Kategorie: Datenschutz

IT-Servicemanagement, DSMS und ISMS – Robert Sieber im Datenschutz Talk

IT-Servicemanagement, DSMS und ISMS – Robert Sieber im Datenschutz Talk

Moderation:
avatar
Heiko Gossen
avatar
Markus Zechel
Zu Gast:
avatar
Robert Sieber

IT-Servicemanagement (ITSM) ist vielen, die in der IT arbeiten, vermutlich ein Begriff. Alle außerhalb von IT-Abteilungen genießen im besten Fall die Vorteile, die ein implementiertes ITSM mit sich bringt, ohne sich aber mit Details beschäftigen zu müssen.

In dieser Themenfolge sprechen wir mit unserem Gast Robert Sieber über Schnittmengen und Unterschiede zwischen ITSM, einem Datenschutz-Managementsysteme (DSMS) und einem Informationssicherheits-Managementsystem (ISMS).

Robert ist ein Experte für das Thema ITSM, hat sich aber auch schon oft und viel mit den Synergien mit anderen Managementthemen beschäftigt. Er betreibt die Seite https://different-thinking.de, wo man auch seinen „IT-Management Podcast – für den Servicenerd in Dir“-Podcast findet.

Daher sprechen Heiko Gossen und Markus Zechel mit Robert Sieber nicht nur darüber, was IT Servicemanagement ist, für wen das etwas ist, sondern auch über die Fragen, wo man als Datenschutzbeauftragter oder Informationssicherheitsbeauftragter von einem funktionierenden ITSM profitiert. Hier spielt vor allem eine gemeinsame Datenbasis eine wichtige Rolle, aber auch auf der Prozessebene gibt es viele Schnittstellen und Synergien.

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Instagram: https://www.instagram.com/datenschutztalk_podcast/

System Administrator Appreciation Day

Informationssicherheits-Anforderungen an Systemadministratoren

Donnerstagnacht, kurz vor 23 Uhr. Das ganze Unternehmen schläft. Das ganze Unternehmen? Nein, ein unerschrockener Held trotzt seiner Müdigkeit und installiert Server-Updates, damit seine Kollegen sicher sind, ohne ihre Arbeit unterbrechen zu müssen.
Ungefähr so könnte die Dramaturgie am Beginn der Geschichte desjenigen Protagonisten aufgebaut werden, um den es heute geht: den Systemadministrator.
Seit dem Jahr 2000 wird am letzten Freitag im Juli diese geschäftskritische Rolle mit ihrem eigenen, inoffiziellen Feiertag gewürdigt, dem Tag des Systemadministrators. Die englische Originalbezeichnung ist sehr viel treffender: System Administrator Appreciation Day. Und Wertschätzung haben Systemadministratoren allemal verdient.

Neues Gesetz zum Schutz der Privatsphäre in der digitalen Welt beschlossen

TTDSG – Neues Gesetz zum Schutz der Privatsphäre in der digitalen Welt beschlossen

Nach längerem Anlauf hat der Bundesrat am 28.05.2021 – gut drei Jahre nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) – dem Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) zugestimmt. Das TTDSG soll, wie Bundeswirtschaftsminister Peter Altmaier betont, für mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt sorgen. Das Gesetz wird zusammen mit dem neuen Telekommunikationsgesetz am 1. Dezember 2021 in Kraft treten.

Embedded finance und Datenschutz

Embedded Finance und Datenschutz – geht das?

Am 09. und 10.06.2021 veranstaltete der Branchenverband der deutschen Informations- und Telekommunikationsbranche BITKOM, die Online-Konferenz „Digital Finance Conference“. Als ehemaliger Banker und aktiver Datenschutz-Berater empfand ich bei Ankündigung des Events die Teilnahme im positiven Sinne fast als eine Art „Pflichttermin“ und hatte hohe Erwartungen an das Programm und die Vortragenden. Ich wurde nicht enttäuscht!
Schon eine der ersten Veranstaltungen am ersten Tag beschäftigte sich mit einem neuen, sich derzeit noch entwickelnden Hype: Embedded Finance!

Standarddatenschutzklauseln

BayLDA sieht Einsatz von Mailchimp als unzulässig an – Prüfpflichten beim Einsatz der Standarddatenschutzklauseln

Der EuGH erklärte im Juli 2020 nicht nur das Privacy Shiel Abkommen zwischen der EU und den USA für unwirksam – er hat den Verantwortlichen auch besondere Prüfungspflichten bei Verwendung der sogenannten Standarddatenschutzklauseln auferlegt. So müssen alle Unternehmen die bisher abgeschlossenen Verträge mit den Dienstleistern beziehungsweise Subdienstleistern außerhalb der EU und EWR neu bewerten, um festzustellen, ob bei der jeweiligen Datenübermittlung ein angemessenes Datenschutzniveau sichergestellt werden kann.

