Das neue Schweizer Datenschutzgesetz – kurz DSG – ist am 01.09.2023 in Kraft getreten. Was das für Schweizer Unternehmen bedeutet und welcher Handlungsbedarf sich daraus ergibt, erfahren Sie hier in unserem Blogbeitrag.
Ich freue mich sehr, dass ich diesen Blogartikel verfassen darf, da ich auch in privater Hinsicht viele Berührungspunkte mit der Schweiz habe: Mein Mann und mein Schwiegervater sind Schweizer Staatsbürger.
Wie immer gilt bei neuen Gesetzen oder Verordnungen:
Ruhe bewahren
und alle Schritte praxisnah in Ihrem Unternehmen umsetzen.
In diesem Blogartikel möchten wir Sie an die Hand nehmen und durch das Schweizer Datenschutzgesetz führen.
Die gute Nachricht vorweg: Das neue DSG der Schweiz hat sehr viele Ähnlichkeiten mit der DSGVO. Beginnen wir daher erst mal damit und lassen Sie uns die Gemeinsamkeiten zwischen der DSGVO und dem DSG zusammentragen.
IT-Security Monitoring oder Cyber Security Monitoring hört sich erst mal schwerfällig und kompliziert an. Unser Ziel bei der Datenbeschützerin ist es, Ihnen komplizierte Dinge einfach zu erklären. Daher geht es in diesem Beitrag darum, Ihnen einen 360°-Blick auf das Thema der Überwachung Ihrer IT-Sicherheit zu geben – und das verständlich.
In Zeiten zunehmender digitaler Bedrohungen ist es für Unternehmen unerlässlich, angemessene Maßnahmen zur IT-Sicherheitsüberwachung zu ergreifen. Das IT-Security Monitoring von Systemen und Infrastrukturen spielt dabei eine entscheidende Rolle, wenn es darum geht, die Leistung zu optimieren, Probleme frühzeitig zu erkennen und Ausfallzeiten zu minimieren.
In diesem Beitrag werden wir verschiedene Arten des Monitorings, wichtige Metriken und Monitoring-Tools beleuchten.
Wenn Sie als Entscheider die Sicherheit Ihres Unternehmens gewährleisten möchten, sind einfache, aber zielführende IT-Security Monitoring Maßnahmen unerlässlich. Bitte berücksichtigen Sie, dass dieser Artikel auf die Basics eingeht und keinen Handlungsleitfaden für erfahrende Admins in großen Unternehmen darstellt.
Was lange währt wird endlich gut. Oder auch nicht?
Am 10.07.2023 wurde der Angemessenheitsbeschluss für das Trans-Atlantic Data Privacy Framework (kurz TADPF oder auch DPF) zwischen der EU und den USA für gültig erklärt. Das Data Privacy Framework ist der Nachfolger des Privacy Shields. Das bedeutet, dass für die Datenübermittlung von Europa in die USA nun erst einmal Rechtssicherheit besteht.
Wie es dazu kam, was das Data Privacy Framework für Sie bedeutet und welche To Dos daraus resultieren, erfahren Sie hier in unserem kurzem Beitrag.
Der baden-württembergische Datenschutzbeauftragte hat seinen Tätigkeitsbericht 2022 veröffentlicht.
Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Der Bericht wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Themen vorgestellt. Insbesondere heben wir die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervor.
Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.
Inhaltsverzeichnis
Auf den Punkt gebracht: 38. Tätigkeitsbericht des LfDI
Das Thema Datenschutz in der Corona-Pandemie ist Teil des Berichts.
Ein ganzes Kapitel wird dem Thema Microsoft365 gewidmet.
Beratung von Behörden: Regelung von Zugriffsrechten bei der E-Akte (Seite 14 ff.)
Die E-Akte hält immer weiter Einzug in den baden-württembergischen Behörden. Dabei gilt es, einige Regelungen zum Datenschutz zu beachten.
Vorteile der E-Akte:
Beschleunigung der Arbeit;
Kommunikation über einzelne Vorgänge können in E-Akte selbst erfolgen – somit ist die „doppelte“ Buchführung von Daten und Vorgängen vermeidbar,
Definition und Einrichten von Löschroutinen.
Die Behörde sieht die Einrichtung von Rechte- und Rollenkonzepten für Nutzer als unentbehrlich an. Die Verantwortlichen haben sich die Frage zu stellen: Benötigen alle Bediensteten Zugriff auf alle Vorgänge?
Die Zugriffsberechtigung auf die Daten und Vorgänge ist nicht nur organisatorisch, z.B. in Form von Arbeitsanweisungen, sondern auch technisch soweit einzuschränken, dass nur Mitarbeiter Zugriff auf die Vorgänge haben, die auch mit dem Vorgang betraut sind.
Ist die technische Zugriffsbeschränkung technisch nicht möglich (nach Abwägung der Risiken und des Aufwands sowie des Standes der Technik), sind anderweitige technische und organisatorische Maßnahmen zu ergreifen, z.B. Protokollierung der Zugriffe unter Festlegung und Durchführung von Stichproben und Prüfroutinen.
Nach Ansicht der Behörde ist es zulässig, wenn die bearbeitende Person sowie deren Vertretung und auch noch deren unmittelbarer Vorgesetzter Zugriff auf die Sachverhalte erhalten. Bei der Behördenleitung sowie deren Vertretung ist im Einzelfall abzuwägen, ob ein temporärer oder dauerhafter Zugriff auf die Vorgänge notwendig ist.
Das Argument, über die weiten Zugriffsberechtigungen einen einheitlichen Maßstab für abteilungsübergreifende Meinungen bei Rechtsfragen zu erzielen, ist aus Sicht des LfDI nicht tragbar und somit unzulässig. Die Maßstäbe zur einheitlichen Kommunikation nach außen ist unabhängig von personenbezogenen Daten zu schaffen und zu definieren.
