19.11.2019

Eineinhalb Jahre DSGVO – Wie bewerten Unternehmen die Situation?

 

Wie eine Umfrage des Softwareunternehmens Check Point ergab, hat die Umsetzung der DSGVO in den Unternehmen hohe Investitionen erfordert. Dennoch zeigen sich die befragten Firmen mit den Auswirkungen zufrieden.

 

Der Softwarehersteller Check Point befragte rund eintausend Unternehmen zur Umsetzung der DSGVO. (Bild: rdassenlayouts / iStock / Getty Images Plus) Check Point hat für seine Analyse rund 1.000 CTOs, CIOs, IT- und Security-Manager aus Deutschland, Frankreich, Großbritannien, Italien und Spanien befragt.

 

Dabei schätzt die Mehrheit der Unternehmen, dass sie mit der vollständigen Umsetzung bereits weit fortgeschritten sind. 62 Prozent der Befragten vertraten die Ansicht, dass ihr Unternehmen alle notwendigen Maßnahmen abgeschlossen habe.

Auf einer Skala zwischen 0 (Gar nicht umgesetzt) bis 10 (Vollständig umgesetzt) sehen sich die Unternehmen aus Deutschland mit einem Wert von 8,14 als besonders weit.

Hohe Investitionen waren notwendig

Für die Umsetzung der DSGVO haben die Unternehmen teilweise tief in die Tasche gegriffen. Bei 54 der Prozent der Unternehmen aus Deutschland lagen die Investitionen zwischen 49.000 und 494.000 Euro.

 

Die Firmen sehen hier aber einen positiven Gegenwert. Zwei Drittel der befragten Manager gaben an, dass sich die Verordnung positiv auf das Kundenvertrauen ausgewirkt habe. Außerdem seien durch die ergriffenen Maßnahmen die Daten innerhalb ihres Unternehmens nun sicherer.

Als positiv wird ebenfalls der verbesserte Überblick über die vom Unternehmen verarbeiteten Informationen gesehen. Zudem gelten die gespeicherten Daten nun zunehmend als strategischer Unternehmenswert.

Verschlüsselung und Zugriffskontrolle führen Maßnahmen an

Für die Umsetzung hatten fast zwei Drittel der Unternehmen eine eigene interne Arbeitsgruppe eingerichtet. Ein Drittel holte sich Unterstützung durch externe Berater.

 

Einige Unternehmen stellen die Nutzung der Cloud aufgrund der Verordnung in Frage. Fast 8 Prozent der Firmen haben sich deshalb sogar entschieden, völlig auf den Einsatz von Cloud-Lösungen zu verzichten.

Neben Standardsicherheitsmaßnahmen wurden in erster Linie Systeme zum Schutz vor unerwünschten Datenabflüssen (Data Loss Prevention) eingeführt (42 Prozent). Fast genauso häufig wurden Kontrollsysteme für Datenzugriffe und die Verschlüsselung von Informationen angeschafft und in Betrieb genommen. Die überwiegende Mehrheit der Firmen (63 Prozent) hat die DSGVO nicht durch Einzelmaßnahmen umgesetzt, sondern einen strategischen Ansatz verfolgt.

Stimmungswandel zur DSGVO

Das eine oder andere Unternehmen ist zwar offenbar noch nicht am Ende der Umsetzung aller Maßnahmen angekommen. Aber angesichts der vielen kritischen Stimmen im Vorfeld der Einführung der DSGVO sehen die Unternehmen die Umsetzung der Vorschriften inzwischen doch als Wettbewerbsvorteil.Brauchen Sie ncoh Praxistipps Umsetzung der DSGVO? Wir haben für Sie praktische Tipps.

18.11.2019

 

DSGVO: Was Sie jetzt noch umsetzen sollten…

Seit dem 25.05.218 sind die neuen Datenschutzregeln verbindlich, und zwar nicht nur die DSGVO, sondern auch das neue Bundesdatenschutzgesetz. Das ist nun schon einige Tage her…

Wenn Sie bisher noch relativ entspannt abgewartet haben oder die Unternehmensleitung vielleicht die Bedeutung dieser Wände im Datenschutz noch nicht erkannt hat, dann wird es jetzt höchste Zeit loszulegen und sich ins Zeug zulegen.

Wir klären die drängendsten Fragen!

Die DSGVO und das neue Bundesdatenschutzgesetz haben viele Änderungen mit sich gebracht, aber so manches bleibt auch beim Alten. Die ersten Monate sind rum und die ersten Gerichte fällen Urteile über Bußgelder von DGSVO Verstößen.
Hier trifft es nicht nur die großen Unternehmen. Auch kleinere Unternehmen werden von den Aufsichtsbehörden geprüft…

Manche wichtige Frage lässt sich gleich beantworten. Etwa die nach der Haftung und den zukünftigen Aufgaben des Datenschutzbeauftragten. Auch zum schwierigen Thema Auftragsverarbeitung können wir Ihnen einige Tipps an die Hand geben.

