Archive for April, 2021

Wir sind COVID-19-Beauftragte

Posted by Birgit von Maurnböck

Durch die Lockerung der COVID-19-Maßnahmen können unter anderem wieder Lokale besucht werden, Events stattfinden und Sportstätten geöffnet werden. Die Regeln zur „Rückkehr“ sind jedoch streng. Zusätzlich zur Test- und Maskenpflicht wird in vielen Fällen ein COVID-19-Beauftragter benötigt – Geschäftsführerin Birgit von Maurnböck ist dazu ausgebildet und unterstützt Sie gerne.

Lockerung der COVID-19-Maßnahmen

Nach langem Warten kehrt wieder ein Stück Normalität zurück nach Österreich: Mit dem 19. Mai kommt es zu Lockerungen der COVID-19-Maßnahmen. So ist es unter anderem wieder möglich, Lokale und Restaurants sowie Sportstätten und Veranstaltungen zu besuchen. Ganz „normal“ läuft das Ganze jedoch noch nicht ab – all diese Schritte sind mit strengen Regelungen verbunden. Zusätzlich zu einer FFP2-Maskenpflicht in allgemeinen Bereichen oder außerhalb des eigenen Sitzplatzes, muss

beim Betreten entweder ein Test gemacht werden, ein gültiges negatives Testergebnis, eine Bestätigung über eine bereits durchgemachte COVID-19-Erkrankung (sechs Monate danach) oder ein Impfzertifikat (22 Tage nach der Erstimpfung) vorgewiesen werden. Genauere Regelungen können Sie auf der Website des Sozialministeriums nachlesen.
Auf eine Regulierung gehen wir jedoch nun genauer ein: In der Gastronomie, im Tourismus, in der Kultur, bei Veranstaltungen, bei Kongressen, bei Messen sowie in Sport- und Freizeitbetrieben muss ein Präventionskonzept erstellt und ein COVID-19-Beauftragter ernannt werden.

Birgit von Maurnböck ist COVID-19-Beauftragte

Unsere Geschäftsführerin hat die Ausbildung zur COVID-19-Beauftragten beim Wiener Roten Kreuz – Österreichs einzigem zertifizierten Ausbildungszentrum für Veranstaltungssicherheit – absolviert und weiß nun genauestens Bescheid über Hygiene-Maßnahmen wie Mundschutz, Händewaschen und Desinfektion, die Regelung von Besucherströmen und Abständen, die Beurteilung von Risiken sowie auch über das Verhalten im Ernstfall, also bei einem Verdachtsfall oder einer tatsächlich vorliegenden Infektion.
Da von nun an österreichweit personenbezogene Daten aller Besucher erfasst werden, ist es selbstverständlich von besonderem Vorteil, als COVID-19-Beauftragte und somit als Verantwortliche für die Verarbeitung dieser Daten eine Datenschutzbeauftragte und einen Profi im Bereich Datenschutz einzusetzen.

Welche Vorteile haben Sie durch eine COVID-19-Beauftragte?

Sie sind rechtskonform unterwegs. Die Bestellung eines solchen Beauftragten ist verpflichtend vorgeschrieben.
Außerdem profitieren nicht nur sämtliche Besucher und Teilnehmer sowie Mitarbeitende von den Maßnahmen zur Reduktion des Corona-Infektionsrisikos, sondern schlussendlich wir alle!

Sollten Sie eine COVID-19-Beauftragte benötigen, kontaktieren Sie uns. Wir unterstützen Sie gerne beim Erstellen eines Präventionskonzepts und fungieren in der offiziellen Rolle als COVID-19-Beauftragte.

Wir freuen uns auf Ihre Anfragen und wünschen Ihnen gelungene, erfolgreiche, gesunde Öffnungsschritte!

Praxisleitfaden: Datentransfer in die USA und andere Drittländer

Posted by Erich von Maurnböck

In diesem Praxisleitfaden haben wir eine Schritt für Schritt Anleitung für Sie verfasst, um Ihnen zu zeigen, was europäische Unternehmen zum Datentransfer in die USA und in andere Drittländer ohne Angemessenheitsbeschluss umsetzen müssen. So bleiben Sie und Ihr Unternehmen rechtskonform.

