Blog

16.05.2022   Sind Sie auch schon DSGVO-​​konform?

Das Internet ist voll mit solchen Werbe­aus­sagen und entspre­chenden Siegeln – Doch was bedeuten diese?

Viele Unter­nehmen zeigen gerne, auch mit Recht, was sie im können bzw. welche Vorgaben und Struk­turen sie im Unter­nehmen leben. In der Welt der ISO-​​Normen spricht man dabei von einer Zerti­fi­zierung nach ISO Norm 9001, 13485 oder 27001, je nachdem in was das Unter­nehmen zerti­fi­ziert ist.

Möchte man sein Unter­nehmen zerti­fi­zieren lassen, stellt man einen Antrag auf Zerti­fi­zierung, führt ein entspre­chendes System ein, daraufhin kommt ein  unabhän­giger Zerti­fi­zierer und führt ein Audit durch. Ist dieses Audit zufrie­den­stellend durch­ge­führt worden, erhalten Sie Ihr Zerti­fikat. Dieses Zerti­fikat wird dann jährlich durch Überwa­chungs­audits bestätigt und in regel­mä­ßigen Abständen auch vollständig neu auditiert. 

Die ISO-​​9001 verlangt z.B. alle 3 Jahre ein solches Rezer­ti­fi­zie­rungs­audit und dazwi­schen jeweils ein Überwa­chungs­audit. Diese Zerti­fi­zierung bzw. diese Audits gehen auf nationale oder inter­na­tionale Standards zurück und machen Unter­nehmen vergleichbar. Das bedeutet z.B. das jedes Unter­nehmen, welches über eine ISO-​​9001 Zerti­fi­zierung verfügt, einen gewissen Mindest­standard an Prozessen und Dokumenten vorweisen kann. 

Als guter Indikator dient das Zerti­fikat als Erken­nungs­merkmal dafür, dass ein Unter­nehmen struk­tu­riert arbeitet und sich fortlaufend verbessert und entwi­ckelt. Dies gibt Geschäfts­partnern und anderen Unter­nehmen eine gewisse Sicherheit über die Unter­neh­mens­struktur.

Doch wie sieht es aus wenn man zeigen will, dass sich seine Webseite oder das eigene Unter­nehmen nach der DSGVO richtet? Im Internet finden Sie heutzutage unzählige Anbieter und verschiedene Siegel, welche man als Unter­nehmen erwerben kann. Jedoch ist die Aussa­ge­kraft begrenzt und die Vergleich­barkeit erst recht. 

Warum ist das so? 

Nun, das ist ganz einfach. Es gibt in diesem Bereich, anders als in den o.g. Normen, keine Standards und keine unabhängige Stelle, welche ein solches Audit durch­führt.

Wenn Sie ein Siegel sehen, das eine DSGVO-​​Konformität bestätigt, dann hat in diesem Fall immer ein privates Unter­nehmen nach eigenen Vorgaben ein anderes privates Unter­nehmen geprüft. Eine nachweis­liche Unabhän­gigkeit bzw. eine vergleichbare Aussage über den Umfang der Prüfung ist nicht gegeben.  

Dies ist auch der Grund warum wir unseren Kunden ein solches Siegel nicht anbieten. Denn nach unserer Auffassung handelt es sich dabei lediglich um ein Werbe­siegel mit wenig Nutzen im Kontext von Unter­nehmen und keinerlei Aufzeigen von Kompe­tenzen des Unter­nehmens. 

Doch es gibt sinnvolle Alter­na­tiven, diese sind zwar aufwendig, bringen Ihnen aber einen Mehrwert in der Entwicklung und der Vergleich­barkeit von Unter­nehmen. 

Aller­dings beziehen sich diese erst einmal nicht vorder­gründig auf die DSGVO, sondern auf das Thema Infor­ma­ti­ons­si­cherheit. Hier gibt es 2 „BIG-​​Player“. Zum Einen der IT-​​Grundschutz des BSI (Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik) und die Norm ISO-​​27001 (in der Automobile Branche haben wir noch TISAX). Dazu kommen noch weitere private Zerti­fi­zierer wie z.B. CISIS12.  

Von diesen 3 genannten ist aber nur die ISO-​​27001 inter­na­tional vergleichbar und anerkannt. Den BSI Grund­schutz können Sie auch auf Basis der ISO-​​27001 erwerben, dies kommt dann einer ISO-​​27001 Zerti­fi­zierung gleich. Wollen Sie jetzt noch Ihre Fähig­keiten in der DSGVO nachweisen, können Sie zusätzlich zu ISO-​​27001 eine Zerti­fi­zierung nach ISO-​​27701 durch­führen lassen. 

Dies ist aktuell die einzige Möglichkeit ein unabhän­giges und vergleich­bares Zerti­fikat als Nachweis zur Erfüllung der Anfor­de­rungen der DSGVO zu erhalten. 

Viele Zahlen, viel Text – Wir fassen zusammen:

  • Es gibt im Moment nur eine Möglichkeit unabhängig und vergleichbar den Daten­schutz im Unter­nehmen zerti­fi­zieren zu lassen: ISO27701 in Kombi mit BSI Grund­schutz oder ISO-​​27001
  • Alle anderen Zerti­fikate sind von privaten Unter­nehmen und sind in Umfang und Vergleich­barkeit einge­schränkt.
  • CISIS12 ist ein privater Anbieter, mit einer guten Struktur.  Eine unabhängige Zerti­fi­zierung über die DQS (Deutsche Gesell­schaft zur Zerti­fi­zierung von Manage­ment­sys­temen) ist möglich.
  • Lesen Sie gerne mal kritisch das Klein­ge­schriebene bei Anbietern von privaten Siegeln.

Das Thema Daten­schutz und Infor­ma­ti­ons­si­cherheit spielt immer häufiger eine große Rolle.

Um zu zeigen, dass Sie gut aufge­stellt sind und das Thema angemessen bearbeiten, bietet die ISO-​​27701 ein aufwen­diges aber sehr gutes Tool. 

Selbst wenn Sie aktuell keine Zerti­fi­zierung anstreben, lohnt sich ein Blick in diese Richtung. Denn auch ohne Zerti­fi­zierung kann Ihr Unter­nehmen sehr von den möglichen Struk­turen profi­tieren.

Wir sind als Berater im Bereich  IT-​​Grundschutz, sowie als ISO-​​27000 Office und Lead Auditor bestens geschult um Ihnen von der ersten Frage bis zum Zerti­fikat kompetent Auskunft zu geben zu können. 

 

13.05.2022   Doppelt hält besser – der 2. Faktor beim Passwort

Um das Thema Passwörter gibt es immer wieder Beiträge im Netz, am 01. Februar eines jeden Jahres ist sogar der offizielle „ändere dein Passwort Tag“. 

Wir werden Ihnen heute ebenfalls ein paar Tipps an die Hand geben und Ihnen Wege zeigen, wie wir die Proble­matik in unserem Unter­nehmen umsetzen und wie Sie das Thema einfach und sicher dauerhaft lösen können.

Vor einigen Jahren war es in Unter­nehmen üblich, dass man sein Passwort alle 6 – 12 Wochen ändern sollte.  Das hatte zur Folge, dass sich keiner mehr das Passwort merken konnte oder wollte und daher das Passwort irgendwo notiert wurde. Alter­nativ waren die Änderungen am Passwort so marginal, dass die Änderung relativ sinnlos war. 

In meinem Passwort war grund­sätzlich die Jahreszahl enthalten und eine weitere Zahl, welche ich immer eines höher gesetzt habe – aus heutiger Sicht ein Witz, damals hielt man es für extrem sicher. Das Passwort sollte so häufig geändert werden, weil man davon ausge­gangen ist, dass man ein Passwort relativ leicht knacken kann und man durch die Änderung dem Dieb die Tour wieder vermasseln wollte. 

Wir erachten dieses Konzept bereits seit Jahren für nicht sinnvoll und beraten und schulen immer, sich lieber ein sicheres und komplexes Passwort auszu­denken. Dadurch sinkt die Wahrschein­lichkeit dass es geknackt wird und folglich muss man das Passwort nicht regel­mäßig ändern. 

Aktuell halten wir alle Passwörter ab 12 Stellen für angemessen. Diese sollten einen Mix aus Groß– und Klein­buch­staben, Zahlen und Sonder­zeichen erhalten. Zusätzlich sollten keine ganzen Wörter vorhanden sein, welche sich im Duden wieder­finden. Passwort123! ist also keine tolle Lösung – das wissen zwar die Meisten, dennoch zählt es immer noch zu einem der häufig verwen­deten Passwörter. Vielmehr raten wir zu einer Methode, welche auf einem Satz basiert und von dessen Wörtern die jewei­ligen Anfangs­buch­staben genutzt werden. 

