Freitag, 27. Juli 2012

Datenverlust! - und jetzt?


Wie muss sich ein deutsches Unternehmen bei einem Verlust sensibler Daten verhalten?
Regelung in § 42a BDSG
Seit der letzten Änderung des Bundesdatenschutzgesetzes (BDSG) findet sich eine konkrete Regelung für den Verlust besonders sensibler Daten in § 42a BDSG. Diese Vorschrift zur sogenannten Security-Breach-Notification betrifft unter anderem besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG, z.B. Gesundheitsdaten) und Bank- oder Kreditkartendaten. Gehen diese Daten verloren und drohen schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen, so sind die Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren.
Unverzügliche Information der Aufsichtsbehörde und der Betroffenen
Unverzüglich bedeutet in diesem Zusammenhang, dass die Aufsichtsbehörde zu informieren ist, sobald der Vorfall der datenverarbeitenden Stelle bekannt wird. Inhaltlich muss die Information “eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten”. So sollen die Schäden für die Betroffenen möglichst gering gehalten werden.
Halbseitige Anzeige in zwei Tageszeitungen
Bei der Information der Betroffenen muss beurteilt werden, ob die Benachrichtigung einen unverhältnismäßigen Aufwand darstellt. Dies kann sich z.B. aus der großen Anzahl der Betroffenen ergeben oder aus der Tatsache, dass nicht alle Anschriften der Betroffenen bekannt sind. In diesen Fällen erfolgt die Information durch eine halbseitige Anzeige in zwei deutschlandweit erscheinenden Tageszeitungen.
Image-Schaden mit enormen Ausmaßen
Auch wenn bislang noch keine Anzeigen geschaltet werden mussten, ist bei einem Datenverlust das Risiko für das Unternehmensimage enorm. Da der Datenschutz in den letzten Jahren immer mehr ins Blickfeld der Öffentlichkeit gerät, wird das Vermeiden eines Datenlecks für die Außenwirkung eines Unternehmens geradezu überlebenswichtig.

Stefan Fischerkeller

Mittwoch, 25. Juli 2012

Und Ihre Frage zu XING ist?

Es gab hier ja schon eine ganze Reihe Tipps zu XING, -- aber spannender ist, was Sie für Fragen zu XING haben.
Ich stelle nämlich immer wieder fest, das menschen heer durch Unsicherheit gebremst werden.
Und auch Web-Experten stellen immer mal wieder fest, das ein Problem in oder mit XING ganz simpel lösbar ist.

Also, was würden Sie gern bei XING tun, wo sind sie unsicher?

Frage einfach hier in die Kommentare ;)

***

Informationen und Termine für XING-Seminare
Wöchentlich gratis XING-Tipps per E-Mail

Montag, 16. Juli 2012

XING-Einladung ganz einfach per Link

Eine der elegantesten Arten jemand zu XING oder in sein eigenes Kontaktnetzwerk einzuladen ist via Einladungslink. Sie finden die Links unter
Mein Netzwerk
- Zu XING einladen
- 4) Ihr persönlicher Einladungslink

Diese Links gibt es in verschiedenen Varianten
a) Einladung zu XING bei gleichzeitiger Kontaktbestätigung
b) Einladung zu XING ohne Kontaktbestätigung
c) Einladungen zu Gruppen mit gleichzeitiger Gruppenaufnahme bzw. Antragstellung zur Gruppenaufnahme (bei geschlossenen Gruppen)

c) finden Sie allerdings nur für Gruppen, in denen Sie Moderator sind.

a) würde man jemand per Mail direkt zusenden der in einer kleinen areitsgruppe verteilen
b) ist das ideale Link zur Aufnahme in den E-Mail-Footer
c) wäre ideal, um es an ehemalige Studienkollegen oder Arbeitskollegen zu verteilen, um sie in eine Alumnigruppe einzuladen.

