Donnerstag, 28. Juli 2016

Riskante Datentransfers - WhatsApp-Verwendung kann für Unternehmen teuer werden

Der zweifelhafte Datenschutz von Facebook steht schon seit Jahren in der Kritik - auch das mittlerweile zu dem sozialen Netzwerk gehörende WhatsApp ist davon betroffen. Während private Nutzer kein großes Risiko eingehen, kann die Verwen-dung durch Unternehmen schwere Strafen nach sich ziehen - denn die betriebliche Nutzung unterliegt den Regelungen des Bundesdatenschutzgesetzes BDSG. Technische und organisatorische Maßnahmen sind zu treffen.


Datenschutz-Konflikt - WhatsApp-Verwendung kann für Unternehmen teuer werden

Problematische Übertragung der Kontakte an WhatsApp


Gerade konnte WhatsApp einmal positive Pressemeldungen generieren. Dank der Einführung der Ende-zu-Ende-Verschlüsselung ist es Dritten beinahe unmöglich, die Nachrichtenübertragung abzufangen.

Doch eine andere Sicherheitslücke ist damit noch nicht geschlossen:

Ein falscher Knopfdruck und die Übertragung aller Kontakte aus dem Adressbuch des Nutzers an den Messenger-Diensteanbieter beginn. Dies gilt auch weiterhin als datenschutzrechtlich problematisch. Weshalb? Die "Kontakte" in Ihrem Smartphone haben in der Regel nicht in die Übertragung an WhatsApp eingewilligt.

Peter Burgstaller, österreichischer Professor für IT- und IP-Recht, geht davon aus, dass es sich dabei um einen strafbaren Verstoß gegen europäisches Datenschutzrecht handelt. Folgt man der Auffassung des Rechtsgelehrten, wäre dabei nicht nur Dienstanbieter, sondern auch der Nutzer in Haftung zu nehmen - schließlich sei ihm die Übertragung der Kontakte und damit der Verstoß gegen das Datenschutz-recht bekannt.

Private Nutzung rechtlich unproblematisch


Andere Juristen wiegeln ab: Bei einer Verwendung der App mit der Familie oder Freunden habe man keine Konsequenzen zu befürchten, so Rechtsanwalt Christian Solmecke von WBS Law. Er geht davon aus, dass das Bundesdatenschutzgesetz in einem solchen Fall nicht greife. Maximal sei eine Verletzung des Persönlichkeitsrechts gegeben. Doch auch Solmecke sieht diese Art der Kontaktdaten-Übertragung problematisch. WhatsApp begehe damit sehr wohl einen Verstoß gegen das Datenschutzgesetz und müssen mit der Verhängung von Geldstrafen rechnen. Dass es dazu noch nicht gekommen ist, ist mutmaßlich auf das bisherige Ausbleiben von Klagen durch Verbraucherschützer zurückzuführen. Mutterkonzern Facebook musste diese Erfahrung kürzlich bereits machen: Auch hier wurde festgestellt, dass die "Freunde finden"-Funktion gegen den Datenschutz verstoße und gleichzeitig eine belästigende Werbung darstelle. Der Unterschied dabei besteht in der Wichtigkeit für die beiden Dienste. Während Facebook auf diese Funktion problemlos verzichten kann, dürfte es WhatsApp durchaus Schwierigkeiten bereiten, eine Alternative für den Abgleich der Kontaktdaten zu finden. Möglicherweise könnten diese Daten aber bereits vor dem Versand an die Unternehmensserver verschlüsselt werden.

Unternehmen sollten von WhatsApp absehen


Bis diese Frage geklärt ist, sollten verantwortliche Geschäftsführer und IT-Leiter in den Unternehmen alarmiert sein. Denn während der private Gebrauch nicht den Regeln des Bundesdatenschutzgesetzes unterliegt, könnten die Behörden an Unternehmen sehr wohl hohe Bußgelder verhängen. Ebenso ratsam ist es, auch den gemischten beruflichen und privaten Gebrauch der App zu unterlassen, weil auch hier die strenge Gesetzgebung zur Anwendung kommt. Die einhellige Empfehlung der Juristen lautet daher, besser auf die berufliche Nutzung von WhatsApp zu verzichten. Ggf. sollten Sie auf einen weniger neugierigen Anbieter setzen.

Hinterfragt man die betriebliche Nutzung der Dienste von WhatsApp aus Geschäftsprozess-Sicht kann man schnell zu dem Ergebnis kommen, dass man das Bedürfnis der Mitarbeiter zur schnellen und unkomplizierten Kommunikation auch mit anderen - vielleicht sogar hausinternen - integrierten Lösungen darstellen kann. Hier gilt wie so oft: Integration statt Insellösungen - mit DOCUframe.

Übrigens: Die private Nutzung von WhatsApp auf einem Firmengerät stellt im Regelfall ebenfalls einen Verstoß dar.

Ausgezeichnete Datenschutz-Beratung gewünscht


yourIT ist BEST OF CONSULTING 2016. Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet. Wir freuen uns auf Ihre Anfragen.

7 Preise in 2 Jahren - das kann kein Zufall sein

Donnerstag, 9. Juni 2016

EU-Datenschutz-Grundverordnung - 8 Dinge, die Sie jetzt vorbereiten sollten

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) soll das Datenschutzrecht innerhalb der Europäischen Union wesentlich vereinfachen, um Privatpersonen und Unternehmen mehr Kontrolle über die eigenen Daten zu verschaffen.


