Archive for November 4th, 2021

Interessiert sich die Staatsanwaltschaft auch für Datenschutz?

Posted by Birgit von Maurnböck

Ja, tut sie. Aber wen wundert es, dass man selten bis nie etwas dazu hört, wenn drei der vier relevanten Gesetze erst seit Jänner 2016 in Kraft sind? Das Vierte gibt es immerhin schon seit Oktober 2002. Für Gesetze ist das eine wirklich kurze Zeit.

Wann kann die Exekutive tätig werden?

Wenn einer der folgenden Paragrafen des Strafgesetzbuches (StGB) erfüllt ist, die Straftat bei der Polizei angezeigt wird und der Verletzte zustimmt, dass der Täter verfolgt wird.

Im Vergleich zu den Geldstrafen, mit welchen Unternehmen bei Verstößen gegen die DSGVO rechnen müssen, sind die Geldstrafen für unerlaubten Zugriff auf Computersysteme, die Verwendung, die Weitergabe von unrechtmäßig erworbenen Daten mit bis zu 360 Tagessätzen begrenzt. Aber dafür kann auch eine Freiheitsstrafe von bis zu 5 Jahren verhängt werden.

Nicht nur Hackerangriffe sind mit diesen Tatbeständen gemeint. Häufiger Fall: Bereits ausgeschiedene Mitarbeitende stehlen über nicht gesperrte Zugänge Daten oder verwenden diese missbräuchlich, vielleicht geben sie diese sogar an Dritte weiter oder spielen Schadsoftware ein.

Auch das Kopieren von Daten (beispielsweise Kundendaten) und Mitnehmen zum neuen Dienstgeber fällt unter diese Straftatbestände.

Kriminelle Handlungen müssen bei der Polizei angezeigt werden – Vorkommnisse dieser Art dürfen uns nicht egal sein!

Achtung, man kann sich unwissentlich selbst auch schuldig machen. Dies kann passieren, wenn man Daten verwendet, welche nicht für einen bestimmt waren. Zum Beispiel wenn ehemalige Mitarbeitende eines Geschäftspartners Listen mit Daten an uns senden. Wenn wir diese für eigene Zwecke verwenden, machen wir uns ebenfalls strafbar. Man beteiligt sich unwissentlich an einer Straftat, wenn der ehemalige Mitarbeitende die Daten in böswilliger Absicht entwendet hat.

Unsere Praxistipps

TOMs – Technische und organisatorische Maßnahmen Teil 2

Posted by Birgit von Maurnböck

Wir haben den technischen und organisatorischen Maßnahmen (TOMs) bereits einen Beitrag gewidmet und uns darin die ersten vier Kontrollschritte angesehen. Hier ein kleiner Überblick der acht Gebote der technischen und organisatorischen Maßnahmen im Datenschutz:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Datentrennungskontrolle

In diesem Beitrag gehen wir auf die Eingabe- und Auftragskontrolle ein.

Eingabekontrolle

Die Eingabekontrolle sorgt dafür, dass nachverfolgt werden kann, wer wann gewollte oder auch ungewollte „Manipulationen“ also „Bearbeitungen“ an Daten vorgenommen hat.

Durch die durchgängige Vergabe von unterschiedlichen Nutzernamen für IT-Systeme kann genau festgestellt werden, welcher User wann eine bestimmte Änderung an Daten vorgenommen hat.

Können Sie bereits nachvollziehen, wer wann was mit personenbezogenen Daten im Unternehmen macht?

Auftragskontrolle

Was kann man sich in der Praxis unter dem Begriff „Auftragskontrolle” vorstellen?

Der Auftragsverarbeiter ist jede Stelle, die im Auftrag des Unternehmens personenbezogene Daten verarbeitet. Hierbei handelt es sich beispielsweise um (fast jeden) IT-Dienstleister, Software-Anbieter, Werbeagenturen, Cloud-Anbieter oder auch externe Lohnverrechner. Die genannten Unternehmen verarbeiten im Auftrag zum Beispiel Kundendaten oder Mitarbeiterdaten.

ACHTUNG: Sind Sie sich dessen bewusst, dass Sie ausnahmslos mit JEDEM Auftragsverarbeiter einen Vertrag abschließen müssen – einen sogenannten Auftragsverarbeiter-Vertrag? 😉

Wie Sie in diesem Beitrag lesen können, drohen bei Nichterfüllung hier ernst zu nehmende DSGVO-Strafen.

Auftragskontrolle = Kontrolle Ihrer Auftragsverarbeiter. Dadurch soll sichergestellt werden, dass Daten von einem Auftragsverarbeiter gemäß Ihren Weisungen verarbeitet werden. Sie sind schließlich dafür verantwortlich, die Daten entsprechend zu schützen.

Unsere Praxistipps

Im 3. TOMs-Teil werden wir uns den Themen Verfügbarkeits- und Datentrennungskontrolle widmen.