Die Bedeutung der Zeitstempel in der IT-Forensik

Die Bedeutung der Zeitstempel in der IT-Forensik

– Reposting – Hier geht's zum Original: Die Bedeutung der Zeitstempel in der IT-Forensik

In IT-forensischen Untersuchungen ist es oftmals wichtig, zu den gefundenen Spuren eine passende zeitliche Einordnung rekonstruieren zu können. Welche Bedeutung Zeitstempel in der IT-Forensik haben, erklÀrt der folgende Beitrag.

Was sind Zeitstempel?

Als Zeitstempel (engl. timestamps) werden EintrÀge bezeichnet, die ein Datum und eine Uhrzeit enthalten (bspw. 13.07.2018; 19:48:12). Digitalkameras speichern solche bei Aufnahmen z.B. im Zusammenhang mit dem Dateinamen. Doch auch Computer speichern Zeitstempel, etwa wenn eine Datei erstellt, verÀndert, geöffnet, kopiert oder gelöscht wird. Die Betriebssysteme protokollieren aber nicht nur Zeitstempel von Dokumenten wie PDF-Dateien oder der Microsoft Office Suite (Word, Excel, PowerPoint, Outlook, OneDrive), sondern auch von Programmöffnungen, USB-Nutzungen, der Browser-Nutzung und von Account-Nutzungen.

Die Zeitstempel sind wichtig, um feststellen zu können, was mit einer Datei auf einem Computer geschehen ist. Sie spielen eine große Rolle, wenn es darum geht, Straftaten zu durchleuchten und aufzuklĂ€ren.

MAC(B)-Zeitstempel

Das Dateisystem NTFS, welches von Windows verwendet wird, reprÀsentiert im Master File Table (MFT) zu jeder Datei Attribute, welche Metadaten enthalten und der Datei auf dem DatentrÀger den Speicherplatz zuordnet. Die Metadaten umfassen u.a. auch den MAC(B)-Zeitstempel. Dieser enthÀlt wiederum vier weitere Zeitstempel. Die Buchstaben reprÀsentieren dabei jeweils folgende Ereignisse:

  • Der Buchstabe M reprĂ€sentiert den Zeitstempel, wann die letzte Modifikation bzw. der letzte Schreibzugriff vorgenommen wurde („Modified (Written) Time“)
  • Der Buchstabe A reprĂ€sentiert den Zeitstempel, wann die Datei oder der Eintrag gelesen bzw. anderweitig darauf zugegriffen wurde („Last Accessed Date“)
  • Der Buchstabe C reprĂ€sentiert den Zeitstempel, wann die Metadaten zuletzt verĂ€ndert wurden („MFT Entry Modified (MFT Record Change)“)
  • Der Buchstabe B reprĂ€sentiert den Zeitstempel, wann eine Datei oder ein Eintrag erstellt wurde („Birth (Creation) Time“)

Durch diese vier Zeitstempel können nicht nur VerÀnderungen an den Dateien an sich, sondern auch KopiervorgÀnge festgestellt werden. Denn dabei werden nicht alle Zeitstempel neu geschrieben. Welche davon genau bei einem solchen Vorgang betroffen sind, lÀsst sich pauschal nicht sagen, da sich dies in den jeweiligen Versionen von Windows unterscheidet.

Zeitstempel als Ansatz der IT-forensische Analyse

Eine IT-forensische Analyse nur auf Grundlage der Zeitstempel aus der MFT aufzubauen, ist nicht möglich, da diese falsch sein können. Durch Anti-Forensik-Tools können EintrĂ€ge etwa böswillig manipuliert werden, um die Spuren eines Angreifers zu verwischen. Deshalb ist eine Verifikation der Zeitstempel unabdingbar. DafĂŒr werden weitere Zeitstempel herangezogen, die auf einem digitalen System zu finden sind, z.B. in Log-Dateien des Windows-Betriebssystems oder Software wie TeamViewer. Zudem können diese Aufschluss ĂŒber weitere TĂ€tigkeiten des Benutzers geben.

Zeitstempel geben also im Zusammenhang mit der Tatzeit und Aktionen aus einem bestimmten Zeitraum dem IT-Forensiker einen guten Überblick ĂŒber die Geschehnisse.

Zusammenfassen von Zeitstempeln zu einer Timeline

Eine Timeline ist eine Sammlung von Artefakten, welche aus einem Zeitstempel, der Beschreibung des Zeitstempels (z.B. Modified Time) und einem Dateinamen besteht. Diese werden chronologisch zu bestimmten Zeitspannen oder fĂŒr bestimmte Zeitintervalle erfasst und dargestellt. Sie stellt also eine Menge von Zeitstempeln dar, welche anschließend in einer forensischen Analyse wiedergefunden werden. Das ZusammenfĂŒgen verschiedener Artefakte mit den Zeitstempeln kann bei der Analyse einer Straftat helfen, zu ermitteln, „Wer“, „Was“, „Wann“, „Wie“ getan hat. Durch eine Timeline werden Zeitstempel und die dazugehörigen Events organisiert und so eine bessere VerstĂ€ndlichkeit ermöglicht.

Das Erstellen einer Timeline-Analyse auf Grundlage der MAC(B)-Zeitstempel zu Beginn einer forensischen Untersuchung kann sehr nĂŒtzlich sein. So kann schnell erkannt werden, welche Dateien weitere Spuren zur AufklĂ€rung des Sachverhaltes beinhalten. Um eine vollstĂ€ndige und genaue Beschreibung zu erhalten, mĂŒssen auch Informationen aus den Artefakten selber in eine umfassendere Timeline mit einbezogen werden. Die Dateien, welche auf dem Dateisystem vorhanden sind und bereits mit dem MAC(B)-Zeitstempel betrachtet wurden, können möglicherweise Protokolldateien sein, welche weitere Informationen enthalten. Wenn beispielweise das VerĂ€ndern einer Log-Datei von TeamViewer anhand der Metadaten festgestellt wurde, können aus der Datei weitere Informationen zu möglichen Verbindungen extrahiert werden.

Aus dem Arbeitsalltag eines Forensikers

Besonders hilfreich sind Zeitstempel dann, wenn ein IT-Forensiker gezielt in seinen Tools danach filtern kann. Wenn ein Tatzeitraum eingegrenzt werden konnte, lassen sich die Spuren auf solche reduzieren, die im relevanten Zeitraum stattgefunden haben. Abzulesen ist dies anhand der vorhandenen Zeitstempel. Möchte ein Forensiker also bspw. wissen, ob eine Datei im MĂ€rz 2020 geöffnet wurde, kann er dies anhand des A-Zeitstempels („Last Accessed Date“) erkennen. Somit sind Zeitstempel, vorausgesetzt sie sind vorhanden und korrekt, ein wichtiges Indiz fĂŒr stattgefundene Benutzer-AktivitĂ€ten und haben eine hohe Bedeutung bei IT-forensischen Untersuchungen.

Jedoch kann eine IT-forensische Analyse nicht nur auf den Metadaten aus der MFT aufgebaut werden. Viele weitere Artefakte können verwendet werden, um einen Tathergang zu rekonstruieren. Diese haben wir bereits in der Blog-Reihe Daten verraten beleuchtet.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Die Bedeutung der Zeitstempel in der IT-Forensik.

Mobile Device Management – Bedeutung, Vorteile und Risiken

Mobile Device Management – Bedeutung, Vorteile und Risiken

– Reposting – Hier geht's zum Original: Mobile Device Management – Bedeutung, Vorteile und Risiken

Die zentrale Verwaltung von mobilen GerĂ€ten durch Administratoren wird als Mobile Device Management (MDM), zu Deutsch MobilgerĂ€teverwaltung, bezeichnet. Über Bedeutung, Vorteile und Risiken solcher MDM-Lösungen, klĂ€rt der folgende Beitrag auf.

Was ist Mobile Device Management?

Bei dieser Form der GerĂ€teverwaltung stehen Sicherheit und FunktionalitĂ€t im Vordergrund. Es wird ĂŒber ein zentrales Portal auf allen entsprechenden MobilgerĂ€ten eine App installiert. DarĂŒber ergibt sich fĂŒr den Administrator eine Vielzahl an Funktionen, um die Unternehmensdaten auf den mobilen GerĂ€ten in Sicherheit zu wissen. Zu diesen Funktionen zĂ€hlt unter anderem auch das Löschen bzw. Sperren des GerĂ€ts per Fernzugriff (Remote) im Falle eines Diebstahls, Verlusts, oder Ausscheiden eines Mitarbeiters. Durch die Nutzung eines solchen Systems sind alle GerĂ€te inventarisiert. Dadurch kann die Administration ĂŒber Richtlinien und Zugriffsrechte bestimmen.

Ebenfalls kann das Mobile Device Management dazu dienen, Unternehmensdaten von privaten Daten sauber auf GerĂ€ten zu trennen. Das ist besonders relevant, wenn im Unternehmen Privatnutzung zumindest geduldet und „Bring Your Own Device“ (BYOD) erlaubt ist. Generell, aber speziell in diesen FĂ€llen, empfiehlt sich auch der Gebrauch einer Container-Lösung. Hierbei finden alle relevanten Funktionen in einem geschĂŒtzten Raum, Container genannt, statt, sodass es zu keinem unkontrollierten Datenverkehr kommt.