 

Hier ein Beispiel:  Urlaub mit Tante Renate auf Rügen war 1965!

Daraus entsteht das Passwort: UmtRaRw1965!

Solche Sätze lassen sich leicht merken und sich das Passwort daher leicht ableiten.  

Eine mögliche zusätz­liche Variante empfehlen wir ebenfalls sehr gerne: Setzen Sie vor das Passwort noch ein #  und davor den ersten Buchstaben des benutzen Dienstes. Beispiel für einen möglichen Account bei Amazon wäre dann: a#UmtRaw1965! Somit nutzen Sie überall ein unter­schied­liches Passwort, aber dennoch ist es einfach zu merken.

 

Passwort-​​Manager

Wem dies zu kompli­ziert ist und wer seine Sicherheit an dieser Stelle weiter erhöhen möchte, ist bei einem Passwort-​​Manager gut aufge­hoben. Hier erzeugt der Passwort-​​Manager ein Passwort für Sie und verwaltet es auch gleich­zeitig. Sie geben beim Starten der Software lediglich 1x ein Haupt­passwort ein und haben dann Zugriff auf Ihre Zugänge. Wir nutzen einen solchen Manager seit 2 Jahren und bei aktuell über 230 Logins wäre es sonst nicht möglich überall ein sicheres und einzig­ar­tiges Passwort einzu­setzen. 

Hier können Sie im Internet gerne nach entspre­chender Software Ausschau halten, auch hier gilt wieder: lieber ein paar Euro im Monat in eine sinnvolle und sichere Software inves­tieren, statt sich mit Freeware einzu­schränken. Gerade in Unter­nehmen sollte eine solche Einführung überlegt umgesetzt werden. Sollten Sie sich für einen Passwort­ma­nager entscheiden wollen, berück­sich­tigen Sie bitte die Größe Ihres Unter­nehmens und den Einsatz­zweck. 

 

2-​​Faktor-​​Authentifizierung

Parallel zu einem sicheren Passwort, setzt sich in der IT-​​Welt immer mehr die 2-​​Faktor-​​Authentifizierung durch. Microsoft plant im Moment ab Oktober 2022 den Login nur noch mit einem zweiten Faktor möglich zu machen. 

Viele von Ihnen nutzen diese Möglichkeit ohnehin seit Jahren, ohne sich darüber bewusst zu sein. Bei Banken und online-​​Banking ist diese Umsetzung schon lange Standard. Früher gab es dort TAN-​​Listen. Heute nutzen Banken TAN-​​Generatoren, SMS, Apps oder Ähnliches, um z.B. Überwei­sungen zu legiti­mieren. Banken verlassen sich also nicht nur auf Ihre PIN beim Einloggen, sondern fordern eine weitere Bestä­tigung um sicher­zu­stellen, dass es sich auch wirklich um den legiti­mierten Kunden handelt.

Genau dies nennt man eine 2-​​Faktor-​​Authentifizierung. Denn es gibt ein weiteres „zweites“ Merkmal, außer Ihrem Passwort, welches nur Ihnen zur Verfügung steht. Somit kann, falls das Passwort gehackt werden sollte, keiner auf Ihrem Account zugreifen, da dem Hacker das zweite Merkmal nicht zur Verfügung steht. Dieses Merkmal kann eine SMS, eine App, ein Generator oder ähnliches abbilden. 

Diese Methode kann im Alltag und bei häufiger Nutzung recht zeitin­tensiv sein, von daher empfehlen und nutzen wir selbst eine andere Methode – den sogenannten Hardware-​​Authentication-​​Key (YubiKey), welcher an den PC mittel USB oder NFC gekoppelt wird. YubiKeys werden entweder verwendet, um die Software zu entsperren, welche die Sicher­heits­codes generiert oder die Anmeldung direkt durch­zu­führen. Bedeutet im Umkehr­schluss: kein Schlüssel = kein Zugriff. 

Da inzwi­schen fast alle unsere Partner und Dienste die Option der 2-​​Faktor-​​Authentifizierung anbieten, haben wir uns intern vollständig auf 2-​​Faktor-​​Authentifizierung einge­stellt und bieten all unseren Kunden, welche Zugriff auf unsere Systeme wie z.B. preeco oder unsere QS365-​​Cloud haben, ebenfalls gerne die Möglichkeit die 2-​​Faktor-​​Authentifizierung zu nutzen. Sprechen Sie uns diesbe­züglich gerne an. 

Haben Sie Interesse an der Nutzung dieser Methode? Dann wenden Sie sich in diesem Falle gerne an unseren Partner servecom​.de 

 

 

02.05.2022   iCloud und die DSGVO

Apple, iCloud, Daten­schutz, DSGVO…. Passt das zusammen?

Eines vorab: Wir sehen den Einsatz von Apple als Alter­native zu Android Geräte im Unter­nehmen durchweg positiv und setzen auch in unserem Unter­nehmen Apple Produkte ein.

Bei der Nutzung sind aber, wie bei allen anderen Systemen auch, gewisse Fallstricke zu beachten. Wir möchten in diesem BLOG Beitrag näher auf das Thema iCloud eingehen und Ihnen dazu ein paar Anregungen geben. Ein weiterer Blogbeitrag zur Umsetzung und Nutzung von mobilen Endge­räten wird sicherlich in nächster Zeit folgen.

Aber nun zurück zur iCloud. Los geht’s mit dem Erstellen einer Apple-​​ID. Wenn Sie eine Apple-​​ID über die Webseite erstellen möchten, müssen Sie die Nutzungs-​​bedingungen von Apple bestä­tigen. In diesen Nutzungs­be­din­gungen steht unter Punkt IV Nutzung des Dienstes durch dich in Abschnitt A Dein Account folgender Satz:  ….stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist….

Mit diesem Satz wird klar, dass Sie gegen die Nutzungs­be­din­gungen von Apple verstoßen, wenn Sie iCloud für Ihr Unter­nehmen verwenden. Dazu kommt die Tatsache, dass Apple in diesem Fall zu einem Auftrags­ver­ar­beiter nach der DSGVO werden würde. Sie haben aber an dieser Stelle keine Möglichkeit einen entspre­chenden Vertrag abzuschließen und würden somit eine unzulässige Verar­beitung gemäß der DSGVO beginnen.

 

Um das Thema auf einen Punkt zu bringen: Erstellen Sie einen Account über die Apple Webseite, haben Sie formal nur einen Account für eine private Nutzung angelegt.

In diesem Fall sollten Sie dringend die iCloud Dienste deakti­vieren um zu verhindern, dass mögli­cher­weise perso­nen­be­zogene Daten an Apple übermittelt werden. Dies bezieht sich an dieser Stelle auf mögliche Daten Ihrer Kontakte und Kunden – denn Ihre eigenen persön­lichen Daten sind ja bereits durch die Erstellung der Apple-​​ID bei Apple hinterlegt.

Je nach Größe Ihres Unter­nehmens war vielleicht der Apple-​​Business-​​Manager eine Option für Sie. Damit „erschlagen“ Sie zumindest das Thema Mobile-​​Device-​​Management (wird ebenfalls in einem kommenden BLOG erklärt).  

Die Regis­trierung beim Apple-​​Business-​​Manager ist etwas aufwen­diger, aber leider bewegt man sich auch dort in der Daten­schutzwelt nicht wirklich DSGVO-​​konform.

Zwar sind in diesen Nutzungs­be­din­gungen spezielle Passagen zum Thema Auftrags­ver­ar­beitung einge­bunden, diese bieten jedoch keine volle Sicherheit. Apple räumt sich z.B in diesen Nutzungs­be­din­gungen ein Nutzungs­recht der Daten ein.  

Somit vermutet man auf den ersten Blick hinsichtlich der Nutzung des Apple-​​Business-​​Managers eine gute Lösung, bei einer tieferen Betrachtung fällt aller­dings auch dieser durchs DSGVO-​​konforme Raster.

Hinzu kommt in beiden Fällen die Übermittlung in ein Drittland und somit gelten zusätzlich die Probleme, die wir in unserem Blogbeitrag vom 19.04.2022 bereits näher erläutert haben.

 

Aber was sollte man nun tun?

Jetzt kommt man zur Frage, ob es eine Lösung für das Problem gibt bzw. wie es andere Unter­nehmen handhaben? 

Nun, für uns und einen Großteil unserer Kunden können wir sagen, dass es auch ganz gut ohne die Nutzung von iCloud geht.

