Zum Inhalt springen

Extern bestellter DSB

Ihr Datenschutzbeauftragter EU-DSGVO / BDSG

  • Datenschutz
    • EU DSGVO
    • Leitfaden
    • Artikel 1 – 46
    • Grundprinzipien Art. 5
    • WEBINAR
  • Blog
    • Data Breach
    • EU DSGVO
    • Cyber Risiken
    • Datenschutzbeauftragter
    • Die Medien berichten über zoom
    • SSO / Passwort Wahl
  • Impressum
    • Cookie Einwilligung
    • Cookie Historie
  • Kontakt
  • Suche
  • 069 6657 5962
  • Datenschutz
    • EU DSGVO
    • Leitfaden
    • Artikel 1 – 46
    • Grundprinzipien Art. 5
    • WEBINAR
  • Blog
    • Data Breach
    • EU DSGVO
    • Cyber Risiken
    • Datenschutzbeauftragter
    • Die Medien berichten über zoom
    • SSO / Passwort Wahl
  • Impressum
    • Cookie Einwilligung
    • Cookie Historie
  • Kontakt
  • Suche

Kategorie-Archive: Blog

  • Startseite
  • Archive nach Kategorien "Blog"

Bisher gefährlichste Schadsoftware

Stand: 27.01.2021 14:16 Uhr

Deutsche Ermittler haben die Infrastruktur der weltweit als am gefährlichsten geltenden Schadsoftware „Emotet“ übernommen und zerschlagen. Die Software hatte auch die IT-Infrastruktur von Behörden und Kliniken angegriffen.Sie gilt als weltweit gefährlichste Schadsoftware:

Dies sei am Dienstag im Rahmen einer internationalen Aktion gelungen, teilten das BKA und die Generalstaatsanwaltschaft Frankfurt am Main mit.

Quelle: https://www.tagesschau.de/wirtschaft/emotet-bka-101.html

  • 27 Jan, 2021
  • (0) Kommentare
  • Von Redakteur
  • Cyber Risiken

Betroffenenrechte Videokonferenz

Betroffenenrechte Videokonferenz

Rechte des Betroffenen

  1. Transparenz und Modalitäten
  2. Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
  3. Berichtigung und Löschung
  4. Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
  5. Recht auf Einschränkung der Verarbeitung

Auszug EU-DSGVO

Abschnitt 1 – Transparenz und Modalitäten

Artikel 12 – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Abschnitt 2 – Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Artikel 15 – Auskunftsrecht der betroffenen Person

Abschnitt 3 – Berichtigung und Löschung

Artikel 16 – Recht auf Berichtigung

Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)

Artikel 18 – Recht auf Einschränkung der Verarbeitung
Artikel 19 – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Artikel 20 – Recht auf Datenübertragbarkeit

Abschnitt 4 – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Artikel 21- Widerspruchsrecht
Artikel 22 – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Abschnitt 5 – Beschränkungen

Artikel 23 – Beschränkungen

Maßnahmen

Alle Maßnahmen in Bezug auf Videokonferenzen sind obligatorisch durchzuführen:

  • Verfahrensverzeichnis
  • Beschreibung der technischen und organisatorischen Maßnahmen
  • Regelung der Auftragsverarbeitung
  • Rechtsgrundlage der Verarbeitung
  • Berechtigtes Interesse nach Art. 6 (1) lit. f DSGVO
  • Vertragliche oder vorvertragliche Maßnahme nach Art. 6 (1) lit. b DSGVO
  • Einwilligung nach Art. 6 (1) lit. a DSGVO

Datenschutz

Die Auswahl des Videokonferenzsystem in Bezug auf den Datenschutz:

  • Herkunftsland des Anbieters. Ist dies aus dem nicht europäischen Raum (Drittland), muss das Datenschutzniveau gewährleistet werden.
  • Zudem muss der Hersteller einen AV Vertrag anbieten, wenn der Dienst als Service angeboten wird.
  • Ob Sie den Dienst als SaaS (Software as a Service) oder als on-Premise auf eigenen Servern nutzen möchten.
  • Welche Privacy by Design und Privacy by Default Einstellungen durch die Meeting-Software möglich sind.

