Blog

Knowledge Base der Datenbeschützerin

In deutscher Sprache: Richtlinien über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.

Hintergrund zur NIS2 Directive

Die erste NIS-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit, „2016/1148“) stammt aus dem Jahr 2016. Die Richtlinie war von den EU-Staaten bis Mai 2018 in nationales Recht umzusetzen. Deutschland kam dem mit dem Umsetzungsgesetz im Juni 2017 nach. Aufgrund des seit 2015 existierenden IT-Sicherheitsgesetzes war der Großteil des Inhalts der NIS-Richtlinie in Deutschland bereits realisiert.

Die Europäische Kommission hat nun das Ziel, die Cybersicherheit in Europa weiter zu stärken. Hierfür wurde am 16.12.20 eine NIS2-Richtlinie vorgeschlagen, welche die bestehende NIS-Richtlinie ersetzen soll. Sofern das Europäische Parlament und der Rat die vorgeschlagene Richtlinie annehmen, haben die Mitgliedstaaten 18 Monate Zeit, diese umzusetzen.

Auf den Punkt gebracht: NIS2 Directive – Maßnahmen zur Sicherheit von Netzwerken und Informationssystemen

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • NIS2 ist ein Vorschlag für eine neue EU-Richtlinie, welche die bestehende NIS Richtlinie ablösen soll.
  • NIS2 muss innerhalb von 18 Monaten nach in Kraft treten erst in nationales Gesetz umgewandelt werden.
  • Im Gegensatz zur bestehenden Richtlinie, wird durch NIS2 der Anteil an betroffenen Branchen erweitert.
  • Egal wie die Gesetze im Detail lauten werden, wenn NIS2 in Kraft tritt, ein ISMS ist immer eine sinnvolle Ausgangslage.

Was sind die wesentlichen Änderungen zwischen NIS2 und den bestehenden Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen?

  • Mehr Sektoren sind betroffen.
    • bisher: healthcare, transport, banking and financial market infrastructure, digital infrastructure, water supply, energy, digital service providers
    • neu: providers of public electronic communications networks or services, digital services such as social networking services platforms and data centre services, waste water and waste management, space, manufacturing of certain critical products (such as pharmaceuticals, medical devices, chemicals), postal and courier services, food, public administration
  • Auch kleinere Organisationen können betroffen sein, wenn sie beispielsweise als Lieferant für von der Richtlinie erfasste Unternehmen aktiv sind.
  • Ein einheitlicheres Sicherheitsniveau zwischen den Staaten wird forciert. Durch die bestehenden Vorgaben war die Umsetzung in den EU Ländern sehr unterschiedlich geregelt.
  • Sanktionen und Bußgelder werden konkretisiert.
  • Betroffene Organisationen (in der alten Richtlinie Operators of Essential Services (OES) und Digital Service Providers (DSP) genannt) müssen ihr Risikomanagement ausbauen.
  • Lieferketten rücken stärker in den Fokus.
  • Überwachungsmaßnahmen durch die Staaten werden ausgebaut.

Wie kann ich mich vorbereiten?

Sofern die bisherige NIS-Richtlinie durch die in den Ländern gültigen Gesetze (z.B. IT-Sicherheitsgesetz in Deutschland) bereits erfüllt wird, sind die Neuerungen überschaubar.

Wie ist jedoch die Bewertung, wenn das Thema NIS für die eigene Organisation völlig neu ist?

Im ersten Schritt ist in jedem Fall die Einführung eines integrierten Managementsystems, welches Informationssicherheit (z. B. ISO 27001) und Betriebskontinuität umfasst, dringend zu empfehlen. Hierdurch wäre man bestens vorbereitet, die Anforderungen, die ein mögliches deutsches Gesetz, welches eine zukünftige NIS2-Richtlinie umsetzen würde, zu erfüllen.

Zusammenfassung (Stand April 2021)

Abschließend bleibt zum jetzigen Zeitpunkt folgendes festzuhalten: Es ist zu begrüßen, dass die EU-Kommission ihre Cybersicherheitspolitik angesichts der Gefahrenlage weiterentwickelt und eine Erhöhung des Sicherheitsniveaus anstrebt. Welche neuen deutschen Gesetze durch eine mögliche neue NIS2-Richtlinie erlassen werden, muss sich erst noch zeigen. In jedem Fall ist ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) die beste Ausgangslage für die Erfüllung zukünftiger Gesetzesanforderungen im Bereich der Cybersicherheit.

Wie weit ist Ihr ISMS schon implementiert?

Wir freuen uns über Ihr Statement zum Implementierten ISMS in Ihrem Haus.

Haben Sie Fragen, wie man ein ISMS umsetzen kann oder möchten Sie gerne einen Begleiter bei der Implementierung? Wir stehen Ihnen mit Rat und Tat zur Seite (und extrem vielen Vorlagen). Schreiben Sie uns einfach eine E-Mail oder buchen Sie einen Termin für ein kostenloses Erstgespräch.

Diesen Beitrag teilen

Google Chrome unterbindet Drittanbieter Cookies

Wie sieht die Zukunft von Google Chrome in Bezug auf die Verwendung von Drittanbieter Cookies aus? Das beschreibt ein Artikel, den wir für Sie zusammengefasst haben. Die Originalfassung des Artikels können Sie hier in englischer Sprache lesen.

Ein Meilenstein für den Datenschutz – oder etwa doch nicht?

Keine Cookies von Drittanbietern. Das ist eine der Kernaussagen und Schlüsselfunktionen. Das klingt gut, oder? Aber wer profitiert letztendlich davon? Der Datenschutz oder Google?

Google hat im Januar 2020 angekündigt, Drittanbieter-Cookies abschaffen zu wollen. 2022 soll es dann soweit sein. Browser wie Safari und Firefox lassen bereits seit 2017 bzw. 2019 keine Drittanbieter-Cookies zu. Wegen dem immensen Marktanteil von Google wird das Projekt von Chrome allerdings eine viel größere Wirkung haben. Im Frühjahr sollen bereits erste Tests durchgeführt werden.

Bye bye Online Werbung?

