Posts Tagged ‘Datenschutz’

Posted by Birgit von Maurnböck

Unser Datenschutz-Podcast: DSGVOMG – MeinDatenschutztheater!

Hier finden Sie alle Folgen aus unserem Datenschutz-Podcast. Viel Spaß beim Reinhören! 😊

Auch verfügbar auf Apple Podcast, Spotify und Amazon Music!

Details

Folge 2

In Folge 2 unseres Podcasts macht Murphy seiner Birgit gleich zum Start ein ungewöhnliches Versprechen. Oder ist es schon ein Vertrag? Es geht nämlich diesmal primär um die spannende Frage: Wofür brauche ich eigentlich eine Einwilligung und darf ich damit dann wirklich so gut wie alles machen? Wie ist es zum Beispiel, wenn ich den Eingang meines Büros mit einer Videokamera überwache? Darf ich Bilder meiner Mitarbeiter ungefragt auf Social Media stellen, weil sie ja eh bei mir arbeiten? Birgit und Murphy surfen in ihrem Datenschutztheater diesmal souverän zwischen Romantik und Gesetz, zwischen Ehe, Notfällen aller Art und natürlich IT. Interessantes Fazit von Juristin Birgit: „Als Unternehmen braucht man viel seltener eine Einwilligung in die Datenverarbeitung, als man denkt“. Aber wie genau, wann genau und mit wem genau, das erfahren Sie am besten in dieser Folge von DSGVOMG, dem Datenschutztheater von MeineBerater.

Folge 1

In der ersten Folge von DSGVOMG – MeinDatenschutztheater geht das dynamische Duo Birgit und Murphy der Frage nach, warum der Datenschutz 2018 völlig überraschend wie ein Asteroid vom Himmel fiel und sich viele Unternehmen noch heute davon regelrecht erschlagen fühlen. Es geht darum, was überhaupt alles von der DSGVO geregelt ist. Warum Datenschutz ein Menschenrecht ist. Wie sich Unternehmen richtig und falsch verhalten können. Was technisch möglich und was rechtlich erlaubt ist. Und erstaunlicherweise geht es auch um Bits und Bytes sowie um das Jahr 1978 und die alles entscheidende Frage: Dallas oder Cordoba?

Trailer

DSGVO, das kennt man. OMG, den Ausruf werden zumindest die Jüngeren kennen. Aber was ist die Kombi DSGVOMG? Ein DatenschutzTheater der Sonderklasse. Ein neuer Podcast von MeineBerater. Die Maurnböcks, sie Juristin, er IT-Spezialist, haben sich mit Herz, Hirn und Humor der Datenschutzberatung verschrieben. Und das kann man ab jetzt regelmäßig hören. Birgit und Erich „Murphy“ Maurnböck können DSGVO selbst um zwei in der Nacht fehlerfrei buchstabieren und haben schon viele Unternehmen auf dem Weg aus dem Datenschutzdschungel begleitet. Zahlreiche erfolgreiche Vorträge, Workshops und Webinare zeugen davon. In ihrem Podcast nehmen sie uns nun mit auf eine unterhaltsame Reise durch DSGVO-Komödien und die eine oder andere Datenschutztragödie. Worum dreht sich alles in diesem Podcast? Um die Liebe zum Datenschutz. Warum es ihn braucht. Und wofür es ihn ganz sicher nicht braucht. Wichtig ist den beiden, dass es trotz der ernsten Thematik humorvoll zugeht.

Neue Datenschutzregelung für den transatlantischen Datenaustausch: Was Unternehmen beachten müssen

Posted by Birgit von Maurnböck

Eine bedeutsame Veränderung im Datenschutz ist eingetreten – wir nehmen sie genauer unter die Lupe.

Data Privacy Framework

Das frisch eingeführte Datenschutzabkommen zwischen der EU und den USA, das unter dem Namen „Data Privacy Framework“ bekannt ist, hat die Bühne betreten und sorgt für Aufsehen. Dieses Abkommen, das von der Europäischen Kommission mit den USA abgeschlossen wurde, hat das Ziel, Datenschutzstandards zu wahren und ein solides Fundament für Datenschutz und Rechtssicherheit zu legen.

Datenübertragung in die USA

Aber was bedeutet das konkret für Unternehmen, die Daten an Unternehmen in den USA übertragen möchten?

Hier sind die essenziellen Punkte, die es zu beachten gilt:

Gibt es Zertifizierungen und Verträge?

