HM[D]ATA
HMDATA Ing.-Büro für Daten- und Medientechnik

News & Informationen 2023

HMDATA Datenschutz-Newsletter & Themen

2023
Ausgabe Titel Beschreibung
12/23 Datenpanne melden oder nicht? Eine Datenpanne an sich ist ärgerlich genug. Der innerbetriebliche Umgang sollte zwischenzeitlich klar geregelt und kommuniziert sein.
Was Datenpannen nach Art. 4 Abs. 12 DSGVO sind, sollte auch mittlerweile klar sein, hauptsächlich betrifft es alle Tatbestände die zu einer Exfiltration oder Nichtverfügbarkeit führen können.
11/23 E-Mail-Datenpanne: es wird immer schlimmer ... Warum denn schon wieder ein Newsletter zum Thema "E-Mail-Datenpanne"?
Weil's einfach nicht besser wird - im Gegenteil, es ist aktuell eine dramatische Zunahme von falsch versendeten E-Mails festzustellen.
10/23 Datenschutz-Ticker: Novelle BDSG, aktuelle Bußgelder Dass die aktuelle Datenschutzgesetzgebung nicht perfekt ist, hat sich in den Gedächtnissen der Verantwortlichen sicherlich in einer resignierten Auslegung und Umsetzungsparalyse manifestiert. Allerdings ist bei genauer Betrachtung und Kenntnis die Anwendung von DSGVO und BDSG wesentlich besser als auf dem Niveau von Stammtischdiskussion kolportiert.
Vor allem, weil innerhalb der jeweiligen Gesetzgebung auch eine Evaluierung von Umsetzung, praktischer Anwendbarkeit und Wirksamkeit verankert ist. Das war 2020 nach zwei Jahren bei der DSGVO der Fall, 2021 wurde das BDSG nach 3 Jahren auf den Prüfstand gestellt.
09/23 203 Mrd. Schaden durch Cyberattacken in 2022: Die Haftung des Verantwortlichen für Datenschutz und IT-Sicherheit Nach dem Verband BitKOM entstand der deutschen Wirtschaft im Jahr 2022 ein Schaden von 203 Mrd. Euro durch Cyber-Angriffe, IT-Verlust und -Diebstahl, Spionage und Sabotage. Das ist viel Geld. 84% der befragten Unternehmen gaben an, im Jahr 2022 durch eine Cyber-Attacke bedroht worden zu sein. Das ist eine Menge.
Es gibt keine verlässlichen Zahlen, was davon auf Grund von Prävention vermieden hätte werden können, aber es wird nicht wenig sein. Und irgendwann muss auch dem letzten IT-Skeptiker klar werden, dass letztlich der Punkt kommen muss, ab dem "Nichts-tun" unweigerlich teurer wird als Prävention. Und unangenehmer. Und stressiger. Und ggf. auch mit juristischem Nachspiel. Und mit Bußgeld. Und mit Vertrauens- und Reputationsverlust gegenüber den Kunden.
Betriebswirtschaftlich gesehen ist also eine Investition in die IT-Sicherheit und sensibilisierte und geschulte Mitarbeiter ein echter Gewinn.
Nur leider ist das nicht nur im eigenen Interesse - was die beste Motivation wäre - sondern weder optional noch diskutierbar. Es ist gesetzlich geregelt.
08/23 Information- und Transparenzpflicht - auch in Bezug auf KI, und: Fragebogen zum Datenschutzbeauftragten Aus der Verarbeitung personenbezogener Daten leiten sich nach der DSGVO umfangreiche Verpflichtungen ab. So auch beispielsweise die nach Art. 5 Abs. 1 DSGVO geforderten Transparenz- und Informationspflichten.
Diese sollten vor Schaffung der notwendigen rechtlichen Grundlage ausgehändigt werden, damit ein potenzieller Kunde sich vor Verarbeitung ausreichend informieren kann, was mit seinen Daten geschieht und er nach Art. 2 Abs. 1 GG sein Recht auf informationelle Selbstbestimmung wahrnehmen kann.
07/23 EU - U.S. Data Privacy Framework So heißt die aktuell diskutierte datenschutzrechtliche Vereinbarung zwischen der EU und US-Unternehmen bzgl. der transatlantischen Datenübertragung und -verarbeitung. Das Inkrafttreten würde für alle Beteiligten eine ungemeine rechtliche Vereinfachung der Nutzung von datenverarbeitenden US-Diensten durch EU-Unternehmen bedeuten.
Die aktuelle Regelung, per Standard-Vertragsklauseln (SCC) oder Transfer Impact Assessment die Datenverarbeitung durch US-Unternehmen zu legitimieren hat den entscheidenden Nachteil, dass der EU-Verantwortliche die Beweislast der korrekten Verarbeitung trägt und eine Risikobewertung durchführen muss, inklusive der Transparenz- und Informationsanforderungen für die Betroffenen und erhöhter technischer Maßnahmen wie bspw. völlig durchgehende Verschlüsselung oder Anonymisierung.
