Das Recht auf Löschung und was Unternehmen dabei berücksichtigen sollten

April 19, 2018 Autor: DSGVO 0 Bemerkungen

Die Rechte von Personen in der EU auf informationelle Selbstbestimmung erfahren durch die DSGVO erheblichen Auftrieb. Das wichtigste: das Recht auf Löschung ihrer Daten. Seinen Ursprung hat es im EU-weit anerkannten sogenannten Recht auf Vergessenwerden, das sich in erster Linie auf die Auffindbarkeit von Informationen in EU-Staaten über Suchmaschinen bezieht. Es gründet auf dem Vorgänger der DSGVO, der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie), und ist das Ergebnis eines Urteils des Europäischen Gerichtshofes im Mai 2014. Ihm zufolge müssen veraltete, fehlerhafte oder nicht relevante Daten aus Suchmaschinenergebnissen entfernt werden. Das Urteil war also auf einen sehr spezifischen Sachverhalt begrenzt und bezog sich nicht auf die Löschung …

Weiterlesen

Wie Sie mit ruhenden Daten DSGVO-konform umgehen

April 13, 2018 Autor: eDiscovery 0 Bemerkungen

Sobald die DSGVO angewendet wird, muss transparent sein, wie personenbezogene Daten innerhalb des Unternehmens verarbeitet werden: Ihre Verwendung muss auf den Zweck begrenzt sein, für den sie erhoben wurden, und sie dürfen nur für die Zeitspanne gespeichert werden, die benötigt wird, um den Zweck zu erfüllen, für den sie erhoben wurden. Die Daten müssen also durch passende technische und organisatorische Maßnahmen nicht nur vor Verlust, Beschädigung oder Zerstörung geschützt werden, sondern genauso vor unbefugter oder unrechtmäßiger Verarbeitung. Zudem stärkt die DSGVO die Rechte der betroffenen Personen. Sie können ihr Einverständnis zur Verarbeitung ihrer Daten jederzeit widerrufen und verlangen, dass ihre Daten gelöscht werden.

Unterm Strich bedeutet das, dass die Unternehmen wissen müssen, wo personenbezogene Daten gespeichert sind.…

Weiterlesen

Was Unternehmen bei der Auswahl einer DLP-Lösung beachten sollten

Im Hinblick auf die DSGVO kommt kaum ein Unternehmen, das personenbezogene Daten oder besondere Kategorien von personenbezogenen Daten nach Artikel 9 der DSGVO verarbeitet, darum herum, Funktionalität für Data Loss Prevention (DLP) einzusetzen. Darunter sind in erster Linie Gerätekontrolle / Device Control und die Prüfung der Dateiinhalte bei Datentransfers zu verstehen. Moderne Lösungen suchen zudem nach unstrukturierten Daten – ein wichtiges Hilfsmittel, um Schatten-IT unterbinden und Regelungen der DSGVO wie das Recht auf Auskunft und auf Löschung umsetzen zu können. Selbstverständlich sollte eine DLP-Lösung skalierbar sein und an unterschiedliche Anforderungen beispielsweise hinsichtlich der Funktionsbereiche angepasst werden können. Was darüber hinaus eine DLP-Lösung auf dem Stand der Technik ausmacht und was Sie bei der Auswahl einer…

Weiterlesen

Datenschutz und Datensicherheit: Was ist der Unterschied?

Datenschutz und Datensicherheit, Informationssicherheit und IT-Sicherheit – klingt alles irgendwie ähnlich. Die Begriffe werden daher häufig synonym verwendet, obwohl sie unterschiedliche Sachverhalte bezeichnen. Dass es Überschneidungen und Unklarheiten gibt, macht die Sache nicht einfacher. Fangen wir an mit der Abgrenzung von Datenschutz und Datensicherheit.

Unter Datenschutz wird der Schutz personenbezogener Daten vor nicht erlaubter Erfassung, Speicherung und Verwendung verstanden. Es geht also darum, die informationelle Selbstbestimmung von Personen zu gewährleisten. Das Recht auf informationelle Selbstbestimmung gehört in Deutschland zu den Grundrechten. Es ist im Grundgesetz zwar nicht explizit erwähnt, aber dennoch als Teil des allgemeinen Persönlichkeitsrechtes aufgefasst. Außerdem wird es durch die Charta der Grundrechte der…

Weiterlesen

Verschlüsseln, anonymisieren, pseudonymisieren, maskieren: Was sind die Unterschiede?

Die DSGVO gibt vor, dass die personenbezogenen Daten der Bürger in der EU zu schützen sind, aber nicht, wie. Allerdings nennt sie Verfahren, die zum Schutz der Daten einzusetzen sind: Verschlüsselung, Anonymisierung, Pseudonymisierung. Gelegentlich taucht noch ein weiterer Begriff auf, die Datenmaskierung (Data Masking). Nicht immer ist klar, was genau sich hinter den Begriffen verbirgt, wodurch sie sich unterscheiden und welches Verfahren wofür eingesetzt wird. Hier ein Überblick:

Verschlüsselung

Bei der Verschlüsselung werden Daten jeglicher Art mithilfe von Algorithmen in eine unverständliche Zeichenfolge umgewandelt. Für die Entschlüsselung, also die Konvertierung in die ursprüngliche lesbare Form, muss ein Schlüssel verwendet werden. Verschlüsselte Daten sind vor unbefugtem Zugriff geschützt und bleiben geheim bzw. vertraulich, denn…

