Am 09.04. und 10.04.2024 findet heuer das Boot Camp 2024 für kommunale Informationssicherheitsbeauftragte im wunderschönen Gunzenhausen statt. Neben Fachvorträgen im Plenum stehen 16 interessante Workshop-Themen mehrfach an beiden Tagen zur Auswahl, die von den Teilnehmern besucht werden können. Im Vordergrund: Praktische Tipps für den Arbeitsalltag eines Informationssicherheitsbeauftragten sowie technische und organisatorische Maßnahmen, um der externen Bedrohungslage möglichst Herr zu werden. Abgerundet werden die Themen mit einer Podiumsdiskussion zum Thema "Digitale Souveränität – Welche Qualifikation brauchen wir zukünftig in der Aus- und Fortbildung in Behörden?". Die Veranstaltung, organisiert von der Bayerischen Verwaltungsschule (BVS), dem Landesamt für Sicherheit in der Informationstechnik Bayern (LSI), der Stadt Gunzenhausen und der a.s.k. Informationssicherheit Sascha Kuhrau dient zusätzlich als Nachweis zum notwendigen Erhalt der Fachkunde ausgebildeter Informationssicherheitsbeauftragter. Mehr Infos zu den Themen und Referenten im Blogbeitrag.
Im Rahmen einer ersten automatisierten Prüfung von Webseiten von Unternehmen, Freiberuflern und Vereinen in Bayern gibt das für die Datenschutzaufsicht zuständige BayLDA mit Sitz in Ansbach 350 Organisationen derzeit Gelegenheit zur Stellungnahme und Korrektur. Geprüft wurden die Umsetzung von Cookie-Bannern und des Consent-Managements. Beanstandet werden konkret zwei Sachverhalte: Unzulässige Zugriffe auf und Datenabflüsse von Endgeräten, bevor es zu einer Zustimmung nach Art. 25 TTDSG durch den Besucher gekommen ist sowie unwirksame Einwilligungen aufgrund der fehlenden Möglichkeit des einfachen Ablehnens auf der ersten Ebene des Consent-Managements. Die Überprüfung weiterer Webseiten durch das BayLDA wurde in einer Pressemitteilung von Anfang Februar 2024 bereits angekündigt. Mehr Infos im Blog-Beitrag.
Wer auf die Idee kommen sollte, der Verarbeitung seiner personenbezogenen Daten durch das Finanzamt basierend auf den Betroffenenrechten der DSGVO zu widersprechen, sollte sich mit diesem Urteil aus 2023 des Bundesfinanzhofs befassen. Kategorie: Ein netter Versuch. Doch lies selbst mehr in unserem Blogbeitrag.
Bundesinnenministerin Nancy Faeser wünscht sich von Unternehmen eine klare Kante gegen Rechts. Für uns eine Selbstverständlichkeit. Dennoch ein paar Zeilen dazu bei uns im Blog. #klarekantegegenrechts, weil es unsere Überzeugung ist.
Das "neue" Outlook für den Desktop von Microsoft (als Nachfolger der "klassischen" Version) zieht nicht nur die Zugangsdaten aller eingerichteten Mailkonten ab, sondern "spiegelt" die Inhalte in die Microsoft Cloud. Microsoft äußert sich dazu nur nebulös, was damit bezweckt werden soll. Datenschutz schlagen Alarm. Der Landesdatenschutzbeauftragte Thüringen warnte am 17.11.2023 in einer offiziellen Pressemeldung.