Anforderungen in Bezug auf Privacy by Default und Privacy by Design

Privacy

  • Passwortvergabe bei Meetings
  • Warteraum für Teilnehmer, bevor Meeting offiziell beginnt
  • Moderator kann Mikrofon aller Teilnehmer stumm schalten
  • Teilnehmer können Kamera und Mikrofon manuell ein- und ausschalten
  • Bildschirmübertragung muss durch den Teilnehmer aktiviert werden
  • Konfiguration der Löschung von Protokolldateien vorhanden
  • Aufzeichnung des Meetings nur mit Wissen der Teilnehmer
  • 20 Mai, 2020
  • (0) Kommentare
  • Von Redakteur
  • EU DSGVO

Videokonferenzen nach DSGVO

Videokonferenzen nach DSGVO

Vorwort

Wo personenbezogene Daten verwendet werden, müssen Regeln beachtet werden.

Meine Erläuterungen zum BDSG und DSGVO stellen keine Rechtsberatung dar. Es ist meine persönliche Auffassung basierend auf geltenden Gesetzestexte. Aus Gründen der Übersichtlichkeit kann ich den Gesetzestext nicht vollständig zitieren, dieser kann aber im Internet eingesehen werden. Die DSGVO Artikel sind jeweils so miteinander verknüpft, daß wenn nur Auszüge erwähnt werden, diese nicht mehr im Zusammenhang erscheinen würden. Deshalb gilt immer die EU Verordnung im Original zu lesen und sie aus diesem Grund nur in ihrer Gesamtheit ihre Gültigkeit hat.

Videokonferenz Software

Video Collaboration / Videokonferenz Lösungen aus den USA verwenden?

Es ist nicht nötig Software Anwendungen US amerikanischer Anbieter zu verwenden, wenn ebenfalls europäische Videokonferenz Anbieter zur Verfügung stehen, und Ihre Lösungen EU-DSGVO konform mit hohem Datenschutz Niveau anbieten, wie z.B. in einem Rechenzentrum in Deutschland.

on-Premise Videokonferenz Hardware

Anstatt Videokonferenz Software kann auch reine Videokonferenz Hardware als on-Premise Lösung zum Einsatz kommen, ganz ohne Software eines Cloud Anbieters.

Videokonferenz Hardware
Videokonferenz Hardware

Unternehmen sind in der Lage eigene Server in einem deutschen Rechenzentrum EU-DSVGO konform zu betreiben.

Videokonferenz Server
Videokonferenz Server

Damit besteht die Möglichkeit so viele Benutzer anzulegen wie nötig, damit Mitarbeiter Ihre Teammeetings abhalten können. Bei einer solchen Lösung für Webkonferenzen und Videokonferenzen werden auch oft sogenannte „Concurrent User“ Lizenzen beim Software Anbieter fällig. Dafür erhält ein Unternehmen / Organisation eine professionelle Lösung die durch Updates, ständige Weiterentwicklung, Verbesserung und Implementation neuer Sicherheits- Technologien auf dem neuesten Stand der Technik gehalten wird. Gemäß EU-DSGVO Artikel 25 und Artikel 32 vorgeschrieben. Und es müssen die Betroffenenrechte eingehalten werden: siehe Artikel 12-23.

BDSG und DSGVO

Das Bundesdatenschutzgesetz (BDSG) ist gemäß Art. 8 Abs. 1 Satz 1 am 25.5.2018 in Kraft getreten.
Das Bundesdatenschutzgesetz ergänzt die europäische Datenschutz-Grundverordnung (DSGVO) in einigen wichtigen Punkten. Dabei hat der deutsche Gesetzgeber von zahlreichen Öffnungsklauseln der DSGVO Gebrauch gemacht. Nachdem das neue Bundesdatenschutzgesetz mit der DSGVO 2018 in Kraft trat, wurde es mittlerweile erneut überarbeitet.
Seit Geltung kann daher nicht nur auf ein Gesetz zurückgegriffen werden, sondern es muss stets die DSGVO und das BDSG gemeinsam herangezogen werden.

Datenübertragung ins Ausland

Der Anbieter muss die Videokonferenz Daten mit ausreichender Sicherheit Datenschutz-konform verarbeiten. Wenn der Anbieter in der EU ansässig ist, dann gilt für ihn automatisch die europäische Datenschutzgrundverordnung.

Anders ist es, wenn der Anbieter Deiner Konferenz-Software nicht in der EU sitzt. Daten dürfen nur dann aus der EU heraus exportieren, wenn die EU festgestellt hat, das in dem Zielland ein mit der EU vergleichbares Datenschutzniveau besteht. Das ist etwa in Bezug auf die Schweiz, Japan oder Kanada der Fall.

