Datenschutz

Geplanter Datenbrief ruft Gegner auf den Plan

von Sascha Kuhrau
26. April 2010
1 Kommentar

Bundesinnenminister Thomas de Maizière hat mit der kurzfristig einberufenen Expertengruppe rund um den sog. “Datenbrief” heftige Diskussionen über Pro und Kontra einer solchen Lösung ausgelöst. Er griff damit eine Forderung des Chaos Computer Club und zahlreicher Datenschützer auf. Im Tagesspiegel äußerte er sich dahingehend: “Auch wenn hier der Teufel im Detail steckt, ist der Vorschlag prüfenswert.” Das Grundrecht zur informationellen Selbstbestimmung würde auch die Möglichkeit der nachträglichen Kontrolle beinhalten.

Um was geht es?

Aufgrund der Erfahrungen und negativen Presse aus den Datenskandalen der jüngsten Vergangenheit wird über die Einführung des sog. “Datenbriefs” nachgedacht. Jährlich sollen Unternehmen jeden Betroffenen darüber aufklären, welche personenbezogenen Daten über seine Person im Unternehmen gespeichert sind. Ergänzend soll angegeben werden, welche Erkenntnisse das Unternehmen aus diesen Informationen gezogen hat. Über die möglichen Versandwege wird zur Zeit noch diskutiert. Email und Postbrief stehen zur Debatte. Diskutiert werden ebenfalls Bagatellgrenzen oder mögliche Ausnahmen für bestimmte Bereiche. Großen Wert wird auf die Datensicherheit gelegt.

Kritiker aus Wirtschaft und unternehmensnahen Kreisen verweisen auf die mit einem solchen Datenbrief verbundenen Kosten und einem zusätzlichen Risiko für die gespeicherten Daten, sollten diese für einen solchen Brief zentral vereint und gespeichert werden. Vielmehr sollen von vornherein weniger Daten gesammelt und diese nach einer angemessenen Zeit wieder gelöscht werden. Dies entspricht den bereits bestehenden gesetzlichen Regelungen des Bundesdatenschutzgesetz § 3a “Datenvermeidung und Datensparsamkeit”. Der Versandweg per Email ist zumindest ohne Einsatz von Signatur und Verschlüsselung bedenklich, könnten sensible Informationen doch schnell in falsche Hände geraten.

Über die weitere Entwicklung können Sie sich hier im Blog zukünftig informieren.

Als Berater für Datenschutz und Datensicherheit sowie externer Datenschutzbeauftragter überprüfe ich Ihr Unternehmen in einem Datenschutz-Quick-Check auf die Einhaltung der gesetzlichen Regelungen des Bundesdatenschutzgesetz (BDSG), erarbeite mit Ihnen Empfehlungen und unterstütze Sie bei der Umsetzung. Sprechen Sie mich an.

Die Hitliste unsicherer Passwörter und Passwortfehler

von Sascha Kuhrau
22. April 2010

Man glaubt es kaum, doch trotz aller Warnungen und Sensibilisierungsversuche werden nach wie vor die einfachsten Regeln zur Passwortsicherheit nicht eingehalten. Nicht ohne Grund werden die Charts der unsicheren Passwörter angeführt von

12345
passwort / password
abcdef
qwertz (schauen Sie mal auf Ihre Tastatur oben links)
(Kose-) Name der Frau / Freundin / Kinder
Haustiernamen
Geburtsdatum
Hobbies
Name der Grundschule
Lieblingsfilm
uvm.

Wo ist das Problem, mag mancher denken? Ganz einfach: selbst ein Standard-PC braucht mit im Netz frei erhältlicher Software nur noch wenige Sekunden mit sog. Wörterbuchangriffen oder ebenfalls verfügbarer Zahlenlisten, um solche Passwörter auszuhebeln. Doch auch zu kurze Passwörter sind mit sog. brute force Attacken (die auch sinnfreie Kombinationen austesten) in kurzer Zeit geknackt.

Die Folgen unterschiedlich — von einfacher Accountübernahme bis hin zu finanziellen Schäden im privaten oder betrieblichen Umfeld.

Was sollte bei der Auswahl von Passwörtern und ihrer Anwendung beachtet werden?Weiterlesen »Die Hitliste unsicherer Passwörter und Passwortfehler

Folgen der Nichtbestellung eines Datenschutzbeauftragten (DSB) bei vorliegender gesetzlicher Verpflichtung

von Sascha Kuhrau
20. April 2010
1 Kommentar

“Was kann mir / meinem Unternehmen schon passieren, wenn ich keinen Datenschutzbeauftragten bestelle, obwohl mich das Bundesdatenschutzgesetz dazu verpflichtet?”, diese Frage wurde hier mehrfach per Email gestellt. Die Antwort möchte ich nicht schuldig bleiben und aufgrund der Tragweite und Relevanz erfolgt diese als öffentlicher Beitrag.