Es ist wichtig zu betonen, dass für den Datenaustausch keine zusätzlichen Maßnahmen erforderlich sind, sofern das empfangende Unternehmen in den USA gemäß dem EU-US-Datenschutzrahmen zertifiziert ist UND entsprechende Verträge zwischen den Unternehmen abgeschlossen wurden (Controller to Controller, Controller to Processor). Unternehmen in der EU müssen vor der Datenübermittlung prüfen, ob das US-Unternehmen sich dem Framework unterworfen hat. Die Liste der zertifizierten Organisationen wird vom U.S. Department of Commerce veröffentlicht.

Verantwortung der EU-Unternehmen

Insgesamt liegt es in der Verantwortung der EU-Unternehmen, sicherzustellen, dass sie mit zertifizierten US-Unternehmen zusammenarbeiten, die die erforderlichen Datenschutzstandards einhalten. Die Zertifizierung und Überwachung dienen dazu, die Daten der EU-Bürger angemessen zu schützen und den transatlantischen Datenaustausch auf eine vertrauenswürdige Grundlage zu stellen.

Ein Tipp zum Abschluss

Nehmen Sie das Thema ernst. Nicht alle US-Software-Provider haben sich bisher dem Framework unterworfen, hier muss man sorgfältig prüfen. Entsprechende Datenverarbeitungsverträge müssen trotzdem abgeschlossen werden (Stichwort Auftragsverarbeitervertrag!). Wir unterstützen Sie auch bei diesem Thema selbstverständlich jederzeit gerne und monitoren permanent die „Mitglieder“ des Frameworks.

Datenschutzverletzungen auf dem Vormarsch: Die finanzielle Seite der Cybersicherheit

Posted by Erich von Maurnböck

Es ist an der Zeit, einen Blick auf die neuesten Entwicklungen im Bereich der Cybersicherheit zu werfen, und diese halten einige bemerkenswerte Erkenntnisse bereit.

Alarmierende Zahlen

Der jüngst veröffentlichte „Security Cost of a Data Breach Report 2023“ von IBM zeigt, dass die Kosten für Datenschutzverletzungen weltweit ein neues Hoch erreicht haben – satte 4,45 Millionen US-Dollar im Durchschnitt PRO UNTERNEHMEN. Der Anstieg dieser Kosten um 15 Prozent in den letzten drei Jahren zeigt deutlich, dass das Thema Cybersicherheit in stetiger Bewegung ist. Während wir versuchen, Schritt zu halten, sind es oft die raffinierten Cyber-Angreifer, die uns vor Augen führen, wie wichtig proaktive Maßnahmen sind. Ein besorgniserregender Aspekt des Berichts ist der starke Anstieg der Kosten für die Entdeckung und Bewältigung von Datenschutzverletzungen – ganze 42 Prozent.

Tückische Folgen: Warum Kostenabwehr allein nichts bringt

Interessanterweise waren 95 Prozent der untersuchten Unternehmen von mehreren Datenschutzverletzungen betroffen. Einige dieser Unternehmen haben beschlossen, die Kosten auf die Kunden abzuwälzen, anstatt in umfassendere Sicherheitsmaßnahmen zu investieren – eine Vorgehensweise, die in etwa so effektiv ist wie ein Regenschirm gegen einen Tornado. Diese Herangehensweise kann kurzfristig scheinbar Geld sparen, bringt aber langfristig wenig Nutzen und macht die Unternehmen anfälliger für zukünftige Angriffe. Die Kosten, die im Unternehmen aufgrund eines erfolgreichen Phishing-Angriffs anfallen, sind nach den Kosten durch Insider-Bedrohungen die zweithöchsten. Organisationen, die klug agieren, widmen sich nicht nur der Beseitigung der Symptome, sondern setzen auf Prävention durch Incident-Response-Planning und vor allem auf Schulungen für Mitarbeiter.

Schlüssel zur Sicherheit: Schulungen

Es ist bemerkenswert, wie stark Schulungen ins Gewicht fallen. Sie sind der zweitwichtigste Faktor zur Kostensenkungen bei Datenschutzverletzungen oder zur Verhinderung dieser. Eine Investition in Bildung zahlt sich also nicht nur für die Mitarbeiter aus, sondern auch für die finanzielle Gesundheit und – im echten Ernstfall – die Existenz des Unternehmens. Die heutige Arbeitswelt mit ihrer verstärkten Remote-Arbeit bringt jedoch auch ihre eigenen Herausforderungen mit sich. Hier sind passende Schulungsmaßnahmen gefragt, um sicherzustellen, dass Mitarbeiter im Home-Office oder unterwegs ebenso geschützt sind wie im Büro.

