MeineBerater

Achtung: Mailchimp und Co. – Datenübermittlung in die USA

Posted 21. April 2021 by Erich von Maurnböck

Eine aktuelle Entscheidung der bayrischen Datenschutzbehörde sorgt dafür, dass der datenschutzkonforme Einsatz vieler US-Dienste überdacht werden muss. Datenschützer haben entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp nicht rechtmäßig ist. In diesem Beitrag erfahren Sie mehr über die Mailchimp & Co. Problematik.

Mailchimp-Beschwerde in Deutschland

Ein bayrisches Unternehmen nutzte für den Versand von Newslettern Mailchimp, einen beliebten amerikanischen Email-Marketing Dienst. Darüber hat sich ein Empfänger bei der Datenschutzbehörde beschwert. Die Behörde prüfte daraufhin, ob in diesem Fall der Einsatz von Mailchimp zulässig war. Das Ergebnis der Untersuchungen: Nein, die Verwendung entspricht nicht der DSGVO! Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass Mailchimp nicht datenschutzkonform ist. Mailchimp bietet zwar EU-Standardvertragsklauseln für Kunden an, welche für die Übertragung der Mailadressen der Empfänger in die USA notwendig sind. Allerdings fehlte die zusätzlich notwendige Überprüfung durch das Unternehmen. Deshalb stellt sich weiterhin die Frage, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ erfolgt sind, damit diese auch tatsächlich rechtskonform gestaltet werden können. Daraufhin entschied sich das Unternehmen dafür, auf den Einsatz dieses US-Dienstes unmittelbar zu verzichten, um einer etwaigen Strafe zu entgehen.

Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen.

Mailchimp und die Datenspeicherung in den USA

Grundsätzlich wurde im Urteil bezüglich der Ungültigkeit des Privacy-Shields ein Datenaustausch mit den USA nicht verboten. Die USA sind zwar ein unsicherer Drittstaat, doch durch sogenannte Standardvertragsklauseln sowie zusätzliche Vereinbarungen weiterer Sicherheiten, ist eine Datenweitergabe und eine Speicherung in den USA jedoch weiterhin möglich. Zusätzliche Sicherheiten oder Garantien, dass zum Beispiel Geheimdienste nicht auf die Daten zugreifen können, werden von Mailchimp nicht angeboten. Wichtig ist jedoch, dass das Vorhandensein zusätzlicher Sicherheiten bei jedem einzelnen „Dienst“, den man in den USA zukauft, geprüft werden muss. Hierbei ist eine sogenannte „Case by Case“ Untersuchung erforderlich. Wie im obigen Beschwerdefall beschrieben, wurde diese „Case by Case“ Untersuchung vom Unternehmen verabsäumt.

Wenn Sie also kein rechtliches Risiko eingehen wollen, müssen Sie eine Case by Case Prüfung bei Mailchimp und anderen Tools von US-Anbietern vornehmen.

Bei folgenden US-Diensten bedarf es einer detaillierten Prüfung der angebotenen Sicherheiten

HubSpot,
Salesforce,
WordPress,
Sämtlichen Googlediensten,
ActiveCampaign und vielen weiteren.

Unsere Praxistipps

Versuchen Sie in erster Linie, geeignete Alternativanbieter möglichst innerhalb der EU zu suchen.
Sollten Sie dennoch US-Dienste verwenden wollen, müssen Sie diese unbedingt bezüglich des Datenschutzes überprüfen. Lesen Sie sich dazu unseren Leitfaden durch.
Kontaktieren Sie uns, wenn Sie Unterstützung bezüglich Alternativen oder Überprüfungen benötigen. Wir stehen Ihnen wie immer sehr gerne zur Seite.
Lesen Sie außerdem unseren vorherigen Beitrag zum Kippen Privacy Shields, um noch besser über das gesamte Thema informiert zu sein.

Passwortmanagement: Der Vergesslichkeit trotzen

Posted 8. April 2021 by Erich von Maurnböck

Wie viele Passwörter müssen Sie sich merken, um auf all Ihre Geräte, Accounts und Programme zugreifen zu können? Zu viele, werden die meisten Personen sicherlich antworten. Um diese sicher zu speichern und dennoch den Überblick nicht zu verlieren, gibt es Passwortmanager. Wie diese genau funktionieren und welche die besten sind, erfahren Sie in diesem Beitrag.

Passwortmanager – Wieso?

Passwortmanager dienen dazu, Usernamen, Kennwörter und gegebenenfalls weitere Details für den Zugang zu Hardware/Software oder Diensten sicher an einem Ort zu speichern.

