt?

Rechtliches zur EU‐Datenschutzgrundverordnung (EU‐DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein har­tes Umschal­ten zwi­schen unse­ren bis­he­ri­gen natio­na­len Daten­schutz­ge­set­zen und der EU‐DSGVO geben. Sind wir bis zu die­sem Ter­min noch an das Bun­des­da­ten­schutz­ge­setz und die Lan­des­da­ten­schutz­ge­set­ze gebun­den, so wer­den die­se zum og. Ter­min durch die EU‐DSGVO ver­drängt. Hin­zu kom­men in den EU‐Mitgliedsstaaten mög­li­che Anpas­sungs­ge­set­ze, in Deutsch­land für Bund und Län­der jeweils sepa­rat. Die­se beru­hen auf den soge­nann­ten Öff­nungs­klau­seln in der EU‐DSGVO, zu denen die Mit­glieds­staa­ten eige­ne natio­na­le Regeln ergän­zen kön­nen. Der Spiel­raum ist hier jedoch begrenzt, dem Sinn der EU‐DSGVO wird es schwer zu wider­spre­chen sein.

Vor die­sem Hin­ter­grund ist auch der Arbeits­ti­tel “BDSG‐neu” für das deut­sche Anpas­sungs­ge­setz nicht ganz kor­rekt. Daher heißt es auch im rich­ti­gen Wort­laut … Wei­ter­le­sen

Der Bei­trag Kei­ne Panik: Die EU‐Datenschutzgrundverordnung kommt erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: June 11, 2017, 1:33 pm

Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

DIE EU‐DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU‐Datenschutzgrundverordnung (EU‐DSGVO) macht es für baye­ri­sche Kom­mu­nen mög­lich, was in ande­ren Bun­des­län­dern schon län­ger geüb­te Pra­xis ist: Die Bestel­lung eines exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten. Sah das Baye­ri­sche Lan­des­da­ten­schutz­ge­setz (BayDSG) bis­her eine exter­ne Bestell­mög­lich­keit eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nal­ein­rich­tun­gen nicht vor, so ändert sich dies zum 25.05.2018 ein­heit­lich. Ab die­sem Zeit­punkt kön­nen und dür­fen baye­ri­sche Kom­mu­nen end­lich einen exter­nen Daten­schutz­be­auf­trag­ten zum behörd­li­chen Daten­schutz­be­auf­trag­ten bestel­len.

Entlastung für kleinere Kommunen

Gera­de klei­ne­re Kom­mu­nen haben sich mit der Bestel­lung eines Daten­schutz­be­auf­trag­ten stets schwer getan. Neben den viel­fäl­ti­gen Auf­ga­ben einer Ver­wal­tung und den nicht gera­de üppig vor­han­de­nen Per­so­nal­res­sour­cen war meist wenig „Luft“ für die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten. Und selbst wenn es zu einer inter­nen Bestel­lung kam, so wur­de die Funk­ti­on nicht sel­ten mit wenig bis kei­nem Leben erfüllt. Hin­zu kamen gra­vie­ren­de Nach­tei­le eines mit wenig Zeit und Res­sour­cen aus­ge­stat­te­ten inter­nen Daten­schutz­be­auf­trag­ten. Näm­lich der viel zu gerin­ge zeit­li­che Spiel­raum zur Aus­übung der Tätig­keit, das feh­len­de Know‐How (meist kei­ne Aus­bil­dung zum DSB vor­han­den) und damit ein­her­ge­hend die feh­len­de Übung im Umgang mit den all­täg­li­chen Daten­schutz­fra­gen.

