Datenschutz in der Pflege – Teil 2

Datenschutz in der Pflege – Teil 2

– Reposting – Hier geht's zum Original: Datenschutz in der Pflege – Teil 2

Ob Pflegedokumentation, Bewohnerfotos oder Dienstplan – die datenschutzrechtlichen Fragen, die sich im Pflegealltag stellen, sind vielfĂ€ltig. WĂ€hrend sich Teil 1 den unterschiedlichen Datenschutzvorschriften und Rechtsgrundlagen mitsamt Praxisbeispielen widmet, ist es Ziel dieses Beitrags, konkrete Handlungsempfehlungen zu geben.

HĂ€ufig gestellte Fragen im Pflegebereich

Die hier behandelten Fragen orientieren sich grĂ¶ĂŸtenteils an der durch den Landesbeauftragten fĂŒr den Datenschutz und die Informationsfreiheit in Baden-WĂŒrttemberg, Herrn Dr. Stefan Brink, im FrĂŒhjahr 2018 unter BerĂŒcksichtigung der DSGVO veröffentlichten FAQ-Liste.

Frage 1: Muss ein/e Datenschutzbeauftragte/r (DSB) benannt werden?

Bei Pflegeeinrichtungen in öffentlich-rechtlicher TrÀgerschaft, z.B. einem Eigenbetrieb der Stadt, der Gemeinde oder des Landkreises, ist die Benennung nach Art. 37 Abs. 1 lit. a DSGVO verpflichtend.

Ist der TrĂ€ger privatrechtlicher Natur, gilt Art. 37 Abs. 1 lit. b DSGVO. Ein DSB ist also dann notwendig, wenn die KerntĂ€tigkeit der Pflegeeinrichtung in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemĂ€ĂŸ Art. 9 Abs. 1 DSGVO besteht. Das ist immer dann der Fall, wenn das Seniorenheim im großen Stil Gesundheitsdaten verarbeitet. Doch selbst, wenn dieser Punkt verneint wĂŒrde: Sobald in der Pflegeeinrichtung in der Regel mindestens 20 Personen stĂ€ndig mit der automatisierten Verarbeitung personenbezogener Daten beschĂ€ftigt sind, braucht es einen DSB. Dies ordnet § 38 Abs. 1 S. 1 BDSG an. Achtung: Die FAQ-Liste ist hinsichtlich der Anzahl nicht aktuell!

So viel zur Theorie, wie sieht es in der Praxis unter einer privatrechtlichen TrĂ€gerschaft aus? Eine umfangreiche Verarbeitung von Gesundheitsdaten liegt bei Seniorenheimen regelmĂ€ĂŸig bereits in der Pflegedokumentation eines jeden Bewohners vor. BestĂŒnden hier Zweifel, ist auf die Anzahl derjenigen abzustellen, die automatisiert – sprich digital – Daten verarbeiten. Haben z.B. mehr als 20 Personen Zugriff auf die digitale Pflegedokumentation, besteht eine Pflicht.

Ambulante Pflegedienste verarbeiten zwar Gesundheitsdaten, aber hĂ€ufig nicht umfangreich genug. Auch dĂŒrften hier nur selten mehr als 20 Personen automatisiert Daten verarbeiten. Ergo mĂŒssen ambulante Pflegedienste in vielen FĂ€llen keinen DSB benennen.

Bei kirchlicher TrĂ€gerschaft ist ein DSB zu benennen, wenn in der Regel mindestens 10 Personen stĂ€ndig mit der Verarbeitung personenbezogener Daten betraut sind (evangelisch: § 36 Abs. 1 S. 1 Nr. 1 DSG-EKD) bzw. sich damit beschĂ€ftigen (katholisch: §§ 36 II lit. a, 3 Abs. 1 lit. c KDG) oder die KerntĂ€tigkeit der Einrichtung in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht (§ 36 Abs. 1 S. 1 Nr. 2 DSG-EKD; § 36 II lit. c KDG). Interessanterweise reicht es hier schon aus, personenbezogene Daten außerhalb der digitalen Welt, z.B. durch Zugriff auf Papierakten, umfangreich zu verarbeiten.

Sofern die TrĂ€gerschaft ĂŒber mehrere Einrichtungen besteht, ist es möglich, fĂŒr alle Einrichtungen einen gemeinsamen DSB zu benennen, Art. 37 Abs. 2 DSGVO. Der DSB muss dann aber von jeder Niederlassung aus leicht erreichbar sein.

Frage 2: Welche Bewohnerdaten darf die Pflegeeinrichtung abfragen?

Im Zusammenhang mit dem Abschluss des Vertrags zwischen Pflegeeinrichtung und PflegebedĂŒrftigen dĂŒrfen gemĂ€ĂŸ Art. 6 Abs. 1 S. 1 lit. b DSGVO (ggf. in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO) folgende personenbezogene Daten erhoben werden:

  • Stammdaten, wie der vollstĂ€ndige Name, das Geburtsdatum, sowie Angaben zur Kranken- und Pflegeversicherung,
  • Angaben zur Höhe und der Art des monatlichen Einkommens des kĂŒnftigen Bewohners, soweit erforderlich, um zu klĂ€ren, ob der Bewohner die monatlichen Kosten tragen kann,
  • sowie das Ă€rztliche Zeugnis nach § 36 Abs. 4 IfSG zur BestĂ€tigung, dass keine ansteckende Lungentuberkulose vorliegt.

Im Übrigen gilt – grundsĂ€tzlich dĂŒrfen nur die personenbezogenen Daten erfasst werden, die fĂŒr die ErfĂŒllung der im Vertrag festgelegten Leistungen tatsĂ€chlich erforderlich sind. Welche Daten im Einzelfall dazugehören, kommt auf die Art der Pflegeleistung an, die konkret vereinbart wurde (ambulanter Pflegedient, stationĂ€re Pflege, betreutes Wohnen, etc.). ZusĂ€tzlich sind die Fragen davon abhĂ€ngig, ob der Vertrag bereits geschlossen wurde, es sich um einen Vertrag zur konkreten Aufnahme in die Unterkunft oder nur um einen Vertrag zur Vormerkung eines Heimplatzes handelt.

Weitere abzufragende personenbezogene Daten ergeben sich aus spezialgesetzlichen Normen des SGB V und SGB XI, die der Pflegeeinrichtung bestimmte Pflichten auferlegen. Um diese Aufgaben erfĂŒllen zu können, muss die Einrichtung die Daten der Bewohner abfragen können. Als Beispiel angefĂŒhrt sei hier lediglich § 104 Abs. 1 SGB XI.

Achtung! Ohne Einwilligung des Betroffenen dĂŒrfen Sie diese Daten nicht abfragen:

  • biographische Daten, also z.B. Geburtsort, Konfession, Beruf, ehemaliger Arbeitgeber, Kinderanzahl, Familienstand, etc. – Diese Angaben sind zwar hilfreich, aber nicht erforderlich fĂŒr die Erbringung der Pflegeleistung.
  • Informationen ĂŒber Angehörige oder Betreuer – Hier ist eine Einwilligung notwendig, weil zwischen der Einrichtung und dem Angehörigen bzw. Betreuer kein Vertrag besteht, fĂŒr dessen ErfĂŒllung die Erhebung der Daten erforderlich wĂ€re. Ausnahme: Name und Kontaktdaten eines Notfallkontakts dĂŒrfen auch ohne Einwilligung abgefragt werden (berechtigtes Interesse).

Frage 3: Wer darf die Pflegedokumentation einsehen?

Der Betroffene selbst darf Einsicht in seine eigene Patientenakte nehmen. Das ergibt sich zum einen aus dem Auskunftsrecht nach Art. 15 DSGVO, sofern berechtigte Interessen Dritter nicht entgegenstehen und die Auskunftserteilung nicht ausnahmsweise einen unverhĂ€ltnismĂ€ĂŸigen Aufwand bedeutet, sowie zum anderen aus § 630g Abs. 1 BGB analog, soweit nicht erhebliche therapeutische GrĂŒnde oder sonstige erhebliche Rechte Dritter entgegenstehen.

Außenstehende, wie z.B. andere Bewohner oder Besucher, dĂŒrfen selbstverstĂ€ndlich keinen Blick in die Pflegedokumentation werfen, weshalb diese sicher aufzubewahren und vor ihnen nicht darĂŒber zu sprechen ist.

BeschĂ€ftigte der Pflegeeinrichtung haben nur dann ein Einsichtsrecht, wenn sie die Informationen fĂŒr ihre TĂ€tigkeit benötigen. Die Pflegekasse darf lediglich Leistungsnachweise nach § 105 SGB XI, also Abrechnungsunterlagen, einsehen. Der Medizinische Dienst bzw. der PrĂŒfdienst der privaten Krankenversicherung hat – solange der Betroffene nicht gemĂ€ĂŸ § 114a Abs. 3 SGB XI einwilligt – kein Einsichtsrecht.

Angehörige dĂŒrfen die Pflegedokumentation nur einsehen, wenn der Betroffene einwilligt. Was, wenn der Betroffene bereits verstorben ist? Die DSGVO gilt nur bei Lebenden – die Schweigepflicht ist jedoch auch ĂŒber den Tod hinaus zu wahren, § 203 Abs. 5 StGB. Nur in wenigen FĂ€llen besteht eine Offenbarungsbefugnis, z.B. beim Verdacht eines Verwandten, an Erbkrankheiten zu leiden oder zur Durchsetzung der Erbberechtigung, § 630g Abs. 3 BGB.

Frage 4: Darf die Pflegeeinrichtung Fotos der Bewohner machen?

Auch hier gilt: Vorsicht ist die Mutter der Porzellankiste. Die Antwort hĂ€ngt davon ab, was fotografiert wird und wofĂŒr das Foto benötigt wird:

Wenn Sie das Foto in der Heimzeitung, auf einer Wandtafel, in einem digitalen Bilderrahmen im Eingangsbereich, auf der Internetseite des HeimtrĂ€gers, in einem Werbeflyer oder Ă€hnlichen Formaten veröffentlichen wollen, mĂŒssen Sie bereits vor Anfertigung des Fotos die Einwilligung des PflegebedĂŒrftigen einholen. Dies ergibt sich nicht nur aus Art. 6 Abs. 1 S. 1 lit. a DSGVO (ggf. in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO), sondern auch aus dem Recht am eigenen Bild aus § 22 KUG. Zu empfehlen ist, fĂŒr jedes Medium separate Einwilligungen einzuholen. Sie mĂŒssen sowohl auf die Freiwilligkeit der Einwilligung, als auch auf deren Widerruflichkeit fĂŒr die Zukunft hinweisen. Verdeutlichen Sie dem Bewohner, dass eine Ablehnung keine nachteiligen Folgen fĂŒr ihn hat.

Fotos von einer Wunde fĂŒr die Pflegedokumentation dĂŒrfen in der Regel ohne Einwilligung erfolgen, da diese der ErfĂŒllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 S. 1 lit. c DSGVO und Art. 9 Abs. 2 lit. h DSGVO) dienen. Pflegeeinrichtungen sind nach § 630f Abs. 2 BGB analog verpflichtet, sĂ€mtliche aus fachlicher Sicht fĂŒr die Behandlung wesentlichen Maßnahmen und deren Ergebnisse in der Patientenakte aufzuzeichnen. Soweit ein Foto einer Wunde im konkreten Einzelfall erforderlich ist, um diese Pflicht zu erfĂŒllen, darf es angefertigt werden. Das ist zum Beispiel dann der Fall, wenn eine Beschreibung einer Wunde in Textform unzureichend oder nicht mit vertretbarem Aufwand umzusetzen wĂ€re.