Nahezu jeder hat zig verschiedene Geräte, Accounts, Programme und andere Zugänge in Verwendung. Sowohl für den privaten, als auch für den beruflichen Gebrauch. Das bedeutet, dass die Vielzahl der zu merkenden Passwörter die Speicherkapazitäten des Gedächtnisses ganz schön herausfordert, vor allem für jene Zugänge, die man selber benötigt, denn es ist sehr wichtig, für jeden Account ein eigenes Passwort zu haben. Verwenden Sie eines für all Ihre Dienste, so könnte im Falle einer Offenlegung Ihrer Zugangsdaten im schlimmsten Fall auf all Ihre Accounts zugegriffen werden.

Nun denken sich viele: Ach, nehmen wir eben überall Passwörter wie „123456“, immer ein wenig abgewandelt, das ist einfach und man vergisst es nicht. Jährlich wird die Zahlenfolge rund um „123456“ (mit oder ohne 7, 8 und 9) am häufigsten als Passwort gewählt. Dass dies jedoch den Weg für Hacker perfekt aufbereitet, versteht sich wohl von selbst. Um den immer häufigeren Hackerangriffen zu entgehen, muss also auf jeden Fall ein sicheres Passwort gewählt werden.

Ein sicheres Passwort hat eine Kombination aus: Groß-/Kleinschreibung, Zahlen und Sonderzeichen und eine bestimmte Mindestlänge. Doch die Mindestlänge stellt beim Merken von Zugangsdaten das zweite Problem dar: Passwörter, die diesen Vorgaben entsprechen, sind besonders schwer zu merken. Um also sichere Passwörter für alle Dienste zu wählen und diese auch nicht sofort wieder zu vergessen, ist ein strukturierter Umgang mit Passwörtern notwendig. Genau aus diesem Grund stellen wir Ihnen in diesem Beitrag einige Passwortmanager vor.

Passwortmanager – Wie sieht das aus?

Ein Passwortmanager ist ein System, in das eine Vielzahl von Passwörtern zu den dazugehörigen Diensten eingetragen werden kann. Diese werden dort unter strengen und geprüften IT-Security-Richtlinien sicher verwaltet und können (hoffentlich) nur vom „Eigentümer der Passwörter“ jederzeit abgerufen werden. Somit haben Sie all Ihre Kennwörter quer über alle Geräte, Dienste, Programme und andere Konten sicher verwahrt.

Passwortmanager im Vergleich*

Wir haben uns einige Passwortmanager genauer angesehen und verglichen:

1Password (Online): Der Manager ist einfach zu bedienen und flexibel und es besteht die Möglichkeit, Dauerlizenzen zu erwerben. Es sind sehr viele Funktionen für zahlreiche Plattformen und Browser verfügbar.
Avira Password Manager: Er sticht vor allem durch die logische Strukturierung und die vielen Gratis-Funktionen hervor.
Bitwarden (Online oder Lokal): Der Manager ist als Open Source ein sehr solides System, dessen Server – sofern gewünscht – auch selbst betrieben werden kann (mittels Docker). Eine kostenfreie Variante ist ausreichend.
Dashlane (Online): Der Manager bietet einen großen Umfang an Funktionen und brilliert vor allem durch seinen Bedienungskomfort.
Kaspersky Password Manager: Er bewährt sich aufgrund seines Komforts sowie des Funktionsumgangs und ist zudem im Vergleich äußerst preiswert, leider fehlt jedoch eine Mehrfaktor-Authentifizierung.
Keepass und Keepass XC (nur Lokal): Das ist der Passwortmanager, den wir empfehlen. Bei diesem quelloffenen Management-System wird eine Großzahl kostenloser Zusätze angeboten. Keepass läuft nur lokal und ist vom Design nicht mehr ganz auf dem neuesten Stand (damit für Einsteiger möglicherweise weniger geeignet). Es verfügt aber über eine Mehrfachauthentifizierung. Zusätzlich zum Passwort können Key-File, Windows-Konto (bzw. Hardware-Token bei Keepass XC) wahlweise verwendet werden.

Abschließend: Bei jedem Passwortmanager besteht ein Restrisiko. Je mehr das Tool in die Online-Welt integriert ist, desto höher ist das Risiko.

Unser Fazit

Legen Sie sich unbedingt einen Passwortmanager zu, um Ihre Passwörter sicher zu verwalten! Unsere Empfehlung: KeePass/XC und lokale Backups. Wer unbedingt eine online Version benötigt – der greift am besten zu 1Password. Unser IT-Sicherheitsexperte und zertifizierter CISO.Prof Erich von Maurnböck unterstützt Sie gerne bei der Einführung. Kontaktieren Sie uns dazu sehr gerne!

* Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Schwere Datenpanne mit sensiblen Daten

Posted 8. April 2021 by Birgit von Maurnböck

In Bremerhaven hat sich eine schwere Datenpanne ereignet, bei der vom Integrationsamt eine Namensliste zu kündigender Hafenmitarbeiter verschickt wurde. Lesen Sie in diesem Beitrag, wie es genau dazu gekommen ist und was Sie in Ihrem Unternehmen tun können und müssen, um solche Vorfälle gar nicht erst passieren zu lassen.

Auslöser der Datenpanne

Das Bremerhavener Integrationsamt hat versehentlich eine Namensliste verschickt, auf der 140 Menschen mit einer schweren Beeinträchtigung erfasst waren, die vom insolventen Gesamthafenbetriebsverein (GHBV) gekündigt werden sollten. Bei Kündigungen, die Menschen mit einer schweren Beeinträchtigung betreffen, ist eine Zustimmung durch das Amt notwendig. Beim Austausch mit den Betroffenen wurde unbeabsichtigt die gesamte Liste mit allen Namen ausgesendet. Darauf waren personenbezogene Daten wie das Geburtsdatum, sowie auch die Betriebszugehörigkeit einzusehen. Und natürlich ist die Information, dass jemand behindert ist, ein sensibles Gesundheitsdatum!

Reaktionen auf die Datenpanne

In einem darauffolgenden Schreiben ersuchte das Amt darum, die Daten nicht weiterzugeben. Dieser Schritt kam jedoch zu spät und war wenig effektiv: Die Daten waren bereits abfotografiert und ins Internet hochgeladen worden. Die gekündigten Arbeiter, die zum einen aufgrund der Datenpanne, zum anderen aber besonders auch wegen ihrer Kündigung wütend waren, werfen dem Amt schweren Datenmissbrauch vor.

Folgen der Datenpanne

Die Geschäftsführung des GHBV hat sich vorschriftsgemäß an den Landesdatenschutzbeauftragten gewandt und die Panne gemeldet. Die datenschutzrechtlichen Folgen sind noch nicht klar, die Datenpanne wurde erst letzte Woche publik.

Unsere Praxistipps

Checken Sie bei jedem Email, das Sie versenden:

Haben Sie den richtigen Empfänger eingefügt?
Haben Sie den richtigen Anhang eingefügt?
Bei mehreren Empfängern: Verwenden Sie – wenn nötig – wohl BCC statt CC, sodass nicht alle Empfänger alle Emailadressen sehen können?

Wir sind bei Rückfragen oder für mehr praktische Umsetzungstipps stets sehr gerne für Sie da. Kontaktieren Sie uns.

Achtung: Cyberangriff auf Microsoft Exchange Server

Posted 18. März 2021 by Erich von Maurnböck

Haben Sie einen Microsoft Exchange Server in Verwendung? Falls ja – dann sind Sie möglicherweise von einem schweren Hackerangriff betroffen! Wir haben für Sie in diesem Beitrag die wichtigsten Facts und Tipps zur Sofortumsetzung zusammengefasst.

Sicherheitslücken im Microsoft Exchange Server

Schwerwiegende IT-Sicherheitslücken im Microsoft Exchange Server haben dazu geführt, dass der Dienst für Cyberkriminelle besonders attraktiv geworden ist. Microsoft stellte zwar vor Kurzem Updates, in der IT-Sprache als Patches bezeichnet, zur Verfügung, mit denen die Lücken geschlossen werden können, der Exchange Server war jedoch bereits zuvor im hohen Maß zur Zielscheibe von Hackern geworden. Drei der Sicherheitslücken wurden mit dem Bedrohungsgrad „kritisch“ bewertet.

Betroffene der Angriffe auf den Microsoft Exchange Server

Microsoft bietet Administratoren die Möglichkeit, anhand eines PowerShell-Skripts zu überprüfen, ob es bereits zu einem Angriff auf einen Exchange Server gekommen ist. Das Skript sucht dabei nach typischen Angriffsmerkmalen.
Zu den Opfern des Cyberangriffs zählt neben einigen Organisationen weltweit auch die europäische Bankenaufsichtsbehörde „European Banking Authority (EBA)“.
Eine genau Anzahl an Opfern kann kaum festgestellt werden, fest steht jedoch, dass die Zahlen laufend steigen. Alleine in Deutschland sind bereits zehntausende Systeme betroffen.

Mögliche Schäden durch die Angriffe auf den Microsoft Exchange Server

Da der Microsoft Exchange Server der zentralen Ablage, Verwaltung und Organisation von Emails, Kontakten, Aufgaben, Terminen sowie anderen Diensten dient, wird für Hacker eine große Angriffsfläche aufbereitet, die durch die Großzahl an dort gespeicherten Daten schwere Schäden für Betroffene mit sich bringen kann. Schließlich können anhand der gehackten Dienste personenbezogene Daten Dritten zugänglich gemacht und missbraucht werden.

