Blog

eAU - elektronische Arbeitsunfähigkeitsbescheinigung
  • 19
  • Feb
Elektronische Arbeitsunfähigkeits-bescheinigung (eAU) und Datenschutz
Barbara Janik Datenschutz No Comments

Jeder im Berufsleben kennt ihn, den „gelben Schein“. Nun ist die Arbeitsunfähigkeitsbescheinigung auf Papier Geschichte. Sie wurde digitalisiert und ist seit Anfang dieses Jahres Pflicht. Offiziell trägt sie den Namen „elektronische Arbeitsunfähigkeitsbescheinigung (eAU)“. Sie wird von der Arztpraxis direkt an die Krankenkasse übermittelt.

Hinweis: Das eAU-Verfahren gilt nur für gesetzlich Versicherte, nicht für Privatversicherte.

Wie läuft das jetzt? Und was hat sich mit der Einführung geändert? Was müssen Arbeitgeber und Arbeitnehmer beachten? Welche Aspekte müssen Sie als Arbeitgeber in Bezug auf den Datenschutz berücksichtigen? Diese und andere Punkte klären wir in diesem Blogartikel.

Auf den Punkt gebracht: eAU – Was bleibt gleich, was ist neu?

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Gleich bleibt: Für Beschäftigte besteht weiterhin die Pflicht, sich beim Arbeitgeber krankzumelden (Informationspflicht)
  • Neu ist: In den meisten Fällen entfällt die Nachweispflicht des Arbeitnehmers
  • Neu ist: Es gibt einen Unterschied zwischen abrufbaren und nicht abrufbaren Daten
  • Gleich bleibt: Datenschutz und die Informationssicherheit für personenbezogene Daten

Wie lief die Krankmeldung bisher?

Gemäß § 5 Entgeltfortzahlungsgesetz hatte der Arbeitnehmer bisher zwei Pflichten: Zum einen musste er den Arbeitgeber unverzüglich über die Arbeitsunfähigkeit und die voraussichtliche Dauer informieren (Informationspflicht). Zum anderen musste er eine ärztliche Bescheinigung über die Arbeitsunfähigkeit vorlegen (Nachweispflicht). Dies hat sich zum Jahreswechsel geändert.

Wie läuft die Krankmeldung jetzt?

Seit dem 01.01.2023 gilt für den Arbeitnehmer auch weiterhin die Informationspflicht. Er muss sich bei seinem Arbeitgeber krankmelden. Allerdings muss er keinen Nachweis (gelber Zettel) mehr darüber erbringen.

Aber Achtung! Das heißt nicht, dass der Arbeitnehmer nicht mehr zum Arzt gehen muss und entsprechend keine Krankmeldung mehr benötigt. Lediglich die Übermittlung dieser Krankschreibung durch den Arzt hat sich geändert.

Nun ist die Krankenkasse dafür zuständig, den Nachweis der Krankmeldung zur Verfügung zu stellen. Sie sendet diesen allerdings nicht automatisch an den Arbeitgeber, sondern erst auf Abruf. Der Arbeitgeber steht mit der Einführung der eAU in der Pflicht, sich die für ihn relevanten Daten selbst zu beschaffen.

Was muss ich als Arbeitgeber in Bezug auf Datenschutz und Informationssicherheit beachten?

Als Arbeitgeber müssen Sie sich nun selbst um die Arbeitsunfähigkeitsbescheinigung Ihrer Arbeitnehmer kümmern. Dabei stellt sich die Frage: Welche Daten können Sie bei den Krankenkassen abrufen? Und gibt es auch Daten, die nicht abgerufen werden können?

Grundsätzlich können Sie nur Daten einzelner Beschäftigter abrufen. Ein pauschaler Abruf zur gesamten Belegschaft ist nicht möglich – und auch nicht erlaubt. Das heißt in der Praxis: Sie haben 15 Mitarbeiter bei acht verschiedenen Krankenkassen, die krankgemeldet sind. Nun müssen Sie für jeden dieser Mitarbeiter über die zuständige Krankenkasse pro Person den Abruf tätigen.

Folgende Daten können von den Krankenkassen abgerufen werden:

  • Name des Beschäftigten
  • Beginn und Ende der Arbeitsunfähigkeit
  • Datum der ärztlichen Feststellung der Arbeitsunfähigkeit
  • Kennzeichnung als Erst- oder Folgemeldung
  • Angabe, ob Anhaltspunkte dafür vorliegen, dass die Arbeitsunfähigkeit auf einem Arbeitsunfall oder sonstigem Unfall oder den Folgen daraus beruht

Ebenso können nur Daten der eigenen Beschäftigten abgerufen werden – und diese auch nur für gültige Beschäftigungszeiträume. Die Krankenkassen prüfen vor Weitergabe der Daten, ob der Versicherte zum Zeitpunkt der Arbeitsunfähigkeit auch beim abrufenden Arbeitgeber beschäftigt ist bzw. war.

Diese Informationen können nicht abgerufen werden:

  • Angaben über den Facharzt (was aus datenschutzrechtlicher Sicht zu begrüßen ist). Auf der alten AU („gelber Zettel“) konnten durch den Arztstempel evtl. Rückschlüsse auf mögliche Erkrankungen gezogen werden.
  • Informationen über einer Erkrankung von Kindern, Wiedereingliederungen oder Beschäftigungsverbote in der Schwangerschaft.

Wie werden die Daten übermittelt?

Zwischen Ärzten und Krankenkassen und zwischen Krankenkassen und Arbeitgebern werden die Daten elektronisch übermittelt (mit einer Ende zu Ende-Verschlüsselung). Die Datenübertragung und die Verschlüsselung sind in der KIM geregelt.

KIM steht für „Kommunikation im Medizinwesen“ und ist der Kommunikationsstandard in der Telematikinfrastruktur (TI).

Was ändert sich bei den Aufbewahrungspflichten bzw. Löschpflichten?

Hier hat sich nichts geändert. Für AU-Bescheinigungen gab und gibt es auch weiterhin keine festen Aufbewahrungsfristen. Allerdings empfiehlt es sich, eine AU-Bescheinigung so lange aufzubewahren wie sie mit der Entgeltzahlung in Verbindung steht. 