Wichtigste Neuerungen im Überblick


Der wichtigste Teil der neuen Datenschutzverordnung bezieht sich auf Data Governance und Rechenschaftspflicht, wodurch auf die Aufsichtspersonen (Bundesaufsichtspersonal) zahlreiche neue Verpflichtungen zukommen werden. Die Verordnung "Privacy by design" stellt für die Rechtssysteme aller EUMitgliedstaaten eine Neuerung dar. "Privacy by design" besagt, dass Unternehmen interne Richtlinien ausarbeiten und alle notwendigen technischen und organisatorischen Maßnahmen treffen müssen, so dass künftig eine personenbezogene Datenverarbeitung gewährleistet werden kann, bei der die persönlichen Daten ausschließlich für spezifische Zwecke verarbeitet werden können.

Die EU-Datenschutz-Grundverordnung ist jetzt festzementiert


Schutzverletzung und Persönlichkeitsrechte


Mit der neuen EU-Datenschutz-Grundverordnung werden neue Fristen eingeführt, die sich auf den Zeitraum beziehen, ab wann nationalen Aufsichtsorgane über eine Datenschutzverletzung informiert werden müssen. Die neue Frist beträgt nun 72 Stunden. Einzelpersonen werden zudem mehr Kontrolle über ihre persönlichen Daten haben. So können künftig Unternehmen verpflichtet werden, die personenbezogenen Daten der betroffenen Person zu löschen und alle Kopien zu vernichten.

Wie in unserem Blogbeitrag EU-DSGVO – was kommt auf den Mittelstand zu? ausgeführt, gibt es eine Übergangsfrist bis Mai 2018. Wir raten Ihnen aber dringend, Ihr Unternehmen jetzt bereits auf Kurs zu bringen.

Acht Dinge aus der EU-DSGVO, die sich jetzt schon umsetzen sollten


Anhand dieser unvollständigen Liste lässt sich klar erkennen, dass auf Unternehmen eine Menge Arbeit zukommen wird, um die neuen Regelungen und Richtlinien befolgen zu können:


  1. Vorbereitung auf den Verstoß gegen Persönlichkeitsrechte: Es sollten Richtlinien und Methoden entwickelt werden, die es ermöglichen, auf Datenschutzverletzungen schnellstens zu reagieren.
  2. Klar definierte Richtlinien gewährleisten Rechenschaftspflicht: Es sollte sichergestellt werden, dass klar definierte und transparente Richtlinien eingesetzt werden, um zu beweisen, dass alle notwendigen Datenschutz-Kriterien erfüllt werden.
  3. Integration von "Privacy by Design": Die Datenschutzbestimmungen sollten in jedem Datenverarbeitungs-Prozess befolgt werden, insbesondere bei Software-Lösungen.
  4. Detaillierte Analyse der Rechtsgrundlage, auf der personenbezogene Daten verwendet werden: Es sollte eine ausführliche Analyse der unternehmensinternen Datenverarbeitung durchgeführt werden, um sicherzustellen, dass gegen keine der neuen Datenschutzverordnungen verstoßen wird.
  5. Datenschutzbestimmungen und Richtlinien transparent und verständlich gestalten: Die Datenschutzbestimmungen und Richtlinie des Unternehmens sollten transparent gestaltet und in einer verständlichen Ausdrucksweise formuliert werden.
  6. Die Rechte der "Datensubjekte" in den Vordergrund stellen: Unternehmen sollten sich darauf vorbereiten, dass Einzelpersonen ihre zustehenden Rechte nach der neuen EU-Datenschutz-Grundverordnung einfordern werden. Bei der Speicherung persönlicher Daten, sollte unbedingt darauf geachtete werden, dass alle neuen Richtlinien zur Aufbewahrung persönlicher Daten erfüllt werden.
  7. Neue Verpflichtungen für Datenanbieter: Durch die neue EU-Datenschutz-Grundverordnung werden neue Verpflichtungen für Datenanbieter entstehen, die künftig umgesetzt und befolgt werden müssen.
  8. Internationale Datenübertragung: Bei internationalen Datentransfers sollte festgestellt werden, ob es gesetzlich erlaubt ist, personenbezogene Daten in ein anderes Land weiterzuleiten. 


Aus diesem kurzen Überblick über die neue EU-Datenschutz-Grundverordnung wird ersichtlich, dass die neuen Richtlinien Unternehmen nicht nur zwingen, personenbezogene Daten zu speichern, sondern auch bei Bedarf sicher und effektiv zu löschen.

Bei eventuellen Fragen und Unklarheiten zu der neuen EU-Datenschutz-Grundverordnung oder zu Datenschutz-Themen ganz allgemein stehen wir Ihnen jederzeit mit unserem fachmännischen Rat zur Seite.

Wir helfen Ihnen gerne, Ihr Unternehmen optimal auf die neuen Datenschutzregelungen vorzubereiten.

Ihr yourIT-Datenschutz-Team

Mittwoch, 25. Mai 2016

EU-Datenschutz-Grundverordnung – was kommt auf den Mittelstand zu?

Selbst Tageszeitungen haben darüber berichtet: In Brüssel hat man sich auf eine EU-Datenschutz-Grundverordnung EU-DSGV geeinigt. Lesen Sie, warum die Verordnung zwar erst ab Mitte 2018 gilt, aber schon jetzt eine gewisse Beachtung verdient.


EU-weite Regelungen als Vorteil


Einheitliche Datenschutzregelungen für die gesamte EU fordern gerade exportorientierte Unternehmen schon lange. Aber auch für Verbraucher, die gern über das Internet jenseits der deutschen Grenzen einkaufen, sind einheitliche Vorgaben von Vorteil. In erstaunlich kurzer Zeit haben sich die EU-Instanzen nun auf solche EU-weiten Regelungen geeinigt. Für jedes andere Mitgliedland ist die Regelung jetzt gültig und tritt in Kraft am 25. Mai 2018 – etwas mehr als zwei Jahre nachdem sie im Amtsblatt veröffentlich wurde.