US-Anbieter dürfen nur verwenden werden wenn sie bei privacy shield registriert sind. Das ist ein Abkommen zwischen den USA und der EU.
| Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield für ungültig.
Danach erkannte die EU den gleichwertigen Datenschutz wie in der EU für US-Anbieter dann an, wenn sich der Empfänger der Daten (also der Webinar- oder Konferenzanbieter) in den USA dem privacy shield Abkommen unterworfen hat. „Am 16.07.2020 vom EuGH für ungültig erklärt“. Einige Anbieter in den USA behaupten auf Ihrer Website dass Sie GDPR / DSGVO konform arbeiten, aber überhaupt nicht bei privacy shield registriert sind.

Es gibt zwar noch weitere Möglichkeiten, wie man US-Anbieter auch ohne privacy shield verwenden kann, aber das ist einigermaßen komplex und ist nicht notwendig da es europäische Anbieter gibt.

Nach meiner Auffassung ist es nicht ratsam Unternehmens-Daten in Länder ausserhalb der EU zu übertragen oder zu speichern, wenn diese Daten sensibler Art sind und direkt auch in deutschen Rechenzentren gespeichert werden können.

Der Europäische Gerichtshof gibt mir recht, so wie ich schon seit langem der Ansicht war, ist das EU-US Privacy Shield für ungültig erklärt worden.

Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield für ungültig.

Die Möglichkeit personenbezogene Daten Datenschutz konform in die USA zu übertragen ist nach DSGVO möglich, aber es geht auch generell um sensible Daten bei denen es nicht sinnvoll ist, dass diese zwangsläufig über Drittstaaten transferiert werden müssen. Ich denke dabei um Know How, Patente und sensiblen Informationen die von europäischen Unternehmen über das Internet ausgetauscht werden. Wenn Informationen während eines Online Meetings über US amerikanische Server und deren Infrastruktur ausgetauscht werden ist es ein Fall für die Informations Sicherheit die ein jeder ISO (Information Security Officer) zur Aufgabe hat zu wahren.

Aktuelles Beispiel

Ihre Daten werden bei Zoom die EU verlassen, wollen Sie die EU-DSGVO achten oder mißachten?

Original Wortlaut: Sie sind über Rechenzentren in den USA mit Zoom Globales Netzwerk verbunden.

Screenshot:

Stand 2020 nach den Medienberichten, ist aktuell nachvollziehbar dass im März 2019 das nach dem Privacy Shield Abkommen die Datenschutz Richtlinien eingehalten werden. Tatsächlich aber viele Verstöße zu Tage gebracht wurden.

Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield für ungültig.

EU-US Privacy Shield

Für den EU-US Privacy Shield hat die Kommission die Angemessenheit des Datenschutzniveaus für zertifizierte Unternehmen in den USA festgestellt.

Wurde am 16.07.2020 vom europäischen Gerichtshof für ungültig erklärt.

Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield für ungültig.

Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Beschluss der EU-Kommission. Die Kommission hatte am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen; seitdem konnte das Übereinkommen bis Juli 2020 angewendet werden.

Die Absprache regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie war notwendig geworden, nachdem der Europäische Gerichtshof im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hatte.

Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield für ungültig.

https://de.wikipedia.org/wiki/EU-US_Privacy_Shield

Quelle: https://de.wikipedia.org/wiki/EU-US_Privacy_Shield

Data Breach (Datenleck)

Verstöße trotz EU-US Privacy Shield

Die Medien berichten regelmäßig über Datenschutz Verstöße!

Das EU-US Privacy Shield zwischen der USA und der EU ist keine Garantie dass Ihre Daten tatsächlich sicher sind.

Mit zahlreichen Verstößen hat das Unternehmen zoom Schlagzeilen gemacht.

Externe Links zum Thema:

https://dsgvo-gesetz.de/themen/drittland/
https://www.bitkom.org/sites/default/files/file/import/LF-Verarbeitung-personenbezogener-Daten-DE-online-final.pdf

Video Kommunikations Lösungen

Es existieren professionelle Videokonferenz Lösungen, die von der deutschen und europäischen Wirtschaft im geschäftlichen Umfeld verwendet werden. Diese namhaften Hersteller halten sich an die DSGVO. Internet Anwender sollten deshalb professionelle Lösungen nutzen. Man kann nicht erwarten dass kostenlose Tools alles bieten was nötig ist.