Online-Werbung, so wie wir sie kennen, wird es so dann nicht mehr geben. Denn die Web-Aktivitäten von Billionen Nutzern können nicht mehr so einfach getrackt werden. Das sind schlechte Nachrichten für kleine Werbeagenturen und Webseiten, die mit Anzeigen ihr Geld verdienen.

Stattdessen wird Chrome die Kontrolle über den Werbeprozess übernehmen. Browserverläufe werden dann nur von Chrome protokolliert und die Nutzer dementsprechend in Gruppen mit ähnlichen Interessen unterteilt. Die Infrastruktur für individualisiertes Tracking und Profiling wird abgeschafft und durch eine andere Methode ersetzt, die zielgerichtete Werbung erlaubt.

Die Privacy Sandbox-Technologie

Im Projekt „Privacy Sandbox“ von Google und dem Chromium-Team werden die Ziele des Vorhabens festgehalten. Dokumentiert werden diese auch online. Weniger Anzeigenbetrug, CAPTCHAs, neue Methoden für den Einsatz von Werbung durch das Unterbinden von Drittanbieter Cookies. Das klingt eigentlich gar nicht so schlecht. Allerdings wird das Projekt derzeit von der englischen Wettbewerbsbehörde und dem Datenschutzbeauftragten der Kommission untersucht. Die Ergebnisse stehen noch aus. Kritisiert wird, dass Google und Chrome durch diese Veränderungen noch viel mehr Macht erhalten werden.

AI Systeme zur Kategorisierung der Benutzer

Google will in Zukunft „privacy-preserving API alternatives“ einsetzen. Mit Hilfe von AI-Systemen (FLoc – Federated Learning of Cohorts) sollen die Benutzer in bestimme Kategorien eingeteilt werden. Je nach Gruppierung wird den Usern dann dementsprechende Werbung vorgesetzt. Verglichen wird diese Vorgehensweise mit dem Algorithmus von Netflix: Die Historie von Benutzern ist nicht identisch, aber was A gefällt, könnte ja auch B gefallen.

Keine Drittanbieter Cookies, dafür Chrome als Herr der Daten

Alle Daten werden von Chrome verarbeitet. Anders als bei Drittanbietercookies, die „wie Konfetti herumgewirbelt“ werden, wie Chetna Bindra von Google es ausdrückt. Google wird damit zum Super-Tracker. Es wird weniger an Drittparteien gesendet, allerdings gibt es Besorgnis darüber, dass Google alleine die Kategorisierung vornehmen kann. Und so kann Google auch den Algorithmus nach Lust und Laune verändern.

Bedenken gibt es auch, was die Gruppierung anhand von sensiblen Daten angeht. Hier kann es zu „algorithmischen Vorurteilen“ (algorithmic bias) kommen, wenn Merkmale wie Rasse, sexuelle Orientierung oder Behinderungen hinzugezogen werden. Das System kann diese sensiblen Informationen über das Verhalten und das Interesse der Benutzer herausfiltern.

Google und Facebook – die zwei Giganten

Informationen aus Erstanbietercookies könnten in Zukunft besser und gezielter eingesetzt werden, wenn es keine Drittanbietercookies mehr gibt. Dies ist eine gute Nachricht für Facebook und Google, die durch ihre Produkte an viele Benutzerinformationen gelangen.

Die Gewinner wären die größten Tech-Plattformen. Und Werbetreibende müssen sich dann auf die Login-Informationen der Benutzer verlassen. Oder eben auch auf Google und Facebook, die diese Informationen für sie speichern. In Zukunft könnten noch mehr Werbegelder in Facebook, TikTok oder YouTube gesteckt werden. Allerdings gilt diese zentralisierte Kontrolle durch eine kleinere Gruppe von sehr großen Unternehmen als problematisch. Die Gefahr des Datenmissbrauchs ist hier wahrscheinlicher.

Wie sehen Sie diese Entwicklung?

Werden Sie sich von Chrome als Browser trennen, wenn die Drittanbieter Cookies deaktiviert werden und dafür Google alles auffängt? Was ist Ihre Erkenntnis? Wir freuen uns über einen Kommentar von Ihnen.

Quelle: https://www.wired.co.uk/article/google-chrome-cookies-third-party-ads

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Der Datenschutzbeauftragte von Baden-Württemberg hat seinen Tätigkeitsbericht 2020 veröffentlicht.

Der Bericht steht vor allem im Zeichen der Corona-Krise. Haben Sie auch schon von dem Gerücht gehört, dass es seit der Corona-Krise keinen Datenschutz mehr gibt :)? Dr. Stefan Brink widmet das erste Kapitel dem Datenschutz in der Corona-Krise. Weiterhin werden im Bericht auch das Schrems II – Urteil, der Brexit, aktuelle Bußgelder und verschiedene Fälle aus der Praxis vorgestellt.

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Das Thema Corona und Datenschutz nimmt einen beachtlichen Teil im Bericht ein
  • Die Aufsichtsbehörde gibt Tipps und Hilfestellungen zu Videokonferenzsystemen
Continue reading „36. Tätigkeitsbericht 2020 des LfDI Baden-Württemberg“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

WhatsApp hat seine AGB und die Datenschutzrichtlinie erst Anfang Januar angepasst. Jeder, der WhatsApp nutzt, erhält derzeit ein Pop-Up und wird um die Zustimmung für die neuen AGB und die Datenschutzrichtlinie gebeten bzw. gezwungen. Doch was bedeuteten die neuen AGB und die neue Datenschutzrichtlinie?

Auf den Punkt gebracht: WhatsApp und die neuen AGB

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Wer WhatsApp nach dem 08.02.2021 weiter nutzten möchte, muss den neuen AGB und der Datenrichtlinie zustimmen
  • Die Daten aus WhatsApp werden zukünftig zur Vermeidung von Spam, Drohungen, Missbrauch und Rechtsverletzungen geteilt
Continue reading „Die neuen WhatsApp AGB und neue Datenschutzerklärung“

Diesen Beitrag teilen

Unser positiver Jahresrückblick 2020

Es liegt nah, das Jahr 2020 mit Jammern zu beenden. Was war es auch für ein außergewöhnliches Jahr, das nun hinter uns liegt?

Aber ganz ehrlich? Hat den trotz Corona und den daraus ergebenden unschönen Umständen das Jahr nicht aus positive Highlights gehabt?