Schritt 1: Überprüfung des externen Datentransfers

Zuerst müssen Sie Ihre Datenflüsse genauestens dahingehend überprüfen, ob Daten überhaupt in Drittländer übermittelt werden. Als solche gelten alle Staaten, in denen die DSGVO keine Gültigkeit hat – also alle außerhalb des Europäischen Wirtschaftsraums (EWR). Achtung, unter anderem gehört auch die Schweiz nicht zum EWR! Ein Datenaustausch innerhalb des EWR sollte unbedenklich sein.
Vergessen Sie nicht darauf, auch bei Datenflüssen an vermeintliche EU-Unternehmen genau hinzusehen, denn diese könnten Daten schließlich an Drittländer weiterübermitteln. Beispiele hierfür wären Mailchimp, Salesforce, HubSpot und Facebook. Praxistipp dazu: Checken Sie die Verträge, die Sie mit Ihren Dienstleistern abgeschlossen haben.

Schritt 2: Relevante Grundlage des Datentransfers bestimmen

Um Daten an Unternehmen in Drittländern übermitteln zu dürfen, ist eine geeignete Grundlage notwendig. Folgende Grundlagen gibt es hierfür:

Ohne Rechtsgrundlage keine Datenverarbeitung, das muss ohnehin immer der Grundsatz sein!

Schritt 3: Spezialfall USA – Datentransfer gegen Geheimdienste sichern

Identifizieren Sie unbedingt Electronic Communication Service Provider in den USA und überprüfen Sie jeden Datentransfern in die USA daraufhin, ob ein Abhören durch die NSA möglich ist. Daten bei all jenen Unternehmen, die ein Electronic Communication Service Provider sind und dem sogenannten FISA 702 unterliegen, können jederzeit von den Geheimdiensten ausgelesen werden. Genau davor soll aber die DSGVO schützen! Von solchen Unternehmen dürfen auf keinen Fall Daten von EU-Bürgern verarbeitet werden.

Folgen bei unrechtmäßigem Datentransfer in Drittländer

Verantwortliche müssen Datenübermittlungen überprüfen und diese unterlassen, sollte es keine geeignete geeignete Rechtsgrundlage geben. Wird dies verabsäumt, wird das höhere Strafmaß gemäß DSGVO herangezogen: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Gesamtkonzerns! Die Datenschutzbehörden dürfen Verarbeitungen solcher Art auch jederzeit untersagen. Und, ganz übel: Betroffene könnten Schadenersatz geltend machen. Eine Schon- oder Übergangsfrist gibt es dazu nicht, das hat der EuGH bereits im Juli 2020 so verkündet.

Handeln Sie sofort und prüfen Sie Ihre ausländischen Dienstleister, speziell jene Dienstleister mit Bezug zu den USA.

Wir unterstützen Sie sehr gerne dabei, Ihre Datenflüsse nach den beschriebenen Kriterien zu überprüfen. Bleiben Sie auf der sicheren Seite, meist wird die auf der europäischen Seite des Atlantiks liegen. Kontaktieren Sie uns jederzeit, wenn Sie Fragen zum Thema Datentransfer haben.

Achtung: Mailchimp und Co. – Datenübermittlung in die USA

Posted by Erich von Maurnböck

Eine aktuelle Entscheidung der bayrischen Datenschutzbehörde sorgt dafür, dass der datenschutzkonforme Einsatz vieler US-Dienste überdacht werden muss. Datenschützer haben entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp nicht rechtmäßig ist. In diesem Beitrag erfahren Sie mehr über die Mailchimp & Co. Problematik.