Danach sind AU-Bescheinigungen zu vernichten bzw. zu löschen.

Werden von den Krankenkassen Meldungen mit unzutreffenden Angaben übermittelt, müssen die Daten unverzüglich gelöscht werden.

Und was ist mit den technischen und organisatorischen Schutzmaßnahmen (TOMs)?

Auch hier gibt es keine Veränderung. Sie als Arbeitgeber haben auch weiterhin dafür Sorge zu tragen, dass Sie die Betroffenenrechte Ihrer Beschäftigten (gem. Art. 4 DSGVO) und den Schutz ihrer personenbezogenen Daten gewährleisten (gem. Art. 5 DSGVO).

Die Beschäftigtendaten – und hierzu zählen natürlich auch die AU-Bescheinigungen – sind durch geeignete technische und organisatorische Schutzmaßnahmen (TOMs) vor dem Zugriff von Unbefugten zu schützen (gem. Artikel 24, Artikel 25 und Artikel 32 DSGVO).

Das bedeutet: Die Daten dürfen nur von Berechtigten abgerufen werden wie zum Beispiel der internen Personalabteilung im Rahmen der Lohnabrechnung – oder einem externen Dienstleister wie einer Steuerkanzlei im Rahmen der Lohnabrechnung.

eAU - elektronische Arbeitsunfähigkeitsbescheinigung
Pin it!

Muss ich als Arbeitgeber meine Beschäftigten über das neue Verfahren informieren?

Es besteht keine rechtliche Verpflichtung, dass Sie Ihre bestehende Belegschaft informieren. Allerdings bietet es sich an, das Thema anzusprechen, um Missverständnisse zu vermeiden. Als Arbeitgeber haben Sie dennoch die Pflicht, die neuen Mitarbeiter nach Art. 13 und Art. 14 DSGVO über die Datenverarbeitung zu informieren. „Neu“ bei eAU ist, dass Sie die Daten nicht mehr direkt vom Arbeitnehmer erheben. Als „Quelle“ der Daten ist hier nun die Krankenkasse zu nennen.

Bitte aktualisieren Sie auch Ihr Verfahrensverzeichnis bezüglich der eAU.

Sensibilisieren Sie Ihre Mitarbeiter, dass auch weiterhin die Pflicht besteht, den Arbeitgeber aktiv bei einer Arbeitsunfähigkeit zu informieren. Dies ist nicht nur bei der Erstbescheinigung erforderlich, sondern auch bei Folgebescheinigungen.

Denn erst wenn Ihnen ein Mitarbeiter die Arbeitsunfähigkeit anzeigt hat, dürfen Sie als Arbeitgeber die eAU bei den Krankenkassen abfragen.

Informieren Sie Ihr Team, wer seit Jahresbeginn von der Nachweispflicht ausgenommen ist (z.B. gesetzliche Versicherte), wer weiterhin die Arbeitsunfähigkeitsbescheinigung in Papierform vorlegen muss (z.B. privat Versicherte) und ob vorhandene Betriebsvereinbarungen zu Krankmeldungen weiterhin gelten (z.B. die interne Regelung, dass ein Arbeitnehmer drei Tage ohne Krankschreibung von der Arbeit fernbleiben darf).

Wie fahren Sie mit der neuen eAU?

Was ist Ihre bisherige Erfahrung mit der neuen Regelung? Wissen Ihre Mitarbeiter Bescheid? Läuft alles nach Plan oder gibt es Stolpersteine? Was ist Ihre Meinung zu diesem Thema? Berichten Sie uns gerne davon in den Kommentaren.

Diesen Beitrag teilen

Cybersecurity & Datenschutz Trends 2023
  • 01
  • Feb
Die 5 Cybersecurity und Datenschutz Trends 2023
Regina Stoiber Datenschutz,Informationssicherheit,IT-Sicherheit No Comments

Diese 5 Trends sollten Sie 2023 im Blick haben. Die Lage spitzt sich zu, wie auch das Bundesamt für Sicherheit in der Informationstechnik in seinem Lagebericht 2022 schreibt.

Durch unsere Vielzahl an Kundenprojekten und aus Gesprächen mit Unternehmern haben wir einen guten Überblick, wo der Schuh drückt in Sachen Informationssicherheit. Zudem sind wir natürlich auch auf dem Laufenden, was den aktuellen Stand der Technik betrifft.

Verschiedene Institute haben unterschiedliche Rankings für die Cybersecurity und Datenschutz Trends 2023 herausgegeben. Dort sieht man, dass es auch davon abhängt, welche Region oder Länder man betrachtet.

Aus diesen Informationen haben wir die wichtigsten Punkte im Bereich der Informationssicherheit für Sie zusammengefasst:

Die Cybersecurity und Datenschutz Trends 2023 der Datenbeschützerin

Passwortlose Authentifizierung

Die Risiken aus Phishing und anderen Angriffen auf die Authentifizierungsdaten steigen jährlich. Zum einen sind die Passwörter zu trivial, zum anderen werden die Angriffe immer smarter in der Umsetzung.

Daher gibt es die FIDO-Alliance, die sich damit beschäftigt, wie Benutzeranmeldungen sicherer und mit weniger Risiko durchgeführt werden können. Ein großer Trend ist die passwortlose Authentifizierung, die Sie 2023 im Blick haben sollten. Mehr dazu finden Sie in unserem Knowledge Base Eintrag.

Managementsysteme für Informationssicherheit nach ISO 27001 oder VDA ISA / TISAX®

Da unsere Wirtschaft stark mit der Automobilindustrie verknüpft ist, überträgt sich die Anforderung der Branche auch auf die Zulieferer. Informationssicherheit in der Fahrzeugentwicklung und im Bau ist ein wesentlicher Erfolgsfaktor. Die OEMs fordern daher von Ihren Dienstleistern und Subdienstleistern entsprechende Absicherungen, um die Informationssicherheit zu gewährleisten.