Die EU-Datenschutz-Grundverordnung ist jetzt festzementiert

EU-Verordnungen wirken wie Gesetze


Das zentrale rechtliche Instrument - Die EU-Datenschutz-Grundverordnung EU-DSGV - ist nicht wie bisher nur eine Richtlinie sondern eine europäische "Verordnung" – und damit bindendes Recht in den teilnehmenden Mitgliedstaaten. Sie wirkt wie ein Gesetz. Daher gibt es keine Notwendigkeit mehr zur Anpassung in das lokale nationale Recht. Einige Länder werden dies aber höchstwahrscheinlich trotzdem tun und ihre bestehenden Datenschutzgesetze, sowie andere Gesetze in Bezug auf personenbezogene Daten, überarbeiten. Jedes Unternehmen sollte nun die verbleibende Zeit nutzen, um zu überprüfen, ob ihre aktuelle Datenverarbeitung und die Datenschutzrichtlinien und Regeln dem neuen Gesetz entsprechen.

Das war bei der EG-Datenschutzrichtlinie EU-DSGV von 1995 anders, die bisher die maßgebliche EU-Regelung für den Datenschutz darstellte. Diese hatte für sich allein keine rechtliche Wirkung für Unternehmen und Privatpersonen. Die erforderliche Umsetzung im Recht der Mitgliedstaaten geschah erst mit jahrelanger Verzögerung.

Übergangsfrist bis Mai 2018


Bei der EU-Datenschutz-Grundverordnung EU-DSGV wird es anders ablaufen. Anfang Mai 2016 wurde sie im Amtsblatt der EU veröffentlicht. Nun läuft eine Übergangszeit von zwei Jahren. Und dann gilt die Verordnung ab dem 25. Mai 2018 über Nacht in vollem Umfang für alle Unternehmen und Privatpersonen innerhalb der EU.

Folge dadurch: „Fallbeileffekt“


Dieser „Fallbeileffekt“ wird alle Unternehmen dazu zwingen, sich bis Mitte 2018 zunehmend stärker auf die Verordnung vorzubereiten. Wundern Sie sich also nicht, wenn demnächst viele Informationen im Unternehmen gesammelt werden müssen, obwohl die Verordnung streng rechtlich gesehen noch gar nicht gültig ist. Zu den Vorgaben der Grundverordnung gehört es nämlich, dass Unternehmen in vielerlei Hinsicht zusätzliche Dokumente erstellen müssen. So müssen sie etwa nachweisen, dass sie erforderliche technische Schutzmaßnahmen bei der Datenverarbeitung und bei der Auftragsdaten-Verarbeitung tatsächlich einhalten.

Extrem hohe Bußgelder möglich


Unabhängig wie hoch die (Geld-)strafen in der alten nationalen Gesetzgebung waren, die in der EU-DSGVO verankerten Strafen sind wirklich immens. So hoch, dass, wenn sie einer kleinen bis mittelgroßen Firma auferlegt werden, existenzbedrohend sein können. „Schlampereien“ können da teuer zu stehen kommen. Im Extremfall sind nämlich Bußgelder bis zu 20 Millionen Euro und 4% des weltweiten Umsatzes des Unternehmens möglich.

Das Bundesdatenschutzgesetz legt dagegen für Bußgelder bisher noch eine Obergrenze von 300.000 Euro fest. Der Vergleich der beiden Beträge zeigt deutlich, wie sehr die Zügel angezogen werden. Bitte haben Sie also Verständnis dafür, wenn notwendige Unterlagen auch einmal etwas drängend angefordert werden. Nur so lässt sich möglicher Schaden vom Unternehmen abwenden.

Mehr Datenschutzbeauftragte in der gesamten EU


Nichts ändert sich übrigens daran, dass es einen betrieblichen Datenschutzbeauftragten geben muss. Die Einzelheiten dafür, wann dies erforderlich ist, überlässt die Verordnung zwar weiterhin dem Recht der Mitgliedstaaten. Für Behörden schreibt sie jedoch europaweit behördliche Datenschutzbeauftragte vor. Für Unternehmen gilt dies dann, wenn es bei ihren Kernaktivitäten um die regelmäßige und systematische Beobachtung von Betroffenen geht oder um besonders sensible Daten. Zumindest im Personalbereich hat jedes Unternehmen solche besonders personenbezogenen Daten. Also braucht jedes Unternehmen einen Datenschutzbeauftragten. Außerdem brauchen Auftragsdatenverarbeiter künftig ganz selbstverständlich einen Datenschutzbeauftragten - unabhängig von der Größe.

Einwilligungen von Kunden gelten weiter


Für die Praxis wichtig: Einwilligungen von Kunden, die bereits vorliegen, wenn die Verordnung Mitte 2018 gültig wird, bleiben auch danach wirksam! Bedingung ist nur, dass sie unter Beachtung der Vorgaben des bisherigen Rechts eingeholt wurden. Beachten Sie also weiterhin peinlich genau das geltende Recht, wenn eine Einwilligung erfolgt! Das macht sich bezahlt, wenn die neue Verordnung ab Mai 2018 gilt.

Betriebsvereinbarungen bleiben in Kraft


Auch Betriebsvereinbarungen zum Datenschutz bleiben unverändert in Kraft. Eine entsprechende Klarstellung konnte bei den Verhandlungen in Brüssel erreicht werden. Es ist also nicht notwendig, wegen der EU-Datenschutz-Grundverordnung EU-DSGV bewährte Betriebsvereinbarungen neu zu verhandeln.
Anpacken statt abwarten!