Wir schließen das Jahr mit einem positiven Rückblick ab

Auch uns hat es ebenfalls hart getroffen beim 1. Lockdown. Wir konnten uns zum Glück wieder aufrappeln und haben die Zeit genutzt, um uns auch weiter zu entwickeln.

Rückblickend war im geschäftlichen Umfeld tatsächlich nicht alles negativ.

  • Wir haben sehr viel positives Feedback von Kunden und Blog-Lesern erhalten.
  • Wir konnten unsere Marke Datenbeschützerin® noch weiter als fachlich kompetenter Dienstleister etablieren.
  • Wir durften viele angenehme und gute Gespräche und Termine mit Ihnen, unseren Kunden und Interessenten führen, die unser Geschäft erst zu dem machen, was uns Freude bereitet.

Eine Bereicherung der besonderen Art waren auch die vielen neuen Kontakte, die wir im Online-Modus geschlossen haben. Bei manchen wird sich auch für die Zukunft eine enge und gute Zusammenarbeit ergeben. Das freut uns wirklich sehr!

Unser persönlicher Rückblick auf die Highlights 2020

Wir haben uns Gedanken gemacht, was für uns persönlich in diesem vergangenen Jahr positiv in Erinnerung bleiben wird.

Jasmin Muhmenthaler-Sturm Datenbeschützerin

Mein persönliches Highlight 2020 in beruflicher Hinsicht waren trotz der erschwerten Umstände die tolle Zusammenarbeit und die Aufrechterhaltung der Kommunikation zu unseren Kunden. Weiterhin auch die vielen fachlichen Vernetzungen mit  Datenschutzkollegen zählt dazu. Privat habe ich ein großes Ziel für die Gesundheit erreicht: Ich habe das Rauchen aufgehört (ich hatte selbst nicht daran wirklich geglaubt, aber ich habe es geschafft)

Auf ein tolles neues Jahr 2021! 

Jasmin

Mein Highlight in diesem Jahr war auf jeden Fall meine runde Geburtstagsfeier im Juni. Die hätte viel größer ausfallen sollen (da hätte ich dann natürlich auch das Team der Datenbeschützerin eingeladen), aber aufgrund der Umstände war nur die engste Familie da. An dem Abend hat einfach alles gepasst. Es war ein Sommernachtstraum – sogar die Glühwürmchen haben bei mir vorbeigeschaut.

Barbara
Barbara Janik Datenbeschützerin
Regina Stoiber Datenbeschützerin

…wenn wir schon bei runden Geburtstagen sind, dann kann ich mich mit meinem Highlight gleich anschließen. Einen Raketenstart auf Cape Canaveral zu sehen, war schon etwas Besonderes. 

Ein paar Wochenendtouren mit dem Wohnmobil hatten für mich dieses Jahr ebenfalls bereichert. 

Persönlich freut mich natürlich die positive Entwicklung der Datenbeschützerin® ungemein. Dazu gehört auch der Spagat zwischen Job und Familie, der doch immer irgendwie gelingt, wenn alle zusammen halten.

Regina

Die Eindrückende, die von unserer Florida Reise geblieben sind, wirken bis heute nach. Die Everglades, aber  auch das Kennedy Space Center ist definitiv ein Highlight für Technik-Fans.

Peter
Peter Stoiber Datenbeschützerin
Martina Wolf Datenbeschützerin

2020 war für mich beruflich ein sehr abwechslungsreiches Jahr mit vielen tollen, kreativen Herausforderungen. Vieles davon im Home Office – was für mich zum Glück kein Neuland war. Im Frühlings-Lockdown durfte ich mich auch als Lehrerin versuchen, was mich mehr den je davon überzeugt hat, bereits den richtigen Beruf für mich gefunden zu haben 😉 Auf meine Zwillinge und mich bin ich aber um so mehr stolz, dass sie trotz der widrigen Umstände erfolgreich lesen und schreiben gelernt habe

Martina

Wünsche für 2021

Ich bin mir ganz sicher, dass sich wohl jeder wünscht, dass das nächste Jahr einfach nur „normal“ wird. Noch nie hatten wir uns so auf „normal“ gefreut, wie in der aktuellen Situation.

Für die Datenbeschützerin® wünschen wir uns, dass es im neuen Jahr weiter geht, wie das Jahr 2020 zu Ende gegangen ist: Sehr positiv.

Vielen Dank an Sie, unsere treuen Leser, Interessenten und Kunden. Sie sind der Grund für unsere Begeisterung am Job.

Frohe Weihnachten und alles erdenklich Gute für 2021.

Unser Team ist von Montag 21.12.2020 – Sonntag 10.01.2021 im verdienten Weihnachtsurlaub. 
Ganz dringende Themen schicken Sie uns bitte an die info@datenbeschuetzerin.de E-Mail Adresse, die wir einmal täglich abrufen. 

Diesen Beitrag teilen

Cloud Computing Anbieter im Datenschutz Vergleich

Inhaltsverzeichnis

Cloud Computing Anbieter im Vergleich – ARBEITSPAPIER!

Aufgrund der Komplexität der umfangreichen Prüfungen, haben wir uns erstmals entschlossen, einen Beitrag online zu stellen, obwohl er noch in Bearbeitung ist.

Sicherheit und Datenschutz in der Cloud sind wesentliche Argumente bei der Auswahl eines Cloud Anbieters.

Vor allem nach dem Wegfall des EU US Privacy Shields ist es noch schwieriger zu bewerten, inwiefern ein Anbieter eines Online-Dienstes die Anforderungen erfüllen kann.

Wir arbeiten daher gerne mit einem risikobasierten Ansatz. Die gelisteten Cloud Computing Anbieter werden nach objektiven Kriterien bewertet. Eine Risikobewertung basiert aber auch immer auf einer subjektiven Einschätzung, daher ist es wichtig, dass Sie die Liste als Empfehlung sehen, diese aber mit Ihren eigenen Kriterien abgleichen, bevor Sie sich für einen Anbieter entscheiden.

Wir verwenden ein Ampelsystem, das recht einfach zu verstehen sein sollte. Bei US Anbietern bleibt aufgrund der gesetzlichen Lage immer ein Restrisiko. Kaum ein Dienst kann 100% konform betrieben werden. In diesem Fall kennzeichnen wir dies – wenn alle anderen Bedingungen positiv sind – mit einer grün-gelben Ampel.

