16.05.2022 Sind Sie auch schon DSGVO-konform?
Das Internet ist voll mit solchen Werbeaussagen und entsprechenden Siegeln – Doch was bedeuten diese?
Viele Unternehmen zeigen gerne, auch mit Recht, was sie im können bzw. welche Vorgaben und Strukturen sie im Unternehmen leben. In der Welt der ISO-Normen spricht man dabei von einer Zertifizierung nach ISO Norm 9001, 13485 oder 27001, je nachdem in was das Unternehmen zertifiziert ist.
Möchte man sein Unternehmen zertifizieren lassen, stellt man einen Antrag auf Zertifizierung, führt ein entsprechendes System ein, daraufhin kommt ein unabhängiger Zertifizierer und führt ein Audit durch. Ist dieses Audit zufriedenstellend durchgeführt worden, erhalten Sie Ihr Zertifikat. Dieses Zertifikat wird dann jährlich durch Überwachungsaudits bestätigt und in regelmäßigen Abständen auch vollständig neu auditiert.
Die ISO-9001 verlangt z.B. alle 3 Jahre ein solches Rezertifizierungsaudit und dazwischen jeweils ein Überwachungsaudit. Diese Zertifizierung bzw. diese Audits gehen auf nationale oder internationale Standards zurück und machen Unternehmen vergleichbar. Das bedeutet z.B. das jedes Unternehmen, welches über eine ISO-9001 Zertifizierung verfügt, einen gewissen Mindeststandard an Prozessen und Dokumenten vorweisen kann.
Als guter Indikator dient das Zertifikat als Erkennungsmerkmal dafür, dass ein Unternehmen strukturiert arbeitet und sich fortlaufend verbessert und entwickelt. Dies gibt Geschäftspartnern und anderen Unternehmen eine gewisse Sicherheit über die Unternehmensstruktur.
Doch wie sieht es aus wenn man zeigen will, dass sich seine Webseite oder das eigene Unternehmen nach der DSGVO richtet? Im Internet finden Sie heutzutage unzählige Anbieter und verschiedene Siegel, welche man als Unternehmen erwerben kann. Jedoch ist die Aussagekraft begrenzt und die Vergleichbarkeit erst recht.
Warum ist das so?
Nun, das ist ganz einfach. Es gibt in diesem Bereich, anders als in den o.g. Normen, keine Standards und keine unabhängige Stelle, welche ein solches Audit durchführt.
Wenn Sie ein Siegel sehen, das eine DSGVO-Konformität bestätigt, dann hat in diesem Fall immer ein privates Unternehmen nach eigenen Vorgaben ein anderes privates Unternehmen geprüft. Eine nachweisliche Unabhängigkeit bzw. eine vergleichbare Aussage über den Umfang der Prüfung ist nicht gegeben.
Dies ist auch der Grund warum wir unseren Kunden ein solches Siegel nicht anbieten. Denn nach unserer Auffassung handelt es sich dabei lediglich um ein Werbesiegel mit wenig Nutzen im Kontext von Unternehmen und keinerlei Aufzeigen von Kompetenzen des Unternehmens.
Doch es gibt sinnvolle Alternativen, diese sind zwar aufwendig, bringen Ihnen aber einen Mehrwert in der Entwicklung und der Vergleichbarkeit von Unternehmen.
Allerdings beziehen sich diese erst einmal nicht vordergründig auf die DSGVO, sondern auf das Thema Informationssicherheit. Hier gibt es 2 „BIG-Player“. Zum Einen der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) und die Norm ISO-27001 (in der Automobile Branche haben wir noch TISAX). Dazu kommen noch weitere private Zertifizierer wie z.B. CISIS12.
Von diesen 3 genannten ist aber nur die ISO-27001 international vergleichbar und anerkannt. Den BSI Grundschutz können Sie auch auf Basis der ISO-27001 erwerben, dies kommt dann einer ISO-27001 Zertifizierung gleich. Wollen Sie jetzt noch Ihre Fähigkeiten in der DSGVO nachweisen, können Sie zusätzlich zu ISO-27001 eine Zertifizierung nach ISO-27701 durchführen lassen.
Dies ist aktuell die einzige Möglichkeit ein unabhängiges und vergleichbares Zertifikat als Nachweis zur Erfüllung der Anforderungen der DSGVO zu erhalten.
Viele Zahlen, viel Text – Wir fassen zusammen:
- Es gibt im Moment nur eine Möglichkeit unabhängig und vergleichbar den Datenschutz im Unternehmen zertifizieren zu lassen: ISO27701 in Kombi mit BSI Grundschutz oder ISO-27001
- Alle anderen Zertifikate sind von privaten Unternehmen und sind in Umfang und Vergleichbarkeit eingeschränkt.
- CISIS12 ist ein privater Anbieter, mit einer guten Struktur. Eine unabhängige Zertifizierung über die DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) ist möglich.
- Lesen Sie gerne mal kritisch das Kleingeschriebene bei Anbietern von privaten Siegeln.
Das Thema Datenschutz und Informationssicherheit spielt immer häufiger eine große Rolle.
Um zu zeigen, dass Sie gut aufgestellt sind und das Thema angemessen bearbeiten, bietet die ISO-27701 ein aufwendiges aber sehr gutes Tool.
Selbst wenn Sie aktuell keine Zertifizierung anstreben, lohnt sich ein Blick in diese Richtung. Denn auch ohne Zertifizierung kann Ihr Unternehmen sehr von den möglichen Strukturen profitieren.
Wir sind als Berater im Bereich IT-Grundschutz, sowie als ISO-27000 Office und Lead Auditor bestens geschult um Ihnen von der ersten Frage bis zum Zertifikat kompetent Auskunft zu geben zu können.
13.05.2022 Doppelt hält besser – der 2. Faktor beim Passwort
Um das Thema Passwörter gibt es immer wieder Beiträge im Netz, am 01. Februar eines jeden Jahres ist sogar der offizielle „ändere dein Passwort Tag“.
Wir werden Ihnen heute ebenfalls ein paar Tipps an die Hand geben und Ihnen Wege zeigen, wie wir die Problematik in unserem Unternehmen umsetzen und wie Sie das Thema einfach und sicher dauerhaft lösen können.
Vor einigen Jahren war es in Unternehmen üblich, dass man sein Passwort alle 6 – 12 Wochen ändern sollte. Das hatte zur Folge, dass sich keiner mehr das Passwort merken konnte oder wollte und daher das Passwort irgendwo notiert wurde. Alternativ waren die Änderungen am Passwort so marginal, dass die Änderung relativ sinnlos war.
In meinem Passwort war grundsätzlich die Jahreszahl enthalten und eine weitere Zahl, welche ich immer eines höher gesetzt habe – aus heutiger Sicht ein Witz, damals hielt man es für extrem sicher. Das Passwort sollte so häufig geändert werden, weil man davon ausgegangen ist, dass man ein Passwort relativ leicht knacken kann und man durch die Änderung dem Dieb die Tour wieder vermasseln wollte.
Wir erachten dieses Konzept bereits seit Jahren für nicht sinnvoll und beraten und schulen immer, sich lieber ein sicheres und komplexes Passwort auszudenken. Dadurch sinkt die Wahrscheinlichkeit dass es geknackt wird und folglich muss man das Passwort nicht regelmäßig ändern.
Aktuell halten wir alle Passwörter ab 12 Stellen für angemessen. Diese sollten einen Mix aus Groß– und Kleinbuchstaben, Zahlen und Sonderzeichen erhalten. Zusätzlich sollten keine ganzen Wörter vorhanden sein, welche sich im Duden wiederfinden. Passwort123! ist also keine tolle Lösung – das wissen zwar die Meisten, dennoch zählt es immer noch zu einem der häufig verwendeten Passwörter. Vielmehr raten wir zu einer Methode, welche auf einem Satz basiert und von dessen Wörtern die jeweiligen Anfangsbuchstaben genutzt werden.