Das bedeutet: Die Verpflichtung zur Implementierung eines Managementsystem für Informationssicherheit nimmt zu. Zum anderen ist es aber auch für viele wichtig, sich aus eigenem Antrieb in diesem Bereich gut aufzustellen, um den immer größer werdenden Herausforderungen gewappnet zu sein.

Als Ergebnis haben Sie ein Managementsystem, mit dem Sie in der Lage sind, den Stand Ihrer Informationssicherheit / Cybersecurity zu überwachen und natürlich auch entsprechend zu verbessern.

Gerne werfen wir einen Blick auf den aktuellen Stand Ihrer Informationssicherheit im Rahmen eines Audits und unterstützen Sie natürlich auch bei der Implementierung eines ISMS nach ISO 27001 oder VDA ISA.

Mehr dazu finden Sie in unserer Dienstleistungsübersicht zum ISMS.

Ausblick 2024

Wir haben zwar keine Glaskugel, aber der Trend geht noch tiefer. Es werden zukünftig auch Cybersecurity Managementsysteme nach ISO/SAE 21434 und UNECE R155 speziell im Lebenszyklus des Fahrzeugs eine Rolle spielen. Siehe unsere Übersicht im ISMS. Dies ist zwar nur für eine kleinere Zielgruppe relevant, wir möchten es aber trotzdem an dieser Stelle nennen.

Privacy und Datenschutz

Ist das nicht schon ein alter Hut? Stimmt, die DSGVO kennen wir nun schon seit 2016 oder allerspätestens seit 2018, als sie in aller Munde war. Geändert hat sich in der EU allerdings die Konkretisierung vieler Punkte der DSGVO.

Durch Vorschläge und Empfehlungen von Aufsichtsbehörden und auch durch Urteile wird das Thema in vielen Punkten konkreter. Wie genau ist eine Webseite zu gestalten, wie genau muss die Einwilligung erfolgen oder wann brauche ich eigentlich eine Einwilligung? Welche Daten darf ich überhaupt verarbeiten und wo ist die rote Linie überschritten und wann befinde ich mich vielleicht noch in der Grauzone?

All diese Fragen und noch viel mehr werden und wurden konkretisiert. Allerdings steigt auch das Bewusstsein der Menschen im Umgang mit ihren Informationen. Es stimmt schon, von vielen kommen Kommentare, wie „wer hat schon Interesse an meinen Daten“… Auf der anderen Seite nimmt aber auch die Sensibilität zu, an wen ich meine Daten tatsächlich freiwillig übertrage. Die Information, dass Amazon die Daten aus Staubsaugerrobotern kauft, wirkt im ersten Moment belanglos. Hinterfragt man dieses Thema, kommt man schnell zum Punkt, dass Datenschutz hier ein wichtiger Aspekt sein muss.

Aber nicht nur die EU wird konkreter, auch die anderen Länder ziehen nach. Die Türkei, Indien – sogar Indien – hat ein neues Datenschutzgesetz im Gespräch. In den USA hat Kalifornien ja schon als Vorreiter begonnen. Jetzt zieht auch der Rest des Landes nach, um nur einige Beispiele zu nennen.

Was bedeutet das für Sie?

Als treuer Leser unseres Blogs sind Sie ja bereits gut in Sachen Datenschutz aufgestellt, oder 😉 ?

Falls nicht, starten Sie damit, sich mit den Basics zu befassen.

  • Verfahrensverzeichnis
  • Informationspflicht
  • Auftragsverarbeitung
  • Webseitencheck

Diese und weitere Prozesse des Datenschutzmanagementsystems sollten Sie auf jeden Fall umgesetzt haben. Und dran denken: Es geht auch einfach. Datenschutz muss nicht immer umständlich sein. Gern unterstützt Sie unser Team an Experten im Datenschutz.

Cybersecurity & Datenschutz Trends 2023
Pin it!

Awareness

Eins der Trendthemen nicht nur in 2023. Die technischen Maßnahmen der Cybersecurity steigen stetig an. Immer mehr Schutz und Security durch technische Lösungen wird implementiert.

Doch was nützt die beste Firewall, wenn die Anwender ihre Zugangsdaten an unberechtigte Personen weitergeben? Dann braucht man kein Fort Knox, wenn der Angreifer mit dem Schlüssel durch das Haupttor geht.

Denken Sie dran, dass ein gesamtheitliches Security-Konzept auch den Anwender einbezieht! Sensibilisieren Sie sie in Schulungen, Online-Trainings oder auch in Awareness-Aktionen.

Zunahme der Angriffe durch Schwachstellen in der Cybersecurity und Informationssicherheit

Wir sind ja nicht das Team, das mit Angst versucht, die Unternehmen zum Handeln zu bewegen. Sehen Sie bitte diesen Punkt auch nicht aus diesem Hintergrund.

Die Fakten sprechen allerdings eindeutig dafür, dass die Zahl der Angriffe steigt und sich auch deren Qualität verbessert. Digital Chiefs gehen mit ihrer Einschätzung sogar soweit, dass durch Angriffe auf operative Technologien sogar Menschen betroffen werden können. Diese stehen zwar nicht im Vordergrund des Angriffs, können aber als Ergebnis von Angriffen auf Produktionsmaschinen durchaus betroffen sein. Heftig, oder?

Wichtig ist aus unserer Sicht eine gesamtheitliche Strategie für Informationssicherheit, Cybersecurity und Datenschutz. Dazu bildet ein ISMS natürlich die Basis, aber es muss noch tiefer gehen. Sie sollten auch Ihre IT-Security im Griff haben. Patchmanagement, Incidentmanagement, regelmäßige Schwachstellen-Scans und für die Königsdisziplin dann Penetration-Tests.

Gerne werfen wir einen versierten Blick auf Ihre Security-Konzepte oder scannen Ihre Infrastruktur auf Schwachstellen.

Was sind aus Ihrer Sicht die Cybersecurity und Datenschutz Trends 2023?

Das ist wie schon eingangs genannt unser Ranking. Wie würden Sie die Schwerpunkte für Ihr Unternehmen im aktuellen Jahr bewerten?

