News & Infos zum Thema Datenschutz

Veröffentlicht am

externer Datenschutz und IT-Sicherheit in Hamburg

dsgvo beratung hamburg

Unser Büro in Hamburg hat seit Anfang September nun auch eine eigene Webseite: www.dsgvo-beratung-hamburg.de

Frau Krause jun. hat im Juni 2020 Ihre TÜV Zertifizierung als Datenschutzbeauftragte erhalten und betreut die Kunden von DSBOK im Norden von Deutschland.

Ihr Spezialgebiet sind DSGVO und Sicherheitsanalysen von Webseiten und Shopsystemen. Mit verschiedenen Software Systemen können wir nun Webseiten und Shopsysteme auf DSGVO Konformität und Sicherheitsschwachstellen untersuchen.

Einen kostenlosen Beispiel-Test erhalten Sie hier:
Webseiten und IT-Sicherheitstest

 

Veröffentlicht am

Sicherheit bei Webseiten und Onlineshops prüfen

Webseiten Sicherheitscheck

Neuer Service: Sicherheit bei Webseiten und Onlineshops prüfen

Webseiten Sicherheistscheck

Webseiten sind heute dank kostenloser CMS Systeme schnell erstellt und sehen professionell aus. Selten wird sich um die Sicherheit des CMS Systems oder des Servers gekümmert, auf der die Webseiten gehostet werden. Häufig werden die CMS Systeme ohne erweiterte Sicherheisteinstellungen und in der einfachen Grundkonfiguration betrieben.

Dies bietet Hackern und Internetbetrügern ein großes Potenzial für die verschiedensten Angriffmöglichkeiten. Die verbreitesten sind Webseiten Highjacking und Datendiebstahl aus Formularen. Selten bekommen die Eigentümer der Webseiten etwas davon mit. Erst speziellen Sicherheitschecks decken die Lücken auf, die in der Regel mit wenigen Eingriffen geschlossen werden können.

Onlineshop Sicherheitscheck

Auch Onlineshops lassen sich schnell und unkompliziert mit Onlineshopsystemen erstellen. Hier sind die Gefahren für den Betreiber deutlich höher als bei einer Webseite, denn neben dem Hightjacking des Onlineshops steht hier der Datendiebstahl ganz oben auf der Liste. Dieser reicht vom einfachen Diebstahl der Kundendaten bis zum Diebstahl sensibler Daten, wie zum Beispiel Bankverbindungen oder Kreditkartendaten.
Umfangreiche Onlineshop Sicherheitchecks decken Schwachstellen auf und verhindern das schlimmste.

Webseiten und Onlineshop Sicherheitschecks als Pflicht aus der DSGVO und dem Bundesdatenschutzgesetz

Neben dem Schutz der Geschäftstätigkeit und dem Firmengeheimnis, hat jeder Unternehmen nach Artikel 24, 25 und 32 der DSGVO die Verantwortung und Verpflichtung für die Sicherheit der Verarbeitung zu sorgen. Dies gilt auch für Systeme, die nicht selbständig gepflegt und gehostet werden.

Sicherheitschecks als Service im Datenschutz

Im Rahmen unser Aufgaben aus Datenschutzauditoren, bieten wir unseren Kunden und Interessenten umfangreiche Sicherheitschecks für Webseiten, Onlineshops, Webserver, Server und Applikationen an. Unsere neues Team mit zwei  IT-Sicherheitsexperten erstellt aussagekräfte Berichte mit Handlungsempfehlungen und steht Ihnen Lösungen zur Verfügung.

Für ein unverbindliches Angebot eines Webseiten Sicheheitschecks oder sonstigen IT-Analysen rufen Sie uns einfach an oder nutzen Sie unser Angebotsformular für Sicherheitschecks.

Angebot für Webseiten Sichehrheitscheck, Onlineshop Sicherheitscheck oder sonstige IT-Netzwerk-Analyse anfordern.

Veröffentlicht am

DSGVO und Visitenkarten

DSGVO Vistenkarte Messe

Eine Frage, die ich sehr häufig von meinen Kunden höre ist: Jemand überreicht mir auf einer Messe oder sonstiger Begebenheit seine Visitenkarte. Muss meine Firma denjenigen über unsere Datenschutzhinweise informieren?

Der Betroffene nimmt in diesem Fall persönlich den Kontakt auf. Eine formalistischer gestufter Informationsprozess wäre hier angebracht. Dazu gehört zum einen die mündliche Basisinformation mit dem Hinweis auf die Datenschutzerklärung auf der Internetseite.