Microsoft Exchange Server Patchen

Um sicher zu stellen, dass Ihr Microsoft Exchange Server nicht (mehr) angegriffen werden kann, und falls Sie dies noch nicht erledigt haben, sollten Sie unbedingt sofort patchen! Das bedeutet, die wichtigen Sicherheitsupdates von Microsoft downzuloaden und umzusetzen. Mit der Installationen der Updates bzw. Patches können Administratoren die Server vor (weiteren) Cyberangriffen schützen.

Datenpannen-Meldepflicht nach Microsoft Exchange Server Hack?

Zu den Meldepflichten in Bezug auf Datenpannen haben wir in unserem Blog schon mehrmals berichtet, zum Beispiel in diesem Beitrag. In diesem Fall herrscht jedoch bei den Datenschutzbehörden Unklarheit darüber, ob die Vorfälle gemeldet werden müssen. Aus einigen Entscheidungen in den letzten Jahren seit Inkrafttreten der DSGVO verstehen wir aber, dass die Voraussetzungen für eine verpflichtende Meldung einer Datenpanne recht gering sind. So kann bereits ein einziges, falsch adressiertes Email zu einer Datenschutzverletzung werden, die der zuständigen Datenschutzbehörde gemeldet werden muss.
Die Datenschutzbehörden appellieren an die Nutzer von Exchange Servern, anhand des beschriebenen PowerShell-Skripts zu überprüfen, ob sie von den Angriffen betroffen sind, und die zur Verfügung gestellten Sicherheitsupdates unverzüglich zu installieren.
Kann bereits ein eindeutiger, nachweisbarer Angriff bzw. Zugriff auf personenbezogenen Daten nachgewiesen werden, so muss dieser gemäß Artikel 33 DSGVO gemeldet werden.

Unsere Praxistipps

Microsoft hat ein (Powershell-)Skript zur Verfügung gestellt, mit welchem Sie (Ihre IT) testen können, in wie weit Sie betroffen sind: https://github.com/microsoft/CSS-Exchange/tree/main/Security
Installieren Sie sofort die wichtigen Sicherheitsupdates, um die Sicherheitslücken auch in Ihrem System zu patchen.
Haben Sie dazu Fragen? Kontaktieren Sie uns sehr gerne! Erich von Maurnböck steht Ihnen als jahrelanger IT-Sicherheitsexperte sowie als zertifizierter CISO.Prof sehr gerne zur Seite.

ePrivacy-Verordnung: Land in Sicht?

Posted 11. März 2021 by Erich von Maurnböck

Bereits seit vier Jahren wird an der ePrivacy-Verordnung, die eigentlich gleichzeitig mit der DSGVO in Kraft treten sollte, gefeilt. Nun soll nach langem Hin und Her endlich eine Lösung in Aussicht sein, die allerdings schon jetzt heftig kritisiert wird. In diesem Beitrag haben wir für Sie die wichtigsten Informationen dazu zusammengefasst.

Problematik der ePrivacy-Verordnung

Wieso hat es so lange gedauert, bis nun schließlich eine Einigung über die ePrivacy-Verordnung in Aussicht ist?
Einen besonderen Diskussionspunkt stellten einige praxisbezogene Punkte zum Thema Cookies dar. Aus diesem Grund konnte in den vergangene Jahren keine Mehrheit für diverse Entwürfe erzielt werden. Nun ist dies aufgrund einer Kombination mehrerer Vorschläge endlich gelungen.

Der Entwurf der neuen ePrivacy-Verordnung

Im vorgelegten Entwurf wird beschrieben, dass eine Speicherung von Daten zur Verteidigung der öffentlichen Sicherheit sinnvoll sein kann. Dies entspricht einer aktuellen Entscheidung des EuGH.

Ebenso achtet die Verordnung darauf, Kommunikationsdaten und gespeicherte Endnutzer-Informationen rechtskonform und datenschutzsicher – also im Sinne der DSGVO – zu verarbeiten und weiterzugeben.

Der aktuelle Entwurf sieht vor, dass Daten unter bestimmten Voraussetzungen auch zu anderen als den vorgesehenen Zwecken verarbeitet werden dürfen. Davon sind jedoch alle Verarbeitungen ausgeschlossen, die auf Einwilligungen basieren. Auch dieser Punkt der neuen Verordnung steht in Einklang mit der DSGVO.