Die zentrale Verwaltung von mobilen GerÀten durch Administratoren stellt eine Softwarelösung dar, welche den Zugriff von mobilen GerÀten auf das Firmennetzwerk sichert. Somit beinhalten MDM-Lösungen hÀufig noch weitere Apps, um bspw. auf Kontakte, E-Mails, oder Kalender zuzugreifen.

Vorteile und Risiken

Ein großer Vorteil der Mobile-Device-Management-Lösungen ist die Möglichkeit, mobile GerĂ€te wie Smartphones, Tablets, Laptops usw., trotz unterschiedlicher Betriebssysteme, (iOS, Android, Windows, Chrome OS, macOS) einrichten zu können. Die Integration unterschiedlicher Betriebssysteme ist allerdings mit einem höheren Aufwand verbunden.

FĂŒr Unternehmen ergeben sich viele Vorteile bei ArbeitsablĂ€ufen, gerade durch den Zugriff auf die Unternehmensdaten von ĂŒberall aus. Weitere Vorteile sind unter anderem:

  • Durchsetzen von Richtlinien fĂŒr mobiles Arbeiten und Datenschutz
  • NetzwerkzugĂ€nge konfigurieren
  • Bereitstellung und Management von Apps
  • White- und Blacklisting
  • Monitoring

Auf der anderen Seite sind damit allerdings auch Risiken und ein gewisser Verwaltungsaufwand verbunden. Die Kontrolle und Transparenz der ordnungsgemĂ€ĂŸen Nutzung muss auch datenschutzkonform ablaufen. Dies gilt vor allem, wenn ein Unternehmen seinen Mitarbeitern den Gebrauch privater GerĂ€te erlaubt bzw. sogar verlangt. MDM-Lösungen sind oft kostspielig, aufwĂ€ndig und komplex. Sie verlangen ein hohes Maß an administrativem Knowhow, um die Verwaltung optimal durchzufĂŒhren.

Die Preise, die bei der Investition in MDM-Lösungen anfallen, sind jedoch deutlich kalkulierbarer als eventuelle monetÀre SchÀden bei Datenabfluss im Unternehmen. Je mehr mobile und unterschiedliche GerÀte durch die Mitarbeiter in Benutzung sind, desto komplexer wird die Verwaltung vom Mobile Device Management.

Anforderungen an MDM-Software

Um die Verwaltung zu erleichtern und eine hohe FunktionalitÀt und Sicherheit zu gewÀhrleisten, gelten u.a. folgende Anforderungen:

  • Integration der unternehmensspezifischen IT-Struktur
  • umfassende Funktionen zur Sicherheit (z.B. Passwortschutz & verschlĂŒsselte DatenĂŒbertragung)
  • intuitive BedienungsoberflĂ€che fĂŒr die Administration
  • Möglichkeiten der Protokollierung und Berichterstellung
  • Verteilung von Zugriffsrechten
  • Ortung, Sperrung/Löschung eines GerĂ€ts
  • Trennung zwischen privaten und Unternehmensdaten

Der Aufwand lohnt sich

Somit kann gesagt werden, dass das Mobile Device Management eine sinnvolle Lösung zum Schutz von Unternehmensdaten auf mobilen GerĂ€ten darstellt. Allerdings mĂŒssen, wie bei fast allen Softwarelösungen, gewisse Elemente im Vorwege bedacht werden. Auch zum Thema Datenschutz: Ein gut strukturiertes Mobile Device Management leistet einen wichtigen Beitrag zur Datensicherheit und somit auch zum Datenschutz. Aber die Einsatzmöglichkeiten einer zentralen Verwaltung von mobilen GerĂ€ten durch Administratoren mĂŒssen die rechtlichen Vorgaben des Datenschutzes einhalten. Zum Beispiel, wenn es um Lokalisierung von Mitarbeitern durch eine GPS-Ortung geht.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Mobile Device Management – Bedeutung, Vorteile und Risiken.

Google Analytics & Co. – Die Folgen des Schrems-II-Urteils

Google Analytics & Co. – Die Folgen des Schrems-II-Urteils

– Reposting – Hier geht's zum Original:

Google Analytics & Co. – Die Folgen des Schrems-II-Urteils

Dieser Beitrag beleuchtet die Folgen des Schrems-II-Urteil insbesondere bei dem Einsatz von außereuropĂ€ischen Tracking-Tools wie Google Analytics. ZusĂ€tzliche Brisanz ergibt sich hierbei aus der AnkĂŒndigung der Aufsichtsbehörden, eine bundesweit angelegte Kontrolle von Tracking-Diensten auf Websites durchzufĂŒhren.

Welche Bedeutung hat das EuGH-Urteil Schrems II?

GrundsĂ€tzlich besteht die Wirkung dieses Urteils nur zwischen den betroffenen Parteien, nĂ€mlich fĂŒr das vorlegende irische Gericht und den EuGH. TatsĂ€chlich strahlt es jedoch Bindungswirkung fĂŒr alle Mitgliedstaaten respektive deren Gerichte und Behörden aus.

Übermittlung in die USA

Das Urteil betrifft alle Behörden, Gerichte und Unternehmen, die Daten in die USA ĂŒbermitteln und zwar eigentlich nicht nur dann, wenn hierfĂŒr die Auftragsverarbeitung auf das Privacy-Shield gestĂŒtzt wurde. Letztendlich betrifft es auch den Datentransfer, der im Wege der Standardvertragsklausel (SCCÂŽs) erfolgt. Denn auch bei deren Verwendung muss berĂŒcksichtigt werden, dass diese allein noch nicht das Schutzniveau im EmpfĂ€ngerland der Daten garantieren, dass in der EU herrscht. Der Datenexporteur ist aufgrund des Urteils gehalten, das dort bestehende Rechtssystem darauf zu prĂŒfen, ob dies ein adĂ€quates Schutzniveau bietet und dem Betroffenen durchsetzbare Rechte einrĂ€umt. Diese PrĂŒfung ist schwierig genug, da nicht jedes Unternehmen ĂŒber eine Rechtsabteilung verfĂŒgt und auch diese nicht zweifelsfrei fremde Rechtssysteme kennt bzw. prĂŒfen kann.

Kann kein adĂ€quates Schutzniveau zweifelsfrei im EmpfĂ€ngerland vorausgesetzt werden, dann muss der DatenĂŒbermittler mit anderen Maßnahmen vor der DatenĂŒbermittlung den Schutz der Betroffenenrechte, wie dies der DSGVO entspricht, sicherstellen. Hierbei kann die VerschlĂŒsselung helfen, solange der Datenexporteur den SchlĂŒssel behĂ€lt oder die Pseudonymisierung, wenn auch hier die Liste fĂŒr die Reidentifikation beim Datenexporteuer verbleibt. Machbar ist auch weiterhin die Anonymisierung, wobei hier darauf zu achten ist, dass tatsĂ€chlich eine Anonymisierung vorliegt. Hier divergierendie Vorstellungen die Praktiker von der Anonymisierung haben oftmals mit denen der Aufsichtsbehörden.

Übermittlung in DrittlĂ€nder ohne Angemessenheitsbeschluss

WĂŒrde man die Wirkung dieses Urteils nur auf die Unternehmen beziehen, die mit den USA Datenverkehr haben, wĂŒrde man zu kurz springen. Letztendlich betrifft das Urteil alle Unternehmen, die Daten in ein Land außerhalb der EU und den EWR ĂŒbermitteln und fĂŒr das kein Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DSGVO der EU vorliegt. In diesen LĂ€ndern muss ab sofort grundsĂ€tzlich geprĂŒft werden,

  • ob der betroffenen Person Betroffenenrechte, wie diese in Artt. 15ff der DSGVO festgelegt sind, zustehen,
  • ob es eine adĂ€quate Möglichkeit gibt, unabhĂ€ngige Gerichte und Aufsichtsbehörden anzurufen und
  • welche Möglichkeiten des Datenzugriffs fĂŒr Landesbehörden und hier insbesondere dem Geheimdienst existieren.

Sondersituation Großbritannien
Noch gehört Großbritannien zur EU, jedoch naht der Brexit und daher sind auch hier bereits Vorkehrungen zu treffen. Da noch kein Angemessenheitsbeschluss vorliegt bzw. in Aussicht ist, sind hier dieselben Maßnahmen zu ergreifen, wie dies fĂŒr die DrittlĂ€nder ohne Angemessenheitsbeschluss gilt.