Continue reading „Cloud Computing Anbieter und Datenschutz im Vergleich“

Diesen Beitrag teilen

Ist bei Office 365 Datenschutz überhaupt möglich?

Bei diesem Thema sind sich selbst die Datenschutzbehörden uneinig.

Eine Aussage zum Beispiel des Berliner Datenschutzbeauftragten, dass Microsoft mit seinen Produkten nicht die gesetzlichen Datenschutzanforderungen umsetzt, ist für die Praxis nicht wirklich hilfreich. Von lösungsorientiert ganz zu schweigen. Daher möchte ich die Cloud Services von Microsoft in diesem Beitrag objektiv beleuchten. Für Fragen, stand auch eine Ansprechpartnerin bei Microsoft zur Verfügung, deren Antworten mit in diesen Beitrag einflossen.

Wie sich parallel die Datenschutzbehörden zu diesem Thema positionieren werden, ist noch offen. Zum Zeitpunkt der Erstellung liegt weder ein konkretes Nutzungsverbot noch eine Zustimmung der Behörden zum Einsatz vor. Die DSK spricht sich zwar gegen einen Einsatz von Office 365 aus, einzelne Behörden, sehen das allerdings anders. Eine Stellungnahme des Bayerischen LDAs finden Sie unter diesem Link.

Die hier vorstellten Informationen sollen Ihnen helfen, eine eigene Bewertung für Ihr Unternehmen vorzunehmen. Weitere Informationen zur Durchführung dieser ausführlichen Bewertung finden sie im Beitrag zum Einsatz von Cloud Services.

Dieser Artikel kann eventuell als Werbung verstanden werden. Wir stellen jedoch klar, dass wir keine Bezahlung und sonstige Vergütung für diesen Beitrag erhalten haben. Es sind auch keine Affiliate Links hinterlegt. Somit können wir die Berichterstattung neutral halten.

Der obligatorische Hinweis, dass es sich hier um keine Rechtsberatung handelt, sei an dieser Stelle noch angebracht.

Inhaltsverzeichnis

Auf den Punkt gebracht: Microsoft Office 365 und Datenschutz

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Mit einer ausführlichen Dokumentation und strengen Konfiguration und einer entsprechenden Risikobewertung ist aus unserer Sicht der Einsatz von Microsoft 365 möglich.
  • Ein geringes Restrisiko, dass Daten unrechtmäßig an amerikanische Strafverfolgungsbehörden übermittelt werden, bleibt.
  • Microsoft minimiert mit seinen Maßnahmen dieses Risiko.
  • Ob Sie als Verantwortlicher dieses Risiko tragen, müssen Sie selbst entscheiden und dokumentieren.

Einsatz von Microsoft Office 365 im Unternehmen

Gerade für kleine und mittelständische Unternehmen bietet der Online-Dienst 365 von Microsoft wirklich Mehrwert. Das meine persönliche Einschätzung. Eine vergleichbare Alternative dazu ist mir nicht bekannt. Wer hier der Meinung ist, Open Office wäre im Business-Einsatz ein geeignetes Pendant, der braucht an dieser Stelle nicht weiter zu lesen.

Wenn Sie wissen möchten, was Microsoft im Bezug auf Datenschutz zu bieten hat (oder eben nicht), dann hilft Ihnen dieser Artikel weiter. Natürlich beleuchten wir auch die Produkte unter dem Aspekt Datenübermittlung in Drittstaaten und zugrundeliegende Rechtsgrundlage.

Mit diesen Informationen im Beitrag und der Vorgehensweise zum Einsatz von Cloud Services, geben wir Ihnen solide Werkzeuge an die Hand. Damit können Sie eine Bewertung vornehmen und als Nachweis dokumentieren, ob Sie den Einsatz von Microsoft Office 365 in Ihrem Unternehmen als datenschutzkonform erachten.

In unserem Whitepaper zum Thema Office 365 – Datenschutz haben wir diese Vorgehensweise und Dokumentation nochmals konkret für Sie zusammen gestellt.

Sie erhalten dieses Whitepaper mit der Anmeldung zu unserem Newsletter. Alternativ senden wir es Ihnen kostenlos zu. Schreiben Sie uns einfach eine kurze E-Mail.

Klicken Sie auf den unteren Button, um den Inhalt von subscribe.newsletter2go.com zu laden.

Inhalt laden

Vertrauen in Microsoft als Anbieter

„Wenn wir unsere Kunden nicht schützen können, haben wir ihr Vertrauen nicht verdient.“

Brad Smith, President und Chief Legal Officer, https://www.microsoft.com/de-de/trust-center

Wenn dies nicht der erster Artikel ist, den Sie von mir lesen, wissen Sie, dass ich keiner Verschwörungstheorie anhänge. Daher bin ich auch nicht der Meinung, dass es das Ziel von Microsoft ist, den Datenschutz mit Füßen zu treten und seine Kunden nicht zu schützen.

Natürlich ist der Konzern ein gewinnorientiertes Unternehmen und nutzt Daten zur Optimierung und Bewerbung seiner Produkte.

Vorgehensweise zur Datenschutzbewertung von Microsoft Office 365

I did it! Mit netter Unterstützung einer Compliance Expertin bei Microsoft habe ich extrem viel gelesen, gelernt und mir eine Meinung gebildet. Das Ergebnis meiner Recherchen finden Sie zusammengefasst in diesem Blogbeitrag. Wer mehr erfahren möchte, wird in unserem Webinar zum Thema „Cloud Services mit Schwerpunkt Microsoft 365“ fündig. Das hier neu Erlernte können Sie sich nach erfolgreicher Prüfung mit einem Zertifikat bestätigen lassen.

Informationsbeschaffung

Was viele hassen, mache ich eigentlich ganz gern. Ich vergrabe mich in Informationen, recherchiere und trage Fakten zusammen. So auch in diesem Fall bei der Mission „Office 365 Datenschutz“.