Die Möglichkeit, Cookie-Paywalls zu implementieren, wird ebenso in der ePrivacy-Verordnung festgehalten. Hierbei ist jedoch zu beachten, dass Usern die Wahl ermöglicht wird, den gewünschten Dienst auch ohne Cookies zu beziehen. Ebenso müssen am Markt auch Alternativen zu dem jeweiligen Dienst zur Verfügung stehen.

Kritik an der neuen ePrivacy-Verordnung

Eines ist jedoch sicher – wo etwas Neues verkündet wird, lässt Kritik nicht lange auf sich warten.

Besonders Datenschützer sehen im vorgelegten ePrivacy-Entwurf eine Verringerung der durch die DSGVO gewährleisteten Datensicherheit. Diese Besorgnis bezieht sich zum einen auf die Wiedereinführung der Vorratsdatenspeicherung und zum anderen auf die Überlegungen bezüglich der Überwachung von Plattformen. Vor dem Begriff der Vorratsdatenspeicherung fürchten sich viele, obwohl eine solche grundsätzlich harmlos ist. Im Grunde geht es dabei bloß darum, dass Strafverfolgungsbehörden auf Internet- und Telefonkommunikations(meta)daten zugreifen können, die private Anbieter zu diesem Zweck auf Vorrat bereithalten müssen. Beispiele dafür wären, die Bekämpfung von Terrorismus oder Kinderpornographie.

Auch die erwähnte Überwachung von Plattformen bezieht sich lediglich, beispielsweise, auf Uploadfilter im Sinne des Schutzes von Personen.

Ebenso kritisiert wird die Erlaubnis der „Pay or OK“-Cookie-Paywalls.

Hierzu muss allerdings erwähnt werden, dass einige Kritikpunkte häufig aus dem Kontext gerissen wurden und dass der Entwurf sämtliche Entscheidungen und Richtlinien der europäischen Datenschutzbehörden respektiert.

Unser Fazit

Mit der ePrivacy-Verordnung kann endlich ein sinnvoller rechtlicher Rahmen für den Einsatz von Cookies sowie für die Verarbeitung von elektronischen Kommunikationsdaten geschaffen werden. Bis der Entwurf endgültig abgesegnet wird und die Verordnung tatsächlich in Kraft treten kann, liegt wohl noch ein langer Weg vor uns, der vor allem viele rechtliche Schritte beinhaltet.

Wann wir uns also schlussendlich auf die ePrivacy-Verordnung verlassen können, bleibt offen. Wir halten Sie jedoch selbstverständlich am Laufenden.

IT-Sicherheit im Homeoffice

Posted 1. März 2021 by Erich von Maurnböck

Die Arbeit im Homeoffice stellt meist eine gute Möglichkeit dar, den Beruf weiter auszuüben und dabei zur Eindämmung der Coronavirus-Verbreitung beizutragen. Wobei natürlich die Kombination Homeoffice mit anwesenden Kindern ein besonderer Balanceakt ist – Hut ab vor allen, die das nervlich gut durchhalten! Studien haben schon gezeigt: Im Homeoffice arbeitet man produktiver, die Arbeitgebenden müssen nur Vertrauen aufbringen.

Herausforderungen für die Arbeitgebenden im Homeoffice

Für Arbeitgebende stellt das Arbeiten lassen im Homeoffice jedoch auch eine Herausforderung dar, die einige technische und datenschutzrechtliche Risiken birgt. Wird zuhause gearbeitet, verlieren die Arbeitgebenden die unmittelbare Kontrolle über Daten und IT. Zudem haben unberechtigte Personen, auch Mitbewohner oder Familienmitglieder genannt, leichter Zugriff auf vertrauliche Dokumente und Informationen. Was muss also besonders beachtet werden, um im Homeoffice Sicherheit gewährleisten zu können?

Häufig werden die Endgeräte vom Arbeitgebenden zur Verfügung gestellt. Auf diese Weise können zumindest einige technische Vorkehrungen getroffen werden, um technischen Datenschutz zu gewährleisten. Die Mitarbeitenden müssen sicherstellen, dass die Mitbewohner das Gerät nicht benützen und auch nicht auf Firmendaten zugreifen.

Etwas komplizierter ist es, wenn eigene Endgeräte benutzt werden. Hier helfen nur Vorgaben wie beispielsweise, dass nur über VPN auf die Firmennetzwerke zugegriffen werden darf und die Mitbewohner KEINESFALLS die Passwörter erfahren dürfen.

Homeoffice-Vereinbarungen

Einen wichtigen Baustein zur Homeoffice-Arbeit stellen dafür entworfene Vereinbarungen dar. Dadurch werden die Beschäftigten zur Einhaltung spezieller technischer und organisatorischer Maßnahmen verpflichtet – dies schützt den Dienstgebenden einerseits, aber auch den Dienstnehmenden. Nur wenn ich weiß, wie ich mich verhalten soll, kann ich entspannt zuhause arbeiten.