Hat man solche Links regelmäßig im Einsatz, so kann das Netzwerk ganz natürlich und von selbst wachsen.
 ***
Informationen und Termine für XING-Seminare
Wöchentlich gratis XING-Tipps per E-Mail
***
carpe.com communicate!
Oliver Gassner
Kehlhofgartenstraße 6a
D78256 Steißlingen

Freitag, 13. Juli 2012

"Social Web für KMU: aber sicher!” - Kommunikationserfolg & Sicherheit (20.9. in Konstanz)

Donnerstag, 20.09.2012, 19:00-22:00 h, mit Pausen und Networking-Ausklang

In zwei Fachvorträgen führen der Datenschützer Stefan Fischerkeller (GEFAS
Datenschutz) und der Kommunikationsberater Oliver Gassner (Carpe.com) in
verschiedene Aspekte der Kommunikation an der Front der Social Media
Innovationen ein.

Eintritt: 49 €, Ticket via http://bit.ly/sowe-kmu12 (Abendkasse 50 €)
Ort: bizzcenter24, Lohnerhofstraße 2, 78467 Konstanz-Stromeyersdorf

Die Fachreferenten beantworten uA folgende Fragen:

Welche Kanäle sollte ich in den Blick nehmen, wenn ich im "neuen Internet", dem
Social Web, Firmenkommunikation machen will? Welche Rolle spielen
Netzwerke und Content? Muss Facebook sein? Was ist ein Weblog und warum
spielt es eine zentrale Rolle? Was ist mit XING und Twitter und wozu ist
Google+ eigentlich gut?

Beim Einsatz sozialer Medien sind datenschutzrechtliche Vorgaben zu
beachten. Welche muss ich als Unternehmen einhalten? Wo könnten
Schwierigkeiten auftreten (Mitarbeiter, Wettbewerbsrecht etc.)? Wie binde ich
Social-Media-Erweiterungen (Plugins) rechtskonform in meine Webseite ein?

Eine Veranstaltung in Kooperation mit
http://business-pool-bodensee.de und http://bizzcenter24.de

Dienstag, 10. Juli 2012

Grundprinzipien des Datenschutzes

Dieser kleine Artikel informiert Sie kurz über die wesentlichen Prinzipien im Bereich Datenschutz. Aus diesen Grundsätzen leiten sich Gesetz, Rechtsprechung und betriebliches Handeln ab.
  1. Verbot mit Erlaubnisvorbehalt Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist verboten. Das ist der Grundsatz des Bundesdatenschutzgesetzes.
Eine Ausnahme besteht nur dann, wenn es eine ausdrückliche gesetzliche Regelung dafür gibt oder Sie freiwillig in die Verarbeitung Ihrer Daten eingewilligt haben.
  2. DirekterhebungEine Datenerhebung, also das Beschaffen von Daten, ist nur beim Betroffenen unmittelbar selbst zulässig. Das bedeutet, dass das Beschaffen von Daten nur unter Mitwirkung des Betroffenen erlaubt sein soll.
Auch hiervon gibt es Ausnahmen, wie etwa dass eine Rechtsvorschrift die Erhebung vorschreibt oder die Erhebung beim Betroffenen selbst einen unverhältnismäßig großen Aufwand bedeuten würde.
  3. DatensparsamkeitDaten sollen nicht für unbegrenzte Zeit aufbewahrt werden, sondern es soll mit ihnen sparsam umgegangen werden. Das bedeutet, dass sie zu löschen sind, wenn sie nicht mehr gebraucht werden.
 Dabei gibt es natürlich für unterschiedliche Datenkategorien unterschiedlich lange Aufbewahrungsfristen.
Im Grundsatz heißt es daher: So kurz wie möglich, so lange wie nötig.
  4. DatenvermeidbarkeitDie Verarbeitung personenbezogener Daten ist stets an dem Ziel auszurichten, so wenige Daten wie möglich zu verarbeiten. Es dürfen also nicht erst einmal sämtliche Daten, die zu erlangen sind, wahllos gesammelt werden, nur um sie erst einmal zu haben. Frei nach dem Motto: Haben ist besser als kriegen.
  5. TransparenzDas Prinzip „Transparenz“ beschreibt die Anforderung, dass jeder Betroffene wissen soll, dass Daten über ihn erhoben werden. Er soll wissen, welche Daten zu welchem Zweck bei welcher Stelle für wie lange und aus welchem Grund gespeichert werden.
    Eine heimliche Datenerhebung ist grundsätzlich unzulässig und nur unter sehr strengen Voraussetzungen möglich.
  6. ZweckbindungJeder Datenverarbeitung muss ein bestimmter Zweck zugrunde liegen. Dieser muss auch schon vor der Verarbeitung festgelegt und am besten dokumentiert worden sein. Nur zu diesem zuvor ursprpnglich festgelegten, nicht jedoch zu einem anderen Zweck darf eine Verarbeitung und Nutzung erfolgen.
Eine Ausnahme bildet wieder die vorher erteilte freiwillige Einwilligung des Betroffenen.
  7. ErforderlichkeitDie Datenverarbeitung muss zudem erforderlich sein. Dabei wird der Begriff „erforderlich“ im BDSG an mehreren Stellen verwendet und kann dabei auch unterschiedliche Bedeutungen haben. Gerade im Rahmen von § 32 BDSG ist er stark umstritten. Grundsätzlich ist etwas nur dann erforderlich, wenn es zur Zweckerreichung das mildeste Mittel ist. Das heißt dass kein anderes Mittel zur Verfügung stehen darf, das zur Erreichung des Zwecks genauso gut geeignet wäre, ohne jedoch zu sehr in die Rechte des Betroffenen einzugreifen.
Ein externer Datenschutzbeauftragter kann Sie bei der rechtskonformen Umsetzung dieser Prinzipien maßgeblich unterstützen.