Corona Pandemie (Seite 31)
Die einrichtungsbezogene Impfpflicht (Seite 34 ff.)
Zweck der einrichtungsbezogenen Impflicht: Erfassung nicht geimpfter oder nicht genesener Personen, die in vulnerablen Einrichtungen arbeiten, um die Meldung an das Gesundheitsamt vorzunehmen und um abzuwägen, ob eine Weiterbeschäftigung im Rahmen des Infektionsschutzes zulässig ist.
Die Dokumentation und Prüfung der Impflicht war im § 20a IfSG definiert, ist jedoch zum 01.01.2023 außer Kraft getreten. Im Tätigkeitsbericht wird der § 20a noch näher beleuchtet und auch in Bezug auf offene Fragen aus der Vergangenheit erläutert und diskutiert. In der Zusammenfassung wird hier nicht näher darauf eingegangen.
Nach dem Außerkrafttreten wird das LfDI gemeinsam mit dem Sozialministerium eine Aufarbeitung vornehmen, insbesondere, welche datenschutzrechtliche Probleme bei der Umsetzung der Vorschriften in der Vergangenheit aufkamen.
Nachlese bei Verantwortlichen (Seite 36 ff.)
Die Aufsichtsbehörde hat bei verschiedenen Einrichtungen (Hochschulen, Kindergärten, Apotheken) nach Beendigung der Pandemievorschriften bezüglich des Umgangs mit den (sensiblen) Daten nachgefragt -insbesondere was deren Löschung und Vernichtung betrifft. Ergebnis: Positive Rückmeldung, die nur wenige datenschutzrechtliche Defizite zurückließen. Die Befragungen und Auswertungen sind jedoch noch nicht gänzlich abgeschlossen.
Digitale Bildungsplattformen (Seite 45)
Digitaler Arbeitsplatz für Lehrer (Seite 45)
Im Berichtsjahr wurde das Pilotprojekt mit der dPhoenix-Suite des Anbieter Dataport gestartet. Die Software ist Open-Source basiert, beinhaltet Textverarbeitungs- und Tabellen- und Kalkulations- und Präsentationsprogramme.
Für die E-Mails, Kalender und Kontakte wird die Software Open-Xchange getestet und zukünftig verwendet werden.
Die Daten werden nach den ersten Erkenntnissen in Europa verarbeitet. Eine Datenübermittlung in Drittländer findet nicht statt. Das LfDI sieht aktuell keine datenschutzrechtliche Probleme bei der Nutzung der beiden Softwares.
Lernmanagementsysteme (Seite 45 f.)
Neben Moodle ist die Verwendung von itslearning ebenfalls möglich. Auf itslearning ging die Behörde bereits in ihrem letzten Tätigkeitsbericht ausführlich ein. Auf diesen wird hier an der Stelle verwiesen.
Der Einsatz von itslearning ist grundsätzlich möglich, jedoch ist die Einzelfallbetrachtung bezüglich der Drittlandsübermittlung, des Trackings und der technischen und organisatorischen Maßnahmen und der Dokumentation durchzuführen und abzuwägen.
Microsoft 365 an Schulen (Seite 46 ff.)
Microsoft 365 ist nicht mehr Teil der Bildungsplattform in Baden-Württemberg aufgrund der datenschutzrechtlichen Bedenken des LfDI. In einer Stellungnahme an das Kultusministerium äußerte sich das LfDI ausführlich zu diesen Bedenken.
Das LfDI teste im Rahmen eines Pilotversuchs mit einer speziell konfigurierten Version von Microsoft 365. Ein datenschutzkonformer Betrieb ist nicht aktuell nicht möglich, da zahlreiche Datenflüsse festgestellt wurden und die Übermittlung dieser personenbezogene Daten keiner Rechtsgrundlage nach Art. 6 DSGVO zuzuordnen sind.
Trotz der Einschätzung des LfDI verwenden einige Schulen Microsoft 365 (vor allem Microsoft Teams). Im Berichtszeitraum erreichten die Behörde zahlreiche Beschwerden von Eltern und Schülern vor. Die Behörde schrieb daraufhin die Schulen an mit Bitte um Stellungnahme und Nachweis der Konfigurationseinstellungen zum datenschutzkonformen Betrieb von Microsoft 365.
Ergebnis der Befragungen: Es war eine Beratung seitens der Schulen durch das LfDI notwendig. Schulen / Schulträger unterbreiteten Lösungsansätze für den Einsatz, welche jedoch nicht umsetzbar sind und die bestehenden Risiken nicht beheben können. Aussage- und beweiskräftige Nachweise konnten noch von keiner Schule an die Behörde vorgelegt werden.
Das LfDI empfiehlt dringend die Umstellung auf datenschutzkonforme Systeme (im Rahmen der digitalen Bildungsplattformen)!
Ergänzung der Datenbeschützerin: Stellungnahme BayLfD zum Einsatz von Microsoft Teams an Schulen
Aufgrund der oben genannten Einschätzung des LfDI hat der Bayerische Rundfunk beim bayerischen Datenschutzbeauftragten Dr. Thomas Petri nachgefragt. Seine Einschätzung hierzu:
Bayerns Landesbeauftragter für den Datenschutz, Thomas Petri, will nicht so weit gehen wie seine Kollegen in Stuttgart. Er wolle die Schulen nicht noch mehr belasten und ihnen deshalb Office 365 auch nicht grundsätzlich verbieten, so Petri im Interview. Solange mit dem Einsatz des Programmes alle Beteiligten zufrieden sind, sieht auch er keinen Grund aktiv zu werden. Er werde selbst keine Nachforschungen in diese Richtung anstellen, so der oberste Datenschutzkontrolleur.