Für unsere Daten verwenden wir eine eigene Cloud (siehe Beitrag vom 04.04.2022). Kontakte und Aufgaben werden über unseren E-​​Mail Anbieter verar­beitet und alles andere ist für uns im geschäft­lichen Umfeld nicht notwendig.

Ein Tipp für Sie: Wenn Sie der Meinung sind, es muss unbedingt die Nutzung der iCloud sein, dann verwenden Sie diese bitte verschlüsselt und ohne dass der Schlüssel in der Cloud hinterlegt ist.

Für uns gilt weiterhin: Wir lassen unseren Schalter auf „off“ und leben und arbeiten sehr gut mit alter­na­tiven Möglich­keiten.

Bei Fragen zu diesem Thema unter­stützen wir gerne.

Hilfreiche Links:

https://​www​.apple​.com/​d​e​/​l​e​g​a​l​/​i​n​t​e​r​n​e​t​-​s​e​r​v​i​c​e​s​/​i​c​l​o​u​d​/​d​e​/​t​e​r​m​s​.html

https://​www​.apple​.com/​d​e​/​b​u​s​i​n​e​s​s/it/

 

 

25.04.2022   Corona­daten sind zu löschen

Wir weisen an dieser Stelle nochmals auf die Pflicht hin alle Daten, welche in Zusam­menhang mit der Erfassung des 3-​​G-​​Status im Unter­nehmen gesammelt wurden, umgehend zu löschen.

Diese Daten wurden auf der recht­lichen Grundlage der geltenden Corona Verordnung erhoben und verar­beitet. (§ 28 b Abs. 3 S. 1 IfSG a.F).

Diese Grundlage ist mit der Änderung des IfSG zum 20.03.2022 entfallen. 

Die Landes­da­ten­schutz­be­hörde in Nieder­sachsen hat am 19.04.2022 eine Presse­mit­teilung hierzu veröf­fent­licht und mitge­teilt, dass die Umsetzung durch Kontrollen geprüft werden soll.

Es ist davon auszu­gehen, dass weitere Behörden eine identische Auffassung vertreten. 

Unser Tipp:

Der Impf– oder Genesenen-​​Status gehört zu den sensiblen und besonders geschützten Gesund­heits­daten, die norma­ler­weise grund­sätzlich nicht abgefragt werden dürfen. Hier gab es durch die Gesetz­gebung eine temporäre Ausnahme.

Bitte prüfen Sie Ihren Daten­be­stand und löschen Sie entspre­chend. Achten Sie bei der Löschung auf die konforme Entsorgung. 

Wir sehen keine Möglichkeit die Daten über Ihr „Hausrecht“ weiter zu verar­beiten. Beachten Sie bei dem Hausrecht auch immer eine mögliche Diskri­mi­nierung.

Sollten Sie der Auffassung sein diese Daten erfassen zu müssen oder Fragen zu dem Thema haben, melden Sie sich gerne bei uns.

 

Unter­nehmen für die eine einrich­tungs­be­zogene Impfpflicht gilt, beachten bitte folgendes:

https://​daten​schutz​kon​ferenz​-online​.de/​m​e​d​i​a​/​d​s​k​b​/​2022​_​13​_​04​_​b​e​s​c​h​l​u​s​s​_​D​S​K​_​20​a​_​I​f​S​G.pdf

 

weitere LINKS zum Thema:

https://​www​.antidis​kri​mi​nie​rungs​stelle​.de/​D​E​/​w​a​s​-​w​i​r​-​m​a​c​h​e​n​/​p​r​o​j​e​k​t​e​/​C​o​r​o​n​a​/​g​e​i​m​p​f​t​_​g​e​n​e​s​e​n​/​g​e​i​m​p​f​t​_​g​e​n​e​s​e​n​_​n​o​d​e​.html

https://​lfd​.nieder​sachsen​.de/​s​t​a​r​t​s​e​i​t​e​/​i​n​f​o​t​h​e​k​/​p​r​e​s​s​e​i​n​f​o​r​m​a​t​i​o​n​e​n​/​c​o​r​o​n​a​-​d​a​t​e​n​-​s​p​a​t​e​s​t​e​n​s​-​j​e​t​z​t​-​l​o​s​c​h​e​n​-​210773​.html

https://​www​.gesetze​-im​-internet​.de/​i​f​s​g​/​_​_​28​b​.html

 

 

19.04.2022   Daten­schutz und die USA

Vielleicht haben Sie es bereits aus den Medien erfahren –  es tut sich etwas in Sachen Daten­schutz und USA. 

Grund­sätzlich ist in einem Unter­nehmen die verant­wort­liche Person für Daten, welche erhoben und verar­beitet werden, immer der/​die Chef:in des Unter­nehmens.

Er/​Sie trägt die Verant­wortung wie und wo die Daten seiner Mitar­beiter und Kunden verar­beitet werden. Die Vorgaben dazu innerhalb des Europäi­schen Wirtschafts­raums (EWR) regelt die Datenschutz-​​Grundverordnung (DSGVO).

Werden perso­nen­be­zogene Daten außerhalb des EWR verar­beitet, spricht man von einer Verar­beitung in einem Drittland.

Hier unter­scheidet man zwischen sicheren und unsicheren Dritt­ländern.  Um die aktuelle Diskussion besser zu verstehen, gehen wir zurück in den Juli 2020 und stellen die Sachver­halte stark verein­facht dar.

Für sichere Dritt­staaten gibt es einen Angemes­sen­heits­be­schluss und eine Verar­beitung von perso­nen­be­zo­genen Daten ist daher ohne Probleme möglich. Das EU-​​US Privacy Shield  (so der Name des Angemes­sen­heits­be­schlusses mit den USA) legiti­mierte den Daten­transfer aus der EU in die USA. Dadurch wurden die USA zu einem sicheren Drittland erklärt.  Auf das EU-​​US Privacy Shield konnte man sich daher berufen, wenn man perso­nen­be­zogene Daten in die USA übermittelt hat. Im Juli 2020 wurde das sogenannte Privacy Shield durch eine Klage des Daten­ak­ti­visten Max Schrems vor dem EuGH gekippt. Der Grund hierfür ist in der daten­schutz­feind­lichen Gesetz­gebung der USA zu finden. Hier gibt es 4 Gesetze, die den Zugriff auf Daten durch US Behörden regeln (Cloud-​​Act, Patriot Act, Freedom Act, FISA). Dabei gilt besonders zu beachten: Auch Server von US-​​Unternehmen in Europa sind in dieser Gesetz­gebung enthalten.

Seit Juli 2020 ist diese Regelung nun Geschichte und die USA gelten nicht mehr als sicheres Drittland. Daher ist die Verar­beitung in den USA nicht mehr auf durch das Privacy-​​Shield  zu legiti­mieren. 

Kleiner Tipp: Prüfen Sie Ihre Daten­schutz­er­klärung – denn häufig befinden sich dort noch entspre­chende Erläu­te­rungen, die nicht mehr gültig sind.

Es gibt natürlich weiterhin die Möglichkeit eine Verar­beitung in den USA zu legiti­mieren. Hierzu kann man mit sogenannten SCC (Standard­ver­trags­klauseln) mit jedem einzelnen Unter­nehmen einen Vertrag abschließen. Diese Rechtslage hält bis heute an und macht es Unter­nehmen aller­dings relativ schwer mit Rechts­si­cherheit perso­nen­be­zogene Daten in die USA zu übermitteln. 

Wir empfehlen und beraten unsere Kunden daher immer in die Richtung der Vermeidung solcher Trans­ak­tionen um absolute Rechts­si­cherheit zu erlangen. Seit einigen Tagen hört und liest man in den Medien, dass die Regie­rungen aus Deutschland und den USA an einem neuen Privacy Shield (Trans-​​Atalntic Data Privacy Framework) arbeiten.

Ist damit jetzt das Problem gelöst und der Transfer wieder einfacher? Klare Antwort: NEIN. Denn bislang wird nur darüber geredet und verhandelt, aber noch nichts entschieden. Somit gelten die aktuellen Regelungen weiter. Mit einen Ergebnis ist nicht vor Ende 2022 zu rechnen und ob dies der lang ersehnte große Wurf wird, ist noch völlig unklar. 

Unsere Empfehlung ist also weiterhin: Prüfen Sie die Notwen­digkeit der Übermittlung in die USA und schließen Sie, wenn notwendig, Verträge auf der Basis von SCCs ab. Infor­mieren Sie Ihre Kunden und Websei­ten­be­sucher trans­parent über die Verar­beitung in den USA und holen Sie sich ggf. eine Einwil­ligung ein.

Sie haben noch Fragen zu dieser Thematik? Gerne helfen wir Ihnen weiter.