Hier ein Beispiel: Urlaub mit Tante Renate auf Rügen war 1965!
Daraus entsteht das Passwort: UmtRaRw1965!
Solche Sätze lassen sich leicht merken und sich das Passwort daher leicht ableiten.
Eine mögliche zusätzliche Variante empfehlen wir ebenfalls sehr gerne: Setzen Sie vor das Passwort noch ein # und davor den ersten Buchstaben des benutzen Dienstes. Beispiel für einen möglichen Account bei Amazon wäre dann: a#UmtRaw1965! Somit nutzen Sie überall ein unterschiedliches Passwort, aber dennoch ist es einfach zu merken.
Passwort-Manager
Wem dies zu kompliziert ist und wer seine Sicherheit an dieser Stelle weiter erhöhen möchte, ist bei einem Passwort-Manager gut aufgehoben. Hier erzeugt der Passwort-Manager ein Passwort für Sie und verwaltet es auch gleichzeitig. Sie geben beim Starten der Software lediglich 1x ein Hauptpasswort ein und haben dann Zugriff auf Ihre Zugänge. Wir nutzen einen solchen Manager seit 2 Jahren und bei aktuell über 230 Logins wäre es sonst nicht möglich überall ein sicheres und einzigartiges Passwort einzusetzen.
Hier können Sie im Internet gerne nach entsprechender Software Ausschau halten, auch hier gilt wieder: lieber ein paar Euro im Monat in eine sinnvolle und sichere Software investieren, statt sich mit Freeware einzuschränken. Gerade in Unternehmen sollte eine solche Einführung überlegt umgesetzt werden. Sollten Sie sich für einen Passwortmanager entscheiden wollen, berücksichtigen Sie bitte die Größe Ihres Unternehmens und den Einsatzzweck.
2-Faktor-Authentifizierung
Parallel zu einem sicheren Passwort, setzt sich in der IT-Welt immer mehr die 2-Faktor-Authentifizierung durch. Microsoft plant im Moment ab Oktober 2022 den Login nur noch mit einem zweiten Faktor möglich zu machen.
Viele von Ihnen nutzen diese Möglichkeit ohnehin seit Jahren, ohne sich darüber bewusst zu sein. Bei Banken und online-Banking ist diese Umsetzung schon lange Standard. Früher gab es dort TAN-Listen. Heute nutzen Banken TAN-Generatoren, SMS, Apps oder Ähnliches, um z.B. Überweisungen zu legitimieren. Banken verlassen sich also nicht nur auf Ihre PIN beim Einloggen, sondern fordern eine weitere Bestätigung um sicherzustellen, dass es sich auch wirklich um den legitimierten Kunden handelt.
Genau dies nennt man eine 2-Faktor-Authentifizierung. Denn es gibt ein weiteres „zweites“ Merkmal, außer Ihrem Passwort, welches nur Ihnen zur Verfügung steht. Somit kann, falls das Passwort gehackt werden sollte, keiner auf Ihrem Account zugreifen, da dem Hacker das zweite Merkmal nicht zur Verfügung steht. Dieses Merkmal kann eine SMS, eine App, ein Generator oder ähnliches abbilden.
Diese Methode kann im Alltag und bei häufiger Nutzung recht zeitintensiv sein, von daher empfehlen und nutzen wir selbst eine andere Methode – den sogenannten Hardware-Authentication-Key (YubiKey), welcher an den PC mittel USB oder NFC gekoppelt wird. YubiKeys werden entweder verwendet, um die Software zu entsperren, welche die Sicherheitscodes generiert oder die Anmeldung direkt durchzuführen. Bedeutet im Umkehrschluss: kein Schlüssel = kein Zugriff.
Da inzwischen fast alle unsere Partner und Dienste die Option der 2-Faktor-Authentifizierung anbieten, haben wir uns intern vollständig auf 2-Faktor-Authentifizierung eingestellt und bieten all unseren Kunden, welche Zugriff auf unsere Systeme wie z.B. preeco oder unsere QS365-Cloud haben, ebenfalls gerne die Möglichkeit die 2-Faktor-Authentifizierung zu nutzen. Sprechen Sie uns diesbezüglich gerne an.
Haben Sie Interesse an der Nutzung dieser Methode? Dann wenden Sie sich in diesem Falle gerne an unseren Partner servecom.de
02.05.2022 iCloud und die DSGVO
Apple, iCloud, Datenschutz, DSGVO…. Passt das zusammen?
Eines vorab: Wir sehen den Einsatz von Apple als Alternative zu Android Geräte im Unternehmen durchweg positiv und setzen auch in unserem Unternehmen Apple Produkte ein.
Bei der Nutzung sind aber, wie bei allen anderen Systemen auch, gewisse Fallstricke zu beachten. Wir möchten in diesem BLOG Beitrag näher auf das Thema iCloud eingehen und Ihnen dazu ein paar Anregungen geben. Ein weiterer Blogbeitrag zur Umsetzung und Nutzung von mobilen Endgeräten wird sicherlich in nächster Zeit folgen.
Aber nun zurück zur iCloud. Los geht’s mit dem Erstellen einer Apple-ID. Wenn Sie eine Apple-ID über die Webseite erstellen möchten, müssen Sie die Nutzungs-bedingungen von Apple bestätigen. In diesen Nutzungsbedingungen steht unter Punkt IV Nutzung des Dienstes durch dich in Abschnitt A Dein Account folgender Satz: ….stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist….
Mit diesem Satz wird klar, dass Sie gegen die Nutzungsbedingungen von Apple verstoßen, wenn Sie iCloud für Ihr Unternehmen verwenden. Dazu kommt die Tatsache, dass Apple in diesem Fall zu einem Auftragsverarbeiter nach der DSGVO werden würde. Sie haben aber an dieser Stelle keine Möglichkeit einen entsprechenden Vertrag abzuschließen und würden somit eine unzulässige Verarbeitung gemäß der DSGVO beginnen.
Um das Thema auf einen Punkt zu bringen: Erstellen Sie einen Account über die Apple Webseite, haben Sie formal nur einen Account für eine private Nutzung angelegt.
In diesem Fall sollten Sie dringend die iCloud Dienste deaktivieren um zu verhindern, dass möglicherweise personenbezogene Daten an Apple übermittelt werden. Dies bezieht sich an dieser Stelle auf mögliche Daten Ihrer Kontakte und Kunden – denn Ihre eigenen persönlichen Daten sind ja bereits durch die Erstellung der Apple-ID bei Apple hinterlegt.
Je nach Größe Ihres Unternehmens war vielleicht der Apple-Business-Manager eine Option für Sie. Damit „erschlagen“ Sie zumindest das Thema Mobile-Device-Management (wird ebenfalls in einem kommenden BLOG erklärt).
Die Registrierung beim Apple-Business-Manager ist etwas aufwendiger, aber leider bewegt man sich auch dort in der Datenschutzwelt nicht wirklich DSGVO-konform.
Zwar sind in diesen Nutzungsbedingungen spezielle Passagen zum Thema Auftragsverarbeitung eingebunden, diese bieten jedoch keine volle Sicherheit. Apple räumt sich z.B in diesen Nutzungsbedingungen ein Nutzungsrecht der Daten ein.
Somit vermutet man auf den ersten Blick hinsichtlich der Nutzung des Apple-Business-Managers eine gute Lösung, bei einer tieferen Betrachtung fällt allerdings auch dieser durchs DSGVO-konforme Raster.