Videokonferenzen nach DSGVO

Internationale Anbieter

Bekannte internationale Videokonferenz Hersteller mit professionellen Lösungen für den Konferenzraum, für Arbeitsplätze und mobile Videokommunikation: Avaya, Cisco, Sony, LifeSize, Poly, RHUB TurboMeeting, TrueConf, Vidyo, Yealink (Aufzählung nicht vollständig).

Europäische Anbieter

Namhafter europäischer Videokonferenz Hersteller mit professionellen Lösungen für den Konferenzraum, für Arbeitsplätze und mobile Videokommunikation (Aufzählung nicht vollständig): Wildix Lösungen: Kite, ubiconf, Wizyconf

Externe Links zum Thema:

  • https://www.videokonferenzsysteme.info/webkonferenzen-mit-datenschutz-gemass-eu-dsgvo/
  • https://www.fahr-telecom.eu/sichere-webkonferenzen-mit-webrtc
fachliche Beratung

Folgende Punkte bitte beachten

  1. Wählen Sie eine europäische Videokonferenz Lösung
  2. Führen Sie Awareness Schulungen durch
  3. Einhaltung des Datenschutz bei Einladungsemail
  4. Einhaltung der Informationspflicht nach Art. 13
  5. Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten
  6. Informieren Sie Teilnehmer falls eine Aufzeichnung erfolgt
  7. Betreiben Sie die Server selbst bzw. deutschen Rechenzentrum
  8. Achten Sie auf einen aktuellen Service Vertrag
  9. Führen Sie regelmäßig Sicherheits Updates durch

Kriterien für die Videokonferenz Software

  1. Teilnehmer sollten möglichst kein Client Installation benötigen
  2. Einfachste Bedienung ohne komplizierte Bedienelemente
  3. Falls möglich Zwei-Faktor Authentisierung für Benutzerkonten
  4. Stellen Sie fest ob Sie eine Auftragsdatenverarbeitung benötigen
  5. Ist die Videokonferenz Datenschutz geprüft
  6. Sicheres Echtzeit Transportprotokoll
  7. Videokonferenz mit Verschlüsselung
  8. Falls möglich eine Passwortabfrage zur Meeting Teilnahme

Kriterien für die Videokonferenz Hardware

  1. Achten Sie auf gute Sprachverständlichkeit
    Verwenden Sie Headsets oder Freisprech Mikrofone
    Freisprech Mikrofone nur mit Echo Cancelling
  2. Achten Sie auf gute Kamera Qualität
    Full HD oder Ultra HD Kameras
  3. Schränken Sie sich nicht auf ein bestimmtes System ein
    Wählen Sie ein Universal Videokonferenz System

Technische Kriterien

  • Verwenden Sie einen Rechner mit ausrechender Rechenleistung
  • Meiden Sie zumindest als Vortragender auf WLAN
  • Die Internet Bandbreite muss gewährleistet sein
FACHLICHE BERATUNG

Epilog

Verantwortlicher der Datenverarbeitung

Sind die Unternehmen DSGVO konform, haben Sie Ihre Mitarbeiter auf den Datenschutz und dem Umgang mit modernen Collaboration Tools geschult?Der Verantwortliche der Verarbeitung muss ebenfalls die DSGVO einhalten. Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Sensibilisierungen der Mitarbeiter durch Schulungen Stichwort: „Risikofaktor Mensch“.

Der Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Die Verantwortung dafür liegt beim Verantwortlichen als Veranstalter.

Awareness Schulungen

Die Sicherheit von sensiblen Daten sollte stets gewährleistet sein und die Mitarbeiter zu dem Thema Datenschutz geschult werden, denn schnell geraten vertrauliche Unternehmensdaten in die falschen Hände.

Externer Link: Meetings datenschutzkonform organisieren
https://www.datenschutz-praxis.de/fachartikel/meetings-datenschutzkonform-organisieren/

Artikel 13 DSGVO – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Der Hinweis in der Einladungs email zum Online Meeting muss jedoch unmittelbar bei der Dateneingabe gut erkennbar sein: „Zur Durchführung des Online-Meetings mit „………………“ werden Ihre Daten im Rahmen unserer Datenschutzerklärung verarbeitet.“ (Datenschutzerklärung als Link). Ggf. noch den Hinweis: den Termin bitte bestätigen

Sind die Hausaufgaben gemäß DSGVO gemacht?

Artikel 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten
https://dsgvo-gesetz.de/art-30-dsgvo/

Artikel 35 DSGVO – Datenschutz-Folgenabschätzung
https://dsgvo-gesetz.de/art-35-dsgvo/

Wer ist Verantwortlicher der Datenverarbeitung?