Pragmatisch und nach dem Sinn und Zweck der Regelung zur Informationspflicht handelt es sich bei der Abspeicherung der Angaben einer Vistenkarte um eine Fallgestalltung des Art. 13, Abs. 4 der DSGVO:

Die Informationspflicht entfällt. Denn der Betroffene hat damit, dass er mit seiner Vistenkarte ausgehändigt, schon zum Ausdruck gebracht, dass er über alle Informationen verfügt, die es Ihm gestatten, die weitere Datenverarbeitung hinzunehmen.

Nicht desto Trotz, dürfen Sie den Betroffenen nun nicht einfach mit Werbemails beschicken. In der Regel spricht man hier auch von einem „Singel Opt-In“ (SOI). Heißt, Sie dürfen den Betroffenen nur bezüglich der bei der Übergabe besprochenen Thematik anschreiben (Zweckbindung). Gegen eine weitere gegenseitige Kommunikation ist auch nichts einzuwenden.  Weitere E-Mails werblicher Form bedürfen jedoch eines Doppel-Opt-Ins (DOI).

Spätestens wenn Sie dem Kontakt ein Angebot schicken und seine personenbezogenen Daten in einem CRM System oder ERP System speichern, ist ein Hinweis zum Datenschutz notwendig.

Auf jeden Fall sollten Sie nicht vergessen, auch in Ihren E-Mails einen Hinweis mit Verlinkung auf Ihre Datenschutzerklärung zu geben. Damit kommen Sie ganz automatisch Ihrer Informationspflicht nach DSGVO innerhalb Ihrer Korrepondenz nach.

Veröffentlicht am

Muss mit Steuerberatern ein Vertrag zur Auftragsverarbeitung nach der DS-GVO geschlossen werden?

Steuerberater AV Vertrag

Im DSK-Kurzpapier vom 20.7.2018 der Datenschutzkonferenz wird hierzu nun ganz klar Stellung genommen:

In dem bundesweit abgestimmten DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung nach der DSGVO steht u.a. folgendes:
„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einemeigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines – Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer) …“
Bei Steuerberatern ist nach unserer Auffassung zu sehen, dass diese nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig sind und dementsprechend auch einer strafbewehrten persönlichen Geheimhaltungspflicht unterliegen (vgl. z. B. § 57 Steuerberatungsgesetz, § 203 Abs. 1 Nr. 3 des Strafgesetzbuches). Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 lit. a
DS-GVO. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt (§ 57 Abs. 4 Nr. 1 Steuerberatungsgesetz). Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können
sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen.

Weiterführende Links:
Datenschutzkonferenz, Kurzpapier 13

Steuerberater arbeiten deshalb aus unserer Sicht regelmäßig eigenverantwortlich aufgrund eines Mandantenvertrags und dürfen von den Mandanten im Rahmen der Erforderlichkeit für ihre Tätigkeit im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO personenbezogene Kunden- und/oder Arbeitnehmerdaten verarbeiten.

Veröffentlicht am

AV Verträge (Auftragsverarbeitung) ehem. Auftragsdatenverarbeitung

auftragsverarbeitungsvertrag

Wann brauche ich einen AV-Vertrag?

Immer wenn personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden, muss mit dem Verarbeiter ein AV-Vertrag geschlossen werden.
Dieser AV- Vertrag sichert den DSGVO konformen Umgang mit den personenbezogenen Daten.

Firmen haben in der Regel eingehende AV-Verträge und ausgehende AV-Verträge.

AV-Vertrag Eingang:

Ein von Ihnen beauftragter Dienstleister verarbeitet personenbezogene Daten von Ihnen oder einem Kunden von Ihnen und sichert uns durch den AV-Vertrag den DSGVO konformen Umgang damit zu.
Beispiel: Werbeagentur, Hosting Anbieter, IT Dienstleister, Google, usw. Diese AV-Verträge müssen proaktiv eingefordert werden

AV-Vertrag Ausgang:

Sie verarbeiten für Dritte personenbezogene Daten und sichern unseren Kunden durch den AV-Vertrag  den DSGVO konformen Umgang damit zu.
Beispiel: Auftragsdatenverarbeitung, Sonstige Service Leistungen
Diese AV-Verträge werden in der Regel von Ihren Kunden angefordert

AV- Vertrag Koppelung:

Wenn Sie Leistungen Dritter in Anspruch nehmen um Ihren Kunden Produkte oder Dienstleistungen anzubieten, müssen Sie die Eingangs AV-Verträge mit diesen Dritten mit den Ausgangs AV-Verträge an Ihre Kunden gegebenenfalls abgleichen. Sie sollten in den Ausgangs AV-Verträgen nie ein höheres Datenschutzniveau zusichern als das welches Ihnen von dem Dritten zugesichert wird. Ob Sie Koppelungen haben, geht aus dem Verzeichnis der verarbeitenden Tätigkeiten hervor.

