Medienpräsenz: Thema Datenschutz
Kaum hat das neue Jahr begonnen, häufen sich die Meldungen über Datenschutzverletzungen. Um die gesetzlichen Anforderungen an den Datenschutz weiter hochzuschrauben, hat der Gesetzgeber bereits reagiert. Am 25.5.2018 wird nach einer zweijährigen Übergangsphase die EU-Datenschutz-Grundverordnung (EU- DS-GVO) für alle EU-Mitgliedsstaaten gleichermaßen wirksam. Die europäische Datenschutz-Grundverordnung (EU-DSGVO) soll die Datenschutz-Regelung zur Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der Europäischen Union vereinheitlichen. Der betriebliche Datenschutzbeauftragte wurde in seiner wichtigen Funktion bestätigt.
Wichtige Neuerungen, wie zum Beispiel eine frühere Meldepflicht bei Datenpannen, die Einführung einer Datenschutz-Folgenabschätzung, die Portabilität von Daten, eine Optimierung der schriftlichen Dokumentation der personenbezogenen Geschäftsprozesse sowie die Verschärfung der Bußgeldvorschriften bei Datenschutzverstößen, sollen zu einer Stärkung des Datenschutzes für alle EU-Bürger führen. Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben.
-ck-

12. Europäischer Datenschutztag am 29. Januar 2018
Um das Bewusstsein bei Bürgern und Unternehmer in Europa für den Datenschutz zu stärken hat der Europarat alljährlich den 28. Januar zum Datenschutztag erklärt. Alle Stellen, die sich mit Datenschutz befassen, sollen sich durch eigene Aktionen an diesem Tag beteiligen. Der Europäische Datenschutztag mahnt zur Vorsicht im Umgang mit sensiblen personenbezogenen Daten und findet seit 2007 jedes Jahr am 28. Januar statt. Nehmen Sie sich doch vor, dass dieser Tag in Ihrem Unternehmen relevant wird. Zum Beispiel eine Auffrischungsschulung für alle Beschäftigten, Einführung eines passwortgeschützten Bildschirmschoners mit Datenschutztipps, oder ein Datenschutzartikel Ihres Datenschutzbeauftragten in Ihrem aktuellen Unternehmensmagazin. Sie haben keinen Datenschutzbeauftragten?
Dann wäre der europäische Datenschutztag ein guter Grund, die gesetzliche Anforderung nicht länger zu ignorieren und möglicherweise harten Konsequenzen in Form von Bußgeldern, Haftstrafen oder auch einem ernstzunehmenden Imageverlust zu vermeiden.
-ck-

Mobile Endgeräte und der Verlust sensibler Firmendaten
Mobile Endgeräte wie Smartphone oder auch Tablets, sind praktisch und unentbehrlich geworden im täglichen Unternehmenseinsatz. Oft stellen Unternehmen ihren Mitarbeitern diese auch für die private Nutzung zur Verfügung, oder erlauben die dienstliche Nutzung privater Technik durch ihre Beschäftigten. Um auch außerhalb des Büros auf Geschäftskontakte und Daten zugreifen zu können, synchronisieren zahlreiche Mitarbeiter ihr Adressbuch mit dem Smartphone, speichern die Zugangsdaten für die Cloud auf ihren Geräten. Für Unternehmen kann dies ein großes Problem darstellen: Bei Verlust mobiler Endgeräte ist die Vertraulichkeit von unternehmensbezogenen Daten einschließlich der Zugangsdaten zu anderen informationstechnischen Systemen (z. B. Server oder Cloud) des Unternehmens nicht mehr gegeben. Allein mit den üblichen Sicherheitsmaßnahmen , wie zum Beispiel eine vollständige Speicherverschlüsselung sowie zusätzliche Authentifizierungsmechanismen, Prozesse zur Lokalisierung und Fernlöschung der Geräte, sind die sensiblen Unternehmensdaten auf mobilen Endgeräten nicht geschützt.
Gänzlich unterschätzt werden die Risiken und Gefahren die von Apps ausgehen. Sensible Informationen wie zum Beispiel sämtliche Kontaktdaten bestehend aus Telefonnummern, E-Mailadressen usw. werden oft schon bei der Installation mit übertragen, ohne dass der Nutzer seine Zustimmung gegeben hat. Allein schon die Verwendung von Messenger-Dienste, die gerne das gesamte Adressbuch auslesen und diese Daten dann auf ausländische Server übertragen stellt eine große Herausforderung für das Unternehmen dar. Mit der EU-Datenschutz-Grundverordnung riskieren Unternehmen für einen solchen Verstoß deutlich schwerere Sanktionen. Stichtag zur Umsetzung ist der 25. Mai 2018.
Nach dem Ende dieser Übergangsfrist für die EU-Mitgliedstaaten drohen Unternehmen die sich nicht an die EU DS-GVO halten, schon bei Bagatellverstößen hohe Strafen. Aufsichtsbehörden können Bußgelder von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens, je nachdem welcher Wert der höhere ist, verhängen. Organisations-Verstöße wie auch schwere materielle Datenschutzverstöße können mit den gleichen Bußgeldbeträgen belegt werden.
-ck-