Für Aufregung sorgt das Thema Rekord-Bußgelder, die die DSGVO vorsieht. Und wir sehen, dass diese Extrem-Bußgelder gar nicht so unwahrscheinlich sind. Kann es Sie auch treffen?

Bei diesen und vielen weiteren Fragen unterstützt wir Sie.

03.09.2019

Millionen biometrischer Kennzeichen im Netz aufgetaucht

 

Viele Menschen nutzen die an sich praktische Funktion, ihr Smartphone per Fingerabdruck oder Gesichtserkennung zu entsperren. Solche biometrischen Systeme setzen auch Unternehmen immer häufiger zur Zutrittskontrolle ein. Wie ein aktueller Fall zeigt, ist das nicht ohne Risiko.

 

Gerade wenn es darum geht, biometrische Merkmale zu speichern, sollten besondere Sicherheitsvorkehrungen gelten. Denn bei einem Missbrauch dieser sensiblen personenbezogenen Daten können sich für den Betroffenen erhebliche Nachteile ergeben.

 

Umso erstaunlicher ist ein Biometrie-Datenleck, über das verschiedene Medien berichten.

30 Millionen Datensätze im Netz

 

Die beiden Experten Noam Rotem und Ran Lokar aus Israel, die für das Unternehmen vpn Monitor arbeiten, konnten aus einem System fast 30 Millionen Datensätze kopieren. Darunter befanden sich Fingerabdruck- und Gesichtserkennungs-Daten sowie Gesichtsfotos von Benutzern.

 

Die Informationen lagen im betroffenen System unverschlüsselt vor. Die Experten mussten also lediglich die Zugriffsbarrieren überwinden.

 

Die Daten selbst stammen vom System „Biostar 2“ der koreanischen Sicherheitsfirma Suprema. Sie bezeichnet sich selbst als einen der Marktführer bei biometrischen Sicherheits-Systemen.

 

Mit der Software-Lösung können Unternehmen die Zugangskontrolle zu Büros mittels intelligenter Türschlösser und Scannern für Fingerabdrücke und Gesichter selbst einrichten und verwalten.

 

Sicherheitslücke geschlossen

 

Das Unternehmen Suprema hat als Ergebnis des Vorfalls die Lücke im System, die die Sicherheitsexperten ausgenutzt hatten, inzwischen geschlossen.

 

Ob daraus folgt, dass die Informationen der Benutzer damit zukünftig auch verschlüsselt gespeichert werden, ist noch nicht bekannt.

 

Vorsicht bei Speicherung biometrischer Kennzeichen

 

Biometrische Kennzeichen ohne eine entsprechende Verschlüsselung abzulegen, ist äußerst gefährlich. Sofern Unternehmen auf biometrische Kennzeichen setzen, um ihre Systeme abzusichern, sollten die Verantwortlichen unbedingt darauf achten, dass statt der Aufnahmen von Fingerabdrücken oder Gesichtern lediglich Rechenmodelle dieser Merkmale für den Abgleich genutzt werden bzw. aus den Personen-Kennzeichen ein Hash-Wert erzeugt wird, den die Systeme für die Prüfung verwenden.

 

Besonderes Augenmerk sollten Unternehmen auch auf das Speichersystem legen. Das gilt umso mehr, wenn in diesem Zusammenhang Informationen in der Cloud gespeichert oder verarbeitet werden sollten.

 

Unverschlüsselte biometrische Kennzeichen ermöglichen nicht nur die Zuordnung zu einer bestimmten Person. Angreifer könnten sie auch dazu nutzen, die Identität des Betroffenen für kriminelle Zwecke zu missbrauchen.

 

Und das wäre ein besonders schwerer Verstoß gegen die Einhaltung der Datensicherheit und des Datenschutzes und damit entsprechend mit einer Geldbuße durch die Datenschutz-Aufsichtsbehörden zu ahnden.

 

 

01.09.2019

Schwere Datenpanne bei Mastercard-Bonusprogramm

 

In den vergangenen Tagen hat eine schwere Datenpanne beim Kreditkartenunternehmen Mastercard sowohl Fachwelt als auch Nutzer aufgerüttelt. Der Vorfall ist ernst, weswegen sich auch die deutschen Datenschützer mit Handlungsempfehlungen zu Wort melden.

 

Wie verschiedene Medien berichteten, haben Cyberkriminlle Daten aus dem Bonusprogramm „Priceless Specials“ des Unternehmens Mastercard von der Plattform eines Dienstleisters abgegriffen.