Insgesamt gesehen wird es notwendig sein, die EU-Datenschutz-Grundverordnung EU-DSGV bis Mitte 2018 mehr und mehr zu berücksichtigen. Nur so lässt sich vermeiden, dass dann alles Mögliche sozusagen „über Nacht“ neu gestaltet werden muss. Wann gehen wir das Thema Datenschutz gemeinsam in Ihrem Unternehmen an?

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.


Mittwoch, 11. Mai 2016

Windows 10 - Datenschutz-Einstellungen nicht vergessen!

Das neue Microsoft-Betriebssystem zeigt deutlich, wie wichtig die Datenschutzkontrolle ist, bevor man neue Software nutzt. Denn Datenschutz als Standard ist auf dem IT-Markt bisher kaum in Sicht.


Ein verlockendes Angebot!?


Windows 10 erfreute sich gleich nach seinem Start Ende Juli 2015 großer Beliebtheit bei den Nutzern. Einer der Gründe dürfte sein, dass das Betriebssystem unter bestimmten Bedingungen als kostenloses Upgrade erhältlich ist. Doch kaum war das neue Betriebssystem von Microsoft auf dem Markt, meldeten sich Daten- und Verbraucherschützer mit deutlicher Kritik zu Wort. So bezeichnete der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit Windows 10 als "Fenster zur Privatsphäre". Die Verbraucherzentrale Rheinland-Pfalz e.V. sprach bei Windows 10 von "Überwachung bis zum letzten Klick".

Gratis-Upgrade auf Windows 10 jetzt! Ab August kostet jede Lizenz 279 EUR

Datenschutzerklärungen bleiben oft ungelesen


Die Medien haben daraufhin viel über den Datenschutz bei Windows 10 berichtet. Viele Nutzer waren überrascht von den Meldungen über die Sammlung personenbezogener Daten durch das Betriebssystem. Hätte man allerdings die Datenschutzbestimmungen von Windows 10 gelesen, wäre die Überraschung geringer gewesen. Denn dort liest man, dass Windows 10 eine "personalisierte IT-Umgebung" ist und dass die Schlüsselkomponenten von Windows auf der Cloud beruhen. Weiter heißt es dort: "Um dieses Computer-Erlebnis anzubieten, erheben wir Daten über Sie, Ihr Gerät und wie Sie Windows verwenden. Und weil Windows für Sie persönlich ist, geben wir Ihnen die Wahlmöglichkeiten darüber, welche personenbezogenen Daten wir sammeln und wie wir diese verwenden dürfen."

Datenschutz-Optionen müssen auch genutzt werden


Tatsächlich informiert Microsoft also über die Sammlung personenbezogener Daten. Manche Datenschützer lobten deshalb die Transparenz bei Windows 10. Was allerdings nicht den Vorstellungen des Datenschutzes entspricht, ist die im IT-Markt weit verbreitete Vorgehensweise, die Datenschutzeinstellungen im Standard eher datenschutzunfreundlich zu gestalten.

Whitepaper_Windows_10_Datenschutz-Einstellungen_für_Unternehmen

"Datenschutz als Standard" oder "Privacy by Design" hat also noch eher Seltenheitswert. Für Unternehmen und jeden einzelnen Nutzer von Windows 10 bedeutet das, die Datenschutz-Optionen zu überprüfen und individuell einzustellen.

Bequemlichkeit kann riskant sein


Die größte Gefahr bei Datenschutz-Optionen ist, dass man als Nutzer die Voreinstellungen ungeprüft übernimmt und damit die Entscheidung über den anzuwendenden Datenschutz dem jeweiligen Anbieter überlässt. Das gilt nicht nur für Microsoft und Windows 10, sondern ganz generell. Im Fall von Windows 10 sollte man also nicht die "Express-Einstellungen" bei der Installation wählen, sondern sich die Zeit nehmen, die vielfältigen Einstellungsmöglichkeiten rund um den Datenschutz zu sichten und zu nutzen. Abkürzungen wie die "Express-Einstellungen" erscheinen komfortabel und bequem. Doch sie sind nicht ohne Weiteres zu empfehlen.

Viele Einstellungen haben Bezug zum Datenschutz


Wer sich die Funktion "Einstellungen" bei Windows 10 ansieht, findet dort auch spezielle Datenschutzoptionen. Im Prinzip können sich aber auch in vielen anderen Auswahlbereichen Einstellungen finden, die für den Datenschutz wichtig sind. Bei Windows 10 sind das zum Beispiel neben "Datenschutz" auch Einstelloptionen wie "System", "Geräte", "Netzwerk und Internet", "Personalisierung", "Konten", "Zeit und Sprache" sowie "Update und Sicherheit".

Unter den "Datenschutzeinstellungen" bei Windows 10 finden sich dann gebündelte Auswahloptionen, die Sie allesamt durchsehen sollten. Nicht immer ist direkt ersichtlich und verständlich, warum dieser oder jener Punkt Relevanz für den Datenschutz haben könnte. Doch Einstellungen zum Beispiel zur Kamera legen fest, welche Anwendungen die Bilder nutzen dürfen. Würde es hier keine Einschränkung geben, könnten Bilder an Anwendungen und Dritte gelangen, die diese eigentlich nicht bekommen sollten, würde man den betroffenen Nutzer konkret fragen.

