FacebookLinkedInXing
hello@tulos.de0221 54812 944Kontaktformular
Downloads

Drucker sind oft unterschätzte Risikofaktoren in Unternehmen und Behörden

Achtung, Drucker gehören zu den größten Risikofaktoren im Unternehmen!

In diesem Beitrag geht es um IT-Sicherheit und Kosteneinsparungen im Druckerbetrieb.

Drucker im Unternehmen. Teure und gefährliche Begleiter

Drucker gehören, trotz der zunehmender Digitalisierung, zu unserem Büroalltag.

Die meisten professionellen Drucker können zusätzlich scannen oder Kopien anfertigen.

Jeder soll sie leicht bedienen können, vom PC am Arbeitsplatz oder am Drucker selbst. Papier nachlegen – und kleinere Störungen sind zwar lästig, können aber meist von den Mitarbeitern erledigt werden. Gute Drucker sollen „einfach nur funktionieren“. Die Druckerwartung übernimmt in der Regel ein Dienstleister.

Drucker gehören zu den Kosten-Posten, die vom Management selten besondere Beachtung bekommen, definitiv zählen sie nicht zur strategischen Infrastruktur.

Drucker und deren Betrieb nehmen aber einen bemerkenswerten Anteil am Budget für die Technik. In vielen Fällen können die Kosten für Drucker jedoch erheblich reduziert werden.

Drucker sind oft ein Risiko und sie werden daher auch auf die erforderliche DSGVO Konformität geprüft.

Die drei häufigsten Schwachstellen bei Drucker, wie man diese Risiken minimiert und dabei gleichzeitig die Kosten messbar reduziert:

  1. Die Schnittstellen.
  • Cyber-Angriffe über das Netzwerk: Drucker Schnittstellen für den Netzwerkanschluß sind oft nicht so geschützt wie Clients, also PC´s und Laptop. Hacker suchen gezielt den Weg über Drucker, um von dort an die Server und Clients der Unternehmen zu gelangen.
  • Über Bluetooth oder USB-Schnittstellen gelangt man zur Drucker-Software und dann oft auch zur Druckerfestplatte und somit an die restliche Unternehmens-IT
  1. Die Festplatte in den Druckern speichert alle gedruckten oder gescannten Dokumente. Je nach Größe der Festplatte sind dies tausende Seiten. Man muss sich nur vorstellen, welche vertraulichen Informationen in den letzten Monaten gedruckt, kopiert oder gescannt wurden. Dann realisiert man wie wichtig es ist, dass diese Informationen nicht in falsche Hände gelangen. (Immerhin haben wir alle schon gelernt keine vertraulichen Kopien am Drucker liegen zu lassen)
  1. Drucker-Software: Jeder Drucker hat natürlich auch eine eigene Software, über die das Druckermanagement alle Funktionen möglichst reibungslos auf Befehl umsetzt.

Wie fast alle Systeme im Netzwerk wird diese Software regelmäßig aktualisiert. Dummerweise berücksichtigt jeder Hersteller im System nur seine eigenen Produkte. Server und Clients werden hoffentlich gut vom Systemadministrator gewartet, Updates erfolgen koordiniert. Die Drucker aber haben hierbei Ihren eigenen Takt. Abgestimmt sind sie weder mit der übrigen IT noch innerhalb der Drucker selbst. Vor allem, wenn Unternehmen verschiedene Drucker von unterschiedlichen Herstellern und unterschiedlichen Wartungsunternehmen betreiben.

Druckerausfälle sind hier nicht selten. Wir alle kennen diese und erinnern uns an Situationen, wo Druckerausfälle uns um Stunden länger im Büro verhaftet haben.

Hacker kennen sie auch. Hacker lieben diese Lücken, um in Unternehmensnetzte einzudringen.

Druckerkosten

Druckkosten sind ein erheblicher Anteil der Infrastrukturbetriebskosten. Sie werden aber als sehr gering im Verhältnis zu den Betriebskosten (TCO) anderer technischen Hilfsmittel, wie Laptop, Server Applikationen-Lizenzen etc. erachtet.
Das ist falsch, wie folgendes reales Beispiel zeigt:

Ein internationaler Konzern betreibt in Deutschland 2.000 Drucker und druckt pro Jahr 100 Mio. Din A 4 Blätter. 40% hiervon in Farbe.
Bei ineffizientem Druckermanagement entstehen hier leicht Kosten von 7,6 Millionen € / Jahr, welche mit effizientem Druckmanagement auf die Hälfte reduziert werden können – also auf 3,8 Millionen € / Jahr. Nicht unerheblich ist auch die Menge an Papier welche so eingespart werden kann.

