Künstliche Intelligenz (KI) kann dabei unterstützen, Cyberangriffe zu erkennen und abzuwehren. Doch KI kann auch selbst zum Datenrisiko werden. Datenschutzbeauftragte sind hier mehrfach gefordert, nicht nur personenbezogene Daten zu schützen, sondern auch Manipulation und Missbrauch zu verhindern.

Die digitale Gesundheitsversorgung bietet große Chancen, Patientendaten immer dann und dort, wo jemand sie benötigt, bereitzustellen. Leider könnten auch Cyberkriminelle den besseren Zugang zu den sensiblen Daten nutzen.

Das Berechtigungskonzept muss abbilden, welche Zugriffe im Datenschutz jeweils erlaubt sind und welche nicht. Ist das Berechtigungskonzept zu strikt, hemmt es die Produktivität. Ist es zu lasch, sind die Daten in Gefahr. Trends wie KI, Cloud, Mobility, Big Data und IoT machen es nicht leichter, ein solches Konzept auf die Beine zu stellen. Wir zeigen, worauf es ankommt.

Ohne ein wasserdichtes Berechtigungskonzept fehlt ein ganz wichtiger Baustein für Datenschutz und Datensicherheit im Betrieb. Die Checkliste zeigt die wesentlichen Punkte, die zu einem solchen Konzept gehören.

Die einheitliche Anwendung und Durchsetzung der DSGVO, die Rolle des Europäischen Datenschutzausschusses (EDSA), Profiling und Scoring im Lichte des SCHUFA-Urteils, die KI-Regulierung und ihre rechtlichen und wirtschaftlichen Folgen und „Data Act – Rückschritt, Fortschritt? Oder neue Fragen…?“, dies sind Beispiele aus der Agenda der IDACON 2024, die vom 5. – 6. November in München stattfand. Was sollten Datenschutzbeauftragte dazu wissen, um in den Unternehmen und Behörden ihren Aufgaben nachgehen zu können?

Cloud-Apps spielen eine immer größere Rolle. Doch ihre Risiken sind leicht zu übersehen. Security-Lösungen wie Cloud Access Security ­Broker (CASB) sollen den Zugriff auf riskante Cloud-Anwendungen ­verhindern. Das könnte aber zulasten des Datenschutzes gehen.

Richtlinien für Training und Nutzung generativer KI geben oft vor, auf welche Datenquellen die KI unter welchen Bedingungen zugreifen darf. Doch die Regelung allein kann nicht sicherstellen, dass eine KI nicht doch die Grenzen überschreitet. Es gibt aber bereits technische Lösungen, um solche KI-Vorgaben durchzusetzen. Wir geben einen Überblick.

Cloud-Apps bieten Komfort, bringen aber auch Risiken mit sich. CASB-Lösungen schützen vor unsicheren Anwendungen – doch wie steht es um den Datenschutz? Unsere Checkliste zeigt die wichtigsten Punkte!

Aufgrund hoher Schäden durch Cyberattacken investieren Unternehmen stark in Cybersicherheit. Mit neuen Konzepten wie Zero-Trust-­Sicherheit wollen sie steigende Risiken in den Griff bekommen. Dabei dürfen sie aber die Grenzen des Datenschutzes nicht überschreiten.

Für den sicheren Einsatz generativer KI sind klare Richtlinien und technische Maßnahmen erforderlich, um den Datenzugriff zu kontrollieren und Missbrauch zu verhindern. Diese Checkliste fasst die wichtigsten Anforderungen an Lösungen zusammen.

Eine Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.

Die Cybersicherheit erfordert Transparenz in der kompletten genutzten IT. Die Angriffserkennung und Abwehr erweitert sich deshalb von den Endgeräten (EDR) auf die ganze IT-Infrastruktur (XDR). Das kann aber Folgen für den Datenschutz nach sich ziehen.

In Zeiten dezentraler Arbeit in Homeoffices und unterwegs sollen Konzepte wie Secure Access Service Edge (SASE) einen verbesserten, sicheren und nahtlosen Zugriff auf Cloud-Dienste und Netzwerkressourcen ermöglichen. Das könnte den Datenschutz aushöhlen.