Das Bundesdatenschutzgesetz (BDSG) schreibt die Notwendigkeit zur Bestellung eines betrieblichen externen oder internen Datenschutzbeauftragen (DSB) unter bestimmten Voraussetzungen vor § 4f BDSG — siehe auch “Wer muss einen Datenschutzbeauftragten bestellen?” Oftmals wird Datenschutz jedoch als reiner Kostenfaktor und Hemmschuh für die unternehmerische Entwicklung verstanden, nicht als Qualitätsmerkmal oder Chance. Die Versuchung erscheint daher groß, auf die Bestellung des DSB zu verzichten.Weiterlesen »Folgen der Nichtbestellung eines Datenschutzbeauftragten (DSB) bei vorliegender gesetzlicher Verpflichtung

Berlin greift beim Datenschutz durch — mehr Fahnder, höhere Zwangsgelder

von Sascha Kuhrau
19. April 2010
1 Kommentar

Dies berichtet die Berliner Morgenpost in ihrer Online Ausgabe vom 18.04.2010. Der Berliner Datenschutzbeauftragte A. Dix kündigt eine deutliche Aufstockung der Fahnder und eine schärfere Gangart gegenüber Unternehmen an, die den Datenschutz nicht ausreichend beachten. Gleichzeitig werden die Zwangsgelder erhöht und schnellere Verfahren angestrebt. Auch kleinen Firmen droht somit eine deutlich höhere Prüf- und Ahndungsquote als bisher.

Tipp zur Gefahrenabwehr: lassen Sie prüfen, wie es um den Datenschutz und die Datensicherheit unter dem Aspekt des Bundesdatenschutzgesetz in Ihrem Unternehmen bestellt ist. Als Berater für Datenschutz und Datensicherheit mit der Qualifikation als externer Datenschutzbeauftragter übernehme ich diese Prüfung für Sie, unterbreite Ihnen entsprechende Vorschläge zur Einhaltung der gesetzlichen Vorschriften und unterstütze Sie bei der Umsetzung. Wenn Sie durch das Bundesdatenschutzgesetz zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet sind (siehe auch: Wer muss einen Datenschutzbeauftragten bestellen?), so kann ich diese Aufgabe im Anschluß gerne für Sie wahrnehmen.

Sprechen Sie mich an!

Übersicht meiner Dienstleistungen

[wpfilebase tag=‘file’ id=‘2’]

SCHUFA reagiert auf Änderungen durch “Scoring Novelle” des BDSG vom 01.04.2010

von Sascha Kuhrau
12. April 2010

Im aktuellen Newsletter informiert die SCHUFA, wie Sie die Änderungen durch die “Scoring Novelle” nach § 34 des Bundesdatenschutzgesetz vom 01.04.2010 umzusetzen gedenkt:

“Ab 1. April 2010 haben Sie nach § 34 BDSG einmal pro Jahr Anspruch darauf, alle Informationen einsehen zu können, die bei der SCHUFA zu Ihrer Person gespeichert werden. Mit der kostenlosen Datenübersicht nach § 34 BDSG erfahren Sie, woher diese stammen und an wen sie weitergeleitet wurden. Sie als registrierter Nutzer haben auf meineSCHUFA.de natürlich jederzeit Zugriff auf diese Informationen.”

Besucht man die Webseite www.meineschufa.de, so findet man im ersten Menüpunkt “Produkte” den neuen Unterpunkt “Datenübersicht nach § 34 Bundesdatenschutzgesetz”. Nach erfolgter Registrierung und Login erhält man Zugriff auf die gewünschten Informationen. Wer sich mit einem gültigen deutschen Personalausweis registriert, profitiert von einem vereinfachten Registrierungsverfahren.

Weitere Informationen sind in einer aktuellen Pressemitteilung verfügbar.

“Scoring Novelle” des BDSG zum 01.04.2010: § 34 Auskunft an den Betroffenen

von Sascha Kuhrau
9. April 2010

Mit Änderung des § 34 des Bundesdatenschutzgesetz im Rahmen der “Scoring Novelle” zum 01.04.2010 wurden die Auskunftsrechte der Betroffenen verbessert. Mehr über die praktische Anwendung finden Sie im Beitrag “Scoring Novelle: Ihr gutes Recht – kostenlose Auskünfte über gespeicherte Personendaten”. Hier der Gesetzestext im Wortlaut:

§ 34 Auskunft an den Betroffenen

(1) Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über

die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
die Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
den Zweck der Speicherung.Weiterlesen »“Scoring Novelle” des BDSG zum 01.04.2010: § 34 Auskunft an den Betroffenen

“Scoring Novelle” des BDSG zum 01.04.2010: § 28a Datenübermittlung an Auskunfteien und 28b Scoring

von Sascha Kuhrau
9. April 2010

Mit der sog. “Scoring Novelle” des Bundesdatenschutzgesetz (BDSG) zum 01.04.2010 sind u.a. folgende Paragraphen hinzugekommen:

§ 28a Datenübermittlung an Auskunfteien

(1) Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und

die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungsterminb estritten worden ist,
der Betroffene die Forderung ausdrücklich anerkannt hat,
a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und d) der Betroffene die Forderung nicht bestritten hat oder
das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat.Weiterlesen »“Scoring Novelle” des BDSG zum 01.04.2010: § 28a Datenübermittlung an Auskunfteien und 28b Scoring

