Zum Inhalt springen

Datenschutz

Daten richtig löschen

Löschkonzept nach DSGVO – Praxistipps

    Die Idee, dass die betroffene Person ein Recht auf Löschung ihrer Daten hat, ist fast so alt, wie die Gesetzgebung zum Datenschutz. Bereits im ersten Bundesdatenschutzgesetz von 1977 ist die Löschung von personenbezogenen Daten vorgesehen. Dabei gibt es hier bereits das Konzept der Zweiteilung: Zum einen ist es ein Recht, dass die betroffene Person ausüben kann (§ 4 Nr. 4 BDSG 1977) zum anderen ist es eine Verpflichtung, die der Verantwortliche hat (§ 14 Abs. 3 BDSG 1977). So war die Löschung von personenbezogenen Daten immer dann vorgesehen, wenn die Kenntnis der Daten für die Aufgabenerfüllung nicht mehr erforderlich war.

    Dr. Ralf Schodt im Datenschutz-Talk

    Verbesserung der Cybersicherheit in KMU – Dr. Ralf Stodt im Datenschutz Talk

      Die Verbesserung der Cybersicherheit ist auch in kleinen und mittelständischen Unternehmen zunehmend wichtiger. Viele Unternehmer mussten das in den letzten Jahren schmerzlich lernen, die meisten können aber noch vorsorgen. Heiko Gossen geht in dieser Episode gemeinsam mit seinem Gast Dr. Ralf Stodt – Head of Security Operations bei MAGELLAN Netzwerken – der Frage nach, wie können KMU ihre Cybersicherheit auch bei kleinem Budget sinnvoll verbessern.

      Unternehmen aller Größenordnungen haben Schwachstellen. Gegenüber großen Unternehmen stehen IT-Verantwortliche in kleinen und mittelständischen Unternehmen oft vor der Herausforderung, vom ohnehin engen Budget auch einen angemessenen Security Betrieb sicherstellen zu können. Daher gehen Heiko Gossen und Dr. Ralf Stodt das Thema mal speziell für Betriebe mit limitiertem Security-Budget an. Neben der Frage, wie und wo man sich über die Bedrohungslage informieren kann, geht es auch um Aufgaben die man teilweise intern lösen kann und wie man Angriffe früh erkennen kann. Die Aufnahme erfolgte bereits im Dezember 2021.
      Kapitel:
      ▪ 00:00:00.000 Willkommen
      ▪ 00:00:20.001 Begrüßung und Vorstellung Dr. Ralf Stodt
      ▪ 00:02:44.569 Herangehensweise zur Bewertung der Bedrohungslage
      ▪ 00:07:20.524 Informationsquellen
      ▪ 00:11:43.663 Laufende Überwachung – auch von smarten Komponenten
      ▪ 00:16:11.753 Zwischensumme
      ▪ 00:17:23.099 Operational Security
      ▪ 00:19:31.248 Zwei Komponenten des Sicherheitskonzepts
      ▪ 00:22:19.301 Alarme einstellen
      ▪ 00:28:17.895 Erste Schritte zur Umsetzung
      ▪ 00:37:53.863 Angriffsziele
      ▪ 00:41:37.034 Zusammenfassung
      ▪ 00:45:01.075 Externer Support
      ▪ 00:47:55.136 Kostenlose Tools
      ▪ 00:49:38.448 Verabschiedung
      Anfang Februar folgt der zweite Teil dieser Reihe, in der die beiden sich auf eine Cybersecurity Krise vorbereiten.

      Datenschutz unter Microsoft 365

      Datenschutz beim Einsatz von Microsoft Azure – Fatih Ataoglu im Datenschutz Talk

        Neben der Nutzung der Microsoft 365 Dienste ist auch der Einsatz der Microsoft Azure Cloud in Unternehmen weit verbreitet. Die Azure Cloud als Infrastructure as a Service (IaaS) und teilweise Plattform as a Service (PaaS) stellt eine gewichtige Alternative zur AWS Cloud dar.
        Daher schaut Heiko Gossen in dieser Themenfolge gemeinsam mit Fatih Ataoglu, Head of Data Privacy & Security von Microsoft Deutschland, auf die datenschutzrelevanten Themen beim Einsatz der Azure Dienste. Neben den Fragen, „Wer ist mein Vertragspartner?“ und „Wo finde ich das DPA“ geht es auch um Zertifizierungen der Core-Dienste und den Verantwortungsanteil der Kunden.