Es bleibt ausgesprochen sinnvoll, sich mit diesem Thema im eigenen Betrieb auseinander zu setzen. Auch ist es keine Schande, sich für diesen umfänglichen Aufgabenbereich Unterstützung zu gönnen.

By |6. Mai 2021|Categories: Risikofaktoren Drucker, Tulos Blog|Tags: , , , , |Kommentare deaktiviert für Drucker sind oft unterschätzte Risikofaktoren in Unternehmen und Behörden
Read More

Cookie-Banner benutzerfreundlich und DSGVO konform gestalten

Ein Leitfaden mit Tips und Richtlinien für Cookie-Banner

Webseiten sollen benutzerfreundlich informieren oder kundenorientiert verkaufen.

Gute Webseiten tragen maßgeblich zum Image von Unternehmen und Behörden bei. Vertrauen und Zuverlässigkeit sind hierbei wesentlich.

Webseiten müssen nicht nur DSGVO Konform sein, sie sollten auch sicher funktionieren, um Vertrauen zu gewinnen. Leider bewirken Cookie Banner oft genau das Gegenteil, sie meistens lästig. Damit also die Webseite attraktiv ist, sollte man den Cookie-Bannern genauso Aufmerksamkeit widmen, wie dem Portal selbst.

Hier ein Leitfaden zur Gestaltung von Cookie-Banner

Von Anfang an: Was sind Cookies?
Einfach gesagt, ist ein Cookie ein kleines Programm, mit dem Internetseiten (beziehungsweise deren Betreiber) Nutzer identifizieren und bei jedem Besuch wiedererkennen und ihre Aktivitäten dokumentieren.

Cookies haben vor allem zwei Vorteile:

  1. Für die die Nutzer: Sie müssen nicht bei jedem Aufrufen der Seite ihre Daten eingeben und sich anmelden.
  2. Für die Betreiber: Diese können anhand der Cookies Besucherprofile erstellen und diese beispielsweise für Marketingzwecke verwenden oder Kunden das anzeigen, was sie am meisten interessiert. Für Onlineshops, z.B. sind Kundeninformationen ein Erfolgskriterium.

Dabei wird zwischen verschiedenen Arten von Cookies unterschieden:

  • Notwendige Cookies sind technisch erforderlich, damit eine Website überhaupt funktioniert. Eine konkrete Übersicht oder Auflistung, was genau darunter fällt, gibt es bislang allerdings nicht.
    Technisch Notwendige Cookies bedürfen keine Einwilligung!
  • Funktionale Cookies speichern beispielsweise Informationen zur ausgewählten Sprache der Webseite oder den Benutzernamen. Sie ermöglichen u. a. eine persönliche Begrüßung auf der Website und können die Nutzung für den Nutzer bequemer machen.
  • Statistik-Cookies erfassen Informationen über das Nutzerverhalten, beispielsweise angesehene Produkte, verwendete Suchbegriffe oder auch die Verweildauer auf einer Website.
  • Marketing-Cookies dienen einzig und allein werblichen Interessen. Sie werden genutzt, um Internetnutzern passgenaue Werbung anzuzeigen.

Vorgehensweise für die Gestaltung von Cookies

  1. Prüfen, ob überhaupt Cookies verwendet werden und ob es jedes Mal nötig, ist den Interessenten mit einem Cookie-Hinweis oder Cookie-Banner zu konfrontieren.
  2. Wenn Cookies genutzt werden, dann sollte man prüfen, welche Daten (Informationen) gelesen und ausgewertet werden.
    Erst wenn feststeht, welche Daten ausgewertet und ggf. an Dritte weitergeleitet werden, dann ist die Einwilligung des Betroffenen erforderlich. Betroffene müssen wissen, welche ihrer Daten verarbeitet werden, wer sie Lesen kann und wohin sie gespeichert werden.
  3. Jetzt macht man sich daran, möglichst benutzerfreundliche Cookie-Banner zu gestalten, also das Design und deren Texte.
  4. Die Einwilligung sollte möglichst einfach gestaltet werden, ohne Umwege und versteckte Links. Versteckte Links führen zur Verärgerung und bewirken das Gegenteil, was die Webseite eigentlich erreichen soll, nämlich Interessierte gewinnen.
  5. Prüfen ob ein Consent Tool erforderlich ist. Einwilligungen machen nur dann Sinn, wenn man die Einwilligung auch nachprüfen kann. Kann man die Einwilligung nicht nachvollziehen, nützt sie bei Nachfrage wenig. Wenn man viele Interessenten hat, ist ein Consent Tool sehr hilfreich. Consent Tools gibt es viele, Tulos hilft Ihnen gerne bei der Auswahl passender Systeme.

Zusatzwissen und rechtliche Grundlagen für Cookies

Seit Mai 2018 gilt die DSGVO. Alle Webseitenbetreiber, die Cookies nutzen, müssen seit 2018 ihre Datenschutzerklärung neu formulieren. Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.