 

11.04.2022   Wir haben nun einen Onlineshop

Wir haben die letzten Wochen genutzt um unsere Download-​​Plattform umzustellen und zu erweitern. Hierzu haben wir ein Shop-​​System einge­führt, da wir vermehrt Anfragen für verschiedene Dokumente erhalten haben. Da wir unser Wissen nicht nur unseren Kunden zur Verfügung stellen wollen, war dieser Schritt abzusehen und nun notwendig. In Zukunft hat man so mit die Möglichkeit sowohl auf unsere kosten­losen als auch auf unsere kosten­pflich­tigen Dokumente zugreifen zu können.

Auf unserer Webseite: https://​qs365​.de stehen Ihnen sämtliche kosten­losen Vorlagen zur Verfügung und über unseren SHOP  https://​shop​.qs365​.de besteht die Möglichkeit kosten­pflichtige Dokumente zu erwerben. 

Für unsere Kunden erweitern wir unsere Cloud Plattform und stellen in Zukunft Vorlagen und Dokumente in unserer Cloud zur Verfügung. Durch diesen Service können unsere Kunden jederzeit direkt auf die aktuellsten Unter­lagen zugreifen. Das hat den Vorteil, dass Kunden, welche ein Dokument benötigen, „mal eben schnell schauen können“ und entspre­chend kostenfrei den Inhalt erhalten. Entspre­chende Anpas­sungen der Dokumente können gerne über uns erfolgen. 

Sollten Sie ein Dokument vermissen, lassen Sie es uns gerne wissen. 

Die Umstellung wird bis zum kommenden Newsletter abgeschlossen sein und unsere Kunden, die noch keinen Cloud Zugriff haben, erhalten diesen in den kommenden Tagen.

Wir denken, damit einen weiteren großen Schritt in Richtung Support und Verfüg­barkeit von Infor­ma­tionen getan zu haben und freuen uns auf Ihr Feedback.

 

 

04.04.2022   Cloud– welche Vorteile bringt das meinem Unter­nehmen?

Ist es in der Cloud, ist es schon geklaut – an diesen Satz denken sicherlich noch viele wenn es um das Thema geht, Daten in eine Cloud zu legen. Dabei bietet eine Cloud viele Vorteile und erhöht, richtig einge­setzt und sinnvoll konfi­gu­riert, sogar Ihre Daten­si­cherheit.

Aber was ist eigentlich eine Cloud?

Häufig bringt man in Verbindung mit einer Cloud das Symbol einer Wolke. Eine Cloud ist ein Speicherort in einem Rechen­zentrum – als keine Wolke, sondern sie existiert ganz real in einem Gebäude und hat einen Besitzer. Dieser Besitzer stellt Ihnen von seinem Speicher­platz einen Teil zur Verfügung. Dafür definieren sie User und Login Daten.  Für Ihren Teil des Speicher­platzes bekommen Sie eine eigene Adresse (URL), sodass erstmal nur Sie überhaupt wissen, dass es diese Cloud für Sie gibt. 

Bei der Auswahl des Rechen­zen­trums sollte natürlich darauf geachtet werden, dass die Anfor­de­rungen der DSGVO einge­halten werden und das Rechen­zentrum Ihren Anfor­de­rungen an Sicherheit gerecht wird. In der Regel sind inzwi­schen alle namen­haften Rechen­zentren nach EN-​​ISO-​​27001 zerti­fi­ziert – Ein Standard der Infor­ma­ti­ons­si­cherheit. 

Mittler­weile gibt es ausrei­chend deutsche bzw. europäi­schen Zentren wodurch es möglich ist einen Transfer ausserhalb des EWR und somit ausserhalb der DSGVO zu vermeiden.

Warum sollte man eine Cloud nutzen?

Eine Cloud können Sie für unter­schied­liche Zwecke nutzen. Wir z.B. teilen auf unserer Cloud Dokumente mit unseren Kunden und vermeiden somit den Versand von Anhängen in E-​​Mails. Dies verringert die Auslastung des E-​​Mail Postfachs und wir reduzieren die Infor­ma­tionen für den Fall, dass eine E-​​Mail von Dritten abgefangen wird. 

In Zeiten des mobilen Arbeitens ist eine Cloud ideal um Dokumente an mehreren Geräten verfügbar zu machen. 

In der Praxis haben wir aber auch noch einen weiteren Vorteil: Mit der Cloud stehen allen Betei­ligten zum Zugriff die gleichen Daten zu Verfügung. Sicherlich hat jeder schon einmal eine Excel Liste oder einen Brief mit einer weiteren Person bearbeitet und diese Datei per E-​​Mail hin und her versendet. Dabei kommt immer die Frage auf: „Was ist denn jetzt die aktuelle Version und wo liegt diese? “ Diese Überlegung gehört bei Nutzung einer Cloud der Vergan­genheit an, da die aktuelle Version immer in der Cloud verfügbar ist und nicht lokal auf mehreren Rechnern abgespei­chert wird.

Ein weiterer Vorteil liegt in der Sicherheit. Liegen Ihre Daten in der Cloud und Ihr Endgerät wird gestohlen, sind Ihre Daten nicht verloren. Auch spielt ein Defekt von Ihrem Endgerät keine große Rolle mehr, denn Ihre Daten liegen sicher in der Cloud. 

Achten Sie aber bitte, wie oben beschrieben, darauf, dass die Cloud auch angemessen und ausge­richtet auf Ihre Bedürf­nisse ist –denn z.B. ist ein privates google­Drive ist kein geeig­neter Ort für Firmen­daten. 

Denken Sie bitte daran, wenn es um das Thema Sicherheit geht, gibt es nichts geschenkt. Eine vernünftige Cloud kostet Geld, aller­dings gibt es da aktuell schon sehr gute und kosten­günstige Angebote. Bei Strato erhalten Sie z.B. 250 GB für 3 Euro/​Monat. Sollten Sie sich für eine externe Cloud­lösung entscheiden, vergessen Sie nicht mit dem entspre­chenden Anbieter einen entspre­chenden AV-​​Vertrag abzuschließen. 

Es gibt auch die Alter­native eine eigene Cloud zu instal­lieren – dies lässt sich z.B. über eine NAS reali­sieren. In diesem Fall besitzen Sie die Hardware und ermög­lichen über Einstel­lungen und entspre­chende Software den Zugriff über das Internet.   

Für uns ergibt sich folgendes Fazit:

  • Eine sorgfältig ausge­wählte Cloud ist sicher
  • Ob gehostet oder selbst verwaltet ist eine persön­liche Abwägung
  • Die Menge der Anhänge in E-​​Mails wird reduziert
  • Alle berech­tigten Personen arbeiten jederzeit mit den gleichen Daten
  • Der Zugriff ist flexibel
  • Bei Defekt oder Verlust Ihres Endge­rätes haben Sie die Daten jederzeit noch in der Cloud gespei­chert und können sofort darauf zugreifen 
  • Eine DSGVO-​​konforme Umsetzung ist wichtig

Wir hoffen, ein wenig Licht ins Cloud-​​Dunkel gebracht zu haben. Falls nicht, können Sie uns gerne Ihre Fragen stellen.

 

30.03.2022   Die Daten­schutz­er­klärung, das Mysterium

Heute möchten wir versuchen die Mythen rund um die Daten­schutz­er­klärung für Sie zu entzaubern.

Wenn es um Fragen zu Daten­schutz geht, gehört die Daten­schutz­er­klärung definitiv zu den Top Antworten – Aber warum ist das so?

Eine Daten­schutz­er­klärung wird auf jeder öffent­lichen Webseite benötigt, betrifft somit fast alle Firmen und auch Privat­per­sonen.

Es gibt unzählige Genera­toren, die versprechen innerhalb von Sekunden eine angepasste Erklärung zu generieren und das Thema ist in den Medien sehr im Umlauf. Wir sehen aber leider immer wieder Daten­schutz­er­klä­rungen, die nicht richtig sind und dies kann zu einem Problem werden, denn Daten­schutz– erklä­rungen können sehr leicht auf Schwach­stellen geprüft werden, um dann ggf. Ansprüche gegen den Betreiber zu richten.

 

Stellt sich die Frage: Wie macht man es richtig, was muss enthalten sein und was nicht?

Nun, die DSGVO fordert in Artikel 13 und 14, dass Personen, deren Daten verar­beitet werden, über die Verar­beitung angemessen infor­miert sein müssen. Genau für diese Infor­ma­tionen ist Ihre Daten­schutz­er­klärung auf der Webseite gedacht. Aus Gründen der Übersichtlich– und Lesbarkeit empfehlen wir andere Infor­ma­ti­ons­pflichten z.B. zu Online Meetings oder Bewer­bungs­ver­fahren getrennt zu beschreiben, dies müssen Sie aber nicht zwangs­läufig.

