Posts Tagged ‘blog2social’

TOMs – Technische und organisatorische Maßnahmen Teil 2

Posted by Birgit von Maurnböck

Wir haben den technischen und organisatorischen Maßnahmen (TOMs) bereits einen Beitrag gewidmet und uns darin die ersten vier Kontrollschritte angesehen. Hier ein kleiner Überblick der acht Gebote der technischen und organisatorischen Maßnahmen im Datenschutz:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Datentrennungskontrolle

In diesem Beitrag gehen wir auf die Eingabe- und Auftragskontrolle ein.

Eingabekontrolle

Die Eingabekontrolle sorgt dafür, dass nachverfolgt werden kann, wer wann gewollte oder auch ungewollte „Manipulationen“ also „Bearbeitungen“ an Daten vorgenommen hat.

Durch die durchgängige Vergabe von unterschiedlichen Nutzernamen für IT-Systeme kann genau festgestellt werden, welcher User wann eine bestimmte Änderung an Daten vorgenommen hat.

Können Sie bereits nachvollziehen, wer wann was mit personenbezogenen Daten im Unternehmen macht?

Auftragskontrolle

Was kann man sich in der Praxis unter dem Begriff „Auftragskontrolle” vorstellen?

Der Auftragsverarbeiter ist jede Stelle, die im Auftrag des Unternehmens personenbezogene Daten verarbeitet. Hierbei handelt es sich beispielsweise um (fast jeden) IT-Dienstleister, Software-Anbieter, Werbeagenturen, Cloud-Anbieter oder auch externe Lohnverrechner. Die genannten Unternehmen verarbeiten im Auftrag zum Beispiel Kundendaten oder Mitarbeiterdaten.

ACHTUNG: Sind Sie sich dessen bewusst, dass Sie ausnahmslos mit JEDEM Auftragsverarbeiter einen Vertrag abschließen müssen – einen sogenannten Auftragsverarbeiter-Vertrag? 😉

Wie Sie in diesem Beitrag lesen können, drohen bei Nichterfüllung hier ernst zu nehmende DSGVO-Strafen.

Auftragskontrolle = Kontrolle Ihrer Auftragsverarbeiter. Dadurch soll sichergestellt werden, dass Daten von einem Auftragsverarbeiter gemäß Ihren Weisungen verarbeitet werden. Sie sind schließlich dafür verantwortlich, die Daten entsprechend zu schützen.

Unsere Praxistipps

Im 3. TOMs-Teil werden wir uns den Themen Verfügbarkeits- und Datentrennungskontrolle widmen.

Neue Nutzungsbedingungen bei WhatsApp: Jetzt wird es ernst!

Posted by Erich von Maurnböck

Benutzen Sie WhatsApp? Wenn ja, dann wissen Sie bereits, dass es aufgrund der geänderten Nutzungsbedingungen zu einer massiven Absenkung des Datenschutzniveaus kommt. Diese sollten ursprünglich bereits im Februar umgesetzt werden, die Deadline wurde jedoch auf Mai verlegt. Von nun an kann die Nachrichten-App nur noch genutzt werden, wenn man den geänderten Nutzungsbedingungen zustimmt. Worum es dabei genau geht und warum wir Ihnen raten, auf eine sichere Alternative umzusteigen, erfahren Sie in diesem Beitrag.

Update der Datenschutzrichtlinien

Seit Jänner gibt es viel Wind um eine bevorstehende Änderung der weltweiten Nutzungsbedingungen des Kommunikationsdienstes WhatsApp. Nutzer müssen darin zustimmen, dass ihre personenbezogenen Daten von nun an vom gesamten Facebook-Universum, zu dem der Nachrichtendienst seit einigen Jahren zählt, verwendet werden dürfen. Darunter fallen unter anderem das Adressbuch mit Telefonnummern, Profilnamen, Profilbilder und Statusmeldungen.