Frage 5: Darf der Dienstplan ausgehÀngt werden?

Intern dĂŒrfen Dienst- und SchichtplĂ€ne ausgelegt werden, wenn dies fĂŒr die DurchfĂŒhrung des ArbeitsverhĂ€ltnisses erforderlich ist, § 26 Abs. 1 BDSG. Ein ordnungsgemĂ€ĂŸer Betriebsablauf ist hĂ€ufig nur dann sicherzustellen, wenn die BeschĂ€ftigten untereinander abstimmen können, wer zusammenarbeitet und Schichten tauscht. Wichtig ist es hier, nur das im Plan anzugeben, was notwendig ist. Beispielsweise ist die Angabe des genauen Grundes einer Abwesenheit nicht erforderlich.

Och nö, nicht Datenschutz!

VerstĂ€ndlich, dass es nicht besonders angenehm ist, sich im stressigen Pflegealltag noch mit Datenschutz herumschlagen zu mĂŒssen. Doch es lohnt sich: Wer datenschutzrechtliche Vorschriften achtet, vermeidet nicht nur Bußgelder – sondern auch zeitfressenden und nervenaufreibenden Ärger.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Datenschutz in der Pflege – Teil 2.

Datenschutz in der Pflege – Teil 1

Datenschutz in der Pflege – Teil 1

– Reposting – Hier geht's zum Original: Datenschutz in der Pflege – Teil 1

Damit unsere Liebsten auch im Alter gut und fachkundig versorgt sind, wird vielfach auf ein Senioren- oder Pflegeheim zurĂŒckgegriffen. Bewohner, Angehörige, Pflegepersonal, sowie Ärzte fragen sich: Was gilt es aus Sicht des Datenschutzes zu beachten?

Warum das so wichtig ist

Um fĂŒr einen PflegebedĂŒrftigen einen Platz im Seniorenheim zu ergattern, bedarf es einen langen Atem, Geld oder schlicht und ergreifend GlĂŒck. HĂ€ufig werden die Bewohner in Mehrbettzimmern untergebracht, sodass die PrivatsphĂ€re leidet. Zudem herrscht PflegefachkrĂ€ftemangel – die wenigen Altenpflegerinnen und -pfleger, Altenpflegehelferinnen und -helfer huschen hektisch von Ort zu Ort, dem nĂ€chsten Notfall entgegen. Auch wenn es Zeit, sowie manchmal Nerven kostet, ist das Datenschutzrecht in der Pflege einzuhalten. Das hat seine GrĂŒnde:

In Altenheimen und anderen Pflegeeinrichtungen werden unter anderem Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO verarbeitet, also

„personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natĂŒrlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen ĂŒber deren Gesundheitszustand hervorgehen.“

Diese Daten sind Ă€ußerst sensibel, weshalb deren Verarbeitung auch grundsĂ€tzlich nach Art. 9 Abs. 1 DSGVO untersagt ist. Nur in wenigen AusnahmefĂ€llen darf eine Verarbeitung erfolgen, damit die Gesundheitsdaten nicht in falsche HĂ€nde gelangen.

Kommt es zu einer Datenpanne, ist nicht nur ein Bußgeld denkbar – sondern auch ein Reputationsverlust. Das zwischen den Bewohnern, Patienten und den Angehörigen auf der einen sowie der Pflegeeinrichtung auf der anderen Seite bestehende VertrauensverhĂ€ltnis wĂŒrde infolge eines Datenschutzvorfalls möglicherweise irreversibel geschĂ€digt.

Um alle in der Pflege Involvierten ĂŒber ihre Rechte, aber auch ihre Pflichten aufzuklĂ€ren, veröffentlichte der Landesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit in Baden-WĂŒrttemberg, Herr Dr. Stefan Brink, im FrĂŒhjahr 2018 unter BerĂŒcksichtigung der DSGVO eine FAQ-Liste. In dieser werden die 26 hĂ€ufigsten Fragen zum Datenschutz in der stationĂ€ren und der ambulanten Pflege besprochen.

Erstaunlicherweise wurde die Thematik in der Datenschutzwelt bisher kaum diskutiert – weshalb wir es uns hier und in Teil 2 des Blogartikels zum Ziel nehmen, einige der wichtigsten FAQ-Fragen zusammenzufassen.

Ganz schön Datenschutz-normiert

Ein Blick ins Gesetz erleichtert die Rechtsfindung. Stimmt! Aber in welches? Ob ein Gesetz bzw. eine Verordnung anwendbar ist, hÀngt im Pflegebereich von der TrÀgerschaft der Einrichtung ab:

  • Handelt es sich um eine privatrechtliche TrĂ€gerschaft, wie z.B. bei einer GmbH, gelten die DSGVO, sowie das BDSG, wobei Letzteres die DSGVO ergĂ€nzt und konkretisiert.
  • Ist die Einrichtung öffentlich-rechtlicher Natur, ist neben der DSGVO das jeweilige Landesdatenschutzgesetz anzuwenden. Das BDSG ist nur dann anstatt des Landesdatenschutzgesetzes einschlĂ€gig, wenn es sich bei der Pflegeeinrichtung um öffentliche Stellen des Bundes (§ 1 Abs. 1 S. 1 Nr. 1 BDSG) oder der LĂ€nder (Nr. 2) handelt und soweit bei Letzteren der Datenschutz nicht durch Landesgesetz geregelt ist und sie Bundesrecht ausfĂŒhren (lit. a).
  • Besteht eine kirchliche oder diakonische TrĂ€gerschaft ist das Kirchengesetz ĂŒber den Datenschutz der evangelischen Kirche in Deutschland (DSG-EKD) oder im Falle der katholischen Kirche das Kirchliche Datenschutzgesetz (KDG) heranzuziehen.
  • ZusĂ€tzlich gibt es eine Menge Spezialvorschriften, beispielsweise die §§ 104 ff. SGB XI und §§ 294 ff. SGB V, die die Übermittlung von personenbezogenen Daten durch Pflegeeinrichtungen an die Pflege- und Krankenkassen regeln. Aber auch die §§ 22 ff. KUG können eine Rolle spielen, wenn Fotos der Heimbewohner angefertigt werden.
  • Auch Landespflegegesetze können Aussagen zum Datenschutz treffen, z.B. das baden-wĂŒrttembergische Wohn-, Teilhabe- und Pflegegesetz. Auf Bundesebene ist an das Wohn- und Betreuungsvertragsgesetz zu denken.
  • § 203 StGB ist ebenfalls zu beachten, da dieser Tatbestand die Strafbarkeit der Verletzung von Privat-, Betriebs- und GeschĂ€ftsgeheimnissen regelt. Hiervon betroffen sind nach Abs. 1 Nr. 1 Ärzte, ZahnĂ€rzte, TierĂ€rzte, Apotheker und Angehörige eines anderen Heilberufs, der fĂŒr die BerufsausĂŒbung oder die FĂŒhrung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert.

Rechtsgrundlagen fĂŒr die Datenverarbeitung in der Pflege

Um nicht auszuschweifen, wollen wir uns an dieser Stelle lediglich mit der DSGVO beschĂ€ftigen. Die Verarbeitung personenbezogener Daten ist gemĂ€ĂŸ Art. 6 Abs. 1 S. 1 DSGVO grundsĂ€tzlich verboten. Eine Datenverarbeitung darf lediglich dann erfolgen, wenn eine Rechtsgrundlage besteht. Stellt sich die Frage: Welche Erlaubnisnormen ermöglichen die Verarbeitung personenbezogener Daten der Bewohner einer Pflegeeinrichtung und deren Angehöriger?

Erforderlich zur VertragserfĂŒllung

HĂ€ufig herangezogen wird Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Datenverarbeitung ist demnach rechtmĂ€ĂŸig, wenn folgende Voraussetzungen erfĂŒllt sind:

„die Verarbeitung ist fĂŒr die ErfĂŒllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur DurchfĂŒhrung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.“

Werden Gesundheitsdaten verarbeitet, ist zusĂ€tzlich Art. 9 Abs. 2 lit. h DSGVO zu beachten. Danach gilt das grundsĂ€tzlich bestehende Verbot der Verarbeitung Ă€ußerst sensibler (besonderer Kategorien) personenbezogener Daten nicht, wenn

„die Verarbeitung 
 fĂŒr Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, fĂŒr die Beurteilung der ArbeitsfĂ€higkeit des BeschĂ€ftigten, fĂŒr die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder fĂŒr die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich [ist].“

FĂŒr die Praxis bedeutet das: Ist die Verarbeitung der personenbezogenen Daten des PflegebedĂŒrftigen zur DurchfĂŒhrung oder zum Abschluss des Vertrags erforderlich? Das ist etwa der Fall, wenn die Datenverarbeitung notwendig ist, um der betroffenen Person Behandlungs- und Betreuungsleistungen zukommen zu lassen, ihr eine Unterkunft und Verpflegung zur VerfĂŒgung zu stellen oder wenn es darum geht, ĂŒber die Aufnahme in ein Seniorenheim zu entscheiden.

Diese Normen sind nicht einschlĂ€gig, sollte die Datenverarbeitung lediglich nĂŒtzlich oder hilfreich sein, z.B. bei der Abfrage von Biographie-Daten. Auch ist die Verarbeitung von Angehörigen-Daten nicht erforderlich fĂŒr die VertragserfĂŒllung oder die Anbahnung eines Vertrags, weil der Heim- bzw. Betreuungsvertrag mit dem Bewohner geschlossen wird und nicht mit dem Angehörigen.

Rechtliche Verpflichtung

Nach Art. 6 Abs. 1 S. 1 lit. c DSGVO (ggf. in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO bei Gesundheitsdaten) ist die Datenverarbeitung zulÀssig, wenn

„die Verarbeitung 
 zur ErfĂŒllung einer rechtlichen Verpflichtung erforderlich [ist], der der Verantwortliche unterliegt.“

Eine derartige rechtliche Verpflichtung ist stets in spezialgesetzlichen Fachvorschriften zu suchen. Ordnet eine Spezialnorm die Verarbeitung personenbezogener Daten der Bewohner oder der Angehörigen an, ist die Verarbeitung zulĂ€ssig. Aber Achtung! Die Daten dĂŒrfen dann natĂŒrlich nur so verarbeitet werden, wie es das Spezialgesetz vorschreibt.

Als Beispiel sei an dieser Stelle § 113 SGB XI genannt, der zur Erstellung einer Pflegedokumentation verpflichtet.

Lebenswichtige Interessen

Art. 6 Abs. 1 S. 1 lit. d DSGVO erlaubt die Datenverarbeitung, sollte

„die Verarbeitung 
 erforderlich [sein], um lebenswichtige Interessen der betroffenen Person oder einer anderen natĂŒrlichen Person zu schĂŒtzen.“

Im Falle von Gesundheitsdaten wÀre hier zusÀtzlich Art. 9 Abs. 2 lit. c DSGVO heranzuziehen, der folgende Anforderungen stellt:

„die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natĂŒrlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen GrĂŒnden außerstande, ihre Einwilligung zu geben.“

Klassisches Beispiel wĂ€re hier die Weitergabe der Bewohnerdaten beim Rufen eines Notarztes, wenn sich der demente oder nicht mehr ansprechbare PflegebedĂŒrftige verletzt oder er erkrankt.

