Archiv: News

Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und sind ein Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten, daher brauchen Sie Schutz innerhalb und außerhalb des internen Netzwerks.

Ein DMS verwaltet Dokumente über ihren gesamten Lebenszyklus hinweg. Wer eine DMS-Lösung einführt, braucht ein umfassendes Konzept, um keine gesetzlichen Anforderungen, unter anderem aus der Datenschutz-Grundverordnung (DSGVO), außer Acht zu lassen.

Die betriebswirtschaftlichen Vorteile eines Dokumentenmanagement-Systems sind unbestreitbar:

• Zeit sparen bei der Ablage und Suche im Dokumentenarchiv
• Personal- und Materialkosten sparen
• Optimierte Prozesse über Abteilungsgrenzen hinaus
• Medienbrüche vermeiden
• Bessere Verteilung der Informationen und leichterer Zugriff
• Schneller auf Anfragen reagieren

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/DMS_Datenschutzgerechtes_Dokumentenmanagement.pdf

---

Einladung zum ELO ECM Solution Day in Leipzig am 14.03.2023

Die ELO Digital Office GmbH, Hersteller eines weltweit führenden Dokumentenmanagement-Systems und die PRODATIS CONSULTING AG sowie weitere Partner veranstalten auch in diesem Jahr regionale Veranstaltungen. Die erste findet im März in Leipzig statt, zu der Sie sich hier gern kostenlos anmelden können. Weitere Veranstaltungen folgen im Juni in Potsdam und Fürth.

Erfahren Sie in Kundenvorträgen, Workshops, Live-Demos und im Gespräch mit Fachexperten, wie Sie die Digitalisierung Ihres Unternehmens umsetzen können.

Weitere Informationen finden Sie hier:
https://datenschutz.prodatis.com/nl/ELO_Solution_Day_Leipzig.pdf

ELO ECM Solution Day in Leipzig am 14.03.2023
KONGRESSHALLE am Zoo Leipzig | Pfaffendorfer Str. 31 | 04105 Leipzig

Wir würden uns freuen, mit Ihnen gemeinsam, einen spannenden Tag rund um das Thema ELO ECM zu verbringen.

Von den vielfältigen Möglichkeiten von Excel wissen die meisten Nutzer kaum etwas. Gerade das kann bei bestimmten Vorgehensweisen in diesem Programm Datenpannen verursachen, welche den Nutzern dabei nicht bewusst sind. Ziel muss es sein, solche Pannen zu vermeiden.

Der Bayerische Landesbeauftragte für den Datenschutz hat deshalb zu diesem Thema einen Ratgeber veröffentlicht, welcher sich in weniger als einer halben Stunde durcharbeiten lässt.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Datenpannen_mit_Excel_vermeiden.pdf

Ratgeber zu Microsoft Excel des BayLDA:
https://www.datenschutz-bayern.de/datenschutzreform2018/aki46.html

Viele Unternehmen überlassen den Empfängern von Werbe-E-Mails die Wahl, wie oft sie solche Nachrichten erhalten wollen. Hat der Empfänger seine Entscheidung getroffen, muss sich das Unternehmen daran halten, da sonst Ärger mit dem Wettbewerb droht.

Wenn sich jemand bei einem Unternehmen ausdrücklich für einen wöchentlichen Werbe-Newsletter eingetragen hat, das Unternehmen ihm dann aber dennoch Newsletter in Abständen von weniger als einer Woche zuschickt, stellt dies unlauteren Wettbewerb dar.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Werbe-E-Mails_Einwilligungen_und_ihre_Tuecken.pdf

Entscheidung des Kammergerichts Berlin vom 22.11.2022:
https://gesetze.berlin.de/bsbe/document/KORE555612023

Betreiber von Websites, Apps und Co. haben die Vorgaben des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), insbes. § 25 TTDSG, sowie die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu beachten. Im Folgenden wird erläutert, auf welche Verhaltensweisen des Websitebetreibers § 25 TTDSG bzw. die DSGVO konkret Anwendung finden, also ihr sachlicher Anwendungsbereich. Zudem wird der Rechtsrahmen dargestellt, der sich aus § 25 TTDSG bzw. der DSGVO ergibt, also was konkret mit den personenbezogenen Daten der Websitenutzer gemacht werden bzw. unter welchen Voraussetzungen beim Einsatz von Cookies und Co. auf deren Endgeräte zugegriffen werden darf.

Mehr erfahren Sie unter:
https://www.gdd.de/downloads/praxishilfen/prax-praxishilfen-neustrukturierung/GDDPraxishilfeDSGVOePrivacyundDatenschutzbeimOnlineauftritt.pdf

Ransomware-Angriffe stellen eine der größten Cyber-Bedrohungen für Staat, Wirtschaft und Gesellschaft dar.