Die Daten­schutz­er­klärung hat also den Zweck dem Besucher über die Verar­beitung seiner Daten zu infor­mieren. 

Dies stellt scheinbar für einige Betreiber schon ein großes Problem dar, denn häufig sehen wir Webseiten mit zu viel oder auch zu wenigen Infor­ma­tionen. 

Ein Zuviel ist natürlich genauso falsch wie ein Zuwenig. Ein einfaches Beispiel: Haben Sie kein Google Maps auf Ihrer Webseite einge­bunden, brauchen Sie dies auch nicht zu beschreiben.

Häufig beschreiben Agenturen oder Genera­toren erst einmal „alles“, nach dem Motto: „das Richtige wird schon dabei sein“.

 

Wie kommen Sie also jetzt zu einer guten Daten­schutz­er­klärung? 

Bei diesem Punkt kann Ihnen im ersten Schritt nur eine Person helfen, nämlich SIE selbst. Sie haben Ihre Webseite erstellt oder eine Agentur beauf­tragt, dies nach Ihren Wünschen zu tun. Somit sollten Sie wissen, was Sie auf Ihrer Webseite tun und welche Funktionen und Plugins instal­liert sind. Haben Sie dies korrekt identi­fi­ziert, sind Sie einen großen Schritt weiter, denn damit können Sie über einen Fachanwalt, einen Generator oder mit Unter­stützung Ihres DSB eine geeignete Daten­schutz­er­klärung erstellen.

Diese gliedert sich dann, wie oben beschrieben, nach Art. 13,14 DSGVO auf.

Bitte beachten Sie an dieser Stelle das kein Generator, kein Anwalt und auch kein Daten­schutz­be­auf­tragter die recht­liche Verant­wortung übernimmt. Anwalt und DSB bieten Ihnen aber einen hohen Prozentsatz an Rechts­si­cherheit und sind daher sicher das Mittel der Wahl.

Wenn Sie die Daten­schutz­er­klärung selber oder mit einem Generator erstellen wollen, beachten Sie folgende Punkte welche sich an St. 13 und 14 DSGVO orien­tieren:

  • Beschreiben Sie allge­meine Angaben wie Ihre Kontakt­daten, die des DSB (falls vorhanden) und belehren Sie über die Bertrof­fe­nen­rechte
  • Beschreiben Sie für jede Funktion Ihrer Webseite Rechts­grundlage, Zweck, Lösch­frist, Empfänger, bei Übermittlung ausserhalb des EWR die Rechts­grundlage der Übermittlung, sowie Infos über Profiling.
  • Geben Sie einen Hinweis auf Cookies
  • Beschreiben Sie bei der Erhebung über Dritte die Kategorien und die Quellen

Weitere Infos finden Sie in der DSGVO bzw. auch direkt unter https://​dsgvo​-gesetz​.de/​a​r​t​-​14​-​d​sgvo/ und https://​dsgvo​-gesetz​.de/​a​r​t​-​13​-​d​sgvo/

 

Hier noch ein paar weitere Infos:

  • Eine Daten­schutz­er­klärung muss trans­parent beschreiben was Sie tun
  • Eine Daten­schutz­er­klärung muss verständlich sein
  • Eine Daten­schutz­er­klärung muss für Anfragen zum Daten­schutz Name, Adresse und die Mailadresse der verant­wort­lichen Person im Sinne der DSGVO enthalten und an keine allge­meine Adresse, wie z.B. info@…. gesendet werden
  • Eine Daten­schutz­er­klärung muss leicht zugänglich sein (nur mit 1 Klick erreichbar)
  • Eine Daten­schutz­er­klärung muss NICHT bestätigt werden, es reicht lediglich der Hinweis darauf. (auch bei Nutzung des Kontakt­for­mulars)
  • Bitte beachten Sie: Sich eine Daten­schutz­er­klärung bestä­tigen zu lassen, zählt in der Regel NICHT als wirksame Einwil­ligung

Also, unser TIPP:

Lesen Sie einmal selbst Ihre eigene Daten­schutz­er­klärung. Verstehen Sie den Inhalt und passt der Inhalt zu dem was auf der Seite passiert?

Wenn nicht, haben Sie nun einen guten Ansatz zur Umsetzung und bei Fragen unter­stützen wir gerne.

 

 

21.03.2022   „Ich bin kein Computer“

Captcha, das Tool was Ihre Websei­ten­be­sucher Autos und Busse zählen lässt oder verlangt unleser­liche Texte zu bestä­tigen.

Ein Captcha-​​Dienst wird auf Webseiten als Sicher­heits­me­cha­nismus einge­setzt, um festzu­stellen, ob ein Mensch oder ein Roboter (BOT) in den Vorgang einge­bunden ist. CAPTCHA ist eine Abkürzung für „Completely Automated Public Turing test to tell Computers and Humans Apart“. Dieses Tool wird in der Regel verwendet, um auf Kontakt­seiten zu verhindern, dass SPAM über Ihr Kontakt­for­mular gesendet wird.

Dieses Thema haben wir einmal genauer betrachtet und gehen hierbei wieder auf einen Dienst von Google ein, da dieser in der Anwendung weit verbreitet ist. Andere Tools sind entspre­chend analog zu bewerten und zeigen bestimmt Risiken nicht. Wenn Sie einen solchen Dienst auf Ihrer Webseite einsetzen, sollten Sie hierbei einige Dinge beachten, da Sie rechtlich für die Umsetzung dieses Tools verant­wortlich sind.

Das Kritische bei Google, Sie werden es sich sicher schon denken, ist auch hierbei der Transfer von perso­nen­be­zo­genen Daten (IP-​​Adresse, Ort, Zeitpunkt….) an Google, der nicht DSGVO konform verläuft. Sollte der Webseiten Besucher parallel über seinen Google Account einge­loggt sein, oder Sie parallel Google Analytics einsetzen, ist für Google ein umfang­reiches Tracking möglich.

Daher sollten Sie folgende Punkte in diesem Zusam­menhang beachten:

  • Prüfen Sie die Notwen­digkeit eines solchen Tools
  • Schaffen Sie Trans­parenz: Unter­richten Sie Ihre Nutzer über die Verwendung des Tools auf Ihrer Website
  • Holen Sie sich, mit Hilfe eines Cookie-​​Banners, die Zustimmung der Seiten­be­sucher zur Nutzung des Tools
  • Verfahren Sie nach dem Prinzip der Daten­mi­ni­mierung und erheben nur das Notwen­digste

Aus unsere Sicht gibt es aktuell keine Möglichkeit Recaptcha von Google DSGVO konform einzu­setzen.

Unsere Empfehlung geht zu einer Version, welche die Daten innerhalb des EWR bzw. lokal auf Ihrer Webseite verar­beitet. 

Wir haben Ihnen dazu zwei mögliche Alter­na­tiven verlinkt die DSGVO konform angewendet werden können. Aber denken Sie bitte daran: Auch diese müssen vor dem Einsatz von Ihnen bewertet werden.

https://​friend​ly​captcha​.com *

https://​www​.hcaptcha​.com *

Sollten Sie dazu Fragen haben, können Sie sich gerne an uns wenden.

 

* Werbung wegen Marken­nennung (unbezahlt)

 

 

14.03.2022    Immer wieder Google…

Google ist in aller Munde, Google ist überall zugegen.  Aber dies bedeutet nicht, dass Google immer das richtige Tool ist und Google überall verwendet werden sollte.

Sind Sie Betreiber einer Webseite, sollten Sie dringend prüfen ob Sie Google Tools einsetzen und wofür Sie diese einsetzen. Immer mehr Aufsichts­be­hörden und Gerichte haben hierzu eine klare Meinung und halten die Nutzung von Google Diensten ohne ausdrück­liche Einwil­ligung und ohne entspre­chenden Hinweis für nicht konform.

Was bedeutet das für die Praxis bzw. für Ihre Webseite?  Lassen Sie uns dies, in groben Zügen am Beispiel vom Google-​​Analytics betrachten.

Um zu erfassen wie viele Besucher eine Webseite hat und woher diese kommen, instal­liert man Google-​​Analytics auf der Webseite.

In diesem Moment passieren 2 Dinge: Google setzt einen Cookie in den Browser des Besuchers und erfasst die IP-​​Adresse.

Diese beiden Handlungen müssen über eine Rechts­grundlage „abgesi­chert“ werden, da beides nicht zum Betrieb der Webseite notwendig ist und es auch sonst keine haltbare Grundlage gibt. Bleibt Ihnen nur die Einwil­ligung des Users. Sie müssen also eine Einwil­ligung einholen für das Setzen der Cookies.