Klar ist aber auch: Wenn es Beschwerden gibt, weil sich jemand in seinen Rechten verletzt sieht, führt das zu Konsequenzen. Vor allem bei „Teams“ sieht Petri derzeit keine Möglichkeiten, das Programm datensicher einzustellen. Deshalb reicht es, wenn sich ein Schüler, eine Mutter oder eine Lehrerin beschwert, damit eingeschritten wird. Er werde die Nutzung dann an der jeweiligen Schule verbieten, so Petri. An ein paar Schulen ist das schon passiert.
Das bedeutet, dass der Einsatz von Microsoft 365 zwar möglich, jedoch nicht gänzlich datenschutzkonform ist. Die Abwägung hat immer im Einzelfall zu erfolgen!
Europa ruft! (Seite 49)
Aktuelle Leitlinien des Europäischen Datenschutzausschusses
Das Auskunftsrecht nach Art. 15 DSGVO
In den Leitlinien vom Januar 2022 wird klargestellt, dass das Recht auf Datenkopie nach Artikel 15 Abs. 3 DSVO kein zusätzliches Betroffenenrecht ist, sondern eine „Modalität“.
Auskunft = grundsätzlich eine vollständige Information über alle Daten und keine bloße Zusammenfassung. Folgende Schritte sind dabei zu beachten:
Betrifft das Ersuchen personenbezogene Daten?
Bezieht sich das Ersuchen auf die ersuchende Person (oder deren Vollmachtgeber)?
Sind neben der DSGVO noch weitere spezielle Normen anwendbar?
Fällt das Ersuchen unter Artikel 15; handelt es sich um eine Teil- oder Vollauskunft?
Es sind alle Anfragen zu beantworten, auch wenn diese über verschiedene Kanäle z.B. über E-Mail oder Post eingehen. Der EDSA empfiehlt, für die Anfragen nutzerfreundliche Kommunikationskanäle einzurichten.
Die Verweigerung des Auskunftsgesuchs ist nach Art. 12 Abs. 2 DSGVO nur möglich, wenn die erfolglose Identifizierung durch den Verantwortlichen glaubhaft dargelegt wurde.
Für die Identifizierung dürfen nicht mehr Daten angefordert werden als nötig. Kopien von Personal- oder Reisepässen sind grundsätzlich unzulässig und nur in Einzelfällen möglich. Es ist dann die Pflicht, nicht erforderliche Daten auf dem Pass zu schwärzen oder zu verbergen!
Die Nutzung sozialer Netzwerke durch öffentliche Stellen
Bei der Nutzung von Social-Media-Kanälen zur vereinfachten Kommunikation werden in der Regel personenbezogene Daten von Besuchern wie IP-Adresse oder Cookies an die Plattformbetreiber und Drittanbieter von registrierten sowie nicht registrierten Besuchern übermittelt. Über die Insight-Funktionen werden die Daten der Besucher zur Erstellung von Nutzerprofilen, Seitenstatistiken über die Nutzung zu Werbezwecken verwendet.
In der Vergangenheit gab es bereits viele Entscheidungen zu dieser Thematik. Der EuGH urteilte, dass der Seitenbetreiber im Social-Media Kanal und der Plattformbetreiber gemeinsam nach Art. 26 DSGVO verantwortlich sind.
Auch die DSK hat sich dem Thema angenommen und kommt in der Stellungnahme ebenfalls zum Entschluss, dass die Datenverarbeitung weder mit der DSGVO noch mit dem TTDSG vereinbar ist.
Ergebnis des LfDI: Nutzung von datenschutzkonformen Alternativkanälen wie z.B. Mastodon oder PeerTube!
Ergänzung der Datenbeschützerin: Bescheid des BfDI gegenüber dem Bundespresseamt
Das BfDI untersagt mit Bescheid vom 17.02.2023 gegenüber dem Bundespresseamt den Weiterbetrieb der Facebook-Fanpage. Das Bundespresseamt hatte hierfür vier Wochen Zeit, den Bescheid umzusetzen.
Statt dem Bescheid Folge zu leisten, erhob das Bundespresseamt Klage beim zuständigen Verwaltungsgericht Köln (Stand: 18.03.2023). Nun heißt es abwarten, bis ein (Teil-)Urteil den Sachverhalt hoffentlich endgültig klärt. Bis zum Urteil darf das Bundespresseamt die Facebook-Fanpage weiterbetreiben.
Internationaler Datentransfer – die neue Executive Order der USA
Im Oktober 2022 hat Präsident Biden eine Executive Order erlassen, welche die Zugriffe auf die EU-Bürgerdaten durch US-Behörden auf ein erforderliches und angemessenen Maß reduziert.
Zudem wurde ein zweistufiges Beschwerde- bzw. Rechtsbehelfsverfahren ergänzt: Auf erster Ebene wird ein Civil Liberties Protection Officer im Office of the Director of National Intelligence (CLPO) als unabhängige Beschwerdestelle eingerichtet. Auf der zweiten Ebene wird ein Data Protection Review Court (Datenschutzprüfungsgericht) installiert.
Zum Zeitpunkt der Veröffentlichung der Executive Order waren noch viele Fragen offen und es gab Zweifel an der Umsetzbarkeit. Auf diese wird an der Stelle der Zusammenfassung nicht weiter im Detail eingegangen.
Ergänzung der Datenbeschützerin: Angemessenheitsbeschluss der EU-Kommission
Die EU-Kommission hat im Dezember 2022 einen Entwurf für einen Angemessenheitsbeschluss für die Datenübermittlung in die USA veröffentlicht. Der Angemessenheitsbeschluss wird als Privacy-Shield Nachfolger angesehen. Ziel des Angemessenheitsbeschlusses ist die vereinfachte Datenübermittlung in die USA und dass die USA ein angemessenes Datenschutzniveau vorweisen können.