Bei einem Ransomware-Angriff werden die Daten auf einem IT-System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Immer öfter wird zusätzlich mit der Veröffentlichung der zuvor entwendeten Daten gedroht, um das Opfer zusätzlich unter Druck zu setzen. Ransomware Angriffe zeichnen sich dadurch aus, dass die Auswirkungen auf einen Betroffenen mit dem Einsatz der Ransomware unmittelbar eintreten:

• Dienstleistungen und Geschäftsprozesse können nicht mehr zur Verfügung gestellt werden.
• Die IT des Betroffenen kommt zum Erliegen.
• Durch die zunehmende Professionalisierung und Arbeitsteilung auf der Seite der Angreifer sind zudem die Einstiegshürden für die Durchführung von Ransomware-Angriffen deutlich gesunken, was weitere Täter anzieht.

Millionen-Geldbuße für ein Opfer von Ransomware:
https://www.datenschutz-praxis.de/pleiten-pech-pannen/millionen-geldbusse-fuer-ein-opfer-von-ransomware/
https://ico.org.uk/media/action-weve-taken/mpns/4021951/interserve-group-limited-monetary-penalty-notice.pdf

Daten nach einem Ransomware-Vorfall sicher wiederherstellen:
https://www.datenschutz-praxis.de/tom/daten-nach-einem-ransomware-vorfall-sicher-wiederherstellen/

Ransomware-Attacken: Ablauf und Bewältigung eines Cyberangriffs:
https://www.datenschutz-praxis.de/datenschutzbeauftragte/ransomware-attacken-ablauf-und-bewaeltigung-eines-cyberangriffs/

12 typische Fehler in Sicherheitskonzepten:
https://www.datenschutz-praxis.de/datenschutzbeauftragte/12-typische-fehler-in-sicherheitskonzepten/

Weitere Informationen erhalten Sie auch unter:
https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/unternehmen_node.html

hat Ihr Unternehmen/Ihre öffentliche Einrichtung Dienstleister (z.B. Cloudanbieter) verpflichtet, die als sogenannte Auftragsverarbeiter gemäß Artikel 28 DSGVO personenbezogenen Daten verarbeiten, sind Sie als Verantwortlicher verpflichtet, eine initiale Prüfung des Auftragsverarbeiters sowie regelmäßige Kontrollen/Überprüfungen durchzuführen.

Regelmäßige Kontrollen/Überprüfungen sollen zeitnah mögliche Schwachstellen beim Auftragsverarbeiter insbesondere bei der IT-Sicherheit erkennen, um Verstöße gegen die gesetzlichen Regelungen zu vermeiden.

Häufig setzen Auftragsverarbeiter weitere Unterauftragnehmer ein, wodurch die Datenflüsse für Sie als Auftraggeber schnell unübersichtlich werden können.

Der Auftragsverarbeiter muss den Auftraggeber vor Hinzuziehung eines neuen Unterauftragnehmers beziehungsweise beim Wechsel eines Unterauftragnehmers vorab um Genehmigung fragen oder zumindest eine Widerspruchsmöglichkeit einräumen – je nach Vereinbarung im Auftragsverarbeitungsvertrag. Ob dies auch zuverlässig erfolgt, sollte im Zuge einer Kontrolle hinterfragt werden.

Nachfolgend stellen wir Ihnen einen Mustertext zur Verfügung, welchen Sie an Ihre eingesetzten Auftragsverarbeiter senden können.

---

Kontrolle der Verträge zur Verarbeitung von Daten im Auftrag gemäß Art. 28 DSGVO   

Sehr geehrte Damen und Herren,

Sie agieren als Auftragsverarbeiter für unser Unternehmen/unsere öffentliche Einrichtung und verarbeiten somit personenbezogene Daten. Entsprechend unserer vertraglichen Vereinbarungen obliegt es Ihnen hinreichende Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der EU-Datenschutzgrundverordnung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist.

Im Rahmen unserer regelmäßigen Kontrollhandlungen bitten wir Sie, uns die folgenden Informationen zukommen zu lassen:

• aktuelle Liste der Subauftragnehmer,
• Mitteilung über Änderungen der Verarbeitung bzw. eine Übersicht zu den derzeitigen technisch- organisatorischen Maßnahmen als auch
  ein aktuelles Testat, Bericht oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren etc.) zur Wahrung der Vorgaben der DS-GVO bzw. datenschutzrechtlicher Bestimmungen
• Mitteilung, ob es im Zusammenhang mit der Verarbeitung personenbezogener Daten unseres Unternehmens/unserer Einrichtung meldepflichtige Verletzungen des Schutzes personenbezogenerer Daten gab.