        Wichtigkeit der Bestandsaufnahme aus Datenschutz-Sicht

        Die Bestandsaufnahme – wichtiges Instrument für den Datenschutz

          Wikipedia definiert die Bestandsaufnahme als eine „… dokumentierte Untersuchung einer Vielzahl von einzelnen Gegenständen in Hinsicht auf ein oder mehrere bestimmte Merkmale, die Vollständigkeit zum Ziel hat.“
          In Bezug auf den Datenschutz ist der Sinn einer Bestandsaufnahme grundsätzlich schnell erklärt. Systematisch wird ein Ist-Zustand erhoben, der zeigt, an welchen Stellen im Unternehmen welche personenbezogenen Daten wie verarbeitet werden.

          Datenschutz unter Microsoft 365

          Was sollten Kunden beim Einsatz von M365 berücksichtigen – Fatih Ataoglu im Datenschutz Talk

            Im dritten Teil der Themenreihe mit Microsoft Deutschland sprechen Heiko Gossen und Fatih Ataoglu, Head of Data Privacy & Security von Microsoft Deutschland u.a über die sechs Datenschutzprinzipien beim Betrieb der Microsoft Clouddienste. Es geht auber auch um die Möglichkeiten, die man als Kunde hat (und auch wahrnehmen sollte), um die Nutzung der Dienste unter M365 datenschutzkonform zu gestalten.

            Datenschutz unter Microsoft M365 - Fatih Ataoglu im Datenschutz Talk

            Microsoft und der CLOUD Act – Fatih Ataoglu im Datenschutz Talk

              In der zweiten Folge unserer Themenreihe Themenfolge geht es vor allem um das Thema des Drittstaaten-Transfers und den damit verbundenen Risiken, dass staatliche Stellen in den USA Zugriff auf die Daten von europäischen Kunden nehmen können. Herr Ataoglu erläutert, wie man einsehen kann, welche Daten grundsätzlich als Diagnosedaten übertragen werden und wie häufig bspw. Microsoft in der Vergangenheit verpflichtet wurde, Kundendaten herauszugeben.

              Datenschutz unter Microsoft M365 - Fatih Ataoglu im Datenschutz Talk

              Datenschutz unter Microsoft M365 – Fatih Ataoglu im Datenschutz Talk

                In dieser Themenfolge begrüßt Heiko Gossen den Head of Data Privacy & Security von Microsoft Deutschland, Herrn Fatih Ataoglu. Als Start einer kleinen Reihe zum Thema Datenschutz bei Microsoftprodukten im Business-Umfeld geht es heute zunächst um den datenschutzvetraglichen Rahmen bei Nutzung der M365 Produkte (bspw. MS Teams, Exchange & Outlook, Sharepoint, One Drive, Powerpoint, Word, Excel etc.).

                Dabei stehen die vertraglichen Rahmenparamenter (wer ist Vertragspartner, wo finde ich die aktuellen Verträge etc.) sowie die geeigneten Garantien nach Art. 28 Abs. 1 DSGVO im Mittelpunkt. Die beiden schauen aber auch kritisch darauf, welche Daten Microsoft zu eigenen Zwecken verarbeitet und welche Schutzmaßnahmen Micorsoft ergreift, damit Support-Mitarbeiter nicht unbefugt auf Daten der Kunden zugreifen können.

                In der Folge angesprochenen Links:

                Aktuelle Blogs und Pressemitteilungen gibt es auf dem Microsoft News Center Deutschland: https://news.microsoft.com/de-de/

                Anlaufstelle zu den Themen IT, Sicherheit und Compliance ist das Microsoft Trust Center: https://www.microsoft.com/de-de/trust-center

                Lockbox-Verfahren in Office 356 à https://docs.microsoft.com/de-de/microsoft-365/compliance/customer-lockbox-requests?view=o365-worldwide

                In Teil 2 dieser Reihe geht es dann um Microsoft und der CLOUD Act.