KI, Data Act, weitere Harmonisierung im Datenschutz, Profiling und Scoring, viele Themen und Entwicklungen bewegen gerade den Datenschutz. Wie behält man da noch den Überblick? Was bietet dazu ein Datenschutzkongress wie die IDACON 2024? Wir haben Dr. Eugen Ehmann, ausgewiesener Datenschutz-Experte und Kongressleiter der IDACON, dazu befragt.

Aus den Datenschutzaufsichtsbehörden und aus der IT-Sicherheit gibt es wieder viele wichtige Meldungen und Veröffentlichungen, die Datenschutzbeauftragte in ihrer täglichen Arbeit kennen und nutzen sollten. Wir geben in der neuen Folge einen kompakten Überblick mit Tipps für die Praxis.

Die Pflicht, personenbezogene Daten rechtzeitig zu löschen, sowie das Recht auf Vergessenwerden bereitet Unternehmen seit Langem Kopfzerbrechen. Doch gibt es Tools, die bei der Umsetzung helfen.

Allein durch Folienpräsentationen lassen sich die Mitarbeitenden kaum mehr für den Datenschutz sensibilisieren. Hier sind zusätzlich aktive Schulungsmaßnahmen gefragt. Eine gute Methode sind Selbst-Checks. Sie helfen bei der Selbsterkenntnis.

Die Ortung von Handys bzw. Smartphones kann Unfallopfern das Leben retten, sie erleichtert die Disposition im Außendienst und spürt verlorene Geräte auf. Doch ein Ortungsdienst kann den Datenschutz gefährden, erfolgt die Ortung heimlich und zu unerlaubten Zwecken. Prüfen Sie deshalb die Verwendung solcher Dienste im Unternehmen.

Viele Unternehmen nutzen Online-Umfragen, um Kunden und Interessenten nach ihrer Meinung zu fragen. Doch solche Umfragen können zum Datenrisiko werden.

Von wegen Sommerloch! Im Datenschutz und in der Cybersicherheit waren auch die letzten Wochen wieder gefüllt mit wichtigen Nachrichten für Datenschutzbeauftragte. Wir haben sie im Podcast und in dieser Meldung zusammengestellt.

Die IT-Sicherheitslage erfordert es heute, Netzwerkaktivitäten umfassend zu überwachen. Dies birgt Risiken für den Datenschutz der Belegschaft.

Mit ihrer enormen Speicherkapazität sind USB-Sticks längst keine kleinen Speicherstifte mehr. Sie können den kompletten Datenbestand eines Projekts in sich tragen. In Zeiten von Homeoffices und mobiler Arbeit könnte es schnell zu solchen Datentransporten per USB-Stick kommen. Daher muss die Datensicherheit bei USB-Sticks stimmen. Lesen Sie, welche Tests nötig sind.

Dynamische IP-Adressen sind personenbezogene Daten. Für Unternehmen und öffentliche Stellen wie Behörden heißt das, zu überprüfen, wie sie diese IP-Adressen verarbeiten, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?

Meta hatte Mitte Juni 2024 angekündigt, seine KI (Künstliche Intelligenz) mit den Daten der Nutzerinnen und Nutzer von Facebook und Instagram zu trainieren. Wer das nicht wollte, musste widersprechen. Nach Intervention der Datenschutzaufsichtsbehörden verzichtet Meta in Europa vorerst auf das KI-Training. Wir haben Thomas Fuchs, den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, dazu befragt.

Vertraulichkeit ist bekannt als eines der drei zentralen Schutzziele der IT-Sicherheit. Auch der Datenschutz fordert Vertraulichkeit. Doch bedeutet es das gleiche wie in der Informationssicherheit? Passen Maßnahmen der IT-Sicherheit auch im Datenschutz?

Neben rechtlichen Anforderungen an den Datenschutz sind es neue Bedrohungslagen und neue, digitale Technologien, die Änderungen am Konzept für die Datensicherheit und bei den technisch-organisatorischen Maßnahmen (TOMs) notwendig machen. An welche TOMs sollten Sie dabei denken?

Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und sind ein Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten. Sie brauchen daher Schutz innerhalb und außerhalb des internen Netzwerks.

Ein VPN zu nutzen, gehört regelmäßig zu den Sicherheits-Empfehlungen, für das Homeoffice genauso wie für die mobile Arbeit. Doch damit Virtual Private Networks den erwarteten Schutz bieten, müssen die jeweiligen VPN-Lösungen eine Reihe von Kriterien erfüllen.

Eine technische Lösung,
die die Zugriffsberechtigungen für eine
KI regelt und überwacht, hilft dabei,
mehrere Kriterien aus dieser Checkliste
umzusetzen.

Im Zusammenhang mit dem Inkrafttreten des HinSchG stellt sich eine Vielzahl von datenschutzrechtlichen Fragen. Wir haben Prof. Dr. Tobias Keber, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), dazu befragt.

Die Spam-Filterung erfolgt teils lokal auf den Endgeräten. Bei Remote Work und Homeoffice sind oftmals die Nutzer gefragt, wenn es um das Training der Spam-Filter geht. Erklären Sie deshalb in einer Unterweisung, wie man die unerwünschten und oftmals gefährlichen E-Mails am besten behandelt.

Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).

Damit eine Einwilligung in die Verarbeitung personenbezogener Daten rechtswirksam ist, müssen Unternehmen viele Anforderungen aus dem Datenschutz erfüllen. Dazu ist es erforderlich, zu wissen, was die Datenschutz-Grundverordnung (DSGVO) hierzu regelt.

Die Datenschutz-Grundverordnung (DSGVO) kennt das Recht auf Vergessenwerden. Das macht leider weder den Selbstdatenschutz noch die Datenlöschung überflüssig. Was können Sie tun, um unerwünschte persönliche Daten im Internet zu löschen – oder besser: um solche Informationen gar nicht erst entstehen zu lassen?

Die DSGVO nennt Verschlüsselung als eine Maßnahme, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten. Müssen Datenschutzbeauftragte daher den Verantwortlichen raten, alle E-Mails zu verschlüsseln? Das kommt darauf an – auf die E-Mails und die Art der Verschlüsselung.

Um die Datenschutz-Grundverordnung (DSGVO) umzusetzen, führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Was alles in eine solche Richtlinie gehört, listet das Muster auf.

Geht es um vernetzte Maschinen und Anlagen, scheinen personenbezogene Daten keine Rolle zu spielen. Doch weit gefehlt: Auch Industrie 4.0 ist ein Thema für den Datenschutz. Nicht nur in der IT (Informationstechnologie) gibt es Datenrisiken, auch in der OT (Betriebstechnologie). Hier besteht noch deutlicher Bedarf an Sensibilisierung für mehr Datenschutz.

Standortdaten machen Personen leichter identifizierbar und Nutzerprofile zu Bewegungsprofilen. Entsprechend begehrt sind sie bei Werbetreibenden, entsprechend hoch muss ihr Schutz sein. Doch die unerwünschte Ortung hat viele Gesichter. Welche Gegenmaßnahmen wirken wirklich?

Soll ich von WhatsApp zu einem anderen Messenger-Dienst wechseln? Das fragen sich viele Nutzer der weltweit beliebtesten Messenger-App. Denn Datenschützer und Verbraucherschützer üben regelmäßig Kritik an dem Messenger-Dienst, der genau wie Facebook zum Meta-Konzern gehört.

Der moderne Datenschutz kommt ohne Maßnahmen der Cybersicherheit nicht mehr aus. Cyberattacken sind inzwischen nicht nur das größte Unternehmensrisiko, sie sind auch Ursache zahlreicher Datenschutzverletzungen. DSB müssen deshalb auch die Cybersicherheit auf ihre Agenda setzen.

Wer Scoring-Verfahren einsetzt, muss zahlreiche Datenschutz-Vorgaben beachten, unter anderem aus dem Bundesdatenschutzgesetz und einem Urteil des Europäischen Gerichtshofs (EuGH). Daher ist es wichtig, die Bedeutung von Scoring zu verstehen und den Personenbezug von Score-Werten zu erkennen.