Übermittlung in DrittlĂ€nder mit Angemessenheitsbeschluss

DatenĂŒbermittlungen in diese LĂ€nder, fĂŒr die ein Angemessenheitsbeschluss existiert, sind privilegiert und dĂŒrfen ohne weitere Genehmigung vorgenommen werden. Wobei die inhaltliche Reichweite des Angemessenheitsbeschlusses von Land zu Land variieren kann, so dass jeder Datenexporteuer gehalten ist, vor dem Datentransfer zu prĂŒfen, ob der Angemessenheitsbeschluss fĂŒr das konkrete Land auch den jeweiligen, geplanten Datentransfer umfasst.

FĂŒr folgende LĂ€nder besteht derzeit ein Angemessenheitsbeschluss:

  • Andorra
  • Argentinien
  • Kanada
  • FĂ€röer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Was ist zu tun?

Der Landesbeauftragte fĂŒr Datenschutz und Informationsfreiheit Baden-WĂŒrttemberg hat eine weitreichende Orientierungshilfe gegeben und darin folgende möglichen To-Dos angefĂŒhrt:

  • Bestandsaufnahme an welche Datenimporteure in Drittstaaten Daten exportiert werden
  • Information dieser Datenimporteure ĂŒber das Schrems II-Urteil und dessen Konsequenzen
  • Auskunftsersuchen an den Datenimporteur, ob und wann dieser ggf. Daten an Geheimdienste, Behörden herausgeben muss
  • eigenstĂ€ndige PrĂŒfung der Rechtssituation im EmpfĂ€ngerstaat durch den Datenexporteur unter zur Hilfenahme der Auskunft
  • PrĂŒfung, ob ggf. ein Angemessenheitsbeschluss fĂŒr das Drittland vorliegt und dieser den Datentransfer deckt
  • PrĂŒfung, ob die Standardvertragsklauseln genutzt werden können
  • PrĂŒfung, ob diese SCCÂŽs ggf. mit weiteren Garantien ergĂ€nzt werden mĂŒssen, um einen Datentransfer zu ermöglichen
  • andernfalls verbleibt in einem sehr engen Umfang die Übermittlung nach Art. 49 DSGVO

Bundesweite Kontrolle von Tracking-Tools

Basierend auf dem Planet-49-Urteil hat der BGH im Mai seine erwartete Entscheidung in Bezug auf die Nutzereinwilligung zum Einsatz von Cookies getroffen. Nicht nur, dass es höchste Zeit ist die Einwilligung fĂŒr den Einsatz von nicht zwingend notwendigen Cookies von der betroffenen Person einzuholen und dies zu dokumentieren, d.h. einen ordnungsgemĂ€ĂŸen Cookie-Consent-Tool fĂŒr Cookie-Trackingdienste und Analysedienste einzusetzen. Es sind auch noch weitere Maßnahmen zu ergreifen, siehe unten.

OrdnungsgemĂ€ĂŸer Einsatz von Cookie-Consent-Tools

Was viele hierbei immer noch nicht berĂŒcksichtigen, ist dass

  • Cookies dĂŒrfen erst gesetzt werden, nachdem eine Einwilligung des Betroffenen in dokumentierbarer Form vorliegt, vorher dĂŒrfen nur die zwingend notwendigen Cookies gesetzt werden
  • Einwilligungen mĂŒssen fĂŒr jeden einzelnen Dienst eingeholt werden, z.B. Google Analytics
  • Einwilligungen mĂŒssen jederzeit fĂŒr die Zukunft widerrufbar sein, d.h. genauso einfach, wie die Einwilligung eingeholt wurde

Einsatz außereuropĂ€ischer Tracking-Tools

Hat man das Consent-Cookie-Banner ordnungsgemĂ€ĂŸ installiert, dann ist zu beachten, dass ein großer Teil der fĂŒhrenden Tracking-Tools außereuropĂ€isch ist, d.h. großteils von US-Firmen betrieben wird. In den DatenschutzerklĂ€rungen und den Cookie Policies wird hierbei oftmals noch bei der Beschreibung des Dienstes auf das US Privacy Shield verwiesen, was nach Schrems II nicht mehr möglich ist. Abgesehen davon ist deren Einsatz datenschutzkonform kaum mehr vorstellbar.

Bereits jetzt reichen Privatpersonen Beschwerden bei den Aufsichtsbehörden ein, wenn diese Tracking-Tools von Unternehmen weiterhin verwendet werden. Im gleichen Zuge kĂŒndigen die Aufsichtsbehörden an, eine bundesweite, flĂ€chendeckende PrĂŒfung der eingesetzten Online-Tracking-Technologien durchfĂŒhren zu wollen. Wer jetzt noch ohne ordnungsgemĂ€ĂŸen Consent-Cookie-Banner agiert und außereuropĂ€ische Technologien einsetzt, ist frĂŒher oder spĂ€ter dran und zahlt.

Das Wehklagen der Marketingabteilung

Auch wenn die Marketingabteilungen derzeit klagen, dass die Tracking-Tools unabdinbar sind. Sie sollten unbedingt nach alternativen Analyse-Möglichkeiten suchen, die diese Transferproblematik nicht haben. Sie sollten die Suche fĂŒr alle FĂ€lle dokumentieren, damit Sie Ihre AktivitĂ€t den Aufsichtsbehörden gegebenenfalls belegen können. Wenn Sie immer noch der Anschauung sind, außereuropĂ€ische Tracking-Tools notwendigerweise einsetzen zu mĂŒssen, sollten sie das Risiko fĂŒr ein Bußgeld kennen und ihr Nutzen aus dem Einsatz des Tracking-Tools sollte demnach entsprechend groß sein. Andernfalls sollte  man diese Tools mit Transferproblematik abstellen und nach Alternativen suchen.

Auch wenn fĂŒr manche Dinge noch kein adĂ€quater Ersatz vorhanden ist, ohne Nachfrage wird dieser nicht kommen. Es ist höchste Zeit diese Produkte nachzufragen und zu nutzen, und zwar im eigenen Interesse, um Bußgelder zu vermeiden.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original:

Google Analytics & Co. – Die Folgen des Schrems-II-Urteils

.

Digitalisierung und die DSGVO – Datenschutz in der Schule

Digitalisierung und die DSGVO – Datenschutz in der Schule

– Reposting – Hier geht's zum Original: Digitalisierung und die DSGVO – Datenschutz in der Schule

Wenn sich Ende August die Sommerferien fast ĂŒberall hierzulande dem Ende neigen, bricht reges Treiben in den Bildungsanstalten aus. Wie jedes Jahr werden die SchĂŒler mit allerlei Informationen ĂŒberhĂ€uft und die Eltern dĂŒrfen sich auf Willkommensveranstaltungen anhören, warum dieses Jahr endlich alles planmĂ€ĂŸig verlaufen wird. Dabei spielt auch der Datenschutz eine besondere Rolle.

Daten ohne Ende

Schulen sind immer schon ein Sammelsurium von personenbezogenen Daten gewesen. Hier werden Daten von SchĂŒlern, LehrkrĂ€ften und anderen BeschĂ€ftigten und natĂŒrlich von den Erziehungsberechtigten verarbeitet. Zu diesen Daten gehören Namen, Adressen, WohnverhĂ€ltnisse und natĂŒrlich Leistungsdaten wie z. B. Zeugnisnoten. Hinzu kommen im Regelfall auch deutlich sensiblere Daten wie Angaben zum Gesundheitszustand eines SchĂŒlers oder dessen Religionszugehörigkeit.

Dass Deutschland in Sachen Digitalisierung vielen Teilen der Welt hinterherhinkt, ist wahrlich keine Neuigkeit. Dies hat sich seit Beginn der Corona-Pandemie besonders deutlich im Schulwesen gezeigt. Als die SchĂŒler Mitte MĂ€rz dieses Jahr quasi von heute auf morgen zu Hause beschult werden mussten, waren Lehrer und SchĂŒler gleichermaßen ĂŒberfordert. Dies ist hier nicht als Kritik an den genannten Personengruppen zu verstehen, sondern lag schlicht und einfach daran, dass eine moderne, digitale AusrĂŒstung in den meisten Schulen dieses Landes praktisch nicht vorhanden war.

Fotos nur mit Einwilligung – oder?

Ein Klassiker ist stets die Frage, ob und wann Fotos von SchĂŒlern angefertigt oder sogar veröffentlicht werden dĂŒrfen. Dieses Problem hat sich durch das Inkrafttreten der DSGVO noch einmal verschĂ€rft. Die DSGVO hat, das lĂ€sst sich nach nunmehr ĂŒber zwei Jahren feststellen, das Thema Datenschutz deutlich mehr in den Fokus der Bevölkerung gerĂŒckt. Allerdings hat die DSGVO auf Grund der scheinbar hĂ€rteren Regelungen auch ein StĂŒck weit fĂŒr Verunsicherung gesorgt. Dies hat sich beispielsweise in dem Fall einer katholischen KindertagesstĂ€tte in Dormagen gezeigt, als eine ĂŒbereifrige Mitarbeiterin der Kita in einem Erinnerungsbuch nahezu sĂ€mtliche SchĂŒlerfotos geschwĂ€rzt hatte.

