Account geklaut – Und nun?

/in ,

Immer wieder kommt es vor,  dass Accountdaten aus Firmen abhanden kommen oder einfach geklaut werden. In großen Firmen gibt es fast immer ein IT-Security Team, das zumindest schnell Hinweisen, die durch die verschiedenen Kanäle kommen, nachgehen können. In kleinen Firmen ist die IT i.d.R. bei so einem Thema auf konkrete Hinweise der Mitarbeiter angewiesen, um Maßnahmen zu ergeifen,

Eine Möglichkeit zu prüfen, ob ein Account betroffen sein könnte ist über die folgenden Links möglich. Diese prüfen in Datenbanken, ob Accountnamen bereits gelaut wurden (und z.B. zum Verkauf angeboten wurden). Hervorzuheben ist hier insbesondere der Identity LeakChecker vom Hasso Plattner Institut. Aber vorsicht: In diesem Datenbanken sind nur Accounts, die bereits entdeckt wurden, eine Vielzahl von geklauten Accounts finden niemals den Weg in diese Datenbanken.

https://sec.hpi.de/ilc/search

https://www.sicherheitstest.bsi.de

https://haveibeenpwned.com

Mit einem geklauten Firmenaccount können IT-Sicherheits- und Datenschutzverletzungen erfolgen und im schlimmsten Fall ein Schaden entstehen.

Wenn nur der einfachen Verdacht besteht, dass Ihr Firmenaccount von einem Dritten genutzt werden könnte, informieren Sie sofort die IT-Abteilung oder falls vorhanden den IT-Sicherheitsbeauftragten. Diese sollten auf der Basis von bestehenden Prozessen für diese Fälle alle weiteren Maßnahmen einleiten.

Es versteht sich von selber, dass der häfuige Passwortwechsel sowie ausreichend komplexe Passwörter eine Voraussetzung sind, um die Fremdnutzung zu erschweren. Hierzu gibt es bereits zahlreiche Tipps im Netz.

Sind In Ihrem Unternahmen noch keine dieser Prozesse implementiert? Dann wird es aber Zeit, denn die bestehenden Security Standards sowie die neue Datenschutzgrundverordnung (DSGVO) fordern solche Maßnahmen. Gern unterstützen wir Ihr Unternehmen bei der Erstellung und Umsetzung.

Datenschutzerklärung für Apps

/in ,

Immer wieder taucht die Frage auf, ob eine App, in der man nichts Persönliches eingibt, eine Datenschutzerklärung braucht. Die klare Antwort ist „Ja“, man braucht eine Datenschutzerklärung auch für Apps. Denn die meisten Apps holen sich bei der Installation persönliche Daten vom Gerät, z.B. personenbezogene Berechtigungen. Sobald der Zugriff auf Standort, Kamera, Mikrofon, oder Ähnliches erfolgt, wird es zusätzlich kritisch.

Google und Apple verlangen in ihren App-Richtlinien schon lange diese Erklärungen und Google Play hatte im März 2017 bereits angedroht, dass Apps aus dem Store entfernt werden, die diese Forderung nicht erfüllen (siehe z.B. Heise). Mit der neuen DSGVO wird am 25.5.2018 das mögliche Bußgeld auf bis zu 20 Mio Euro erhöht, so dass die Datenschutzmuffel ab dann mit einem echten Risiko spielen, sollten sie diese einfache Erklärung nicht liefern.

Inhalte der Datenschutzerklärung für Apps

Eine App sollte daher grundsätzlich mit einer Datenschutzerklärung versehen werden, die mind. folgende Inhalte beschreiben sollte:
  • Welche Daten vom Nutzer erhoben werden (mind. Berechtigungen)
  • Zu welchem Zweck die Daten erhoben und verarbeitet werden
  • Ob und zu welchem Zweck  Daten an Dritte übermittelt werden
  • Welche Plugins / Tracking-Dienste zu welchem Zweck genutzt werden (z.B. wenn man werbefinanzierte Apps anbietet)
  • Ob Cookies eingesetzt werden
  • Ob und wie lange die Daten gespeichert werden sollen
  • Welches Widerspruchs- und Auskunftsrecht, etc. der Betroffenene hat (bitte neue DSGVO Vorgaben berücksichtigen!)
  • Wie der Anbieters kontaktiert werden kann (analog zur Datenschutzerkläruzng auf der Webseite)

Die Datenschutzerklärung für Apps sollte knapp und umgangssprachlich formuliert sein, da auf dem Display nicht allzu viel Platz ist und der Nutzer unbedingt verstehen sollte, was ihm da mitgeteilt wird. Ausschweifende juristische Formulierungen mit wortgewandten Feinheiten sind auch im Sinne der neuen DSGVO nicht mehr gefragt.