Zwar wird erklärt, dass keine Informationen, die WhatsApp weitergibt, für Facebook-Unternehmen Verwendung finden. Aber: gleichzeitig erfolgt der Hinweis darauf, dass WhatsApp mit anderen Facebook-Unternehmen Daten teilt, um Dienste „zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten“. Daten dürfen so innerhalb des Konzerns unbeschränkt weitergegeben werden. Zusätzlich wird erläutert, dass Facebook für die Bereitstellung von Analysediensten beispielweise Telefonnummern, Geräteinformationen und weitere Informationen von WhatsApp erhält. Auch Personen, die gar nicht auf Facebook sind, sondern nur WhatsApp nutzen, sind dabei betroffen.

Folgen des Updates für Verbraucher

Um im Unternehmen DGSVO-konform unterwegs zu sein, wird schon seit Jahren darauf hingewiesen, dass WhatsApp kein datenschutzsicherer Kommunikationsdienst ist und daher nicht verwendet werden darf. Mitgrund dafür ist die Datenübertragung sämtlicher gespeicherter Kontakte in die USA. Näheres können Sie auch hier nachlesen. Wir empfehlen Ihnen den neuen Bedingungen nicht zuzustimmen und die App künftig nicht mehr zu benutzen. Für einige WhatsApper können die Änderungen nun eine hervorragende Gelegenheit sein, auch die private Kommunikation datenschutzsicherer zu gestalten.

Wir zeigen Ihnen hier überlegenswerte Alternativen sicherer Nachrichtendienste auf:

Sichere Nachrichten-Apps

Sicherheit wird bei Signal großgeschrieben: Private Nachrichten und Gruppenchats sind Ende-zu-Ende-verschlüsselt. Die Telefonnummern werden nur anonymisiert an den Server übermittelt. Zudem wird der Messenger-Dienst von einer gemeinnützigen Stiftung geführt. Signal ist Open-Source und somit kann der Code von jedem geprüft werden.

Threema ist ein freier und ebenso Ende-zu-Ende-verschlüsselter Messaging-Dienst aus der Schweiz, der wie auch Signal datenschutzsicherer als WhatsApp ist. Im Gegensatz zu Signal und Ginglo ist Threema jedoch nicht kostenlos. Es werden einmalige Zahlungen oder monatliche Zahlungen (Business Variante) verlangt.

Ginglo ist die Nachfolger Messenger-App von SIMSme der Deutschen Post. Hierbei werden keine Daten an Server außerhalb der Europäischen Union übertragen, eine Vollverschlüsselung ist inbegriffen. Zur Nutzung muss die Handynummer angegeben werden und der Zugriff auf gespeicherte Kontakte ist möglich, aber nicht zwingend erforderlich. Außerdem kann in jedem Chat für einzelne Nachrichten die Selbstzerstörung gewählt werden.

Unsere Praxistipps

Das Auskunftsbegehren: So ist es rechtskonform!

Posted by Birgit von Maurnböck

Seit Inkraftreten der DSGVO vor mittlerweile beinahe drei Jahren erhalten Unternehmen eine Vielzahl an Anfragen von betroffenen Personen mit dem Wortlaut: Welche Daten haben Sie von mir in Verarbeitung? Wissen alle Personen in Ihrem Unternehmen Bescheid, wie auf eine solche Anfrage zu antworten ist?

Entscheidung über Auskunftsbegehren

In Deutschland gab es dazu im letzten Jahr eine wichtige und sehr relevante Entscheidung über das Auskunftsbegehren: Die Behörde äußerte, dass nicht nur die Datenquelle mitgeteilt, sondern zusätzlich auch angegeben werden muss, wann und mit welchem genauen Inhalt, personenbezogene Daten aus einer Quelle übermittelt werden.

Das ist besonders dann ein Thema, wenn man Daten nicht von der betroffenen Person direkt bekommt, sondern durch einen Dritten (Vermittler, Berater, Makler und ähnliches).  

