Google Analytics – neuer Vertrag zur Auftragsdatenverarbeitung

Unternehmen die in Deutschland Google Analytics im Einsatz haben benötigen u. a. zusätzlich einen Vertrag zur Auftragsdatenverarbeitung. Der alte Vertrag beinhaltet aber noch eine mögliche Datenübermittlung auf Basis von „Safe Harbor“, welche seit dem EuGH-Urteil im Oktober 2015 ungültig ist.

Google bietet nun eine neue Fassung des Vertrages an, bei dem auf „Safe Harbor“ verzichtet wird. Falls Sie noch einen alten Vertrag zur Auftragsdatenverarbeitung mit Google haben sollten Sie diesen aktualisieren und die neue Version ausfüllen und an Google senden.

Sie finden den Vertrag hier: https://static.googleusercontent.com/analytics/terms/de.pdf

Bitte denken Sie daran, dass die IP-Adressen Ihrer Besucher auch weiterhin nur gekürzt gespeichert werden dürfen.

 

Diese 4 aktuellen Betrugsmaschen bedrohen Ihr Unternehmen

Derzeit gibt es vermehrt Berichte über Betrüger die insbesondere Unternehmen im Visier haben und damit leider auch Erfolg haben. Da wir als Datenschutzbeauftragte auch einen Blick auf die Datensicherheit haben und u. U. auch personenbezogene Daten betroffen sind möchten wir Ihnen aufzeigen, wie die Betrüger versuchen an das Geld Ihres Unternehmens zu gelangen. Bitte informieren Sie Ihre Mitarbeiter/innen um das Risiko zu senken, selbst zum Opfer dieser Kriminellen zu werden. Für unsere Kunden halten wir entsprechende Aushänge für das „Schwarze Brett“ oder interner Rund-E-Mail zur Sensibilisierung bereit.

Variante 1: Bankverbindung hat sich geändert

Das LKA Baden-Württemberg warnt vor dieser Masche, bei der Kriminelle Informationen über angebliche „Änderungen der Bankverbindung“ an Unternehmen verschicken. Dabei scheinen die Angreifer zu wissen mit welchen anderen Unternehmen das angegriffene Unternehmen Geschäftsbeziehungen pflegt. Denn Ziel des Angriffes ist es, dass die Mitarbeiter die (angebliche) neue Bankverbindung hinterlegen und das Unternehmen beim nächsten Zahlungslauf eine echte Rechnung begleicht aber das Geld auf das Konto der Kriminellen überweist. Die Pressemitteilung (PDF-Datei) finden Sie hier: Pressemitteilung LKA (extern)

Variante 2: Chef-Masche

Die Chef-Masche hat laut einem Bericht des Handelsblattes beim Unternehmen Leoni 40 Millionen Euro Schaden verursacht. Die Kriminellen versuchen Mitarbeiter dazu zu überreden Geld zu überweisen. Dabei geben sie vor der Geschäftsführer o. ä. zu sein und erwecken den Eindruck es handelt sich um eine vertrauliche „Mission“, z. B. die Übernahme eines anderen Unternehmens o. ä. Laut dem Bericht der FAZ sind bundesweit seit  2013 rund 60 Betrugsfälle mit einem Gesamtschaden von über 100 Millionen Euro bekannt geworden.

Variante 3: Finanzamt

Das Bayerische Landesamt für Steuern warnt auf seiner Webseite vor betrügerischen E-Mails die im Namen der Steuerverwaltung bzw. Finanzamt versendet werden. Die Angreifer versuchen so an Anmeldeinformationen bzw. Bankverbindungsdaten zu gelangen.