 

Dabei handelt es sich nach den bisher vorliegenden Informationen um rund 90.000 Datensätze. Sie enthalten Namen, E-Mail-Adressen, Anschriften, Geburtsdaten, Telefonnummern sowie teilweise verschlüsselte Kreditkartennummern.

 

Zudem soll eine Datei mit vollständigen Kreditkartennummern im Internet kursieren. Ihre Herkunft ist allerdings noch nicht geklärt.

 

Hohes Missbrauchs-Potenzial

 

Die Kombination der Daten weist auch ohne vollständige Kreditkartennummern bereits ein hohes Potenzial für vielfältigen Missbrauch und Identitätsdiebstahl auf.

 

Mit den Informationen könnten Betrüger Benutzerkonten im Internet anlegen oder Bestellungen auslösen. Daraus erwachsen den betroffenen Personen im Zweifel zumindest große Unannehmlichkeiten.

 

Die Datei mit den vollständigen Kreditkartendaten erhöht das Schadenspotential naturgemäß noch einmal enorm.

 

Mastercard unterrichtete die Behörden

 

Wie der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) mitteilte, hat das Unternehmen Mastercard gemäß Artikel 33 Datenschutz-Grundverordnung (DSGVO) den Vorfall gemeldet.

 

Da das Unternehmen weltweit tätig ist, befindet sich derzeit in Klärung, welche Datenschutz Aufsichtsbehörde federführend die Aufklärung koordiniert.

 

Aufgrund des Sitzes der Hauptniederlassung in Belgien spricht vieles dafür, dass die dortige Datenschutzbehörde diese Aufgabe übernimmt.

 

Ratschläge für Betroffene

 

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, hat in einer Presseerklärung Hinweise für die Betroffenen zusammengestellt, wie diese jetzt reagieren sollten.

  • Im ersten Schritt sollten die Inhaber einer Mastercard, vor allem aber die Teilnehmer am Bonusprogramm, überprüfen, ob ihre Daten von der Panne betroffen sind.

  • Dazu empfiehlt er, den Identity Leak Checker des Hasso-Plattner-Instituts aus Potsdam zu nutzen. Dort müssen die Benutzer lediglich die E-Mail-Adresse eingeben, mit der sie sich beim Bonusprogramm registriert hatten.

  • Ergibt der Test, dass die Daten des Nutzers kompromittiert wurden, sollten sich Betroffene umgehend mit Mastercard in Verbindung setzen.

  • Zudem müssen Nutzer unbedingt die Kreditkarten-Abrechnungen auf Unregelmäßigkeiten überprüfen.

  • Datenschutz-Experten erwarten auf Basis der kopierten Informationen gezielte Phishing-Attacken, um auf diesem Weg an weitere Daten zu gelangen.

Der Vorfall verdeutlicht eindrucksvoll, wie wichtig gerade bei der Zusammenarbeit mit externen Dienstleistern und Online-Anwendungen die Absicherung der betroffenen Systeme ist.

 

Das gilt besonders für Datenbanken, in denen Unternehmen personenbezogene Daten ablegen.

​​

30.08.2019

 

Warum ist Datenschutz bei Personalakten so wichtig?

Wenn es einen Unternehmensbereich gibt, bei dem Datenverarbeitung fast immer Verarbeitung personenbezogener Daten bedeutet, dann ist es die Personalabteilung, auch Human Resources (HR) genannt.

 

In der Personaldaten-Verarbeitung geht es unter anderem um

  • Gehaltsabrechnung,

  • Bewerber-Management,

  • Talent-Management,

  • Zeit- und Anwesenheits-Management,

  • Urlaubsplanung,

  • Personalplanung und

  • Personalbedarfs-Analysen.

 

Viele personenbezogene Daten zu Beschäftigten werden in der Personalakte erfasst. Das gilt zum Beispiel für die Daten aus dem Bewerbungsverfahren, für den Arbeitsvertrag, Urlaubsanträge, mögliche Abmahnungen, Angaben zur Sozialversicherung, Steuerinformationen und Zeugnisse.

Zweifellos sind dies Dokumente und Daten, die eine besondere Vertraulichkeit erwarten lassen.

Was fordern DSGVO und BDSG für die Personalakte?

 

In der DSGVO macht Artikel 88 (Datenverarbeitung im Beschäftigungskontext) grundlegende Vorgaben zum Beschäftigtendatenschutz.

Darüber hinaus enthält der Artikel eine Öffnungsklausel, die die nationalen Gesetzgeber zur weiteren Ausgestaltung nutzen können.