Mailchimp-Beschwerde in Deutschland

Ein bayrisches Unternehmen nutzte für den Versand von Newslettern Mailchimp, einen beliebten amerikanischen Email-Marketing Dienst. Darüber hat sich ein Empfänger bei der Datenschutzbehörde beschwert. Die Behörde prüfte daraufhin, ob in diesem Fall der Einsatz von Mailchimp zulässig war. Das Ergebnis der Untersuchungen: Nein, die Verwendung entspricht nicht der DSGVO! Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass Mailchimp nicht datenschutzkonform ist. Mailchimp bietet zwar EU-Standardvertragsklauseln für Kunden an, welche für die Übertragung der Mailadressen der Empfänger in die USA notwendig sind. Allerdings fehlte die zusätzlich notwendige Überprüfung durch das Unternehmen. Deshalb stellt sich weiterhin die Frage, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ erfolgt sind, damit diese auch tatsächlich rechtskonform gestaltet werden können. Daraufhin entschied sich das Unternehmen dafür, auf den Einsatz dieses US-Dienstes unmittelbar zu verzichten, um einer etwaigen Strafe zu entgehen.

Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen.

Mailchimp und die Datenspeicherung in den USA

Grundsätzlich wurde im Urteil bezüglich der Ungültigkeit des Privacy-Shields ein Datenaustausch mit den USA nicht verboten. Die USA sind zwar ein unsicherer Drittstaat, doch durch sogenannte Standardvertragsklauseln sowie zusätzliche Vereinbarungen weiterer Sicherheiten, ist eine Datenweitergabe und eine Speicherung in den USA jedoch weiterhin möglich. Zusätzliche Sicherheiten oder Garantien, dass zum Beispiel Geheimdienste nicht auf die Daten zugreifen können, werden von Mailchimp nicht angeboten. Wichtig ist jedoch, dass das Vorhandensein zusätzlicher Sicherheiten bei jedem einzelnen „Dienst“, den man in den USA zukauft, geprüft werden muss. Hierbei ist eine sogenannte „Case by Case“ Untersuchung erforderlich. Wie im obigen Beschwerdefall beschrieben, wurde diese „Case by Case“ Untersuchung vom Unternehmen verabsäumt.

Wenn Sie also kein rechtliches Risiko eingehen wollen, müssen Sie eine Case by Case Prüfung bei Mailchimp und anderen Tools von US-Anbietern vornehmen.

Bei folgenden US-Diensten bedarf es einer detaillierten Prüfung der angebotenen Sicherheiten

Unsere Praxistipps

Passwortmanagement: Der Vergesslichkeit trotzen

Posted by Erich von Maurnböck

Wie viele Passwörter müssen Sie sich merken, um auf all Ihre Geräte, Accounts und Programme zugreifen zu können? Zu viele, werden die meisten Personen sicherlich antworten. Um diese sicher zu speichern und dennoch den Überblick nicht zu verlieren, gibt es Passwortmanager. Wie diese genau funktionieren und welche die besten sind, erfahren Sie in diesem Beitrag.

Passwortmanager – Wieso?

Passwortmanager dienen dazu, Usernamen, Kennwörter und gegebenenfalls weitere Details für den Zugang zu Hardware/Software oder Diensten sicher an einem Ort zu speichern.

Nahezu jeder hat zig verschiedene Geräte, Accounts, Programme und andere Zugänge in Verwendung. Sowohl für den privaten, als auch für den beruflichen Gebrauch. Das bedeutet, dass die Vielzahl der zu merkenden Passwörter die Speicherkapazitäten des Gedächtnisses ganz schön herausfordert, vor allem für jene Zugänge, die man selber benötigt, denn es ist sehr wichtig, für jeden Account ein eigenes Passwort zu haben. Verwenden Sie eines für all Ihre Dienste, so könnte im Falle einer Offenlegung Ihrer Zugangsdaten im schlimmsten Fall auf all Ihre Accounts zugegriffen werden.

Nun denken sich viele: Ach, nehmen wir eben überall Passwörter wie „123456“, immer ein wenig abgewandelt, das ist einfach und man vergisst es nicht. Jährlich wird die Zahlenfolge rund um „123456“ (mit oder ohne 7, 8 und 9) am häufigsten als Passwort gewählt. Dass dies jedoch den Weg für Hacker perfekt aufbereitet, versteht sich wohl von selbst. Um den immer häufigeren Hackerangriffen zu entgehen, muss also auf jeden Fall ein sicheres Passwort gewählt werden.