Ich freue mich auf Ihre Meinung im Kommentar.

Diesen Beitrag teilen

Passwortlose Authentifizierung mit FIDO2
  • 31
  • Jan
Was ist passwortlose Authentifizierung und was ist FIDO2?
Regina Stoiber Datenschutz,Informationssicherheit,IT-Sicherheit No Comments

Bei den Trends 2023 in Cybersecurity findet man auch den passwortlosen Login oder die passwortlose Authentifizierung. Was bedeutet das eigentlich und warum braucht man das überhaupt?

Noch immer ist eine Anmeldung mit Benutzername und Passwort in vielen Bereichen, auf vielen Plattformen, für Anwendungen oder in Unternehmen der Standard.

Warum ist eine Anmeldung mit Benutzername und Passwort ein Risiko?

Unsichere Passwörter

Fasst man sich an die eigene Nase, dann weiß man, wie Passwörter gewählt werden. Komplexität wird vermieden, wenn sie nicht auf Biegen und Brechen technisch erzwungen wird. Sogar dann findet der kreative Anwender noch Möglichkeiten, die Komplexität so zu lösen, damit man sich das Passwort merken kann.

Nichtsdestotrotz ist das beliebteste Passwort immer noch 123456. Mit Brut Force oder Dictionary Angriffen werden solche Passwörter in Sekundenbruchteilen „gehackt“. Ohne zu sehr ins Detail zu gehen: Diese Angriffe basieren darauf, dass das verschlüsselt gespeicherte Passwort in Form eines Hash-Wertes erraten wird. Der Angreifer kreiert verschiedene Passwörter, verschlüsselt diese mit dem Hash-Algorithmus und vergleicht dann den Hash-Wert des Userpassworts mit dem kreierten Passwort. Stimmen beide Hash-Werte überein, wurde das Passwort richtig erraten.

Je einfacher das Passwort oder wurde es einfach aus einem Klarnamen gewählt, umso schneller wird es nach diesem Prinzip erraten.

Werden mit diesen Zugangsdaten dann noch sensible Informationen wie Zahlungsdaten oder im Job Einkaufs- oder Finanzdaten geschützt, ist das Risiko sehr hoch, da es sich ja bekanntermaßen aus Schaden = hoch und Eintrittswahrscheinlichkeit = sehr wahrscheinlich zusammensetzt.

Phishing Angriffe

Bei den bekannten Phishing Angriffen geht es eigentlich gar nicht wirklich um Cybersecurity. Unter IT- oder Cybersecurity stellt man sich immer den Angreifer vor, der über das Darknet komplexe Angriffe ausführt. Bei Phishing wird lediglich die Schwachstelle Anwender und dessen Gutgläubigkeit ausgenutzt.

Eine gute gemachte E-Mail im Posteingang, ein Klick darauf und dann noch die Zugangsdaten eingegeben. Was will der Angreifer mehr? Er braucht sich ja gar nicht mehr die Hände schmutzig machen. Die Authentifizierungsdaten werden ihm quasi auf dem Silbertablett präsentiert.

Ich falle doch nicht auf Phishing-Angriffe rein! Alter Hut, das passiert doch nur ungeschulten, unerfahrenen Anwendern. Leider nicht nur. Die E-Mails sind inzwischen so gut gemacht, dass selbst dem geschulten Auge der Angriff auf den ersten Blick nicht mehr auffällt. Es ist auch (noch) nicht so schlimm, wenn Sie auf den Link in der E-Mail klicken. Spätestens dann ist aber Vorsicht geboten! Wenn Sie auf der Webseite Ihre Zugangsdaten eingeben, ist es zu spät.

Laut BSI Jahresbericht 2022 waren 69% aller Spam-Mails Phishing und Betrugsmails. Davon wiederum waren 90% der Mails Finanz-Phishing E-Mails. Es geht wie immer ums Geld…

Auch hier ist das Risiko sehr hoch, da der Schaden sehr hoch ist und die Eintrittswahrscheinlichkeit ebenfalls als sehr wahrscheinlich eingestuft werden kann. Das belegen die Zahlen des BSI und die Fälle, die inzwischen jedem aus seinem Umfeld bekannt geworden sind.

Passwortlose Authentifizierung

Da die Risiken in der Verwendung einfacher Passwörter sehr hoch sind, geht der Trend dazu, nicht nur auf eine reine Anmeldung über Benutzername und Passwort zu setzen.

Die nichtkommerzielle FIDO-Allianz (Fast Identity Online) soll lizenzfreie und offene Standards entwickeln, die eine sichere und internationale Authentifizierung ermöglichen. In diesem Gremium wurde nun FIDO2 entwickelt.

FIDO2 basiert grundsätzlich auf dem Prinzip der Zwei-Faktor-Authentifizierung. Diese kann in zwei Varianten umgesetzt werden. Entweder mit einem Passwort + Token (wie wir es schon kennen) oder eben über die komplett passwortlose Authentifizierung.

FIDO2 mit Passwort und Token

Diese Zwei-Faktor-Authentifizierung wird inzwischen häufiger eingesetzt. Vor allem für Zugänge zu sensiblen Informationen. Im Anforderungskatalog der VDA ISA / TISAX® ist eine 2FA sogar als feste Anforderung bei externen Zugängen enthalten.

Das Prinzip basiert auf wissen und besitzen. Das heißt, ich kenne meinen Usernamen und mein Passwort, benötige aber noch eine weitere Komponente, die ich besitzen muss. Häufig ist es ein zeitlich gesteuerter Einmalcode, der über eine App am Handy generiert wird. Manche Unternehmen setzen aber auch einen eigenen Hardware-Token ein, der ein Einmalpasswort generiert.

Damit erhöht sich bereits die Sicherheit von Zugängen. Selbst wenn ein Angreifer nun die Faktoren des Usernames und Passworts kennt, fehlt ihm immer noch der Baustein des Einmalpassworts, der fest an ein Gerät gebunden ist.

FIDO2 als passwortloser Login

Bei der komplett passwortlosen Authentifizierung wird ein sicherer, unabhängiger Online-Dienst benötigt. Dieser verbindet mich, also meinen Client und den Server, auf dem ich mich anmelden möchte, sicher.