Richtlinien für Cookies regelt in Deutschland der § 15 Abs.3 Telemediengesetz (TMG). Der besagt, dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen (§ 13 Abs. 1). Das kann in einem Cookie-Hinweis in einem Banner mit Link auf die Datenschutzerklärung erfolgen.

Vorschriften für die Gestaltung von Cookies bzw. Einwilligungserklärungen

  • Die Zustimmung des Nutzers muss direkt beim Seitenaufruf eingeholt werden, bevor Cookies gesetzt werden. Einzige Ausnahme: Technisch notwendige Cookies dürfen ohne vorherige Zustimmung gesetzt werden.
  • Cookie-Banner dürfen keine vorher angekreuzten Kontrollkästchen haben.
  • Das fortgesetzte Scrollen und Browsen auf einer Website stellt keine gültige Zustimmung dar.
  • Cookie-Walls (d.h. erzwungene Einwilligung) stellen keine gültige Zustimmung dar.
  • Die Einwilligung muss spezifisch sein und vom Benutzer aktiv erteilt werden, durch erstmaliges Ankreuzen eines Kästchens, nicht durch Deaktivieren eines bereits angekreuzten Kästchens. Die Einwilligung gilt auch nur, wenn die Nutzer über die Dauer der platzierten Cookies informiert wurden und darüber, ob Dritte Zugang zu ihren Daten haben.
  • Im Idealfall wird auf manipulative Formulare verzichtet, bei denen etwa für das Abwählen mehr Klicks als für das Annehmen erforderlich sind. Oder der Annehmen-Button mehr hervorsticht als der fürs Ablehnen. Dies ist zwar nicht verboten, der Europäische Datenschutzausschuss (EDSA) sieht das aber in einer Richtlinie aus dem Jahr 2020 sehr kritisch. (Stand: Oktober 2020).
  • Unabhängig davon, ob und wie die Besucher einer Webseite über eingesetzte Cookies unterrichtet werden, in der  Datenschutzerklärung muss auf die Verwendung der Cookies hinwiesen werden.
  • Der Link zur Datenschutzerklärung muss von jeder Seite der Website aus erreichbar sein.
  • Betreiben Sie eine gewerbliche Website, stellt eine fehlende oder mangelhafte Datenschutzerklärung einen Wettbewerbsverstoß dar, welcher abgemahnt werden kann.

Fazit

  • Die Rechtslage in Sachen Cookies ist in Deutschland verwirrend und noch nicht eindeutig geregelt, mann sollte aber prüfen was mindestens erforderlich ist.
  • Klar ist aber: Wer über Cookies personenbezogene Daten erhebt, muss dafür zuvor die aktive Zustimmung des betroffenen Nutzers einholen.
  • Nur technisch notwendige Cookies dürfen ohne Einwilligung des Nutzers gesetzt werden.
By |23. April 2021|Categories: benutzerfreundliche Webseiten, cookie banner, DSGVO konforme Webseiten, Einwilligungserklärung, Tulos Blog, Webseiten|Tags: , , , , , , |Kommentare deaktiviert für Cookie-Banner benutzerfreundlich und DSGVO konform gestalten
Read More

Datenschutz für Windows 10

Umsetzung der DSGVO Erfordernisse für den Betrieb von Windows 10

Sieben Schritte, wie man Windows 10 nach DSGVO prüft und sicher betreibt.

Unternehmen und staatliche Einrichtungen die Windows 10 einsetzen müssen diese Plattform auf DSGVO Erfordernisse prüfen und ggf. korrektive Maßnahmen umsetzten.

Denn Windows 10 ist nicht nur ein Betriebssystem, es ist eine Produktfamilie mit vielen Funktionalitäten die personenbezogene Daten verarbeiten, diese weiterleiten und speichern. Wer Windows 10 Systeme nicht auf DSGVO Konformität prüft und sie nicht auf die gesetzlichen Erfordernisse anpasst riskiert Strafen.

Nicht nur DSGVO Strafen, auch mangelnde IT-Sicherheit können hohe Schäden in Unternehmen und Behörden verursachen. Daher ist es in jedem Fall ratsam die Datenverarbeitung von Windows 10 zu kennen und zu kontrollieren.

Schritt 1

Zunächst wird die Edition und Version von Windows 10 aufgenommen. Microsoft bietet mehrere Editionen, z.B.:

– Windows 10 -Enterprise

– Windows 10  Education und Home

– Windows 10 Windows Server 2016 und höher

Alle diese in verschiedenen Versionen (z. B. 1803) und ggf. weiterer Merkmale (z.B.: Sprache, Multimediapaket) an.

Schritt 2

Dann werden die Produkte und Funktionalitäten gelistet, die tatschlich genutzt oder geplant sind.