Zum einen zur Verwendung des Cookies, also der Speicherung von Daten auf Endge­räten (TTDSG Art. 23) und zum anderen ist eine IP-​​Adresse eine perso­nen­be­zogene Datei ist, welche an Google übermittelt wird und daher ist auch hier eine Einwil­ligung notwendig. Diese Einwil­li­gungen müssen den Anfor­de­rungen der DSGVO Art. 7 entsprechen. Zeitgleich müssen Sie über die Übermittlung der Daten infor­mieren. Diese findet nach Google Irland bzw. nach Google USA statt.

Wenn Sie diese „Hürden“ genommen haben, bleibt noch die Verpflichtung mit Google einen gültigen AV-​​Vertrag zu schließen (Bitte hierzu unseren Beitrag vom 21.02.2022 beachten). Beachten Sie hierbei, dass Sie sehr wahrscheinlich eine Übermittlung in die USA haben und hierzu der Vertrag entspre­chend geeignet sein muss.

Sie benötigen also bei dem Einsatz von Google Diensten in der Regel mindestens:

  • Wirksame Einwil­ligung nach DSGVO 7 und TTDSG 23
  • Infor­mation nach DSGVO 13/​14
  • AV-​​Vertrag nach DSGVO 28

Wenn Sie dies alles erledigt und entspre­chende Verträge geschlossen sowie Einwil­li­gungen und Hinweise erstellt haben, ist es mehr als wahrscheinlich das Ihre auswert­baren Zahlen ungenau werden.

Warum ist das so? Nun jeder, der Ihnen keine Einwil­ligung erteilt darf nicht erfasst werden. Nehmen wir einmal an, Sie haben 1000 Besucher auf Ihrer Webseite und nur 100 von diesen geben Ihnen die Einwil­ligung der Cookie­nutzung, dann haben Sie Zahlen ohne Aussa­ge­kraft.

Was können Sie tun und was sollten Sie tun?

  • Prüfen Sie, ob Sie Google Dienste einsetzen
  • Ermitteln Sie, was Sie mit der Verwendung dieses Dienstes wirklich bezwecken wollen
  • Überdenken Sie die Notwen­digkeit
  • Sorgen Sie für Rechts­si­cherheit soweit möglich
  • Schauen Sie sich nach Alter­na­tiven um welche eine der folgenden Anfor­de­rungen erfüllen
    • Verar­beitung nur in Europa
    • Besserer Ruf als Google
    • Verar­beitung auf Ihrer Webseite ohne die Übermittlung an Dritte

 

Sie sehen, oftmals lohnt es sich gewohnte Praxis zu überdenken und nach geeig­neten Alter­na­tiven zu schauen. In der Regel sorgt dies nicht nur für eine daten­schutz­kon­forme Umsetzung, sondern gleich­zeitig auch für eine leichtere Handhabung.

 

 

07.03.2022    Backup vs. Archi­vierung Teil 2

Aufgrund der großen Nachfrage zu unserem Thema letzte Woche beschreiben wir Ihnen an dieser Stelle eine, aus unserer Sicht, mögliche Umsetzung. Hierzu haben wir uns mit unserem Partner ServeCom zusam­men­getan und möchten Ihnen folgende Möglichkeit erläutern:

Als Speicher­basis könnte ein NAS, z.B. von Synology dienen. Im Vergleich zu früher, sind solche inzwi­schen zu einem guten Preis zu bekommen und verfügen über entspre­chende Funktionen. Ein NAS ist ein Network Attached Storage, also ein Speicherort innerhalb Ihres Netzwerks. Im o.g. NAS sind mindestens 2 Festplatten verbaut. Diese 2 Festplatten dienen als Speicherort Ihrer Daten und arbeiten im RAID1-​​Verbund, welcher der Spiegelung aller Inhalte dient und somit die Ausfall­si­cherheit erhöht. Sollte also eine der beiden Festplatten ausfallen, können Sie weiterhin auf Ihre Daten zugreifen und diese auch verar­beiten. Die defekte Festplatte sollte dann aber natürlich dennoch zeitnah ausge­tauscht werden. Wichtig ist, dass die Festplatten im RAID-​​Verbund immer den identi­schen Inhalt haben – Löschen Sie etwas, ist es auch auf beiden Platten gelöscht. Der RAID-​​Verbund dient jedoch nur der Ausfall­si­cherheit und ist nicht mit einer Daten­si­cherung zu verwechseln.

Die Daten­si­cherung ist aus mehreren Aspekten wichtig. Zum Einen um auf ältere Versionen Ihrer Daten Zugriff zu haben und um bei Befall von Schad­software oder Verschlüs­selung Ihrer Daten die zuletzt funktio­nalen Daten wieder­her­stellen zu können. Für die Daten­si­cherung empfehlen wir 2 externe Festplatten, denn so kann zusätzlich ein möglicher Schaden einer einzelnen externen Festplatte kompen­siert werden. Die beiden externen Festplatten stecken Sie im Wechsel Werktags an das NAS und nehmen die nicht genutzte externe Festplatte mit nach Hause oder lagern diese in einem separaten Brand­ab­schnitt um Elemen­tar­schäden teilweise zu verhindern. Diese Daten­si­cherung führen Sie inkre­mentell aus, das bedeutet das nur Änderungen übernommen werden.

Hierbei arbeiten Sie mit einer Archiv­dauer von beispiels­weise 10 Jahren. Diese können Sie auf dem NAS entspre­chend konfi­gu­rieren. Hier dreht sich das Backup also alle 10 Jahre und nicht wie in unserem Beispiel von letzter Woche alle 8 Wochen.

Damit sind Sie schon mal auf einem guten Kurs. Sie haben eine Sicherheit im täglichen Betrieb dadurch, dass sich 2 Platten spiegeln und eine hohe Sicherheit im Backup, da Sie 2 separate Speicher­ziele nutzen.

Um darüber hinaus noch eine weitere Sicherheit einzu­setzen, bietet Synology eine Backup Cloud in Deutschland an. Diese kann gegen eine geringe Jahres­gebühr gebucht werden und ebenso in das tägliche Backup einfließen.

 

 

28.02.2022    Backup vs. Archi­vierung.

Diese 2 Begriffe werden oft vermischt und leider auch häufig falsch inter­pre­tiert. 

Aus der Sicht eines Mitar­beiters ist ein Backup eine Daten­si­cherung, also eine Sicherung aller Daten. Wer hat nicht schon einmal aus Versehen eine Datei gelöscht und panisch in der IT –Abteilung angerufen?  Der hoch gefeierte Mitar­beiter konnte dann innerhalb weniger Minuten diese verloren geglaubte Infor­mation wieder „herbei­zaubern“.  

In der Regel zielen aber Backup-​​Systeme darauf aus, die Daten und Programme im Falle eines Defektes wieder schnell ins Laufen zu bekommen. Da es im Falle eines Defekts darauf ankommt, schnell die aktuellsten Daten wieder verwenden zu können, speichert man in einem Backup in der Regel keine Daten, die älter als 8 Wochen sind. 

Stellen Sie sich einmal vor, Sie müssten die letzen 8 Wochen in Ihrem System nachar­beiten. Um Ihnen dies einfach zu erklären, stellen wir uns ein Beispiel anhand eines Ordners vor: 

Ihre IT-​​Abteilung hat 8 Ordner (= 8 Wochen). Für jede Woche wird der Inhalt des Servers in einen Ordner gelegt– Ordner 1 bis 8. 

In Woche 9 beginnt man von vorne, nimmt Ordner 1, löscht den Inhalt und legt dort den Inhalt aus Woche 9 rein. In Woche 10 wird Ordner 2 neu bestückt, in Woche 11 Ordner 3 usw…

Das ist ein super System und funktio­niert gut wenn Sie heute eine Datei löschen und Ihre IT-​​Abteilung diese wieder aus dem Ordner heraus­holen kann.

Aber was passiert wenn Sie in Woche 2 eine Datei löschen und es erst in der Woche 11 bemerken? Richtig, Sie ist nicht mehr vorhanden. Diese Datei ist nicht mehr Teil der Ordner, da Sie in unserem Beispiel regel­mäßig den Inhalt austau­schen.

Aus diesem Grund ist ein solches Backup­konzept nicht geeignet die Verfüg­barkeit von Daten sicher­zu­stellen und es ist auch nicht geeignet, die Anfor­de­rungen aus der GoBD (Grund­sätze zur ordnungs­mä­ßigen Führung und Aufbe­wahrung von Büchern, Aufzeich­nungen und Unter­lagen in elektro­ni­scher Form sowie zum Daten­zu­griff) zu erfüllen. Als Faust­regel gilt: Firmen­re­le­vante Infor­ma­tionen  müssen für einen Zeitraum von 7 – 10 Jahren vor Verlust geschützt sein.