Vertrauen in Unternehmen sinkt — Deutsche werden skeptischer in Sachen Datenschutz

von Sascha Kuhrau
9. April 2010

Eine aktuelle Emnid Umfrage unter 1.000 Bundesbürgern zeigt: die Bürger misstrauen Unternehmen in Sachen Datenschutz immer mehr. 2009 wurde diese Umfrage zum ersten Mal durchgeführt, Schwerpunkt wie auch 2010: die Vertrauenswürdigkeit von Unternehmen beim Schutz persönlicher Informationen. Im Schulnotenprinzip wurden die Branchen Einzelhandel, Banken und Versicherungen, Online-Shops, öffentlicher Sektor, Telekommunikationsdienstleister sowie Transport und Verkehr bewertet.

Auf Platz 1 mit einer leichten Verbesserung gegenüber 2009 liegen Behörden und der öffentliche Sektor. Doch bereits hier zeigt sich, daß die Branchen kein überzeugendes Bild abgeben. Denn die beste Branchenbewertung liegt bei 2,9 (3,1 in 2009). 43% der Umfrageteilnehmer gaben den Behörden jedoch ein “gut” und “sehr gut”.Weiterlesen »Vertrauen in Unternehmen sinkt — Deutsche werden skeptischer in Sachen Datenschutz

Backupstrategie und Recovery in Unternehmen oft unzureichend

von Sascha Kuhrau
8. April 2010

Lt. einer aktuellen Studie von Acronis sind die Backup- und Recoverystrategien von Unternehmen oft unzureichend.

Die Sicherung der Unternehmensserver wird zwar ernst genommen und 87% der 600 befragten Unternehmen sichern automatisch. In Bezug auf die Arbeitsplätze / Workstations werden jedoch eklatante Mängel sichtbar. Schätzungsweise 60% an Unternehmensdaten befinden sich dezentral auf PCs und Laptops. Umso erschreckender, daß ein Viertel der Unternehmen, diese noch immer manuell sichern und 19% sogar überhaupt keine Backups der Geräte anfertigt.

Doch ein Backup ist nur so gut wie seine Wiederherstellungsmöglichkeit. 20% der befragten Unternehmen gaben an, ca. eine Woche zu benötigen, um die gesicherten Daten wiederherzustellen und das Unternehmen wieder anlaufen lassen zu können. 40% benötigen hierfür nach eigener Auskunft bis zu einem Tag. Die Kosten und entgangenen Umsätze sind erschreckend, wenn Ihre Mitarbeiter in dieser Zeit nicht produktiv arbeiten und Ihre Kunden keine Aufträge platzieren können.

Backup und Recovery von IT-Systemen sind Bestandteil des Datenschutzes (siehe z.B. BDSG Anlage zu § 9 Satz 1, Punkt 7 Verfügbarkeitskontrolle). Als Berater für Datenschutz und Datensicherheit sowie in meiner Tätigkeit als Datenschutzbeauftragter prüfe ich mit Ihnen gemeinsam Ihre Backup- und Recovery-Strategie, gebe Empfehlungen für mögliche Verbesserungen und unterstütze Sie dabei, Ausfallrisiken zu minimieren = Ihre Zeit zu sparen und unnötige Kosten durch Ausfälle / Leerlauf zu vermeiden. Sprechen Sie mich an.

Zur Acronis Studie / Whitepaper

Nützliche Links: Datenschutz, Gesetze, Aufsichtsbehörden, Datenschutzbeauftragter

von Sascha Kuhrau
6. April 2010

Um Ihnen das zeitraubende Suchen der mit dem Thema Datenschutz verbundenen Links im Internet zu ersparen, hier eine Zusammenstellung wichtiger Internetadressen mit Gesetzestexten und Informationen rund um das Thema Datenschutz, Datenschutzgesetze, Datenschutzbeauftragter und Aufsichtsbehörden.

Rechtliches

Bundesdatenschutzgesetz
Telemediengesetz
Betriebsverfassungsgesetz
EU Datenschutzrichtline

Hilfreiches

Bundesamt für Sicherheit in der Informationstechnik
Bürger-CERT – Das Bürger-CERT informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut neutral
Eintrag “Bundesdatenschutzgesetz” bei Wikipedia
Eintrag “Datenschutzbeauftragter” bei Wikipedia
Der Bundesdatenschutzbeauftragte im Internet
ELENA auf der Seite des Bundesdatenschutzbeauftragten
Vorratsdatenspeicherung auf der Seite des Bundesdatenschutzbeauftragten
“Meine Daten kriegt ihr nicht” – Schulungsmaterialien für Lehrer und Interessierte
Datenschutzkonforme Ausgestaltung von Webseiten Tracking und Analyse (Oberste Datenschutzbehörde für den nicht-öffentlichen Bereich Mecklenburg-Vorpommern)

Datenschutzbeauftragter

Aufsichtsbehörden für den nicht-öffentlichen Bereich (Unternehmen etc.)

« Zurück
1
…
35
36
37
38
39
Weiter »