Wichtig ist, dass der Nutzer die Möglichkeit hat, die Datenschutzerklärung für Apps vor dem ersten Aufruf der App zu lesen und anschließend die App wieder zu löschen. Hierzu kann man auch die Informationen im App-Store hinterlegen oder nach einer Installation sofort anzeigen und um Bestätigung bitten.

Ebenfalls sollte wie auf einer „normalen“ Webseite die Datenschutzerklärung schnell auffindbar sein.

Generatoren für Datenschutzerklärungen

Wer Generatoren für solche Erklärungen sucht, wird beispielsweise auf folgenden Seiten fündig:

Bundesministerium für Justiz und Verbraucherschutz

 

Wer setzt die DSGVO im Unternehmen um?

/in , ,

In verschiedenen Gespräche mit Unternehmen habe ich immer wieder folgendes gehört:

Wir haben einen Datenschutzbeauftragten, der kümmert sich um die DSGVO-Compliance

Hier stelle ich mir das Bild eines in einer riesigen Abstellkammer zurückgelassenen Menschen vor, von dem man erwartet, dass er  die Kammer aufräumt und vorher nicht rauskommt.

Die Annahme, dass ein Datenschutzbeauftragter dafür Sorge trägt, dass ein Unternehmen ab 25.5.2018 die Datenschutzgrundverordnung und des BDSG neu erfüllt  ist dabei nicht nur falsch sondern auch risikoreich – für den Unternehmer.

Auf Handlungsbedarf bzgl. DSGVO hinweisen

Zu den Pflichten des Datenschutzbeauftragten gehört primär die Beratung des Unternehmens und insbesondere der GF in Bezug auf die Verarbeitung personenbezogener Daten. Darüber hinaus pflegt er nach dem aktuellen BDSG das Verfahrensverzeichnis auf Basis der ihm zur Verfügung gestellten Informationen, schult Mitarbeiter und prüft neue oder geänderte Verfahren.

Im Zusammenhang mit der DSGVO ist es daher die Pflicht des Datenschutzbeauftragten, die Geschäftsführung über kommende Änderungen zu informieren und Risiken aufzuzeigen, die sich bei einer Nichtbefolgung ergeben können. Hier gilt auch schon meine erste Empfehlung für Datenschutzbeauftragte:

Informiert den Verantwortlichen über die Neuerungen und Risiken durch die DSGVO unbedingt schriftlich.

Die Einführung der DSGVO definiert den Datenschutzbeauftragten zukünftig primär als Berater des Unternehmens oder wer es böswillig ausdrücken möchte, als verlängerter Arm der Aufsichtsbehörden.

Der DSB sollte im Kontext der kommenden Änderungen daher u.a. auf folgendes hinweisen:

  • Gültigkeit und Neueinholung von Einwilligungserklärungen
  • Neue Informationspflichten bei der Kommunikation mit Kunden (u.a. Webseite, Newsletter, etc.)
  • Anpassung von Verpflichtungserklärungen
  • Anpassung von Schulungsunterlagen
  • usw.

Bzgl. Verfahrensverzeichnis entfällt zwar für einige Unternehmen theoretisch die Pflicht zur Führung eines Verfahrensverzeichnisses. Wenn man aber den Datenschutz entsprechend den Forderungen nach einem Datenschutzmanagement sicherstellen möchte, dann sind hierfür genau diese Verfahren wieder die Grundlage evtl. sogar noch umfangreich als vorher.

Also müssen diese Dokumentationen entsprechend dieser Anforderungen angepasst werden. Hierzu sei auf die Vorlagen z.B. des BSI verwiesen.  Wer noch kein Verfahrensverzeichnis hat, sollte das also jetzt auch noch nachholen (nach dem aktuellen BDSG ist der DSB zum Führen verpflichtet, aber nur auf Basis der Informationen, die er zur Verfügung gestellt bekommt).