Die Rechtslage ist in der Tat etwas schwammig. Neben dem Allheilmittel Einwilligung kommt als Rechtsgrundlage auch das berechtigte Interesse bei der Anfertigung von Bildern, zum Beispiel fĂŒr Klassenfotos, in Betracht. Wann ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO vorliegt, ist immer am Einzelfall zu messen. Zu berĂŒcksichtigen ist auch, dass der Großteil der SchĂŒler minderjĂ€hrig ist und somit einem besonderen Schutz unterliegt. Das Anfertigen und Veröffentlichen von SchĂŒlerfotos fĂŒr ein Jahrbuch oder einen Erinnerungsband dĂŒrfte im Regelfall auf das berechtigte Interesse gestĂŒtzt werden können, da dies vom Erziehungsauftrag der Schule gedeckt ist. Anderenfalls bleibt nur die Einwilligung, welche dann ggf. von den Erziehungsberechtigten des betroffenen SchĂŒlers eingeholt werden muss.

SchĂŒlerfotos auf der Website

Anders sieht das zumeist bei Fotos aus, welche die Schule auf ihrer eigenen Website veröffentlichen möchte. Diese richtet sich im Gegensatz zum Jahrbuch an einen unbestimmten Personenkreis, so dass die Reichweite hier deutlich grĂ¶ĂŸer ist. Hier dĂŒrfte ein berechtigtes Interesse der Schule an der Veröffentlichung nur schwer zu begrĂŒnden sein, weil die Schule ihren Bildungsauftrag sicherlich auch ohne Fotos von minderjĂ€hrigen SchĂŒlern auf der Website erfĂŒllen kann, so dass hier tatsĂ€chlich nur die Einwilligung eine taugliche Rechtsgrundlage darstellt.

Wie genau muss solch eine Einwilligung eigentlich aussehen? Können Eltern gleich zu Beginn des Schuljahres eine Art „Generaleinwilligung“ fĂŒr alle möglichen Formen von Bildern ihrer Kinder unterschreiben? Nein! Denn personenbezogene Daten dĂŒrfen gemĂ€ĂŸ Art. 5 Abs. 1 lit. b DSGVO nur

„fĂŒr festgelegte, eindeutige und legitime Zwecke erhoben werden und dĂŒrfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden [
].“

Daraus folgt, dass der Zweck der Datenverarbeitung, auch im Rahmen einer Einwilligung, so genau wie möglich angegeben werden muss. Eine „Blankovollmacht“ fĂŒr sĂ€mtliche Fotos, die im Laufe eines Schullebens angefertigt werden könnten, soll auf diese Weise vermieden werden.

Ohne Klassenliste geht es nicht

Viele Eltern kennen das Problem: Das eigene Kind hat wieder einmal die Hausaufgaben nicht notiert. Wie war nochmal die Adresse oder die Telefonnummer der Eltern des Klassenkameraden? Dort könnte man ja eben mal nachfragen. Gut, dass es die Klassenliste gibt! Aber ist das ĂŒberhaupt zulĂ€ssig?

Was in grauer Vorzeit, also als mit dem Wort Datenschutz nur wenige etwas anfangen konnten, noch ganz normal war, ist aus datenschutzrechtlicher Sicht kritisch zu beurteilen. Eine Klassenliste mag praktisch sein, aber will man als Elternteil wirklich, dass alle anderen Eltern ĂŒber die Daten verfĂŒgen? Was ist bei getrenntlebenden Eltern, die dies aber nicht nach außen offenbaren wollen? Hier wird deutlich, dass selbst eine scheinbar simple Klassenliste deutlich mehr in das Privatleben der Beteiligten eingreifen kann, als dies vielen bewusst ist. In jedem Fall sollte von jedem betroffenen Elternteil eine wirksame Einwilligung eingeholt werden, bevor die Daten innerhalb der Erziehungsberechtigten weitergegeben werden.

Auch fĂŒr LehrkrĂ€fte ist eine Klassenliste sehr praktisch. Solange diese die Daten selber zusammenstellen und nur im Rahmen ihres Unterrichts verwenden, dĂŒrfte es aus datenschutzrechtlicher Sicht keine Probleme geben. Schließlich handelt es sich im Regelfall um genau die Daten, welche ohnehin durch die Schule als Verantwortliche und zudem (auch) fĂŒr diesen Zweck erhoben worden sind.

Die Digitalisierung schreitet voran

Da deutsche Schulen langsam, aber stetig immer digitaler werden, sehen sich Lehrer und SchĂŒler großen datenschutzrechtliche Herausforderungen ausgesetzt. SpĂ€testens seit Beginn der Corona-Krise haben Online-Lernangebote den Markt ĂŒberflutet. Aber aufgepasst: Gegen Ende des vergangenen Schuljahres hatte der thĂŒringische Landesdatenschutzbeauftragte, Dr. Lutz Hasse, angekĂŒndigt, mögliche datenschutzrechtliche VerstĂ¶ĂŸe von LehrkrĂ€ften prĂŒfen und verfolgen zu wollen. Diese AnkĂŒndigung wurde in der Öffentlichkeit zwar kontrovers, aber eher mit UnverstĂ€ndnis in Richtung des Landesdatenschutzbeauftragten diskutiert.

Das Bewusstsein, dass im Bereich Digitalisierung noch viel zu tun ist, scheint sich nun immer mehr durchzusetzen. In Nordrhein-Westfalen zum Beispiel hat die Landesregierung im Juli dieses Jahres ein Programm zur Sofortausstattung von SchĂŒlern mit digitalen EndgerĂ€ten aufgelegt. Damit will das Land herausfinden, wie hoch der tatsĂ€chliche Bedarf an EndgerĂ€ten im Falle einer erneuten Schulschließung tatsĂ€chlich ist.

Digitale (Lern-)Plattformen

Neben digitalen Lernplattformen können auch andere personenbezogenen Daten von SchĂŒlern inzwischen digital verarbeitet werden. Einige Schulen nutzen z. B. bereits Apps und andere Tools, mit welchen Fehlzeiten, Krankheitstage oder VorfĂ€lle im Unterricht festgehalten werden können. Dieses sogenannte „digitale Klassenbuch“ erfreut sich immer grĂ¶ĂŸerer Beliebtheit.

Bei sĂ€mtlichen Tools ist natĂŒrlich darauf zu achten, dass diese mit den Vorgaben der DSGVO in Einklang stehen, insbesondere hinsichtlich der technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO. Auch wird im Regelfall eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO notwendig sein. Zudem ist darauf zu achten, ob die personenbezogenen Daten möglicherweise in ein Drittland transferiert werden. Viele Anbieter dieser Lernplattformen haben ihren Sitz in den USA und verarbeiten daher die personenbezogenen Daten außerhalb der EU. Beispielhaft sei hier die derzeit sowohl bei LehrkrĂ€ften als auch bei SchĂŒlern beliebte Plattform Padlet genannt. Hier sollte gerade im Hinblick auf die jĂŒngste Entscheidung des EuGH zum Privacy Shield die Auswahl ganz besonders sorgfĂ€ltig erfolgen.

Weitere Artikel zum Thema

In der Vergangenheit haben wir in unserem Blog schon mehrfach zum Thema berichtet. Eine Auswahl von unseren BeitrÀgen finden Sie hier:
  • Datenverarbeitung in der Schule
  • Schule 2.0: Was ist beim digitalen Klassenbuch zu beachten?
  • Datenschutzgerechte Nutzung von IT-Tools & Software in Schulen
  • Online-Lernangebote fĂŒr zu Hause und der Datenschutz
  • Datenschutz: Gibt es nun Bußgelder gegen Lehrer?
  • Datenschutz als Schulfach fĂŒr Kinder
  • Handys in der Schule – Ratgeber fĂŒr Lehrer und Eltern
  • WhatsApp gehört nicht an Schulen

GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Digitalisierung und die DSGVO – Datenschutz in der Schule.

Mieterdaten: ZulÀssigkeit der Weitergabe an Energieversorger

Mieterdaten: ZulÀssigkeit der Weitergabe an Energieversorger

– Reposting – Hier geht's zum Original: Mieterdaten: ZulĂ€ssigkeit der Weitergabe an Energieversorger

Bei einem Wohnungswechsel mĂŒssen Mieter an diverse Ab- und Ummeldungen denken. Auch die Energieversorger gilt es ĂŒber den Wohnungswechsel informieren. Es kommt aber immer wieder vor, dass Mieter dieser Meldepflicht – versehentlich oder absichtlich – nicht nachkommen. In diesem Beitrag wird daher erörtert, unter welchen Voraussetzungen der Vermieter Mieterdaten an den Energieversorger mitteilen darf.

Ausgangssituation: Wer ist wann Vertragspartner vom Energieversorger?