Unternehmen können sich dem Angemessenheitsbeschluss annehmen, wenn sie sich zur Einhaltung der datenschutzrechtlichen Pflichten verpflichten (sprich vermutlich zertifizieren lassen). Der EDSA hat sich ebenfalls schon zu dem Entwurf geäußert und lobt insbesondere die positive Entwicklung zur Zugriffsregulierung seitens der US-Behörden.
Der Angemessenheitsbeschluss soll planmäßig im Juli 2023 in Kraft treten.
Aktuelles aus der Bußgeldstelle (Seite 73)
Umgang mit Gesundheitsdaten (Seite 73 ff.)
Apotheke
Eine Apotheke verstieß bei der Entsorgung ihrer Unterlagen gegen die gesetzlichen Vorschriften und betrieb darüber hinaus eine unzulässige Videoüberwachung.
Im Rahmen einer Vor-Ort-Kontrolle in der Apotheke konnten zahlreiche Unterlagen mit sensiblen Daten in einem Müllraum, welcher unter anderem für unberechtigte Dritte frei zugänglich war, entdeckt werden. Bei den Dokumenten handelte es sich insbesondere um Corona-Testergebnisse, Rezepte mit Diagnosen oder anderweitige Korrespondenz mit teilweise sensiblen Informationen.
Zwar hatte die Apotheke an einzelnen Arbeitsplätzen einen Aktenvernichter installiert. Dennoch wurde eine hohe Anzahl an unzureichend vernichteten Dokumenten identifiziert.
Des Weiteren wurde eine Videoüberwachung, welche den gesamten Geschäftsraum inkl. der Bedienplätze überwacht, festgestellt. Ein Hinweisschild fehlte gänzlich.
Die Geschäftsleitung kooperierte während und nach der Prüfung entsprechend und setzte die geforderten technische und organisatorische Maßnahmen um. Daher beläuft sich das Bußgeld auf insgesamt 6.500,00 €.
Unternehmen
Ein Unternehmen trug im Sommer 2022 den Status der Impfungen der Mitarbeiter zusammen. Zweck der Erfassung war die Optimierung des Bürobelegungsplans.
Bei der Verteilung des Büroplans wurden einzelne Mitarbeiter farblich (rot, gelb, grün) markiert, je nach Impfstatus.
Die Behörde veranlasste die Löschung der Impfdaten und erließ ein Bußgeld in Höhe von 20.000,00 €.
Pin it!
Datenschutz-Vielfalt (Fälle aus der Praxis) (Seite 81)
Gratulation zu Jubiläen im Amtsblatt (Seite 85 f.)
Dürfen Einwohner im Gemeinde- bzw. Amtsblatt zu Jubiläen gratulieren?
Nach Mitteilung des LfDI ist dies nur noch mit Einwilligung des Betroffenen zulässig.
Die Bilddatei im Seniorenstift (Seite 88 f.)
Ein Heimbewohner eines Seniorenheim fragte an, ob eine Bilddatei mit dem Vor- und Nachnamen und Zimmernummer angelegt und allen Bewohnern zur Verfügung gestellt werden darf. Die Behörde antwortete dem Heimbewohner, dass dies nur mit einer ordentlichen Einwilligung der Heimbewohner möglich ist.
Im Laufe des Verfahrens stellte sich heraus, dass nicht die Heimleitung das Vorhaben umsetzten wollte, sondern der Heimbewohner selbst. Hier stellte sich die Frage, ob die DSGVO überhaupt anwendbar ist, da der Bewohner eine Privatperson ist. Nach Abwägung und Prüfung kam die Behörde zum Entschluss, dass das Vorhaben aufgrund der Größe und der Anzahl der betroffenen Personen unter die DSGVO fiel. Somit war das Vorhaben nur mit Einwilligung nach Art. 7 DSGVO möglich.
Datenpanne im Alltagsbetrieb (Seite 89 f.)
Bei einer Sozialversicherung kamen es in kurzen Zeitabständen zu gleichartigen Datenpannen. Die Datenpanne selbst lag im Fehlversand von Dokumenten an einen falschen Empfänger oder dem Verlust von Dokumenten auf dem Postweg. Es bestand die Gefahr, dass unberechtigte Dritte Zugriff und Einsicht auf die Dokumente nehmen und diese ggf. missbräuchlich nutzen.
Hinsichtlich des Vorfalls gibt die Behörde folgende Tipps bezüglich des Postausgangs an die Hand:
Ordnungsgemäße Sortierung von ausgedruckten Dokumenten z.B. farbige Trennblätter und Sicherstellung der korrekten Zuordnung der Dokumente zu einem adressierten Kuvert.
Diese Vorgaben sollten turnusmäßig in Form von Stichprobenkontrollen überprüft werdenn.
Eine regelmäßige Sensibilisierung der Mitarbeiter ist unerlässlich.
Homeoffice in Drittstaaten (Seite 93 f.)
Welche datenschutzrechtlichen Vorgaben für Beschäftigte von deutschen Unternehmen gelten, wenn diese im Homeoffice in einem Drittstaat arbeiten? Der Transferbegriff selbst wird derzeit durch den EDSA neu definiert, weshalb hier das LfDI seine Sichtweise darlegt.
Sofern ein EU-Unternehmen einen unselbstständigen Standort betreibt und von dort aus personenbezogene Daten verarbeitet werden, welche aus der EU stammen, liegt nach Ansicht des LfDI ein Datentransfer vor.
Liegt ein solches Konstrukt vor, sind neben den technischen und organisatorischen Maßnahmen noch weitere Vorgaben nach Kapitel 5 DSGVO z.B. Standardvertragsklauseln zu beachten und zu definieren.
Ein Funktionspostfach löst Probleme (Seite 95 f.)
Ein Landrat veröffentlichte zur besseren Transparenz und Vereinfachung der Kontaktaufnahme der Bürger die Namen, Vornamen und Funktionsbezeichnungen auf der Webseite.