Für die DSGVO müssen die Verarbeitungstätigkeiten derjenigen Produkte beschrieben werden, die personenbezogene Daten beinhalten. Wichtig dabei sind Datenweiterleitung, z.B. an Microsoft, und die Speicherung.

Denn während Privatnutzer von Windows 10 die Datenweiterleitung ihrer personenbezogenen Daten an Microsoft mit einer Einwilligung legalisieren, können Mitarbeiter von Unternehmen und Behörden hier keine Zustimmung geben. Einwilligungen setzten nämlich die Freiwilligkeit voraus, die ist bei Mitarbeitern nicht gegeben, sie können ja nicht ablehnen, solange sie mit Windows 10 arbeiten müssen.

Auch die Vorschriften zur Löschung von Daten, können nur eingehalten werden, wenn man weiß welche Daten sich an welcher Stelle befinden.

Microsoft hat seine Windows 10 Produkte den Anforderungen der DSGVO angepasst und stellt für jede Edition einen Leitfaden zur Konfiguration sowie der nötigen Dokumentation zur Verfügung. Diesen Leitfanden finden Sie hier.

Schritt 3

Nachdem die Verarbeitungstätigkeiten, einschließlich der Art, Umfang, Umstände und Zweck der Datenvereinbarungen beschrieben sind und durch Einsatz entsprechender Tools, wie z.B. MS Diagnostic Data Viewer, festgestellt wurde, welche personenbezogenen Daten an Microsoft für welche Zwecke übermittelt werden, ist zu prüfen, ob die Datenverarbeitung, inkl. deren  Übermittlungen rechtmäßig sind.

Relevante Rechtsgrundlagen für Windows 10 sind hier beschrieben.

Schritt 4

Auswahl angemessener Maßnahmen

Es sind Maßnahmen zu treffen, mit denen eine unrechtmäßige Offenlegung von Daten verhindert werden. Die Auswahl von angemessenen Maßnahmen ist abhängig vom Stand der Technik, den Implementierungskosten und den Risiken für die Rechte und Freiheiten der betroffenen Personen. Neben der technischen Verhinderung einer unrechtmäßigen Offenlegung von personenbezogenen Daten sind auch Maßnahmen zu treffen, durch die überprüft wird, ob diese getroffenen Maßnahmen auch nach Updates weiterhin einen angemessenen Schutz gewährleisten. Die getroffenen Maßnahmen und ihre Einhaltung sind nach Art. 5 Abs. 2 DSGVO zu dokumentieren.

Schritt 5

Sodann ist eine Datenschutz-Folgenabschätzung durchzuführen.

Das ist eine Einschätzung des Schadens den der oder die Betroffene erleiden kann, falls Informationen über Sie/ Ihn an Unbefugte gelangen. Bei der Einschätzung  werden die Schwere und Eintrittswahrscheinlichkeit unter Berücksichtigung der getroffenen Maßnahmen geprüft. Das Ergebnis ist dann die Risikobewertung für die Oder den Betroffenen.

Ist das Risiko nicht tragbar, weil die erforderlichen Maßnahmen nicht umgesetzt wurden, ist die zuständige Aufsichtsbehörde gemäß Art. 36 DS-GVO zu konsultieren.

Schritt 6

Implementierung der Maßnahmen und Überprüfung ihrer Wirksamkeit. Die ermittelten Maßnahmen sind zu implementieren und auf ihre Wirksamkeit zu überprüfen. Sobald die Maßnahmen erfolgreich greifen und das Restrisiko tragbar ist, kann Windows 10, bzw. können bestimmte Funktionen von Windows 10 zum Einsatz kommen.

Schritt 7

Bei einem Update besteht die Möglichkeit, dass neue Funktionen aktiviert werden, bestehende Funktionen verändert werden, Konfigurationsmöglichkeiten verändert werden oder die durch den Verantwortlichen getätigte Konfiguration verändert wird. Der Verantwortliche wird prüfen müssen, inwieweit sich dadurch die Effektivität der Maßnahmen zur Verhinderung einer unrechtmäßigen Offenlegung verändert hat. Ggf. darf eine Versionsänderung nicht durchgeführt werden, bevor die Maßnahmen nicht angepasst wurden und ein fortwährender Einsatz im Einklang mit der Verordnung wieder gewährleistet werden kann.

In einem weiteren Blog stellt Tulos Consulting einen Überblick zur rechtlichen Prüfung und passende Hinweise für Windows 10 zur Verfügung.