Mein erster Eindruck ist trotz allem Optimismus kritisch: Will Microsoft überhaupt Transparenz bieten? Es gibt zwar gefühlt zu allem und jedem Detail eine Dokumentation, aber wirklich weiter hilft diese nicht. Selbst dem interessierten Leser erschließt sich der Zusammenhang der tausend und abertausend Dokumente nicht. Ich kann nach tagelangem Lesen noch immer keine Struktur erkennen. Jede Dokumentation verweist auf eine weitere Dokumentation. Irgendwann bin ich fast in jedem Punkt so weit, dass ich meinen Ausgangspunkt nicht mehr im Blick habe.

Zudem werde ich von der Weiterleitung weiter geleitet, bis dann am Ende die Meldung kommt, dass die Datei oder die Seite nicht mehr existiert. Vom ursprünglichen e-Book Link zu DSGVO Best Practices komme ich dann irgendwann bei der digitalen Transformation heraus. Da ging wohl etwas schief bei der Customer Journey! Mein Reisegefühl entwickelt sich gerade etwas in Richtung Aggressivität.

Das ist deprimierend und auf jeden Fall ein Punkt, der mich extrem stört. Ich habe gerne klare Linien und eine Übersicht.

Kategorisierung verschiedener Daten durch Microsoft

In den verschiedenen Dokumentationen liest man immer wieder von unterschiedlichen Datenarten. Was sich dahinter versteckt, fasse ich hier kurz zusammen.

Kundendaten

Das sind die „Nutzdaten“. Sozusagen der produktive Output. Alle Dateien und auch Software, die hochgeladen und gespeichert werden. Dazu zählen auch E-Mails und Berichte oder SharePoint Webseiteninhalte…

Diagnosedaten / Telemetriedaten

Hier wird auf die Daten verwiesen, die quasi als Logfile oder Protokoll generiert werden, wenn man die Microsoft Software lokal installiert hat. Der Zweck der Datenverarbeitung ist die ordnungsgemäße Funktion der Software.

Vom Dienst generierte Daten

Im Gegenzug zu den Diagnosedaten beziehen sich die hier automatisch erfassten Protokolle auf die Online-Services. Unter anderem dienen die Daten auch dazu, Kapazitäten zu erhöhen und dadurch Rückschlüsse auf Auslastung der Server zu ziehen.

Professional Services-Daten

Nach meinem Verständnis sind das Daten, die entweder durch den Kunden selbst an Microsoft für Support Zwecke übermittelt werden oder die Microsoft aufgrund der Kundenvereinbarung erfasst – in Bezug auf die Nutzung von Professional Services. Auch das können wieder alle möglichen Formen und Formate an Dateien sein. Dieser Punkt ist aus meiner Sicht etwas intransparent kommuniziert.

Weitere Datendefinitionen von Microsoft

Administratordaten

Darunter fällt nach meiner Interpretation alles, was bei den Tätigkeiten des Admins so anfällt. Das sind die personenbezogenen Daten des Admins, wie E-Mail, Name, Telefonnummer. Aber auch Nutzungsdaten und kontobezogene Daten. Zweck ist die Bereitstellung des Dienstes, Wartung der Konten und Erkennung von Betrug.

Zahlungsdaten

Eigentlich selbsterklärend, hier geht es um die Abwicklung des Kaufs, aber auch um die Erkennung und Verhinderung von Betrug im Zahlungsverkehr.

Personenbezogene Daten

Glücklicherweise hat Microsoft hier keine eigene Definition entgegen der gesetzlichen Begrifflichkeit. Ergänzt wird hier allerdings, dass personenbezogene Daten in jeder Unterkategorie der beschriebenen Daten auftreten können – ist aber auch logisch.

Datenkategorien im Sinne der Strafverfolgung

Wenn es um die Anfrage von Behörden geht, in denen um die Herausgabe von Daten gebeten wird, werden die Daten in folgende Klassen eingeteilt.

Non-content data

Hierbei handelt es sich um allgemeine Informationen des Abonnenten (Name, Adresse, IP-Adresse, Zahlungsfinformationen…).

Content data

Darunter fallen die Kundendaten, die bereits oben beschrieben sind. Also die Nutzdaten, die der Kunde kreiert.

Microsoft Office 365 und Azure

Azure Rechenzentren

Die Services, die unter Office 365 zusammen gefasst sind, laufen als Software as a Service (SaaS) in Azure Rechenzentren. Die Rechenzentren sind in verschiedene Geographien und Regionen zusammen gefasst.

Neu im „Geographie-Club“ ist Deutschland. Jeder neue Office 365 Kunde seit Dezember 2019 ist automatisch in Deutschland lokalisiert. Seine Services (die meisten jedenfalls) laufen also in deutschen Rechenzentren. Alle Kunden, die vor 12/2019 ihr Abonnement begonnen haben, werden sukzessive umgezogen. Für den Umzug gibt es einen Plan, der mir ein Schmunzeln entlockt hat. Quasi alle Kunden in den genannten Ländern werden nach diesem Plan bis Juli 2022 umgezogen sein. Der Umzug der deutschen Kunden (die „Nervensägen“ lt. Microsoft 😉 ), ist jedoch bereits jetzt in Planung.
Wie war das? Wer am lautesten schreit…..

Verteilung der Office Services in verschiedene Geographien

In einer Übersicht zeigt Microsoft, wo welcher Service gehostet wird, also in welchem Land das Rechenzentrum liegt, in dem der Dienst läuft. Bei den gängigen Services (aus meiner subjektiven Sicht, die wohl am meisten verwendeten) sind die Dienste für deutsche Kunden vorbildlich in Deutschland gehostet.

Interessanterweise gibt es aktuell (Stand Sommer 2020) folgende Dienste, die nicht in Deutschland laufen.

Davon werden in der EU folgende Services gehostet:

  • Skype for Business – sehe ich als nicht relevant, da der Dienst quasi durch Teams abgelöst wurde
  • Intune
  • Planner
  • Yammer
  • Stream
  • Whiteboard
  • Formulare

In den USA werden folgende Services für deutsche Nutzer angeboten:

  • Sway
  • Workplace Analytics, was ich als äußerst kritisch sehe, wenn ausgerechnet die sensiblen Auswertungen in den USA laufen

Ob der oben genannte Umzug der Services der deutschen Kunden in deutsche Rechenzentren tatsächlich alle Services beinhaltet, stelle ich mal in Frage. Das würde ich daraus nicht schließen.