Unsere Praxistipps

Informieren Sie Ihre Mitarbeitenden über die Risiken im Homeoffice.
Für die Homeoffice-Vereinbarung stellen wir Ihnen gerne kostenlos ein Muster und eine Videoanleitung zur Verfügung – kontaktieren Sie uns jederzeit.

Das Auskunftsbegehren: So ist es rechtskonform!

Posted 1. März 2021 by Birgit von Maurnböck

Seit Inkraftreten der DSGVO vor mittlerweile beinahe drei Jahren erhalten Unternehmen eine Vielzahl an Anfragen von betroffenen Personen mit dem Wortlaut: Welche Daten haben Sie von mir in Verarbeitung? Wissen alle Personen in Ihrem Unternehmen Bescheid, wie auf eine solche Anfrage zu antworten ist?

Entscheidung über Auskunftsbegehren

In Deutschland gab es dazu im letzten Jahr eine wichtige und sehr relevante Entscheidung über das Auskunftsbegehren: Die Behörde äußerte, dass nicht nur die Datenquelle mitgeteilt, sondern zusätzlich auch angegeben werden muss, wann und mit welchem genauen Inhalt, personenbezogene Daten aus einer Quelle übermittelt werden.

Das ist besonders dann ein Thema, wenn man Daten nicht von der betroffenen Person direkt bekommt, sondern durch einen Dritten (Vermittler, Berater, Makler und ähnliches).

Auskunftsbegehren: Das muss man laut DSGVO bekanntgeben

Verarbeitungszwecke,
Kategorien personenbezogener Daten, die verarbeitet werden,
Empfänger oder Kategorien von Empfängern,
Speicherdauer,
Hinweis auf die Betroffenenrechte: Berichtigung, Löschung, Einschränkung, Widerspruch,
Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, werden alle verfügbaren Informationen über die Herkunft der Daten gebraucht,
Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
Geeignete Garantien bei Datenübermittlung in ein Drittland und
Kopie der personenbezogenen Daten (Kopien dürfen aber die Rechte und Freiheiten anderer Personen nicht beeinträchtigen).

So weitreichend, wie die Behörde in ihrer Entscheidung, war die DSGVO davor nicht auszulegen. Die Nennung der Quelle hätte aus unserer Sicht ausreichen sollen. Nachdem sich die Behörden aller Länder an den Urteilen ihrer Kollegen EU-weit orientieren, ist also noch größere Sorgfalt und Detaillierung bei der Beantwortung in Zukunft geboten.

Unsere Praxistipps

Lassen Sie unbedingt Vorsicht walten bei der Beantwortung eines Auskunftsersuchen. Scheuen Sie sich nicht, Hilfe in Anspruch zu nehmen – eine Beschwerde an die Behörde ist vom Betroffenen schneller platziert, als einem lieb ist. Vergessen Sie nicht, Sie haben nur einen Monat Zeit, das ist nicht lange!
Spielen Sie den Auskunftsprozess intern durch – so finden Sie heraus, ob Sie diesen auch im Ernstfall im Griff haben.
Beantworten Sie Auskunftsanfragen immer sorgfältig und natürlich fristgerecht, nehmen Sie diese Verpflichtung wirklich ernst.
Kontaktieren Sie uns bei weiteren Fragen zum Auskunftsbegehren.

COVID-19 Tests: Vorsorge statt Nachsorge

Posted 25. Februar 2021 by Birgit von Maurnböck

Wollen Sie oder bieten Sie bereits in Ihrem Betrieb Antigen-Schnelltests an? Alles was Sie zu den COVID-19 Tests in Ihrem Unternehmen wissen müssen, erfahren Sie hier.

Angebote und Regelungen für COVID-19 Tests

Seit 8.2.2021 können Frisöre, Kosmetikstudios und andere körpernahe Dienstleistungsbetriebe mit einem negativen „Zutrittstest“ besucht werden. Das kostenlose Angebot für COVID-19-Tests in Österreich wird nun auch schrittweise ausgebaut: Es reicht von Teststraßen der Länder, Angeboten der Gemeinden, Gratis-Tests in Apotheken bis zu Testprogrammen in Betrieben.

Was gilt als „Zutrittstest“?