Wenn ein Mieter in ein Mietobjekt einzieht, kann der Mieter sich seinen Versorger fĂŒr Energie auswĂ€hlen. Wenn er keinen Vertrag mit einem selbst ausgewĂ€hlten Energielieferanten schließt oder dieser Vertrag nicht zeitgleich mit dem Mietbeginn beginnt, dann greift zunĂ€chst die sog. Grundversorgung. GemĂ€ĂŸ § 2 Abs. 2 StromGVV kommt ein Grundversorgungsvertrag konkludent durch Nutzung des Stromes an der Entnahmestelle zustande. Zudem ist der Mieter gesetzlich zur Mitteilung seiner IdentitĂ€t gegenĂŒber dem Grundversorger verpflichtet. Trotz dieser gesetzlichen Pflicht kommt es regelmĂ€ĂŸig dazu, dass neu-einziehende Mieter sich nicht beim Grundversorger anmelden. Ebenfalls ist es denkbar, dass ausziehende Mieter sich nicht rechtzeitig abmeldet. Insbesondere bei Zwischenzeiten, wo das Mietobjekt leer steht, muss der Vermieter selbst fĂŒr etwaigen Energieverbrauch (z. B. fĂŒr Besichtigungen, Renovierungen) aufkommen. Vermieter und Grundversorger schließen hierfĂŒr regelmĂ€ĂŸig einen sog. Leerstandsvertrag mit gesonderten Preistarifen.

Mitteilung an Energiegrundversorger, dass ein neuer Mieter eingezogen ist

Ausgangssituation ist, dass der bisherige Mieter ausgezogen ist und die Wohnung leer stand.

Unproblematisch ist es, wenn der Vermieter lediglich mitteilt, wann der Leerstand eines Mietobjektes aufhört, ohne hierbei den neuen Mieter zu benennen. Zum Nachweis genĂŒgt insoweit eine Kopie vom Ableseprotokoll zum Einzug, aus der sich der Tag der Ablesung, die ZĂ€hlernummer und Ablesewerte ergeben. Die Angaben zum neuen Mieter sind allerdings zu schwĂ€rzen.

Nachdem Einzug muss der Vermieter dem Mieter zunĂ€chst eine angemessene Frist gewĂ€hren, damit der Mieter sich selber beim Grundversorger anmelden kann und/ oder einen eigenen Energieversorger auswĂ€hlt und mit diesem einen Vertrag schließt. Ein Zeitraum von 6 Wochen nach Mietbeginn ist hierbei angemessen.

Soweit der Grundversorger dem Vermieter nach diesen 6 Wochen mitteilt, dass Energie von diesem bezogen wird/ wurde und der neueingezogene Mieter sich aber nicht bei ihm angemeldet hat, erst dann darf der Vermieter den Namen und die Adressdaten des eingezogenen Mieters mitteilen.

Berechtigte Interessen als Rechtsgrundlage

Die Übermittlung der personenbezogenen Daten von Neumietern an den Grundversorger kann in diesem Falle auf Art. 6 Abs. 1 Uabs. 1 lit. f DSGVO (InteressenabwĂ€gung, berechtigtes Interesse) gestĂŒtzt werden. Um nachzuweisen, dass der Strom nicht durch den Vermieter selbst verbraucht wurde, darf der Vermieter daher dem Grundversorger melden, dass der Strom fĂŒr ein Mietobjekt ab einem bestimmten Zeitpunkt (Einzug eines Mieters) nicht mehr vom Vermieter, sondern vom Mieter bezogen wird und darf dazu auch dessen Namen mitteilen.

Der Mieter wird durch die Stromnutzung automatisch zum Vertragspartner des Grundversorgers. Es ist fĂŒr ihn also vorhersehbar, dass seine IdentitĂ€t sowie die Dauer des MietverhĂ€ltnisses gegenĂŒber dem Grundversorger mitgeteilt werden. Der Mieter hat selber seine eigene Pflicht zur Anmeldung versĂ€umt und ist daher nicht schutzwĂŒrdig. Wenn ein Mieter einen anderen Energielieferanten als den Grundversorger nutzen möchte, dann muss der Mieter sich selber rechtzeitig darum kĂŒmmern. Nur wenn der Vertrag mit dem ausgewĂ€hlten Energielieferanten rechtzeitig zustande kommt, sodass auf den Grundversorger nicht zurĂŒckgegriffen werden muss, ĂŒberwiegt das Mieterinteresse, unbekannt zu bleiben, gegenĂŒber dem Interesse des Vermieters und des Grundversorgers.

Einwilligung als Rechtsgrundlage

Manch ein Grundversorger fordert von dem Vermieter, dass dieser eine Einwilligung zur DatenĂŒbermittlung vom Mieter bei Vertragsschluss einholen. Denn die 6-Wochenfrist ist auch bei Vorliegen einer Einwilligung zu berĂŒcksichtigen. Wenn zwischen dem Grundversorger und dem Mieter kein Vertrag zustande kommt, dann muss Grundversorger auch nicht die IdentitĂ€t des Mieters kennen. Die Mitteilung der Mieterdaten wĂ€re in diesem Falle nicht erforderlich, sodass die Einwilligung auch nicht greifen wĂŒrde. Insoweit muss die Privatautonomie des Mieters hinsichtlich der Wahl des Energieversorgers beachtet werden.

Es sei an dieser Stelle noch an das Koppelungsverbot aus Art. 7 Abs. 4 DSGVO erinnert, weswegen diese EinwilligungserklĂ€rung zur DatenĂŒbermittlung separat unterschrieben und keinesfalls mit dem Übergabeprotokoll verbunden sein sollte.

Mitteilung an Energieversorger, dass ein (alter) Mieter ausgezogen ist

Im Falle des Auszuges eines Mieters muss der Mitteilungsumfang der Informationen ebenfalls differenziert betrachtet werden. So kann die bloße Mitteilung, wann der Mieter ausgezogen ist bzw. wann das MietverhĂ€ltnis endete, ebenfalls auf Art. 6 Abs. 1 Uabs. 1 lit. f DSGVO gestĂŒtzt werden, soweit hier ĂŒberhaupt personenbezogene Daten verarbeitet werden. Denn auch hier genĂŒgt es, wenn dem Grundversorger ein geschwĂ€rztes Ableseprotokoll vom Auszug ĂŒbergeben wird, wie weiter oben beschrieben ist. Diese Mitteilung kommt auch dem ausziehenden Mieter zugute, damit dieser nur fĂŒr seinen eigenen Stromverbrauch aufkommen muss. Der Grundversorger und der Vermieter wiederum wollen, dass ab diesem Zeitpunkt die besonderen Konditionen des Leerstandvertrages greifen. Die KlĂ€rung des Anfangs- und Endzeitpunkt vom Leerstand ist daher erforderlich.

Allerdings darf die neue Verzugsanschrift des ehemaligen Mieters dem Grundversorger nicht mitgeteilt werden, soweit der Mieter hierzu nicht eingewilligt hat. Der Grundversorger hat sich daher direkt an den Mieter zu halten, dessen Anschrift kann der Grundversorger vom Einwohnermeldeamt erfahren. FĂŒr den Vermieter droht auch keine Haftung fĂŒr etwaige Stromschulden des ehemaligen Mieters (BGH, Urt. v. 02.07.2014, Az. VIII ZR 316/13). Denn danach kann Inhaber der tatsĂ€chlichen VerfĂŒgungsgewalt auch eine andere Person als der EigentĂŒmer sein, etwa der Mieter oder PĂ€chter eines GrundstĂŒcks, da diesem aufgrund des Miet- oder Pachtvertrags die tatsĂ€chliche VerfĂŒgungsgewalt ĂŒber die ihm ĂŒberlassenen Miet- oder Pachtsache eingerĂ€umt wird. Weiter meint der BGH:

„Ob dem Energieversorger die IdentitĂ€t des Inhabers der tatsĂ€chlichen VerfĂŒgungsgewalt bekannt ist, er also etwa weiß, dass das zu versorgende GrundstĂŒck sich im Besitz eines Mieters oder PĂ€chters befindet und dieser die tatsĂ€chliche VerfĂŒgungsgewalt ĂŒber den Versorgungsanschluss ausĂŒbt, ist unerheblich. (
) Diese auf den Inhaber der tatsĂ€chlichen VerfĂŒgungsgewalt ĂŒber den Versorgungsanschluss weisenden GrundsĂ€tze gelten nur dann nicht, wenn gegenlĂ€ufige Anhaltspunkte vorhanden sind, die im Einzelfall unĂŒbersehbar in eine andere Richtung weisen.“

Es kommt drauf an 


Auch hier zeigt sich mal wieder, dass die konkrete Situation entscheidend ist, ob ein Vermieter Mieterdaten an Energieversorger ĂŒbermitteln darf oder nicht. Ähnlich dem abgestuften Fragerecht des Vermieters bei der Neuvermietung, muss man hier auch zwischen den verschiedenen Zeitpunkten unterscheiden. Die internen Prozesse sollten sich daran entsprechend anpassen. Auch die Informationspflichten aus Art. 13 DSGVO sind gegenĂŒber dem Mieter zu wahren. Im besten Falle informiert der Vermieter den Mieter bereits bei Vertragsschluss ĂŒber das Vorgehen. Wenn der Vermieter Mieterdaten zu frĂŒh und damit oftmals ohne Rechtsgrundlage an Energieversorger ĂŒbermittelt, dann riskiert er Bußgelder in Höhe von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen GeschĂ€ftsjahrs, je nachdem, welcher der BetrĂ€ge höher ist. Es lohnt sich daher bei Zweifeln vorab den Datenschutzbeauftragten zu konsultieren.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Mieterdaten: ZulĂ€ssigkeit der Weitergabe an Energieversorger.