Hinzu kommt in beiden Fällen die Übermittlung in ein Drittland und somit gelten zusätzlich die Probleme, die wir in unserem Blogbeitrag vom 19.04.2022 bereits näher erläutert haben.
Aber was sollte man nun tun?
Jetzt kommt man zur Frage, ob es eine Lösung für das Problem gibt bzw. wie es andere Unternehmen handhaben?
Nun, für uns und einen Großteil unserer Kunden können wir sagen, dass es auch ganz gut ohne die Nutzung von iCloud geht.
Für unsere Daten verwenden wir eine eigene Cloud (siehe Beitrag vom 04.04.2022). Kontakte und Aufgaben werden über unseren E-Mail Anbieter verarbeitet und alles andere ist für uns im geschäftlichen Umfeld nicht notwendig.
Ein Tipp für Sie: Wenn Sie der Meinung sind, es muss unbedingt die Nutzung der iCloud sein, dann verwenden Sie diese bitte verschlüsselt und ohne dass der Schlüssel in der Cloud hinterlegt ist.
Für uns gilt weiterhin: Wir lassen unseren Schalter auf „off“ und leben und arbeiten sehr gut mit alternativen Möglichkeiten.
Bei Fragen zu diesem Thema unterstützen wir gerne.
Hilfreiche Links:
https://www.apple.com/de/business/it/
25.04.2022 Coronadaten sind zu löschen
Wir weisen an dieser Stelle nochmals auf die Pflicht hin alle Daten, welche in Zusammenhang mit der Erfassung des 3-G-Status im Unternehmen gesammelt wurden, umgehend zu löschen.
Diese Daten wurden auf der rechtlichen Grundlage der geltenden Corona Verordnung erhoben und verarbeitet. (§ 28 b Abs. 3 S. 1 IfSG a.F).
Diese Grundlage ist mit der Änderung des IfSG zum 20.03.2022 entfallen.
Die Landesdatenschutzbehörde in Niedersachsen hat am 19.04.2022 eine Pressemitteilung hierzu veröffentlicht und mitgeteilt, dass die Umsetzung durch Kontrollen geprüft werden soll.
Es ist davon auszugehen, dass weitere Behörden eine identische Auffassung vertreten.
Unser Tipp:
Der Impf– oder Genesenen-Status gehört zu den sensiblen und besonders geschützten Gesundheitsdaten, die normalerweise grundsätzlich nicht abgefragt werden dürfen. Hier gab es durch die Gesetzgebung eine temporäre Ausnahme.
Bitte prüfen Sie Ihren Datenbestand und löschen Sie entsprechend. Achten Sie bei der Löschung auf die konforme Entsorgung.
Wir sehen keine Möglichkeit die Daten über Ihr „Hausrecht“ weiter zu verarbeiten. Beachten Sie bei dem Hausrecht auch immer eine mögliche Diskriminierung.
Sollten Sie der Auffassung sein diese Daten erfassen zu müssen oder Fragen zu dem Thema haben, melden Sie sich gerne bei uns.
Unternehmen für die eine einrichtungsbezogene Impfpflicht gilt, beachten bitte folgendes:
weitere LINKS zum Thema:
https://www.gesetze-im-internet.de/ifsg/__28b.html
19.04.2022 Datenschutz und die USA
Vielleicht haben Sie es bereits aus den Medien erfahren – es tut sich etwas in Sachen Datenschutz und USA.
Grundsätzlich ist in einem Unternehmen die verantwortliche Person für Daten, welche erhoben und verarbeitet werden, immer der/die Chef:in des Unternehmens.
Er/Sie trägt die Verantwortung wie und wo die Daten seiner Mitarbeiter und Kunden verarbeitet werden. Die Vorgaben dazu innerhalb des Europäischen Wirtschaftsraums (EWR) regelt die Datenschutz-Grundverordnung (DSGVO).
Werden personenbezogene Daten außerhalb des EWR verarbeitet, spricht man von einer Verarbeitung in einem Drittland.
Hier unterscheidet man zwischen sicheren und unsicheren Drittländern. Um die aktuelle Diskussion besser zu verstehen, gehen wir zurück in den Juli 2020 und stellen die Sachverhalte stark vereinfacht dar.
Für sichere Drittstaaten gibt es einen Angemessenheitsbeschluss und eine Verarbeitung von personenbezogenen Daten ist daher ohne Probleme möglich. Das EU-US Privacy Shield (so der Name des Angemessenheitsbeschlusses mit den USA) legitimierte den Datentransfer aus der EU in die USA. Dadurch wurden die USA zu einem sicheren Drittland erklärt. Auf das EU-US Privacy Shield konnte man sich daher berufen, wenn man personenbezogene Daten in die USA übermittelt hat. Im Juli 2020 wurde das sogenannte Privacy Shield durch eine Klage des Datenaktivisten Max Schrems vor dem EuGH gekippt. Der Grund hierfür ist in der datenschutzfeindlichen Gesetzgebung der USA zu finden. Hier gibt es 4 Gesetze, die den Zugriff auf Daten durch US Behörden regeln (Cloud-Act, Patriot Act, Freedom Act, FISA). Dabei gilt besonders zu beachten: Auch Server von US-Unternehmen in Europa sind in dieser Gesetzgebung enthalten.
Seit Juli 2020 ist diese Regelung nun Geschichte und die USA gelten nicht mehr als sicheres Drittland. Daher ist die Verarbeitung in den USA nicht mehr auf durch das Privacy-Shield zu legitimieren.
Kleiner Tipp: Prüfen Sie Ihre Datenschutzerklärung – denn häufig befinden sich dort noch entsprechende Erläuterungen, die nicht mehr gültig sind.
Es gibt natürlich weiterhin die Möglichkeit eine Verarbeitung in den USA zu legitimieren. Hierzu kann man mit sogenannten SCC (Standardvertragsklauseln) mit jedem einzelnen Unternehmen einen Vertrag abschließen. Diese Rechtslage hält bis heute an und macht es Unternehmen allerdings relativ schwer mit Rechtssicherheit personenbezogene Daten in die USA zu übermitteln.
Wir empfehlen und beraten unsere Kunden daher immer in die Richtung der Vermeidung solcher Transaktionen um absolute Rechtssicherheit zu erlangen. Seit einigen Tagen hört und liest man in den Medien, dass die Regierungen aus Deutschland und den USA an einem neuen Privacy Shield (Trans-Atalntic Data Privacy Framework) arbeiten.
Ist damit jetzt das Problem gelöst und der Transfer wieder einfacher? Klare Antwort: NEIN. Denn bislang wird nur darüber geredet und verhandelt, aber noch nichts entschieden. Somit gelten die aktuellen Regelungen weiter. Mit einen Ergebnis ist nicht vor Ende 2022 zu rechnen und ob dies der lang ersehnte große Wurf wird, ist noch völlig unklar.
Unsere Empfehlung ist also weiterhin: Prüfen Sie die Notwendigkeit der Übermittlung in die USA und schließen Sie, wenn notwendig, Verträge auf der Basis von SCCs ab. Informieren Sie Ihre Kunden und Webseitenbesucher transparent über die Verarbeitung in den USA und holen Sie sich ggf. eine Einwilligung ein.
Sie haben noch Fragen zu dieser Thematik? Gerne helfen wir Ihnen weiter.