                Weitere Links:

                Datenschutz hat bei Microsoft oberste Priorität: https://news.microsoft.com/de-de/im-daten-dschungel-wie-wir-bei-microsoft-daten-schuetzen/

                Microsoft Data Protection Addendum (DPA): https://www.microsoft.com/de-de/licensing/product-licensing/products.aspx / https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

                Wie Microsoft die Datenschutz-Grundverordnung umsetzt: https://news.microsoft.com/de-de/im-daten-dschungel-wie-microsoft-die-datenschutz-grundverordnung-umsetzt/

                Weitere nationale und internationale Anforderungen (ISO 27001, ISO 27018, ISO 27701, etc.): https://news.microsoft.com/de-de/im-daten-dschungel-wo-speichert-microsoft-eigentlich-meine-daten/

                Microsoft Initiative “Defending your Data”: https://news.microsoft.com/de-de/neue-massnahmen-zum-schutz-von-daten/

                Microsoft erklärt Diagnosedaten: https://news.microsoft.com/de-de/videos/webinar-diagnosedaten-in-microsoft-365-und-windows-10/

                Microsoft erklärt funktionale Daten: https://news.microsoft.com/de-de/im-daten-dschungel-telemetrie/

                Microsoft erklärt legitime Geschäftstätigkeiten: https://news.microsoft.com/de-de/im-daten-dschungel-nach-welchen-regeln-wir-daten-verarbeiten/

                Stellungnahme zum Vermerk „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen“: https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner-datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der-kontaktbeschraenkungen/

                Datenschutz in Microsoft Teams: https://www.microsoft.com/de-de/microsoft-teams/security

                Digitale Bildung mit Microsoft Teams: https://news.microsoft.com/de-de/features/digitale-bildung-mit-microsoft-teams/

                Datenschutz: Wettbewerbsfaktor oder doch „nur“ Hygienefaktor?

                Datenschutz: Wettbewerbsvorteil oder doch „nur“ Hygienefaktor?

                  Als Berater und Datenschutzbeauftragter könnte man schnell der Annahme verfallen, Datenschutz müsse eines der wichtigsten Themen im Unternehmen überhaupt sein. Dass dem in der Mehrzahl aller Unternehmen nicht so ist, wissen die meisten – zumindest unterbewusst. Aber wie wichtig sollte Datenschutz genommen werden und welchen Stellenwert sollte er tatsächlich haben?

                  Auskunftsrecht DSGVO

                  Umfang des Auskunftsrechts nach Art. 15 Abs. 1 DSGVO – welche Datenkategorien gehören dazu?

                    Um den Anforderungen der Datenschutzgrundverordnung nach Transparenz nachkommen zu können und die betroffene Person in die Lage zu versetzen Ihre Recht auf Widerspruch, auf Löschung oder auf Bereitstellung der verarbeiteten Daten wahrnehmen zu können, ist es erforderlich, dass der Betroffene sein Recht auf Auskunft nutzen kann.
                    Mit dem Recht auf Auskunft kann die Person Information darüber erhalten, ob und wenn ja welche Daten über sie verarbeitet werden.
                    Das Auskunftsrecht beschränkt sich nicht nur auf die Daten die durch das Unternehmen verarbeitet werden, vielmehr umfasst das Recht auch weitere Informationen, die mit beauskunftet werden müssen. Dazu gehört zum Beispiel die Information, auf welcher Grundlage, zu welchem Zweck und wie lange sie verarbeitet werden, ob sie an Dritte weitergegeben werden und noch ein paar weitere Punkte.
                    Wir schauen uns hier speziell das Auskunftsrecht, inklusive des Rechts auf Kopie, an und auch konkret die Frage, welche Daten beauskunftet werden müssen und welche nicht beauskunftet werden brauchen.

                    Cover Episode 112

                    Das neue chinesische Datenschutzgesetz – Pia Stoffels im Datenschutz Talk

                      In China wird in Kürze – am 1. November 2021 – das erste Gesetz zum Schutz personenbezogener Daten in Kraft treten. Die Pekinger Zentralregierung reagiert damit auf zunehmende Sorgen in der chinesischen Bevölkerung über Datenmissbrauch durch die Wirtschaft und insbesondere große Internetfirmen. Staatliche Stellen bleiben von den neuen Regeln größtenteils ausgenommen.

                      Außerdem wird vermutet, dass damit auch der heimische Technologiesektor etwas beschränkt werden soll. Daher spricht Markus Zechel in dieser Folge mit Pia Stoffels – einer echten Expertin, die beruflich viel mit China zu tun hat. Als Data Privacy & Compliance Counsel muss sie sich regelmäßig mit der Frage der Zulässigkeit von Datentransfers in asiatische Länder beschäftigen. Die beiden beleuchten die Gemeinsamkeiten mit der DSGVO sowie einige Unterschiede, aber auch die Frage, ob dies ein wichtiger Schritt in Richtung eines Angemessenheitsbeschlusses werden könnte.