Auskunftsbegehren: Das muss man laut DSGVO bekanntgeben

  1. Verarbeitungszwecke,
  2. Kategorien personenbezogener Daten, die verarbeitet werden,
  3. Empfänger oder Kategorien von Empfängern,
  4. Speicherdauer,
  5. Hinweis auf die Betroffenenrechte: Berichtigung, Löschung, Einschränkung, Widerspruch,
  6. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  7. Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, werden alle verfügbaren Informationen über die Herkunft der Daten gebraucht,
  8. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
  9. Geeignete Garantien bei Datenübermittlung in ein Drittland und
  10. Kopie der personenbezogenen Daten (Kopien dürfen aber die Rechte und Freiheiten anderer Personen nicht beeinträchtigen).

So weitreichend, wie die Behörde in ihrer Entscheidung, war die DSGVO davor nicht auszulegen. Die Nennung der Quelle hätte aus unserer Sicht ausreichen sollen. Nachdem sich die Behörden aller Länder an den Urteilen ihrer Kollegen EU-weit orientieren, ist also noch größere Sorgfalt und Detaillierung bei der Beantwortung in Zukunft geboten.

Unsere Praxistipps

 

COVID-19 Tests: Vorsorge statt Nachsorge

Posted by Birgit von Maurnböck

Wollen Sie oder bieten Sie bereits in Ihrem Betrieb Antigen-Schnelltests an? Alles was Sie zu den COVID-19 Tests in Ihrem Unternehmen wissen müssen, erfahren Sie hier.

Angebote und Regelungen für COVID-19 Tests

Seit 8.2.2021 können Frisöre, Kosmetikstudios und andere körpernahe Dienstleistungsbetriebe mit einem negativen „Zutrittstest“ besucht werden. Das kostenlose Angebot für COVID-19-Tests in Österreich wird nun auch schrittweise ausgebaut: Es reicht von Teststraßen der Länder, Angeboten der Gemeinden, Gratis-Tests in Apotheken bis zu Testprogrammen in Betrieben.

Was gilt als „Zutrittstest“?

Als „Zutrittstests“ gelten laut Aussendung des Gesundheitsministeriums alle negativen PCR- und Antigen-Tests, die im Rahmen von behördlichen Stellen durchgeführt wurden. Dazu zählen

Selbsttests können nicht als Zutrittstests verwendet werden, da hierbei die Kontrolle fehlt. Auch Ergebnisse von Schultests zählen nicht als Zutrittstests.

COVID-19 Tests in Betrieben

Auch Sie werden künftig bei der Testung ihrer Mitarbeiterinnen und Mitarbeiter unterstützt. Seit dem 15. Februar gibt es für Antigen- oder PCR-Testungen einen Kostenersatz von 10 € pro durchgeführtem Test. Auch betriebsfremde Personen wie Angehörige, Kunden und Mitarbeiter können dabei in Ihrem Unternehmen einen COVID-19 Test machen. Dadurch werden Betriebe zu Testzentren und helfen dabei, die Pandemie einzudämmen.

Um eine Teststraße zu werden, müssen sich Betriebe hier registrieren: https://www.wko.at/service/corona-betriebliches-testen.html

Unsere Praxistipps

Achten Sie unbedingt auf den Datenschutz! Testergebnisse sind Gesundheitsdaten und damit höchst vertraulich zu behandeln!

Das Rennen um die betrieblichen COVID-19 Impfungen

Posted by Birgit von Maurnböck

Das Rennen um den Corona Impfstoff hat im Jänner begonnen. Nach wie vor gibt es wenig genaue Informationen darüber, wer wann geimpft werden soll. Viele Betriebe, die wegen ihrem Tätigkeitsbereich zur sogenannten kritischen Infrastruktur zählen, haben sich daher bereits im Vorfeld mit der Regierung in Verbindung gesetzt, damit Ihre Mitarbeitenden möglichst früh Vakzine erhalten. Erste „Eilmeldungen“ wurden bereits aufgegeben, geimpft wird aber noch nicht. Wie sieht es nun konkret mit den betrieblichen COVID-19 Impfungen aus? Welche Voraussetzungen müssen gegeben sein? Was ist datenschutzrechtlich zu beachten? Alle aktuellen Informationen dazu bekommen Sie bei uns.