06/23 5 Jahre DSGVO - ... was hat sich bewährt, was war überflüssig? Das Resumée fällt ambivalent aus. Vermutlich liegt es daran, dass das Gute der DSGVO zu Beginn des Inkrafttretens im Mai 2018 nicht ausreichend kommuniziert und den Stammtischdiskussionen zu viel Raum in der Interpretation der DSGVO gelassen wurde. Auch heute ist noch zu beobachten, dass von Seiten der Unternehmen die administrativen Aufwände "... von denen aus Brüssel ..." und von den Nutzern das Wegklicken von Consent-Bannern in Sachen Datenschutz in Erinnerung bleibt - beides ist aber sicherlich keine Schuld der DSGVO. Leider ist aber nach wie vor das "DSGVO-Bashing" sehr beliebt, vor allem weil es als Killerargument für Unternehmen zum Verstecken unliebsamer und aufwändiger Prozesse hinter "Geht-wegen-Datenschutz-nicht" nach wie vor bei mangelnder Sachkenntnis guten Dienst erweist.
05/23 Umgang mit Datenpannen nach Art. 33 DSGVO und ErwgGr. Die Einschläge kommen näher - das aktuell äußerst aggressive Cyber-Umfeld spürt schonungslos die Schwächen der eigenen IT auf. Aber auch die zunehmende Digitalisierung und die Automatisierung der Prozesse erhöht schlicht und einfach die Eintrittswahrscheinlichkeit von Datenpannen, wenn man nicht mit eigenem Know-How Schritt hält und den "Stand der Technik" nach Art. 25 Abs. 1 DSGVO erfüllt.
Dazu gehört auch die intensive Schulung und Sensibilisierung der Mitarbeiter für die IT-Sicherheit und sichere Nutzung digitaler Medien, Betriebssystemen, Anwendungssoftware und IT-Endgeräte. Das Motto "wird schon gut gehen" hat seit Anfang 2022 Monaten definitiv ausgedient, zumal man sich nicht auf einem einmal durchgeführten Sicherheits-Audit ausruhen kann sondern kontinuierlich die Systeme und Software überprüfen und sich über aktuelle Sicherheitsanforderungen informieren muss.
04/23 Datenpanne - Bußgeld - Schadenersatz nach DSGVO Traurige Berühmtheit erlangte der Schadenersatz nach Art. 82 DSGVO durch die Abmahnungen rund um den Einsatz der sog. Google-Fonts auf WebSites durch in betrügerischer Absicht handelnde Rechtsanwälte.
Mittlerweile ist gerade zum Glück die Staatsanwaltschaft mit den Fällen beauftragt und hat bereits Verfahren wegen Betruges eingeleitet und Konten eingefroren.
03/23 IT-Sicherheit, Risikomanagement, Smart InsureTech Die Dichte erfolgreicher, schwerwiegender böswilliger Angriffe auf mittelständische Unternehmen in Deutschland nimmt zu. Das musste auch mal wieder ein Dienstleister für Versicherungsvermittler erfahren, dessen Systeme am 08.02.2022 von einer Ransomware-Attacke lahmgelegt wurden.
Fraglich ist, warum ein derartiger Angriff bei einem IT-Dienstleister zu einem über dreiwöchigen Ausfall und einer Nichtverfügbarkeit der Systeme führt. Bei geeigneten Maßnahmen und sensibilisiert agierenden Mitarbeitern dürfte ein derartiger Angriff nach spätestens 72 Stunden wieder behoben sein, geschweige denn hätte auftreten dürfen. Das lässt sich innerhalb der Verantwortung von datenverarbeitenden Unternehmen im Auftrag technisch lösen, wenn denn nur Willen und Budget vorhanden sind. Wer als Auftragsverarbeiter seine Kunden bei erwartbaren schwerwiegenden Risiken derart im Stich lässt, sollte sein Geschäftsmodell nochmals hinterfragen.
02/23 Corona-Endemie: was hat das mit Datenschutz zu tun? Richtig, was wurde alles bzgl. der Corona-Pandemie über den Datenschutz gelästert. Interessierten möge die Lektüre des Art. 9 Abs. 2 lit. h und lit. i DSGVO in Verbindung mit dem ErwGr. 54 zu empfehlen sein.
Es wurden aber auch nach Art. 6 Abs. 1 lit. c DSGVO gemäß §20a IfSG (Impfschutzgesetz) rechtliche Grundlagen geschaffen, insb. bei der Erfassung des Impfstatus bzw. von Infektionen von Mitarbeitern durch den Arbeitgeber oder auch bei einrichtungsbezogenen Impfpflichten.
Ebenso hat die 3-G-Regel am Arbeitsplatz oder in der Öffentlichkeit zur Erfassung relevanter Corona-Daten geführt.
01/23 Datenschutz 2023: was kommt, was bleibt Große Ankündigungen für die digitale Wirtschaft wurden 2022 zwar politisch und EU-weit angesetzt und angekündigt, so richtig geändert hat sich aber vorerst mal nichts: wer personenbezogene Daten verarbeitet, hat mit diesen sorgsam umzugehen.
» 2025     » 2024     » 2023     » 2022     » 2021