Als „Zutrittstests“ gelten laut Aussendung des Gesundheitsministeriums alle negativen PCR- und Antigen-Tests, die im Rahmen von behördlichen Stellen durchgeführt wurden. Dazu zählen

Teststraßen und -angebote von Bundesländern und Gemeinden,
Apotheken,
niedergelassene Ärztinnen und Ärzte oder
Tests, die in Betrieben oder in Alten- und Pflegeheime durch qualifiziertes und berechtigtes Gesundheitspersonal durchgeführt wurden.

Selbsttests können nicht als Zutrittstests verwendet werden, da hierbei die Kontrolle fehlt. Auch Ergebnisse von Schultests zählen nicht als Zutrittstests.

COVID-19 Tests in Betrieben

Auch Sie werden künftig bei der Testung ihrer Mitarbeiterinnen und Mitarbeiter unterstützt. Seit dem 15. Februar gibt es für Antigen- oder PCR-Testungen einen Kostenersatz von 10 € pro durchgeführtem Test. Auch betriebsfremde Personen wie Angehörige, Kunden und Mitarbeiter können dabei in Ihrem Unternehmen einen COVID-19 Test machen. Dadurch werden Betriebe zu Testzentren und helfen dabei, die Pandemie einzudämmen.

Um eine Teststraße zu werden, müssen sich Betriebe hier registrieren: https://www.wko.at/service/corona-betriebliches-testen.html

Unsere Praxistipps

Achten Sie unbedingt auf den Datenschutz! Testergebnisse sind Gesundheitsdaten und damit höchst vertraulich zu behandeln!

Laden Sie auf keinen Fall einfach alle Mitarbeiterdaten auf die Testplattform hoch. Das wäre eine unzulässige Weiterleitung von Daten.
Sie als Unternehmen sind mit einer Teststraße ein sogenannter Auftragsverarbeiter des Bundesministeriums. Als Rechtsgrundlage erhalten Sie beim Registrieren die entsprechenden Verträge zum Download. Ergänzen Sie diese Verarbeitung in Ihrem Verarbeitungsverzeichnis.
ACHTUNG! Jede Person, die sich testen lassen will, muss VORHER die entsprechende Datenschutzerklärung erhalten. Auch diese wird zum Download zur Verfügung gestellt – gerne können wir Ihnen diese auch zur Verfügung stellen.
Achten Sie darauf, dass die Testtermine nicht für alle einsehbar sind und löschen Sie diese nach erfolgtem Test wieder.
Keine Doodle Abfragen zur Testanmeldung anbieten!
Und zu guter Letzt: Sorgen Sie dafür, dass vor den Testräumlichkeiten ausreichend Abstand vorhanden ist und verhängen Sie am besten Maskenpflicht für alle wartenden Personen.
Wenn Sie Unterstützung bei der datenschutzkonformen Umsetzung oder andere Fragen haben, kontaktieren Sie uns gerne.

Das Rennen um die betrieblichen COVID-19 Impfungen

Posted 25. Februar 2021 by Birgit von Maurnböck

Das Rennen um den Corona Impfstoff hat im Jänner begonnen. Nach wie vor gibt es wenig genaue Informationen darüber, wer wann geimpft werden soll. Viele Betriebe, die wegen ihrem Tätigkeitsbereich zur sogenannten kritischen Infrastruktur zählen, haben sich daher bereits im Vorfeld mit der Regierung in Verbindung gesetzt, damit Ihre Mitarbeitenden möglichst früh Vakzine erhalten. Erste „Eilmeldungen“ wurden bereits aufgegeben, geimpft wird aber noch nicht. Wie sieht es nun konkret mit den betrieblichen COVID-19 Impfungen aus? Welche Voraussetzungen müssen gegeben sein? Was ist datenschutzrechtlich zu beachten? Alle aktuellen Informationen dazu bekommen Sie bei uns.

Voraussetzungen für betriebliche COVID-19 Impfungen

Generell soll ab Verfügbarkeit der Impfstoffe eine rasche Versorgung der Bevölkerung gewährleistet werden. Dabei können Unternehmen mit eigener Betriebsärztin oder eigenem Betriebsarzt einen entscheidenden Beitrag leisten (grundsätzlich ab 50 Mitarbeitenden gesetzlich vorgesehen). Für Unternehmen entstehen abseits der betrieblichen Organisation der COVID-19 Impfungen keine Kosten. Weitere Voraussetzungen, die allerdings zu prüfen sind gibt es trotzdem:

Organisatorische Aspekte für das Impfen direkt im Betrieb,
Abwägung, ob innerbetriebliche Impfung am Standort/an den Standorten sinnvoll und durchführbar ist,
Klärung der Durchführung im Unternehmen von Betriebsärzten, niedergelassenen Medizinern, unterstützendem Personal,
Zurverfügungstellung des ärztlichen Personals (berufsberechtigten Medizinern oder Bekanntgabe der Mediziner, welche die Impfung direkt im Unternehmen durchführen),
Erfüllung der berufsrechtlichen Voraussetzungen des notwendigen Personals,
Kühlschrank zur Gewährleistung der ordnungsgemäßen Kühlung des Vakzins,
Begleitende Eintragung der Impfungen in den e-Impfpass (verpflichtend),
Ausreichende Impf-Räumlichkeiten (für Nachbeobachtung).