Dazu ist es notwendig, dass ich mich als User für jede Webseite, auf der ich mich sicher und passwortlos anmelden möchte, bei diesem Online-Dienst registriere und ein Schlüsselpaar erstellen lasse. Das ganze basiert auf dem gängigen Private and Public Key Prinzip.

Diesen Private Key kenne nur ich, bzw. nur mein Client. Dieser Schlüssel wird auf meinem Client (und sicherheitshalber im Passwortmanager) gespeichert. Der Public Key liegt auf dem Webserver, auf dem ich mich anmelden möchte.

Die passwortlose Authentifizierung muss dann beim Besuchen der Webseite trotzdem noch einmal durch den User bestätigt werden. Dazu gibt es verschiedene Optionen. Entweder über einen einfachen Klick auf einen Button, einen PIN-Code, biometrische Merkmale oder doch nochmal ein Hardware-Token. Das hängt sicherlich auch mit der Sensibilität der Daten zusammen, die über diese Webseite erreichbar sind.

Was sind die Vorteile eines passwortlosen Logins mit FIDO2?

Hier berufe ich mich auf die Punkte, die die FIDO-Allianz auf ihrer Webseite nennt:

Security

Natürlich, it´s all about security. Das erzeugte Schlüsselpaar ist eindeutig für jede Webseite und jeden User. Da der private Schlüssel ausschließlich auf dem Clientgerät des Users gespeichert ist, laufen Phishing-Angriffe oder Passwortdiebstahl ins Leere.

Datenschutz

Die Schlüssel sind eindeutig für jede Webseite. Das heißt, ein Tracking über Webseiten hinweg ist überhaupt nicht möglich. Ein User kann nicht über seine Anmeldedaten auf verschiedenen Webseiten identifiziert werden.

Anwenderfreundlich

Da alle Zugangsinformationen auf dem Gerät gespeichert sind, muss der User keine komplexen Passwörter im Kopf haben und sich nicht einmal einen Usernamen zur Anmeldung merken.

Passwortlose Authentifizierung mit FIDO2
Pin it!

Wie kann man die Sicherheit bei der Anmeldungen mit Benutzername und Passwort erhöhen?

Mir ist klar, dass nicht jeder und jedes Unternehmen sofort auf passwortlose Authentifizierung umstellen kann.

Trotzdem ist dann nicht gleich alles verloren. Es gibt auch weitere Möglichkeiten, die Sicherheit zu erhöhen.

Für uns ist daher ein Passwortsafe oder Passworttresor (welchen Namen man ihm auch geben mag), unumgänglich.

Was ist ein Passwortsafe?

Ein Passwortsafe ähnelt einem physikalischen Schlüsseltresor. Alle Schlüssel hängen im Schlüsselkasten. Dieser wiederum ist durch einen Schlüssel oder sicheren Code gesichert. Auf diesen einen Zugangsschlüssel muss ich natürlich gut aufpassen und vermeiden, dass er in die falschen Hände gerät.

Ein Passworttresor funktioniert nach dem selben Prinzip. Es handelt sich um eine Software, die alle Passwörter und Usernamen speichert.

Zusätzliches Feature: Sichere Passwörter

Das ist eine tolle Funktion. Der Safe enthält sogar einen Passwort-Creator. Man gibt an, wie viele Stellen das Passwort haben soll, welche Komplexitätsvoraussetzungen es hat und bekommt ein kryptisches Passwort vorgeschlagen, das im Idealfall dann auch gleich noch in die Maske eingefügt wird und im Passwortsafe gespeichert wird.

Damit entfällt die Schwachstelle des Users, der gar nicht in der Lage ist, so komplexe Passwörter und vor allem unterschiedliche Passwörter zu wählen.

Zusätzliches Feature: Schutz vor Phishing

Durch die Browserintegration des Passwortsafes erkennt die Software, auf welcher Internetseite ich mich bewege und zeigt mir nur die Zugangsdaten an, die auf dieser Seite eingefügt werden dürfen. Das heißt, bei einer Phishing-Seite bewege ich mich auf einer anderen URL, die der Passwortsafe nicht kennt. Selbst wenn die Seite optisch aussieht wie die meiner Bank, ist es für den Passwortsafe eine total unbekannte Seite. Allerspätestens an dieser Stelle sollte jeder merken, dass hier etwas faul ist und dass keine Daten eingegeben werden sollten.

Die Verwendung eines Passwortsafes ist alternativlos

Solange Sie in Ihrem Unternehmen mit Passwörtern arbeiten, sollten Sie einen Passwortsafe verwenden. Damit reduzieren Sie das Risiko des Identitätsdiebstahls erheblich. Die Kosten für die Lizenzen sind dagegen vernachlässigbar – aus unserer Sicht!

Wie melden Sie sich an?

Tippen Sie noch oder sind Sie schon darüber hinweg? Wie ist Ihre Erfahrung mit passwortlosem Login? Wir freuen uns über Ihren Kommentar mit Ihren Erfahrungen.

Diesen Beitrag teilen

Neue Standardvertragsklauseln
  • 17
  • Dez
Die „neuen“ Standardvertragsklauseln (SCC) für den Drittlandstransfer mit Muster zur Daten-Transfer-Folgenabschätzung (TIA)
Jasmin Muhmenthaler-Sturm Datenschutz No Comments

Schon wieder neue Standardvertragsklauseln im Datenschutz? Wer soll da noch durchblicken? Warum wurden überhaupt neue Standardvertragsklauseln definiert? Was muss ich jetzt tun? Und was hat es mit den Standardvertragsklauseln für den EWR auf sich? Viele Fragen – wir beantworten sie im folgenden Beitrag.

Wenn Ihr Dienstleister personenbezogene Daten für Sie oder gemeinsam mit Ihnen verarbeitet, müssen Sie bereits seit dem 27.09.2021 in den Verträgen, die den Datenschutz regeln, die neuen Standardvertragsklauseln heranziehen. Bis allerspätestens 27.12.2022 müssen auch alle bestehenden Verträge auf die neuen SCCs umgestellt sein. Bitte beachten Sie: Wir sprechen nur von den Verträgen, die den Datenschutz regeln. Weitere Verträge / Teilverträge, wie konkrete Leistungsbeschreibung, Laufzeiten und so weiter, sind hiervon nicht betroffen.