Wer Pseudonyme einsetzt, kann die Sicherheit der Verarbeitung personenbezogener Daten verbessern. Und Anonymisierung kann den Datenschutz für den betreffenden Fall überflüssig machen, sofern sie richtig ausgeführt wird. Es lohnt sich also, Anonymisierung und Pseudonymisierung näher zu betrachten und im Unternehmen zu empfehlen.

Betreiber kritischer Infrastrukturen (KRITIS) müssen zukünftig noch höhere IT-Sicherheitsanforderungen erfüllen. Dies betrifft auch den Datenschutz aller Unternehmen und Behörden in der EU, denn KRITIS-Vorfälle lösen oftmals Datenschutzverletzungen aus.

Früher galt Bluetooth als Kabelersatz und als Kurzstrecken-Funk. Die neuen Versionen ermöglichen jedoch auch Verbindungen über größere Distanzen. Die Folge: Sie brauchen mehr Sicherheits-Maßnahmen. Das gilt besonders im Internet of Things (IoT).

Die Maßnahmen im Datenschutz müssen laut DSGVO verhältnismäßig sein. Dabei ist es wichtig zu wissen, wie sich die Verhältnismäßigkeit bewerten lässt.

Ohne Fachkräfte in der Cybersicherheit fehlt die Expertise, um Cyberangriffe besser abwehren zu können. Das steigert das Risiko für Datenschutzverletzungen. Zudem sorgt der Fachkräftemangel für eine veränderte Suche nach Beschäftigten – mit massiven Konsequenzen.

Personenbezogene Daten sicher zu löschen, ist Teil der Datensicherheit und der Betroffenenrechte nach der Datenschutz-Grundverordnung (DSGVO). Neben den technischen Löschverfahren sind organisatorische Prozesse wichtig. Verantwortliche und Datenschutzbeauftragte müssen dabei die Verpflichtung, Daten zu löschen, genauso betrachten wie die gesetzlichen Aufbewahrungspflichten.

Kaum ein Thema wird gegenwärtig so stark diskutiert wie Künstliche Intelligenz (KI). Dabei spielen die möglichen Risiken für personenbezogene Daten eine zentrale Rolle. Im Interview erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber, wie Datenschutzbeauftragte mit Risiken bei einem geplanten KI-Einsatz konkret umgehen können.

Datenschützer warnen schon lange vor den tiefen Einblicken in die Privatsphäre, die Fitness-Tracker, Smartwatches oder Smart-Home-Geräte erhalten. Die EU-Agentur für Cybersicherheit ENISA sieht darin sogar eine zentrale Wissensbasis für Internetkriminelle. Sensibilisieren Sie daher Mitarbeitende für die Risiken, die damit verbunden sind.

Bei Cyberangriffen denkt jeder zuerst an Attacken aus dem Internet. Doch Internetkriminelle sind nicht an Online-Verbindungen gebunden und kombinieren viele Angriffswege, um an die Daten ihrer Opfer zu gelangen. Teile der Attacken können z.B. direkt vor Ort stattfinden.

Beim Social Engineering erschleichen Angreifende das Vertrauen der Opfer, indem sie eine falsche Identität vortäuschen und verfügbares Wissen über die Opfer ausnutzen. Die Opfer geben im guten Glauben vertrauliche Daten oder den Zugang zu den Daten weiter. Rein technische Datenschutz-Maßnahmen reichen als Gegenreaktion nicht aus. Die psychologischen Tricks der Angreifenden zu kennen, muss hinzukommen.

RFID und NFC sind etwa beim kontaktlosen Bezahlen von zentraler Bedeutung. RFID (Radio Frequency Identification Technology, Funkfrequenzidentifizierung) ist eine Technologie, mit der sich Daten berührungslos und ohne Sichtkontakt lesen und speichern lassen. Nahfeldkommunikation (Near Field Communications, NFC) basiert auf den RFID-Standards.

Viele Unternehmen haben ein Datensicherheitskonzept, das die Risiken nicht genau genug berücksichtigt. Oft finden sich nur allgemeine Aussagen zum Datenschutz. Das Standard-Datenschutzmodell (SDM 3.0) hilft dabei, die Schutzmaßnahmen zu konkretisieren.