Nach Eingang einer anonymen Beschwerde kam die Behörde zum Entschluss, dass für die Mehrheit der Mitarbeiter ein Funktionspostfach einzurichten ist.
Ob die Veröffentlichung der oben genannten Daten nur mittels einer Einwilligung oder zur Erfüllung von den öffentlichen Aufgaben zählt, ist immer im Einzelfall abzuwägen. Bei der Verhältnismäßigkeitsprüfung sind folgende Aspekte zu berücksichtigten:
Durch die Angabe von Namen / Vornamen wird es Dritten erleichtert (und Hinzuziehung von anderen Medien z.B. Telefonbuch) die Mitarbeiter zu identifzieren und diese ggf. zu belästigen ode r zu bedrohen.
Die Anzahl der in den letzten Zeit gestiegenen Spams an persönliche Mailadressen kann unter Umständen ganze Serverbereiche zum erliegen bringen.
Das LfDI empfiehlt, nicht die Vor- und Namen aller Mitarbeiter zu nennen, wenn diese nicht mit Außenwirkung tätig sind. Alternativ sollten hier Funktionsadressen wie z.B. Bürgerbüro, Servicestelle, Poststelle etc. genannt werden.
Eine neue Version der ISO/IEC 27001 ist seit Ende 2022 verfügbar. Sie löst nach knapp 10 Jahren die Version 2013 der inzwischen etablierten Norm für die Implementierung eines ISMS ab.
Was sind die wesentlichen Änderungen? Was müssen Sie für die nächste Rezertifizierung Ihres ISMS beachten? Auf diese Punkte möchte ich in diesem Beitrag eingehen und Ihnen eine (wie immer) praxisorientierte Handlungsempfehlung mitgeben. Damit können Sie strukturiert und übersichtlich die Mehrwerte der neuen Anforderungen bei Ihnen im Unternehmen implementieren.
Jeder im Berufsleben kennt ihn, den „gelben Schein“. Nun ist die Arbeitsunfähigkeitsbescheinigung auf Papier Geschichte. Sie wurde digitalisiert und ist seit Anfang dieses Jahres Pflicht. Offiziell trägt sie den Namen „elektronische Arbeitsunfähigkeitsbescheinigung (eAU)“. Sie wird von der Arztpraxis direkt an die Krankenkasse übermittelt.
Hinweis: Das eAU-Verfahren gilt nur für gesetzlich Versicherte, nicht für Privatversicherte.
Wie läuft das jetzt? Und was hat sich mit der Einführung geändert? Was müssen Arbeitgeber und Arbeitnehmer beachten? Welche Aspekte müssen Sie als Arbeitgeber in Bezug auf den Datenschutz berücksichtigen? Diese und andere Punkte klären wir in diesem Blogartikel.
Diese 5 Trends sollten Sie 2023 im Blick haben. Die Lage spitzt sich zu, wie auch das Bundesamt für Sicherheit in der Informationstechnik in seinem Lagebericht 2022 schreibt.
Durch unsere Vielzahl an Kundenprojekten und aus Gesprächen mit Unternehmern haben wir einen guten Überblick, wo der Schuh drückt in Sachen Informationssicherheit. Zudem sind wir natürlich auch auf dem Laufenden, was den aktuellen Stand der Technik betrifft.
Verschiedene Institute haben unterschiedliche Rankings für die Cybersecurity und Datenschutz Trends 2023 herausgegeben. Dort sieht man, dass es auch davon abhängt, welche Region oder Länder man betrachtet.
Aus diesen Informationen haben wir die wichtigsten Punkte im Bereich der Informationssicherheit für Sie zusammengefasst:
Inhaltsverzeichnis
Die Cybersecurity und Datenschutz Trends 2023 der Datenbeschützerin
Passwortlose Authentifizierung
Die Risiken aus Phishing und anderen Angriffen auf die Authentifizierungsdaten steigen jährlich. Zum einen sind die Passwörter zu trivial, zum anderen werden die Angriffe immer smarter in der Umsetzung.
Daher gibt es die FIDO-Alliance, die sich damit beschäftigt, wie Benutzeranmeldungen sicherer und mit weniger Risiko durchgeführt werden können. Ein großer Trend ist die passwortlose Authentifizierung, die Sie 2023 im Blick haben sollten. Mehr dazu finden Sie in unserem Knowledge Base Eintrag.
Managementsysteme für Informationssicherheit nach ISO 27001 oder VDA ISA / TISAX®
Da unsere Wirtschaft stark mit der Automobilindustrie verknüpft ist, überträgt sich die Anforderung der Branche auch auf die Zulieferer. Informationssicherheit in der Fahrzeugentwicklung und im Bau ist ein wesentlicher Erfolgsfaktor. Die OEMs fordern daher von Ihren Dienstleistern und Subdienstleistern entsprechende Absicherungen, um die Informationssicherheit zu gewährleisten.
Das bedeutet: Die Verpflichtung zur Implementierung eines Managementsystem für Informationssicherheit nimmt zu. Zum anderen ist es aber auch für viele wichtig, sich aus eigenem Antrieb in diesem Bereich gut aufzustellen, um den immer größer werdenden Herausforderungen gewappnet zu sein.
Als Ergebnis haben Sie ein Managementsystem, mit dem Sie in der Lage sind, den Stand Ihrer Informationssicherheit / Cybersecurity zu überwachen und natürlich auch entsprechend zu verbessern.
Gerne werfen wir einen Blick auf den aktuellen Stand Ihrer Informationssicherheit im Rahmen eines Audits und unterstützen Sie natürlich auch bei der Implementierung eines ISMS nach ISO 27001 oder VDA ISA.