Corona: IT-Herausforderungen und erfolgreiche Lösungen

Corona: IT-Herausforderungen und erfolgreiche Lösungen

– Reposting – Hier geht's zum Original: Corona: IT-Herausforderungen und erfolgreiche Lösungen

Homeoffice ist mit der COVID-19-Pandemie zur „neuen NormalitĂ€t“ geworden. Wie Unternehmen insbesondere den technischen und organisatorischen Herausforderungen begegneten und wie sich die technologischen BedĂŒrfnisse mit diesem Wechsel verĂ€nderten, wird in diesem Artikel erlĂ€utert.

Unerwartet, plötzlich und mit Herausforderungen fĂŒr alle

Am 11. MĂ€rz 2020 erklĂ€rte die Weltgesundheitsorganisation COVID-19 zur Pandemie – und die Arbeit, wie wir sie kannten, Ă€nderte sich sofort. Arbeitnehmer und Arbeitgeber haben sich bemĂŒht, die Arbeit am Laufen zu halten. WĂ€hrend dieser Zeit war und ist es weiterhin von entscheidender Bedeutung, dass die Teams ausgerĂŒstet sind, miteinander zu kommunizieren und zu Hause sicher sind. Jegliche Berufsbezeichnung, UnternehmensgrĂ¶ĂŸe oder auch globale PrĂ€senz sind in dieser Zeit nicht das Wichtigste; was zĂ€hlt ist, dass sowohl kleine als auch große Unternehmen sich verĂ€nderten, um Mitarbeitern von zu Hause aus einen geeigneten und sicheren Arbeitsplatz zu verschaffen.

Wir öffneten in dieser Zeit TĂŒren und fanden viele Möglichkeiten, erfolgreich von zu Hause aus zu arbeiten.

Zentrale IT-Herausforderungen

Es sind insbesondere technische und organisatorische Herausforderungen, denen wir begegneten.

Wir alle stellten uns anfangs schier unĂŒberwindbar scheinenden Herausforderungen. Wie kann man mit unsicheren Heimnetzwerken, Kindern, Social Engineering, Wifi-Sicherheit usw. umgehen? Wie können wir Bedrohungen begegnen, die die schwindende Sichtbarkeit von Mitarbeitern und den genutzten EndgerĂ€ten mit sich bringt? Wie können wir Einblicke in das erlangen, was aus der Ferne schwer ĂŒberwacht werden kann? Wie können wir normale Kommunikationsprozesse, insbesondere unter BerĂŒcksichtigung, dass die Mitarbeiter weit entfernt arbeiten, aufrechterhalten?

Die grĂ¶ĂŸten Herausforderungen im Detail:

  • Soziale Gesichtspunkte: Mitarbeitern fehlt die interaktive Kommunikation untereinander und auch mit Kunden. Meeting RĂ€ume und Whiteboards sind nun tabu.
  • Asset-Visibility („Sichtbarkeit“): VerĂ€nderungen geschahen! Probleme mit dem Onboarding, dem Einkauf und der Distribution von Ausstattung aller Mitarbeiter.
  • Die Bestandsaufnahme war schon vorher nicht ganz genau. Jetzt kommen möglicherweise auch noch GerĂ€te aus privatem Besitz hinzu.
  • Einige Technologien sind bereits veraltet, sehr schwer zu bewegen oder nur schwer aus der Ferne zu bedienen.
  • Das Bedrohungspotential erhöht sich aufgrund der Menge der nicht verwalteten GerĂ€te, die mit der Infrastruktur verbunden sind.
  • Sicherheit und Security Operation Center (SOC) sind nicht lĂ€nger an vorher gĂŒltige Prozesse, z. B. der Einrichtung und Verteilung von IT-Ressourcen, gebunden. Nicht standardisierte Lösungen innerhalb einzelner GeschĂ€ftseinheiten gefĂ€hrden das gesamte Unternehmen.

Herausforderungen fordern Lösungen

„Von Angesicht zu Angesicht“ mit unseren Kollegen ist wichtig und wir haben Wege gefunden, dies zu tun. Zudem haben wir uns auch den technischen und organisatorischen Herausforderungen gestellt und gemeinsam Lösungen und Strategien entwickelt. Es besteht immer noch weiterer Handlungsbedarf, aber vieles konnte bereits erfolgreich umgesetzt werden. Unternehmen haben die Risiken, insbesondere durch das dezentrale Arbeiten aller Mitarbeiter, erkannt und stellten sich diesen. Nicht jedes Unternehmen wird alle Lösungen bereits erfolgreich umgesetzt haben, daher hier einige Ansatzpunkte, die bedacht werden sollten.

Kommunikation fördern

Das Wichtigste ist: tĂ€gliche Kommunikation und Koordination! Entscheiden Sie sich fĂŒr eine Kommunikationsplattform und verbinden Sie so Ihr gesamtes Unternehmen. Digitale Kommunikationsplattformen ersetzen zwar nicht zu 100 Prozent den persönlichen Kontakt, sind derzeit aber sicher die beste Lösung zumindest ein wenig sozialen Kontakt herzustellen. Geben Sie Ihren Mitarbeitern Sicherheit indem Sie Transparenz schaffen und sie an Prozessen und Startegien beteiligen. Reden Sie ĂŒber Risiken und Sicherheitsbedrohungen.

Sichtbarkeit schaffen

Ein wesentlicher Punkt ist es, alle BestÀnde im Unternehmen zu sehen, um diese auch kontrollieren zu können und Risiken abschÀtzen zu können.

  • Kontrollen können nur gewĂ€hrleistet werden, wenn Onboard- und Verteilungsprozesse aktualisiert und an die gegebenen UmstĂ€nde angepasst werden.
  • Eine engmaschige Abstimmung mit den Einkaufsabteilungen verschafft ein genaues Bild der BestĂ€nde.
  • Verteilungszentren in infektionsarmen Gebieten sollten mit begrenzter Interaktion des Personals bei gleichzeitiger GewĂ€hrleistung der richtigen Sicherheitskontrollen eingerichtet werden.
  • Sicherheitssoftware und sonstiges Equipment wurde zu den Mitarbeitern nach Hause versandt.
  • Onboarding wird nun remote unter Einsatz entsprechender Sicherheitssoftware durchgefĂŒhrt.
  • Das SOC hat alle fĂŒr die Analyse erforderlichen GerĂ€te zur VerfĂŒgung gestellt bekommen, und wenn nicht, so sollte ein Plan erstellt werden, wie diese AusrĂŒstung beschafft werden kann, obwohl es sich mit der Inventarisierung schwer verhĂ€lt.
  • Entscheidungen bezĂŒglich der Benutzung von privaten EndgerĂ€ten mĂŒssen getroffen und Prozesse bezĂŒglich des Umgangs mit ihnen aktualisiert werden.
  • Es werden nur legitime Verbindungen zu internen Systemen zugelassen.
  • Lösungen, die den Zugriff beschrĂ€nken, wie RDP und VPN, sollten nur fĂŒr zugelassene FirmengerĂ€te implementiert sein.
  • Es sollte sichergestellt sein, dass UnternehmensgerĂ€te Namenskonventionen haben.

Kontrollierte physische PrÀsenz und mobile Kommunikationsmöglichkeiten schaffen

Kontrollierte physische PrĂ€senz ist bei einigen IT-GerĂ€ten oder auch bei Umgang mit bestimmter Software von Nöten und kann durch vorgegebene Guidelines und Strukturen umgesetzt werden. BezĂŒglich der meisten Telefonanlagen zum Beispiel, die nicht aus den GeschĂ€ftsrĂ€umen bewegt werden können, kann auf Anrufweiterleitungen und mobile Kommunikationsmittel gesetzt werden.

Nicht verwaltete GerÀte kontrollieren

Der Bedarf GerĂ€te einzusetzen, die nicht unternehmensintern verwaltet werden, ist in der Zeit der Pandemie gestiegen, z. B. der Einsatz von privaten EndgerĂ€ten von Mitarbeitern. Diese mĂŒssen technisch kontrolliert werden. Lösungen können hier die EinfĂŒhrung von Namenskonventionen und Device Trust-Lösungen sein. Des Weiteren sollte die Protokollierung, das Monitoring und Alerts erhöht werden, um eindeutige Nachweise ĂŒber Kontozugriffe zu erhalten, z. B. von nicht verwalteten GerĂ€ten.