Die aktuelle ISMS-Fördermittelrichtlinie zur finanziellen Untersützung der Einführung eines Informationssicherheitsmanagementsystems im Sinne von Art. 43 BayDiG läuft zum 31.12.2023 aus. Wie Sie sich als bayersiche Kommune noch schnell Fördermittel für eine Umsetzung in 2024 / 2025 sichern, erfahren Sie im Blogbeitrag. Derzeit haben wir noch etwas Luft im zweiten Halbjahr, um Sie in gewohnter Umsetzungsqualität zu unterstützen. Dabei ist es egal, für welchen Standard Sie sich entscheiden: Arbeitshilfe, CISIS12, ISMS4KMO, BSI IT-Grundschutz (Kommunalprofil, Basis-Absicherung, Kern- oder Standardabsicherung) oder ISO 27001. Unser Team ist für alle Standards qualifiziert bzw. zertifiziert. Es heißt "schnell sein". Die Fördermittelstelle kann nach einem Antragseingang nach dem 15.11 2023 nicht mehr garantieren, ob es mit einer Förderzusage noch klappt.
Das Langericht Berlin urteilt: Signalisiert ein Webseitenbesucher mittels der Einstellung Do-Not-Track (DNT), dass sein Surfverhalten nicht aufgezeichnet, nicht analysiert und damit auch nicht an Dritte weitergegeben werden soll, so hat der Webseitenbetreiber dies als wirksamen Widerspruch zu behandeln und darf diesen nicht ignorieren. Erstritten hat das Urteil der Verbraucherzentrale Bundesverband e.V. Details im Blogbeitrag.
Zu Beginn der Corona-Pandemie mussten sich viele Organisationen etwas einfallen lassen, wie auch ohne das tägliche Ins-Büro-Gehen die Arbeitsleistungen der Mitarbeiter abgerufen werden konnten. Je nach Sichtweise läutete Corona nicht nur eine Pandemie neuen Ausmaßes, sondern auch das Thema "new work" bei vielen Organisationen ein. Gewohnte und eingefahrene Arbeitsweisen und Rituale mussten über Bord geworfen und durch neue Methoden und teilweise auch neue Technologien ersetzt werden. In vielen Fällen war damals bzw. ist heute noch das Home Office Mittel erster Wahl. Das beflügelte wiederum die Fantasie einiger Führungskräfte, wie die Arbeitsleitung der Mitarbeiter im Home Office - idealerweise vollumfänglich - überwacht werden kann. Einige dieser Überwachungsmaßnahmen schafften es in den 12. Tätigkeitsbericht 2022 des BayLDA. So viel sei verraten: Der Datenschutz ist hier nicht das Problem :-) Mehr im Blogbeitrag.
Das BSI stellt vor: WiBA - Weg in die Basis-Absicherung. Wem als Kommune oder Firma das sog. "Kommunalprofil" oder die eigentliche Basis-Absicherung des IT-Grundschutzes noch als zu aufwändig erscheint, kann mittels WiBA erste Schritte in deren Richtung unternehmen. In 18 Kapiteln mit handverlesenen (und wenigen) Fragen zur Informationssicherheit kann der Status Quo des eigenen Sicherheitsniveaus grob identifiziert werden. Einen kontinuierlichen Betrieb eines Sicherheitskonzepts kann WiBA jedoch nicht leisten. Dazu sind die größeren Informationssicherheitsmanagementsysteme notwendig. Wie eben die BSI IT-Grundschutz Basis-Absicherung, ISO 27001, die sog. "Arbeitshilfe" der Innovationsstiftung Bayerische Kommune, ISIS12 / CISIS12 oder z.B. ISMS4KMO. Aber jeder Schritt hin zu mehr Informationssicherheit zählt. Von daher, well done, BSI. Mehr im Blogbeitrag.
Der korrekte Umgang mit Bewerberdaten hält einige Stolperfallen bereit. Welche grundlegenden Anforderungen im Umgang mit Bewerberdaten zu beachten sind, erfahren Sie in unserem Kurzbeitrag.
Wir freuen uns, dass wir ab sofort bayerischen Kommunen den notwendigen Auditor bieten und das Fördermittelaudit Kommunalprofil und Basis-Absicherung des BSI IT-Grundschutz auf Basis eines belastbaren und nachvollziehbaren Prüfschemas durchführen können.