Microsoft Applikationen

Ein ganz wichtiger Faktor im Sinne des Datenschutzes ist die benutzerdefinierte Freigabe von Apps. Kritische Apps aus Sicht des Verantwortlichen können für den Anwender deaktiviert werden.

Ein paar der nicht so bekannten Applikationen möchte ich hier kurz vorstellen.

Microsoft Graph

Der Microsoft Graph ist die Summe aller Daten und Informationen rund um Produktivität, Identität und Sicherheit einer Organisation in Microsoft 365. Über die Microsoft Graph API interagieren Office-365-Anwendungen und Drittanbieteranwendungen berechtigungsgesteuert mit den Daten.

Quelle: https://aka.ms/gutgemacht

Mit Microsoft Graph können Funktionen erweitert werden. Mit individuellen Abfragen können z.B. Workflows eingebunden werden und die Interaktion von Dritt-Diensten mit Microsoft Ressourcen kombiniert werden.

Delve

Diese App zeigt die öffentlichen Daten des Mitarbeiters für andere Unternehmensangehörige an. Mitarbeiter können zudem darüber hinaus freiwillige Angaben über sich preisgeben.

Eine weitere Funktion von Delve ist die Anzeige, wer welche Datei als letzte/r bearbeitet hat. Das Berechtigungskonzept wird natürlich eingehalten. Das heißt, wenn Mitarbeiter B keine Einsicht auf den Finanzplan hat, sieht er auch nicht, dass Mitarbeiter A diesen gerade bearbeitet hat.

MyAnalytics

Bei MyAnalytics erhält der Anwender nur Auswertungen und Informationen über sich selbst und sein eigenes Verhalten. Diese Informationen sind nur für den Anwender selbst bestimmt.

Workplace Analytics

Im Gegensatz zu MyAnalytics ist es mit Workplace Analytics möglich, innerhalb von Mitarbeitergruppen das Arbeitsverhalten zu vergleichen. Dazu muss unbedingt eine Betriebsvereinbarung oder eine andere Rechtsgrundlage der Verarbeitung vorliegen. Ansonsten müssen Sie diese Funktion zwingend deaktivieren.

Sofern diese Funktion wie oben beschrieben nur auf amerikanischen Servern verfügbar ist, empfehlen wir grundsätzlich, diese Analyse zu deaktivieren.

Überwachungsfunktionen in Microsoft 365 für Compliance Zwecke durch Betriebs- und Personalräte

Microsoft bietet in seinen Cloud Services ein vielschichtiges Konzept mit Audit- und Überwachungsfunktionen an. Damit ist es möglich, gesetzliche oder sonstige vertragliche und normative Anforderungen zu gewährleisten. Nicht nur ein technischer Admin aus der IT hat somit Überwachungsmöglichkeiten, sondern auch ausgewählte vertrauenswürdige Personen z.B. aus der Revision, dem Betriebsrat oder anderen definierten Stellen.

Eingeschränkte Administratorenrechte

Global Reader

Im System wird ein „Global Reader“ Administrationskonto zur Verfügung gestellt. Damit ist es ausgewählten Rollen möglich, die Konfiguration und vollständige Administration von Office 365 einzusehen.

Ein Zugriff auf die Daten oder auch Änderungen an der Konfiguration sind nicht möglich.

eDiscovery-Funktion

Wer diese Berechtigung erhält, hat die Möglichkeit, alle Inhalte in Office 365 zu durchsuchen. Dies ist z.B. für Mitarbeiter gemacht, die Auskunftsgesuche im Rahmen des Datenschutzes bearbeiten.

Compliance Dashboards und Funktionen

Aber nicht nur funktionelle Rollen unterstützen in der Einhaltung der Compliance Vorgaben. Neben den eingeschränkten Adminrechten gibt es auch weitere Dashboards, die bei der Einhaltung von Compliance Vorgaben unterstützen können. Anbei nur einige Möglichkeiten, die Microsoft hier bietet.

Acitivity API

Die Acitivity API stellt detaillierte Informationen über die Verwendung des Microsoft Cloud Services zur Verfügung. Der Zweck der API soll sich laut Hersteller auf forensische Analysen oder Audit-Systeme beziehen.

Compliance Manager

Der kostenlose Compliance Manager ist ein integriertes Tool zur Risikoabschätzung. Damit lassen sich Regelwerke nachverfolgen, zuweisen und überprüfen.

Ich muss gestehen, ich bin beim ersten Öffnen ziemlich erschlagen. Es gibt neben den vordefinierten Compliance-Regeln auch die Möglichkeit, eigene Vorgaben zu integrieren und diese zu überwachen.

Microsoft 365 Compliance Manager Dashboard
Beim ersten Öffnen des Compliance Managers erhalte ich dieses Dashboard.

DSGVO Dashboard

Mit diesem DSGVO Dashboard hat man verschiedene Optionen, Vorgaben des Datenschutzes umzusetzen. Die Löschung kann man hier z.B. in Regeln hinterlegen. Ebenfalls gibt es eine Funktion, um Auskunftsgesuche zu beantworten (also die Daten dazu herauszufiltern).

Microsoft 365 DSGVO Dashboard
Mit dem DSGVO Dashboard können grundlegende Anforderungen des Gesetzes unterstützend umgesetzt werden.

Secure Score – Sicherheitsbewertung

Mein persönlicher Favorit ist der Secure Score von Microsoft. Hier werden ganz konkrete Handlungsempfehlungen gegeben. Je nach umgesetzter Maßnahme verbessert sich im Anschluss die Bewertung, der interne Secure Score steigt also.

Ich sehe weniger die absolute Zahl, die man hier erreichen kann, als hilfreich. Viel mehr finde ich das Verhältnis gut, das zeigt, mit welchen Maßnahmen man die eigene Sicherheit erhöhen kann. Dass natürlich nicht für jedes Unternehmen und jeden Einsatzzweck dieselben Maßnahmen sinnvoll sind, müssen wir nicht diskutieren. Vielmehr werden hier dem Admin und dem Unternehmen Möglichkeiten aufgezeigt, sich damit auseinander zu setzen.