Variante 4: Schadsoftware und Erpressung

Bei dieser schon älteren Betrugsmasche sind in der Zwischenzeit auch private Haushalte das Opfer. Fahnder aus Niedersachsen haben zusammen mit ihren indischen Kollegen vor Kurzem ein entsprechendes Call-Center in Indien stillgelegt. Die Kriminellen rufen ihre potentiellen Opfer an und geben sich z. B. als Techniker eines IT- oder Telekommunikationsunternehmen aus. Dann erklärt der angebliche Mitarbeiter, z. B. von Microsoft, dass es ein Problem mit dem Computer gibt und er unbedingt ein Programm ausführen muss. Das Programm infiziert dann den Computer mit Schadsoftware oder verschlüsselt die Daten um dann entsprechend Geld zu erpressen.

So senken Sie das Risiko

  • Um das Risiko zu senken sollten Sie Ihre Mitarbeiterinnen und Mitarbeiter über die Betrugsmaschen informieren und dafür sensibilisieren wachsam zu sein. Unseren Kunden stellen wir hierfür einen Aushang für das „Schwarze Brett“ bzw. Intranet zur Verfügung.
  • Gerade in kleinen und mittleren Unternehmen sollten Sie mit Ihren Mitarbeitern klären inwieweit sie telefonisch oder via E-Mail Zahlungsanweisungen geben, um nicht Opfer der Chef-Masche zu werden. Bitte bedenken Sie dabei, dass Angreifer möglicherweise auch versuchen Druck aufzubauen, wenn der Mitarbeiter nicht wie gewünscht reagiert.
  • E-Mails und auch Briefe („Änderung Bankverbindung“) sollten misstrauisch geprüft werden. Gerade die großen Anbieter haben entsprechende Regeln an ihre Kunden kommuniziert und weisen auf ihrer Webseite z. B. darauf hin, keine PINs oder Bankverbindungsdaten via E-Mail o. ä. abzufragen. Im Zweifel sollte der bekannte – nicht der im Schreiben genannte -Ansprechpartner kontaktiert werden, um sich den Wunsch, z. B. Änderung der Bankverbindung, über einen anderen Kanal (Telefon statt E-Mail) bestätigen zu lassen.
  • Ansonsten gelten die üblichen Verhaltensweisen und Vorkehrungen: keine Links von E-Mails anklicken die eine Software herunterladen möchten oder auf dubiose Seiten verweist. Als normaler Anwender nicht mit Administrator-Rechten arbeiten. Keine Links in entsprechenden E-Mails anklicken um dort Daten einzutragen, sondern im Zweifelsfall über einen anderen Kanal nachfragen ob die Daten benötigt werden.

Lassen Sie sich kostenfrei informieren

Unsere Kunden und Interessenten haben wir per Info-Verteiler in den letzten Wochen bereits über drei dieser Varianten informiert und auch einen Aushang zur Mitarbeiter-Sensibilisierung bereitgestellt. Tragen Sie sich einfach und unverbindlich in unseren Info-Verteiler ein und lassen Sie sich auf dem Laufenden halten.

Webinar Datenschutz für Azubis

Für unsere Datenschutz-Kunden bieten wir zum Start des aktuellen Ausbildungsjahr mit dem Webinar „Datenschutz für Azubis“ einen neuen Service. Sparen Sie sich die Reisekosten für die Anfahrt! Wir zeigen Ihren Azubis in ca. 60 Minuten die wichtigsten Fakten zum Thema Datenschutz. Zur Teilnahme ist nur einen Computer mit Internetzugang und ein Telefon notwendig.

Die Teilnahme ist für die Azubis unserer Kunden ohne weitere Kosten möglich! Bei Fragen stehen wir gerne zur Verfügung. Sie erreichen uns via Telefon, E-Mail, Fax und Post.