Projekt zur DSGVO – Compliance empfehlen

Und damit kommen wir zum größten Thema, das der DSB aussprechen sollte:

Die Einführung eines Datenschutzmanagmentsystems mit allen Richlinien und Prozessen, ein kontinuierlicher Verbesserungsprozesses anlehnend an eine ISO 9001 sowie einer Möglichkeit zur Auditierung.

Hier sind eine Vielzahl von Rollen im Kontext einer entsprechenden Datenschutz- und Informationssicherheitsorganisation zu besetzen und einzubinden. Dazu gehören GF, IT-Leitung, Personalleitung, Abteilungen, etc.

Die Verantwortung für diese ganzen Dinge bleiben beim Verantwortlichen einer Firma, d.h. der Geschäftsführung. Ein vorausschauender DSB empfiehlt nun die Initiierung eines Compliance-Projektes zur Erfüllung der DSGVO und des neuen BDSG. Sofern kein Informationssicherheitsmanagement vorliegt, empfielt er gleichzeitig dieses als Orientierung direkt mit einzuführen und die datenschutzrelevanten Teile (Verfahren, etc.) zu ergänzen. Der DSB ist dabei ein Teil des Projektes und unterstützt den Projektverantwortlichen bei der Beschreibung und Definition der notwendigen Maßnahmen (primär Richtlinien und Verfahren).

Das ganze Thema ist aufwendig und die Zeit bis zum 25.5.2018 sehr knapp, aber wer nicht ein Projekt initiiert, läuft in ein hohes Risiko, dass der Datenschutzbeauftragte bereits heute kommunizieren kann.

VdS 3473 als Basis für Datenschutzmanagement nach DSGVO

/in , ,

Neue Anforderungen der DSGVO

Die ab 25.5.2018 geltende Datenschutz Grundverordnung beinhaltet im Vergleich zum BDSG die Pflicht zur Etablierung eines Datenschutzmanagement Systems, welches wie ein internes Kontrollsystem im Unternehmen etabliert werden soll. Die DSGVO erwartet in diesem Zusammenhang auch die Etablierung eines ständigen Verbesserungsprozesses, um erkannte Schwachstellen / Maßnahmen zu dokumentieren und zu optimieren / fortzuführen.

Schließlich wird eine enge Verbindung zur Datensicherheit und den dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen hergestellt.

In Zukunft ist der Unternehmer verpflichtet nachzuweisen, dass Maßnahmen getroffen und ständig verbessert werden.

Für KMUs den VdS 3473 Standard wählen

Im Hinblick auf Nachweise der getroffenen Datenschutzmaßnahmen und insbesondere eines Datenschutzmanagementsystems sollte berücksichtigt werden, dass eine Prüfung i.d.R. auf vorhandene Standards referenziert. Da es für das Datenschutzmanagement bis dato keinen ausreichenden Standard gibt sollte ein Standard aus dem Bereich IT-Sicherheit verwendet, und um Datenschutz erweitert werden. Dieser umfasst dann i.d.R. auch das Qualitätsmanagement nach ISO 9001, welches durch den ständigen Verbesserungsprozess abgebildet wird.

Insbesondere für kleine und mittlere Unternehmen bietet sich die VdS 3473 an, die sowohl zertifizierbar als auch aufwärtskompatibel insbesondere zur ISO 27001 ist.

Alternativ kann mit deutlich größerem Aufwand auch der BSI Grundschutz oder die ISO 27001 als Basis verwendet werden.

Es macht anschließend Sinn, die VdS-Richtlinien um die besonderen Anforderungen des Datenschutzes zu erweitern. Dies kann durch gesonderte Kapitel oder auch durch eigene Dokumente erfolgen, auf die dann verwiesen wird.

Weitere VdS 3473 Informationen

Folgende Informationen zur VdS 3473 können weiterhelfen:

Informationen des VdS inkl. Zertifizierung

https://www.vds.de/cyber/zertifizierung-fuer-kmu/

Dokumentation

https://vds.de/fileadmin/vds_publikationen/vds_3473_web.pdf

Quick-Check zur Statusfeststellung

https://www.vds-quick-check.de/

Kontaktformulare unbedingt verschlüsseln

/in ,

Bei der Recherche zu Verschlüsselungmethoden ist mir neulich das Thema Verschlüsselung von Kontaktformularen wieder in die Hände gefallen.