11.04.2022 Wir haben nun einen Onlineshop
Wir haben die letzten Wochen genutzt um unsere Download-Plattform umzustellen und zu erweitern. Hierzu haben wir ein Shop-System eingeführt, da wir vermehrt Anfragen für verschiedene Dokumente erhalten haben. Da wir unser Wissen nicht nur unseren Kunden zur Verfügung stellen wollen, war dieser Schritt abzusehen und nun notwendig. In Zukunft hat man so mit die Möglichkeit sowohl auf unsere kostenlosen als auch auf unsere kostenpflichtigen Dokumente zugreifen zu können.
Auf unserer Webseite: https://qs365.de stehen Ihnen sämtliche kostenlosen Vorlagen zur Verfügung und über unseren SHOP https://shop.qs365.de besteht die Möglichkeit kostenpflichtige Dokumente zu erwerben.
Für unsere Kunden erweitern wir unsere Cloud Plattform und stellen in Zukunft Vorlagen und Dokumente in unserer Cloud zur Verfügung. Durch diesen Service können unsere Kunden jederzeit direkt auf die aktuellsten Unterlagen zugreifen. Das hat den Vorteil, dass Kunden, welche ein Dokument benötigen, „mal eben schnell schauen können“ und entsprechend kostenfrei den Inhalt erhalten. Entsprechende Anpassungen der Dokumente können gerne über uns erfolgen.
Sollten Sie ein Dokument vermissen, lassen Sie es uns gerne wissen.
Die Umstellung wird bis zum kommenden Newsletter abgeschlossen sein und unsere Kunden, die noch keinen Cloud Zugriff haben, erhalten diesen in den kommenden Tagen.
Wir denken, damit einen weiteren großen Schritt in Richtung Support und Verfügbarkeit von Informationen getan zu haben und freuen uns auf Ihr Feedback.
04.04.2022 Cloud– welche Vorteile bringt das meinem Unternehmen?
Ist es in der Cloud, ist es schon geklaut – an diesen Satz denken sicherlich noch viele wenn es um das Thema geht, Daten in eine Cloud zu legen. Dabei bietet eine Cloud viele Vorteile und erhöht, richtig eingesetzt und sinnvoll konfiguriert, sogar Ihre Datensicherheit.
Aber was ist eigentlich eine Cloud?
Häufig bringt man in Verbindung mit einer Cloud das Symbol einer Wolke. Eine Cloud ist ein Speicherort in einem Rechenzentrum – als keine Wolke, sondern sie existiert ganz real in einem Gebäude und hat einen Besitzer. Dieser Besitzer stellt Ihnen von seinem Speicherplatz einen Teil zur Verfügung. Dafür definieren sie User und Login Daten. Für Ihren Teil des Speicherplatzes bekommen Sie eine eigene Adresse (URL), sodass erstmal nur Sie überhaupt wissen, dass es diese Cloud für Sie gibt.
Bei der Auswahl des Rechenzentrums sollte natürlich darauf geachtet werden, dass die Anforderungen der DSGVO eingehalten werden und das Rechenzentrum Ihren Anforderungen an Sicherheit gerecht wird. In der Regel sind inzwischen alle namenhaften Rechenzentren nach EN-ISO-27001 zertifiziert – Ein Standard der Informationssicherheit.
Mittlerweile gibt es ausreichend deutsche bzw. europäischen Zentren wodurch es möglich ist einen Transfer ausserhalb des EWR und somit ausserhalb der DSGVO zu vermeiden.
Warum sollte man eine Cloud nutzen?
Eine Cloud können Sie für unterschiedliche Zwecke nutzen. Wir z.B. teilen auf unserer Cloud Dokumente mit unseren Kunden und vermeiden somit den Versand von Anhängen in E-Mails. Dies verringert die Auslastung des E-Mail Postfachs und wir reduzieren die Informationen für den Fall, dass eine E-Mail von Dritten abgefangen wird.
In Zeiten des mobilen Arbeitens ist eine Cloud ideal um Dokumente an mehreren Geräten verfügbar zu machen.
In der Praxis haben wir aber auch noch einen weiteren Vorteil: Mit der Cloud stehen allen Beteiligten zum Zugriff die gleichen Daten zu Verfügung. Sicherlich hat jeder schon einmal eine Excel Liste oder einen Brief mit einer weiteren Person bearbeitet und diese Datei per E-Mail hin und her versendet. Dabei kommt immer die Frage auf: „Was ist denn jetzt die aktuelle Version und wo liegt diese? “ Diese Überlegung gehört bei Nutzung einer Cloud der Vergangenheit an, da die aktuelle Version immer in der Cloud verfügbar ist und nicht lokal auf mehreren Rechnern abgespeichert wird.
Ein weiterer Vorteil liegt in der Sicherheit. Liegen Ihre Daten in der Cloud und Ihr Endgerät wird gestohlen, sind Ihre Daten nicht verloren. Auch spielt ein Defekt von Ihrem Endgerät keine große Rolle mehr, denn Ihre Daten liegen sicher in der Cloud.
Achten Sie aber bitte, wie oben beschrieben, darauf, dass die Cloud auch angemessen und ausgerichtet auf Ihre Bedürfnisse ist –denn z.B. ist ein privates googleDrive ist kein geeigneter Ort für Firmendaten.
Denken Sie bitte daran, wenn es um das Thema Sicherheit geht, gibt es nichts geschenkt. Eine vernünftige Cloud kostet Geld, allerdings gibt es da aktuell schon sehr gute und kostengünstige Angebote. Bei Strato erhalten Sie z.B. 250 GB für 3 Euro/Monat. Sollten Sie sich für eine externe Cloudlösung entscheiden, vergessen Sie nicht mit dem entsprechenden Anbieter einen entsprechenden AV-Vertrag abzuschließen.
Es gibt auch die Alternative eine eigene Cloud zu installieren – dies lässt sich z.B. über eine NAS realisieren. In diesem Fall besitzen Sie die Hardware und ermöglichen über Einstellungen und entsprechende Software den Zugriff über das Internet.
Für uns ergibt sich folgendes Fazit:
- Eine sorgfältig ausgewählte Cloud ist sicher
- Ob gehostet oder selbst verwaltet ist eine persönliche Abwägung
- Die Menge der Anhänge in E-Mails wird reduziert
- Alle berechtigten Personen arbeiten jederzeit mit den gleichen Daten
- Der Zugriff ist flexibel
- Bei Defekt oder Verlust Ihres Endgerätes haben Sie die Daten jederzeit noch in der Cloud gespeichert und können sofort darauf zugreifen
- Eine DSGVO-konforme Umsetzung ist wichtig
Wir hoffen, ein wenig Licht ins Cloud-Dunkel gebracht zu haben. Falls nicht, können Sie uns gerne Ihre Fragen stellen.
30.03.2022 Die Datenschutzerklärung, das Mysterium
Heute möchten wir versuchen die Mythen rund um die Datenschutzerklärung für Sie zu entzaubern.
Wenn es um Fragen zu Datenschutz geht, gehört die Datenschutzerklärung definitiv zu den Top Antworten – Aber warum ist das so?
Eine Datenschutzerklärung wird auf jeder öffentlichen Webseite benötigt, betrifft somit fast alle Firmen und auch Privatpersonen.
Es gibt unzählige Generatoren, die versprechen innerhalb von Sekunden eine angepasste Erklärung zu generieren und das Thema ist in den Medien sehr im Umlauf. Wir sehen aber leider immer wieder Datenschutzerklärungen, die nicht richtig sind und dies kann zu einem Problem werden, denn Datenschutz– erklärungen können sehr leicht auf Schwachstellen geprüft werden, um dann ggf. Ansprüche gegen den Betreiber zu richten.
Stellt sich die Frage: Wie macht man es richtig, was muss enthalten sein und was nicht?