Blutabnahme, Urintests und andere Einstellungsuntersuchungen haben in der Vergangenheit einige Großkonzerne, Rundfunkanstalten und öffentliche Verwaltungen in die Schlagzeilen gebracht. Ihr Vorgehen stieß bei Datenschützern, Gewerkschaften und Arbeitsrechtlern auf harsche Kritik. Trotzdem hat eine Einstellungsuntersuchung im gewissen Umfang ihre Berechtigung. In manchen Fällen ist sie sogar Pflicht.

Die Entwicklungen im Datenschutz könnten kaum vielfältiger sein: Ransomwareangriffe, KI-Dienste wie ChatGPT, EU-U.S. Data Privacy Framework, weitere Harmonisierung bei der Datenschutzaufsicht, um nur Beispiele zu nennen. Ein Spiegelbild dessen war die IDACON 2023, die vom 7. – 9. November in München stattfand.

Angreifer nutzen Schwachstellen in IT-Systemen aus, um personenbezogene Daten auszuspähen und zu missbrauchen. Zur Sicherheit der Verarbeitung nach Datenschutz-Grundverordnung (DSGVO / GDPR) gehört deshalb ein Patch-Management, um Sicherheitslücken zu beheben. Erfahren Sie, worauf es beim Patch-Management ankommt.

Die Fehler, die wir Menschen bei neuen Technologien begehen, ist aktuell eine der größten Cyberbedrohungen. Bei der Schwachstelle Mensch hilft aber kein herkömmliches Patching. DSB sollten deshalb die Bedeutung der Schulung von Beschäftigten stärker bewusst machen.

Ohne Webstatistik ist es kaum möglich, Internetangebote zielgerichtet zu verbessern. Die meisten Lösungen für Webanalysen kommen aber ohne zusätzliche Datenschutz-Vorkehrungen nicht aus. Was müssen Sie daher tun, um datenschutzkonform zu sein?

Wer muss nach DSGVO einen Datenschutzbeauftragen (DSB) benennen, wer nicht? Selbst wenn keine Pflicht zur Benennung besteht: Kann es trotzdem sinnvoll sein, einen DSB zu bestellen?

Biometrische Daten werden für die Zugangs- und Zutrittskontrolle neben der Multi-Faktor-Authentifizierung (MFA) als Sicherheitsfaktor immer wichtiger. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.

Informationssicherheit und Datenschutz sind nicht deckungsgleich. Folgerichtig ist der Datenschutz-Baustein kein Bestandteil einer formalen IT-Grundschutz-Zertifizierung. Lesen Sie, warum das Thema „ISMS“ für Datenschutzbeauftragte dennoch wichtig ist.

Die Entwicklung in Technik und Recht, im Bereich der Cyberbedrohungen und Datenrisiken ist so dynamisch und schnell, dass es für Datenschutzbeauftragte nicht leicht ist, sich auf dem Laufenden zu halten. Doch die Datenschutz-Grundverordnung (DSGVO) verlangt genau das. Im Interview erklärt Dr. Eugen Ehmann, wie Datenschutzbeauftragte die Übersicht behalten können und wie zum Beispiel Konferenzen wie die IDACON dabei helfen können.

Die Gefahr von Cyberangriffen wächst. Die Angreifenden sind zunehmend professionell organisiert und in der Lage, Sicherheitslücken schnell zu nutzen, so die LDI NRW. Erfolgreiche Cyberattacken bedeuten meist auch eine Datenschutzverletzung. Datenschutzbeauftragte sollten die Entwicklungen der Cybersecurity deshalb genau verfolgen.

Die technisch-organisatorischen Maßnahmen im Datenschutz müssen sich an der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und damit am Schutzbedarf der Daten orientieren. Der Schutzbedarf hängt u.a. von der Datenkategorie ab. Um diese zu bestimmen, helfen Schutzstufenkonzepte.

Datenschutz ist wesentlich, um Cyberrisiken abzuwehren. Nutzen Sie dieses Argument in Zeiten, in denen Cybersecurity auf der Agenda vieler Unternehmen weit oben steht.