Berechtigtes Interesse

Nach Art. 6 Abs. 1 S. 1 lit. f DSGVO darf die Datenverarbeitung erfolgen, wenn

„die Verarbeitung 
  zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, ĂŒberwiegen
“

Da im Pflegebereich hĂ€ufig sensible Daten verarbeitet werden, ist auf diese Norm nur mit Bedacht zurĂŒckzugreifen. Die Vorschrift ist beispielsweise bei der Verarbeitung des Namens und der Kontaktdaten eines Notfallkontakts einschlĂ€gig, den der Bewohner (freiwillig!) angegeben hat.

Wirksame Einwilligung

Nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ist die Datenverarbeitung rechtmĂ€ĂŸig, wenn

„die betroffene Person 
 ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten fĂŒr einen oder mehrere bestimmte Zwecke gegeben [hat].“

Damit der Betroffene wirksam einwilligen kann, muss er zuvor hinreichend ĂŒber die inhaltliche Tragweite informiert werden. Dabei sind der Zweck der Datenverarbeitung, die Rechtsgrundlage und die EmpfĂ€nger der Daten zu erlĂ€utern. Stets ist darĂŒber aufzuklĂ€ren, dass bei Nichterteilung der Einwilligung keine Nachteile drohen. Über sein Recht auf Widerruf der Einwilligung mit Wirkung fĂŒr die Zukunft ist der PflegebedĂŒrftige ebenfalls zu belehren. Sind personenbezogene Daten nach Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten) betroffen, ist dies anzugeben. Aus Nachweis- und TransparenzgrĂŒnden ist es zu empfehlen, sich die Einwilligung getrennt von den HeimvertrĂ€gen schriftlich, sowie unterzeichnet geben zu lassen.

HĂ€ufiger Anwendungsfall der Einwilligung in der Pflegepraxis ist die Anfertigung von Fotos der Bewohner fĂŒr eine Heimzeitung oder den Aushang.

Auch wenn das Einholen von Einwilligungen am sichersten erscheint, gilt es zu bedenken: Zum einen ist sie jederzeit widerruflich, zum anderen ist es gemĂ€ĂŸ Art. 9 Abs. 2 lit. a DSGVO möglich, dass eine Norm die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) trotz ausdrĂŒcklicher Einwilligung fĂŒr rechtswidrig erklĂ€rt.

Letzter Tipp: Sofern bereits eine andere Rechtsgrundlage greift, ist eine Einwilligung obsolet.

Respekt verdient


haben sowohl die Bewohner einer Pflegeeinrichtung, als auch die hart arbeitenden PflegekrĂ€fte. Dennoch: FĂŒr eine vertrauensvolle Zusammenarbeit ist es wichtig, nicht nur Körper und Geist zu betreuen, sondern sich auch dem Datenschutz zu widmen – denn wer sich im Seniorenheim befindet, will wĂŒrdevoll behandelt werden.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Datenschutz in der Pflege – Teil 1.

Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA

Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA

– Reposting – Hier geht's zum Original: Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA

Das EU-US Privacy-Shield Abkommen wurde vom EuGH (C-311/18) gekippt und erste Aufsichtsbehörden machen Druck. Unternehmen sollten sich auf EinzelfallprĂŒfungen von Übermittlungen in die USA einstellen, verkĂŒndete die Berliner Beauftragte fĂŒr Datenschutz und Informationssicherheit. Wie kann der Datentransfer in die USA mit Standardvertragsklauseln gestaltet werden und worauf sollten Unternehmen beim Abschluss dieser Klauseln achten?

Die Probleme beim Drittlandtransfer

Die Diskussionen der vergangenen Wochen haben bereits zutage getragen, dass aus Sicht der DatenschĂŒtzer ein Transfer von personenbezogenen Daten in die USA wohl nie als vollkommen sicher eingestuft werden kann. Die verbleibende Krux ist, dass US-Behörden zu weitreichende Befugnisse haben und hierzulande das Internet immer noch fĂŒr viele Neuland ist. Jedenfalls fĂŒr diejenigen, die vergessen, dass die GrĂŒnde fĂŒr die AbhĂ€ngigkeit von den US-Diensten in deren QualitĂ€t, KapazitĂ€t, Sicherheit und Preis liegen, mit denen vergleichbare europĂ€ische Dienste in der Regel nicht mithalten können. In diesem Spannungsfeld bewegen sich derzeit Unternehmen, die auf unverzichtbare US-Technologien angewiesen sind oder eigene Tochterunternehmen in den USA haben.

Was Standardvertragsklauseln sind und was sie regeln

Bei der Übermittlung von Daten in ein Drittland, d.h. ein Land außerhalb der EU bzw. des EWR, bedarf es zunĂ€chst auf der ersten Stufe der Übermittlung einer tauglichen Rechtsgrundlage, z.B. iSd. Art. 6 DSGVO. Auf der zweiten Stufe muss der Verantwortliche dafĂŒr Sorge tragen, dass bei einer solchen Übermittlung geeignete Garantien vorliegen, um die Sicherheit der Daten bzw. ein angemessenes Schutzniveau auch im Drittland zu gewĂ€hrleisten. Neben dem Vorliegen einer Rechtsgrundlage ist fĂŒr die RechtmĂ€ĂŸigkeit der Übermittlung also weiterhin maßgeblich, dass auch nach dem Transfer z.B. die Vertraulichkeit, IntegritĂ€t und Zweckbindung der personenbezogenen Daten iSd. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO gewahrt werden. Standardvertragsklauseln (in der DSGVO nun „Standarddatenschutzklauseln“ genannt) sind solche, die durch die EU-Kommission selbst erlassen worden sind.

Die wichtigsten Datenschutzklauseln im Überblick

Im Folgenden sind die aus Sicht des Datenschutzes und der Datensicherheit relevantesten Klauseln der EU-Standardvertragsklauseln dargestellt.

Klausel 2: Einzelheiten der Übermittlung

Diese Klausel bedient sowohl das Zweckbindungsgebot des Datenschutzes als auch die Transparenz. Hiernach sind die Vertragsbeteiligten verpflichtet, in der Anlage 1 der Standardvertragsklauseln die konkreten Zwecke und Mittel der Verarbeitung im Drittland vor deren Übermittlung festzulegen und hiervon auch die Aufbewahrung der Daten abhĂ€ngig zu machen.

Im Einzelnen muss in Anlage 1 aufgelistet werden,

  • wer ex- und importiert samt einer ErlĂ€uterung der TĂ€tigkeiten, fĂŒr die eine Übermittlung relevant ist,
  • Kategorien von Daten und betroffenen Personen,
  • der spezifische Zweck, fĂŒr den die Übermittlung erforderlich ist,
  • ggf. Art und Kategorie sensibler Daten,
  • ggf. weitere EmpfĂ€nger.

Klausel 4: Pflichten des Datenexporteurs

Der Datenexporteur hat zunĂ€chst als Verantwortlicher zu garantieren, dass er die betroffenen Daten bis zum Zeitpunkt der Übermittlung bereits rechtmĂ€ĂŸig verarbeitet hat. Sofern sensible Daten verarbeitet werden, informiert er auch die betroffenen Personen ĂŒber die Übermittlung und darĂŒber, dass das Zielland der Übermittlung kein angemessenes Schutzniveau bietet. Der Datenexporteur muss außerdem sicherstellen, dass betroffene Personen auf Anfrage eine Kopie der Standardvertragsklauseln erhalten und dass sowohl Betroffenenanfragen als auch solche von Behörden im Rahmen der gesetzlichen Fristen beantwortet werden können. Hiermit sichert der Datenexporteur bereits eine Reihe von Schutzzielen der DSGVO zu: Zweckbindung, VerhĂ€ltnismĂ€ĂŸigkeit, Transparenz, Sicherheit und Vertraulichkeit.

Klausel 5: Pflichten des Datenimporteurs

Die Pflichten des Datenimporteurs, der Verantwortlicher oder Auftragsverarbeiter sein kann, gehen noch etwas weiter. Hierin liegt bei der Übermittlung in die USA regelmĂ€ĂŸig auch der „Knackpunkt“ des sicheren Drittlandstransfers, da von dem Importeur zuzusichern ist, dass er

„seines Wissens keinen nationalen Gesetzen unterliegt, die ihm die ErfĂŒllung seiner Vertragsverpflichtung unmöglich machen – und dass er, wenn es doch einmal so kommen sollte, den Importeur hierĂŒber informiert.“

Aufgrund der weitreichenden gesetzlichen ErmĂ€chtigungsgrundlagen der US-Behörden nach dem Foreign Intelligence Surveillance Act können diese jederzeit auf Daten von electronic communication service providers zugreifen, ohne dabei besondere VerhĂ€ltnismĂ€ĂŸigkeitshĂŒrden beachten zu mĂŒssen. Übersetzt geht es um Anbieter elektronischer Kommunikationsdienste. Hierunter lassen sich eine Vielzahl der in der EU genutzten und populĂ€ren Dienste, wie Cloud-Diensteanbieter und Software-Dienstleister, fassen.
Die Unterzeichnung einer solchen vertraglichen Garantie ins Blaue hinein ist natĂŒrlich haftungsrechtlich zunĂ€chst fĂŒr den Importeur problematisch. FĂŒr den Verantwortlichen (Exporteur) der Daten dĂŒrfte das jedoch nachrangig sein, wenn sich die Sanktionen gegen ihn als Verantwortlichen richten. Die Aussicht auf einen möglichen Regress gegen den Importeur verhindert jedenfalls nicht den Image-Schaden des Exporteurs und auch keine langwierigen Verfahren mit Behörden.

Daneben muss der Importeur auch eine Garantie fĂŒr die Verarbeitung der Daten im Einklang mit den datenschutzrechtlichen GewĂ€hrleistungzielen iSd. Anlage 2 der Standardvertragsklauseln abgeben und sich verpflichten, die weitreichenden GrundsĂ€tze des Datenschutzes zu gewĂ€hrleisten:

  • Zweckbindung,
  • Richtigkeit der Daten und Datensparsamkeit,
  • Transparenz und GewĂ€hrleistung der Betroffenenrechte,
  • Sicherheit und Vertraulichkeit,
  • BeschrĂ€nkung der weiteren Übermittlung,
  • Besondere Behandlung von sensiblen Datenkategorien,
  • GewĂ€hrleistung der KonformitĂ€t des Direktmarketings.

Schließlich muss der Importeur auch die AusĂŒbung von PrĂŒfrechten dulden und auf Anfrage von Betroffenen ebenfalls eine Kopie der Standardvertragsklauseln herausgeben.

Bei dem Abschluss von Standardvertragsklauseln mĂŒssen Verantwortliche immer bedenken, dass die Unterzeichnung schriftlicher Garantien das eine ist. Die RechtmĂ€ĂŸigkeit der Übermittlung hĂ€ngt jedoch maßgeblich von den tatsĂ€chlichen Begebenheiten des Einzelfalls ab. Schließlich wird es also immer darauf ankommen, ob die US-Behörden nun zugreifen können bzw. welche technischen Maßnahmen der Importeur ergriffen hat, um solche Zugriffe effektiv zu verhindern.