Voraussetzungen für betriebliche COVID-19 Impfungen

Generell soll ab Verfügbarkeit der Impfstoffe eine rasche Versorgung der Bevölkerung gewährleistet werden. Dabei können Unternehmen mit eigener Betriebsärztin oder eigenem Betriebsarzt einen entscheidenden Beitrag leisten (grundsätzlich ab 50 Mitarbeitenden gesetzlich vorgesehen). Für Unternehmen entstehen abseits der betrieblichen Organisation der COVID-19 Impfungen keine Kosten. Weitere Voraussetzungen, die allerdings zu prüfen sind gibt es trotzdem:

Datenschutzkonform bei den betrieblichen COVID-19 Impfungen

Unser Fazit

Personengruppen mit einer chronischen Vorerkrankung, die sogenannte Risikogruppe, können sich beim Arzt ihres Vertrauens vormerken lassen.

Weiters informieren Sie am besten Ihre Mitarbeitenden darüber, dass es seit dem 1.Februar 2021 die Möglichkeit einer unverbindlichen Vormerkung für COVID-19-Impfungen auf den Impfplattformen der Bundesländern unter https://www.oesterreich-impft.at/ gibt.

Wir unterstützen mit unserem datenschutzrechtlichen Knowhow bereits viele Unternehmen, die in ihrem Betrieb COVID-19 Impfungen durchführen lassen wollen. Gerne beraten wir auch Sie ausführlich zu diesem Thema persönlich und erstellen individuelle Konzepte für Ihr Unternehmen. Kontaktieren Sie uns gerne direkt hier.

Datenpannen-Meldung: Achtung,72-Stunden-Frist!

Posted by Birgit von Maurnböck

Dass das Melden einer Datenpanne – auch Data Breach Notification genannt – unter gewissen Voraussetzungen sehr wichtig ist, kann gar nicht oft genug erwähnt werden. Wieso es außerdem von so großer Bedeutung ist, die dafür vorgeschriebene Frist von 72 Stunden einzuhalten, und was passieren kann, wenn diese versäumt wird, erfahren Sie in diesem Beitrag.

Datenpanne in Polen

Bei einer pädiatrischen Prüfung an der Medizinischen Universität Katowice in Polen hat sich eine Datenpanne ereignet. Die Studierenden wurden während dem Schreiben gefilmt und die Videoaufzeichnungen wurden versehentlich über die Lernplattform der Hochschule öffentlich zugänglich gemacht. Somit konnten nicht nur die Studierenden selbst sowie die Dozenten darauf zugreifen, sondern all jene, die für die Lehrveranstaltung registriert waren. Einige der Betroffenen konnten durch ihre bei der Prüfung vorgelegten Studien-Ausweise identifiziert werden. Insgesamt nahmen an der Prüfung sechs Klassen mit jeweils 26 Personen teil. Die polnische Datenschutzbehörde verhängte eine DSGVO-Strafe von 5.498,- €. Das interessante an dieser Entscheidung ist, dass das Bußgeld nicht aufgrund des Vorfalles an sich verhängt wurde, sondern deshalb, weil die Datenpanne nicht ordnungsgemäß und laut DSGVO-Vorschrift an die Datenschutzbehörde sowie an die Betroffenen gemeldet worden war. Einige der Studierenden erfuhren erst durch ihre Studienkollegen von dem Vorfall.

Diese Entscheidung zeigt deutlich, dass es besonders wichtig ist, die vorgeschriebene Frist einzuhalten. Eine Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde gemeldet werden. Einige prominente Fragen, die sich dazu häufig stellen, beantworten wir nun in diesem Beitrag:

Muss jede Datenpanne gemeldet werden?

Nein, eine Datenpanne muss nur dann an die Datenschutzbehörde gemeldet werden, wenn ein Risiko für Gesundheit, Ruf oder Vermögen der betroffenen Person(en) besteht. Aber auch Datenschutzverletzungen, die nicht meldepflichtig sind, müssen unbedingt unternehmensintern dokumentiert werden.

Wer informiert wen? Wer kontaktiert bei einer Datenpanne die Behörde?