Datenschutzverletzung und Meldung an die Aufsichtsbehörde

Datenschutzverletzung und Meldung an die Aufsichtsbehörde

Gerade in den letzten Wochen hat das Thema der Meldung von Verletzungen des Schutzes personenbezogener Daten besondere Aufmerksamkeit erfahren. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits Anfang März bekannt gemacht hatte, konnten Hacker durch die Ausnutzung einer Schwachstelle bei dem Microsoft Produkt „Exchange-Server“ über 10.000 Server angreifen und mit Schadsoftware infizieren. Dabei wurden die Angriffe nicht ausschließlich durch die chinesische Hafnium-Gruppe ausgeführt. Auch andere Angreifer waren auf den Zug aufgesprungen, um die Exploits auszunutzen.

Informationspflichten - Der Datenschutztalk Podcast

Das große Ganze der Informationspflichten

Moderation:
avatar
Heiko Gossen
avatar
Markus Zechel

Die Anforderungen an die Transparenz für die Verarbeitung von personenbezogenen Daten sind in der Datenschutzgrundverordnung (DSGVO) sehr deutlich herausgestellt worden. Dies gilt insbesondere für die Verarbeitungsvorgänge von personenbezogenen Daten und für die Informationspflichten, sofern die Daten bei der betroffenen Person oder bei Dritten erhoben werden.

Heiko Gossen und Markus Zechel nehmen sich diesem Thema an und beleuchten die Anforderungen an die Ausgestaltung der Informationspflichten und die zur Verfügungstellung an die betroffene Person.

Dabei geben Sie Hinweise zu den Anforderungen der präzisen, transparenten, verständlichen und leicht zugänglichen Form und was klare und einfache Sprache bedeutet.

  • Wie können die Betroffenen erreicht werden und wann kann ggf. von einer Information abgesehen werden?
  • Welche Fallstricke lauern und warum ist das Fehlen von Informationen ein Risiko für den Verantwortlichen?
  • Was ist ein Medienbruch und was gilt es dabei zu beachten?

Am Ende gibt es noch Dos and Don’ts zu den Informationspflichten zu den Art. 13 und Art. 14 DSGVO.

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/das-grosse-ganze-der-informationspflichten/

Cybercrime - Uniklinik Düsseldorf

Cybercrime | Uniklinik Düsseldorf – Peter Vahrenhorst im Datenschutz Talk

Moderation:
avatar
Heiko Gossen
Zu Gast:
avatar
Peter Vahrenhorst

Das Thema „Cybercrime“ ist auch nach der teilweisen Zerschlagung des Emotet-Netzwerks nach wie vor hoch aktuell. Heiko Gossen spricht in dieser spannenden Themenfolge mit Peter Vahrenhorst, Kriminalhauptkommissar beim Landeskriminalamt Nordrhein-Westfalen (LKA NRW) über die Arbeit der Polizei in Fällen des Cybercrime im Allgemeinen sowie den Fall am Uniklinikum Düsseldorf im Herbst 2020 im Speziellen.

Vorstellung Peter Vahrenhorst, LKA NRW1:32.499
Sensibilisierung der Jugend4:05.477
Auswirkung der Ausschaltung von Emotet in den Fallzahlen6:44.730
Anzeige ja oder nein?13:09.004
Der Fall Uniklinik Düsseldorf (UKD)18:14.311
UKD: Wann war die Kompromittierung28:18.547
Detektieren – aber was?30:19.746
Backups32:49.981
Datenschutz vs. Security35:07.237
Lösegeldzahlung kann eine Option sein37:04.697
Drohung mit Veröffentlichung als Weiterentwicklung des Geschäftsmodells40:43.339
Segmentierung von Datenbeständen44:16.263
Kosten eines Hackerangriffs45:53.706
Wie arbeiten die verschiedenen Behörden zusammen?49:24.650
An welche Stelle sollte ich mich wenden?53:20.009
Kontaktstellen56:34.456
Schlussplädoyer59:28.886

Übersicht der Zentrale Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen

https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html

Links zu den On­li­ne­wa­chen bzw. zu den Kon­takt­da­ten der Landes­polizeien

https://www.bka.de/DE/KontaktAufnehmen/Onlinewachen/onlinewachen_node.html

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Episoden-Cover Privacy by design mit Marin Hansen

Deep Dive Privacy by Design – Marit Hansen im Datenschutz Talk

Moderation:
avatar
Heiko Gossen
Zu Gast:
avatar
Marit Hansen

Das Thema „Datenschutz durch Technikgestaltung“, wie es in der deutschen Übersetzung der DSGVO heißt, ist für viele betriebliche Datenschutzbeauftragte ein mitunter schwer zu greifender Artikel 25 der Datenschutzgrundverordnung. Daher hat Heiko Gossen in dieser Folge Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein und Leiterin der Unabhängigen Landeszentrum für Datenschutz eingeladen. Die etwas schlechtere Tonqualität bitten wir zu entschuldigen, aber wir konnte ein technisches Problem nicht in der Kurzfristigkeit lösen.