Klausel 6: Haftung

Entsprechend dem Art. 82 DSGVO haften Exporteur und Importeur nach außen gegenĂŒber den Betroffenen gesamtschuldnerisch. Das heißt, dass Betroffene sich mit ihren Forderungen sowohl an den Exporteur als auch den Importeur wenden können. Damit soll die Wahrnehmung von individuellen Schadensersatzrechten gestĂ€rkt und die Durchsetzung von Betroffenenrechten gewahrt werden. Im InnenverhĂ€ltnis gilt allerdings, dass die Haftung nach den ĂŒberwiegenden VerursachungsbeitrĂ€gen verteilt wird.

Schwerpunkt der PrĂŒfung von Standardvertragsklauseln

Schwerpunkt der vertraglichen Garantien ist die Zusicherung von Vertraulichkeit und Sicherheit der Daten, also insbesondere der Schutz vor willkĂŒrlichen Zugriffen der US-Behörden. Das zentrale Problem des Datentransfers in die USA liegt oftmals nicht in der Hand der hiesigen Verantwortlichen, da diese selbst kaum weitere geeignete Garantien ergreifen können, um das Datenschutzniveau nach der Übermittlung in die USA zu gewĂ€hrleisten. Was Unternehmen heute schon tun sollten: bei US-Dienstleistern, mit denen sie bereits Standardvertragsklauseln geschlossen haben, nachhaken, wie sie ihre vertraglichen Garantien einhalten und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden – oder in Zukunft unterbinden wollen.


GefÀllt Ihnen der Beitrag?

Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA.

Spartoo: Bußgeld von 250.000 Euro wegen DSGVO-VerstĂ¶ĂŸen

Spartoo: Bußgeld von 250.000 Euro wegen DSGVO-VerstĂ¶ĂŸen

– Reposting – Hier geht's zum Original: Spartoo: Bußgeld von 250.000 Euro wegen DSGVO-VerstĂ¶ĂŸen

Sommerferien?! Urlaub ist ein Fremdwort fĂŒr den Datenschutz, wie der französische Online-SchuhverkĂ€ufer Spartoo nunmehr lernen musste. Denn gegen diesen wurde vor wenigen Tagen ein Bußgeld in Höhe von 250.000 Euro verhĂ€ngt, da eine Vielzahl an VerstĂ¶ĂŸen gegen die DSGVO festgestellt wurden. Wo der Behörde konkret der Schuh drĂŒckte, erfahren Sie in diesem Beitrag.

Was ist passiert?

Spartoo beliefert Kunden von 13 EU-LĂ€ndern, darunter auch Deutschland, mit Schuhen. Am 31. Mai 2018 – also nur 6 Tage nach der Anwendbarkeit der DSGVO – inspizierte die französische Datenschutzbehörde CNIL das Unternehmen. Zweck dieser Mission war es, zu ĂŒberprĂŒfen, ob Spartoo alle Bestimmungen der DSGVO und des französischen Datenschutzgesetzes einhĂ€lt. Die PrĂŒfung konzentrierte sich insbesondere auf die Verarbeitung personenbezogener Daten der Kunden und Interessenten des Unternehmens sowie auf die Aufzeichnung von TelefongesprĂ€chen zwischen Kunden und den Kundendienstmitarbeitern des Unternehmens.

Bei dieser Inspektion wurden diverse MĂ€ngel festgestellt, sodass die Behörde nunmehr am 28.07.2020 ein Bußgeldbescheid in Höhe von 250.000 Euro verhĂ€ngt hat. Zudem ist Spartoo angehalten, die festgestellten MĂ€ngel binnen 3 Monate nach Bekanntgabe des Beschlusses zu beseitigen, andernfalls droht ein weiteres Zwangsgeld in Höhe von 250 Euro pro versĂ€umten Tag.

Die CNIL veröffentlicht diese Entscheidung sowohl auf der eigenen Webseite als auch auf der Webseite von Légifrance, wobei erst nach zwei Jahren die namentliche Nennung von Spartoo entfernt wird.

Welche VerstĂ¶ĂŸe wurden festgestellt?

Die Liste des rĂŒgbaren Fehlverhaltens ist sehr lang. Spartoo verstieß mit seinen betrieblichen AblĂ€ufen insbesondere gegen folgende GrundsĂ€tze und Pflichten:

Grundsatz der Datensparsamkeit (Artikel 5 Abs. 1 lit. c DSGVO)

Aus Art.5 Abs. 1 lit. c DSGVO ergibt sich, dass man nur so viele Daten erheben soll, die tatsĂ€chlich fĂŒr die Datenverarbeitung nötig sind. Man soll also vermeiden, unnötige Informationen beim Betroffenen abzufragen.

a) Aufzeichnung sÀmtlicher Kundenanrufe

Spartoo zeichnete KundengesprĂ€che vollumfĂ€nglich und jederzeit auf. Als Grund wurden hierzu Schulungszwecke genannt. TatsĂ€chlich wurde aber pro Woche nur ein TelefongesprĂ€ch eines Mitarbeiters ausgewertet. Die Aufzeichnung all der ĂŒbrigen Telefonate war insoweit unnötig, wie die Aufsichtsbehörde befand.

Zwar beteuerte das Unternehmen in den Anhörungen im Jahr 2019, dass die Anzahl der Aufzeichnungen von 100% auf 30% reduziert wurde, beweisen konnte es diese Änderung aber gegenĂŒber der Behörde nicht.

b) Aufzeichnung der Bankdaten

Aber nicht nur die Vielzahl an Aufzeichnungen fĂŒhrte zu Unmut, sondern auch der Umfang. Die Behörde stellte fest, dass bei den telefonischen Bestellungen auch die Bankdaten aufgezeichnet und in Klartext fĂŒr 15 Tage in der Datenbank gespeichert wurden. Hier hĂ€tte Spartoo vor Abfrage der Bankdaten die Aufzeichnung beenden mĂŒssen, da diese definitiv nicht mehr vom Schulungszweck gedeckt waren.

c) Erhebung von Personalausweis und Gesundheitsausweis

Schließlich verlangte Spartoo von den Kunden die Vorlage des Personalausweises zur IdentitĂ€tsfeststellung, um sich vor BetrĂŒgern zu schĂŒtzen. Italienische Kunden mussten sogar zusĂ€tzlich ihren Gesundheitsausweis („tessera sanitaria“) einreichen.

Das bereits die Erhebung und Speicherung des Personalausweises problematisch ist, haben wir schon in der Vergangenheit erörtert. Die Abfrage von zwei Dokumenten zur BetrugsbekĂ€mpfung hĂ€lt die Datenschutzbehörde jedenfalls fĂŒr ĂŒbertrieben und daher nicht mehr erforderlich. Der italienische Gesundheitsausweis enthĂ€lt eine große Summe an Informationen ĂŒber italienischen Inhaber, nĂ€mlich Angaben zu Name, Vorname, Geschlecht, Steuercode, Geburtsort. Aus dem Ablaufdatum der Karte kann zudem auch abgeleitet werden, dass die Person eine Aufenthaltsgenehmigung fĂŒr Italien besitzt, sodass hier auch mittelbar Informationen zur Staatsangehörigkeit entnommen werden können. Es ist also offensichtlich, dass hier viel zu viele Daten erhoben wurden.

Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Die DSGVO sieht vor, dass personenbezogene Daten nicht lĂ€nger, als es fĂŒr die Zwecke, fĂŒr die sie verarbeitet werden, erforderlich ist, gespeichert werden.

Bei der Inspektion im Jahr 2018 hatte Spartoo weder Löschroutinen in einem Löschkonzept aufgestellt, noch in irgendeiner Weise Daten faktisch gelöscht. Da Spartoo bereits im Jahr 2006 gegrĂŒndet wurde, kann man nur erahnen, wie viele KundendatensĂ€tze bereits gesammelt und aufbewahrt wurden. Folgende Zahlen stellte die Behörde bei ihren Untersuchungen fest:

  • Daten von 118.768 Kunden, die sich seit dem 25. Mai 2008 nicht in ihr Konto eingeloggt hatten
  • Daten von 682.164 Kunden, die sich seit dem 25. Mai 2010 nicht in ihr Konto eingeloggt hatten
  • Daten von 3.620.401 Kunden, die sich seit dem 25. Mai 2013 nicht in ihr Konto eingeloggt hatten
  • Daten von 25.911.675 Interessente, die seit 25.Mai 2015 nicht mehr aktiv waren

Aber nicht nur die Daten von Alt-Kunden wurden ewig gespeichert. Auch Interessentendaten, also Betroffene mit denen kein Vertrag zustande kam, fanden sich in dieser Datenbank noch Jahre spÀter.

Bei der Anhörung im Jahr 2019 teilte das Unternehmen der Behörde mit, dass es fĂŒr diese Daten nun eine aktive Aufbewahrungsfrist von fĂŒnf Jahren ab dem Datum der letzten AktivitĂ€t von Kunden und Interessenten festgelegt habe. Als Kundenkontakt gelte hierbei beispielsweise eine Verbindung zum Kundenkonto, ein Klick in einem Newsletter oder das Öffnen des Newsletters.

Nach Auffassung der französischen Behörde wĂ€re lediglich eine Aufbewahrungsfrist von zwei Jahren angemessen. Zudem könne das bloße Öffnen einer Werbe-Mail nicht bereits als Kundenkontakt gewertet werden. Die Person muss vielmehr mindestens auf einen in einer E-Mail enthaltenen Hyperlink klicken, damit von einem echten Interesse an der Aufrechterhaltung des Kundenkontaktes ausgegangen werden kann.

Schließlich wurde seitens der Behörde klargestellt, dass das Hashen der E-Mail-Adressen und Passwörter der Kunden mit einem SHA-256-Algorithmus lediglich eine Pseudonymisierung darstellt und dass diese daher keine Löschung im Sinne der DSGVO entspricht. Die angewandte Hash-Funktion fĂŒhre nur zur Erhöhung der Datensicherheit, aber eben nicht zur Anonymisierung. Wie unsere ausmerksamen Leser wissen, kann aber nur die Anonymisierung einer Löschung gleichgesetzt werden.

Informationspflichten gegenĂŒber Betroffenen (Art. 13 DSGVO)

Die Aufsichtsbehörde rĂŒgte auch die auf der Webseite veröffentlichte DatenschutzerklĂ€rung von Spartoo, weil nur die Einwilligung als Rechtsgrundlage genannt wurde, obwohl offensichtlich weitere Rechtsgrundlagen bei den verschiedenen Datenverarbeitungen vorlagen. Zudem hĂ€tten die Kunden darĂŒber informiert werden mĂŒssen, dass die aufgezeichneten Telefonanrufe nach Madagaskar ĂŒbermittelt werden.

Aber auch die Mitarbeiter von Spartoo wurden nicht ordnungsgemĂ€ĂŸ und vollumfĂ€nglich informiert. Lediglich die an einer Schulung im Januar 2016 teilnehmenden Mitarbeiter erfuhren von den Aufzeichnungen der Kundentelefonate zu Schulungszwecke. Schriftliche InformationsblĂ€tter fĂŒr neu eingestellte Mitarbeiter wurden jedoch nicht zur VerfĂŒgung gestellt. Die erstellten Dokumente fĂŒr die Mitarbeiter deckten auch im Übrigen nicht die Mindestangaben aus Art. 13 DSGVO ab, sodass die Datenverarbeitungen nicht transparent fĂŒr die Mitarbeiter sind.