Doch mit der EU‐DSGVO kommt Ent­la­stung und Unter­stüt­zung für baye­ri­sche Kom­mu­nen. Ab dem 25.05.2018 kön­nen die­se nun einen Daten­schutz­be­auf­trag­ten … Wei­ter­le­sen

Der Bei­trag Exter­ner behörd­li­cher Daten­schutz­be­auf­trag­ter (Baye­ri­sche Kom­mu­nen) erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: April 24, 2017, 7:11 am

Aushilfskraft (m/w) zur Unterstützung im Backoffice gesucht

a.s.k. Daten­schutz braucht Ver­stär­kung oder anders aus­ge­drückt – WIR SUCHEN DICH! 🙂

Aus­hilfs­kraft (m/w) mit tech­ni­schem Hin­ter­grund für befri­ste­te Unter­stüt­zung bei eini­gen Kun­den­pro­jek­ten gesucht. Kennt­nis­se im Bereich Cloud, Daten­schutz und Infor­ma­ti­ons­si­cher­heit von Vor­teil. Tätig­keit kann von jedem inter­net­fä­hi­gen (nicht öffent­li­chen!) PC aus­ge­führt wer­den.

Kein Kun­den­kon­takt, kei­ne Akqui­se, rei­ne Unter­stüt­zung im Back­of­fice.

Befri­ste­te Anstel­lung als Aus­hil­fe, ger­ne auch Tätig­keit als frei­er Mit­ar­bei­ter – wie Sie es wün­schen.

Kurz­be­wer­bun­gen mit tech­ni­schem Hin­ter­grund bit­te per Post an a.s.k. Daten­schutz, Sascha Kuhrau, Schul­stra­sse 16a, 91245 Sim­mels­dorf oder per Mail an ed.ztuhcsnetad-ksanull@407102eflihsua. Bit­te bei Email‐Bewerbungen beach­ten: Ihre Daten wer­den unver­schlüs­selt über­tra­gen, solan­ge Sie nicht unser S/MIME‐Zertifikat für die Ver­schlüs­se­lung ein­set­zen. Ger­ne sen­den wir Ihnen dies vor­ab per Mail zu.

 … Wei­ter­le­sen

Der Bei­trag Aus­hilfs­kraft (m/w) zur Unter­stüt­zung im Back­of­fice gesucht erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: March 30, 2017, 1:54 pm

Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

Letz­te Woche haben wir die­se Fra­ge in unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit behan­delt: “Müs­sen baye­ri­sche Kom­mu­nen ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren?”, die­se Fra­ge wird nach wie vor oft bei Semi­na­ren, Ver­an­stal­tun­gen, tele­fo­nisch und per Mail an uns her­an­ge­tra­gen. Wir haben dies zum Anlass genom­men, hier­zu ein Web­vi­deo zu erstel­len, in dem wir auf die Not­wen­dig­keit und recht­li­chen Grund­la­gen für die Ein­füh­rung und den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts ver­tie­fend ein­ge­hen. Denn die Ant­wort auf die Fra­ge kann nur lau­ten “Ja!”. Wer es nicht glaubt, ist herz­lich dazu ein­ge­la­den, sich in unse­rem Video davon über­zeu­gen zu las­sen.

Sie fin­den das Web­vi­deo ein­ge­bet­tet hier bei uns im Blog oder auf unse­rem neu­en Youtube‐Kanal.

Wei­ter­le­sen

Der Bei­trag Müs­sen baye­ri­sche Kom­mu­nen ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­füh­ren? erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: March 14, 2017, 6:40 am

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

Auf 158 Sei­ten gibt der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig einen Über­blick über die Arbeit der Daten­schutz­auf­sichts­be­hör­de für den nicht‐öffentlichen Bereich in Bay­ern für die Jah­re 2015 und 2016 ab.

Das BayL­DA ist für ca. 700.000 ver­ant­wort­li­che Stel­len im nicht‐öffentlichen Bereich (Unter­neh­men, Ver­ei­ne, Ver­bän­de, frei­be­ruf­lich Täti­ge etc.) in Bay­ern zustän­dig.