Artikel 4 DSGVO – Begriffsbestimmungen
https://dsgvo-gesetz.de/art-4-dsgvo/

Die Bestimmung der Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung EU-DSGVO wird hier beschrieben:
https://www.datenschutzbeauftragter-info.de/bestimmung-der-verantwortlichkeit-im-sinne-der-dsgvo/

Externer Link zu Thema:
https://dsgvo-gesetz.de/kapitel-4/

E2EE Verschlüsselung erklärt:
https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/

Vergleich der Systeme (Feststellung siehe Link oben)

Tatsache ist dass alle Endkunden die uns täglich anrufen, genau diese gängigen Applikationen verwenden und nichts daran ändern wollen.

  • Skype realisiert keine effektive Ende-zu-Ende-Verschlüsselung
  • Microsoft Teams hat keine effektive Ende-zu-Ende-Verschlüsselung
  • Zoom besitzt keine Ende zu Ende Verschlüsselung
  • GotoMeeting hat keine Ende zu Ende Verschlüsselung
  • Google Hangout Meet hat keine Ende zu Ende Verschlüsselung
  • WebEx hat standardmäßig keine Ende zu Ende Verschlüsselung
  • LifeSize Cloud hat keine Ende zu Ende Verschlüsselung
  • Blizz – es wird keine Ende-zu-Ende-Verschlüsselung realisiert

E2EE ontop vorhandener DTLS-SRTP-Implementierung

Die gute Nachricht ist, dass der Ansatz gerade umsetzbar wurde! Das Google WebRTC-Team ist derzeit dabei, dem Chromium-Ökosystem eine brandneue Funktion hinzuzufügen, die als Insertable Streams bezeichnet wird . Die Funktion bietet WebRTC-Apps Zugriff auf Audio- und Videobilder, nachdem sie codiert wurden, aber bevor sie im Netzwerk gesendet wurden.

Insertable Streams in WebRTC
Vor rund drei Jahren hat sich die PERC-Arbeitsgruppe (Privacy Enhanced RTP Conferencing) der IETF für ein Transportdesign entschieden, das einen angemessenen Weg zur End-to-End-Verschlüsselung (e2ee) in WebRTC-Konferenzen ermöglichen könnte. Die Idee ist, dass Konferenzen nicht versuchen, die vorhandene DTLS-SRTP-Implementierung zu optimieren, sondern einfach die zusätzliche Ebene des e2e-Schutzes über die vorhandene hinzufügen können.

  • 12 Apr, 2020
  • (2) Kommentare
  • Von Redakteur
  • EU DSGVO

Tausende Patientendaten frei abrufbar!

Patientendaten einer Arztpraxis in Celle waren über Monate frei im Internet abrufbar. Grund für das Datenleck: ein fehlkonfigurierter Telekom-Router.
Quelle: https://www.zm-online.de/news/praxis/tausende-patientendaten-frei-abrufbar/

  • 28 Nov, 2019
  • (0) Kommentare
  • Von Redakteur
  • Cyber Risiken

Ärzte und Apotheker unterschätzen das Cyberrisiko

Viele Ärzte und Apotheker unterschätzten das individuelle Risiko einer Cyberattacke fahrlässig – dafür überschätzen sie die Qualität ihrer IT-Sicherheit. Das ist das Ergebnis einer Untersuchung des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV).
Quelle: https://www.zm-online.de/news/praxis/aerzte-und-apotheker-unterschaetzen-das-cyberrisiko/

  • 28 Nov, 2019
  • (0) Kommentare
  • Von Redakteur
  • Cyber Risiken

So teuer ist eine Cyberattacke!

Den meisten niedergelassenen Ärzte und Apotheker wissen, dass funktionierende Computersysteme für ihre Arbeit wichtig sind. Doch das Risiko, selbst Opfer eines Cyberangriffs zu werden, blenden viele aus – zum Glück trifft es immer nur die anderen. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat in zwei Musterszenarien dargestellt, wie eine Cyberattacke verlaufen kann – und welche Summe eine Cyber-Versicherung decken würde.
Quelle: https://www.zm-online.de/archiv/2019/10/praxis/so-teuer-ist-eine-cyberattacke/

  • 28 Nov, 2019
  • (0) Kommentare
  • Von Redakteur
  • Cyber Risiken
TEL. 069 66575962
Schlagwortsuche
Suchbegriff:

© Ihr externer Datenschutz Beauftragter gemäß §4f