GewÀhrleistung der Datensicherheit (Art. 32 DSGVO)

Art. 32 DSGVO verlangt vom Verantwortlichen der Datenverarbeitung, dass dieser unter BerĂŒcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der UmstĂ€nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen geeignete technische und organisatorische Maßnahmen vorzunehmen, um ein dem Risiko angemessenes Schutzniveau zu gewĂ€hrleisten.

a) Unsichere Passwörter

Beim Anlegen von Benutzerkonten fĂŒr die Kunden wurden Passwörter mit einer LĂ€nge von 6 Zeichen und einer Zeichenkategorie zugelassen. Worauf man bei der Erstellung von Passwörtern achten sollte, haben wir in unseren zahlreichen BlogbeitrĂ€gen bereits thematisiert.

Noch gravierender ist der Umstand, dass lediglich eine ein-minutige Sperrung der IP-Adresse erfolgte, wenn von dieser IP-Adresse 19 Fehlversuche beim Login innerhalb einer Minute erfolgte.

Bei einem solchen lapidaren Umgang mit der Passwort-Sicherheit sind Brute-Force-Angriffe TĂŒr und Tor geöffnet. Bei solchen Angriffen werden sukzessiv und systematisch zahlreiche Passwörter getestet, bis man Zugang zum Konto erhĂ€lt, um dann die darin enthaltenen persönlichen Daten zu erhalten. Wenn der Kunde dieses Passwort dann noch fĂŒr weitere Konten anderer Webseiten nutzt, kann dies zu einem sehr großen Schaden fĂŒr diesen fĂŒhren.

b) Unsichere Aufbewahrung von Bankkarten-Scans

Bei Kundenbestellungen ĂŒber die französische, italienische, spanische, ungarische, slowakische, dĂ€nische und griechische Webseite wurden die Kunden im Rahmen der BetrugsbekĂ€mpfung gebeten, Kopien ihrer Bankkarte per E-Mail zu senden, die sie fĂŒr den Bezahlvorgang verwenden. Diese Scans wurden sodann 6 Monate in Klartext gespeichert. Bei dieser Form der Übermittlung sind zwei Aspekte problematisch: Einerseits wurden die Kunden so zu einem ungesicherten E-Mail-Versand verleitet, obwohl es sich bei Bankdaten um sensiblere Informationen handelt. Andererseits war Spartoo nicht berechtigt, die Gesamtheit der Bankkartennummern zu verarbeiten. Es hĂ€tte nur einen Teil zum Zwecke der BetrugsbekĂ€mpfung verarbeiten dĂŒrfen. Insoweit hĂ€tte Spartoo technische Maßnahmen ergreifen mĂŒssen, damit der Kunde gesichert und auch nur den wirklich erforderlichen Teil der Bankkarte ĂŒbermittelt.

Dieses Jahr wohl kein Summer-Sale

Spartoo muss wohl dieses Jahr noch einige Schuhe verkaufen, um dieses Loch im Geldbeutel infolge des Bußgeldes zu stopfen. Es war sicherlich Pech fĂŒr den Online-Anbieter, dass sich die Behörde nun ausgerechnet ihn direkt nach Wirksamwerden der DSGVO herausgepickt haben. Allerdings liegen hier VerstĂ¶ĂŸe vor, die zumindest nach deutschem Recht auch vor der DSGVO schon zu einem Bußgeld hĂ€tten fĂŒhren können. Der Grundsatz der Datensparsamkeit und die Transparenz- sowie Löschpflicht waren bereits im deutschen BDSG verankert. Jedenfalls hatte Spartoo bereits zwei Jahre Zeit, um sich hiermit vertraut zu machen. Und die Themen der IT-Sicherheit, insbesondere mit Blick auf Sicherheitsvorkehrungen zum Schutz von Passwörtern und Bankdaten sind auch keine neuen Erfindungen der DSGVO.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Spartoo: Bußgeld von 250.000 Euro wegen DSGVO-VerstĂ¶ĂŸen.

Netzwerksegmentierung: Manchmal ist es besser, sich zu trennen

Netzwerksegmentierung: Manchmal ist es besser, sich zu trennen

– Reposting – Hier geht's zum Original: Netzwerksegmentierung: Manchmal ist es besser, sich zu trennen

Es gibt einige Aspekte, wie beispielsweise eine gute Konfiguration der Firewall und die Benutzung von Anti-Viren Software, um die Sicherheit des Firmennetzwerks zu erhöhen. Warum es manchmal besser ist, Netzwerke zu trennen und welche Vorteile Netzwerksegmentierung genau mit sich bringt, erklÀrt der folgende Beitrag.

Netzwerksegmentierung: Was ist das?

Bei einer Netzwerksegmentierung wird das Unternehmensnetz in einzelne Bereiche unterteilt, um ein höheres IT-Sicherheitsniveau gewĂ€hrleisten zu können. Hierbei trennt man vor allem Bereiche, die nur bedingt oder gar nicht miteinander vernetzt sind. HierfĂŒr empfiehlt es sich, die Netzwerksegmente zum Beispiel nach Abteilungen zu unterteilen. Der Zugriff auf die Produktionsanlage muss bspw. nicht ĂŒber die Clients aus den Bereichen Vertrieb, Buchhaltung oder Personalabteilung möglich sein. Dass ebenfalls eine Segmentierung zwischen Test- und Produktivumgebung sinnvoll ist, steht außer Frage.

Viele Unternehmen tĂ€tigen langfristige Investitionen, wenn etwa eine gekaufte Produktionsanlage eine Nutzdauer von mehreren Jahren oder sogar Jahrzehnten aufweist. Hierbei kann es vorkommen, dass aufgrund Ă€lterer Versionen keine aktuellen Softwareupdates mehr unterstĂŒtzt werden und somit die Sicherheit darunter leiden wĂŒrde. Wenn die Maschinen an sich aber noch voll funktionsfĂ€hig sind, wĂ€re es unvorteilhaft, schon in neue zu investieren. Bei solchen FĂ€llen ist es manchmal besser, sich zu trennen – hierbei kann die Netzwerksegmentierung Abhilfe schaffen, in dem der betroffene Rechner vom restlichen Netzwerk und dem Internet abgekoppelt wird und seine Aufgaben in einer eigenen Umgebung weiterhin verrichten kann.

Dem Angreifer ein Dorn im Auge

Die meisten IT-SicherheitsvorfÀlle gehen von einem Netzwerksegment aus und infiltrieren den Rest des Netzwerks durch fehlende Segmentierung, da einfach Remote von einem Server auf alle anderen zugegriffen werden kann. Ebenfalls breitet sich Schadsoftware schneller aus, vor allem, wenn keine Barrieren existieren.

Angriffe grundsĂ€tzlich zu verhindern, ist nahezu ein Ding der Unmöglichkeit. Aber es existieren ausreichend Sicherheitsmaßnahmen, die auf der einen Seite einen Angriff deutlich erschweren und auf der anderen Seite den zu erwartenden Schaden möglichst geringhalten. Es ist ein großer Unterschied, ob ein einzelnes Segment in einem Firmennetzwerk unter einem Sicherheitsvorfall leidet und ggf. komplett neu aufgesetzt wird, oder das gesamte Unternehmensnetz betroffen ist und somit auch eventuelle weitere Unternehmen, wenn bspw. externe Dienstleistungen gestellt oder bezogen werden.

Es erweist sich als sinnvoll, die Funktionsbereiche der Netzwerkumgebung gut zu definieren und auch die Themen DatensensibilitĂ€t und ZugangsbeschrĂ€nkungen zu berĂŒcksichtigen. Somit segmentieren Unternehmen hĂ€ufig auch Zonen mit kritischen Daten und IT-administrativen Funktionen. Eine regelmĂ€ĂŸige ÜberprĂŒfung der Segmentierung, gerade nach Änderungen in der Netzwerkumgebung, ist eine Grundvoraussetzung fĂŒr die Steigerung der IT-Sicherheit im Unternehmen.

Finanzielle Sichtweise

Es ist ratsam, vor der Segmentierung einen Netzplan zu erstellen und zunĂ€chst abzuwĂ€gen, welche Bereiche zwingend segmentiert werden sollten und welche vorerst bereits von einer VerschĂ€rfung der Policies profitieren können. Eine Netzwerksegmentierung ist ein lĂ€ngerer, oft aufwĂ€ndiger Prozess, der mit zeitweiligen Einbußen in der FunktionsfĂ€higkeit einiger Bereiche verbunden sein kann.

In der Phase der Umgestaltung und Umsetzung kann es somit auch zu finanziellen Einbußen kommen. Das sind Aspekte, die im Vorwege zu berĂŒcksichtigen sind. Ebenfalls ist zu bedenken, dass die Einrichtung der Segmentierung hĂ€ufig auch mit einem Mehr an Datenverkehr verbunden ist. Dies kann eine eventuelle Investition in leistungsstĂ€rkere Systeme mit sich bringen. Eine sinnvolle Schritt-fĂŒr-Schritt Anleitung zur Implementierung von Schutzmaßnahem ist bspw. auf der Seite des BSI zu finden.

Eine abschließende Betrachtung

Ein Unternehmensnetz in einzelne Bereiche zu unterteilen erhöht die IT-Sicherheit des Unternehmens. Dabei aber besser nicht blind drauf los segmentieren, nach dem Motto „je mehr desto besser“. Dokumentation zu jeder Zeit ist hierbei essentiell. Damit wahrt man den Überblick und entwickelt schneller Lösungen bei eventuellen AusfĂ€llen. Durch eine Netzwerksegmentierung sind Unternehmen in der Lage, schneller Bedrohungen zu identifizieren und durch die isolierte Umgebung zu kontrollieren. Dies verhindert, einen kompletten Systemausfall befĂŒrchten zu mĂŒssen. Auch das Thema Datenschutz und die Umsetzung von Richtlinien und Erkennungs- und Abwehrmechanismen profitieren von einer Trennung.

Zum Schluss sei jedoch erwĂ€hnt, dass das Trennen durch Netzwerksegmentierung nur ein Teil eines ganzheitlichen IT-Sicherheitskonzepts ist. Erst in Verbindung mit weiteren Schutzmaßnahmen stellt es eine effektive Lösung zur Steigerung der Unternehmenssicherheit dar.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Netzwerksegmentierung: Manchmal ist es besser, sich zu trennen.

Recht auf Vergessenwerden – Neues vom BGH

Recht auf Vergessenwerden – Neues vom BGH

– Reposting – Hier geht's zum Original: Recht auf Vergessenwerden – Neues vom BGH

Der Bundesgerichtshof (BGH) hat kürzlich in zwei Verfahren zum sogenannten „Recht auf Vergessenwerden“ entschieden. Dabei kam der BGH zu dem Ergebnis, dass die widerstreitenden Interessen im Rahmen der Abwägung grundsätzlich gleichberechtigt zu behandeln sind. Dies stellt eine Abkehr der bisherigen Rechtsprechung dar. Wir haben uns dies einmal genauer angeschaut.

Der digitale Radiergummi

Was ist das Recht auf Vergessenwerden eigentlich? Das Recht auf Vergessenwerden hat eine hohe Bedeutung in der Praxis. Schließlich soll es gewährleisten, dass digital gespeicherte personenbezogene Daten nicht dauerhaft verfügbar sind. Das Recht auf Vergessenwerden stellt einen Teil des Rechts auf Informationelle Selbstbestimmung, also dem Grundrecht auf Datenschutz schlechthin, dar.