Sofern jemand aus geschäftlichen Gründen Kontaktdaten auf einer Seite abfragt, besitzt § 13 Abs. 7  des Telemediengesetzes (TMG) eine weitreichende Bedeutung. Aus diesen Formulierungen geht klar hervor, dass die sichere Übertragung von personenbezogenen Daten mit „als sicher anerkannten Verschlüsselungsverfahren“ durchgeführt werden muss.

Dies betrifft auf den meisten Seiten mindestens das Kontaktformular und evtl. sogar die Analysesoftware, die IP-Adressen erfasst. Erfassen Sie mehr als diese Daten wie z.B. in Shops oder Blogs mit Kommentarfunktion, so müssen Sie dort überall die Übertragung mit Verschlüsselung sicherstellen. Tatsächlich gibt es bereits Fälle, in denen Bußgelder durch die Aufsichtsbehörden verhängt wurden (bis zu 50 T€).

Sie können das  Thema recht einfach lösen. Stellen Sie Ihre Webseite doch auf SSL-Verschlüsselung mit einem aktuellen TLS Protokoll um. Damit lösen Sie gleichzeitig das Thema, dass Google nicht gesicherte Webseiten in Ihren Suchergebnissen grundsätzlich schlechter bewertet als gesicherte. Die Zertifikate von anerkannten Zertifizierungsstellen sind teilweise schon als Teil eines Webpaketes verfügbar.

Kostenlose und anerkannte Zertifikate kann man auch über die von der Linux Foundation initierten LetsEncrypt Initiative erhalten, die bereits von Millionen genutzt wird und namhafte Sponsoren aus der ganzen IT-Branche hat.

 

 

 

 

Google Analytics und Datenschutz

/0 Kommentare/in ,

Immer wieder taucht die Frage auf, wie Google Analytics und Datenschutz miteinander in Einklang gebracht werden können. Hinzu kommt die Frage, wie man Google Analytics richtig installiert und korrekt  auf die Verwendung hinweist, um eine mögliche Rechtsverletzung zu vermeiden.

Hinlänglich bekannt sind die Hinweise zum Datenschutz auf den Webseiten inkl. der Deaktivierung der Google Analytics Erfassung. Auch das Thema Abschluss eines Auftragdatenverarbeitungsvertrages mit Google ist schon zahlreich diskutiert worden.

Lesenswerte Seite zu Google Analytics und Datenschutz

Da ich neulich eine super Seite mit vielen Fakten zu diesem Thema gefunden habe, möchte ich auf diese gerne hinweisen. Hier werden viele Fragen sowie eine möglichst datenschutzkonforme Verwendung detailliert beschrieben.

Die Zusammenfassung ist von Cathrin Tusche und unter diesem Link zu finden.

Bezüglich Datenschutzerklärung verweise ich gerne auch auf Generatoren wie z.B. eRecht24, der auch die Verwendung von Google Analytics berücksichtigt.

 

AEO Genehmigung und Datenschutz

/0 Kommentare/in ,

Für Unternehmen, die Handel über die Grenzen hinaus betreiben ist es sehr hilfreich, wenn es Erleichterungen im normalen Ablauf der Warenverzollung gibt. Dazu kann eine Firma den sogenannten Status des „Zugelassenen Wirtschaftsbeteiligten“ ( AEO ) beantragen. Mit diesem Status wird bei der Zollabfertigung i.d.R. eine deutliche Vereinfachung in der Abwicklung erreicht sowie Kontrollen auf ein Minimu reduziert. Die ganze Thematik basiert auf dem SAFE Framework der Weltzollorganisation und wird durch die Bestimmungen des Zollkodexes der Union (UZK) für die EU geregelt. Die Genehmigung berühert auch das Thema Datenschutz.

Die Anforderungen der AEO

Um eine solche Genehmigung zu erhalten ist nachzuweisen, dass der Wirtschaftsbeteiligte besonders zuverlässig und vertrauenswürdig ist. Dies wird von der Zollbehörde sehr genau geprüft!