Für Fragen und Erläuterungen stehe ich gern zur Verfügung.

Veröffentlicht am

Dateien für den E-Mailversand mit Passwort schützen

E-Mails mit personenbezogenen Daten müssen geschützt sein

Dies gilt natürlich nicht nur für Inhalte mit personenbezogenen Daten sondern auch für betriebsinterne Informationen! Es ist leichter als Sie denken E-Mail Verkehr abzufangen. 

Für alle Windows Benutzer gibt es eine gute Nachricht. Wer Office verwendet kann ganz einfach Office Dateien wie Word oder Excel mit einem Passwort versehen:

Navigieren Sie im geöffneten Dokument auf "Datei". Bei Windows 10 sieht das dann so aus: (Wenn Sie eine ältere Windows Version benutzen bitte über die Hilfefunktion suchen)

Wenn Sie "Dokument schützen" anklicken bekommen Sie eine Auswahl von Möglichkeiten aus der Sie "Mit Kennwort verschlüsseln" wählen.

WICHTIG: Merken Sie sich das Passwort und schreiben Sie es auf.
Auch hier gilt mindestens 8 Zeichen mit Zahlen, Buchstaben und Sonderzeichen.

Nun kann das ausgewählte Dokument nur noch mit diesem Passwort geöffnet werden. 

Die Übermittlung des Passwortes zum E-Mailempfänger kann dann vorab entweder telefonisch oder per SMS erfolgen. 

BITTE NICHT ÜBER WHATS-APP VERSCHICKEN!!

Sollten Sie häufiger Passwortgeschützte Dateien verschicken, sollte man auch hier in regelmäßigen Abständen das Passwort ändern. Es muss ja nicht wöchentlich sein aber alle 3 Monate ist eine Empfehlung.

By-The-Way:
Hat Ihr Handy eine Virus Software? Die meisten PC´s und Laptops haben so etwas. Beim Handy sind wir deutlich nachlässiger obwohl wir dort viele sensible Daten bevorraten, verschicken und empfangen.

Veröffentlicht am

Meldung des Datenschutzbeauftragten in Hessen

Datenschutzbeauftragter in Hessen melden

"Aufgrund der Datenschutz-Grundverordnung sind hessische Verantwortliche und Auftragsverarbeiter ab dem 25. Mai 2018 gem. Art. 37 Abs. 7 DS-GVO verpflichtet, die Kontaktdaten ihrer Datenschutz-beauftragten zu veröffentlichen und diese dem Hessischen Datenschutzbeauftragten mitzuteilen. Um einen reibungslosen Ablauf für die Vielzahl der erwarteten Meldungen zu gewährleisten, wird ein automatisiertes Meldeverfahren auf der Homepage des Hessischen Datenschutzbeauftragten bereitgestellt werden.  Das automatisierte Meldeverfahren ist bereits nutzbar. Der Hessische Datenschutzbeauftragte geht davon aus, dass Verantwortliche und Auftragsverarbeiter ihrer Mitteilungspflicht innerhalb von 3 Monaten nachkommen." Link zum Meldeformular: 

Hier den externen Datenschutzbeauftragten anmelden

 

Veröffentlicht am

externer Datenschutzbeauftragter Kosten

externer Datenschutzbeauftragter Kosten

Mit welchen Kosten Sie für einen externen Datenschutzbeauftragten rechnen müssen

Wenn Sie für Ihre Firma einen Datenschutzbeauftragten benennen müssen, steht die Entscheidung an, entweder einen internen oder einen externen Datenschutzbeauftragten zu benennen. Ohne der folgenden Kostenaufstellung zuweit vorgreifen zu wollen, so wird die Auswahl des externen Datenschutzbeauftragten unter dem Strich die günstigere Lösung sein.