Das Recht auf Vergessenwerden, welches gerne auch einmal als „digitaler Radiergummi“ bezeichnet wird, stand beispielsweise im Jahr 2014 besonders im Fokus. Mit Urteil vom 13.05.2014 entschied der EuGH, dass Personen unter bestimmten Umständen verlangen können, dass auf sie bezogene Daten aus Suchmaschinen gelöscht werden müssen. Die Klage richtete sich damals, welch Überraschung, gegen die Google Inc.

Mord bedeutet lebenslänglich – oder?

Auch deutsche Gerichte haben sich mit dem Recht auf Vergessenwerden in den letzten Jahren immer wieder befassen müssen. Ein Mann, welcher im Jahr 1982 wegen zweifachen Mordes und versuchten Mordes verurteilt worden war, hatte gegen ein Nachrichten-Magazin geklagt, weil dieses seinen vollen Namen genannt und zudem archivierte Ausgaben über mehrere Jahre online zugänglich gemacht hatte. Nachdem das OLG Hamburg dem Kläger zunächst Recht gegeben hatte, weil die Berichterstattung auf Grund der stigmatisierenden Wirkung gegen das Persönlichkeitsrecht des Klägers verstoßen habe, hat der BGH das Urteil im Jahr 2012 aufgehoben. Dagegen hatte der Kläger Verfassungsbeschwerde erhoben.

Sieben Jahre später erging dazu ein Grundsatzurteil des Bundesverfassungsgerichts (BVerfG), in welchem es nach Abwägung aller Umstände des Einzelfalls eine Verletzung des Allgemeinen Persönlichkeitsrechts des Beschwerdeführers erkannte. Zumindest außerhalb des Strafrechts ist es offenbar möglich, einen Mord vergessen machen zu lassen.

Die derzeitige Rechtslage

Das Recht auf Vergessenwerden ist in Deutschland nicht einfach gesetzlich geregelt, zumindest nicht so umfassend, wie man es bei einem Recht mit Grundrechtsqualität möglicherweise erwarten würde. In Art. 17 DSGVO ist immerhin das Recht auf Löschung legal definiert. In Absatz 1 der Vorschrift wird beschrieben, unter welchen Voraussetzungen personenbezogene Daten zu löschen sind. Lediglich in Absatz 2 existiert eine Regelung, welche sich mit der Verbreitung von personenbezogenen Daten, insbesondere im Internet, befasst:

„Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.“

Interessant ist hierbei auch, dass Art. 17 DSGVO neben der offiziellen Überschrift „Recht auf Löschung“ eine Überschrift in Klammern „Recht auf Vergessenwerden“ trägt. Aus Erwägungsgrund 66 zur DSGVO lässt sich entnehmen, dass der europäische Gesetzgeber die Notwendigkeit erkannt hat, das Recht auf Vergessenwerden zumindest genauer zu definieren, als dies vor Schaffung der DSGVO der Fall war.

Google, immer wieder Google

Im einer der nunmehr ergangenen Entscheidungen des BGH hat wieder einmal Google eine Hauptrolle gespielt. Im Verfahren VI ZR 405/18 war der Kläger Vorsitzender eines Regionalverbandes einer Wohlfahrtsorganisation, welcher im Jahr 2011 Verbindlichkeiten von ca. 1 Mio. EUR angehäuft hatte. Damals hatte die örtliche Tagespresse darüber berichtet, unter Nennung des vollen Namens des Klägers. Dieser verlangte nun von Google, die Presseartikel bei der Suche nach seinem Namen nicht mehr in der Ergebnisliste anzuzeigen. Dies blieb allerdings ohne Erfolg.

Auch der BGH kam zu diesem Ergebnis. Die Grundrechte des Klägers müssten in diesem Fall zurückstehen, da das Interesse der Allgemeinheit an der Berichterstattung von Tatsachen höher zu gewichten sei. Dies ist sicherlich nicht überraschend, da insbesondere ein Vergleich mit der Berichterstattung über schwere Kapitalverbrechen einen deutlich schwerwiegenderen Eingriff in das Allgemeine Persönlichkeitsrecht darstellen dürfte.

Gewichtung der Grundrechte

Der BGH hatte entschieden, dass auch kein Anspruch aus Art. 17 DSGVO bestehe. Zudem hat der BGH in dieser Entscheidung klargestellt, dass die widerstreitenden Interessen einer „gleichberechtigten Abwägung“ unterliegen. Hierzu führt der BGH aus:

„Da im Rahmen dieser Abwägung die Meinungsfreiheit der durch die Entscheidung belasteten Inhalteanbieter als unmittelbar betroffenes Grundrecht in die Abwägung einzubeziehen ist, gilt keine Vermutung eines Vorrangs der Schutzinteressen des Betroffenen, sondern sind die sich gegenüberstehenden Grundrechte gleichberechtigt miteinander abzuwägen.“

Daraus folgt aus Sicht des BGH auch, dass ein Betreiber einer Suchmaschine nicht erst dann tätig werden muss, wenn eine offensichtliche Rechtsverletzung des Betroffenen vorliegt. Dies heißt im Umkehrschluss, dass daraus deutlich höhere Pflichten für einen Suchmaschinenbetreiber folgen. Im Grunde muss dieser nun deutlich strengere Kontrollmaßnahmen vornehmen, um Grundrechtsverstöße zu vermeiden. Dies stellt eine deutliche Abkehr vom Urteil des BGH vom 27.02.2018 (Az. VI ZR 489/16) dar.

Vorabentscheidung des EuGH

Im zweiten „aktuellen“ Verfahren hat der BGH dem EuGH zwei Fragen zur Vorabentscheidung vorgelegt.

  • Zum einen wird sich der EuGH mit der Frage auseinandersetzen müssen, ob der Betroffene zunächst einmal – beispielsweise im Wege einer einstweiligen Verfügung – gegen den Inhalteanbieter vorgehen muss, um damit die Wahrheit des verlinkten Inhalts zumindest vorläufig klären zu lassen.
  • Zum anderen muss der EuGH beantworten, wie mit Vorschaubildern (sogenannten „thumbnails“) umzugehen ist, die in der Trefferliste auftauchen, ohne dass man den konkreten Kontext, zu dem sie inhaltlich auf einer Website veröffentlicht wurden, erkennen kann.

Die hier entschiedenen bzw. noch zu entscheidenden Fragen dürften von hoher praktischer Relevanz sein. Das Recht auf Vergessenwerden ist als Teil des Allgemeinen Persönlichkeitsrechts von enormer Bedeutung und betrifft daher jeden Einzelnen. Jede Entscheidung hierzu ist grundsätzlich hilfreich, das Recht auf Vergessenwerden weiter zu konkretisieren, was zu einer erhöhten Rechtssicherheit beitragen dürfte. Schließlich ist bei einer Abwägung von widerstreitenden Interessen mit Grundrechtsbezug stets sehr stark auf den konkreten Einzelfall zu achten. Es ist aber zu erwarten, dass Auslistungsverfahren zukünftig deutlich leichter zu verfolgen sind, da eine wesentliche Hürde durch die „Gleichberechtigung“ der widerstreitenden Interessen genommen worden ist.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de


HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Recht auf Vergessenwerden – Neues vom BGH.

3-Phasen-Behandlung im Umgang mit IT-SicherheitsvorfÀllen

3-Phasen-Behandlung im Umgang mit IT-SicherheitsvorfÀllen

– Reposting – Hier geht's zum Original: 3-Phasen-Behandlung im Umgang mit IT-SicherheitsvorfĂ€llen

Es lĂ€sst sich auf eine einfache Formel herunterbrechen: Mehr IT, mehr IT-SicherheitsvorfĂ€lle. Und sind wir mal ehrlich, die Bereitschaft hieran etwas zu Ă€ndern, hĂ€lt sich in Grenzen. Aber was könnte denn ĂŒberhaupt getan werden, vorher, nachher oder wĂ€hrenddessen, um SchĂ€den zu minimieren?

Nackte Zahlen

Weil Zahlen die besseren Wörter sind, riskieren wir doch mal einen Blick. Immerhin brauchen wir belastbare Informationen, um unser Spielfeld abzustecken. Laut einer bitkom-Umfrage von Ende 2019 waren mindestens 75% der Unternehmen in Deutschland von Datendiebstahl, Industriespionage oder Sabotage betroffen. Bei 70% der Angriffe wurden durch digitale Angriffe SchĂ€den verursacht – insgesamt ĂŒber 102 Mrd. (!) Euro. 2017 wurden „nur“ 50% der Unternehmen angegriffen, bei einer Schadensquote von 43%. Beschönigen wir lieber nichts: jedes Unternehmen muss sich gedanklich darauf einstellen, frĂŒher oder spĂ€ter Opfer einer schadenstrĂ€chtigen Attacke zu werden. An der Wahrscheinlichkeit, dass dieser Fall eintritt, lĂ€sst sich aber arbeiten.

PrĂ€ventive Maßnahmen

Zur Steigerung der IT‑Sicherheit sollten prĂ€ventiv IT‑SicherheitslĂŒcken identifiziert werden. Diese Aufgabe einem Angreifer zu ĂŒberlassen, ist keine gute Idee.

  • IT-Schwachstellenanalysen und Penetrationstests sind hier ein guter Einstieg. Es empfiehlt sich, die DurchfĂŒhrung solcher Tests jĂ€hrlich zu wiederholen. Das Risiko eines Angriffs kann sich dadurch deutlich verringern, da mehr als nur oberflĂ€chlich getestet wird.
  • ZusĂ€tzliche Sicherheit lĂ€sst sich durch eine IST-Analyse der IT-Infrastruktur und Optimierung dieser gewinnen (technische Maßnahme).
  • Auch der Faktor Mensch spielt eine entscheidende Rolle: Schulungen, Trainings, Workshops und Bootcamps eröffnen die Möglichkeit, potentielle IT-SicherheitsvorfĂ€lle zu trainieren, Risiken und Gefahren zu erkennen und in der Folge zu mindern.

All diese Maßnahmen können selbst initiiert oder ĂŒber (Rahmen)VertrĂ€ge mit externen Dienstleistern eingeholt werden. Die Vorteile der zweiten Option liegen in der Unparteilichkeit des Dritten, seiner VerfĂŒgbarkeit im Bedarfsfalle und seiner Expertise.

Adhoc Maßnahmen – Incident Response

Sollte es zu einem IT-Sicherheitsvorfall kommen, ist es wichtig, schnell und richtig zu reagieren. Wer im Vorwege bereits einen Incident-Response-Plan und/ oder einen Notfallplan erstellt hat, wird Ausfallzeiten und SchĂ€den so gering wie möglich halten können. In der Regel fĂŒhrt ein Angriff zunĂ€chst einmal zu Chaos im Unternehmen und NervositĂ€t bei den Beteiligten. Dabei ist es wichtig, Ruhe zu bewahren und besonnen zu handeln. Die Erstellung eines Planes wird daher dringend empfohlen.