Die Person im Unternehmen, die die Datenpanne zuerst bemerkt, sollte sich schnellstmöglich an die für den Datenschutz zuständige Person sowie gegebenenfalls an die Geschäftsführung wenden. Hat das Unternehmen einen Datenschutzbeauftragten, so sollte dieser im ersten Schritt kontaktiert werden. Geschäftsführung und alle für den Datenschutz zuständigen Personen entscheiden gemeinsam über die weiteren Schritte und evaluieren, ob eine Behördenmeldung sowie eine Kontaktaufnahme mit den betroffenen Personen notwendig ist.

Wie ist die Behörde nach einer Datenpanne zu kontaktieren?

Auf der Website der österreichischen Datenschutzbehörde „www.dsb.gv.at“ wird ein Formular zur Verfügung gestellt, das speziell für die Meldung von Datenpannen vorgesehen ist. Dieses wird vom Datenschutzbeauftragten oder, wenn keiner vorhanden ist, vom unternehmensinternen Datenschutzkoordinator ausgefüllt und fristgerecht, also innerhalb von 72 Stunden, abgeschickt.

Welche Informationen beinhaltet eine Behördenmeldung bei einer Datenpanne?

All diese Punkte müssen bei der Behördenmeldung angeführt werden:

All diese Fragen sind im Formular auf der Webseite der österreichischen Datenschutzbehörde beinhaltet.

Unsere Praxistipps

Grindr: 10 Millionen Euro DSGVO-Strafe gegen Dating-App

Posted by Erich von Maurnböck

Sensible Daten und illegale Datenweitergabe sind zwei Begriffe, die sich wohl kaum miteinander vereinbaren lassen. Das muss nun auch die Dating-App Grindr in Norwegen lernen, die einer DSGVO-Strafe von rund 10 Millionen Euro entgegenzusehen hat. Wie genau es zu dieser enorm hohen Summe kommt, erfahren Sie in diesem Beitrag.

Fall Gringr

Die Dating-App Grindr, die sich auf Vermittlung von Dates für nicht-hetero Männer spezialisiert hat, muss in Norwegen einer DSGVO-Strafe von 100 Mio.  norwegischen Kronen – umgerechnet rund 10 Mio. Euro – entgegensehen. Dem Unternehmen wird vorgeworfen, personenbezogene Nutzerdaten wie Standort- und Profildaten ohne jegliche rechtliche Grundlage zu Marketingzwecken an mehrere Drittparteien weitergegeben zu haben. Besonders heikel ist noch zu ergänzen, dass die bloße Tatsache, dass Personen auf Grindr registriert sind, Auskunft über sensible Daten gibt – nämlich über die sexuelle Orientierung der registrierten Männer. Informationen darüber sind besonders schützenswert, was den Verstoß gegen die DSGVO weiters verschärft.

Wie kommt es zu einer so hohen Strafe für Gringr?

Grundsätzlich gibt es zwei Arten, nach denen DSGVO-Bußgelder berechnet werden. Bei „kleineren“ Verstößen liegt der Betrag bei höchstens 10 Mio. Euro oder 2 % des Jahresumsatzes während die Höchststrafe bei den schweren Verstößen bei 20 Mio. Euro oder 4 % des Jahresumsatzes liegt – hierbei wird stets der höhere Betrag herangezogen.

In diesem Fall wurde das höhere Strafmaß gewählt, da es sich um eine ungesetzmäßige Weitergabe sensibler Daten handelte. Bei einem Jahresumsatz des Konzerns von rund 100 Mio. Euro würden die 4 % demnach 4 Mio. Euro betragen. Die Datenschutzbehörde hat sich hierbei auf den Höchstrahmen von bis zu 20 Mio. Euro berufen und die Strafe auf 10 Mio. Euro festgelegt.

Wie Sie also sehen können, erlaubt die DSGVO enorme Strafen aufgrund von Datenschutzverletzungen.

Unsere Praxistipps

Videoüberwachung: 10,4 Millionen Euro DSGVO-Strafe

Posted by Erich von Maurnböck

Wissen Sie, wann und wo Sie videoüberwachen dürfen und wie Sie mit den Aufnahmen umzugehen haben? Die Antwort darauf sowie eine Warnung, was bei einem Verstoß passieren kann, erhalten Sie in diesem Beitrag.