Von Gefahr zu Verteidigung

Ein schnelles Erkennen und Beheben von Sicherheitsverletzungen zahlt sich zweifellos aus. Leider benötigen Unternehmen oft viel Zeit, um Insider-Bedrohungen, Social Engineering oder eben Phishing zu erkennen und zu bewältigen. Investitionen in Security Awareness-Training und simuliertes Phishing sind daher mehr als nur ratsam. Die Zahlen des Benchmarking-Reports werfen zudem ein Licht auf die Phishing-Anfälligkeit. Es scheint, als wäre fast ein Drittel der Mitarbeiter in den untersuchten Organisationen eher geneigt, auf eine Phishing-E-Mail hereinzufallen. Doch wir sind nicht machtlos – regelmäßiges Training und gezielte Maßnahmen können diesen Prozentsatz erheblich senken.

Stark für die Zukunft

Zusammenfassend zeigt der Bericht, wie wichtig es ist, eine proaktive Haltung gegenüber der Cybersicherheit einzunehmen. Investitionen in Schulungen, moderne Sicherheitssysteme und regelmäßige Bewertungen dieser sind der Schlüssel zur Stärkung der Verteidigung gegenüber den stetig steigenden Bedrohungen.

Fazit

Denken Sie daran, dass Ihre Daten wertvoll sind – und nicht nur für Sie. Bei allen Fragen zur Security beraten wir Sie gerne! Nutzen Sie auch unser umfangreiches Schulungsangebot, schon mit einer Stunde Training kann man viel erreichen – egal ob Onlineschulungen, Live-Webinare oder auch Präsenzschulungen.

Unglaubliche 1,64 Mrd. EUR an Strafen im Jahr 2022

Posted by Birgit von Maurnböck

Die international tätige Wirtschaftskanzlei DLA Piper veröffentlichte im Jänner dieses Jahres ihren jährlich erscheinenden Bericht zu DSGVO-Strafen und Datenpannen. Wir klären Sie dazu auf!

Jahr der höchsten Strafen

Im Jahr 2022 wurde ein Anstieg der Bußgelder und Strafen um insgesamt 50% verzeichnet – was bedeutet, dass es im EWR insgesamt rund 1,64 Mrd. EUR an Strafen wegen Verstößen gegen die DSGVO gegeben hat. Ein Großteil davon wurde in Irland vergeben, da dort viele der US-amerikanischen Tech-Konzerne ihren europäischen Sitz haben. Die höchste Einzelstrafe aus dem Vorjahr wurde auch in Irland vergeben, nämlich an die Meta-Tochter Instagram: stolze 405 Millionen EUR musste der Konzern wegen Datenschutzverstößen im Zusammenhang mit minderjährigen Usern zahlen. Auch die zweithöchste Strafe richtete sich gegen den Meta-Konzern, da mittels Scraping personenbezogene Daten von Facebook-Usern im Internet frei zugänglich gemacht wurden.
Auch in Österreich gab es mit 8 Millionen EUR eine sehr hohe Strafe, die den Rewe Konzern betraf – im speziellen das Kundenbindungsprogramm „Jö Bonus Club“. Noch ist diese Strafe nicht rechtskräftig, der Rewe-Konzern legte bereits Berufung dagegen ein.

Zielsetzung der Behörde

Neben der weiteren Verfolgung und Überprüfung von Datentransfer in Drittländer und verhaltensbasierter Werbung, setzten sich verschiedene europäische Datenschutzbehörden auch mit KIs auseinander. So gab es gleich in mehreren Ländern Millionenstrafen gegen Clearview AI, das ein KI-Programm ist, mit dem biometrische Profile von Personen erstellt werden können. Dafür wurden Milliarden an Fotos aus dem Internet gesammelt – weswegen diese KI auch unter die Zuständigkeit der europäischen Datenschutzbehörden fiel. Insgesamt beliefen sich die Strafen gegen Clearview AI auf 69 Millionen Euro, doch auch in Zukunft werden KIs und fortgeschrittene Algorithmen Thema der Datenschutzbehörden, da für die Funktion dieser unweigerlich personenbezogene Daten verwendet werden müssen. Der Datenschutz wird also weiter spannend bleiben!

Unsere Praxistipps