Und hier spielt der Datenschutz plötzlich  eine Rolle, weil auch die beteiligten Personen (und nicht nur die Rechtsform) diesen Nachweis erbringen müssen.

In Artikel 24 des UZK findet sich folgender Passus:

(1) Ist der Antragsteller eine natürliche Person, gilt die Voraussetzung des Artikels 39 Buchstabe a des Zollkodex als erfüllt, wenn der Antragsteller und gegebenenfalls der Beschäftigte des Antragstellers, der für dessen Zollangelegenheiten zuständig ist, in den letzten drei Jahren keine schwerwiegenden oder wiederholten Verstöße gegen die zoll- oder steuerrechtlichen Vorschriften und keine schweren Straftaten im Rahmen ihrer Wirtschaftstätigkeit begangen hat.

 Ist der Antragsteller keine natürliche Person, gilt die Voraussetzung des Artikels 39 Buchstabe a des Zollkodex als erfüllt, wenn keine der folgenden Personen in den letzten drei Jahren einen schwerwiegenden Verstoß oder wiederholte Verstöße gegen die zoll- oder steuerrechtlichen Vorschriften oder eine schwere Straftat im Rahmen ihrer Wirtschaftstätigkeit begangen hat:

 a) der Antragsteller;

b) die Person, die für das antragstellende Unternehmen verantwortlich ist oder die Kontrolle über seine Leitung ausübt;

c) der Beschäftigte des Antragstellers, der für dessen Zollangelegenheiten zuständig ist.

 AEO und persönliche Daten

Die Vorgaben bedeuten, dass die Zollbehörde bei einer Beantragung der AEO von den genannten Beteiligten nähere Angaben zu ihrer steuerliche Zuverlässigkeit erhalten möchte. Dies erfolgt i.d.R. durch Abfrage der persönlichen Steuer-ID. Es geht dabei nicht um eine steuerliche oder zollrechtliche Verpflichtung, sondern nur um einer Art steuerliches „Führungzeugnis“ für diesen konkreten Anwendungsfall.

Dies ist im Rahmen des Gesetzes zulässig und stellt Sie vor die Wahl, dem Ersuchen auf Auskunft zu folgen oder auf eine Gemehimigung zu verzichten. Sofern Sie im Handel aktiv sind können Sie darüber hinaus eine solchen möglichen Fall zusätzlich in Ihren Arbeitsverträgen aufnehmen, wobei die Zweckbestimmung sowie die Funktion maßgeblich sind. Wichtig ist, dass Sie nur die Daten der in Artikel 24 genannten Beteiligten übermitteln.

Weitere Informationen finden Sie bei der Zollbehörde.

DSGVO Einführung jetzt beginnen

/0 Kommentare/in , ,

Am 25.5.2018 tritt die neue europäische Datenschutz Grundverordnung DSGVO in Kraft. Bis zu diesem Zeitpunkt haben die Mitgliedsstaaten Zeit, ergänzende Regelungen zu verabschieden.

Was viele nicht wissen:

Die DSGVO löst das aktuelle Bundesdatenschutzgesetz BDSG ab!

Damit werden alle Regelungen und Vereinbarungen (z.B. Einverständniserklärungen, Verschwiegenheitserklärungen der Mitarbeiter, Auftragsdatenverarbeitungsverträge, etc.) möglicherweise ungültig.

Neu ist neben den zukünftig massiv erhöhten Bußgeldern bei Verstößen auch die Einrichtung eines Datenschutzmanagements, welches einem prüfbarem und prozessorientiertem Ansatz eines internen Kontrollsystems entspricht  und einen umfangreichen Aufwand bei der Einrichtung erfordert.

Mit der neuen DSGVO wird auch die Verknüpfung von IT-Sicherheit und Datenschutz hergestellt. Die bisher zu dokumentierenden technischen und organisatorischen Maßnahmen werden wie bei den IT-Sicherheitsnormen behandelt und einer ständigen Verbesserung nach dem Stand der Technik unterworfen. Daher bietet sich  an, einen Blick auf BSI-Grundschutz, ISO 27001 oder VdS 3473 zu werfen.