Berufliche soziale Netzwerke wie LinkedIn oder XING erfreuen Personaler und Personaldienstleister als unerschöpflicher Quell an potentiellen Jobkandidaten. Dasselbe gilt für im beruflichen Kontext betriebene Webseiten. Doch einfach Kontaktdaten abschöpfen, ist nicht lt. dem Hessischen Datenschutz- und Informationsfreiheitsbeauftragten (HBDI). In seinem 51. Tätigkeitsbericht für das Jahr 2022 zeigt er ausführlich die Anforderungen an die Rechtmäßigkeit der Datenerhebung sowie die Erteilung der vollständigen und transparenten Informationspflichten nach Art. 14 DSGVO auf. Wie das rechtskonform gelingen kann und weitere Details dazu in unserem Blogbeitrag.
Zeit für den Frühjahrsputz im Verzeichnis von Verarbeitungstätigkeiten (VVT). Der Start der DSGVO ist mittlerweile ein paar Jahre her. Und das damals - hoffentlich - erstellte VVT vielleicht etwas angestaubt mittlerweile. Ein guter Zeitpunkt, sowohl die dazugehörigen organisatorischen Grundlagen und Prozesse, aber auch die Aktualität des VVT zu prüfen. Bei Bedarf kann und sollte man auch gleich die verantwortlichen Führungskräfte zum Thema wieder sensibilisieren. Der BayLfD hat dazu eine Kurzinformation veröffentlicht, die nicht nur für öffentliche Stellen gute Tipps und Vorgehensweisen parat hält.
"Einträge im Outlook Kalender zu Bewerbungsgesprächen sollten keine weitergehenden Notizen und Informationen zu den teilnehmenden Bewerber:innen enthalten." schreibt das BayLDA in seinem Tätigkeitsbericht für 2021. Welche rechtlichen Fallstricke im Datenschutz sich durch eine zu ausgiebige Nutzung der Kalenderfunktion für die Organisation ergeben können und wie man durch einheitliche Vorgaben Abhilfe schaffen kann, beschreiben wir in unserem Blogbeitrag.
"Cold Call nix gut" ist nicht das einzige Fazit, das man aus dem Gesetz gegen den unlauteren Wettbewerb, konkret § 7 UWG herauslesen kann. Auch bei anderen Werbekanälen wie Email-Marketing droht schnell rechtlicher Ärger. Dieser wird dann schnell und gerne dem Motto "Datenschutz ist an allem schuld" zugeschrieben. Dabei ist das UWG dann doch schon deutlich älter als BDSG und DSGVO. Und es schiebt dem ungezügelten Werbetreiben einen Riegel vor, noch lange bevor unsere Datenschutzgesetze sich zu dem Thema auch äußern. Welche Fallstricke es dabei zu beachten gilt und wie man mögliche Risiken von vornherein vermeiden kann, erläutern wir in unserem Blogbeitrag. Dieser stellt keine Rechtsberatung dar, kann aber zumindest als erste Übersicht dienen, wo und wie man sich als Werbetreibender die Finger verbrennen kann. Und es ist wirklich so: Daran ist nicht der Datenschutz schuld. Beispiele aus der Praxis, einige relevante Urteile zum Thema Werbung und zahlreiche ungerechtfertigte Unterstellungen in Richtung Datenschutz lesen Sie in unserem Blogbeitrag.
Nicht nur für aktive Informationssicherheitsbeauftragte interessant. Und nachdem es die Pandemie-Umstände zulassen, dieses Jahr wieder als 2-tägige Vor-Ort-Veranstaltung: Das BVS ISB Boot Camp 2023 in Gunzenhausen am 28.03. und 29.03.2023. Informationssicherheitsbeauftragte, IT-Sicherheitsbeauftragte, aber auch Datenschutzbeauftragte und IT-Leiter treffen sich zum Erfahrungsaustausch und Netzwerken rund um aktuelle Themen der Informationssicherheit, der IT-Sicherheit und des Datenschutzes. Als Referenten konnten zahlreiche aktive Informationssicherheitsbeauftragte aus Kommunalverwaltungen und Unternehmen gewonnen werden, die gerne ihre Erfahrungen teilen und sich freuen, mit den Teilnehmern in interessante Diskussionen einzutreten. Details zum Programm und der Anmeldung im Blogbeitrag.