Fall Videoüberwachung der Mitarbeitenden

Das Unternehmen „notebooksbilliger.de“ hat über einen Zeitraum von mindestens zwei Jahren Mitarbeitende sowie Kunden am Arbeitsplatz, im Verkaufsraum, im Lager sowie in anderen Aufenthaltsbereichen videoüberwacht. Der Grund dafür war die Verhinderung von Diebstählen und die Nachvollziehbarkeit von Warenflüssen. Eine entsprechende Rechtsgrundlage gemäß DSGVO für die Videoüberwachung war jedoch nicht vorhanden. Die Erklärung des Unternehmens ließ die Datenschutzbehörde nicht durchgehen, da ebenso mit anderen Mitteln wie stichprobenartigen Taschenkontrollen vorgegangen werden hätte können. Ein Generalverdacht ist ebenso unzulässig. Um die Videoüberwachung zu rechtfertigen, hätte es tatsächliche Verdachtsfälle von Fehlverhalten geben müssen.

Aus diesem Grund hat der Landesbeauftragte für Datenschutz in Niedersachsen ein Bußgeld von 10,4 Mio. Euro verhängt. Auf den Umsatz von „notebooksbilliger.de“ umgerechnet sind das ungefähr 1,04 % bis 1,18 %. Grundsätzlich kann das Strafausmaß gemäß DSGVO bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Unsere Praxistipps

Um solche Fehler zu vermeiden raten wir Ihnen:

Cyberschäden durch Angriffe: Deutlicher Anstieg

Posted by Erich von Maurnböck

Wissen Sie, wie häufig es mittlerweile zu schweren Cyberattacken auf Unternehmen unterschiedlichster Größen weltweit kommt? Lesen Sie in diesem Beitrag, wieso ein geeigneter Schutz vor solchen besonders wichtig ist. Selbstverständlich haben wir einige Praxistipps für Sie auf Lager, die Sie in Ihrem Unternehmen umsetzen können.

Cyberschäden in Österreich

Virtuelle Angreifer und Betrüger stellen für Unternehmen weltweit ein großes und vor allem teures Problem dar. So zeigt der führende österreichische Industrieversicherer für Unternehmens- und Spezialrisiken AGCS in Österreich in seiner Auswertung, dass aus den Jahren 2015 bis 2020 insgesamt 1.736 Cyberschadenmeldungen vorliegen. Hierbei ist außerdem ein deutlicher Anstieg zu vermerken: Im Jahr 2016 wurden 77 Schäden registriert, drei Jahre später im Jahr 2019 bereits ganze 809 Fälle.

Die versicherten Schäden stellen jedoch nur einen Bruchteil der tatsächlichen Zahlen dar – einer Schätzung zufolge lag die Anzahl aller Schadensfälle bei rund 500.000. Nur in Österreich! Den Großteil mussten die betroffenen Unternehmen, Vereine oder sonstige Einrichtungen jedoch selbst begleichen – schätzungsweise weit über fünf Milliarden Euro.

Große Ereignisse wie landesweite Wahlen sowie auch die aktuelle Pandemie bieten demnach eine gute Möglichkeit für Cyberangriffe.

Cyberschaden in England

Manchester United, der berühmteste Fußballclub Englands, wurde von Hackern angegriffen und lahmgelegt. Die Erpresser fordern nun Millionen, um die Systemlahmlegung aufzuheben. Obwohl bereits das nationale Sicherheits-Center im Einsatz ist, ist bislang kein Ende in Sicht. Dem Club droht zudem noch weiterer Ärger: Sollten im Zuge des Hackerangriffs Datenschutzrechte gegenüber Fans verletzt werden, ist zusätzlich zu den Schäden durch den Cyberangriff mit einer Geldstrafe von bis zu 18 Millionen Pfund, umgerechnet über 20 Millionen Euro, zu rechnen.

Wie kommen Cyberschäden zustande?

Unsere Praxistipps