Genaue Angaben über die Kosten für einen externen Datenschutzbeauftragten sind nur möglich, wenn man alle Sachverhalte in Ihrer Firma betrachtet. Der Gesamtpreis ist extrem abhängig davon verschiedenen Faktoren:

Kostenfaktoren 

  • Anzahl der Mitarbeiter
  • Anzahl der Abteilungen und Verantwortlichen
  • Anzahl der datenverarbeitender Tätigkeiten
  • Anzahl der technischen und organisatorischen Maßnahmen
  • Anzahl der IT Einheiten in Ihrer Firma
  • Anzahl der eingesetzten Softwareprogramme
  • Anzahl der Verträge zur Auftragsdatenverarbeitung
  • Anzahl der Datenschutzfolgeabschätzungen

Alle diese Punkte sind mit gewissen Analysen und Protokollen verbunden und können sich im Laufe eines Jahres auch ändern oder ergänzen, was auch Aufwand bedeutet.

Zusätzlich hat der externe Datenschutzbeauftragte auch noch weitere Aufgaben:

Sonstige Kostenfaktoren

  • Schulung und Sensibilisierung der Mitarbeiter
  • Ansprechpartner für Datenschutz Themen
  • Ansprechpartner für Betroffene
  • Ansprechpartner für Aufsichtsbehörden
  • Ansprechpartner bei Initialisierung neuer Prozesse
  • Kümmerer bei den Auftragsdatenverarbeitungsverträgen
  • Regelmäßige interne und externe Prüfung und Überwachung der oben genannten Punkte
  • Erstellen eines Quartals- und Jahresberichtes

Kosten Datenschutzmanagemantsystem

Um alle diese Punkte schnell und unkompliziert zu erledigen, nutzt der externe Datenschutzbeauftragte in der Regel ein softwaregestütztes Datenschutzmanagementsystem (DSMS) sowie eine online Schulungssystem für die Sensibilisierung der Mitarbeiter.

Die monatlichen Preise für das DSM System liegen je nach Anbieter zwischen €25 und €150 Euro. Bei dem online Schulugssystem ist die Preisspanne deutlich größer. Hier liegen die Preise Preise zwischen €8 und €15  pro Mitarbeiter und Monat. Es gibt aber auch DMS Systeme, die das Schulungssystem schon beinhalten.

Kosten für den externen Datenschutzbeauftragten 

Zur Feststellung des IST-Zustand und für das Setup des Datenschutzmanagementsystem werden in der Regel Audits zu Tagessätzen veranschlagt. 

Die Tagessätze von externen Datenschutzbeauftragten liegen je nach Ausbildung und Qualifikation des Datenschutzbeauftragten
zwischen € 580 und € 1.200.

Zusätzlich zu den Audits wird eine Monatspauschale mit einer Vertragslaufzeit von mindestens 1 Jahr vereinbart. In einige Bundesländer ist eine Vertragslaufzeit von mindestens 2 oder 3 Jahren vorgeschrieben. In dieser Monatspauschale ist auch die Nutzung des oben genannten Datenschutzmanagemensystems enthalten.

Beispiele für Kosten des externen Datenschutzbeauftragten

Um Ihnen bei der Masse der bisherigen Informationen eine Konkrete Vorstellung zu geben, hier nun ein paar Beispiele aus meinem eigenen Kundenkreis:

  • Beispiel: Software & Beratungsfirma
    3 Tage Audit à € 780 plus € 300 monatliche Pauschale für
    45 Mitarbeiter
    88 Verarbeitende Tätigkeiten
    20 TOMS
    10 ADV´s

    2 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

  • Beispiel:  Firma für Bürobedarf
    2 Tage Audit à € 780 plus € 210 monatliche Pauschale für
    21 Mitarbeiter
    60 Verarbeitende Tätigkeiten
    20 TOMS
    5 ADV´s

    1 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

  • Beispiel:  Pharma Hersteller
    4 Tage Audit à € 780 plus € 480 monatliche Pauschale für
    300 Mitarbeiter
    120 Verarbeitende Tätigkeiten
    60 TOMS
    20 ADV´s

    5 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

  • Beispiel:  Pharma Hersteller
    4 Tage Audit à € 780 plus € 480 monatliche Pauschale für
    300 Mitarbeiter
    120 Verarbeitende Tätigkeiten
    60 TOMS
    20 ADV´s

    5 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

  • Beispiel:  Garten & Landschaftsbaubetrieb
    1 Tag Audit à € 780 plus € 180 monatliche Pauschale für
    12 Mitarbeiter
    25 Verarbeitende Tätigkeiten
    10 TOMS
    3 ADV´s

    1 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

Sicherlich wollen Sie wissen mit welchen Kosten für den externen Datenschutzbeauftragten Sie für Ihre Firma rechnen müssen. Für ein unverbindliches Angebot nutzen Sie bitte das folgenden Formular.