Stefan Fischerkeller
GEFAS Datenschutz

Donnerstag, 5. Juli 2012

Merke: Wer braucht einen Datenschutzbeauftragten?

Gemäß § 4f BDSG muss jedes rechtlich eigenständige Unternehmen, das personenbezogene Daten automatisiert verarbeitet und damit mehr als neun Arbeitnehmer beschäftigt, innerhalb eines Monats nach Aufnahme derartiger Verfahren einen betrieblichen Datenschutzbeauftragten bestellen.
Konkret benötigen Sie einen betrieblichen Datenschutzbeauftragten,
  • wenn personenbezogene Daten automatisiert erhoben, verarbeitet oder genutzt werden und damit in der Regel mehr als neun Arbeitnehmer beschäftigt sind. Das gilt gleichermaßen für Voll- oder Teilzeitbeschäftigte (auch Heimarbeiter), Auszubildende oder Leihpersonal
  • wenn personenbezogene Daten auf andere Weise verarbeitet werden und damit in der Regel mindestens 20 Arbeitnehmer beschäftigt sind.
  • wenn automatisierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle gemäß § 4d BDSG unterliegen: Dabei handelt es sich um die Verarbeitung besonderer personenbezogener Daten, wie z.B. Angaben über die ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugungen, Gesundheit oder Sexualleben. Auch der Einsatz von Videoüberwachung im öffentlichen Bereich bedarf einer Vorabkontrolle eines Datenschutzbeauftragten. Die Anzahl der Arbeitnehmer ist hier unerheblich.
  • wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeitet oder genutzt werden.
Niederlassungen benötigen keinen gesonderten betrieblichen Datenschutzbeauftragten, dort wäre es unter Umständen sinnvoll, einen “Datenschutz-Koordinator” zu benennen, der den betrieblichen Datenschutzbeauftragten in seiner Arbeit unterstützt.

Hinweis:
Eine automatisierte Verarbeitung liegt immer dann vor, wenn beim Umgang mit den personenbezogenen Daten Datenverarbeitungsanlagen zum Einsatz kommen.