By |13. April 2021|Categories: Tulos Blog, Windows 10 DSGVO|Tags: , , , , , |Kommentare deaktiviert für Datenschutz für Windows 10
Read More

Rechtliche Grundlage für Windows 10

DSGVO Rechtsgrundlagen für den Betrieb von Windows 10

Rechtlicher Leitfaden für Windows 10 im Betrieb

Verantwortliche im Unternehmen oder Behörden erhalten hier einen Leitfaden, um eigenständig die Einhaltung der rechtlichen Erfordernisse der DSGVO zu prüfen, entsprechende Maßnahmen umzusetzen und diese zu dokumentieren.

Der rechtskonforme Betrieb von Windows 10 sowie die Dokumentation der Verfahren ist insbesondere für Unternehmen und staatliche Einrichtungen vorgeschrieben, da Windows 10 personenbezogene Daten verarbeitet, weiterleitet und speichert.

Die Umsetzung des sicheren und DSGVO konformen Betriebes von Windows 10 ist im Tulos Blog unter „Datenschutz für Windows 10“ beschrieben.

 

Für die DSGVO wissenswerte Grundlagen zu Windows 10

Windows 10 ist der Überbegriff über eine Produktfamilie. Microsoft stellt seine Produkte in verschiedenen Editionen und Versionen zur Verfügung. Diese Editionen unterscheiden sich im Wesentlichen durch ihre Funktionalität (z.B. ob eine Verschlüsselungssoftware integriert ist) und durch die Konfigurationsmöglichkeiten des Produktes durch den Nutzer.

Alte Versionen von Windows sind im Wesentlichen die Betriebssysteme. Alte Windows Systeme wurden auf einem einzelnen PC installiert, bei Bedarf durch den Nutzer aktualisiert (Updates und Servicepacks), sie benötigten keine Internetverbindung. Der Nutzer konnte das Kommunikationsverhalten der Produkte (Datentransfer zu Microsoft) selbst steuern.

Mit der Einführung von Windows 10 änderte sich das Geschäftsmodell von Microsoft. Weitere Funktionen (z. B. der Sprachassistent Cortana) wurden hinzugefügt, die über den eigentlich benötigten Funktionsbedarf eines Betriebssystems hinausgehen. Zusätzlich wird Microsoft durch die Übermittlungen des Betriebssystems in die Lage versetzt, technische Parameter und Logfiles, aber auch personenbezogene Daten zu speichern und auszuwerten. Diese Datenverarbeitung darf in der EU nur in einem rechtlichen Rahmen erfolgen, der DSGVO. Wer Windows 10 nicht entsprechend der hiesigen Gesetze betreibt und die Verfahren dokumentiert, macht sich strafbar.

Datenübertragung an Microsoft

Die Nutzung von Windows auf privaten PCs und in Behörden- oder Unternehmensnetzwerken sowie der Anschluss an das Internet eröffneten Microsoft schon seit langer Zeit die Möglichkeit, Informationen über Betriebssystemaktivitäten und damit den Systemzustand eines Computersystems an eigene Server in den USA zu übertragen. Durch diese Datenübertragungen können u. a. Fehler entdeckt, Produktverbesserungen initiiert und die Nutzung des Systems für den Anwender optimiert werden.

Es werden eventuell auch personenbezogene Daten (z. B. IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt. Dabei werden die Daten zum Teil verschlüsselt übertragen.

Microsoft selbst stellt Informationen über Konfigurationsmöglichkeiten bereit, mit denen die Kommunikation zu Microsoft unter Windows10 gesteuert werden kann.

Verschiedene Untersuchungen zeigen allerdings, dass es aktuell nicht möglich ist, die Datenübertragung durch Konfiguration von Windows10 vollständig zu unterbinden. Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.

Leitfaden für die rechtliche Prüfung

Grundlage einer rechtlichen Prüfung ist die Beschreibung einer Verarbeitungstätigkeit. Der Einsatz von Windows 10 ist kein Selbstzweck, sondern wird von Verantwortlichen im Rahmen von Geschäftsprozessen bei der Verarbeitung personenbezogener Daten verwendet.

Notwendigkeit einer Rechtsgrundlage für die Übermittlung von personenbezogenen Daten

Bei der Übermittlung von Daten an Microsoft sind drei Fallgruppen zu unterscheiden.

  1. Verhinderung der Übertragung: Wird durch technische Maßnahmen verhindert, dass eine Übertragung von Daten an Microsoft stattfindet, dann benötigt der Verantwortliche auch keine Übermittlungsgrundlage. Er muss jedoch sicherstellen, dass die technischen Maßnahmen zur Verhinderung einer Übermittlung im Sinne von Art. 25 Abs. 1 DSGVO angemessen und wirksam sind. Gleichzeitig wäre damit eine mögliche Erhebung von personenbezogenen Daten durch Microsoft unter Nutzung der Mittel des Verantwortlichen unterbunden. Der Frage, ob Microsoft selber Verantwortlicher ist, müsste nicht weiter nachgegangen werden.
  1. Minimierung der Übermittlung: Die Enterprise-Edition lässt sich so konfigurieren, dass nur noch eingeschränkt Telemetriedaten übermittelt werden. In diesen Fällen werden somit weiterhin Daten über die Nutzung des Systems übermittelt.
  1. Keine Minimierung der Übermittlung: In der dritten Konstellation werden Funktionen genutzt, durch die auch Dateiinhalte und somit auch personenbezogene Daten von Beschäftigten oder sonstigen betroffenen Personen durch den Verantwortlichen an Microsoft übermittelt werden können.