Cyberangriffe und die Fahrlässigkeit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon länger vor gefälschten E-Mails. Anhand gefälschten BSI-Absenders sollen die Empfänger auf einer angeblichen Sicherheitswarnung reagieren und Sicherheitsupdates im beigefügtem Link durchführen. Doch der Download des angeblichen Sicherheitsupdates führt nur zur Infektion der Hardware anhand von Schadsoftware.
Zurzeit warnt auch die Polizei vor einer falschen Mail der Telekom mit einer anhängender Zipp - Datei. Angeblich sei kein Zahlungseingang erfolgt und deshalb wird mit einer Telefonsperrung gedroht, weitere Informationen sollen in der angehängten Datei enthalten sein. Die anhängende Datei bitte nicht öffnen, diese enthält schädliche Software.
Wer bereits angehängte Dateien geöffnet hat, sollte seine Hardware mit aktueller Antivirensoftware scannen. Kostenlose Sicherheitsprogramme können von der Webseite "botfrei", vom ECO - Verband der Internetwirtschaft e.V. genutzt werden.

-ck-

Datenpannen und ihre Folgen
Die Meldungen über Datenpannen häufen sich seit Jahresende 2017 und setzen sich im Neuen Jahr genauso fort. Das Spektrum ist weitreichen und keine Branche oder Unternehmen ist davor gefeit.
In dieser Woche berichteten zum Beispiel die Medien über einen Hackerangriff eines Online-Shops, Anhand eines eingeschleusten Skripts kam es zu einem Datendiebstahl von bis zu 40.000 Kreditkartendaten. Auch wurde über eine Verlagsgruppe berichtet, die ihre Kunden per Mail über einen Sicherheitsvorfall informierte. Scheinbar hat anhand falscher Server-Konfiguration dazu geführt, dass Kundendaten des Unternehmens für eine gewisse Zeit öffentlich im Internet einsehbar waren. Laut Pressemeldung konnten Webseitenbetreiber E-Mail-Adressen von Newsletter-Nutzern einsehen. Das Datenschutzproblem hat der Anbieter behoben.
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Ab Mai 2018 kommen deutlich verschärfte Meldepflichten bei Datenpannen auf die Unternehmen zu. Die zuständige Datenschutzaufsichtsbehörde muss unverzüglich (möglichst binnen 72 Stunden) informiert und zum anderen auch die von der Datenpanne betroffenen Personen benachrichtigt werden. Wenn der Betroffenen-Kreis zu groß ist, muss zudem die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme, über die Datenpanne unterrichtet werden. Jede Pannen/Sicherheitsvorfall muss ausnahmslos insbesondere ohne Abwägung von Risiken für den Betroffenen dokumentiert werden.
-ck-

Datensicherheit: 12. Europäischer Datenschutztag am 28. Januar 2018
Um das Bewusstsein bei Bürgern und Unternehmer in Europa für den Datenschutz zu stärken hat der Europarat alljährlich den 28. Januar zum Datenschutztag erklärt. Alle Stellen, die sich mit Datenschutz befassen, sollen sich durch eigene Aktionen an diesem Tag beteiligen. Der Europäische Datenschutztag mahnt zur Vorsicht im Umgang mit sensiblen personenbezogenen Daten und findet seit 2007 jedes Jahr am 28. Januar statt, nachdem an diesem Tag im Jahr 1981 die Europäische Datenschutzkonvention unterzeichnet wurde. Nehmen Sie sich doch vor, dass dieser Tag in Ihrem Unternehmen Datenschutzrelevant wird. Zum Beispiel eine Auffrischungsschulung für alle Beschäftigten, Einführung eines passwortgeschützten Bildschirmschoners mit Datenschutztipps, oder ein Datenschutzartikel Ihres Datenschutzbeauftragten in Ihrem aktuellen Unternehmensmagazin. Sie haben keinen Datenschutzbeauftragten?
Dann wäre der europäische Datenschutztag ein guter Grund, um die gesetzliche Anforderung für die ab 25. Mai 2018 europaweit geltende Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen und nicht länger zu ignorieren. Damit es kein böses Erwachen gibt, sollten Unternehmen sich rechtzeitig auf die komplexen Richtlinien vorbereiten, um möglicherweise harten Konsequenzen in Form von Bußgeldern, Haftstrafen oder auch einem ernstzunehmenden Imageverlust zu vermeiden.
-ck-