Genau dies verlangt in der Regel ein anderes Konzept als oben beschrieben.  Sie müssen daher archi­vieren. Wie Sie das tun, ist Ihnen überlassen. Es gibt entspre­chende Software Dokumenten Management Systeme, welche mit allen Daten gefüllt werden, es gibt Backup­kon­zepte, welche die Archi­vierung entspre­chend sicher­stellen (in der Regel Bandsi­che­rungen mit Wochen-​​, Monats– und Jahres­bändern) und es gibt die Möglichkeit Daten, also Infor­ma­tionen auf Datei­ebene, wie PDF, WORD, EXCEL, parallel zum oben beschrie­benen Backup­konzept in eine NAS zu kopieren, die Ihnen die Möglichkeit einer Archi­vierung bietet.

Für was auch immer Sie sich entscheiden, bitte beachten Sie folgende Tipps:

  • Prüfen Sie Ihr aktuelles Backup­konzept
  • Definieren Sie welche Daten aufbe­wahrt werden müssen und sollen
  • Arbeiten Sie eine Archiv­lösung aus
  • Da die Verar­beitung digitaler und Papier weniger wird, setzen Sie sich bitte mit dem Thema ausein­ander.

Für weitere Tipps zur Umsetzung empfehlen wir Ihnen gerne unserem Partner ServeCom

 

 

21.02.2022    Wann hatten Sie das letzte Mal Kontakt zu Ihrem Auftrags­ver­ar­beiter?

Zu Start der DSGVO war der AV-​​Vertrag in aller Munde und es wurden Verträge „munter drauf los“ abgeschlossen. Leider bemerken wir immer wieder, dass diese Verträge in Ordnern und Schub­laden verschwunden sind und keine Beachtung mehr finden. Wir empfehlen jedem Unter­nehmen diese Verträge regel­mäßig zu prüfen. Denn schließt man als verant­wort­liche Person einen AV Vertrag mit einem Auftrags­ver­ar­beiter, so ist man auch verant­wortlich regel­mäßig zu prüfen ob die vertraglich zugesi­cherten Parameter auch korrekt umgesetzt werden. Dies wird in der DSGVO in Artikel 28 Abs 1 geregelt. Die DSGVO und die Aufsichts­be­hörden definieren an dieser Stelle aller­dings keinen Zeitraum. Als Faust­regel kann man aber festhalten, je kriti­scher die Verar­beitung ist, desto öfter muss diese kontrol­liert werden. Längere Abstände von mehr als 2 Jahren sollten gut begründet sein.

Wir erachten einen Intervall von 1,5 – 2 Jahren als sinnvoll. Bei einem Blick in den AV-​​Vertrag wird Ihnen auffallen, dass diese regel­mä­ßigen Kontrollen meist sogar vertraglich geregelt sind und Sie das Recht haben, sich Vor Ort bei Ihrem Auftrags­ver­ar­beiter davon zu überzeugen, dass die technisch und organi­sa­to­ri­schen Maßnahmen einge­halten werden. Alter­nativ kann dies aber auch durch einen Prüfbe­richt oder einer Check­liste erfolgen. An dieser Stelle möchten wir anmerken, dass eine Muster Check­liste welche aus dem Internet geladen und 1:1 an Ihren Auftrags­ver­ar­beiter gesendet wird, nie zu 100% passen kann. 

Auch ist eine Check­liste nur bedingt als Nachweis zu sehen, denn es geht darum nachzu­weisen, dass die beschrie­benen Maßnahmen vollum­fänglich umgesetzt wurden. Wir haben uns aktuell mit diesem Thema ausein­ander gesetzt und für unsere Kunden entspre­chende Dokumente erstellt. Vor Ort Termine sind in der aktuellen Pandemie meist nicht durch­führbar und häufig sind diese ohnehin nur sehr schwer mit einigen Auftrags­ver­ar­beitern zu verein­baren. Daher haben wir Dokumente erstellt, die einen Kompromiss zwischen Anfragen und Nachweisen darstellen und somit einen geeig­neten Überblick über die verschie­denen Parameter geben.

Hierzu bekommen unsere Kunden Anfang März eine E-​​Mail. Empfänger des Newsletters, welche ebenfalls Unter­stützung bei diesem Thema benötigen, bieten wir gerne unsere Hilfe an.

 

 

14.02.2022    Das Nutzen von IT-​​Geräten ohne „Wissen und Kontrolle“ der IT-​​Abteilung.

Da inzwi­schen fast alle Geräte einen LAN oder WLAN Zugriff benötigen, ist es wichtig, dass ein Unter­nehmen jederzeit darüber Bescheid weiß welche Geräte „am Netz“ hängen um entspre­chende Regelungen treffen zu können.

Ein bedeu­tender Faktor sind hier die privaten Endgeräte der Mitar­beiter. Ich erlebe es leider immer wieder in Unter­nehmen, dass diese Geräte über das firmen­eigene WLAN einge­loggt sind. Dies sollte unbedingt vermieden werden.

Denn es ist wenig hilfreich mithilfe einer Firewall und „Rechte und Rollen Konzepten“ ein Sicher­heits­system zu errichten, wenn dann das Handy von Herrn YX mit all seinen privaten Apps munter Zugriff auf Ihr Firmen­netzwerk hat.

Ein zweiter Klassiker ist das Laden der Endgeräte am Firmen PC. Eine USB-​​Verbindung ist immer eine Daten­ver­bindung mit entspre­chenden Risiken. Zählen Sie schon zu den vorge­schrit­tenen Unter­nehmen und haben die Nutzung von USB-​​Sticks untersagt?  Wo laden Ihre Mitar­beiter die Handys?

Ebenso ist es unbedingt notwendig jede neu gekaufte IT umgehend der IT-​​Abteilung mitzu­teilen und diese auch über jegliche PCs, Tablets oder weitere Geräte zu infor­mieren, welche ggf. zur Reparatur sind usw.
Oftmals laufen diese Prozesse direkt über die IT-​​Abteilung, so dass eine Kennt­nis­nahme gewähr­leistet ist. Aber ich sehe auch immer wieder Abtei­lungen, die eigen­ständig solche Aktionen durch­führen – dies ist unbedingt zu vermeiden.

Unsere Empfeh­lungen an dieser Stelle:

  • Treffen Sie Regelungen zur Nutzung der USB Schnitt­stelle an Firmen PCs
  • Führen Sie einen Prozess ein, der sicher­stellt, dass die IT-​​Abteilungen über alle Neuan­schaf­fungen umgehend infor­miert wird 
  • Schauen Sie einmal auf dem Router welche WLAN Geräte regis­triert sind und löschen Sie unbekannte Systeme
  • Schränken Sie das WLAN so ein, dass sich niemand ohne Kennt­nis­nahme der IT-​​Abteilung regis­trieren kann
  • Möchten Sie das Ihre Mitar­beiter in Ihrem Unter­nehmen WLAN an den privaten Geräten nutzen können? Dann erstellen Sie ein getrenntes Netzwerk z.B. in Form eines Gastzu­gangs.  
  • Erstellen Sie eine Übersicht aller IT-​​Geräte und halten Sie diese aktuell
  • Schaffen Sie Regelungen zur Nutzung Ihrer Netzwerk­dosen. Dort sollten nur freige­gebene IT-​​Geräte einge­steckt werden.

07.02.2022    Ausscheiden von Mitar­beitern – was tun mit privaten Daten?

Es ist schon erstaunlich was für eine Menge von privaten Daten und Infor­ma­tionen sich im Laufe der Jahre so ansammeln. Selbst am Arbeits­platz werden Sie sicher hier und das etwas privates von Ihren Mitar­beitern finden. Ein Bild auf dem Schreib­tisch, ein persön­licher Kalender an der Wand, der Bildschirm­hin­ter­grund vom letzten Urlaub oder vielleicht ein privater Brief, der mit dem Firmen PC erstellt wurde. Das ist sicherlich für Ihr Unter­nehmen auch alles kein Problem, bis der Tag kommt an dem sich die beruf­lichen Wege trennen.

Ihr Mitar­beiter wird sicher die Bilder, alle weiteren persön­liche Dinge und den Kalender an der Wand spätestens an seinem letzten Arbeitstag mitnehmen. Vergessen wird hier aber leider zu oft auch private digital gespei­cherte Daten zu entsorgen. Um spätere Strei­tig­keiten über die Herausgabe von diesen Daten zu vermeiden, sollten Sie Ihrem Mitar­beiter die Möglichkeit geben, diese zu sichern bzw. zu löschen und sich diese Durch­führung schriftlich bestä­tigen lassen. 