Nicht standardisierter Lösungen ĂŒberwachen

Dadurch, dass alle Mitarbeiter von zu Hause aus arbeiten mussten, mĂŒssen Unternehmen grĂ¶ĂŸtenteils von dem vorher ĂŒblichen BĂŒroplatz der Mitarbeiter abweichen. Der Standard-Arbeitsplatz und auch die Standard-Arbeitsmittel esxistierten nicht mehr und eine Anpassung an die hĂ€uslichen und dort technischen Begebenheiten der Mitarbeiter fand statt. Diese nicht standardisierten Lösungen erfordern technische Sicherheitskontrollen und neue Metriken fĂŒr die Überwachung und Berichterstattung. Der Einsatz verschiedener Monitoring-Software, welche den Netzwerkverkehr auf nicht standardisierte/nicht zugelassene GerĂ€te und schĂ€dliche Aktionen prĂŒft, sollte hierfĂŒr eingesetzt werden.

Mehr-Faktor-Authentifizierung und Sensibilisierung einsetzen

Die Mehr-Faktor-Authentifizierung bei VPNs und anderen cloudbasierten Netzwerken ist unabdingbar, um die Passwortsicherheitsrisiken zu verringern. Die Mehr-Faktor-Authentifizierung muss fĂŒr alle Anwendungen und Systeme, auf die von außerhalb zugegriffen werden kann, eingesetzt werden. Eine sehr erfreuliche VerĂ€nderung konnte bezĂŒglich der Sensibilisierung aller Benutzer festgestellt werden: Nicht nur unternehmensintern fand diese statt, sondern sie ist bereits ein allgegenwĂ€rtiges Thema in unserer Gesellschaft geworden. Trotzallem sollte die Sensibilisierung aller Mitarbeiter im Unternehmen regelmĂ€ĂŸig eingeplant und an neue UmstĂ€nde angepasst werden. Nur so kann ein sicherer Umgang mit IT-Sicherheitsfragen, wie z. B. dem Umgang mit Passwörtern,  gewĂ€hrleistet werden. Das grĂ¶ĂŸte Problem ist das Nutzen privater IT-Landschaften in Ihrem Unternehmen, seien Sie sich dessen bewusst, denken Sie an technische und organisatorische Lösungen und setzen sie diese nach und nach um.

Die COVID-19-Pandemie hat fĂŒr Unternehmen folgendes mitgebracht:

  • erhöhte Risiko-Landschaft
  • Schattentechnologie-Lösungen
  • unsichere hĂ€usliche Umgebungen
  • Datenlecks
  • neue Verfahren und Werkzeuge

Denken Sie daher auch darĂŒber nach, wie Sie mit einem möglichen IT-Sicherheitsvorfall umgehen möchten. Erstellen und ĂŒben Sie Notfall- und Incident-Response-PlĂ€ne. Setzen Sie verschiedene Monitoring-Software zum Erkennen von Angriffen und der Sicherung forensischer Beweise ein. Eine hundertprozentige Sicherheit gibt es nicht, vor allem nicht zu diesen Zeiten.

Risiken erkannt: Sichtbarkeit, Wissen und Schutz schaffen

Nur wer mehr sieht und um Risiken und Bedrohungen weiß, kann sich auch davor schĂŒtzen. Daher ist es wichtig, an den Schwachstellen anzusetzen und zu sehen, sobald jemand diese auszunutzen versucht.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Corona: IT-Herausforderungen und erfolgreiche Lösungen.

Fernzugriff & Remote-Support-Tools – Tipps zur Auswahl

Fernzugriff & Remote-Support-Tools – Tipps zur Auswahl

– Reposting – Hier geht's zum Original:

Fernzugriff & Remote-Support-Tools – Tipps zur Auswahl

Gerade in der aktuellen Situation, in der viele Mitarbeiter aus dem Homeoffice arbeiten, muss die IT den Support und die Wartung hĂ€ufig aus der Ferne erbringen. Dabei helfen gleich eine ganze Reihe von Anbietern, diese Distanz zu ĂŒberbrĂŒcken, so als wĂŒrde der Support-Mitarbeiter bei den Kollegen im Homeoffice sitzen. Doch was ist datenschutzrechtlich dabei zu beachten?

Datenschutz To-dos

Neben Fragen der Benutzerfreundlichkeit und des Funktionsumfangs eines Tools muss auch geprĂŒft werden, ob das Remote-Support-Tool datenschutzkonform eingesetzt werden kann.

Da verarbeitet doch einer personenbezogene Daten

Wenn ein Mitarbeiter dem Fernzugriff zulĂ€sst, kann sich der „herrschende PC“ so auf dem „kontrollierten PC“ bewegen, als wĂŒrde er als eingeloggter Nutzer direkt vor dem Rechner sitzen. Egal ob Dateien gerade geöffnet sind oder der Mail-Client geöffnet ist, es besteht in der Regel die Möglichkeit der Kenntnisnahme von personenbezogenen Daten. Nach herrschender Meinung genĂŒgt bereits diese Möglichkeit der Kenntnisnahme personenbezogener Daten fĂŒr eine Verarbeitung nach Art. 4 Nr. 2 DSGVO. Die DSGVO findet also Anwendung. Das gilt erst Recht, wenn ein Tool zusĂ€tzliche Funktionen wie Screensharing, Besprechungsaufzeichnung, Audio- und Videoanrufe, Dateifreigabe und Chat-Funktionen beinhaltet.

AufgerÀumter Desktop

Um diese Datenverarbeitung aber auf ein Minimum zu reduzieren, sollte aber darauf geachtet werden, dass der Desktop aufgerĂ€umt ist. So kann man verhindern, dass der Support-Mitarbeiter sozusagen „en passant“ unberechtigt Kenntnis von personenbezogenen Daten erlangt.

Rechtsgrundlage fĂŒr den Zugriff

Wie der geneigte Leser weiß, braucht es immer einer Rechtsgrundlage fĂŒr eine Datenverarbeitung. Wie der strenge Dr. Datenschutz immer repetiert: Es ist alles verboten, was nicht erlaubt ist. Wir haben in diesem aktualisierten Beitrag bereits geschildert, welche Rechtsgrundlagen in Betracht kommen. In der Regel lĂ€uft es auf das berechtigte Interesse des Arbeitgebers nach Art. 6 Abs. 1 S. 1 lit. f DSGVO hinaus. Der Arbeitgeber hat schließlich ein berechtigtes Interesse, dass er durch Fernwartung ein effizientes Funktionieren der BetriebsablĂ€ufe sicherstellen kann.

Einbindung des Betriebsrats

.. sofern denn einer vorhanden ist. Stichwort: Potenzielle MitarbeiterĂŒberwachung. GemĂ€ĂŸ § 87 Abs. 1 Nr. 6 BetrVG besteht ein Mitbestimmungsrecht des Betriebsrates bei der „EinfĂŒhrung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu ĂŒberwachen;“. An der Frage, ob ein Remote-Support-Tool eine technische Einrichtung ist, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu ĂŒberwachen, erhitzen sich die GemĂŒter. Dr. Datenschutz und Teamviewer haben sich hier eine hitzige Debatte geliefert.

Gerade bei Tools mit einem grĂ¶ĂŸeren Funktionsumfang wie Besprechungsaufzeichnung und Chat-Funktion kann es nicht ausgeschlossen werden, dass das Remote-Support-Tool objektiv geeignet ist, das Verhalten und Leistung der Arbeitnehmer zu ĂŒberwachen.

DSGVO-KonformitĂ€t des Anbieters & DrittlandĂŒbermittlung

Da die Tools zum Remote-Zugriff die Daten ĂŒber ihre Server leiten, findet eine Datenverarbeitung bei den Anbietern statt. Es sollte daher darauf geachtet werden, dass die Anbieter DSGVO-konform arbeiten. Anbietern aus der EU unterfallen als gesamtes Unternehmen der DSGVO und richten sich grĂ¶ĂŸtenteils an Kunden in der EU. Es ist daher ein starkes Indiz, dass ihre Tools DSGVO-konform eingesetzt werden können.

Mit den Anbietern muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Wenn der Anbieter die anfallenden Daten auch zu eigenen Zwecken verarbeitet, wird die rechtliche Lage komplexer, da der Anbieter des Tools auch eine Rechtsgrundlage fĂŒr die Verarbeitung braucht. Das kann im BeschĂ€ftigungsverhĂ€ltnis zur unfreiwilligen Preisgabe der Nutzer an den Anbieter fĂŒhren, wenn Mitarbeiter zur Nutzung des Tools gezwungen sind. Es sollte von solchen Tools Abstand genommen werden oder alternativ andere Tools bzw. ein Support vor Ort angeboten werden.

Es sollte auch geprĂŒft werden, ob die Anbieter die Daten ĂŒber Server außerhalb der EU leiten/hosten. Wenn das der Fall ist, sollten Garantien fĂŒr den sicheren Drittlandtransfer bestehen. Dieses Thema ist insbesondere brandaktuell vor dem Hintergrund des vom EuGH gekippten „EU-US-Privacy-Shield“.