Sofern personenbezogene Daten an Microsoft übertragen werden (Fallgruppen 2 und 3), handelt es sich um rechtfertigungsbedürftige Übermittlungen durch den Verantwortlichen an Microsoft, da der Tatbestand des Art. 4 Abs. 1 Nr. 2 DSGVO durch die Übertragung von personenbezogenen Daten an Microsoft erfüllt wird.

In der Fallgruppe 2 richtet sich die datenschutzrechtliche Zulässigkeit der Übermittlung nach den Normen des Beschäftigtendatenschutzes. In Niedersachsen beispielsweise wird nach § 88 NBG (für Tarifbeschäftigte i. V. m. § 12 NDSG) oder § 26 BDSG vorgegangen. Nach beiden Normen gilt der Grundsatz der Erforderlichkeit. D. h. die Übermittlung personenbezogener Daten von Beschäftigten an Microsoft müsste für die Durchführung der Beschäftigungsverhältnisse erforderlich sein. Es ist zu prüfen, ob der Zweck der Verarbeitung auch mit weniger intensiven Maßnahmen in etwa gleich gut erreicht werden kann. Also z. B., ob die gewünschte Funktion durch andere Anbieter auch ohne die Übermittlung von personenbezogenen Daten oder mit Übermittlung in geringerem Umfang angeboten wird. Darüber hinaus muss der Grundsatz der Verhältnismäßigkeit gewahrt bleiben.

In der Fallgruppe 3 richtet sich die datenschutzrechtliche Zulässigkeit regelmäßig nach Art. 6 DSGVO. Gemäß Art. 6 Abs. 1 S. 1 DSGVO muss für jede Verarbeitung personenbezogener Daten eine der Voraussetzungen des Art. 6 Abs. 1 lit. a bis f11 DSGVO erfüllt sein. Die Verantwortlichen müssen prüfen, ob jede der festgestellten Übermittlungen rechtmäßig ist. Für die Verarbeitung von Beschäftigtendaten sind wieder die o. g. besonderen Rechtsvorschriften zu beachten.

Internationaler Datenverkehr

Die Übermittlung von personenbezogenen Daten erfolgt an Server in den USA. Daher sind die Normen über den internationalen Datenverkehr, die Art. 44 ff. DSGVO, anwendbar. Microsoft ist nach dem Privacy Shield zertifiziert. Ob dieser noch gültig ist, wird hier nicht diskutiert. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich selbstzertifiziert hat, d. h. vereinfacht gesagt, sich auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird und der Umfang der Zertifizierung die fraglichen Datenübermittlungen abdeckt. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DS-GVO übermittelt werden.

Es ist darauf hinzuweisen, dass gegen die Rechtmäßigkeit des Privacy Shields derzeit Bedenken bestehen. Gegen den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield wurden Ende 2016 zwei Klagen eingereicht. Auch das Verfahren „Schrems II“ (Az. C-311/18) könnte möglicherweise Auswirkungen auf den Angemessenheitsbeschluss der EU-Kommission zum Privacy Shield haben. Es wäre dann durch den Verantwortlichen zu prüfen, ob für Übermittlungen in die USA weiterhin die notwendigen Grundlagen existieren.

Fazit

Die festgestellten Datenübermittlungen und die damit verbundenen Übermittlungen von personenbezogenen Daten sind auf ihre Rechtmäßigkeit zu prüfen. Die möglichen Rechtsgrundlagen hängen von der jeweiligen Funktion und den übermittelten Daten ab. Soweit für die Übermittlung eine Rechtsgrundlage vorliegt, kann Windows 10 oder können bestimmte Funktionen von Windows 10 genutzt werden.

By |13. April 2021|Categories: Tulos Blog, Windows 10 DSGVO|Tags: , , , , , , , , |Kommentare deaktiviert für Rechtliche Grundlage für Windows 10
Read More

Daten-Kriminalität, teure Gefahren für Onlineshops

Risiken für Online-Shops in den Griff bekommen

5 typische Beispiele für Cyber-Kriminalität im Online-Handel und wie man sich vor Daten-Schäden schützt
1. Identitäten-Klau

Identitäten können entweder zentral beim Händler oder beim Kunden gestohlen werden. Beim Identitätsdiebstahl übernehmen Angreifer die Identität eines Kunden.