Microsoft 365 Secure Score Bewertung
Konkrete Handlungsempfehlungen gibt die Sicherheitsbewertung des Cloud Services von Microsoft.

Microsoft Trust Center

Das Trust Center enthält eine Vielzahl an Dokumentationen über Compliance und technische Sicherheit der Microsoft Dienste und Produkte.

Selbstverpflichtung des Anbieters

Im Trust Center unter Datenschutz verpflichtet sich Microsoft selbst zu strengen Regeln des Datenschutzes:

  • Kunden haben Kontrolle und Transparenz
  • Es werden keine Datenprofile zu Marketing- und Werbezwecken genutzt und auch nicht an Dritte weitergegeben
  • Keine „Hintertür“ in der Software oder den Diensten, um Verschlüsselung zu umgehen oder Behörden Zugriff zu gewähren
  • Umsetzung der DSGVO Anforderungen weltweit – nicht nur in der EU
Ist bei Office 365 Datenschutz überhaupt möglich?
Pin it on Pinterest!

Schutz der Kundendaten in der Cloud

Dieses Thema füllt einen eigenen Artikel. Was Sie beim Einsatz von Cloud Services generell beachten sollten, finden Sie im Beitrag auf unserem Blog.

Ganz besonders und vor allem beim internationalen Anbieter Microsoft beschäftigen wir uns mit dem Thema Datentransfer in die USA. Aufgrund des Wegfall des EU US Privacy Shields ist hier ja grundsätzlich ein Compliance Risiko zu berücksichtigen. Wie sich Microsoft hier positioniert und dem Kunden Sicherheit entgegen bringt, hat mir unser Kontakt bei Microsoft erläutert.

Microsoft im Umgang mit dem CLOUD Act

Microsoft erlegt sich hier selbst strenge Verpflichtungen auf. Bei Anfragen von Dritten zur Herausgabe von Kundendaten leitet Microsoft diese Anfragen direkt an den Kunden weiter. Dies gilt auch bei Anfragen, die auf dem Cloud Act basieren.

Anfragen auf Basis der Strafverfolgung in den USA

Folgendes Vorgehen wurde mir von Microsoft per Mail mitgeteilt:

  1. Im Falle einer Strafverfolgung der US Behörden muss eine entsprechende Spezifizierung stattfinden, die den genauen Zweck, Begründung, Suchparameter… enthält. Also letztendlich ähnlich wie auch bei uns.
  2. Standardmäßig widerspricht Microsoft – auch vor Gericht – und schlägt vor, den Kunden direkt zu kontaktieren und über diesen Weg die notwendigen rechtlichen Schritte einzuleiten. In den allermeisten Fällen ist dies erfolgreich.
  3. Die meisten Anfragen beziehen sich auf Konsumenten Accounts und nicht auf Business Accounts.

Stellungnahme von Microsoft zum Umgang bei Anfragen von Strafverfolgungsbehörden

In einer Stellungnahme von Microsoft ist nachvollziehbar, welche Maßnahmen und vor allem Klagen Microsoft seit 2013 bestritten hat, um für die Sicherheit der Kundendaten einzustehen.

Konkret findet man hier auch einen Erfolgsbeitrag, wie Microsoft eine Klage zur Herausgabe von E-Mails an Strafverfolgungsbehörden verhindert hat.

Microsoft wird Behörden bei Anfragen zur Herausgabe von Kundendaten von Unternehmenskunden weiterhin immer zunächst an den Kunden verweisen beziehungsweise den Kunden über die Anfrage informieren, soweit nicht gesetzlich verboten. Microsoft bietet seinen Kunden zudem Transparenz über die an Microsoft gestellten Anfragen sowie verschiedene Alternativen zur Speicherung von Kundendaten. 

Whitepaper „Datenschutz mit Windows 10 und Microsoft 365“

Dieses Zitat ist schon mal ein guter Ansatz. Aber irgendwie doch unbefriedigend mit dem Zusatz „soweit nicht gesetzlich verboten“. Wie groß ist nun das Risiko, dass auf Daten durch die US Regierung zugegriffen wird, ohne das der Kunde darüber Bescheid weiß?

Transparenz-Reports

Hierzu veröffentlich Microsoft halbjährlich einen Transparenz-Report. Dieser ist einzusehen über den Law Enforcement Requests Report.

Hier wird auch noch unterschieden bzw. angezeigt, welche Art von Daten (siehe Definition oben) durch die Strafverfolgungsbehörden angefragt wurde.

Die Anzahl der Löschanfragen wird ebenfalls protokolliert und ist in einer Auswertung einsehbar.

Zertifizierungen von Microsoft 365 Services

Wer noch ein paar weitere unabhängige Nachweise haben möchte, kann sich die vielen Zertifikate von Microsoft ansehen. Für jede Sparte ist quasi etwas dabei.

Übersicht über alle Controls und Auditberichte finden Sie unter diesem Link.

Hier gibt es eine Übersicht der Zertifikate von Microsoft.

Fazit: Geht nun bei Office 365 Datenschutz?

Allein diese Dokumentation sagt Ihnen noch nicht, ob Sie in Ihrem Unternehmen nun die Cloudlösung einsetzen können. Die aufgelisteten Punkte sind Faktoren, die Sie selber für Ihr Unternehmen bewerten müssen.

Für die Bewertung empfehlen wir Ihnen folgende Vorgehensweise

  1. Beschreibung des Verfahrens, welches Sie mit der Cloud Lösung im Unternehmen einsetzen möchten. Dokumentieren Sie genau welchen Zweck Sie abdecken möchten und vor allem welche Datenkategorien dabei verarbeitet werden. Nur so ist eine spätere Bewertung überhaupt möglich.
    Wie sollten Sie sonst Daten bewerten können, von denen Sie nicht mal genau wissen, was Sie sie verarbeiten?
  2. Identifizieren Sie Risiken aus drei Risikotypen
    – Compliance Risiken des Anbieters
    – Allg. Risiken in Technik und Prozessen beim Anbieter
    – Risiken im eigenen Unternehmen bei der Datenverarbeitung
  3. Bewerten Sie die Risiken und suchen Sie nach Maßnahmen, wenn hohe Risiken identifiziert werden.
  4. Nach Einbezug aller Maßnahmen bleibt ggf. ein Restrisiko. Stellen Sie dies klar und deutlich für Ihre Entscheider dar und legen Sie Ihnen mit Fakten eine Entscheidungsvorlage vor, um der Einsatz von Microsoft Cloud Produkten unter definierten Bedingungen im Unternehmen erfolgen soll.