Im vor­de­ren Teil des Berichts wird anschau­lich auf die Ent­wick­lung von Bür­ger­be­schwer­den, Daten­pan­nen, aber auch Bera­tungs­an­fra­gen sei­tens nicht‐öffentlicher Stel­len ein­ge­gan­gen. Der Über­sicht ab 2013 ist zu ent­neh­men, dass es sich bei der zuneh­men­den Stei­ge­rung nicht um ein­zel­ne Spit­zen, son­dern klar um einen Trend han­delt. Sind 2013 “nur” 925 Beschwer­den über baye­ri­sche Unter­neh­men und Unter­neh­mer ein­ge­gan­gen, so waren es 2016 schon 1.424. Iden­tisch ver­hält es sich mit der Zahl der Daten­pan­nen (2013 32 gegen­über 85 in 2016). Wobei hier eine deut­lich höhe­re Dun­kel­zif­fer sei­tens des Amts ver­mu­tet wird. Bei den Beschwer­den liegt das The­ma Video­über­wa­chung auf dem vor­der­sten Platz. Unter ande­rem sind dafür die mitt­ler­wei­le sehr preis­wer­ten Über­wa­chungs­ka­me­ras (wie Wild­ka­me­ras, Dash­cams usw.) ver­ant­wort­lich, jedoch auch ein gestei­ger­tes Sicher­heits­be­dürf­nis. Letz­te­res führt schnell mal dazu, nicht nur (zuläs­si­ger­wei­se) das eige­ne Grund­stück zu obser­vie­ren, son­dern (zumeist unzu­läs­sig) angren­zen­de Grund­stücke oder öffent­li­che Ver­kehrs­flä­chen mit ein­zu­schlie­ßen.

Klas­si­sche Daten­pan­nen wie Ver­lust, Dieb­stahl oder … Wei­ter­le­sen

Der Bei­trag Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) stellt Tätig­keits­be­richt 2015/2016 vor erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: March 8, 2017, 1:15 pm

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT‐Manager gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestel­len?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­de­stens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU‐Datenschutzgrundverordnung (EU‐DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll dann … Wei­ter­le­sen

Der Bei­trag Daten­schutz­be­auf­trag­ter darf kei­nen Inter­es­sen­kon­flik­ten unter­lie­gen erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: Janu­a­ry 23, 2017, 6:11 am

Frohes Neues Jahr 2017

Wir wün­schen allen unse­ren Lesern des Datenschutz‐Blogs, unse­ren Kun­den und Geschäfts­part­nern samt ihren Lie­ben ein Fro­hes Neu­es Jahr 2017 mit viel Gesund­heit und Glück. Dan­ke, dass Sie uns in 2016 die Treue gehal­ten haben. Wir freu­en uns auf die wei­te­re Zusam­men­ar­beit mit Ihnen.

Bildnachweis: https://pixabay.com/de/hufeisen-gl%C3%BCck-western-huf-110987/

Wei­ter­le­sen

Der Bei­trag Fro­hes Neu­es Jahr 2017 erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: Janu­a­ry 2, 2017, 10:04 am

Landesdatenschutzbehörden prüfen Cloud‐Einsatz in Unternehmen

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Mecklenburg‐Vorpommern, Nie­der­sach­sen, Nordrhein‐Westfalen, Rheinland‐Pfalz, Saar­land und Sachsen‐Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­gel­dri­si­ko für Ihre Orga­ni­sa­ti­on.

[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­lei­ster, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office‐Anwendungen „aus dem Inter­net“, die stand­ort­u­n­ab­hän­gig und fle­xi­bel genutzt wer­den kön­nen.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, son­sti­ge Dritt­staa­ten).

Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Lei­stun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit Wei­ter­le­sen

Der Bei­trag Lan­des­da­ten­schutz­be­hör­den prü­fen Cloud‐Einsatz in Unter­neh­men erschien zuerst auf Exter­ner Daten­schutz­be­auf­trag­ter DSGVO.