Nun, die DSGVO fordert in Artikel 13 und 14, dass Personen, deren Daten verarbeitet werden, über die Verarbeitung angemessen informiert sein müssen. Genau für diese Informationen ist Ihre Datenschutzerklärung auf der Webseite gedacht. Aus Gründen der Übersichtlich– und Lesbarkeit empfehlen wir andere Informationspflichten z.B. zu Online Meetings oder Bewerbungsverfahren getrennt zu beschreiben, dies müssen Sie aber nicht zwangsläufig.
Die Datenschutzerklärung hat also den Zweck dem Besucher über die Verarbeitung seiner Daten zu informieren.
Dies stellt scheinbar für einige Betreiber schon ein großes Problem dar, denn häufig sehen wir Webseiten mit zu viel oder auch zu wenigen Informationen.
Ein Zuviel ist natürlich genauso falsch wie ein Zuwenig. Ein einfaches Beispiel: Haben Sie kein Google Maps auf Ihrer Webseite eingebunden, brauchen Sie dies auch nicht zu beschreiben.
Häufig beschreiben Agenturen oder Generatoren erst einmal „alles“, nach dem Motto: „das Richtige wird schon dabei sein“.
Wie kommen Sie also jetzt zu einer guten Datenschutzerklärung?
Bei diesem Punkt kann Ihnen im ersten Schritt nur eine Person helfen, nämlich SIE selbst. Sie haben Ihre Webseite erstellt oder eine Agentur beauftragt, dies nach Ihren Wünschen zu tun. Somit sollten Sie wissen, was Sie auf Ihrer Webseite tun und welche Funktionen und Plugins installiert sind. Haben Sie dies korrekt identifiziert, sind Sie einen großen Schritt weiter, denn damit können Sie über einen Fachanwalt, einen Generator oder mit Unterstützung Ihres DSB eine geeignete Datenschutzerklärung erstellen.
Diese gliedert sich dann, wie oben beschrieben, nach Art. 13,14 DSGVO auf.
Bitte beachten Sie an dieser Stelle das kein Generator, kein Anwalt und auch kein Datenschutzbeauftragter die rechtliche Verantwortung übernimmt. Anwalt und DSB bieten Ihnen aber einen hohen Prozentsatz an Rechtssicherheit und sind daher sicher das Mittel der Wahl.
Wenn Sie die Datenschutzerklärung selber oder mit einem Generator erstellen wollen, beachten Sie folgende Punkte welche sich an St. 13 und 14 DSGVO orientieren:
- Beschreiben Sie allgemeine Angaben wie Ihre Kontaktdaten, die des DSB (falls vorhanden) und belehren Sie über die Bertroffenenrechte
- Beschreiben Sie für jede Funktion Ihrer Webseite Rechtsgrundlage, Zweck, Löschfrist, Empfänger, bei Übermittlung ausserhalb des EWR die Rechtsgrundlage der Übermittlung, sowie Infos über Profiling.
- Geben Sie einen Hinweis auf Cookies
- Beschreiben Sie bei der Erhebung über Dritte die Kategorien und die Quellen
Weitere Infos finden Sie in der DSGVO bzw. auch direkt unter https://dsgvo-gesetz.de/art-14-dsgvo/ und https://dsgvo-gesetz.de/art-13-dsgvo/
Hier noch ein paar weitere Infos:
- Eine Datenschutzerklärung muss transparent beschreiben was Sie tun
- Eine Datenschutzerklärung muss verständlich sein
- Eine Datenschutzerklärung muss für Anfragen zum Datenschutz Name, Adresse und die Mailadresse der verantwortlichen Person im Sinne der DSGVO enthalten und an keine allgemeine Adresse, wie z.B. info@…. gesendet werden
- Eine Datenschutzerklärung muss leicht zugänglich sein (nur mit 1 Klick erreichbar)
- Eine Datenschutzerklärung muss NICHT bestätigt werden, es reicht lediglich der Hinweis darauf. (auch bei Nutzung des Kontaktformulars)
- Bitte beachten Sie: Sich eine Datenschutzerklärung bestätigen zu lassen, zählt in der Regel NICHT als wirksame Einwilligung
Also, unser TIPP:
Lesen Sie einmal selbst Ihre eigene Datenschutzerklärung. Verstehen Sie den Inhalt und passt der Inhalt zu dem was auf der Seite passiert?
Wenn nicht, haben Sie nun einen guten Ansatz zur Umsetzung und bei Fragen unterstützen wir gerne.
21.03.2022 „Ich bin kein Computer“
Captcha, das Tool was Ihre Webseitenbesucher Autos und Busse zählen lässt oder verlangt unleserliche Texte zu bestätigen.
Ein Captcha-Dienst wird auf Webseiten als Sicherheitsmechanismus eingesetzt, um festzustellen, ob ein Mensch oder ein Roboter (BOT) in den Vorgang eingebunden ist. CAPTCHA ist eine Abkürzung für „Completely Automated Public Turing test to tell Computers and Humans Apart“. Dieses Tool wird in der Regel verwendet, um auf Kontaktseiten zu verhindern, dass SPAM über Ihr Kontaktformular gesendet wird.
Dieses Thema haben wir einmal genauer betrachtet und gehen hierbei wieder auf einen Dienst von Google ein, da dieser in der Anwendung weit verbreitet ist. Andere Tools sind entsprechend analog zu bewerten und zeigen bestimmt Risiken nicht. Wenn Sie einen solchen Dienst auf Ihrer Webseite einsetzen, sollten Sie hierbei einige Dinge beachten, da Sie rechtlich für die Umsetzung dieses Tools verantwortlich sind.
Das Kritische bei Google, Sie werden es sich sicher schon denken, ist auch hierbei der Transfer von personenbezogenen Daten (IP-Adresse, Ort, Zeitpunkt….) an Google, der nicht DSGVO konform verläuft. Sollte der Webseiten Besucher parallel über seinen Google Account eingeloggt sein, oder Sie parallel Google Analytics einsetzen, ist für Google ein umfangreiches Tracking möglich.
Daher sollten Sie folgende Punkte in diesem Zusammenhang beachten:
- Prüfen Sie die Notwendigkeit eines solchen Tools
- Schaffen Sie Transparenz: Unterrichten Sie Ihre Nutzer über die Verwendung des Tools auf Ihrer Website
- Holen Sie sich, mit Hilfe eines Cookie-Banners, die Zustimmung der Seitenbesucher zur Nutzung des Tools
- Verfahren Sie nach dem Prinzip der Datenminimierung und erheben nur das Notwendigste
Aus unsere Sicht gibt es aktuell keine Möglichkeit Recaptcha von Google DSGVO konform einzusetzen.
Unsere Empfehlung geht zu einer Version, welche die Daten innerhalb des EWR bzw. lokal auf Ihrer Webseite verarbeitet.
Wir haben Ihnen dazu zwei mögliche Alternativen verlinkt die DSGVO konform angewendet werden können. Aber denken Sie bitte daran: Auch diese müssen vor dem Einsatz von Ihnen bewertet werden.
https://friendlycaptcha.com *
Sollten Sie dazu Fragen haben, können Sie sich gerne an uns wenden.
* Werbung wegen Markennennung (unbezahlt)
14.03.2022 Immer wieder Google…
Google ist in aller Munde, Google ist überall zugegen. Aber dies bedeutet nicht, dass Google immer das richtige Tool ist und Google überall verwendet werden sollte.
Sind Sie Betreiber einer Webseite, sollten Sie dringend prüfen ob Sie Google Tools einsetzen und wofür Sie diese einsetzen. Immer mehr Aufsichtsbehörden und Gerichte haben hierzu eine klare Meinung und halten die Nutzung von Google Diensten ohne ausdrückliche Einwilligung und ohne entsprechenden Hinweis für nicht konform.