Hierzu haben wir unseren Kunden eine entspre­chende Vorlage als Check­liste in unserem Kunden Download Bereich zur Verfügung gestellt. Möchten auch Sie an alles gedacht haben? Wir helfen gerne bei der Erstellung und Umsetzung dieses Prozesses.

Ein kleiner Tipp dazu: Gerade bei einer gericht­lichen Ausein­an­der­setzung ist die Auslegung der Datenschutz-​​Grundverordnung ein gern gewählter Hebel um die Abfindung in die Höhe zu treiben. Sie sollten insofern kein unnötiges Risiko eingehen.

 

 

31.01.2022    Frühjahrsputz im Unter­nehmen

Nachdem der Jahres­wechsel stattfand und bei vielen Unter­nehmen auch ein neues Wirtschaftsjahr begonnen hat, begeben sich die meisten Unter­nehmen in die Katakomben.

Das Archiv öffnet die Türen und es geht darum Platz für Neues zu schaffen. 

Dabei dürfen Sie nicht vergessen: Nicht nur das Archiv in Form von Ordnern muss überprüft und entspre­chend entsorgt werden, sondern auch die Daten im Büro bzw. auf dem PC. 

In der Regel orien­tiert man sich bei der Archi­vierung an der 10 Jahres Vorgabe der GoBD. Bitte beachten Sie dabei die 10+1 Regel – Sie sollten also das 10. Jahr noch aufheben und daher aktuell das Jahr 2011 entsorgen.

Im Arbeits­alltag haben Sie aber durchaus mit kürzeren Fristen zu tun. Es müssen z.B. alle Daten abgesagter Bewerber nach 3 – 6 Monaten vernichtet werden. 

Hierzu sollte jedes Unter­nehmen seine Dokumente in Lösch­klassen einge­teilt haben. Wenn Sie bei uns Kunde in einer fortlau­fenden Betreuung sind, liegt Ihnen ein entspre­chendes Lösch­konzept vor. Allen anderen helfen wir gerne. 

Bitte beachten Sie, dass das ausge­wählte Entsor­gungs­un­ter­nehmen nach DIN66399 zugelassen sein muss und Ihnen einen entspre­chenden Nachweis vorlegt. Ebenfalls muss für das Vernichten ein AV-​​Vertrag geschlossen werden, denn eine Vernichtung ist eine Verar­beitung. 

 

 

24.01.2022    Weichen­stellung

Die Weichen stehen auf Zukunft. Wir haben das zweite Halbjahr 2021 genutzt um die Vorraus­set­zungen für Wachstum und Zukunft zu schaffen. So sind wir inzwi­schen nicht mehr in einem Büroraum im „HomeOffice“ anzutreffen, sondern haben uns in der Nähe Büroräume angemietet, welche entspre­chend ergono­misch und auf einem einem hohen techni­schen Niveau einge­richtet wurden. Unter anderem verfügen wir inzwi­schen über einen Hybrid-​​Meetingraum, in dem wir Partner empfangen können, aber auch Video­kon­fe­renzen mit mehreren Personen abhalten können.  Leider mussten wir pande­mie­be­dingt auf eine Einwei­hungs­feier verzichten. Jeder Partner oder Inter­essent ist aber herzlich einge­laden uns zu besuchen.

 

Unsere Büroadresse findet Sie auf unserer Webseite. Noch ein Hinweis: Da es sich hier nur um eine Besucher­adresse handelt, bleiben unsere Postan­schrift und Telefon­nummern weiterhin bestehen.

 

 

 

 

Die neuen Räumlich­keiten, sowie die wachsenden Aufgaben haben es uns auch möglich gemacht den Bereich der Kunden­be­treuung und des Marke­tings zu verstärken. So haben wir seit dem 01.12.2021 mit Frau Kerstin Martin eine feste Mitar­bei­terin auf dieser Position. Frau Martin erreichen Sie unter km@​qs-​kornmann.​de sowie unter unserer bekannten Rufnummer.

 

 

21.01.2022   Cookies

Das Thema Cookie hat uns seit dem letzen Newsletter und auch über Weihnachten noch weiterhin beschäftigt. Hier möchten wir Ihnen aktuelle Erkennt­nisse und Auffas­sungen mitteilen. Sollten Sie Fragen haben, sprechen Sie uns oder unsere  Partne­ra­gentur Taquiri gerne an.

  • Bitte prüfen Sie Ihre Webseite und binden Sie, falls notwendig, einen Banner ein.
  • Das Consent-​​Tool „Cookiebot“ steht aktuell im Fokus, da dieser nicht ausschließen kann, dass Daten in die USA trans­fe­riert werden.
  • Wir selbst hatten Cookiebot im Einsatz und sind mittler­weile auf Borlabs umgestiegen.
  • Cookiebot ist aktuell nicht rechts­widrig, es zeigt sich aber dass es sinnvoll sein könnte in ein Tool ein– oder umzusteigen, welches keine Daten ausserhalb Ihrer Webseite sammelt.
  • Einwil­li­gungen müssen aktiv gesetzt werden (Voraus­wahlen sind nicht zulässig)
  • Cookie­banner müssen einen „Annehmen“- und einen „Ableh­nen­button“ haben und vergleichbar aussehen. D.h. der „Anneh­men­button“ darf NICHT hervor­ge­hoben werden (z.B. durch Größe oder Farbe)
  • Ihre Daten­schutz­er­klärung muss direkt erreichbar sein und nicht erst nach Einwil­ligung oder Ablehnung der Cookies. Achten Sie dabei auch auf die Ansicht am Smartphone/​Tablet, dort kommt es häufig zu Anord­nungs– und Ansicht­pro­blemen.
  • Sie sollten in den Header oder den Footer einen LINK setzen in dem man die Einstel­lungen ändern kann. Unten sehen Sie ein mögliches Beispiel für einen Cookie­banner. Diesen verwenden wir auf unserer Download­plattform, hierbei sehen Sie auch die Software Borlabs im Einsatz

Da davon auszu­gehen ist, dass das Thema Cookie­nutzung sehr einfach abmahnbar ist, sollten Sie sich dieser Punkte annehmen und uns oder unsere Partne­ra­gentur Taquiri gerne bei Fragen ansprechen.

Anbei ein positives Beispiel für einen möglichen Cookie­banner:

290 pixel image width

 

04.01.2022   Willkommen auf unserem BLOG

Hier erhalten Sie in Zukunft Infor­ma­tionen zu den Themen IT, Daten­schutz und Infor­ma­ti­ons­si­cherheit und Quali­täts­ma­nagement.

In diesem ersten BLOG nutze ich die Gelegenheit um mich Ihnen kurz vorzu­stellen, damit Sie wissen wer hier schreibt.

Mein Name ist Michael Kornmann und ich bin als Auditor und Daten­schutz­be­auf­tragter im Einsatz und verfolge dabei einen sehr prakti­schen Ansatz. Mein Motto: Nur was absolut praxis­tauglich ist, wird auch umgesetzt.

Bereits seit 2001 bin ich im Bereich ISO tätig und 2017 habe ich mich dazu entschlossen, meine Erfah­rungen weiter­zu­geben um anderen Unter­nehmen zu helfen und habe mich selbst­ständig gemacht. Direkt nach dem Start der Selbstän­digkeit habe ich das Thema Daten­schutz in meine Beratung aufge­nommen und seit Anfang 2018 bin ich DEKRA zerti­fi­zierter Daten­schutz­be­auf­tragter. 2020 folgte die Weiter­bildung im Bereich ISO-​​27001 bis zum Lead-​​Auditor.

Meine, zugegeben, kostspielige Abneigung zu alter Technik und mein Anspruch jede Technik­ge­staltung immer ein Stück besser zu machen, lässt mich so einige Nacht am PC sitzen. Aber was gibt es Besseres als mit der richtigen Hard-​​und Software ein perfektes Arbeits­umfeld zu haben?

So werde ich zwischen­durch auch immer mal wieder aktuelle technische Themen ansprechen und meine Lösung beschreiben.

Bei Fragen oder Kritik freue ich mich über einen Austausch per E-​​Mail oder Threema. Meine Kontakt­daten finden Sie im Impressum.

Nun bleibt mir nur, Ihnen viel Spass beim Lesen zu wünschen und Ihnen unseren Newsletter ans Herz zu legen. Dort erhalten Sie regel­mäßig alles Wissens­werte rund um unsere Themen­schwer­punkte. Diesen können Sie bequem in der Menüleiste unserer Webseite aktivieren.

Gruß

Michael Kornmann 

Copyright © 2022 QS-​​Kornmann