Datenschutz kann Verzicht mit sich bringen


Je nach Option führt die datenschutzfreundliche Einstellung allerdings dazu, dass sich bestimmte Funktionen nicht mehr vollständig oder sogar überhaupt nicht mehr nutzen lassen. Die Spracherkennung Cortana zum Beispiel möchte für eine vollständige Funktion auch Zugriff auf standortdaten, EMails, SMS, Kontaktdaten, Suchverlauf des Browsers und Kalendereinträge. Unterbindet man bestimmte Zugriffe, sind die Funktionen des Sprachassistenten eingeschränkt. Wenn man die Weitergabe der Standortdaten nicht zulässt, funktioniert der digitale Assistent Cortana überhaupt nicht. Das ist bedauerlich. Denn viele Spracheingabe-Funktionen brauchen eigentlich keine aktuellen Positionsdaten.

Der Datenschutz sollte es Ihnen aber wert sein, auf bestimmte Funktionen zu verzichten, insbesondere dann, wenn Datenzugriffe, die die Software fordert, aus Nutzersicht nicht nachvollziehbar sind. Grundsätzlich sollten Datenschutzerklärung und Datenschutzeinstellungen weitaus mehr Beachtung finden - und zwar nicht nur bei Windows 10, sondern bei jeder Software und bei jedem Online-Service.

Die gute Nachricht ist, dass man Windows 10 seine Geschwätzigkeit durch die richtigen Einstellungen weitgehend abgewöhnen kann, ohne dabei auf einen guten Kompromiss zwischen Komfort und innovativen Funktionen auf der einen Seite und Datenschutz sowie dem Schutz der Mitarbeiter und des Unternehmens vor Ausspähung auf der anderen Seite verzichten zu müssen. An dieser Stelle kann man Microsoft loben, hat der Hersteller doch mit Windows 10 die Möglichkeiten, den Datenschutz durch die Einstellungen selbst zu steuern, deutlich verbessert.

Holen Sie sich jetzt unser kostenloses Whitepaper mit den datenschutzkonformen Windows 10 Einstellungen


Was bei der privaten Nutzung oder bei mobilen Geräten wie Smartphones vielleicht akzeptabel erscheint, ist aus Sicht einer professionellen Unternehmens-IT zumindest für Arbeitsplatzrechner und Laptops nicht akzeptabel. Beim Umstieg auf Windows 10 sollten Unternehmen deshalb insbesondere auf diese Funktionen achten.

Gemeinsam mit unserem Partner Aagon stellen wir Ihnen ein Whitepaper zu den datenschutzkonformen Einstellungen in Windows 10 zur Verfügung. Zum Kostenlosen Download klicken Sie bitte hier:

Whitepaper_Windows_10_Datenschutz-Einstellungen_für_Unternehmen

Wie Sie diese Datenschutz-Einstellungen per ACMP-Clientmanagement paketieren und direkt auf allen Clients Ihres Unternehmens-Netzwerkes ausrollen, erfahren Sie gerne bei uns.


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


Beim obigen Text handelt es sich um einen Auszug aus unserem Magazin Datenschutz Now! Ausgabe 10/2015. Zum kostenlosen Download der Gesamtausgabe klicken Sie bitte hier:

Hier geht's zum kostenlosen Download der Gesamtausgabe Datenschutz Now! 10/2015

Ergänzung vom 1105.2016: Der Landesdatenschutzbeauftragte Baden-Württemberg bietet einen Step-by-Step-Leitfaden

Die Security-Experten von yourIT haben den 25-seitigen Leitfaden geprüft. Er ist ausführlich und gut verständlich. Aber unserer Meinung nach taugt er nur für die Anpassung der Datenschutz-Einstellungen von einem bis wenigen Rechnern. Bei mittelständische Unternehmen mit mehreren bis vielen Rechnern wäre die manuelle Einstellung jedes einzelnen Rechners mittels Turnschuh-Administration zu zeit- und kostenaufwändig. Diese stehen besser, wenn Sie diese Datenschutz-Einstellungen per ACMP-Clientmanagement paketieren und direkt auf allen Clients Ihres Unternehmens-Netzwerkes ausrollen

Montag, 2. Mai 2016

Immer Ärger mit Kununu - Tipps zur Selbsthilfe bei Datenschutz-Verstößen und unsachlichen Bewertungen

Arbeitnehmer auf Stellensuche suchen ihren neuen Arbeitgeber heute meistens über Recherchen im Web. Und dort finden Sie sehr schnell die Arbeitgeber-Bewertungsplattform Kununu, da diese über die einschlägigen Suchbegriffe in Suchmaschinen wie Google gut platziert ist. Unternehmen kommen daher nicht umhin, Ihr Unternehmensprofil auf Kununu zu beobachten - schließlich kann es sich heute kaum ein Unternehmen leisten, dass potentielle Fachkräfte sich aufgrund schlechter Kununu-Bewertungen gegen eine Bewerbung entscheiden. Dieser Artikel soll eine Anleitung zur Selbsthilfe für betroffene Unternehmen darstellen.


Wer bewertet auf Kununu eigentlich wen?


Auf Kununu können bewerten:
  • bestehende Arbeitnehmer und Auszubildende
  • Ex-Arbeitnehmer und Auszubildende
  • Bewerber
aus Deutschland, Österreich und der Schweiz. Bewertet werden ausschließlich Unternehmen. Bewertungen für Personen (auch mittelbar) sind verboten und stellen automatisch einen Datenschutz-Verstoß dar! Unten mehr dazu.

Dreimal dürfen Sie raten, ob auf dieser Plattform positive oder negative Bewertungen überwiegen ...

Kununu-Profil des IT-Systemhauses yourIT GmbH

Unwahre Tatsachen, Rufschädigungen und Datenschutz-Verstöße


Und diese Bewertungen haben es oft in sich. Die freie Meinungsäußerung in allen Ehren - aber in den oft bösartigen Abrechnungen mit dem ehemaligen Brötchengeber finden sich viele rechtswidrige Bewertungen - neben unwahren Tatsachenbehauptungen und Rufschädigungen häufig auch Datenschutz-Verstöße.