Der Onlinehändler muss sicherstellen, dass seine Datenbanken mit den Nutzerdaten ausreichend gesichert sind. Mit weiteren Sicherheitsmaßnahmen muss er Kunden-Konten schützen. Dazu gehören zum Beispiel die Verwendung von komplexen Passwörtern, das Nutzen von Multi-Faktor-Authentifizierung und das Umsetzen eines sichern Bezahlvorgangs.

2. Gefälschte Geschenkgutscheine

Hier kaufen Angreifer Geschenkgutscheine eines Anbieters und versuchen, hinter den Algorithmus der Gutschein-Codes zu kommen. Mit etwas Know-how, können sie selbst Gutscheine generieren und anschließend selbst nutzen oder verkaufen.

Händler sollten deshalb bei der Erstellung der Gutscheincodes darauf achten, komplexe Algorithmen zu verwenden. Zudem sollten lediglich bereits verkaufte Gutscheincodes für die Verwendung im Onlineshop freigeschaltet werden.

3. Gefälschte Rückerstattungen

Rückerstattungen kommen häufig zur Hochsaison vor,  z.B. in den Weihnachtstagen. Angreifer fälschen Rechnungen für Produkte. Sie geben an die Produkte nie erhalten zu haben und verlangen Rückerstattung. Händler haben oft nicht die Kapazität oder technischen Mittel die Sachverhalte zu prüfen.

Eine funktionierende Warenwirtschaft ist ein hilfreiches Gegenmittel. Klare Informationen, wer was gekauft hat, sowie die Nachverfolgung der Sendung, schützt nicht nur vor Kriminalität, die Aufwände im Betrieb reduzieren sich ebenfalls merklich. Onlineshops mit gut integrierten Abläufen und der passenden Technik ersparen oft nicht nur Kosten, sie bedienen Ihre Kunden oft auch schneller. Ergo, eine integrierte Warenwirtschaft reduziert die Risiken und kann zu Umsatzsteigerung plus mehr Gewinne führen.

4 DDoS-Attacken

Bei einer DDoS-Attacke (Distributed-Denial-of-Service) geht es darum, dem Onlineshops außer Betrieb zu nehmen. Insbesondere in hochsaisonalen Zeiten (Black Friday, Weihnachten) kann hier ein erheblicher Schaden entstehen. Bei Hackern beliebt, versuchen, mit einer erhöhten Anzahl gezielter Zugriffe den Onlineshop über eine Dienstblockade lahmzulegen.

Sehr wichtig ist es, eingehende Angriffe schnellstmöglich zu erkennen. Das kann über ein ganzheitliches Monitoring erleichtert werden. Ein sogenannter Incident-Response-Plan („Was mache ich, wenn der Ernstfall eintritt?“) hilft, um nach der Erkennung die richtigen Maßnahmen einzuleiten.

5. Point-of-Sale (PoS) mit Schadsoftware kompromittieren

Wenn Kreditkartendaten direkt oder online ausgelesen werden können, kann der Schaden enorm sein. Für den Datendieb umgekehrt ist dies ein lohnender Ertrag.

Ein  Sicherheitsstandard (PCI-DSS)  und regelmäßige Risikoanalysen können zudem aufzeigen, welche Standards aktuell nicht eingehalten werden und welches Risiko somit entsteht. Kriminelle Mitarbeiter sind leider auch oft ein Risiko-Faktor, auch hier sollte man auf der Hut sein.

Fazit.

Datenschäden können für Online-Shops existenzbedrohlich sein. Eine Überprüfung der Prozesse sowie der dazugehörigen technischen Infrastruktur lohnt sich immer. Erfahren Sie mehr über Datenschutz für Online-Shops auf dieser Seite.

Welche Maßnahmen umgesetzt werden, kann dann jeder für sich selbst entscheiden.

Tulos Consulting kann helfen, sinnvolle Maßnahmen zu wählen, und diese auch praxisnah umsetzen.

By |13. Oktober 2020|Categories: Online handel, Tulos Blog|Tags: , , , , , , , , |Kommentare deaktiviert für Daten-Kriminalität, teure Gefahren für Onlineshops
Read More

IT-Risiken durch Gefährliche Bequemlichkeit

Datenschutz für Unternehmen und Vereine im Alltag

Praxisnahe Beispiele wie Unternehmen und Vereine sich wirksam vor Daten-Schäden schützten können.

Die größten Risiken sind  Bequemlichkeit und mangelnde Wahrnehmung für Datenschutz.

Kunden werden immer anspruchsvoller. Sie erwarten individuelle Ansprache und kurze Lieferzeiten. Die Leistung werden in den Social Media bewertet. Datenschutz wird hierbei wenig beachtet.