Hört sich kompliziert an? Eigentlich nicht, aber etwas Arbeit steckt schon dahinter. Wie genau diese Bewertung und Stellungnahme aussehen kann, zeigen wir Ihnen detailliert im Blogbeitrag zum Thema.

Gerne stellen wir Ihnen unser Whitepaper zum Thema Office 365 – Datenschutz zur Verfügung. Sie erhalten es, wenn Sie sich für unseren Newsletter anmelden. Alternativ senden wir es Ihnen auf Anfrage zu. Schreiben Sie uns in diesem Fall einfach eine kurze E-Mail.

Update November 2020: Aufsichtsbehörden begrüßen die Bemühungen von Microsoft

Die bayerischen Aufsichtsbehörden äußern sich in einer Pressemitteilung positiv zu den Anpassungen der Standardvertragsklauseln von Microsoft. Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über
– die Information der betroffenen Person, wenn Microsoft durch eine

Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit
einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln
aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel
zu folgen.

Der Bayerische Landesbeauftragte für den Datenschutz
Bayerisches Landesamt für Datenschutzaufsicht, Pressmitteilung vom 20.11.2020

Klicken Sie auf den unteren Button, um den Inhalt von subscribe.newsletter2go.com zu laden.

Inhalt laden

FAQs

Der Einsatz von Microsoft Office 365 ist laut DSK nicht datenschutzkonform. Was bedeutet das?

Die DSK hat hierzu ein Statement abgegeben. Zum Stand Oktober 2020 stehen allerdings nicht alle Datenschutzbehörden hinter dieser Aussage. Als nächstes planen die Behörden gemeinsam mit dem Anbieter Microsoft eine Lösung zu finden.

Was sollen wir aktuell machen, wenn wir Office 365 im Unternehmen bereits einsetzen?

Wir empfehlen eine ausführliche Risikobewertung und vor allem eine strenge Konfiguration des Services hinsichtlich Datenschutz. Deaktivieren Sie alle Services, die Sie nicht benötigen. Deaktivieren Sie auch Services, die nicht auf EU Servern laufen.

Setzen Sie auch alle weiteren Konfigurationsschalter auf die sichersten Optionen hinsichtlich Datenschutz. Dokumentieren Sie dies gut, damit Sie im Zweifelsfall einen Nachweis haben, alles zum aktuellen Stand mögliche getan zu haben.

Trotz allem, verfolgen Sie zu diesem Thema auch die Stellungnahmen der Behörden. Natürlich aber auch unseren Blog uns unsere Social Media Kanäle. Wir halten Sie zu diesem Thema auf dem Laufenden.

Kann Office 365 derzeit ohne Restrisiko eingesetzt werden?

Selbst nach aktuellen Möglichkeiten bleibt immer ein Restrisiko. Zumal sich Microsoft über den Cloud Act nicht komplett aus der Verantwortung nehmen kann, im Zweifelsfall doch Daten an die US Regierung auszuhändigen. Die Maßnahmen, um dieses Risiko zu verbringen, werden allerdings vom Anbieter sehr streng eingehalten.

Zudem besteht natürlich immer die Gefahr, dass Daten durch eine falsche, fehlende Konfiguration oder unbekannte Funktion an den Anbieter übermittelt werden.

Quellen:

https://www.vitako.de/Publikationen/Leitfaden_Nutzung%20von%20Office.pdf

https://aka.ms/gutgemacht

https://docs.microsoft.com/de-de/microsoft-365/compliance/meet-data-protection-and-regulatory-reqs-using-microsoft-cloud?view=o365-worldwide

https://www.microsoft.com/de-DE/trust-center/privacy/customer-data-definitions

https://www.rijksoverheid.nl/documenten/rapporten/2019/06/11/data-protection-impact-assessment-windows-10-enterprise

Diesen Beitrag teilen

Datenschutz und IT-Sicherheit bei Cloud Computing

Ich bin überzeugt, dass Sie sich schon mal eine der folgenden Fragen gestellt haben:

  • Wie sicher ist die Cloud?
  • Wie sieht es aus mit Datenschutz und Datensicherheit in der Cloud?
  • Welche Risiken gibt es beim Einsatz von Cloud?
  • Darf man im Unternehmen überhaupt Cloud Computing nutzen?
  • Gibt es Cloud Anbieter, die die DSGVO Anforderungen umsetzen?

Diese Liste lässt sich individuell noch beliebig erweitern. Mit diesen und ähnlichen Fragen werden auch unsere Kunden immer wieder konfrontiert. Daraus sollte eigentlich resultieren, dass man sich als Unternehmen bei der Auswahl von Cloud Anbietern ein paar Gedanken macht.

Auf Gedanken zur sicheren Anwendung von Cloud Computing, die Auswahl eines Cloud Anbieters und vor allem auf die Risiken von Cloud Diensten möchte ich in diesem Beitrag eingehen.

Continue reading „Sicherheit und Datenschutz bei Cloud Diensten“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die niedersächsische Aufsichtsbehörde hat ihren jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Continue reading „25. Tätigkeitsbericht des LfDI Niedersachsen“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Am 16.07.2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt.

In diesem Beitrag zeigen wir auf, worum es im Urteil überhaupt geht. Für alle, die sich der Konsequenzen schon bewusst sind, geben wir auch Handlungsempfehlungen – nach dem aktuellen Stand der Stellungnahmen der Aufsichtsbehörden und Rücksprache mit Fachkollegen.

[Update am 26.10.2020: Nach einem Austausch in kleiner Runde mit Vertretern der bayerischen Aufsichtsbehörde und erfahrenen Datenschützern, wird dieser Artikel mit den Ergebnissen des Gesprächs ergänzt.]

Die nachfolgende Zusammenfassung stellt natürlich keine Rechtsberatung dar.

Continue reading „EuGH kippt Privacy Shield – Fehlende Sicherheit der Daten beim Datenaustausch zwischen der EU und den USA“

Diesen Beitrag teilen