Da Angriffssituationen sehr mannigfaltig sein können, schauen wir uns beispielhaft einen Angriff ĂŒber das Internet an. Klar, es gilt alle ungewöhnlichen AktivitĂ€ten im Netzwerk zu erkennen und diese schnellstmöglich einzudĂ€mmen. Dabei interessieren insbesondere die folgenden Indikatoren:

  • eingesetzte Schadsoftware
  • laterale Bewegungen
  • mögliche Datensammlung und
  • mögliche Datenexfiltration

Nach einer Analyse können durch die gewonnenen Erkenntnisse die Tragweite des Angriffs bestimmt und kompromittierte Systeme identifiziert werden. Allerdings wird es nur mit tiefgreifenden Kenntnissen möglich sein, einen Angriff einzudĂ€mmen, Fehler zu beheben, Systeme zu bereinigen und den Normalzustand wiederherzustellen. Übrigens: zeitnahe Informationen sind von besonderem Interesse, wenn Meldungen an z.B. Behörden abgegeben werden mĂŒssen.

Reaktive Maßnahmen

Das Positive vorweg: aus Fehlern lĂ€sst sich lernen. Und das sollte tatsĂ€chlich ernst genommen werden. IT-SicherheitsvorfĂ€lle sind genauestens nachzubereiten. Dazu gehört, betroffene Systeme genau zu untersuchen, damit der Tathergang in GĂ€nze rekonstruiert wird. Auch das Netzwerk sollte in dieser Phase genau im Auge behalten werden. Zum einen, um sicherzustellen, dass nichts ĂŒbersehen wurde und zum anderen, dass ein erneuter Angriff keinen Erfolg haben wird.

SĂ€mtliche Schritte und Informationen sind zu dokumentieren. Ist der Normalzustand des Netzwerkes wiederhergestellt, ist es sinnvoll, die oben genannten (und wahrscheinlich ausgelassenen) prĂ€ventiven Maßnahmen durchzufĂŒhren. Denn so hart es klingt aber: Nach dem Vorfall ist vor dem Vorfall.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: 3-Phasen-Behandlung im Umgang mit IT-SicherheitsvorfĂ€llen.

Corona-GĂ€stelisten im Fokus der Polizei

Corona-GĂ€stelisten im Fokus der Polizei

– Reposting – Hier geht's zum Original: Corona-GĂ€stelisten im Fokus der Polizei

Manch einer hatte es schon befĂŒrchtet: Die seitens Restaurants, CafĂ©s und BiergĂ€rten erfassten GĂ€stedaten werden zweckentfremdet. In mehreren BundeslĂ€ndern greift die Polizei auf die wegen Corona gefĂŒhrten GĂ€stelisten zu – ganz im Sinne der Strafverfolgung, aber contra Datenschutz?

Ermittlungserfolge – Corona sei Dank

Wir erinnern uns: Im Zuge der Corona-BekĂ€mpfung wurde den GaststĂ€tten und Restaurants in vielen BundeslĂ€ndern auferlegt, Kontaktdaten ihrer GĂ€ste zu erfassen. Ohne diese Listen sei es fĂŒr die GesundheitsĂ€mter nicht nachvollziehbar, wer wann wie auf Infizierte getroffen sein könnte. Die Corona-Listen dienen damit der Nachverfolgung von Infektionsketten. Das wurde auch genau so kommuniziert – man brauche sich keine Gedanken zu machen, Datenschutz wirkt, alles easy.

Wie in den vergangenen Wochen bekannt wurde, verschaffen sich vielerorts jedoch auch Polizeibeamte Einsicht in die Listen, um sie fĂŒr ihre Zwecke zu nutzen. Mit Hilfe der GĂ€stelisten lassen sich VerdĂ€chtige einengen, Zeugen finden, Straftaten aufklĂ€ren.

Bisher sei der polizeiliche Zugriff aber die Ausnahme gewesen: In Bayern zehnmal, in Hamburg fĂŒnfmal, in Rheinland-Pfalz ca. ein Dutzend Mal. Bremen hĂ€lt sich bedeckt und spricht von EinzelfĂ€llen. Sachsen, Sachsen-Anhalt, Niedersachsen und ThĂŒringen melden (noch) keine Zugriffe. Die Dunkelziffer ist sicher höher: Wie oft die Listen polizeilich herangezogen wurden, dĂŒrfte nirgends zentral erfasst sein. Angesichts des Aufschreis sind die Verantwortlichen in Politik und Behörden auch wohl kaum scharf darauf, die Fakten auf den Tisch zu legen.

Stattdessen wiegeln die Innenministerien ab: Die Polizei blicke nur in die GĂ€stelisten, wenn es um Gewalt- und Sexualdelikte gehe, nicht bei Bagatellen. Vorgekommen sei dies bisher unter anderem bei einem Verkehrsunfall, einem RaubĂŒberfall, einem vermissten Wanderer und versuchten Tötungsdelikten. DatenschĂŒtzer und der ein oder andere Politiker Ă€ußern Bedenken – zum Teil halte man das Vorgehen fĂŒr unzulĂ€ssig, auf jeden Fall aber sei es intransparent.

Was Gastronomen beachten mĂŒssen

FĂŒr die Gastwirte und Lokalinhaber dĂŒrfte es eine große Erleichterung gewesen sein, endlich wieder öffnen zu können, trotz Schutzmasken, MindestabstĂ€nden und GĂ€stelisten. Dennoch herrschte zu Beginn dezent Chaos: Die Vorschriften in den BundeslĂ€ndern divergieren, die betroffenen Unternehmen standen vor (Datenschutz-)RĂ€tseln. Was Gastronomen bei der FĂŒhrung der GĂ€stelisten zu beachten haben, wurde bereits vielfach diskutiert. Die Weitergabe der GĂ€stelisten-Daten an die Polizei war aber bisher kein Thema.

Doch das Verbrechen schlĂ€ft nie: Deswegen zeigten sich die Strafverfolgungsbehörden erfinderisch. Dass die Polizei Anfragen stellt, um an fĂŒr sie nĂŒtzliche Informationen zu gelangen, ist nicht neu – auch mĂŒssen Unternehmen stets prĂŒfen, ob eine Datenweitergabe erfolgen darf. FĂŒr Gastronomen heißt das:

  • Lassen Sie sich schriftlich bestĂ€tigen, auf welche Befugnisnorm die Polizei ihr Verlangen nach Herausgabe bzw. Einsichtnahme der Listen stĂŒtzt.
  • Am besten behalten Sie die vorgelegte Beschlagnahmeanordnung als Nachweis.
  • Bitten Sie um Informationen zum Zweck und der Erforderlichkeit der Datenverarbeitung.

Kommt die Aufsichtsbehörde auf sie zu, reicht es nÀmlich nicht, einfach nur auf die Polizei zu verweisen. Sie selbst sind in der Pflicht!

Ziel dieses Beitrags ist es allerdings nicht, die Gastronomen in den Fokus zu setzen – vielmehr gilt es schon viel frĂŒher nachzuhaken: Ist es ĂŒberhaupt zulĂ€ssig, dass die Polizei Einsicht in die Corona-GĂ€stelisten nimmt?

Heiligt der Zweck die Mittel?

Der Strafverfolgung sind (auch datenschutzrechtliche) Grenzen gesetzt – die Polizei darf eben nicht alles. Sie ahnen es: Die Politik spielt auch in dieser Diskussion Datenschutz gegen Opferschutz aus, weiß sie doch genau, dieses Argument zieht bei den meisten. Doch wer genauer hinguckt, stĂ¶ĂŸt auf Ungereimtheiten.

Ist das polizeiliche Handeln zulÀssig?

Wie stets in der Juristerei: Das kommt darauf an. Greift eine strafprozessrechtliche Befugnisnorm, ist die ZulÀssigkeit der GÀstelisteneinsicht denkbar, sofern die Voraussetzungen eingehalten werden.

Möglicherweise ließe sich das Vorgehen auf § 94 Abs. 1 oder 2 StPO stĂŒtzen:

„(1) GegenstĂ€nde, die als Beweismittel fĂŒr die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.

(2) Befinden sich die GegenstĂ€nde in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.“

Im Fall der Beschlagnahme gilt jedoch gemĂ€ĂŸ § 98 Abs. 1 StPO ein Richtervorbehalt. Bei Gefahr in Verzug entscheidet der Staatsanwalt. Dennoch herrscht Uneinigkeit bei Polizei und DatenschĂŒtzern – die Gastronomen dĂŒrften sich allein gelassen fĂŒhlen.

Der Bundesvorsitzende der Deutschen Polizeigewerkschaft, Rainer Wendt, betont die Wichtigkeit einer strengen PrĂŒfung der VerhĂ€ltnismĂ€ĂŸigkeit. Die polizeiliche Einsicht in die Corona-GĂ€stelisten sei möglich:

„Wenn der Verdacht einer Straftat vorliegt und andere ErmittlungsansĂ€tze nicht erkennbar sind, muss es die Möglichkeit geben, in solche GĂ€stelisten einzusehen und die Daten auszuwerten, das sehen die jeweiligen Gesetze auch so vor.“

Baden-WĂŒrttembergs Innenminister Thomas Strobl (CDU) widerspricht aus Sicht der baden-wĂŒrttembergischen Corona-Verordnung, aus welcher sich eine eindeutige Zweckbindung ergebe:

„Eine Verwendung etwa von der Polizei, um Straftaten zu verfolgen, ist unzulĂ€ssig.“

Der Bayerische Beauftragte fĂŒr den Datenschutz, Thomas Petri, hĂ€lt das Vorgehen der Polizisten im Rahmen einer Beschlagnahme fĂŒr zulĂ€ssig, er verweist jedoch darauf:

„Die Freiheitsrechte der betroffenen GĂ€ste und die Strafverfolgung mĂŒssen abgewogen und in eine rechtssichere Balance gebracht werden.“

Intransparenz und Tabus

Wo liegt nun eigentlich das Problem? Ob die Polizei im Einzelfall rechtmĂ€ĂŸig gehandelt hat oder nicht, lĂ€sst sich – gerade in den Dunkelziffer-FĂ€llen – schwer pauschal beantworten, aber das Signal ist fatal. Nach außen wurde stets betont, die Daten dienten der Corona-BekĂ€mpfung. Wenn nun im Verborgenen Daten an die Polizei fließen, ist das Ă€ußerst intransparent gegenĂŒber den Betroffenen.

Thomas Geppert, der Bayerische LandesgeschĂ€ftsfĂŒhrer des Hotel- und GaststĂ€ttenverbands Dehoga ist ĂŒberrascht:

„Das verwundert uns schon sehr. Das war so nicht gedacht und von der Politik anders kommuniziert.“

So sieht das auch GrĂŒnen-Fraktionschefin Katharina Schulze:

„Die Verordnung sagt: die Daten dĂŒrfen nur an die Gesundheitsbehörden weitergegeben werden. Und das Strafgesetz sagt: Bei einem besonders schweren Fall darf auch die Polizei auf diese Daten zugreifen. Transparenz und Klarheit können nur durch ein bundesweites Begleitgesetz erreicht werden.“

Martin Hagen, der Vorsitzende der FDP-Fraktion des Bayerischen Landtags, geht noch weiter:

„Ein Zugriff durch die Polizei muss ausgeschlossen werden. Das Beteuern (
), die Daten nur bei besonders schwerwiegenden Delikten zu nutzen, reicht nicht aus. GĂ€stedaten mĂŒssen tabu sein. Das muss gesetzlich klargestellt werden.“

Völlig absurd?