Die nationalen Vorgaben sollen vor allem regeln:

  • angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung,

  • die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und

  • die Überwachungs-Systeme am Arbeitsplatz.

 

Das neue Bundesdatenschutzgesetz (BDSG) hat daher den § 26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Er ist seit 25. Mai 2018 bei der Datenschutz-Kontrolle der Verarbeitung von personenbezogenen Daten Beschäftigter zu beachten.

 

§ 26 BDSG regelt zum einen, was alles unter dem Begriff „Beschäftigte“ zu fassen ist. Für Unternehmen sind dies

  • Arbeitnehmerinnen und Arbeitnehmer,

  • einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,

  • zu ihrer Berufsbildung Beschäftigte,

  • Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),

  • Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind (auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten), sowie

  • Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis und

  • Personen, deren Beschäftigungsverhältnis beendet ist.

 

Zum anderen äußert sich das BDSG hinsichtlich Erfordernis und Zweckbindung:

 

„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

 

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

 

Welche Risiken sind mit Verfahren zur Personalakte verbunden?

Viele Unternehmen nutzen eine spezielle Software im Personalmanagement, auch HR-Software genannt, um die Personalakte zu führen.

 

Leider sind solche Software-Lösungen meist nicht nur reich an Funktionen, sondern auch komplex in der Kontrolle des Datenschutzes.

Diese Kontrolle durch betriebliche bzw. behördliche Datenschutzbeauftragte ist aber enorm wichtig. Denn die Berichte der Datenschutz-Aufsichtsbehörden zeigen regelmäßig Mängel auf im Bereich der Verarbeitung von Personaldaten.

 

Bevor Sie sich nun in der Prüfung von HR-Software-Modulen verlieren, sehen Sie sich in erster Linie die Knackpunkte an, die in der Praxis auffallen:

  • Digitale Personalakten müssen mindestens den gleichen Schutz wie klassische, papiergebundene Personalakten erhalten.

  • Dabei ist zu bedenken, dass die Vorteile der Digitalisierung wie die einfachere Durchsuchbarkeit und die Möglichkeit zur automatischen Datenanalyse gleichzeitig Datenschutz-Risiken darstellen.

  • Achten Sie deshalb darauf, dass die Berechtigungen zum Beispiel für Suchen und Analysen in HR-Modulen sehr restriktiv vergeben werden.

  • Zudem müssen Verantwortliche verhindern, dass Beschäftigte digitale Personalakten unter Umständen durch einen einfachen falschen Mausklick ungewollt „weitergeben“.

  • Verschlüsselung und Mehr-Faktor-Authentifizierung sind deshalb im Bereich der Personaldatenverarbeitung Pflicht. Kontrollieren Sie, ob die HR-Software entsprechende Funktionen vorsieht oder unterstützt.

  • Die Datenschutz-Prinzipien wie die Datenminimierung gelten auch in der Personaldatenverarbeitung. Möglichst viele Daten über Bewerber und Mitarbeiter anzuhäufen, ist zwar für Datenanalysen scheinbar von Vorteil, für den Datenschutz und die Compliance aber nicht.

 

Welchen Schutz braucht die Personalakte?

Die Maßnahmen für die Sicherheit der Verarbeitung müssen unter anderem der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos [7] für die Rechte und Freiheiten natürlicher Personen Rechnung tragen, wie Artikel 32 DSGVO darlegt.

Personaldaten oder Beschäftigtendaten haben einen hohen Schutzbedarf, geht es doch auch um Gesundheitsdaten oder Angaben zur Religionszugehörigkeit (besondere Kategorien personenbezogener Daten).

Für die Datensicherheit im Bereich der Personaldatenverarbeitung müssen somit Lösungen her, die ein hohes Schutzniveau bieten, also den Zugang zu der HR-Software und den Zugriff auf die elektronischen Personalakten wirksam schützen.

Die Konzepte für Aufbewahrung und Entsorgung der Personalakten müssen auch auf die Personaldatenverarbeitung und die digitalen Personalakten übertragen werden.

Die Mitarbeiter- und Bewerberdaten müssen also entsprechend rechtlicher bzw. vertraglicher Vorgaben aufbewahrt und fristgerecht gelöscht werden.

Es gelten die Grundsätze nach Artikel 5 DSGVO, darunter die Speicherbegrenzung und die Datenminimierung.

 

Somit gibt es einige Knackpunkte in der Personaldatenverarbeitung, die häufig zu wenig Beachtung finden. Das sollte sich schnell ändern.

Büro

Feldkreuzweg 21

79793 Wutöschingen

Anrufen

Tel.: 07746 / 919470

Fax: 07746 / 919469

  • facebook
  • Twitter Clean
  • w-googleplus

© 2023

Berater & Co.

Erstellt mit Wix.com