Datensicherheit durch TOM

Hiermit ist nicht ein netter Bekannter namens Tom, sondern Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO gemeint. Der Anbieter muss gewĂ€hrleisten können, dass die Daten sicher vor unberechtigtem Zugriff sind. Das ist ein entscheidender Punkt, da bei einer ungesicherten Datenverbindung hĂ€ufig auf sensible Inhalte zugegriffen werden könnte. Eine wichtige Maßnahme ist daher die VerschlĂŒsselung der Verbindung zwischen den beteiligten PCs. Einen guten Überblick zu der technischen Funktionsweise verschiedener Tools finden Sie in diesem Beitrag.

Die Qual der Wahl

So hieß es schon zum Schluss eines unserer BeitrĂ€ge zu Fernzugriffs-Tools aus grauer „Vor-DSGVO-Zeiten“. Die ErwĂ€gungen sind immer noch aktuell, aber die Entscheidungsfindung ist leider nicht leichter geworden. So findet man bei einer Internetsuche gleich eine Vielzahl von Auflistungen zu den besten Remote-Zugriff-Tools. Eine gute Übersicht mit einem tabellarischen Vergleich der StĂ€rken und SchwĂ€chen populĂ€rer Remote-Support-Tools neben dem Platzhirsch Teamviewer finden Sie hier.

Um sich Ihren Weg zumindest durch das Datenschutzdickicht zu bahnen, können Sie sich an den oben beschriebenen Auswahlkriterien orientieren. So können Sie verhindern, dass Sie sich Datenschutzrisiken aussetzen. Die meisten Anbieter bieten auf ihren Webseiten umfangreiche Informationen zur DSGVO-KonformitĂ€t. Werden ein Vertrag zur Auftragsverarbeitung, TOM sowie ErklĂ€rungen zum „Ob“ und „Wie“ der Verarbeitung personenbezogener Daten bei Einsatz eines Tools nicht angeboten, sollte man skeptisch nachfragen oder gleich die Finger davonlassen.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original:

Fernzugriff & Remote-Support-Tools – Tipps zur Auswahl

.

Personenbezogene Daten nach DSGVO einfach erklÀrt

Personenbezogene Daten nach DSGVO einfach erklÀrt

– Reposting – Hier geht's zum Original: Personenbezogene Daten nach DSGVO einfach erklĂ€rt

Die Gretchen-Frage des Datenschutzes ist regelmĂ€ĂŸig, ob es sich bei den verarbeiteten Daten um personenbezogene Daten handelt oder nicht. Denn nur wenn es sich um personenbezogene Daten handelt, findet die DSGVO Anwendung.

Was sind personenbezogene Daten?

Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO legaldefiniert, als:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natĂŒrliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natĂŒrliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen IdentitĂ€t dieser natĂŒrlichen Person sind“

Der Begriff der personenbezogenen Daten ist möglichst weit auszulegen, weil der Gesetzgeber durch die Formulierung „alle Informationen“ keinerlei EinschrĂ€nkungen vorgenommen hat. DarĂŒber hinaus wird dies auch durch die stĂ€ndige Rechtsprechung des EuGH getragen.

Die DSGVO definiert den Betroffenen als natĂŒrliche Person. Juristische Personen, Personenmehrheiten und -gruppen sind somit nicht Teil des Schutzbereiches der DSGVO. Handelt es sich aber um Informationen ĂŒber einer Personengruppe, die auf ein identifiziertes oder identifizierbares Mitglied „durchschlagen“, ist die Information ein personenbezogenes Datum. Die Daten einer verstorbenen Person sind jedoch keine personenbezogenen Daten (ErwĂ€gungsgrund 27), außer bestimmte Daten der verstorbenen Personen weisen einen Bezug zu einer noch lebenden Person auf, die dann einen Personenbezug haben können. Da ErwĂ€gungsgrund 27 eine Öffnungsklausel fĂŒr die Mitgliedstaaten vorsieht, von der Deutschland keinen Gebrauch gemacht hat, können an dieser Stelle in anderen europĂ€isches LĂ€ndern abweichende Regelungen herrschen. Ob die Daten von Ungeborenen einen Personenbezug aufweisen, ist umstritten, da die DSGVO keine eindeutige Aussage macht. Zum Teil wird wie bei Verstorbenen vertreten, dass die nationalen Rechtssysteme in der Verantwortung stehen entsprechende Regelungen vorzunehmen (Art. 29 Datenschutzgruppe, Stellungnahme 4/2007). Die Auseinandersetzung ist jedoch primĂ€r akademisch und kann dahinstehen, wenn man der Argumentation folgt und die Daten des Ungeborenen sich jedenfalls auch auf die Mutter des Ungeborenen beziehen und insoweit ein Personenbezug vorliegen kann.

Praktische Beispiele von personenbezogenen Daten

Die praktische Einordnung von Informationen fĂŒhrt jedoch immer wieder zu Schwierigkeiten. Daher nachfolgend einige Beispiele zur Veranschaulichung. Zu den typischen personenbezogenen Daten zĂ€hlen neben dem Namen:

  • die Telefonnummer,
  • die Kreditkarten- oder Personalnummern einer Person,
  • die Kontodaten,
  • ein Kfz-Kennzeichen,
  • das Aussehen,
  • die Kundennummer
  • oder die Anschrift.

DarĂŒber hinaus ist die IP-Adresse ein personenbezogenes Datum, wenn der Verarbeitende die rechtliche Möglichkeit hat den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten, welche den hinter der IP-Adresse stehenden Nutzer identifizieren kann.

Es fallen zudem Informationen, die weniger eindeutig sind, zu den personenbezogenen Daten, wie Aufzeichnungen ĂŒber Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten oder auch die schriftlichen Antworten eines PrĂŒflings und etwaige Anmerkungen des PrĂŒfers zu diesen Antworten, wenn der PrĂŒfling theoretisch identifiziert werden kann. Außerdem können auch subjektive Informationen wie Meinungen, Beurteilungen oder EinschĂ€tzungen personenbezogene Daten sein, wenn beispielsweise die Beurteilung der KreditwĂŒrdigkeit einer Person oder die EinschĂ€tzung der Arbeitsleistung eines Arbeitnehmers in Frage stehen.

Besondere Kategorien personenbezogener Daten

Zudem ist zu berĂŒcksichtigen, ob es sich bei den personenbezogenen Daten um besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO handeln, denn diese sind besonders geschĂŒtzt und können nur ausnahmsweise unter BerĂŒcksichtigung der Vorsetzungen in Art. 9 DSGVO verarbeitet werden.

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natĂŒrlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natĂŒrlichen Person ist untersagt.“

Anonym oder pseudonym?

Und zu guter Letzt soll an dieser Stelle daran erinnert werden, dass es sich bei pseudonymen Daten um personenbezogene Daten handelt, die vollumfĂ€nglich den Regelungen der DSGVO unterliegen (Vgl. Art. 4 Nr. 5 DSGVO). Werden jedoch anonyme Daten verarbeitet, findet die DSGVO keine Anwendung (EG 26). Die „Flucht“ in die Anonymisierung ist jedoch herausfordernd, weil die Anforderungen an die Anonymisierung hoch sind.

Datenschutz = Schutz personenbezogener Daten

Datenschutz ist kein reiner Selbstzweck, der den Schutz der Daten bezweckt. Sondern als AusprĂ€gung der informationellen Selbstbestimmung grundrechtliche personenbezogene Daten schĂŒtzt. Es somit im Einzelfall zu prĂŒfen, ob zu verarbeitenden Daten einen Personenbezug ausweisen oder nicht.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Personenbezogene Daten nach DSGVO einfach erklĂ€rt.

So schĂŒtzen Sie den Zutritt zum Serverraum

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne GrĂŒĂŸe, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: So schĂŒtzen Sie den Zutritt zum Serverraum

So schĂŒtzen Sie den Zutritt zum Serverraum

Der Trend hin zu Cloud Computing darf nicht darĂŒber hinwegtĂ€uschen, dass es weiterhin ServerrĂ€ume gibt, die eine umfassende Zutrittskontrolle benötigen. Aber mit Brandmeldeanlage, USV und Klimatisierung ist es nicht getan. In manchen Unternehmen befinden sich die Maßnahmen zur Kontrolle der Zutritte leider noch auf dem Stand einer besseren BĂŒrotĂŒr.

The post So schĂŒtzen Sie den Zutritt zum Serverraum appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: So schĂŒtzen Sie den Zutritt zum Serverraum.

(Beitragsbild: dmitrochenkooleg ĂŒber Pixabay)

Amazon schließt SicherheitslĂŒcken bei digitalem Assistenten Alexa

Amazon schließt SicherheitslĂŒcken bei digitalem Assistenten Alexa

– Reposting – Hier geht's zum Original: Amazon schließt SicherheitslĂŒcken bei digitalem Assistenten Alexa

Die smarten Lautsprecher von Amazon sind populĂ€r. Das integrierte Sprachassistenzsystem Alexa konnte aber auch ein Einfallstor fĂŒr Angreifer sein.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Amazon schließt SicherheitslĂŒcken bei digitalem Assistenten Alexa.

(Beitragsbild: hamburgfinn ĂŒber Pixabay)