Ein sicheres Passwort hat eine Kombination aus: Groß-/Kleinschreibung, Zahlen und Sonderzeichen und eine bestimmte Mindestlänge. Doch die Mindestlänge stellt beim Merken von Zugangsdaten das zweite Problem dar: Passwörter, die diesen Vorgaben entsprechen, sind besonders schwer zu merken. Um also sichere Passwörter für alle Dienste zu wählen und diese auch nicht sofort wieder zu vergessen, ist ein strukturierter Umgang mit Passwörtern notwendig. Genau aus diesem Grund stellen wir Ihnen in diesem Beitrag einige Passwortmanager vor.

Passwortmanager – Wie sieht das aus?

Ein Passwortmanager ist ein System, in das eine Vielzahl von Passwörtern zu den dazugehörigen Diensten eingetragen werden kann. Diese werden dort unter strengen und geprüften IT-Security-Richtlinien sicher verwaltet und können (hoffentlich) nur vom „Eigentümer der Passwörter“ jederzeit abgerufen werden. Somit haben Sie all Ihre Kennwörter quer über alle Geräte, Dienste, Programme und andere Konten sicher verwahrt.

Passwortmanager im Vergleich*

Wir haben uns einige Passwortmanager genauer angesehen und verglichen:

Abschließend: Bei jedem Passwortmanager besteht ein Restrisiko. Je mehr das Tool in die Online-Welt integriert ist, desto höher ist das Risiko.

Unser Fazit

Legen Sie sich unbedingt einen Passwortmanager zu, um Ihre Passwörter sicher zu verwalten! Unsere Empfehlung: KeePass/XC und lokale Backups. Wer unbedingt eine online Version benötigt – der greift am besten zu 1Password. Unser IT-Sicherheitsexperte und zertifizierter CISO.Prof Erich von Maurnböck unterstützt Sie gerne bei der Einführung. Kontaktieren Sie uns dazu sehr gerne!

* Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Schwere Datenpanne mit sensiblen Daten

Posted by Birgit von Maurnböck

In Bremerhaven hat sich eine schwere Datenpanne ereignet, bei der vom Integrationsamt eine Namensliste zu kündigender Hafenmitarbeiter verschickt wurde. Lesen Sie in diesem Beitrag, wie es genau dazu gekommen ist und was Sie in Ihrem Unternehmen tun können und müssen, um solche Vorfälle gar nicht erst passieren zu lassen.

Auslöser der Datenpanne

Das Bremerhavener Integrationsamt hat versehentlich eine Namensliste verschickt, auf der 140 Menschen mit einer schweren Beeinträchtigung erfasst waren, die vom insolventen Gesamthafenbetriebsverein (GHBV) gekündigt werden sollten. Bei Kündigungen, die Menschen mit einer schweren Beeinträchtigung betreffen, ist eine Zustimmung durch das Amt notwendig. Beim Austausch mit den Betroffenen wurde unbeabsichtigt die gesamte Liste mit allen Namen ausgesendet. Darauf waren personenbezogene Daten wie das Geburtsdatum, sowie auch die Betriebszugehörigkeit einzusehen. Und natürlich ist die Information, dass jemand behindert ist, ein sensibles Gesundheitsdatum!

Reaktionen auf die Datenpanne

In einem darauffolgenden Schreiben ersuchte das Amt darum, die Daten nicht weiterzugeben. Dieser Schritt kam jedoch zu spät und war wenig effektiv: Die Daten waren bereits abfotografiert und ins Internet hochgeladen worden. Die gekündigten Arbeiter, die zum einen aufgrund der Datenpanne, zum anderen aber besonders auch wegen ihrer Kündigung wütend waren, werfen dem Amt schweren Datenmissbrauch vor.

Folgen der Datenpanne

Die Geschäftsführung des GHBV hat sich vorschriftsgemäß an den Landesdatenschutzbeauftragten gewandt und die Panne gemeldet. Die datenschutzrechtlichen Folgen sind noch nicht klar, die Datenpanne wurde erst letzte Woche publik.

Unsere Praxistipps

Checken Sie bei jedem Email, das Sie versenden:

Wir sind bei Rückfragen oder für mehr praktische Umsetzungstipps stets sehr gerne für Sie da. Kontaktieren Sie uns.