Datenschutzkonform bei den betrieblichen COVID-19 Impfungen

Jeder Impf-Registrierte muss wissen, was mit seinen Daten passiert. Sie als Unternehmen müssen sicherstellen, dass jeder Registrierte weiß, welche Daten wofür verarbeitet und gespeichert werden.
Vor der COVID-19 Impfung muss geklärt sein, wie sämtliche Daten von Registrierten, wie etwa Name und Anschrift, aber auch Angaben zu Kontraindikationen und Vorerkrankungen, vor der Impfung erhoben und gespeichert werden.
Es muss klargestellt sein, dass die Übermittlung der personenbezogenen Daten, datenschutzrechtlich geprüft worden ist. Weisen Sie dabei darauf hin, dass keine Übermittlung von Namen und vollständigem Geburtsdatum vorgesehen ist.
Es muss klar hervorgehen, welche Stelle für die Datenverarbeitung im Zusammenhang mit den Corona-Schutzimpfungen durch Impfzentren und mobile Impfteams verantwortlich ist.
Während der Impfung ist eine Videoüberwachung in den Impfräumlichkeiten verboten.
Nach der Impfung sind die Daten durch einen freigegebenen Prozess nur in pseudonymisierter Form weiterzuleiten.
Überlegen Sie, nur die Räumlichkeiten zur Verfügung zu stellen und das gesamte Procedere einem professionellen Anbieter zu übertragen. Dann müssen Sie sich mit dem Thema Datenschutz auch nicht so intensiv auseinandersetzen.
Werben Sie bei Ihren Mitarbeitenden damit, dass Sie nicht nur die Gesundheit, sondern auch die Privatsphäre absolut schützen.

Unser Fazit

Personengruppen mit einer chronischen Vorerkrankung, die sogenannte Risikogruppe, können sich beim Arzt ihres Vertrauens vormerken lassen.

Weiters informieren Sie am besten Ihre Mitarbeitenden darüber, dass es seit dem 1.Februar 2021 die Möglichkeit einer unverbindlichen Vormerkung für COVID-19-Impfungen auf den Impfplattformen der Bundesländern unter https://www.oesterreich-impft.at/ gibt.

Wir unterstützen mit unserem datenschutzrechtlichen Knowhow bereits viele Unternehmen, die in ihrem Betrieb COVID-19 Impfungen durchführen lassen wollen. Gerne beraten wir auch Sie ausführlich zu diesem Thema persönlich und erstellen individuelle Konzepte für Ihr Unternehmen. Kontaktieren Sie uns gerne direkt hier.

Posts Tagged ‘MeineBerater’

Mailchimp-Beschwerde in Deutschland

Mailchimp und die Datenspeicherung in den USA

Bei folgenden US-Diensten bedarf es einer detaillierten Prüfung der angebotenen Sicherheiten

Unsere Praxistipps

Passwortmanager – Wieso?

Passwortmanager – Wie sieht das aus?

Passwortmanager im Vergleich*

Unser Fazit

Auslöser der Datenpanne

Reaktionen auf die Datenpanne

Folgen der Datenpanne

Unsere Praxistipps

Sicherheitslücken im Microsoft Exchange Server

Betroffene der Angriffe auf den Microsoft Exchange Server

Mögliche Schäden durch die Angriffe auf den Microsoft Exchange Server

Microsoft Exchange Server Patchen

Datenpannen-Meldepflicht nach Microsoft Exchange Server Hack?

Unsere Praxistipps

Problematik der ePrivacy-Verordnung

Der Entwurf der neuen ePrivacy-Verordnung

Kritik an der neuen ePrivacy-Verordnung

Unser Fazit

Herausforderungen für die Arbeitgebenden im Homeoffice

Homeoffice-Vereinbarungen

Unsere Praxistipps

Entscheidung über Auskunftsbegehren

Auskunftsbegehren: Das muss man laut DSGVO bekanntgeben

Unsere Praxistipps

Angebote und Regelungen für COVID-19 Tests

Was gilt als „Zutrittstest“?

COVID-19 Tests in Betrieben

Unsere Praxistipps

Voraussetzungen für betriebliche COVID-19 Impfungen

Datenschutzkonform bei den betrieblichen COVID-19 Impfungen

Unser Fazit