Letztere trotz des ausdrücklichen DatenschutzHinweises von Kununu an die Bewertenden:
"Bitte beachte die folgenden 3 Kommentar - Regeln:
  • Bitte keine Personenbewertung (z.B. der Chef) oder Namensnennung
  • Verzichte auf Beleidigungen und achte auf eine gewählte Ausdrucksweise
  • Keine Interna zu Produkten, Qualitätsproblemen, Umgang mit Kunden"

Dennoch finden sich in den Bewertungen auf Kununu Datenschutz-Verstöße wie z.B.:
  • ... Die Personalleiterin wirkte hilflos überfordert....
  • ... Der Geschäftsführer legte eine ziemlich arrogante Art an den Tag...
  • ... Hygiene nach dem WC-Gang (Senior-Chef)...
  • ... Ein cholerischer Chef mit mangelnder Fähigkeit, Verantwortung abzugeben...


Kununu duldet keine Datenschutz-Verstöße auf der Plattform


Für alle denen das bisher nicht klar war: Kununu duldet u.a. keine Datenschutz-Verstöße auf der Plattform. Laut einer Pressemeldung von Kununu aus 12/2010 erkennt das Portal an, dass Unternehmen ein Recht auf die Wahrung das Portal firmeninterner Informationen haben, die diesen wirtschaftlichen Schaden verursachen könnten – dies steht im Kontrast zur Wikileaks-Philosophie, die völlige Transparenz fordert, ohne Rücksicht auf Verluste, Gefühle, Ehre und ohne Rücksicht auf die weitreichenden Folgen der veröffentlichten Informationen.

**********************************

Ergänzung vom 02.05.2016 - Schützenhilfe durch den BGH


Der BGH hat mit Urteil vom 01.03.2016 (Az. VI ZR 34/15) entschieden, dass Betreiber von Bewertungsportalen für Bewertungen ihrer Nutzer haften, wenn zumutbare Prüfungspflichten verletzt wurden.

Mit diesem Urteil hat der BGH die Prüfungspflichten von Bewertungsportalen klar definiert. Dies ist zu begrüßen. Denn die bewerteten Unternehmen werden anonymen und pseudonymen Bewertungen ausgesetzt, ohne gegen den jeweiligen Verfasser vorgehen zu können bzw. dessen Identität zu erfahren.

**********************************

Arbeitgeber-Bewertungen auf Kununu werden mittlerweile wohl sorgfältig geprüft. Hier gelten strenge Regeln. Keine Chance auf kununu-Veröffentlichung haben:
•Bewertungen von Produkten und Dienstleistungen
•Nennung von Personen
•Beleidigungen

Aber wie immer gilt: Betroffene Unternehmen müssen sich aktiv wehren!

Da die Bewertungen auf Kununu anonym abgegeben werden, ist es für Spaßvögel und Mitbewerber auch ein Einfaches, hier über Unternehmen her zu ziehen, bei denen sie tatsächlich nicht beschäftigt waren.

Bitte löschen! Betroffene Unternehmen können und sollten sich wehren!


Falls Sie Ihr Unternehmensprofil auf Kununu.com noch nicht oder schon lange nicht mehr angeschaut haben, sollten Sie dies jetzt tun. Dazu suchen Sie auf der Plattform Ihren Firmennamen. Und!? Was haben Sie gefunden? Wie wurde Ihr Unternehmen bewertet?

Falls auch Ihr Unternehmen aus Ihrer Sicht ungerechtfertigt negative Bewertungen erhalten hat, lohnt es sich auf jeden Fall, eine Überprüfung bei Kununu einzuleiten. Grundsätzlich sollten Sie immer anzweifeln,  dass der Bewertende niemals bei Ihrem Unternehmen angestellt war. Kununu ist verpflichtet, Ihre Anfrage zu bearbeiten. Als Betreiber der Plattform haftet Kununu ab Kenntnis einer Rechtsverletzung und ist sodann verpflichtet, rechtswidrige Bewertungen unverzüglich zu entfernen (sog. Störerhaftung).

Gott sprach: "Es werde Licht!" Doch er fand den Schalter nicht!


Sie haben sich entschlossen, sich bei Kununu gegen eine Rechtsverletzung zu wehren? Gute Idee! Nur: Kununu macht es Ihnen als Unternehmen nicht leicht, den Kontakt aufzunehmen. Nicht selten scheitern Kontaktaufnahmeversuche daran, dass Kununu hier einige Hürden eingebaut hat. Honi soit qui mal y pense! Hier eine kurze Anleitung, die funktioniert.

Grundsätzlich haben Sie 2 Möglichkeiten:
  1. Meldung über das Kontaktformular absetzen
  2. Meldung per E-Mail

Eine ausführliche Anleitung

Damit Sie sich ab sofort erfolgreich zur Wehr setzen können, haben wir eine ausführliche Anleitung zur Meldung von Rechtsverletzungen wie z.B. Datenschutz-Verstößen und unwahren Tatsachenbehauptungen erstellt - mit vielen Screenshots, Textbausteinen und hilfreichen Zusatzhinweisen .

Diese halten wir für Sie hier zum kostenlosen Download bereit:

Download: Anleitung zur Meldung von Rechtsverletzungen auf Kununu wie z.B. Datenschutz-Verstößen

Erfahrungsgemäß kann es nicht schaden, wenn die Meldung durch den für Ihr Unternehmen zuständigen externen Datenschutzbeauftragten erfolgt. Falls Sie bisher keinen externen Datenschutzbeauftragten bestellt haben: Ich übernehme den Job gerne für Sie!