Was bedeutet das für die Praxis bzw. für Ihre Webseite? Lassen Sie uns dies, in groben Zügen am Beispiel vom Google-Analytics betrachten.
Um zu erfassen wie viele Besucher eine Webseite hat und woher diese kommen, installiert man Google-Analytics auf der Webseite.
In diesem Moment passieren 2 Dinge: Google setzt einen Cookie in den Browser des Besuchers und erfasst die IP-Adresse.
Diese beiden Handlungen müssen über eine Rechtsgrundlage „abgesichert“ werden, da beides nicht zum Betrieb der Webseite notwendig ist und es auch sonst keine haltbare Grundlage gibt. Bleibt Ihnen nur die Einwilligung des Users. Sie müssen also eine Einwilligung einholen für das Setzen der Cookies.
Zum einen zur Verwendung des Cookies, also der Speicherung von Daten auf Endgeräten (TTDSG Art. 23) und zum anderen ist eine IP-Adresse eine personenbezogene Datei ist, welche an Google übermittelt wird und daher ist auch hier eine Einwilligung notwendig. Diese Einwilligungen müssen den Anforderungen der DSGVO Art. 7 entsprechen. Zeitgleich müssen Sie über die Übermittlung der Daten informieren. Diese findet nach Google Irland bzw. nach Google USA statt.
Wenn Sie diese „Hürden“ genommen haben, bleibt noch die Verpflichtung mit Google einen gültigen AV-Vertrag zu schließen (Bitte hierzu unseren Beitrag vom 21.02.2022 beachten). Beachten Sie hierbei, dass Sie sehr wahrscheinlich eine Übermittlung in die USA haben und hierzu der Vertrag entsprechend geeignet sein muss.
Sie benötigen also bei dem Einsatz von Google Diensten in der Regel mindestens:
- Wirksame Einwilligung nach DSGVO 7 und TTDSG 23
- Information nach DSGVO 13/14
- AV-Vertrag nach DSGVO 28
Wenn Sie dies alles erledigt und entsprechende Verträge geschlossen sowie Einwilligungen und Hinweise erstellt haben, ist es mehr als wahrscheinlich das Ihre auswertbaren Zahlen ungenau werden.
Warum ist das so? Nun jeder, der Ihnen keine Einwilligung erteilt darf nicht erfasst werden. Nehmen wir einmal an, Sie haben 1000 Besucher auf Ihrer Webseite und nur 100 von diesen geben Ihnen die Einwilligung der Cookienutzung, dann haben Sie Zahlen ohne Aussagekraft.
Was können Sie tun und was sollten Sie tun?
- Prüfen Sie, ob Sie Google Dienste einsetzen
- Ermitteln Sie, was Sie mit der Verwendung dieses Dienstes wirklich bezwecken wollen
- Überdenken Sie die Notwendigkeit
- Sorgen Sie für Rechtssicherheit soweit möglich
- Schauen Sie sich nach Alternativen um welche eine der folgenden Anforderungen erfüllen
- Verarbeitung nur in Europa
- Besserer Ruf als Google
- Verarbeitung auf Ihrer Webseite ohne die Übermittlung an Dritte
Sie sehen, oftmals lohnt es sich gewohnte Praxis zu überdenken und nach geeigneten Alternativen zu schauen. In der Regel sorgt dies nicht nur für eine datenschutzkonforme Umsetzung, sondern gleichzeitig auch für eine leichtere Handhabung.
07.03.2022 Backup vs. Archivierung Teil 2
Aufgrund der großen Nachfrage zu unserem Thema letzte Woche beschreiben wir Ihnen an dieser Stelle eine, aus unserer Sicht, mögliche Umsetzung. Hierzu haben wir uns mit unserem Partner ServeCom zusammengetan und möchten Ihnen folgende Möglichkeit erläutern:
Als Speicherbasis könnte ein NAS, z.B. von Synology dienen. Im Vergleich zu früher, sind solche inzwischen zu einem guten Preis zu bekommen und verfügen über entsprechende Funktionen. Ein NAS ist ein Network Attached Storage, also ein Speicherort innerhalb Ihres Netzwerks. Im o.g. NAS sind mindestens 2 Festplatten verbaut. Diese 2 Festplatten dienen als Speicherort Ihrer Daten und arbeiten im RAID1-Verbund, welcher der Spiegelung aller Inhalte dient und somit die Ausfallsicherheit erhöht. Sollte also eine der beiden Festplatten ausfallen, können Sie weiterhin auf Ihre Daten zugreifen und diese auch verarbeiten. Die defekte Festplatte sollte dann aber natürlich dennoch zeitnah ausgetauscht werden. Wichtig ist, dass die Festplatten im RAID-Verbund immer den identischen Inhalt haben – Löschen Sie etwas, ist es auch auf beiden Platten gelöscht. Der RAID-Verbund dient jedoch nur der Ausfallsicherheit und ist nicht mit einer Datensicherung zu verwechseln.
Die Datensicherung ist aus mehreren Aspekten wichtig. Zum Einen um auf ältere Versionen Ihrer Daten Zugriff zu haben und um bei Befall von Schadsoftware oder Verschlüsselung Ihrer Daten die zuletzt funktionalen Daten wiederherstellen zu können. Für die Datensicherung empfehlen wir 2 externe Festplatten, denn so kann zusätzlich ein möglicher Schaden einer einzelnen externen Festplatte kompensiert werden. Die beiden externen Festplatten stecken Sie im Wechsel Werktags an das NAS und nehmen die nicht genutzte externe Festplatte mit nach Hause oder lagern diese in einem separaten Brandabschnitt um Elementarschäden teilweise zu verhindern. Diese Datensicherung führen Sie inkrementell aus, das bedeutet das nur Änderungen übernommen werden.
Hierbei arbeiten Sie mit einer Archivdauer von beispielsweise 10 Jahren. Diese können Sie auf dem NAS entsprechend konfigurieren. Hier dreht sich das Backup also alle 10 Jahre und nicht wie in unserem Beispiel von letzter Woche alle 8 Wochen.
Damit sind Sie schon mal auf einem guten Kurs. Sie haben eine Sicherheit im täglichen Betrieb dadurch, dass sich 2 Platten spiegeln und eine hohe Sicherheit im Backup, da Sie 2 separate Speicherziele nutzen.
Um darüber hinaus noch eine weitere Sicherheit einzusetzen, bietet Synology eine Backup Cloud in Deutschland an. Diese kann gegen eine geringe Jahresgebühr gebucht werden und ebenso in das tägliche Backup einfließen.
28.02.2022 Backup vs. Archivierung.
Diese 2 Begriffe werden oft vermischt und leider auch häufig falsch interpretiert.
Aus der Sicht eines Mitarbeiters ist ein Backup eine Datensicherung, also eine Sicherung aller Daten. Wer hat nicht schon einmal aus Versehen eine Datei gelöscht und panisch in der IT –Abteilung angerufen? Der hoch gefeierte Mitarbeiter konnte dann innerhalb weniger Minuten diese verloren geglaubte Information wieder „herbeizaubern“.
In der Regel zielen aber Backup-Systeme darauf aus, die Daten und Programme im Falle eines Defektes wieder schnell ins Laufen zu bekommen. Da es im Falle eines Defekts darauf ankommt, schnell die aktuellsten Daten wieder verwenden zu können, speichert man in einem Backup in der Regel keine Daten, die älter als 8 Wochen sind.