Marit Hansen hat sich schon lange vor der EU-DSGVO mit den Fragen der Technikgestaltung und sogenannten PETs (Privacy Enhancing Technologies) beschäftigt und viele Vorträge zu dem Thema gehalten.

Die beiden gehen in dieser Folge u.a. den Fragen nach, ob die deutsche Übersetzung das Thema evtl. fälschlicherweise auf die „Technik“ verkürzt und ob „Datenschutz durch (Technik-)Gestaltung“ nicht auch Datenschutzmanagement bedeutet. Weiterhin geht es um die praktische Relevanz im Unternehmen und wie Datenschutzbeauftragte in den Fachbereichen zu den damit verbundenenn Anforderungen sinnvoll beraten können. Wir schauen aber auch auf das Thema Zertifizierung, das Standard-Datenschutzmodell (SDM) sowie auf die Erwartungen der Datenschutzaufsichtsbehörden bei dem Thema „Privacy by Design“.

Außerdem hat Frau Hansen einige Empfehlungen für weitergehende Literatur ausgesprochen:

 

Gliederung:

00:00:00 Begrüßung Marit Hansen vom ULD in Schleswig-Holstein
00:02:09 Datenschutz durch TECHNIK-Gestaltung?
00:06:28 Privacy by design = Datenschutzmanagementsystem?
00:14:37 Privacy by Design in der betrieblichen Praxis
00:33:39 Erwartungen der Aufsichtsbehörden
00:39:35 Corona Warn-App und Privacy by Design
00:43:31 Artikel 25 spricht gegen Hintertüren
00:44:08 Datenschutz und Vertrauen – oder lieber Misstrauen vermeiden
00:48:48 Wann kommen DSGVO-Zertifizierungen?
00:52:50 Datenschutzmanagement nach Art. 42 DSGVO zertifzieren
00:59:59 Literaturempfehlungen
01:04:28 Nicht warten, bis alles fertig ist

Cover zur Epsiode "Das 1und1 Bussgeldverfahren

Das 1&1-Bußgeldverfahren – Dr. Gerd Kiparski im Datenschutz Talk

Moderation:
avatar
Heiko Gossen
Zu Gast:
avatar
Dr. Gerd Kiparski

Heiko Gossen spricht in dieser Folge mit Dr. Gerd Kiparski über die Details, Hintergründe und Learnings aus dem Bußgeldverfahren der 1&1 Drillisch AG gegen den Bundesbeauftragten für Datenschutz.

Dr. Kiparski schildert u.a sehr eindrücklich, warum man so ein Strafverfahren nicht unbedingt mitmachen muss. Wir sprechen über Risikomanagement, Maßnahmen zur Authentifizierung an der Kunden-Hotline, Einführung einer Service PIN und was so ein Bußgeldbescheid im Unternehmen auslöst. Wir gehen im Detail darauf ein, wie heute eine datenschutzkonforme Authentifizierung von Anrufern an der Hotline aussehen kann und welche Herausforderungen differenzierte Regelungen für verschiedene Anliegen des Kunden mit sich bringen.

Der Sachverhalt stellte sich grob so dar:

Die ehemalige Lebensgefährtin eines Kunden ruft an und erklärt, die offene Forderung des Kunden begleichen zu wollen. Da es keine „Berechtigtenliste“ gab und die Anruferin alle Daten zur Legitimation (Namen und Geburtsdatum) nennen konnte, wurde angenommen, dass sie berechtigt ist. Im Verlauf des Gesprächs hat die Anruferin dann auch die neue Telefonnummer ihres Ex-Partner erfahren und ihn daraufhin belästigt. Der Kunde erstattete Anzeige bei der Polizei, diese hat das Verfahren dann an den Bundesbeauftragten für Datenschutz abgegeben.

Wir gehen in dem 50-minütigen Gespräch unter anderem den Fragen nach:

  • Welche Herausforderungen gab es im gerichtlichen Verfahren
  • Welche Maßnahmen wurden seitens 1&1 umgesetzt?
  • Was sind „angemessene“ Maßnahmen?
  • Warum ist Dokumentation so wichtig?
  • Was lernen Sie, was kann man aus dem Verfahren lernen?
  • Was heißt das für das Bußgeld-Berechnungskonzept der Aufsichtsbehörden?
  • Hat der Betroffene auch Schadensersatz gefordert?
  • Wurde gegen die Anruferin auch ermittelt?

Die vollständige Urteilsbegründung ist hier abrufbar: https://openjur.de/u/2310641.html

Pressemitteilung des BfDI: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/28_Urteil-1und1.html

Pressemitteilung 1&1: https://newsroom.1und1.de/2020/11/11/urteil-im-verfahren-von-11-gegen-datenschutzbehoerde-gericht-reduziert-bussgeld-um-90-prozent/