Continue reading „Die „neuen“ Standardvertragsklauseln (SCC) für den Drittlandstransfer mit Muster zur Daten-Transfer-Folgenabschätzung (TIA)“

Diesen Beitrag teilen

Google Fonts Abmahnung DSGVO
  • 20
  • Okt
Google Fonts Abmahnung auf DSGVO? Was tun?
Barbara Janik Datenschutz 2 Comments

Jeden Tag kontaktieren uns Kunden, weil sie wegen Google Fonts Abmahnungen erhalten haben. Wie schon mehrfach in den Medien berichtet, handelt es sich hierbei um Massenabmahnungen von diversen Kanzleien.

Worum geht es? In den Briefen wird von den Webseitenbetreibern Schadenersatz gefordert, weil Google Fonts auf der Webseite nicht datenschutzkonform eingesetzt wird.

Wie soll man sich verhalten, wenn man eine derartige Forderung erhalten hat? Sicherheitshalber sofort zahlen und die Sache gleich aus dem Weg schaffen? Tun Sie das nicht. Im folgenden Beitrag erfahren Sie, wie Sie vorgehen können, wenn Sie eine Abmahnung erhalten. Wie immer stellen unsere Empfehlungen keine Rechtsberatung dar und sind daher ohne Gewähr.

Continue reading „Google Fonts Abmahnung auf DSGVO? Was tun?“

Diesen Beitrag teilen

E-Mail Sicherheit und E-Mail Kommunikation
  • 24
  • Aug
E-Mail Kommunikation und E-Mail Sicherheit
Regina Stoiber Informationssicherheit,IT-Sicherheit 1 Comment

E-Mail Kommunikation ist schon so präsent in unserem täglichen Leben, dass wir uns überhaupt keine Gedanken mehr darüber machen.

Trotzdem ist es manchmal an der Zeit, Gewohnheiten in Frage zu stellen. Vor allem auch in Bezug auf E-Mail Sicherheit ist es wichtig, für das Unternehmen ein paar Grundregeln zu definieren.

Continue reading „E-Mail Kommunikation und E-Mail Sicherheit“

Diesen Beitrag teilen

Deepfake einfach erklärt - Identitätsbetrug 2.0
  • 14
  • Aug
Deepfake einfach erklärt – Identitätsbetrug 2.0
Barbara Janik Allgemein,Informationssicherheit,IT-Sicherheit No Comments

Jeder Tag bringt uns neue Fake-Videos. Während manche rein unterhaltenden Charakter haben, stellen andere eine Gefahr für Politik und Gesellschaft dar. Aber nicht nur Fake-Videos stammen aus dem World Wide Web. Der Trend geht zum Identitätsbetrug 2.0. Da reicht es schon, die Stimme zu fälschen.

Im Juni telefonierte die Berliner Bürgermeisterin Giffey eine halbe Stunde mit dem vermeintlichen Kiewer Bürgermeister Klitschko. Und im März kursierte ein Deepfake-Video des ukrainischen Präsidenten Selenskyi, der angeblich zur Kapitulation aufruft.

Bekannte Beispiele. Egal, ob man diese Videos und Videoanrufe im Nachhinein als Shallowfakes, Deepfakes oder andere Arten von Fakes bezeichnet: Sie zeigen uns, dass Fälschungen von bewegten Bildern und damit auch das Thema Deepfakes immer mehr Raum einnehmen. Es soll gezielt manipuliert und desinformiert werden, meistens über die sozialen Medien.

Deepfakes können sowohl Unternehmen als auch Privatpersonen betreffen. Ziel dieses Artikels: Deepfake einfach erklärt. Wir wollen darüber berichten, zu welchen Zwecken Deepfakes eingesetzt werden und woran man sie erkennen kann.

Continue reading „Deepfake einfach erklärt – Identitätsbetrug 2.0“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 25
  • Jul
Was ändert sich mit der neuen Datenrichtlinie von META (7/22)?
Regina Stoiber Allgemein No Comments

Am 26.07.2022 aktualisiert Meta (vormals Facebook) seine Datenrichtlinie für Facebook und Instagram und weitere Services. WhatsApp ist in dieser Richtlinie nicht mit eingeschlossen.

Verarbeitet der Meta-Konzern die Daten seiner Nutzer nun datenschutzfreundlicher? Wird dadurch alles besser und einfacher?

Zusammengefasst kann man sagen: Es ändert sich die Richtlinie, nicht aber die Verwendung und Nutzung der Daten. In der tatsächlichen Praxis ändert sich also nichts. Der Konzern möchte lediglich etwas transparenter darstellen, wie Daten verarbeitet werden.

Continue reading „Was ändert sich mit der neuen Datenrichtlinie von META (7/22)?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 25
  • Jul
31. Tätigkeitsbericht des BayLfD
Jasmin Muhmenthaler-Sturm Datenschutz,Papiere der Aufsichtsbehörden No Comments

Das BayLfD hat seinen 31. Tätigkeitsbericht 2021 veröffentlicht.

Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.

Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.

Continue reading „31. Tätigkeitsbericht des BayLfD“

Diesen Beitrag teilen

Digital Services Act
  • 18
  • Mai
Der Digital Services Act – das 1. Grundgesetz für das Internet
Barbara Janik Informationssicherheit,IT-Sicherheit No Comments

Das Europäische Parlament hat sich am 23. April 2022 über den Digital Services Act (DSA) geeinigt – nach über eineinhalb Jahren Verhandlungszeit. Am 5. Juli wurde das Gesetz dann vom EU-Parlament mit großer Mehrheit verabschiedet. Das Gesetz über digitale Dienste (so der deutsche Name) wird auch als „erstes Grundgesetz für das Internet“ bezeichnet. Der DSA ist ein Teil des Digital-Pakets, das die EU-Kommission Ende 2020 vorgeschlagen hat. Zum Paket gehört auch der Digital Markets Act (DMA), das Gesetz über digitale Märkte, über das es bereits Ende März eine Entscheidung gab. Auch dieser wurde am 5. Juli verabschiedet.