Bewertung melden in der Praxis - Selbstversuch vom 29.12.2015


Auch unser Systemhaus yourIT ist nicht vor Angriffen auf Kununu gefeit. Ich musste gestern eine böswillige Bewertung melden. Ich habe meine Meldung mit den obigen Textbausteinen erstellt und über das Kontaktformular abgesendet. Die Antwort des Kununu-Supportdesks kam innerhalb weniger Stunden:

Kununu Antwort des Supportdesks

Ich bin gespannt, ob meine Vermutung richtig war, dass die aktuelle Bewertung eben nicht wie behauptet von einem ehemaligen Mitarbeiter sondern von einem frustrierten und böswilligen Mitbewerber stammt, dem unser erfolgreiches Systemhaus mal wieder ein Dorn im Auge war.

Bei einer schwerwiegenden Verletzung des allgemeinen Persönlichkeitsrechts, kommt übrigens auch ein Anspruch auf Entschädigung und Schadensersatz gegen den Arbeitnehmer in Betracht.

Konnte ich Ihnen helfen? Rückmeldung erwünscht!


Ich hoffe, ich konnte Ihnen mit meiner Anleitung zur Selbsthilfe weiterhelfen. Schreiben Sie mir, wenn Sie sich erfolgreich gegen eine negative Bewertung bei Kununu wehren konnten. Haben Sie Tipps zur Optimierung dieser Anleitung oder besonders erfolgreiche Textpassagen? Ich freue mich auf zahlreiche Rückmeldungen.

Was können wir von yourIT sonst für Sie tun?


Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:

  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Backup / Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Zwei Jahre "Recht auf Vergessen" - Anspruch auf Löschung von Suchmaschinenergebnissen

Der Europäische Gerichtshof (EuGH) hatte in einem Urteil am 13. Mai 2014 entschieden, dass Suchmaschinen-Betreiber wie Google bestimmte Links aus ihren Suchergebnissen aus datenschutzrechtlichen Gründen löschen müssen. Wie kam dieses Urteil zustande? Wie lautete die Urteilsbegründung? Und welche Bedeutung hat es für den Alltag?


Hintergrund des EuGH-Urteils


Hintergrund des Urteils war ein Streit zwischen einem Spanier und Google. Der Schriftexperte und Professor hatte nach seinem eigenen Namen gesucht und erhielt als Ergebnis von Google unter anderem den Link auf zwei Artikel einer spanischen Tageszeitung. In diesen war zu lesen, dass das Grundstück des Mannes 1998 wegen vorhandener Schulden bei der Sozialversicherung versteigert und dann gepfändet werden sollte. Er wandte sich an die spanische Datenschutzaufsichtsbehörde (AEPD).

Diese forderte Google auf, die Verlinkung zu den Artikeln bei der Suche nach dem Namen des Mannes aufzuheben. Sie begründete dies damit, dass die Pfändung, die im Zusammenhang mit seinem Namen über Google gefunden wird, längst abgeschlossen sei und keine Relevanz mehr besitze. Eine Erwähnung in den Suchergebnissen sei demnach nicht mehr gerechtfertigt. Google kam dieser Aufforderung nicht nach und so landete der Fall vor dem Europäischen Gerichtshof (EuGH).

EuGH zwingt seit 2 Jahren Suchmaschinen-Betreiber wie Google zum Löschen

Urteilsbegründung der Richter


Die Richter des EuGH prüften den Fall sorgfältig und kamen zu dem Ergebnis, dass es grundsätzlich datenschutzrechtliche Löschansprüche gibt und dass Suchmaschinenbetreiber wie Google betroffene Links entfernen müssen. Als Begründung des Urteils wiesen die Richter darauf hin, dass die Anzeige von Ergebnissen einer Suchmaschine bereits eine datenschutzrechtliche Verarbeitung enthalte. Für diese Verarbeitung seien die Suchmaschinenbetreiber wie Google verantwortlich, da sie entscheiden, welche Seiten in der Ergebnisliste auftauchen. Außerdem unterliege auch die digitale Verarbeitung von Daten dem Marktort- und Sitzlandprinzip, so der EuGH. Das bedeutet, dass das europäische Datenschutzgesetz immer dann angewendet werden darf, wenn diese Datenverarbeitung einen regionalen Bezug zu dem Ort der Niederlassung hat. Wo die Datenverarbeitung selbst stattfindet (im Fall von Google in den USA), spielt hierbei keine Rolle.

Das bedeutet das EuGH-Urteil für den Alltag


Das Urteil des EuGH wurde von den meisten europäischen Politikern und Datenschützern begrüßt. Hervorzuheben sind hierbei vor allem zwei Aspekte: Erstens bestätigte das Gericht die Gültigkeit des europäischen Datenschutzrechts für Nicht-EU-Unternehmen, die in der EU Niederlassungen haben. Zweitens räumten die Richter dem Datenschutz eine größere Bedeutung ein als wirtschaftlichen Interessen.

Für den einzelnen EU-Bürger bedeutet das Urteil, dass Suchmaschinenbetreiber wie Google Suchergebnisse löschen müssen, wenn diese kein allgemeines Interesse mehr bedienen, aber Rückschlüsse auf eine bestimmte Person erlauben. Dann muss die Verlinkung zu der jeweiligen Information gelöscht werden. Die Information selbst, die beispielsweise wie oben beschrieben in einem Zeitungsartikel steht, muss nicht zwangsläufig gelöscht werden. Sie kann weiterhin über interne oder externe Links aufgerufen werden. Bei Personen des öffentlichen Lebens gibt es
allerdings noch weitere Einschränkungen.