Sofern es hinsichtlich der vorstehenden Punkte keine Neuerungen geben sollte, bitten wir Sie ebenfalls, um die Übermittlung einer entsprechenden Negativauskunft.

Für den Eingang Ihrer Rückmeldung haben wir uns den 28.02.2023 vorgemerkt.

Sollten Rückfragen und/oder Unklarheiten bestehen, stehen wir für Fragen gern zur Verfügung.

Vielen Dank im Voraus.
Mit freundlichen Grüßen

Verantwortliche haben nach der Datenschutz-Grundverordnung (DSGVO) eine Rechenschaftspflicht, welche in den Grundsätzen für die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) zu finden sind. Nach diesen ist der Verantwortliche für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss die Einhaltung auch nachweisen können.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Rechenschaftspflicht_Das_gehoert_nach_DSGVO_dazu.pdf

Download Prüfkatalog Rechenschaftspflicht des BayLDA:
https://www.lda.bayern.de/media/pruefungen/201810_rechenschaftspflicht_fragebogen.pdf

Der US-amerikanische Konzern Meta hat laut Mitteilung der irischen Datenschutzbehörde DPC mit seinen beiden Plattformen Facebook und Instagram gegen die Europäische Datenschutzgrundverordnung (DSGVO) verstoßen.

Die Behörde verhängte deshalb eine Strafe von 210 Millionen Euro für Verstöße von Facebook und von 180 Millionen Euro für Instagram. Darüber hinaus muss Meta innerhalb von drei Monaten seine Datenverarbeitung in Einklang mit den Vorgaben der DSGVO bringen.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Meta_390_Millionen_Bussgeld.pdf

in unserem aktuellen Newsletter möchten wir Sie über die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) im Betrieb informieren.

Die eAU soll die Datenweitergabe im Zusammenhang mit der Arbeitsunfähigkeit ab 01. Januar 2023 verbessern. Dafür stellen Krankenkassen den Arbeitgebern die Daten ab diesem Zeitpunkt elektronisch zur Verfügung. Doch was heißt das für den Datenschutz, wo sind Anpassungen nötig?

Durch die Digitalisierung der Arbeitsunfähigkeitsbescheinigungen müssen Unternehmen ihre bisherigen Prozesse und die Verarbeitungstätigkeiten neu bewerten und anpassen. Da Arbeitgeber die Daten der eAU bei den Krankenkassen abrufen müssen, ist es erforderlich, Maßnahmen zu definieren, damit diese Daten zeitnah die Entgeltabrechnungsstelle erreichen.

Für diesen Abruf müssen Unternehmen ihre technischen Strukturen prüfen, dass diese den Anforderungen aus Art. 32 Datenschutz-Grundverordnung (DSGVO) genügen und ein dem Risiko angemessenes Schutzniveau gewährleisten.

Darüber hinaus gilt es, die betrieblichen organisatorischen Maßnahmen zu hinterfragen, zu prüfen und bei Bedarf neu zu definierten.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Die_elektronische_Arbeitsunfaehigkeitsbescheinigung.pdf

Briefe verschicken große Teile der Bevölkerung kaum noch. Viele haben nicht einmal mehr Umschläge und Briefmarken im Haus. Kein Wunder, dass manche Unternehmen auch bei einer Krankmeldung auf Übermittlung mittels WhatsApp setzen.

Die Datenschutzaufsicht Rheinland-Pfalz will davon allerdings nichts wissen. Sie schreibt hierzu, Messenger-Dienste würden sich auf keinen Fall dafür eignen, „um besonders schützenswerte Gesundheitsdaten, wie beispielsweise die Kopie einer Arbeitsunfähigkeitsbescheinigung, zu kommunizieren.“ Gegenüber den Unternehmen, bei denen dies trotzdem üblich war, hat sie Verwarnungen ausgesprochen. Offensichtlich blieb es nur deshalb bei einer Verwarnung, weil die Unternehmen nach entsprechenden Beschwerden von sich aus angekündigt hatten, die betriebliche Nutzung von WhatsApp einzustellen.

Die Datenschutzaufsicht betont, dass sie betriebsinterne WhatsApp-Gruppen generell für nicht vereinbar mit dem Datenschutz hält. Dies liege daran, dass „mit Blick auf die nicht zu unterbindenden Datenübertragungen in die USA eine datenschutzkonforme Nutzung in aller Regel nicht sichergestellt werden kann.“

Quelle: Datenschutzaufsicht Rheinland-Pfalz, Tätigkeitsbericht 2021, Seite 28.

Lesen Sie mehr unter:
https://www.zaftda.de/tb-bundeslaender/rheinland-pfalz/landesdatenschutzbeauftragter-5/811-30-tb-lfd-rheinland-pfalz-2021-o-drs-nr-vom-08-09-2022/file