Termine:

Donnerstag, 18.08.2016 von 09:30 – 10:30

Freitag, 19.08.2016 von 09:30 – 10:30

Dienstag, 23.08.2016 von 09:30 – 10:30

 

Webinar für Datenschutz Digital / TKMmed!a

Am Donnerstag, den 18.08.2016, werde ich von 14 bis ca. 16 Uhr das Webinar für Datenschutz Digital durchführen. Abonnenten finden unter dem Link

http://premium.vnr.de/datenschutz-digital/ihr-webinar

die notwendigen Zugangsdaten. Ich freue mich auf Ihre Teilnahme und habe folgende Themen vorbereitet:

  • 2-Faktor-Authentifizierung
  • YouTube-Videos datenschutzfreundlich einbinden
  • Benutzer-Rechte und der direkte Datenbankzugriff
  • Virtuelle Computer und Server

Weitere Informationen zu „Datenschutz Digital“ finden Sie unter:

http://www.tkmmedia.de/produkte/details/datenschutz-digital/

 

In eigener Sache: Umfirmierung und Umzug der Webseite

Nach ca. vier Jahren als selbständiger IT-Berater freue ich mich darüber, dass ich  ab Oktober 2016 nun dauerhaft Unterstützung erhalte. Aus diesem Grund habe ich bzw. – jetzt wir – umfirmiert. Aus Sebastian Tausch | IT wurde die IT Rechenwerk GmbH.

Im Rahmen der Umfirmierung hinterlegen wir auch die neuen Kontaktdaten und aktualisieren das Impressum und die Datenschutzerklärung dieser Webseite. Zudem erhält die Seite noch ein paar kleinere technische Anpassungen, ein https-Zertifikat und wird noch in diesem Jahr umziehen.

Bei Fragen stehen wir gerne zur Verfügung – Sie erreichen uns per Kontaktformular, E-Mail, Telefon, Telefax und per Post.

Werbung und Datenschutz

Viele Anfragen zum Thema Datenschutz drehen sich um Werbung. Dürfen Werbebriefe verschickt werden, was muss ich bei Newslettern oder E-Mail Werbung beachten und wann darf ich Interessenten und Kunden anrufen?

Das Bayerische Landesamt für Datenschutzaufsicht hat auf seiner Webseite dazu ein relativ einfaches und kurzes Dokument veröffentlicht. Hier wird aufgezeigt, was erlaubt ist und worauf Unternehmen, Freiberufler und Vereine bei ihren Werbeaktivitäten achten müssen. Das Dokument finden Sie unter dem nachfolgenden Link [extern]:

http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/BayLDA_Info_Datenverwendung_Werbung.pdf

Falls die Informationen nicht ausreichen stehen auch die Anwendungshinweise vom Düsseldorfer Kreis (Arbeitskreis der Konferenz der Datenschutzbeauftragten des Bundes und der Länder) auf der Webseite zur Verfügung:

http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Anwendungshinweise_Werbung.pdf

 

Unterschied Datenschutz und Datensicherheit (IT-Sicherheit)

Unterschied Datenschutz - Datensicherheit - IT-Sicherheit - Grafik

Unterschied Datenschutz – Datensicherheit – IT-Sicherheit Grafik zum Blogartikel

 

 

 

 

 

 

 

 

Bei Datenschutz-Schulungen oder Mitarbeiter-Sensibilisierungen ist oft unklar worum es beim Datenschutz überhaupt geht und wo sich Datenschutz und Datensicherheit unterscheiden.

“Einfach” könnte man sagen: “Beim Datenschutz soll der einzelne Mensch geschützt werden, indem er selbst über die Verwendung seiner Daten entscheidet. Bei der Datensicherheit geht es um den Schutz von „allen“ Daten, also z. B. auch Papier-Dokumente. Die IT-Sicherheit kümmert sich um die digitalen Daten und Systeme.“

Und im Detail:

Datenschutz
Beim Datenschutz geht es darum, den Menschen über die Verwendung seiner personenbezogenen Daten selbst bestimmen zu lassen. Diese informationelle Selbstbestimmung soll die Privatsphäre schützen. Nun ist es aber erforderlich personenbezogene Daten an Dritte zu geben, z. B. an Behörden, Versicherungen (z. B. Krankenkasse), Dienstleister (z. B. Arzt), Unternehmen (z. B. Arbeitgeber oder Versandhandel) oder andere Organisationen, z. B. Sportvereine usw.