Autor: Sascha Kuhrau
Ver­fasst: Novem­ber 4, 2016, 7:18 am

Informationssicherheit aktuell

Bera­tung zu Infor­ma­ti­ons­si­cher­heit, IT‐Sicherheit, Daten­schutz, ISMS

Über Bord mit veralteten starren Passwort‐Richtlinien

Star­re Passwort‐Richtlinien sind nicht pra­xis­taug­lich und wer­den der Bedro­hungs­la­ge nicht gerecht. Aber sie haben sich ja über Jah­re bewährt, wie­so also ändern? In unse­rem Blog­bei­trag beleuch­ten wir die Passwort‐Mythen zu Passwort‐Länge, Passwort‐Komplexität, Passwort‐Wechsel und Ver­mei­dung ein­heit­li­cher Pass­wör­ter. Nicht zu Unrecht sind die mei­sten Anwen­der von dem The­ma genervt und umge­hen alle so schön auf Papier for­mu­lier­te und teil­wei­se erzwun­ge­ne Passwort‐Richtlinien mit aller Kunst und Fines­se. Die Maß­nah­men des BSI IT‐Grundschutzes sind Emp­feh­lun­gen, die auf die jewei­li­ge Orga­ni­sa­ti­on und Bedro­hung anzu­pas­sen sind. Oft­mals wer­den die­se jedoch als fixe Min­dest­vor­ga­be gese­hen und umge­setzt. Der Effekt für die Sicher­heit in der Orga­ni­sa­ti­on über­schau­bar. Wir haben Ihnen eini­ge Tipps zusam­men­ge­stellt, wie Sie Ihre Anwen­der vom Pra­xis­nut­zen der Sicher­heit über­zeu­gen kön­nen und geleb­te Sicher­heit in die Orga­ni­sa­ti­on brin­gen kön­nen. Ach­tung: Bit­te lesen Sie den kom­plet­ten Blog‐Beitrag nicht, wenn Ihr Mot­to lau­tet “Haben wir schon immer so gemacht!”. Der Bei­trag könn­te Ihre Vor­ur­tei­le gefähr­den 🙂
Autor: Sascha Kuhrau
Ver­fasst: Novem­ber 28, 2018, 1:41 pm

Magento‐Shops kompromittiert — Kreditkartendaten werden bereits abgegriffen

Mit­tels Brute‐Force‐Attacken ver­schaf­fen sich Hacker aktu­ell Zugriff auf den Admin‐Bereich von Online‐Shops, wel­che die Soft­ware Magen­to nut­zen. Dabei wird ein Javascript‐Code ein­ge­fügt, der ab sofort in Echt­zeit die Ein­ga­be­da­ten der Shop‐Kunden mit­schreibt und an einen Ser­ver in Russ­land über­trägt. Dar­in sind die Zah­lungs­in­for­ma­tio­nen ent­hal­ten, die dann miß­braucht wer­den kön­nen. Infor­ma­tio­nen, wie Sie als Magento‐Shopbetreiber den besag­ten Schad­code iden­ti­fi­zie­ren kön­nen, fin­den Sie im Sicher­heits­bei­trag des Ent­deckers die­ses Pro­blems. Der Autor gibt dar­in gleich wei­te­re Tipps zur Absi­che­rung wie die Ver­ga­be gehär­te­ter Admin‐Passwörter und vie­le mehr. Da die­ser Angriff eine mel­de­pflich­ti­ge Daten­pan­ne im Sin­ne der DSGVO dar­stellt und sich durch den Miß­brauch von Zah­lungs­in­for­ma­tio­nen schnell hohe Scha­dens­er­satz­be­trä­ge auf­sum­mie­ren kön­nen, soll­ten Sie als Magento‐Shopbetreiber zeit­nah prü­fen, ob Ihr Ser­ver ent­spre­chend mani­pu­liert wur­de. Meh­re­re tau­send infi­zier­te Shops sind bereits bekannt.
Autor: Sascha Kuhrau
Ver­fasst: Sep­tem­ber 6, 2018, 11:01 am

WordPress‐Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Allen Nut­zern des belieb­ten Content‐Management‐Systems Wor­d­press wird emp­foh­len, das Update auf Ver­si­on 4.9.4 umge­hend manu­ell ein­zu­spie­len. Das vor­he­ri­ge Update auf Ver­si­on 4.9.3 war feh­ler­haft und hat die auto­ma­ti­sche Aktua­li­sie­rung von Wor­d­press abge­schos­sen. Somit wer­den nach Ver­si­on 4.9.3 kei­ne Fixes Sicher­heits­lücken mehr auto­ma­tisch ein­ge­spielt. Abhil­fe schafft aus­schließ­lich das manu­el­le Update auf 4.9.4 im Backend. Nur so wer­den auch zukünf­ti­ge auto­ma­ti­sche Aktua­li­sie­run­gen sicher­ge­stellt. Nut­zer von Wor­d­press soll­ten die­sen Feh­ler umge­hend manu­ell behe­ben.
Autor: Sascha Kuhrau
Ver­fasst: Febru­a­ry 10, 2018, 11:11 am