Nicht ausreichend geschützte Datenbanken sind beliebte Angriffsziele für Datenmissbrauch. Mit dieser Checkliste zur Absicherung von Datenbanken machen Sie Angreifern das Leben schwer(er).

Damit Betroffene ihre Rechte nach der DSGVO wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten vor.

Auch wenn viel von Datendiebstahl die Rede ist: Eigentlich gibt es keinen Diebstahl von Daten. Wohl aber die Ausspähung von Daten, die unter Strafe steht. Neben dem Datenschutzrecht greift hier das Strafrecht.

Die EU-Agentur für Cybersicherheit ENISA stuft Desinformation als eine der größten Cyberbedrohungen ein. Falsche, manipulative Informationen können auch den Datenschutz verletzen. Wir zeigen, wie sich Unternehmen besser gegen Desinformation schützen.

Gerade bei der Datensicherheit sowie bei der der Erkennung und Abwehr von Cyberattacken suchen viele Unternehmen Orientierung und Unterstützung. Hier hilft der IT-Grundschutz des BSI. Lesen Sie, was der Grundschutz ist und wie Sie damit arbeiten.

IT-Sicherheitsbehörden warnen vor Schwachstellen in der Software- und Hardware-Lieferkette. Aktuelle Vorfälle belegen diese Gefahren, die sich auch auf den Datenschutz auswirken. Datenschutzkonzepte sollten deshalb die Sicherheit der IT-Lieferkette berücksichtigen.

IT-Sicherheitsbehörden warnen vor Schwachstellen in der Software- und Hardware-Lieferkette. Datenschutzkonzepte sollten deshalb die Sicherheit der IT-Lieferkette berücksichtigen. Was dazugehört, zeigt die Checkliste.

Die Digitalisierung der Wirtschaft und öffentlichen Stellen macht auch vor der Suche nach neuen Mitarbeiterinnen und Mitarbeitern nicht halt. Bewerberdaten kommen zunehmend über E-Recruiting-Plattformen in die Personalabteilung. Was heißt das für den Datenschutz?

Homeoffice und Remote Work haben die Zahl der Online-Videokonferenzen steigen lassen. Die Webcam abzusichern, wird daher immer wichtiger. Abdeckungen für Webcams sind nur eine der Maßnahmen, die Sie in der Datenschutzschulung empfehlen können.

Die DSGVO legt bei der Sicherheit der Verarbeitung großen Wert auf den Schutz vor unberechtigten Zugriffen und damit auf Zugangskontrolle. Was heißt das genau? Was müssen Datenschutzbeauftragte hier prüfen?

Nicht nur Privatpersonen sind in Gefahr, beim Online-Shopping Opfer von Cyberattacken zu werden. Auch die Einkaufsabteilung in Unternehmen beschafft zunehmend digital. Sicherheitslücken in Webshops können so zu einem betrieblichen Datenrisiko werden. Das können Datenschutzbeauftragte dagegen tun.

Bei einem weltweit breit gestreuten Angriff wurden laut Medienberichten tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und verschlüsselt. Dieser Vorfall zeigt, wie bekannte Sicherheitslücken zu Datenschutzverletzungen beitragen.

KI soll die Analyse von Bewerberinnen und Bewerbern optimieren und die Auswahl der richtigen Talente erleichtern. Die Erwartungen sind hoch, die Risiken für den Datenschutz allerdings auch. Informieren Sie als DSB über die Stolperfallen und beraten Sie bei der DSFA.

Die Security empfiehlt ein Zero-Trust-Konzept: Unternehmen sollten nicht darauf vertrauen, dass die interne IT sicher ist und alle Angriffe von außen kommen. Was heißt das für den Datenschutz?

Um Datenschutzverletzungen zu verhindern, gilt es, innovative Verfahren für den Datenschutz bei Maschinellem Lernen (ML) und KI zu finden. Hier zeichnen sich bereits erfolgversprechende Konzepte ab.