Positive Bewertungen sind für alle Gewerbe überlebenswichtig. Sie beeinflussen direkt die Sichtbarkeit im Internet, sprich das Ranking bei Google. Viele Unternehmen sammeln Informationen über ihre Kunden. Die Kunden-Daten werden ausgewertet, etwa für Werbeaktionen. Kunden-Daten gehören zu den wertvollsten Gütern. DSGVO-Strafen oder Abmahnung durch unsachgemäße Werbeaktionen können teuer sein.

Dienstleister geben sich viel Mühe, um für den Kunden immer und überall erreichbar zu sein. Kunden können das Unternehmen über mehrere Kanäle erreichen. Neusprachlich heißt dies Omnichannel. Technisch bedeutet dies, dass unterschiedliche Systeme vernetzt werden und manchmal auch an Drittanbieter ausgelagert werden. Für Hacker steigt also die Angriffsfläche. Bedrohungen werden immer unsichtbarer.

By |13. Oktober 2020|Categories: Cyber-Risiken Drucker, Datenschutz im Büroalltag, Tulos Blog|Tags: , , , , , , |Kommentare deaktiviert für IT-Risiken durch Gefährliche Bequemlichkeit
Read More

IT-Sicherheit & Datenschutz aus Köln

Tulos Consulting GmbH
Christophstraße 15-17, 50670 Köln NRW
 0221 54812 944‬
  hello@tulos.de https://tulos.de/wp-content/uploads/2022/01/logo-tulos-280px.png
0221 54812 944‬
hello@tulos.de
Zum Kontaktformular
Tulos IT-Sicherheit und Datenschutz aus Köln

5 von 5 Sterne bei 10 Bewertungen auf Google.

Von Tulos erbrachte Leistungen werden vom Staat gefördert

Besondere Branchenkentnisse

Datenschutz für Hausverwaltung & Immobilienwirtschaft | Datenschutz für Online-Shops | Datenschutz für M&A-Berater | Datenschutz für Arztpraxis

2024 Tulos Consulting GmbH|Impressum|Datenschutz

Erfahren Sie mehr zu unseren Services & Angeboten

Interesse an: *

Mit * markierte Felder sind Pflichtfelder.

Mehr Kundenvertrauen durch Tulos Secured Siegel

Wirksamer Schutz vor teuren Datenschutz-Abmahnungen

Mehr Sicherheit in den digitalen Wertschöpfungsketten

Datenschutz und Informations-Sicherheit schützen Unternehmen vor DSGVO Strafen und Cyber Schäden. IT-Sicherheit ist hiervon ein wichtiger Bestandteil, denn die Digitalisierung entwickelt sich rasant in alle Bereiche unseres Lebens und in den Unternehmen. Daher ist ein kontrollierbarer Umgang mit vertraulichen  Daten nicht nur gesetzlich vorgeschrieben, er ist auch Erfolgsfaktor. Der richtige Umgang mit Informationstechnologie hat direkten Einfluss auf die Betriebskosten und selbstverständlich auch auf den Schutz unternehmens-wichtiger-Daten. Das gilt für alle Formen der Datenverarbeitungen, egal ob analoge Archive, eigene Server oder vernetzte Cloud-Systeme.

Für die Umsetzung der Datenschutzgesetzte und Datensicherheit arbeiten die DSGVO und Standards für Informationssicherheit Hand in Hand. Daher ist, für eine wirksame Umsetzung, Expertise in beiden Bereichen wichtig, nämlich Erfahrung in der DSGVO und ISO 27001 und BSI. Ein gut eingeführtes Informations-Sicherheits-Management-System (ISMS), verhindert nicht nur wirtschaftliche Schäden. Standardisierte Abläufe für Betrieb und Technik reduzieren auch die Kosten.

Der Umgang mit Daten muss beherrschbar sein. Cyber-Schäden oder Strafen durch DSGVO-Verstöße können schnell zu teuren Aufwänden führen oder Kunden-Vertrauen beschädigen. Kalkulierbare Risiken sollten daher integraler Bestandteil im Unternehmen sein, nicht nur bei  digitalen Betriebsprozessen.

Tulos-Berater sind zertifizierte Datenschutzbeauftragte nach DSGVO, Lead Auditoren nach ISO 27001 sowie erfahrene Projektleiter mit PMP/ Six Sigma Master Blackbelt.

Unsere „Best Practice-Methoden“ sind auf das Zusammenspiel von operativen Geschäftsprozessen, Technologie und betriebswirtschaftlichen Erfordernissen ausgerichtet.

Bei Tulos erhalten Sie Datenschutz und Informationssicherheit aus einer Hand, für eine wirksame Umsetzung aller wichtigen Erfordernisse.

Go to Top