Der Bayerische Innenminister Joachim Herrmann reagiert harsch:

„Die Polizei geht in einem Wirtshaus einem Mordversuch nach und sucht Zeugen. Nach Auffassung von FDP und GrĂŒnen sollte sie den TĂ€ter lieber laufen lassen, anstatt die GĂ€stedaten beizuziehen, um den TĂ€ter zu ermitteln oder GĂ€ste ausfindig zu machen, die etwas gesehen haben könnten. Einen vermissten Wanderer wĂŒrden Herr Hagen und Frau Schulze wohl auch lieber seinem Schicksal ĂŒberlassen. Das ist doch völlig absurd.“

Darum geht es nicht. Betroffene sind ĂŒber Zugriffe auf ihre personenbezogenen Daten im Vorhinein richtig zu informieren, nicht hinterrĂŒcks mit vollendeten Tatsachen zu ĂŒberraschen.

Joachim Herrmann fasst seine Sicht der Dinge so zusammen:

„Man kann doch nicht unter dem DeckmĂ€ntelchen eines falsch verstandenen Datenschutzes die HĂ€nde in den Schoß legen.“

Schön, dass der Politiker den Datenschutz verstanden hat: Er kommt nur zum Tragen, wenn er in den Kram passt.

Corona-kontraproduktiv

Der Zugriff der Ermittlungsbehörden auf Corona-bedingt gefĂŒhrte GĂ€stelisten ist ein Eigentor: Potentielle Zeugen tragen kĂŒnftig vermehrt Falschangaben ein, um nicht selbst in den Fokus der Polizei zu gelangen. StraftĂ€ter ĂŒberlegen es sich bald zweimal, ob sie in der NĂ€he des Tatorts ihre Kontaktdaten hinterlegen.

Die Corona-GĂ€stelisten und die damit bezweckte VirenbekĂ€mpfung leben vom Vertrauen – wer den Gastronomen sowie Politikern nicht traut, trĂ€gt nur noch Fantasienamen ein. Polizeibehörden sollten behutsam handeln, meint der stellvertretende Vorsitzende der FDP-Fraktion im Bundestag, Stephan Thomae, denn

„Was unsere BĂŒrgerinnen und BĂŒrger zurecht erwarten, ist, dass ihre Daten nicht einfach zweckentfremdet werden. Alles andere schadet dem Vertrauen und der Akzeptanz, die aber Grundvoraussetzungen sind.“

ThĂŒringens MinisterprĂ€sident Bodo Ramelow (Linke) trifft klare Worte:

„Diese Datenerhebung zum Besuch in einem Lokal, einer GaststĂ€tte, einer Veranstaltung sind nur fĂŒr eine Nachverfolgung bei Corona Infektionen angeordnet worden. Alles andere ist Missbrauch und kontraproduktiv. Die BĂŒrger mĂŒssen sich auf Anordnungen verlassen können!“

GegenĂŒber Behörden sind seit jeher gesunde Zweifel angebracht – diese werden nun infolge intransparentem Auftreten nur noch verstĂ€rkt. So ist es auch kaum verwunderlich, dass laut GĂ€steliste ein Donald Duck seine Ente mit Blaukraut und Knödel genießt.

Der Hotel- und GaststĂ€ttenverband Dehoga befĂŒrchtet sogar, GĂ€ste könnten ausbleiben, weil sie sich wegen des polizeilichen Vorgehens nicht mehr in Listen eintragen wĂŒrden wollen. Das mag der Corona-BekĂ€mpfung dienlich sein, fĂŒr das Sozialleben und die Gastronomiebetriebe ist das aber nicht gerade förderlich.

Mickey Maus, Flirts und Missbrauchspotential

Datenmissbrauch gibt es zuhauf – immer und ĂŒberall. Auch wenn die Polizei hier möglicherweise rechtmĂ€ĂŸig gehandelt hat, Ă€ndert dies nichts am Empfinden der BĂŒrgerinnen und BĂŒrger, die sich in solche Listen eintragen mĂŒssen: Solange sie nicht einschĂ€tzen können, was mit ihren Kontaktdaten passiert, nennen sie sich eben Mickey Maus. Bereits in der Vergangenheit haben Flirtversuche infolge der Eintragung in Corona-Listen fĂŒr Aufregung gesorgt, nun wirft polizeiliches Handeln Fragen auf. Vielleicht tĂ€te die Politik gut daran, sich ausnahmsweise einmal in die Sorgen und Nöte der Betroffenen hineinzuversetzen.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Corona-GĂ€stelisten im Fokus der Polizei.

Informationelle Selbstbestimmung – was ist das eigentlich?

Informationelle Selbstbestimmung – was ist das eigentlich?

– Reposting – Hier geht's zum Original: Informationelle Selbstbestimmung – was ist das eigentlich?

Wer sich mit Datenschutz beschĂ€ftigt, stolpert frĂŒher oder spĂ€ter ĂŒber den Begriff der informationellen Selbstbestimmung. Aber was ist unter dem Begriff eigentlich zu verstehen und warum wird er auch gern als Schutzgut der DSGVO bezeichnet?

Wie ist das Recht auf informationelle Selbstbestimmung entstanden?

Das Recht auf informationelle Selbstbestimmung ist keine Modeerscheinung, die durch den Einsatz neuer Medien entstanden ist, sondern bereits im Jahr 1983. Damals hat das Bundesverfassungsgericht (BVerfG) im sog. „VolkszĂ€hlungsurteil“ dieses Recht aus Art. 2 Abs. 1 i. V. m. Art 1 Abs. 1 GG abgeleitet – geschĂŒtzt ist das Recht des Einzelnen, grundsĂ€tzlich selbst ĂŒber die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen als Teil der freien Entfaltung der Persönlichkeit und MenschenwĂŒrde. Dennoch stand diese Entwicklung im Zusammenhang mit der voranschreitenden elektronischen Datenverarbeitung.

Was wird heute darunter gefasst?

Mittlerweile wird das Recht auf informationelle Selbstbestimmung auch als Datenschutzgrundrecht bezeichnet. Generell ist der Schutzbereich weit zu verstehen. Erfasst werden sowohl Erhebung, Speicherung, Verwendung als auch Weitergabe persönlicher Daten. Das BVerfG machte darĂŒber hinaus auch deutlich, dass ein scheinbar belangloses Datum durch z. Bsp. Verarbeitungs- und VerknĂŒpfungsmöglichkeiten der Informationstechnologien einen erheblichen Wert haben kann.

Das Recht auf informationelle Selbstbestimmung ist nach Meinung des EuropÀischen Parlaments zudem in Art. 8 Abs. 1 der EuropÀischen Menschenrechtskonvention verankert. Dieses garantiert das Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Korrespondenz einer jeden Person.

Welche Grenzen hat die informationelle Selbstbestimmung?

GrundsĂ€tzlich sind alle Grundrechte (mit Ausnahme der MenschenwĂŒrde) einschrĂ€nkbar. Die Grenzen der informationellen Selbstbestimmung wurden durch das BVerfG wie folgt umrissen:

„EinschrĂ€nkungen dieses Rechts auf ‚informationelle Selbstbestimmung‘ sind nur im ĂŒberwiegenden Allgemeininteresse zulĂ€ssig. Sie bedĂŒrfen einer verfassungsgemĂ€ĂŸen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der VerhĂ€ltnismĂ€ĂŸigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.“

EinschrĂ€nkungen des Grundrechts bedĂŒrften folglich einer gesetzlichen Grundlage. Diese EinschrĂ€nkungen sind laut BVerfG nur statthaft, wenn sie im ĂŒberwiegenden Allgemeininteressen erfolgen und dem Gebot der Normenklarheit entsprechen.

Der Gesetzgeber muss zudem zwischen dem Geheimhaltungsinteresse des Betroffenen und dem öffentlichen Informationsinteresse der verarbeitenden Stellen nach den GrundsĂ€tzen der VerhĂ€ltnismĂ€ĂŸigkeit abwĂ€gen.

Im Datenschutz spielt hierbei zudem eine wichtige Rolle, welche Art von Daten verarbeitet werden. Es wird differenziert zwischen Maßnahmen, die ohne oder gegen den Willen des Betroffenen vorgenommen werden, und solchen, die freiwillig erfolgen. FĂŒr erstere muss die gesetzliche ErmĂ€chtigung auch „bereichsspezifisch, prĂ€zise und amtshilfefest“ sein.

Zudem muss man unterscheiden zwischen anonymisierten Daten, die keinen RĂŒckschluss auf den Betroffenen zulassen (z.B. fĂŒr statistische Erhebungen, die zu einem Ausschluss der Anwendbarkeit der DSGVO fĂŒhren), und zwischen Daten, die personalisierbar sind. Bei anonymisierten Daten ist die Zweckbindung gelockert, fĂŒr Daten, die personalisierbar sind, gilt eine strenge Zweckbindung. Der Gesetzgeber muss Vorkehrungen treffen, um Datenmissbrauch zu verhindern (Verfahrensvorschriften, Datenschutzbeauftragte, 
).

Zukunftsaufgabe: informationelle Selbstbestimmung

Das VolkszÀhlungsurteil ist der mit Abstand der wichtigste Beitrag der Rechtsprechung, um das Datenschutzrecht fortzuentwickeln, so der Bundesdatenschutzbeauftragte.

Als „Recht auf informationelle Selbstbestimmung“ bekommt der Schutz personenbezogener Daten die QualitĂ€t eines Grundrechts. Die DSGVO schafft in diesem Zusammenhang einen Rechtsrahmen, um einen Ausgleich zwischen den datenverarbeitenden Verantwortlichen und den individuellen Rechten jedes Einzelnen zu erzielen. Um dem Gebot der Datensparsamkeit und Transparenz nachzukommen, benötigt es innovativer Modelle, damit in einer zunehmend vernetzten Welt die Grundrechte weiterhin geschĂŒtzt bleiben können. Denn auch wenn der Datenschutz fĂŒr den ein oder anderen als „unbequem“ daherkommt, bleibt das Recht auf informationelle Selbstbestimmung eine demokratische Errungenschaft, die es sich lohnt zu verteidigen.


GefÀllt Ihnen der Beitrag?
Dann unterstĂŒtzen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: Informationelle Selbstbestimmung – was ist das eigentlich?.

IBM-Studie: Durchschnittskosten pro Datenpanne leicht gesunken

IBM-Studie: Durchschnittskosten pro Datenpanne leicht gesunken

– Reposting – Hier geht's zum Original: IBM-Studie: Durchschnittskosten pro Datenpanne leicht gesunken

Je schneller ein Datenleck entdeckt und behoben wird, desto geringer ist der finanzielle Schaden beim Verursacher. Der Unterschied kann in die Millionen gehen.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprĂŒnglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natĂŒrlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht's zum Original: IBM-Studie: Durchschnittskosten pro Datenpanne leicht gesunken.

(Beitragsbild: WolfBlur ĂŒber Pixabay)

Wir haben auch den sehr interessanten SFC-Newsletter...

SFC hilft Ihnen wenn Sie mögen!

DSGVO & Datenschutz sind super! Wenn man weiß, was zu tun ist… Wir melden uns gerne bei Ihnen!

Sie registrieren sich fĂŒr unseren Newsletter. NatĂŒrlich wird Ihre Registrierung durch einen Double-Opt-In abgesichert.