Wir haben zwar keine Glaskugel, aber der Trend geht noch tiefer. Es werden zukünftig auch Cybersecurity Managementsysteme nach ISO/SAE 21434 und UNECE R155 speziell im Lebenszyklus des Fahrzeugs eine Rolle spielen. Siehe unsere Übersicht im ISMS. Dies ist zwar nur für eine kleinere Zielgruppe relevant, wir möchten es aber trotzdem an dieser Stelle nennen.
Privacy und Datenschutz
Ist das nicht schon ein alter Hut? Stimmt, die DSGVO kennen wir nun schon seit 2016 oder allerspätestens seit 2018, als sie in aller Munde war. Geändert hat sich in der EU allerdings die Konkretisierung vieler Punkte der DSGVO.
Durch Vorschläge und Empfehlungen von Aufsichtsbehörden und auch durch Urteile wird das Thema in vielen Punkten konkreter. Wie genau ist eine Webseite zu gestalten, wie genau muss die Einwilligung erfolgen oder wann brauche ich eigentlich eine Einwilligung? Welche Daten darf ich überhaupt verarbeiten und wo ist die rote Linie überschritten und wann befinde ich mich vielleicht noch in der Grauzone?
All diese Fragen und noch viel mehr werden und wurden konkretisiert. Allerdings steigt auch das Bewusstsein der Menschen im Umgang mit ihren Informationen. Es stimmt schon, von vielen kommen Kommentare, wie „wer hat schon Interesse an meinen Daten“… Auf der anderen Seite nimmt aber auch die Sensibilität zu, an wen ich meine Daten tatsächlich freiwillig übertrage. Die Information, dass Amazon die Daten aus Staubsaugerrobotern kauft, wirkt im ersten Moment belanglos. Hinterfragt man dieses Thema, kommt man schnell zum Punkt, dass Datenschutz hier ein wichtiger Aspekt sein muss.
Aber nicht nur die EU wird konkreter, auch die anderen Länder ziehen nach. Die Türkei, Indien – sogar Indien – hat ein neues Datenschutzgesetz im Gespräch. In den USA hat Kalifornien ja schon als Vorreiter begonnen. Jetzt zieht auch der Rest des Landes nach, um nur einige Beispiele zu nennen.
Was bedeutet das für Sie?
Als treuer Leser unseres Blogs sind Sie ja bereits gut in Sachen Datenschutz aufgestellt, oder 😉 ?
Falls nicht, starten Sie damit, sich mit den Basics zu befassen.
Verfahrensverzeichnis
Informationspflicht
Auftragsverarbeitung
Webseitencheck
Diese und weitere Prozesse des Datenschutzmanagementsystems sollten Sie auf jeden Fall umgesetzt haben. Und dran denken: Es geht auch einfach. Datenschutz muss nicht immer umständlich sein. Gern unterstützt Sie unser Team an Experten im Datenschutz.
Pin it!
Awareness
Eins der Trendthemen nicht nur in 2023. Die technischen Maßnahmen der Cybersecurity steigen stetig an. Immer mehr Schutz und Security durch technische Lösungen wird implementiert.
Doch was nützt die beste Firewall, wenn die Anwender ihre Zugangsdaten an unberechtigte Personen weitergeben? Dann braucht man kein Fort Knox, wenn der Angreifer mit dem Schlüssel durch das Haupttor geht.
Zunahme der Angriffe durch Schwachstellen in der Cybersecurity und Informationssicherheit
Wir sind ja nicht das Team, das mit Angst versucht, die Unternehmen zum Handeln zu bewegen. Sehen Sie bitte diesen Punkt auch nicht aus diesem Hintergrund.
Die Fakten sprechen allerdings eindeutig dafür, dass die Zahl der Angriffe steigt und sich auch deren Qualität verbessert. Digital Chiefs gehen mit ihrer Einschätzung sogar soweit, dass durch Angriffe auf operative Technologien sogar Menschen betroffen werden können. Diese stehen zwar nicht im Vordergrund des Angriffs, können aber als Ergebnis von Angriffen auf Produktionsmaschinen durchaus betroffen sein. Heftig, oder?
Wichtig ist aus unserer Sicht eine gesamtheitliche Strategie für Informationssicherheit, Cybersecurity und Datenschutz. Dazu bildet ein ISMS natürlich die Basis, aber es muss noch tiefer gehen. Sie sollten auch Ihre IT-Security im Griff haben. Patchmanagement, Incidentmanagement, regelmäßige Schwachstellen-Scans und für die Königsdisziplin dann Penetration-Tests.
Bei den Trends 2023 in Cybersecurity findet man auch den passwortlosen Login oder die passwortlose Authentifizierung. Was bedeutet das eigentlich und warum braucht man das überhaupt?
Noch immer ist eine Anmeldung mit Benutzername und Passwort in vielen Bereichen, auf vielen Plattformen, für Anwendungen oder in Unternehmen der Standard.
Inhaltsverzeichnis
Warum ist eine Anmeldung mit Benutzername und Passwort ein Risiko?
Unsichere Passwörter
Fasst man sich an die eigene Nase, dann weiß man, wie Passwörter gewählt werden. Komplexität wird vermieden, wenn sie nicht auf Biegen und Brechen technisch erzwungen wird. Sogar dann findet der kreative Anwender noch Möglichkeiten, die Komplexität so zu lösen, damit man sich das Passwort merken kann.
Nichtsdestotrotz ist das beliebteste Passwort immer noch 123456. Mit Brut Force oder Dictionary Angriffen werden solche Passwörter in Sekundenbruchteilen „gehackt“. Ohne zu sehr ins Detail zu gehen: Diese Angriffe basieren darauf, dass das verschlüsselt gespeicherte Passwort in Form eines Hash-Wertes erraten wird. Der Angreifer kreiert verschiedene Passwörter, verschlüsselt diese mit dem Hash-Algorithmus und vergleicht dann den Hash-Wert des Userpassworts mit dem kreierten Passwort. Stimmen beide Hash-Werte überein, wurde das Passwort richtig erraten.