Bei beiden Gesetzen handelt es sich um EU-Verordnungen, die unmittelbar nach Verabschiedung in den Mitgliedstaaten gelten. Das heißt, es muss kein nationales Gesetz dazu erlassen werden. Kennen wir das nicht schon? Genau, ähnlich verhält es sich mit der DSGVO, die ebenfalls unmittelbar für alle Mitgliedsstaaten der EU gilt.

Auf den Punkt gebracht: Digital Services Act (DSA) – Das erste Grundgesetz für das Internet

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Beim DSA handelt es sich um eine EU-Verordnung, die unmittelbar für alle Mitgliedsstaaten gültig ist.
  • Es soll sichergestellt werden, dass was offline illegal ist, auch online illegal ist.
  • Betroffen vom DSA sind alle Unternehmen, die digitale Dienste in der EU erbringen, egal ob sie in der EU ansässig sind oder nicht (also wie bei der DSGVO).

Worum geht es beim Digital Services Act?

Das erklärt die dänische Politikerin Christel Schaldemose in einer Pressemitteilung wie folgt:

„The Digital Services Act will set new global standards. Citizens will have better control over how their data are used by online platforms and big tech-companies. We have finally made sure that what is illegal offline is also illegal online. For the European Parliament, additional obligations on algorithmic transparency and disinformation are important achievements. (…) These new rules also guarantee more choice for users and new obligations for platforms on targeted ads, including bans to target minors and restricting data harvesting for profiling.“

Pressemitteilung des Europäischen Parlaments vom 23.04.2022

Mehr Sicherheit im Internet

Das Ziel des Digital Services Act (DSA) ist es, ein sicheres und zugleich offeneres Internet für die Verbraucher zu schaffen. Die Botschaft lautet: Was außerhalb des Internets verboten ist, soll auch im Internet illegal sein. Konkret sollen

  • die Verbraucher und ihre Grundrechte besser geschützt werden
  • die Verbraucher besser darüber informiert werden, aufgrund welcher Kriterien ihnen Inhalte angezeigt werden
  • die Onlineplattformen strenger beaufsichtigt werden
  • die Algorithmen der großen Plattformen zugänglich werden
  • die Verbreitung von illegalen Inhalten verhindert werden

Klare Richtlinien für Online Plattformen

Online Plattformen müssen sich mit dem Gesetz über digitale Dienste künftig an neue Regeln halten. Dabei gelten für sehr große Dienste mit mehr als 45 Millionen monatlich aktiven Nutzern strengere Vorschriften. Geplant sind unter anderem die folgenden Maßnahmen:

Zugang zu Algorithmen

Die Europäische Kommission und ihre Mitgliedsstaaten und gegebenenfalls auch Wissenschaftler sollen in Zukunft Zugang zu den Daten von großen Onlineplattformen erhalten. Dadurch soll deren Macht verringert werden. (Auf die Umsetzung dieses Vorhabens darf man gespannt sein, denn die „Big Player“ werden ihre wohlgehüteten Geheimnisse wahrscheinlich nicht freiwillig offenbaren.)

Mehr Transparenz bei Onlinewerbung und Empfehlungen

Hier soll es zukünftig mehr Kontrolle in Bezug auf die empfohlenen Inhalte geben.

  • Zum Schutz von Minderjährigen darf keine Auswertung von deren Daten für zielgerichtete Werbung mehr stattfinden.
  • Ebenso soll es bei Erwachsenen keine Erstellung von Nutzerprofilen mehr auf der Basis von sensiblen Daten wie Religionszugehörigkeit, sexueller Orientierung oder Gesundheitsdaten geben (außer der Nutzer stimmt ausdrücklich zu).
  • Sehr große Plattformen und Suchmaschinen müssen Nutzern mindestens ein Empfehlungssystem für Inhalte anbieten, das nicht auf ihrem Profiling basiert.

Verbot von nudging und dark patterns

Nudging heißt auf deutsch anstoßen, anschubsen oder auch anstubsen: Beim Nudging werden User gezielt, aber ohne Druck in eine bestimmte Richtung geführt, damit sie eine gewünschte, „richtige“ Entscheidung treffen. Beispiele dafür sind vordefinierte Standardeinstellungen, Warenkorb-Erinnerungen oder Hinweise auf Funktionalitäten.

Dark Patterns sind „dunkle bzw. versteckte Muster“ und darauf ausgelegt, dass der Benutzer Handlungen ausführt, die seinen Interessen oder auch seinem logischen Verstand entgegenstehen. Hier wird mit der emotionalen oder konditionierten Reaktion des Benutzers gespielt. Ein Beispiel für dark patterns ist, wenn es zwar sehr einfach ist, ein Kundenkonto anzulegen, aber im Gegensatz sehr schwierig, selbiges wieder zu löschen.

Der Verbraucher darf in Zukunft nicht mehr durch irreführende Schnittstellen und Praktiken manipuliert werden. Ebenso muss das Abbestellen eines Services genauso einfach sein wie das Abonnieren. Das bedeutet auch, dass Zustimmen-Buttons nicht hervorgehoben und Ablehnen-Buttons nicht versteckt werden dürfen.

Produktinformationen für Verbraucher

Online-Marktplätze müssen sicher stellen, dass sie den Verbrauchern sichere Produkte und Services anbieten. Sie müssen die Richtigkeit der Informationen ihrer Händler besser kontrollieren und außerdem illegale Inhalte vermeiden. Weiterhin müssen Verbraucher immer angemessen informiert werden.

Löschen von schädlichen Inhalten

Illegale Inhalte müssen auf Anweisung eines EU-Mitgliedsstaates gelöscht werden. Dies betrifft Produkte, aber auch Inhalte zu Gewalt und Volksverhetzung. Beispielsweise sollen Opfer von Cybercrimes (z.B. revenge porn) in Zukunft besser geschützt werden. Darüber hinaus muss es klare Verfahren geben, wie Nutzer Online-Plattformen illegale Inhalte melden können. Im Gegenzug muss es auch möglich sein, fälschlicherweise gelöschte Inhalte wieder herzustellen.