Um trotz dieser notwendigen oder freiwilligen Weitergabe die Kontrolle über seine Daten zu bewahren braucht es natürlich Regeln. Diese Regeln stehen u. a. im Bundesdatenschutzgesetz (BDSG). Diese Regeln besagen z. B., dass jeder Betroffene das Recht hat, dass seine falschen Daten korrigiert werden. Andere Regeln im Datenschutzrecht verlangen z. B. dass die personenbezogenen Daten sicher „verwahrt“ werden. Damit kommen wir zur Datensicherheit.

Datensicherheit
Bei der Datensicherheit geht es um den Schutz von Daten, unabhängig davon, ob diese personenbezogen sind oder nicht. Das können z. B. Kalkulationen sein, geheime Rezepte usw., also Daten, die keinen Personenbezug haben. Die Datensicherheit ist auch für den Datenschutz notwendig, wenn personenbezogene Daten verarbeitet werden, z. B. Kundendaten, Mitarbeiterdaten, Mitgliedsdaten, usw.

Nun sind nicht alle Daten unbedingt nur digital vorhanden, sondern auch “analog”, d. h. z. B. auf Papier. Das kann z. B. die geheime Kalkulation sein oder eine Gehaltsabrechnung (personenbezogen). Bei der Datensicherheit geht es um alle Varianten, digital und analog. Also um die Excel-Datei auf dem PC, mit der die Kalkulation erstellt wurde und den Ausdruck auf Papier bzw. um das Programm für die Gehaltsabrechnung und die ausgedruckte Gehaltsabrechnung.

IT-Sicherheit
Die IT-Sicherheit kümmert sich (fast) nur um die digitale Variante, also die Excel-Datei und das Gehaltsprogramm, und ist somit Bestandteil der Datensicherheit.

Hinweis: dies ist mein alter Artikel, den ich am 27.07.2012 unter www.sebastian-tausch.de veröffentlicht habe. Da ich die Seite neu erstellt habe, habe ich den Artikel am 09.07.2015 in den Blog datenschutzwegweiser mit leichten Änderungen übernommen.

Verbraucherzentrale NRW mahnt Unternehmen ab

Die Verbraucherzentrale NRW mahnt Unternehmen ab, welche den Facebook „Like“-Button so auf Ihrer Webseite integriert haben, dass bereits beim Aufruf der Webseite Daten an Facebook übermittelt werden. Die Information der Verbraucherzentrale finden Sie hier:
https://www.vz-nrw.de/likebutton

Zur Lösung des Problems gibt es drei Lösungsmöglichkeiten, welche ich heute meinen Interessenten und Kunden geschickt habe. Sie finden diese Information im Newsletter-Archiv: http://newsletter.sebastian-tausch.de/m/8995845/

Sie können sich sehr gerne auch in meinen kostenfreien Informationsverteiler eintragen.
http://datenschutzwegweiser.de/blog-neuigkeiten/newsletter/

Internationale Prüfung von Webseiten / Online-Diensten und Apps mit Kindern als Zielgruppe

Das Bayerische Landesamt für Datenschutzaufsicht hat in seiner Pressemitteilung vom 11.05.2015 darauf hingewiesen, dass es sich an einer internationalen Überprüfung beteiligt. Insgesamt beteiligen sich 28 Datenschutzbehörden aus der ganzen Welt an dieser Prüfungsaktion. Ziel sind Webseiten / Online-Dienste und Apps die sich an Kinder bis 13 Jahre richten oder bei diesen besonders beliebt sind.

Weitere Informationen finden Sie in der Pressemitteilung:
www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/150511%20-%20PM%20Sweep%20Day.pdf

Die beteiligten Aufsichtsbehörden finden Sie hier:
www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/150511%20-%20PM%20Sweep%20Day%20-%20Anhang.pdf