Kritische Sicherheitslücke in Browser Firefox

Laut CERT BUND sind alle Ver­sio­nen des belieb­ten Brow­sers Fire­fox vor 58.0.1 von einer kri­ti­schen Sicher­heits­lücke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Web­sei­te reicht aus, um Schad­code auf den PC des Besu­chers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Ver­si­on 58.0.1 zeit­nah durch­zu­füh­ren. Im Zwei­fel manu­ell ansto­ßen, nicht auf das Auto‐Update war­ten.
Autor: Sascha Kuhrau
Ver­fasst: Janu­a­ry 31, 2018, 6:17 am

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Seit gerau­mer Zeit rumort es in Anwalts­krei­sen. Grund ist das beson­de­re elek­tro­ni­sche Post­fach, kurz beA genannt. Dies soll­te eigent­lich zum 01.01.2018 ver­pflich­tend zum Ein­satz kom­men. Doch dar­aus wur­de nichts. Was mit der Ent­deckung eines falsch zur Ver­fü­gung gestell­ten Zer­ti­fi­kats Ende 2017 begann (der pri­va­te Schlüs­sel wur­de mit ver­teilt), fin­det nun sei­nen Höhe­punkt. Die Bun­des­rechts­an­walts­kam­mer (BRAK) emp­fiehlt in einer Pres­se­mel­dung die Cli­ent Secu­ri­ty zu deak­ti­vie­ren, bes­ser den Cli­ent gleich kom­plett zu deinstal­lie­ren. Wie es dazu kom­men konn­te, das trotz angeb­li­cher Sicher­heits­über­prü­fun­gen ein unsi­che­res Pro­dukt an die Rechts­an­walts­zunft ver­teilt wur­de, klärt die Pres­se­mel­dung nicht auf. BRAK‐Vizepräsident Abend erklärt, das “beA erst dann wie­der in Betrieb gehen wird, wenn alle rele­van­ten Sicher­heits­fra­gen geklärt sind.”
Autor: Sascha Kuhrau
Ver­fasst: Janu­a­ry 27, 2018, 8:39 am

Frohes Fest und guten Rutsch

Lie­be Leser und Lese­rin­nen unse­res Informationssicherheits‐Blogs, lie­be Inter­es­sen­ten, Kun­den und Geschäfts­part­ner! 2018 hält für für jeden von uns Über­ra­schun­gen und Neue­run­gen parat. Unter­neh­men und Behör­den berei­ten sich auf die EU Datenschutz‐Grundverordnung vor. Im Kiel­was­ser der DS‐GVO zieht das The­ma Infor­ma­ti­ons­si­cher­heit nach. Ver­än­de­run­gen in gewohn­ten Arbeits­wei­sen wer­den die Fol­ge sein. Der Mensch mag nicht immer die Ver­än­de­rung, gro­ße Her­aus­for­de­run­gen ste­hen daher bevor. Doch auch im Pri­va­ten wird es Höhen und Tie­fen geben. Kin­der und Enkel­kin­der tre­ten bei dem einen oder ande­ren ins Leben, bei ande­ren wird der Ver­lust von Ange­hö­ri­gen eine nicht zu schlie­ßen­de Lücke rei­ßen. Doch das Leben wird wei­ter­ge­hen, auch wenn es einem im letzt­ge­nann­ten Fall lan­ge nicht so erschei­nen mag. Nut­zen Sie bit­te die geruh­sa­me Zeit “zwi­schen den Jah­ren” und zum Neu­jahrsan­fang, um Zeit mit Ihren Lie­ben und Freun­den zu ver­brin­gen. Fin­den Sie Ruhe und holen Sie Luft, für alles, was 2018 für jeden von uns bereit­hal­ten wird. Herz­li­chen Dank für Ihr Inter­es­se und die gute Zusam­men­ar­beit im nun fast ver­gan­ge­nen Jahr. Das Team von a.s.k. Daten­schutz wünscht Ihnen und Ihren Lie­ben ein schö­nes Weih­nachts­fest und einen guten Rutsch in ein gesun­des und glück­li­ches Jahr 2018. Auf Wie­der­le­sen im Neu­en Jahr PS: Statt Weih­nachts­kar­ten haben wir in die­sem Jahr erneut der Ste­fan Hahn Kin­der­stif­tung gespen­det. Es gibt nichts Wich­ti­ge­res, als unse­ren Kin­dern die Chan­ce auf einen guten Start ins Leben zu ermög­li­chen.
Autor: Sascha Kuhrau
Ver­fasst: Decem­ber 22, 2017, 8:46 am