Weiterlesen

Der Stand der Technik und die DSGVO

März 9, 2018 Autor: DSGVO 0 Bemerkungen

In der DSGVO und in anderen Regelungen wie dem Bundesdatenschutzgesetz und dem IT-Sicherheitsgesetz findet sich anstelle konkreter Maßnahmen, wie denn IT-Systeme oder personenbezogene Daten zu schützen sind, die Formulierung „Stand der Technik“. Häufig sind Ziele angegeben, die zu erreichen sind, aber sehr selten, welche Maßnahmen ergriffen oder Verfahren genutzt werden sollen. In der DSGVO sind beispielsweise Pseudonymisierung und Verschlüsselung die einzigen Verfahren, die beim Namen genannt werden. Aber das war es dann auch schon. Sie erfahren nämlich beispielsweise nicht, welchen Algorithmus Sie verwenden oder ob Sie symmetrisch oder asymmetrisch verschlüsseln sollen. Am Ende sind Sie wieder beim Stand der Technik angekommen.

Was ist nun der „Stand der Technik“? Zunächst einmal gehört der Begriff zu den „Technikklauseln“. Sie werden…

Weiterlesen

Data Loss Prevention für die Filmwirtschaft

Zu den beliebten Opfern von Hacker-Attacken und Datendiebstahl gehört traditionell die Unterhaltungsindustrie. Aus den vergangenen Jahren sind einige große Hacks in Erinnerung geblieben. In Jahr 2014 war Sony betroffen; neben privaten Daten von Hollywood-Stars gehörten auch unveröffentlichte Filme zur Beute der Angreifer. Dem Kabelsender HBO kamen 2017 Skripte der Serie „Game of Thrones“ abhanden; der Streaming-Dienst Netflix wurde erpresst, nachdem Datendiebe unveröffentlichte Folgen von „Orange is the new Black“ bei einem Nachbearbeitungsdienstleister gestohlen hatten.

Solche Vorfälle will der Verband der amerikanischen Film-, Unterhaltungs- und Fernsehindustrie Motion Picture Association of America (MPAA) verhindern und hat deshalb Richtlinien zum Content-Schutz entwickelt. Zwar ist die Einhaltung der Richtlinien freiwillig. Da …

Weiterlesen

Warum Firmen-E-Mails und Firmen-Unterlagen nicht an den privaten Account geschickt werden sollten

Die Grenzen zwischen Arbeit und Privatleben verschwimmen. Viele Arbeitnehmer arbeiten nach Feierabend von zu Hause aus weiter. In manchen Firmen ist es Usus, dass sich Mitarbeiter geschäftliche E-Mails an ihren privaten Account weiterleiten, um sie in Ruhe bearbeiten oder um während des Urlaubs auf dringende Angelegenheiten reagieren zu können. Davon abgegrenzt werden muss, dass sich Mitarbeiter Firmenunterlagen zum Durchsehen oder Fertigstellen nach Hause schicken. Beides ist gut gemeint, und viele Arbeitgeber schätzen so viel Engagement bei ihren Mitarbeitern. Allerdings haben beide Fälle problematische Kehrseiten.

Geschäftliche E-Mails an den privaten Account weiterleiten

Privatpersonen haben in der Regel einen E-Mail-Account bei einem anderen Anbieter als die Firma, bei Providern wie Yahoo, GMX, Web.de, AOL. Wenn geschäftliche E-Mails an das private…

Weiterlesen

Dateien auf USB-Sticks verschlüsseln: Automatisch statt lästig

Als ich neulich an einem warmen Föhntag vor meinem Lieblingscafé in der Sonne saß, fiel mir ein Mann auf. Er ging von Tisch zu Tisch, schaute unter Tische und Stühle und trat den Kies auseinander. Irgendwann kam er zu mir und fragte, ob er auch hier gucken könne, er habe hier am Vormittag einen USB-Stick verloren. Wichtige persönliche Daten, sagte er, nicht verschlüsselt. Aber auch unter meinem Tisch nichts. Tja, so schnell kann es passieren.

Eigentlich müsste jeder wissen, dass man Daten, und schon gar personenbezogene oder andere wichtige, verschlüsselt, wenn man sie auf einem USB-Stick speichert, einfach weil die Speicher leicht mal verschwinden – vergessen, verloren, geklaut. Für Endanwender gibt es im Internet jede Menge kostenlose Tools samt Gebrauchsanweisung, die sicherstellen sollen, dass auch ungeübte IT-Anwender ihre Daten schützen können. Selbstverständlich…

Weiterlesen

Mehr als ein kleiner Unterschied: Datenschutz in der EU und in den USA

Dass Daten in den USA gut geschützt sind, glaubt in der EU seit dem Bekanntwerden der Spionage-Praktiken von US-Geheimdiensten kaum noch jemand. Was es schwierig macht, in Sachen Datenschutz auf einen gemeinsamen Nenner zu kommen, sind die unterschiedlichen Konzepte, die ihm in den beiden Kulturkreisen zugrunde liegen.

In Europa bzw. in der EU beruht Datenschutz auf der unveräußerlichen Würde des Menschen. Sie führt zum Grundrecht auf informationelle Selbstbestimmung und zum Recht darauf, dass bei der Verarbeitung von personenbezogenen Daten ihre Vertraulichkeit und Integrität sichergestellt sind. Dieses Grundrecht ist einklagbar; es wird durch die DSGVO EU-gestärkt und seine Einhaltung von unabhängigen Instanzen überwacht. In den USA hingegen steht der Schutz von Freiheit im Vordergrund. Über seine Freiheit kann jedes Individuum selbst verfügen. Auf…

Weiterlesen