Stellen Sie sich einmal vor, Sie müssten die letzen 8 Wochen in Ihrem System nacharbeiten. Um Ihnen dies einfach zu erklären, stellen wir uns ein Beispiel anhand eines Ordners vor:
Ihre IT-Abteilung hat 8 Ordner (= 8 Wochen). Für jede Woche wird der Inhalt des Servers in einen Ordner gelegt– Ordner 1 bis 8.
In Woche 9 beginnt man von vorne, nimmt Ordner 1, löscht den Inhalt und legt dort den Inhalt aus Woche 9 rein. In Woche 10 wird Ordner 2 neu bestückt, in Woche 11 Ordner 3 usw…
Das ist ein super System und funktioniert gut wenn Sie heute eine Datei löschen und Ihre IT-Abteilung diese wieder aus dem Ordner herausholen kann.
Aber was passiert wenn Sie in Woche 2 eine Datei löschen und es erst in der Woche 11 bemerken? Richtig, Sie ist nicht mehr vorhanden. Diese Datei ist nicht mehr Teil der Ordner, da Sie in unserem Beispiel regelmäßig den Inhalt austauschen.
Aus diesem Grund ist ein solches Backupkonzept nicht geeignet die Verfügbarkeit von Daten sicherzustellen und es ist auch nicht geeignet, die Anforderungen aus der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) zu erfüllen. Als Faustregel gilt: Firmenrelevante Informationen müssen für einen Zeitraum von 7 – 10 Jahren vor Verlust geschützt sein.
Genau dies verlangt in der Regel ein anderes Konzept als oben beschrieben. Sie müssen daher archivieren. Wie Sie das tun, ist Ihnen überlassen. Es gibt entsprechende Software Dokumenten Management Systeme, welche mit allen Daten gefüllt werden, es gibt Backupkonzepte, welche die Archivierung entsprechend sicherstellen (in der Regel Bandsicherungen mit Wochen-, Monats– und Jahresbändern) und es gibt die Möglichkeit Daten, also Informationen auf Dateiebene, wie PDF, WORD, EXCEL, parallel zum oben beschriebenen Backupkonzept in eine NAS zu kopieren, die Ihnen die Möglichkeit einer Archivierung bietet.
Für was auch immer Sie sich entscheiden, bitte beachten Sie folgende Tipps:
- Prüfen Sie Ihr aktuelles Backupkonzept
- Definieren Sie welche Daten aufbewahrt werden müssen und sollen
- Arbeiten Sie eine Archivlösung aus
- Da die Verarbeitung digitaler und Papier weniger wird, setzen Sie sich bitte mit dem Thema auseinander.
Für weitere Tipps zur Umsetzung empfehlen wir Ihnen gerne unserem Partner ServeCom
21.02.2022 Wann hatten Sie das letzte Mal Kontakt zu Ihrem Auftragsverarbeiter?
Zu Start der DSGVO war der AV-Vertrag in aller Munde und es wurden Verträge „munter drauf los“ abgeschlossen. Leider bemerken wir immer wieder, dass diese Verträge in Ordnern und Schubladen verschwunden sind und keine Beachtung mehr finden. Wir empfehlen jedem Unternehmen diese Verträge regelmäßig zu prüfen. Denn schließt man als verantwortliche Person einen AV Vertrag mit einem Auftragsverarbeiter, so ist man auch verantwortlich regelmäßig zu prüfen ob die vertraglich zugesicherten Parameter auch korrekt umgesetzt werden. Dies wird in der DSGVO in Artikel 28 Abs 1 geregelt. Die DSGVO und die Aufsichtsbehörden definieren an dieser Stelle allerdings keinen Zeitraum. Als Faustregel kann man aber festhalten, je kritischer die Verarbeitung ist, desto öfter muss diese kontrolliert werden. Längere Abstände von mehr als 2 Jahren sollten gut begründet sein.
Wir erachten einen Intervall von 1,5 – 2 Jahren als sinnvoll. Bei einem Blick in den AV-Vertrag wird Ihnen auffallen, dass diese regelmäßigen Kontrollen meist sogar vertraglich geregelt sind und Sie das Recht haben, sich Vor Ort bei Ihrem Auftragsverarbeiter davon zu überzeugen, dass die technisch und organisatorischen Maßnahmen eingehalten werden. Alternativ kann dies aber auch durch einen Prüfbericht oder einer Checkliste erfolgen. An dieser Stelle möchten wir anmerken, dass eine Muster Checkliste welche aus dem Internet geladen und 1:1 an Ihren Auftragsverarbeiter gesendet wird, nie zu 100% passen kann.
Auch ist eine Checkliste nur bedingt als Nachweis zu sehen, denn es geht darum nachzuweisen, dass die beschriebenen Maßnahmen vollumfänglich umgesetzt wurden. Wir haben uns aktuell mit diesem Thema auseinander gesetzt und für unsere Kunden entsprechende Dokumente erstellt. Vor Ort Termine sind in der aktuellen Pandemie meist nicht durchführbar und häufig sind diese ohnehin nur sehr schwer mit einigen Auftragsverarbeitern zu vereinbaren. Daher haben wir Dokumente erstellt, die einen Kompromiss zwischen Anfragen und Nachweisen darstellen und somit einen geeigneten Überblick über die verschiedenen Parameter geben.
Hierzu bekommen unsere Kunden Anfang März eine E-Mail. Empfänger des Newsletters, welche ebenfalls Unterstützung bei diesem Thema benötigen, bieten wir gerne unsere Hilfe an.
14.02.2022 Das Nutzen von IT-Geräten ohne „Wissen und Kontrolle“ der IT-Abteilung.
Da inzwischen fast alle Geräte einen LAN oder WLAN Zugriff benötigen, ist es wichtig, dass ein Unternehmen jederzeit darüber Bescheid weiß welche Geräte „am Netz“ hängen um entsprechende Regelungen treffen zu können.
Ein bedeutender Faktor sind hier die privaten Endgeräte der Mitarbeiter. Ich erlebe es leider immer wieder in Unternehmen, dass diese Geräte über das firmeneigene WLAN eingeloggt sind. Dies sollte unbedingt vermieden werden.
Denn es ist wenig hilfreich mithilfe einer Firewall und „Rechte und Rollen Konzepten“ ein Sicherheitssystem zu errichten, wenn dann das Handy von Herrn YX mit all seinen privaten Apps munter Zugriff auf Ihr Firmennetzwerk hat.
Ein zweiter Klassiker ist das Laden der Endgeräte am Firmen PC. Eine USB-Verbindung ist immer eine Datenverbindung mit entsprechenden Risiken. Zählen Sie schon zu den vorgeschrittenen Unternehmen und haben die Nutzung von USB-Sticks untersagt? Wo laden Ihre Mitarbeiter die Handys?
Ebenso ist es unbedingt notwendig jede neu gekaufte IT umgehend der IT-Abteilung mitzuteilen und diese auch über jegliche PCs, Tablets oder weitere Geräte zu informieren, welche ggf. zur Reparatur sind usw.
Oftmals laufen diese Prozesse direkt über die IT-Abteilung, so dass eine Kenntnisnahme gewährleistet ist. Aber ich sehe auch immer wieder Abteilungen, die eigenständig solche Aktionen durchführen – dies ist unbedingt zu vermeiden.
Unsere Empfehlungen an dieser Stelle:
- Treffen Sie Regelungen zur Nutzung der USB Schnittstelle an Firmen PCs
- Führen Sie einen Prozess ein, der sicherstellt, dass die IT-Abteilungen über alle Neuanschaffungen umgehend informiert wird
- Schauen Sie einmal auf dem Router welche WLAN Geräte registriert sind und löschen Sie unbekannte Systeme
- Schränken Sie das WLAN so ein, dass sich niemand ohne Kenntnisnahme der IT-Abteilung registrieren kann
- Möchten Sie das Ihre Mitarbeiter in Ihrem Unternehmen WLAN an den privaten Geräten nutzen können? Dann erstellen Sie ein getrenntes Netzwerk z.B. in Form eines Gastzugangs.