Die Auskunftspflichten haben Sich in der Form geändert, dass mit der DSGVO deutlich mehr Informationen geliefert werden sollten und insbesondere auf die Widerspruchsrechte des Kunden explizit hingewiesen werden muss. Davon betroffen sind auch die vielen Datenschutzerklärungen auf Webseiten, bei denen in den meisten Fällen eine Anpassung erfolgen muss.

Denken Sie daran, dass Datenschutzverletzungen oder Sicherheitsvorfälle nicht nur ärgerlich für das Unternehemn und die Betroffenen sind, sondern auch erhebliche Reputationsverluste mit sich führen können. Die Sensibilität der Kunden ist in diesem Bereich sehr hoch.

Um darüber hinaus den entstehenden Risiken (Haftung, Abmahnungen) zu entgehen, sollten Sie jetzt mit der Umsetzung der neuen DSGVO beginnen. Dazu empfehlen wir, Ihre existierenden Datenschutz als Startpunkt zu verwenden und die Anpassungen sowie Erweiterungen abzuleiten. Aus unserer Erfahrung dauert eine Ist-Aufnahme eine gewisse Zeit. Und wenn Sie dann noch ein Managementsystem etablieren wollen, welches sich an existierenden Normen wie die ISO 27001 orientieren soll ist der Zeitraum ausgesprochen kurz.

Welche Lösung für Sie die angemessene ist, finden wir in einem Abstimmungsgespräch heraus.

Haben Sie noch keinen Datenschutz umgesetzt, dann wird es höchste Zeit damit zu beginnen und so schnell wie möglich die nowendigen Maßnahmen zur Erfüllung der gesetzlichen Rahmenbedingungen umzusetzen.

Gerne unterstützen wir Sie bei der Identifikation der Risiken und deren Behebung sowie der Etablierung eines Datenschutzmanagements.

Auftragsdatenverarbeitung außerhalb der EU

/in , ,

Die Regelungen für eine Auftragsdatenverarbeitung nach dem BDSG werden hinlänglich praktiziert. Hier sind insbesondere die Verarbeitung der Daten innerhalb der EU durch entsprechende Regelungen abgedeckt. Was aber passiert, wenn ein Dienstleister außerhalb der EU genutzt wird und als Funktionsträger die Daten des Unternehmens verarbeitet? Hierzu zählen beispielsweise Dienste wie Amazon oder Google oder auch das bekannte CRM System Salesforce, die Ihre Daten häufig außerhalb der EU speichern und weiterverarbeiten.

Vor dem Abschluss eine Vertrages zur Auftragsdatenverarbeitung ist zu empfehlen, zuerst die Privacy Policies der Unternehmen zu lesen. Sofern diese Bestandteil eines Vertrages sind oder werden sollen, sind dort bereits Hinweis auf die Verarbeitung der Daten außerhalb der EU zu finden.

Privacy Shield als Nachfolger für Safe Harbour

Explizit für US Unternehmen bestand darüber hinaus ein Abkommen zwischen der EU und den USA, das veraltete Safe Harbour Abkommen. In diesem wurde geregelt, wie der Datenschutz der EU zu erfüllen ist. Unternehmen, die sich dieser Vereinbarung freiwillig unterwerfen wollten, konnten sich diesbezüglich zertifizieren lassen.

Die entsprechende Liste des US Handelsministeriums kann im Web unter hier eingesehen werden. Dort können Sie prüfen, ob das zu beauftragende Unternehmen zertifiziert ist und wie lange diese noch Gültig ist.

Am 8.Oktober 2015 wurde  das Safe Harbour Abkommen durch den europäischen Gerichtshof aufgrund unzureichender Vereinbarungen für nichtig erklärt. Damit wurde für viele Vereinabrungen die Rechtsgrundlage entzogen.

Nähere Informationen hierzu finden Sie auf der Webseite des Bundesdatenschutzbeauftragten unter https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/SafeHarbor.html.

Anstelle des Safe Harbour Abkommens wurde 2016 das „Privacy Shield“ Abkommen abgeschlossen, welches die Beanstandungen des bisherigen Abkommens kompensieren soll. Auch hier müssen sich Unternehmen wieder zertifizieren lassen. Neu ist insbesondere, dass die Gültigkeit der Zertifizierung durch das beauftragte Unternehmen jährlich nachgewiesen werden muss.