20. IuK Tage Gunzenhausen — Informationssicherheit in der Verwaltung

Die 20. IuK Tage Gun­zen­hau­sen zu aktu­el­len Sicher­heits­the­men in der digi­ta­len Ver­wal­tung fin­den am 19. und 20. Sep­tem­ber 2017 in Gun­zen­hau­sen statt. a.s.k. Daten­schutz ist als Refe­rent und Ansprech­part­ner für das The­ma Infor­ma­ti­ons­si­cher­heit mit dabei. Mehr Infos und Anmel­dung im Blog­bei­trag.
Autor: Sascha Kuhrau
Ver­fasst: Sep­tem­ber 14, 2017, 7:45 am

Entschlüsselungstool für Petya, Goldeneye und Mischa

Vor eini­gen Wochen haben die Ent­wick­ler der Kryp­to­tro­ja­ner Pet­ya, Gol­de­neye und Mischa die Master‐Keys für die­se Tro­ja­ner ver­öf­fent­licht. Nun hat Mal­ware­bytes ein Ent­schlüs­se­lungs­tool her­aus­ge­bracht. Mehr dazu in unse­rem Blog­bei­trag.
Autor: Sascha Kuhrau
Ver­fasst: August 17, 2017, 7:11 am

Suchmaschine für gehackte Passwörter

Statt nach kom­pro­mit­tier­ten Email‐Adressen der eige­nen Web­ac­counts zu suchen, besteht nun auch die Mög­lich­keit, sei­ne genutz­ten Pass­wör­ter zu über­prü­fen. Ob die­se bei einem Hack erfolg­reich geknackt wur­den und somit meist in ein­schlä­gi­gen Krei­sen bekannt sind, kann durch einen neu­en Online‐Service geprüft wer­den. Pfif­fi­ge Admins nut­zen die bereit­ge­stell­te API und schlie­ßen die­se gehack­ten Pass­wör­ter in eige­nen Netz von vorn­her­ein aus. Mehr Infos und den Link zum Prüf­ser­vice fin­den Sie im Blog­bei­trag.
Autor: Sascha Kuhrau
Ver­fasst: August 7, 2017, 3:01 pm

Aufatmen bei bayerischen Kommunen — Umsetzungsfrist Informationssicherheitskonzept nach Artikel 8 BayEGovG soll verlängert werden

Nach aktu­el­ler Rechts­la­ge gemä­ße Arti­kel 8 Bay­E­GovG sind baye­ri­sche Kom­mu­nen ver­pflich­tet, bis zum 01.01.2018 ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­zu­füh­ren und zu betrei­ben. Nach Ver­ab­schie­dung des Bay­E­GovG im Dezem­ber 2015 hat die­se kur­ze Umset­zungs­frist für eini­ge Auf­re­gung unter baye­ri­schen Kom­mu­na­len Ein­rich­tun­gen gesorgt. Doch jetzt ist wahr­schein­lich Auf­at­men ange­sagt. Der Gesetz­ent­wurf der Staats­re­gie­rung zur Errich­tung des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik LT‐Drs. 17/17726 vom 11.07.2017 sieht nun vor, dass die­se Ver­pflich­tung erst am 01.01.2019 in Kraft tritt (vgl. Zif­fer 11 b des Gesetz­ent­wurfs). Mehr dazu im Blog­bei­trag.
Autor: Sascha Kuhrau
Ver­fasst: July 31, 2017, 3:06 pm