Analyse der Risiken von großen Plattformen

Große Plattformen müssen einmal pro Jahr selbst analysieren, wie sich ihre Dienste auf die Öffentlichkeit auswirken. Sie müssen selbst risikobasierte Maßnahmen ergreifen und das Risikomanagementsystem zusätzlich von unabhängiger Seite prüfen lassen. Damit sollen die Risiken vermindert werden,

  • dass illegale Inhalte verbreitet werden
  • dass es zu negativen Auswirkungen auf die Grundrechte kommt
  • dass die demokratischen Prozesse und die öffentliche Sicherheit durch Manipulation beeinflusst werden
  • dass es zu negativen Auswirkungen auf geschlechtsspezifische Gewalt und Minderjährigen kommt
  • dass es negative Folgen für die körperliche und geistige Gesundheit der Nutzer gibt.

Krisenmechanismus

Dieser Punkt wurde in Anbetracht der derzeitigen Krise aufgenommen und betrifft die Manipulation von Online-Informationen. Die Kommission kann den Mechanismus aktivieren, um gegebenenfalls Maßnahmen zur Wahrung der Grundrechte zu ergreifen. Hier geht es die Auswirkung von Aktivitäten sehr großer Plattformen und Suchmaschinen.

Strafen

Bei Nichtbeachtung der Regelungen können gegen Online Plattformen und Suchmaschinen Geldbußen in Höhe von bis zu sechs Prozent des Jahresumsatzes verhängt werden.

Wen betrifft der Digital Service Act?

Betroffen sind alle Unternehmen, die digitale Dienste in der EU erbringen – unabhängig davon, ob sie in der EU oder außerhalb niedergelassen sind.

Die Dienstleister werden in verschiedene Kategorien eingeteilt – je nach Verwendung der Daten: Internetprovider, Hosting Anbieter, Clouddienste, soziale Netzwerke, Messenger und Onlinemarktplätze.

  • Vermittlungsdienste mit Infrastruktur-Netz (Internetanbieter, Domainnamen-Registrierstellen), unter anderem:
  • Hosting-Dienste (Cloud- und Webhosting-Dienste), unter anderem:
  • Online-Plattformen, die Verkäufer und Verbraucher zusammenbringen (Marktplätze, App-Stores, Social-Media Plattformen)

Für sehr große Online-Plattformen und Suchmaschinen mit mehr als 45 Millionen aktiven Nutzern (wie zum Beispiel facebook oder Instagram) gelten besonders strenge Vorschriften. Gleichzeitig sind Kleinst- und Kleinunternehmen von bestimmten Verpflichtungen befreit.

Wie soll der DSA durchgesetzt werden?

Die Kommission hat die alleinige Aufsichtsbefugnis über sehr große Plattformen und Suchmaschinen. Dabei arbeiten sie mit den Mitgliedsstaaten zusammen. Unterstützt werden sollen sie durch ein neues Europäisches Gremium für digitale Dienste („Digital Services Board“). Zudem sind in jedem Land „Digital Services Coordinators“ zuständig.

Digital Services Act
Pin it!

Wie geht es jetzt weiter?

Am 5. Juli hat das EU-Parlament sowohl den Digital Services Act als auch den Digital Markets Act verabschiedet. Anschließend wird das Gesetz im EU Official Journal veröffentlicht und tritt 20 Tage danach in Kraft. 15 Monate später ist das Gesetz rechtskräftig – spätestens am 1.1.2024.

Was ist mit dem NetzDG?

In Deutschland gibt es bereits ein Gesetz mit ähnlichen Zielsetzungen, das Netzwerkdurchsetzungsgesetz (NetzDG) von 2017. Dieses wird wird mit dem DSA hinfällig werden. Auch wenn das neue Gesetz bei den Löschfristen zurückbleibt, ist der Geltungsbereich des DSA größer.

Was erwarten Sie sich?

Noch mehr Bürokratie oder vielleicht ein Schritt in die richtige Richtung? Was ist Ihre Meinung dazu? Wir freuen uns über einen Kommentar!

Quellen

Gesetz über digitale Dienste: Vorläufige Einigung zwischen Rat und Europäischem Parlament, um das Internet zu einem sichereren Raum für Menschen in Europa zu machen – Consilium

Digital Services Act: agreement for a transparent and safe online environment | Aktuelles | Europäisches Parlament (europa.eu)

The Digital Services Act: ensuring a safe and accountable online environment | European Commission (europa.eu)

Digital Services Act: So will die EU das Internet reparieren | ZEIT ONLINE

Diesen Beitrag teilen

Regina Stoiber - Datenbeschützerin
Worldpeace

 

kostenloses Live-Webinar: So setzen Sie TISAX® um!
Webinar TISAX®
Von Experten – für Experten im Datenschutz
DSB Experten Club
Tauschen Sie sich mit Gleichgesinnten aus und bleiben Sie up to date!
Whistleblowing-Portal der Datenbeschützerin
Whistleblowing Richtlinie - Hinweisgeberschutzgesetz
Whistleblowing Richtlinie - Bereit für das Hinweisgeberschutzgesetz?
Bleiben wir in Kontakt

Newsletter Datenbeschützerin
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.

 

Neuste Beiträge

 

DSGVO Praxis für Einzel- und Kleinunternehmer

DSGVO für Einzel- und Kleinunternehmer

 

Wir begeistern unsere Kunden
Erfahrungen & Bewertungen zu Regina Stoiber

 

 

Der obligatorische Hinweis

Wir recherchieren sehr ausführlich für unsere Beiträge. Trotzdem stellen diese Informationen keine Rechtsberatung dar!

Spezielle Fragen zum Datenschutz beantworten wir Ihnen sehr gerne individuell!

Vereinbaren Sie ein kostenloses Erstgespräch.

 

Allianz für Cyber-Sicherheit