Hinweis:
Eine Verarbeitung der Daten auf “andere Weise” liegt dann vor, wenn diese Daten aus nicht automatisiert erstellten Quellen (elektronische Dateien) stammen, bzw. nicht dahin übertragen werden. Akten sind aufgrund ihrer Struktur und des häufig unterschiedlichen Aufbaus nicht geeignet, um darüber leicht auf personenbezogene Daten zuzugreifen. Daher bleibt die Aktenhaltung vom BDSG weitgehend unberührt.

Stefan Fischerkeller
GEFAS Datenschutz / Office Bodensee

Bloggen bei "XING-Themen"

Neu im XING-Beta-Labor ist die Funktion 'Themen'. Grob gesagt wird XING damit zur persönlichen Publikationsplattform - oder, wenn man so will - zur Weblog-Plattform.

In 'Themen' können Sie businessrelevante und nützliche Texte publizieren - mit Fotos und mit Überschrift und Stichworten versehen. Stichworte können von Interessenten 'abonniert' werden. XING stellt dann aus allen 'Abos' einen gemischten Newsdienst bereit.

Die Artikel erscheinen aber nicht nur unter 'Themen' sondern auch in Ihrem XING-Profil.

Da alle Artikel auch von Google erfasst werde können, bietet sich hier ein riesiges Aufmerksamkeitspotential, das Sie nutzen sollten.

***
 ***
<a href=http://www.xing-seminare.de/de/index.php?af=ms4df>Informationen und Termine für XING-Seminare</a>
<a href=http://bit.ly/business-networking>Wöchentlich gratis XING-Tipps per E-Mail</a>

Montag, 2. Juli 2012

Was bedeutet Datenschutz in der compliance?


Compliance bedeutet Handeln im Einklang mit den geltenden Gesetzen sowie den unternehmensinternen Regeln und Grundsätzen. Die Vermeidung von Verstößen ist ein wichtiger Faktor des unternehmerischen Risikomanagements. Dies gilt insbesondere auch für den Datenschutz, den Daten und Informationen sind ein wichtiger Produktionsfaktor und der Schutz der Daten vor Missbrauch und Verlust ist mitentscheidend für die wirtschaftliche Position eines Unternehmens.  

Mangelhafte Datensicherheit oder fehlende compliance stellen enorme Risiken dar, da Verstöße von der Justiz geahndet werden und neben dem wirtschaftlichen Schaden in vielen Fällen auch einen eheblichen Imageschaden bedeuten. Gerade bei steigenden Anforderungen im nationalen und internationalen rechtlichen Bereich, wird es zunehmend schwierig dem Datenschutz und der compliance im Gesamten gerecht zu werden.

Die Gefahrenlage steigt!

Das steigende Maß der Wirtschaftskriminalität bedroht zunehmend die Unternehmen. Von direkten Schädigungen des Vermögens bis hin zu Manipulationen und Diebstahl zeigen die Erhebungen eine zunehmende Gefahr. Das Risiko zum Opfer solche Angriffe zu werden steigt mit Größe des Unternehmens und der Komplexität  von Organisationen und Systemen.
Die zunehmende Wichtigkeit der Einhaltung rechtlicher Rahmenbedingungen zur Existenzsicherung eines Unternehmens ist für Kunden, Geschäftspartner aber natürlich auch Mitarbeiter ein wachsender Aspekt.

Lösungen für Datenschutz und compliance

Es gibt diverse Ansatzpunkte um das Sicherheitsniveau im Unternehmen nachhaltig zu steigern. Dazu gehören u.a. Regeln und Grundsätze, die einen rechtlich korrekten Umgang der Belegschaft insbesondere mit Daten unterstützen sollen. Dazu sollte in jedem Unternehmen, gleich welcher Größe das Thema Datenschutz und compliance in der Geschäftsleitung beachtet und gelebt werden. Nur auf diese Weise erreichen Unternehmen dauerhaft und effektiv eine Steigerung des Datenschutzniveaus und der compliance im Unternehmen. 

Stefan Fischerkeller
Office Bodensee