- Erstellen Sie eine Übersicht aller IT-Geräte und halten Sie diese aktuell
- Schaffen Sie Regelungen zur Nutzung Ihrer Netzwerkdosen. Dort sollten nur freigegebene IT-Geräte eingesteckt werden.
07.02.2022 Ausscheiden von Mitarbeitern – was tun mit privaten Daten?
Es ist schon erstaunlich was für eine Menge von privaten Daten und Informationen sich im Laufe der Jahre so ansammeln. Selbst am Arbeitsplatz werden Sie sicher hier und das etwas privates von Ihren Mitarbeitern finden. Ein Bild auf dem Schreibtisch, ein persönlicher Kalender an der Wand, der Bildschirmhintergrund vom letzten Urlaub oder vielleicht ein privater Brief, der mit dem Firmen PC erstellt wurde. Das ist sicherlich für Ihr Unternehmen auch alles kein Problem, bis der Tag kommt an dem sich die beruflichen Wege trennen.
Ihr Mitarbeiter wird sicher die Bilder, alle weiteren persönliche Dinge und den Kalender an der Wand spätestens an seinem letzten Arbeitstag mitnehmen. Vergessen wird hier aber leider zu oft auch private digital gespeicherte Daten zu entsorgen. Um spätere Streitigkeiten über die Herausgabe von diesen Daten zu vermeiden, sollten Sie Ihrem Mitarbeiter die Möglichkeit geben, diese zu sichern bzw. zu löschen und sich diese Durchführung schriftlich bestätigen lassen.
Hierzu haben wir unseren Kunden eine entsprechende Vorlage als Checkliste in unserem Kunden Download Bereich zur Verfügung gestellt. Möchten auch Sie an alles gedacht haben? Wir helfen gerne bei der Erstellung und Umsetzung dieses Prozesses.
Ein kleiner Tipp dazu: Gerade bei einer gerichtlichen Auseinandersetzung ist die Auslegung der Datenschutz-Grundverordnung ein gern gewählter Hebel um die Abfindung in die Höhe zu treiben. Sie sollten insofern kein unnötiges Risiko eingehen.
31.01.2022 Frühjahrsputz im Unternehmen
Nachdem der Jahreswechsel stattfand und bei vielen Unternehmen auch ein neues Wirtschaftsjahr begonnen hat, begeben sich die meisten Unternehmen in die Katakomben.
Das Archiv öffnet die Türen und es geht darum Platz für Neues zu schaffen.
Dabei dürfen Sie nicht vergessen: Nicht nur das Archiv in Form von Ordnern muss überprüft und entsprechend entsorgt werden, sondern auch die Daten im Büro bzw. auf dem PC.
In der Regel orientiert man sich bei der Archivierung an der 10 Jahres Vorgabe der GoBD. Bitte beachten Sie dabei die 10+1 Regel – Sie sollten also das 10. Jahr noch aufheben und daher aktuell das Jahr 2011 entsorgen.
Im Arbeitsalltag haben Sie aber durchaus mit kürzeren Fristen zu tun. Es müssen z.B. alle Daten abgesagter Bewerber nach 3 – 6 Monaten vernichtet werden.
Hierzu sollte jedes Unternehmen seine Dokumente in Löschklassen eingeteilt haben. Wenn Sie bei uns Kunde in einer fortlaufenden Betreuung sind, liegt Ihnen ein entsprechendes Löschkonzept vor. Allen anderen helfen wir gerne.
Bitte beachten Sie, dass das ausgewählte Entsorgungsunternehmen nach DIN66399 zugelassen sein muss und Ihnen einen entsprechenden Nachweis vorlegt. Ebenfalls muss für das Vernichten ein AV-Vertrag geschlossen werden, denn eine Vernichtung ist eine Verarbeitung.
24.01.2022 Weichenstellung
Die Weichen stehen auf Zukunft. Wir haben das zweite Halbjahr 2021 genutzt um die Vorraussetzungen für Wachstum und Zukunft zu schaffen. So sind wir inzwischen nicht mehr in einem Büroraum im „HomeOffice“ anzutreffen, sondern haben uns in der Nähe Büroräume angemietet, welche entsprechend ergonomisch und auf einem einem hohen technischen Niveau eingerichtet wurden. Unter anderem verfügen wir inzwischen über einen Hybrid-Meetingraum, in dem wir Partner empfangen können, aber auch Videokonferenzen mit mehreren Personen abhalten können. Leider mussten wir pandemiebedingt auf eine Einweihungsfeier verzichten. Jeder Partner oder Interessent ist aber herzlich eingeladen uns zu besuchen.
Unsere Büroadresse findet Sie auf unserer Webseite. Noch ein Hinweis: Da es sich hier nur um eine Besucheradresse handelt, bleiben unsere Postanschrift und Telefonnummern weiterhin bestehen.
Die neuen Räumlichkeiten, sowie die wachsenden Aufgaben haben es uns auch möglich gemacht den Bereich der Kundenbetreuung und des Marketings zu verstärken. So haben wir seit dem 01.12.2021 mit Frau Kerstin Martin eine feste Mitarbeiterin auf dieser Position. Frau Martin erreichen Sie unter km@qs-kornmann.de sowie unter unserer bekannten Rufnummer.
|
|
|
04.01.2022 Willkommen auf unserem BLOG
Hier erhalten Sie in Zukunft Informationen zu den Themen IT, Datenschutz und Informationssicherheit und Qualitätsmanagement.
In diesem ersten BLOG nutze ich die Gelegenheit um mich Ihnen kurz vorzustellen, damit Sie wissen wer hier schreibt.
Mein Name ist Michael Kornmann und ich bin als Auditor und Datenschutzbeauftragter im Einsatz und verfolge dabei einen sehr praktischen Ansatz. Mein Motto: Nur was absolut praxistauglich ist, wird auch umgesetzt.
Bereits seit 2001 bin ich im Bereich ISO tätig und 2017 habe ich mich dazu entschlossen, meine Erfahrungen weiterzugeben um anderen Unternehmen zu helfen und habe mich selbstständig gemacht. Direkt nach dem Start der Selbständigkeit habe ich das Thema Datenschutz in meine Beratung aufgenommen und seit Anfang 2018 bin ich DEKRA zertifizierter Datenschutzbeauftragter. 2020 folgte die Weiterbildung im Bereich ISO-27001 bis zum Lead-Auditor.
Meine, zugegeben, kostspielige Abneigung zu alter Technik und mein Anspruch jede Technikgestaltung immer ein Stück besser zu machen, lässt mich so einige Nacht am PC sitzen. Aber was gibt es Besseres als mit der richtigen Hard-und Software ein perfektes Arbeitsumfeld zu haben?
So werde ich zwischendurch auch immer mal wieder aktuelle technische Themen ansprechen und meine Lösung beschreiben.
Bei Fragen oder Kritik freue ich mich über einen Austausch per E-Mail oder Threema. Meine Kontaktdaten finden Sie im Impressum.
Nun bleibt mir nur, Ihnen viel Spass beim Lesen zu wünschen und Ihnen unseren Newsletter ans Herz zu legen. Dort erhalten Sie regelmäßig alles Wissenswerte rund um unsere Themenschwerpunkte. Diesen können Sie bequem in der Menüleiste unserer Webseite aktivieren.
Gruß
Michael Kornmann