Je einfacher das Passwort oder wurde es einfach aus einem Klarnamen gewählt, umso schneller wird es nach diesem Prinzip erraten.
Werden mit diesen Zugangsdaten dann noch sensible Informationen wie Zahlungsdaten oder im Job Einkaufs- oder Finanzdaten geschützt, ist das Risiko sehr hoch, da es sich ja bekanntermaßen aus Schaden = hoch und Eintrittswahrscheinlichkeit = sehr wahrscheinlich zusammensetzt.
Phishing Angriffe
Bei den bekannten Phishing Angriffen geht es eigentlich gar nicht wirklich um Cybersecurity. Unter IT- oder Cybersecurity stellt man sich immer den Angreifer vor, der über das Darknet komplexe Angriffe ausführt. Bei Phishing wird lediglich die Schwachstelle Anwender und dessen Gutgläubigkeit ausgenutzt.
Eine gute gemachte E-Mail im Posteingang, ein Klick darauf und dann noch die Zugangsdaten eingegeben. Was will der Angreifer mehr? Er braucht sich ja gar nicht mehr die Hände schmutzig machen. Die Authentifizierungsdaten werden ihm quasi auf dem Silbertablett präsentiert.
Ich falle doch nicht auf Phishing-Angriffe rein! Alter Hut, das passiert doch nur ungeschulten, unerfahrenen Anwendern. Leider nicht nur. Die E-Mails sind inzwischen so gut gemacht, dass selbst dem geschulten Auge der Angriff auf den ersten Blick nicht mehr auffällt. Es ist auch (noch) nicht so schlimm, wenn Sie auf den Link in der E-Mail klicken. Spätestens dann ist aber Vorsicht geboten! Wenn Sie auf der Webseite Ihre Zugangsdaten eingeben, ist es zu spät.
Laut BSI Jahresbericht 2022 waren 69% aller Spam-Mails Phishing und Betrugsmails. Davon wiederum waren 90% der Mails Finanz-Phishing E-Mails. Es geht wie immer ums Geld…
Auch hier ist das Risiko sehr hoch, da der Schaden sehr hoch ist und die Eintrittswahrscheinlichkeit ebenfalls als sehr wahrscheinlich eingestuft werden kann. Das belegen die Zahlen des BSI und die Fälle, die inzwischen jedem aus seinem Umfeld bekannt geworden sind.
Passwortlose Authentifizierung
Da die Risiken in der Verwendung einfacher Passwörter sehr hoch sind, geht der Trend dazu, nicht nur auf eine reine Anmeldung über Benutzername und Passwort zu setzen.
Die nichtkommerzielle FIDO-Allianz (Fast Identity Online) soll lizenzfreie und offene Standards entwickeln, die eine sichere und internationale Authentifizierung ermöglichen. In diesem Gremium wurde nun FIDO2 entwickelt.
FIDO2 basiert grundsätzlich auf dem Prinzip der Zwei-Faktor-Authentifizierung. Diese kann in zwei Varianten umgesetzt werden. Entweder mit einem Passwort + Token (wie wir es schon kennen) oder eben über die komplett passwortlose Authentifizierung.
FIDO2 mit Passwort und Token
Diese Zwei-Faktor-Authentifizierung wird inzwischen häufiger eingesetzt. Vor allem für Zugänge zu sensiblen Informationen. Im Anforderungskatalog der VDA ISA / TISAX® ist eine 2FA sogar als feste Anforderung bei externen Zugängen enthalten.
Das Prinzip basiert auf wissen und besitzen. Das heißt, ich kenne meinen Usernamen und mein Passwort, benötige aber noch eine weitere Komponente, die ich besitzen muss. Häufig ist es ein zeitlich gesteuerter Einmalcode, der über eine App am Handy generiert wird. Manche Unternehmen setzen aber auch einen eigenen Hardware-Token ein, der ein Einmalpasswort generiert.
Damit erhöht sich bereits die Sicherheit von Zugängen. Selbst wenn ein Angreifer nun die Faktoren des Usernames und Passworts kennt, fehlt ihm immer noch der Baustein des Einmalpassworts, der fest an ein Gerät gebunden ist.
FIDO2 als passwortloser Login
Bei der komplett passwortlosen Authentifizierung wird ein sicherer, unabhängiger Online-Dienst benötigt. Dieser verbindet mich, also meinen Client und den Server, auf dem ich mich anmelden möchte, sicher.
Dazu ist es notwendig, dass ich mich als User für jede Webseite, auf der ich mich sicher und passwortlos anmelden möchte, bei diesem Online-Dienst registriere und ein Schlüsselpaar erstellen lasse. Das ganze basiert auf dem gängigen Private and Public Key Prinzip.
Diesen Private Key kenne nur ich, bzw. nur mein Client. Dieser Schlüssel wird auf meinem Client (und sicherheitshalber im Passwortmanager) gespeichert. Der Public Key liegt auf dem Webserver, auf dem ich mich anmelden möchte.
Die passwortlose Authentifizierung muss dann beim Besuchen der Webseite trotzdem noch einmal durch den User bestätigt werden. Dazu gibt es verschiedene Optionen. Entweder über einen einfachen Klick auf einen Button, einen PIN-Code, biometrische Merkmale oder doch nochmal ein Hardware-Token. Das hängt sicherlich auch mit der Sensibilität der Daten zusammen, die über diese Webseite erreichbar sind.
Was sind die Vorteile eines passwortlosen Logins mit FIDO2?
Natürlich, it´s all about security. Das erzeugte Schlüsselpaar ist eindeutig für jede Webseite und jeden User. Da der private Schlüssel ausschließlich auf dem Clientgerät des Users gespeichert ist, laufen Phishing-Angriffe oder Passwortdiebstahl ins Leere.