Die zertifizierten Unternehmen können wiederum auf der Webseite https://www.privacyshield.gov  eingesehen werden.

EU Vertragsbedingungen für Auftragsdatenverarbeitung

Offen bleibt aber, wie ein Vertrag mit einem Unternehmen in einem Drittstaat abgeschlossen werden soll. Hier hat die EU entsprechende Vorlagen bereitgestellt, die sich in jedem Vertrag wieder finden sollten (https://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm ). Entscheidend ist dabei die Auswahl der richtigen Vorlage.

Leider basieren die Vorlagen noch auf den bisherigen Datenschutzregelungen der EU, die bekanntlich durch die DSGVO Regelungen abgelöst werden. Es ist daher davon auszugehen, dass diese Vertragsregelungen nur noch eine Übergangszeit ihre Gültigkeit behalten und dann durch neu abzuschließende Verträge abgelöst werden müssen.

Auch die Verbindglichkeit des Privacy Shield Abkommens ist noch nicht abschließend geklärt, insbesondere nach dem Regierungswechsel in den USA.

Hohe Komplexität

Insgesamt ist das Thema zum Abschluss eines Vertrages zur Auftragsdatenverarbeitung hoch komplex. Nützliche Hinweise, wie im Einzelfall zu verfahren ist finden sich auf der Webseite des Landesdatenschutzbeauftragten NRW unter https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/InternationalerDatenverkehr/index.php oder auf https://www.datenschutz-notizen.de/sind-die-eu-standardvertragsklauseln-noch-wirksam-10-punkte-die-jetzt-beachtet-werden-sollten-0912785/

 

Continuity Management – Reduzieren Sie Ihr Ausfallrisiko und hohe Folgekosten

/in ,

Business Continuity Management ist ein Krisen- oder Notfallmanagement mit dem Ziel, Geschäftsprozesse in Ihrem Unternehmen auch bei Auftreten von schwerwiegenden, unerwarteten Ereignissen (Krisen, Katastrophen) nicht oder nur kurz zu beinträchtigen. Damit wird die wirtschaftliche Existenz Ihres Unternehmens auch in diesen Fällen nicht gefährdet. Business Continuity Management ist eng mit dem IT Service Continuity Management verknüpft, welches im Fehlerfall in der IT die Bereitstellung der Services sicherstellen soll.

Rechtliche Grundlagen

Als kapitalorientiertes Unternehmen sind Sie z.B. durch KonTraG (Kontroll- und Transparenzgesetz) verpflichtet worden, ein Risikomanagement zu implementieren. Auch die Basel II Regelungen zur Kreditvergabe implizieren diese Risikobetrachtung, welche eine Krisenvorsorge beinhalten sollte. Da alle Unternehmensprozesse zu immer größeren Teilen durch Informationstechnologie sichergestellt werden, sollten Sie insbesondere im IT-Bereich die Risiken kennen und Notfallpläne parat haben. Verlassen Sie sich nicht darauf, dass Ihre IT ein funktionierendes Backup macht oder eine unterbrechungsfreie Stromversogung installiert ist. Die Praxis sieht in der Regel ganz anders aus.

Maßnahmen

Nehmen Sie die für Sie möglichen Fehlerquellen auf. Hierzu helfen Ihnen z.B. die Kataloge des BSI-Grundschutzes. Identifizieren Sie anschließen Ihre kritischen Systeme. Identifizieren Sie die Kombination aus Schadenereignis und kritischem System und versuchen Sie die Auswirkung des Schadens monetär zu bewerten. Stellen Sie sich die Frage, wie lange ein Ereignis maximal dauern darf, bis ein spübarer Schaden auftreten könnte. Dabei hilft auch zu berücksichtigen, wieviele Menschen im Notfall von einem Schadenereigniss betroffen wären.

Auf dieser Basis können Sie nun Maßnahmen für die unterschiedlichen Schadenergeignisse definieren, die zu treffen sind, um den Schaden minimal zu halten.

Möchten Sie sich hier verbessern, dann nutzen Sie unsere Erfahrungen. Entwickeln Sie mit uns zusammen neue Vorgehensweisen, die kurzfristig zum Ziel führen. Werden Sie Referenzkunde, profitieren Sie von gemeinsamen Projekten und setzen Sie Standards.