Angebot anfordern
Erhalten Sie Ihr individuelles Angebot
Für ein konkretes Angebot, beantworten Sie bitte die folgenden Fragen zur Einschätzung des Aufwands:
(inkl. geringfügig Beschäftigte, Praktikanten, Werkstudenten und ähnliches)
Wir nutzen diese Daten nur zur einmaligen Angebotsabgabe. Lesen Sie hierzu auch unseren Datenschutzhinweis.
https://www.dsbok.de/datenschutz/
Veröffentlicht am

Sicheres Passwort, kryptisches Passwort

sicheres Passwort

Leider werden immer noch viel zu häufig Passwörter benutzt, die Hacker in wenigen Sekunden knacken können. Häufig ist es einfach zu lästig oder man ist zu bequem ein langes sicheres Passwort zu benutzen. Abhilfe schafft der Kryptonizer den ich vom BVD e.V. zugeschickt bekommen habe.

Man bleibt einfach bei seinem „Passwort“ (, verschlüsselt dies aber mit dem Kryptonizer. Zum einen lernt man so das sichere Passwort einfacher auswendig, zum anderen hat man immer die Möglichkeit mit dem Kryptonizer  vom eigentlichen alten und einfachen Passwort auf das verschlüsselte Passwort zu kommen.  Wichtig dabei ist natürlich, dass man den Kryptonizer nicht zusammen mit dem Passwort aufbewahrt!

Der Kryptonizer ist eine Übersicht in der für 3 Zeichen des Alphabetes ein Verschlüsselungszeichen steht (Siehe Bild) . Wer es noch sichere haben möchte, kann es natürlich noch granularer anlegen. Bei 3 Zeichen passt es praktisch auf einen kleinen Zettel.

Erstellung eines sicheren Passwort

Erstellen Sie sich einen eigenen Kryptonizer oder nutzen Sie die Vorlagen vom BVD e.V. wie hier abgebildet.

Die zusätzlichen Startzeichen stellen die Zeichenvielfalt sicher und sind immer fix gesetzt.

Nun denken Sie sich einen einfaches Passwort für Ihr zu schützendes Login aus, z.B.    zalando

sicheres Passwort

Mit dem Kryptonizer wird daraus: n-10G6N6sqs

Damit haben Sie nun ein 11 stelliges Passwort, was Sie mit dem Kryptonizer schell bei der Hand haben.

Veröffentlicht am

DSGVO Online Schulungssystem

dsgvo online schulungssystem

Der Verantwortliche, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, muss die Verarbeitung gemäß DSGVO sicherstellen. Dies geschieht in der Regel unter anderem durch Schulungen  sowie durch die Verschwiegenheitserklärungen der Mitarbeiter. Ist die Firma verpflichtet einen Datenschutzbeauftragten zu benennen, ist dieser gemäß Art. 39 der DSGVO sich um die Sensibilisierung und Schulung der Mitarbeiter zu kümmern. Die Schulung selber kann, muss aber nicht vom Datenschutzbeauftragten durchgeführt werden. Letztlich ist der Verantwortliche hierfür zuständig.

Die Sensibilisierung und Schulung von Mitarbeitern ist oft ein kostspieliges Unterfangen, insbesondere wenn die Mitarbeiter über mehrere Städte verteilt sind.

Hierfür haben wir ein DSGVO Online Schulungssystem entwickelt, mit dem Sie ganz einfach Ihre Mitarbeiter online Schulen können. Die Mitarbeiter können sich zu jeder Zeit online auf dem DSGVO Schulungssystem anmelden und die nötigen Schulungen online erledigen. Am Ende gibt es einen kleinen Test, der beliebig oft wiederholt werden kann. Damit erbringen Sie als Firma den Nachweis, dass Sie Ihre Mitarbeiter sensibilisiert und geschult haben. Die Schulungen sollten 1 Mal pro Jahr wiederholt werden und neue Mitarbeiter sollten zu Beginn Ihrer Tätigkeit mit dem DSGVO Online Schulungssystem geschult werden. Dies kann man praktischer Weise mit dem generellen Onbording geschehen.

Unser DSGVO Online Schulungssystem können Sie auch nutzen, wenn Sie uns nicht als externer Datenschutzbeauftragter benannten haben.