Datenschutz
Die Schlüssel sind eindeutig für jede Webseite. Das heißt, ein Tracking über Webseiten hinweg ist überhaupt nicht möglich. Ein User kann nicht über seine Anmeldedaten auf verschiedenen Webseiten identifiziert werden.
Anwenderfreundlich
Da alle Zugangsinformationen auf dem Gerät gespeichert sind, muss der User keine komplexen Passwörter im Kopf haben und sich nicht einmal einen Usernamen zur Anmeldung merken.
Pin it!
Wie kann man die Sicherheit bei der Anmeldungen mit Benutzername und Passwort erhöhen?
Mir ist klar, dass nicht jeder und jedes Unternehmen sofort auf passwortlose Authentifizierung umstellen kann.
Trotzdem ist dann nicht gleich alles verloren. Es gibt auch weitere Möglichkeiten, die Sicherheit zu erhöhen.
Für uns ist daher ein Passwortsafe oder Passworttresor (welchen Namen man ihm auch geben mag), unumgänglich.
Was ist ein Passwortsafe?
Ein Passwortsafe ähnelt einem physikalischen Schlüsseltresor. Alle Schlüssel hängen im Schlüsselkasten. Dieser wiederum ist durch einen Schlüssel oder sicheren Code gesichert. Auf diesen einen Zugangsschlüssel muss ich natürlich gut aufpassen und vermeiden, dass er in die falschen Hände gerät.
Ein Passworttresor funktioniert nach dem selben Prinzip. Es handelt sich um eine Software, die alle Passwörter und Usernamen speichert.
Zusätzliches Feature: Sichere Passwörter
Das ist eine tolle Funktion. Der Safe enthält sogar einen Passwort-Creator. Man gibt an, wie viele Stellen das Passwort haben soll, welche Komplexitätsvoraussetzungen es hat und bekommt ein kryptisches Passwort vorgeschlagen, das im Idealfall dann auch gleich noch in die Maske eingefügt wird und im Passwortsafe gespeichert wird.
Damit entfällt die Schwachstelle des Users, der gar nicht in der Lage ist, so komplexe Passwörter und vor allem unterschiedliche Passwörter zu wählen.
Zusätzliches Feature: Schutz vor Phishing
Durch die Browserintegration des Passwortsafes erkennt die Software, auf welcher Internetseite ich mich bewege und zeigt mir nur die Zugangsdaten an, die auf dieser Seite eingefügt werden dürfen. Das heißt, bei einer Phishing-Seite bewege ich mich auf einer anderen URL, die der Passwortsafe nicht kennt. Selbst wenn die Seite optisch aussieht wie die meiner Bank, ist es für den Passwortsafe eine total unbekannte Seite. Allerspätestens an dieser Stelle sollte jeder merken, dass hier etwas faul ist und dass keine Daten eingegeben werden sollten.
Die Verwendung eines Passwortsafes ist alternativlos
Solange Sie in Ihrem Unternehmen mit Passwörtern arbeiten, sollten Sie einen Passwortsafe verwenden. Damit reduzieren Sie das Risiko des Identitätsdiebstahls erheblich. Die Kosten für die Lizenzen sind dagegen vernachlässigbar – aus unserer Sicht!
Wie melden Sie sich an?
Tippen Sie noch oder sind Sie schon darüber hinweg? Wie ist Ihre Erfahrung mit passwortlosem Login? Wir freuen uns über Ihren Kommentar mit Ihren Erfahrungen.
Schon wieder neue Standardvertragsklauseln im Datenschutz? Wer soll da noch durchblicken? Warum wurden überhaupt neue Standardvertragsklauseln definiert? Was muss ich jetzt tun? Und was hat es mit den Standardvertragsklauseln für den EWR auf sich? Viele Fragen – wir beantworten sie im folgenden Beitrag.
Wenn Ihr Dienstleister personenbezogene Daten für Sie oder gemeinsam mit Ihnen verarbeitet, müssen Sie bereits seit dem 27.09.2021 in den Verträgen, die den Datenschutz regeln, die neuen Standardvertragsklauseln heranziehen. Bis allerspätestens 27.12.2022 müssen auch alle bestehenden Verträge auf die neuen SCCs umgestellt sein. Bitte beachten Sie: Wir sprechen nur von den Verträgen, die den Datenschutz regeln. Weitere Verträge / Teilverträge, wie konkrete Leistungsbeschreibung, Laufzeiten und so weiter, sind hiervon nicht betroffen.
Jeden Tag kontaktieren uns Kunden, weil sie wegen Google Fonts Abmahnungen erhalten haben. Wie schon mehrfach in den Medien berichtet, handelt es sich hierbei um Massenabmahnungen von diversen Kanzleien.
Worum geht es? In den Briefen wird von den Webseitenbetreibern Schadenersatz gefordert, weil Google Fonts auf der Webseite nicht datenschutzkonform eingesetzt wird.
Wie soll man sich verhalten, wenn man eine derartige Forderung erhalten hat? Sicherheitshalber sofort zahlen und die Sache gleich aus dem Weg schaffen? Tun Sie das nicht. Im folgenden Beitrag erfahren Sie, wie Sie vorgehen können, wenn Sie eine Abmahnung erhalten. Wie immer stellen unsere Empfehlungen keine Rechtsberatung dar und sind daher ohne Gewähr.
kostenloses Live-Webinar: So setzen Sie TISAX® um!
Von Experten – für Experten im Datenschutz
Tauschen Sie sich mit Gleichgesinnten aus und bleiben Sie up to date!
Whistleblowing-Portal der Datenbeschützerin
Whistleblowing Richtlinie - Bereit für das Hinweisgeberschutzgesetz?
Bleiben wir in Kontakt
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.