Das bedeutet das EuGH-Urteil für Sie


Wenn Sie von längst überholten Suchergebnissen ohne öffentliches Interesse betroffen sind oder sich rufschädigender Kritik ausgesetzt sehen, können Sie Google & Co. auffordern, entsprechende Links zu löschen. Beim Stellen eines Löschantrags ist jedoch eine genaue Prüfung und schlüssige Erklärung unverzichtbar. Ansonsten besteht die Gefahr, dass der Antrag abgelehnt wird. Um Formfehler zu vermeiden, können Sie sich vertrauensvoll an uns wenden. Wir beraten Sie professionell zur Löschung von Suchergebnissen und stehen Ihnen mit Rat und Tat zur Seite.


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


Auch interessant: Blogbeitrag "Immer Ärger mit Kununu"


Lesen Sie hierzu auch unseren Blogbeitrag "Immer Ärger mit Kununu". Dort haben Sie die Möglichkeit, sich eine kostenlose Anleitung herunterzuladen. Viel Erfolg. Und berichten Sie mir über Ihre Ergebnisse.

Hier geht's zum Blogbeitrag mit Anleitung zur Meldung von Rechtsverletzungen auf Kununu wie z.B. Datenschutz-Verstößen

Mittwoch, 20. April 2016

Spam-Angriff auf XING legt Gruppen lahm

Auch Social Media Netzwerke wie Xing sind vor Spam-Attacken nicht gefeit. Gestern Abend meldet die Xing-Community, dass die Beitrittsoption für die Xing-Gruppen aufgrund eines massiven Spam-Angriffs zeitweilig abgeschaltet wird.


Beitrittsoption zu Xing-Gruppen aufgrund Spam-Attacke vorübergehend abgeschaltet
In einem Moderatorenbeitrag der Gruppe Xing Community erklärt Xing, das Abschalten der Beitrittsoption für die Xing-Gruppen bedeutet, dass derzeit keine neuen Mitglieder in vorhandene Gruppen eintreten können. Bei offenen Gruppen bleiben die Beiträge aber weiterhin  öffentlich sichtbar.

Xing entschuldigt sich bei den Mitgliedern für die Unannehmlichkeiten und sucht schnellstmögliche nach Lösungen, um das akute Problem zu beheben.

Spam ist ein Übel unserer Zeit. Erst im Februar 2016 meldete Web.de, dass das Spam-Aufkommen bei Web.de und GMX im Jahr 2015 mehr als verdoppelt habe. Die Anzahl schädlicher Links habe sogar noch deutlicher zugenommen.

Auch der derzeit bekannteste Erpressungs-Trojaner Locky verbreitet sich am Liebsten über Spam.

Sechs Tipps zum Umgang mit Spam in Ihrem Unternehmen

Die Security-Experten von yourIT raten zum sorgsamen Umgang mit Spam in Unternehmen. Der anfängliche Aufwand amortisiert sich schnell. Die Gefahr erfolgreicher Angriffe sinkt. Hier unsere Top-6-Tipps:


  1. Schalten Sie unbedingt einen "richtigen" Spamfilter ein. Es macht einen großen Unterschied, ob Ihre Mitarbeiter jeden Tag 5 oder 15 Spam-E-Mails manuell ausfiltern müssen. Gehen Sie davon aus, dass jede unnötig zu bearbeitende E-Mail etwa 5 Minuten Arbeitszeit kostet - auch wenn diese vom Mitarbeiter nur gelöscht wird. Aufgrund der aktuellen Attacken durch Erpressungs-Trojaner wie Locky haben die Security-Experten von yourIT den Spamfilter-Markt neu inspiziert. Wir empfehlen Ihnen gerne die zu Ihrem Unternehmen passende Anti-Spam-Lösung.
  2. E-Mail-Adressen sollten nicht öffentlich verwendet werden. Stellen Sie keine E-Mail-Adressen unbekümmert ins Netz - z.B. auf Websites, Blogs oder in Soziale Netzwerke. Spammer suchen dort gezielt nach E-Mail-Adressen, denen sie Spam zusenden können.
  3. Verwenden Sie verschiedene E-Mail-Adressen für verschiedene Anwendungen. Dadurch werden potentiell lohnenswerte Angriffsziele für Spammer weniger durchschaubar.
  4. Reagieren Sie niemals und in keinster Weise auf Spam. Antworten Sie nicht. Klicken Sie auch auf keinen der Links. Auch von experimentellen Selbstversuchen raten wir dringend ab - das haben andere schon versucht, z.B. hier ein Beitrag bei Channelpartner.
  5. yourIT rät dringend zur besonderen Vorsicht bei Rechnungen per E-Mail. Gerade Erpressungs-Trojaner wie z.B. Locky verstecken sich gerne hinter angeblichen Rechnungs-Anhängen. Die Security-Experten von yourIT haben eine Checkliste für Ihre Mitarbeiter erstellt, die wir Ihnen gerne zum kostenlosen Download bereitstellen.
  6. Sensibilisieren Sie Ihre Mitarbeiter. Machen Sie klar, wie gefährlich die aktuellen Spam-Angriffswellen, dass die bisher getroffenen Abwehrmaßnahmen der IT-Abteilung nicht 100-prozentig schützen und dass 1 falscher Klick genügt, um das gesamte Unternehmen zu gefährden. Investieren Sie etwas Zeit in die Erhöhung der Verantwortlichkeit Ihrer Mitarbeiter. Solche Schulungen führen wir gerne für Sie durch.

Wie können wir von yourIT Sie unterstützen?


Wir haben z.B. einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Diesen können Sie hier kostenlos downloaden, ausdrucken und in Sichtweite der Bildschirmarbeitsplätze Ihrer Mitarbeiter aushängen.

Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:
  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.