Dreh- und Angelpunkt des Artikel 32 DSGVO sind die technischen und organisatorischen Maßnahmen, auch kurz TOM genannt. Mittels einer geeigneten Auswahl und Anwendung dieser Schutzmaßnahmen (quasi eine Art Werkzeugkasten) sollen personenbezogene Daten vor den alltäglichen Risiken bei deren Verarbeitung (also Erhebung, Speicherung, Nutzung, aber auch beabsichtigter Löschung und Vernichtung) geschützt werden. Dabei soll nicht alles an Schutzmaßnahmen ergriffen werden, was irgendwie geht, sondern der Gesetzgeber spricht von einer Angemessenheit. Die Schutzmaßnahmen müssen also zum Schutzwert der betroffenen personenbezogenen Daten passen. Dabei sollen dann auch Faktoren wie die Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß berücksichtigt werden. Das hier eigentlich nichts anderes als ein Informationssicherheitskonzept bzw. Informationssicherheitsmanagementsystem (ISMS) gemeint ist, erklären wir im Blogbeitrag. Dazu stellen wir mögliche Standards vor, mit denen Sie die Anforderungen bestens erfüllen können. Allen voran - als Einstieg für große Organisationen und als ISMS für kleine Kommunen und Firmen bestens geeignet - die sog. "Arbeitshilfe".
Wie eine Komfort-Funktion von Fritz!Fon und Fritz!Box das interne WLAN durch Anzeige der Zugangsdaten im Klartext für Besucher schwächen. Es gibt Abhilfe. Diese ist aber nur suboptimal dokumentiert. Wo das Problem liegt und wie Sie es lösen können, beschreiben wir in diesem Blogbeitrag.
Uns erreichen immer wieder Fragen zu unserer kostenfreien Checkliste TOM Auftragsverarbeitung Art. 28, 32 DSGVO per Email. Hier die Antworten dazu in gebündelter Form.
Kennen Sie schon unser regelmäßiges Webinar "Einführung in die Grundlagen des Datenschutzes DSGVO" für neue Mitarbeiter und zur Auffrischung? Keine Zeit oder Gelegenheit, neue Mitarbeiter stets direkt nach der Anstellung mit diesem Thema vertraut zu machen? Liegt die letzte Datenschutz-Schulung für Ihre Mitarbeiter schon länger zurück? Dann ist unser üblicherweise monatlich stattfindendes Webinar genau das Richtige für Ihre Organisation. Auf humorvolle Art und Weise machen wir Ihre Mitarbeiter in 90 Minuten mit den Grundlagen vertraut. Wir wollen dabei keine Datenschutz-Profis ausbilden, sondern für das Thema generell sensibilisieren und den Grundstein für eine stets frühzeitige Einbindung des Datenschutzbeauftragten legen. Fragen dazu? Antworten im Beitrag. Wir freuen uns auf Sie!
Meistgelesen
Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO — technische und organisatorische Maßnahmen 
Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster 
Rechnung per Email versenden und der Datenschutz 
Tipp: Microsoft Analytics “MyAnalytics” in Office 365 deaktivieren 
Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert
Partner / Kooperationen
Anwaltskanzlei Diercks, Hamburg
Spirit Legal Rechtsanwälte, Leipzig
RA Stephan Hansen-Oest, Flensburg
Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
Gesellschaft für kommunalen Datenschutz (GKDS), München
Datenschutz Schmidt (Datenschutz Assistent), Lauf a.d. Pegnitz
Hahn IT Services, Schwaig
Mitgliedschaften