Die Qualität von Phishing-Mails entscheidet über ihren Erfolg und damit über den möglichen Schaden für die Opfer. Dank KI (Künstlicher Intelligenz) wie ChatGPT wird der Aufwand für erfolgversprechende Phishing-Attacken immer geringer, das Phishing-Risiko im Gegenzug immer höher. Wir geben einen Überblick.

Ransomware-Attacken können personenbezogene Daten gegen den Willen der Opfer verschlüsseln. Ohne Backup sind die Daten nicht mehr verfügbar, der Datenschutz ist verletzt. Damit die schnelle Wiederherstellung funktioniert, reicht eine einfache Datensicherung nicht. Lesen Sie, was DSB dazu wissen müssen.

Es reicht nicht, die Vorgaben der DSGVO einzuhalten. Verantwortliche in den Unternehmen müssen die ergriffenen Maßnahmen und ihre Wirksamkeit auch nachweisen können. Das sollten Datenschutzbeauftragte dazu wissen.

Der Datenschutz muss in der Entwicklungs- und Testphase von Software genauso gewährleistet sein wie in der Produktivphase. Doch Entwicklerteams benötigen meist erhöhte Zugriffsrechte. Einige Anbieter versprechen, hier datenschutzgerechte Lösungen zu finden.

Datenschutz und IT-Sicherheit stellen Unternehmen angesichts wachsender Cyberbedrohungen vor große Herausforderungen. Gerade digitale Identitäten und damit personenbezogene Daten sind gefährdet. Security-Konferenzen wie die ISD 22 unterstreichen den Handlungsbedarf bei Datenschutzkonzepten.

Trotz aller Digitalisierung bleiben Drucker wichtige Ausgabegeräte in Büros und Homeoffices. Während viele Unternehmen ihre Drucker nicht auf ihrer Liste der möglichen Schwachstellen haben, stehen die Drucker bei den Angreifern zunehmend im Fokus.

Einerseits gilt es, Daten vor ungewolltem Löschen zu schützen. Andererseits sollen Berechtigte sie unkompliziert vernichten können. Neue technische Lösungen auf dem Markt versprechen nun „unzerstörbare“ Daten, die sich bei entsprechender Berechtigung aber löschen lassen.

Geht es um Webbrowser und Online-Tracking, dreht sich bisher fast alles um Cookies und Cookie-Manager. Die Werbewirtschaft ist jedoch kreativ und findet immer neue Alternativen. Konzipieren Sie daher die Sensibilisierung zu diesen Themen neu. Lesen Sie, worauf es ankommt.

Nicht nur die Datenrisiken und die digitalen Technologien wandeln sich, auch das menschliche Verhalten im Umgang mit Daten und IT. Lesen Sie, wie Sie diesen Trend bei den Inhalten Ihrer Datenschutzschulungen berücksichtigen.

Gerade bei mobilen Apps gehen Nutzerinnen und Nutzer auf einen scheinbaren Kompromiss ein: Sie verwenden eine App, deren Datenschutz mindestens fraglich ist, die aber über viel Funktionalität und Komfort verfügt. Doch mit Privacy Friendly Apps muss niemand auf Datenschutz verzichten, der eine gute App haben will.

Gemeinsam schützen Datenschutz-Grundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG) und Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Deutschland das Grundrecht auf informationelle Selbstbestimmung. Doch was genau versteht man unter diesem Grundrecht?

Die Datenminimierung bzw. die Datensparsamkeit ist ein zentraler Grundsatz der Datenverarbeitung in der DSGVO. Was bedeutet sie konkret für den Datenschutz?

Die Schutzmaßnahmen gegen Social Engineering werden wie die Angriffe immer intelligenter. Sensibilisieren Sie die Beteiligten im Unternehmen dafür, dass der Schutz vor Angreifern nicht selbst zum Risiko werden darf, der die Privatsphäre der Nutzerinnen und Nutzer aushöhlt.

Wer hat welche Zugriffe auf Daten im Unternehmen? Darf derjenige überhaupt zugreifen? Schaffen Sie Ordnung per Zugriffskontrolle! Denn sie ist unabdingbar, um die Sicherheit der Verarbeitung unter der DSGVO zu gewährleisten.

Datenschutz durch Technikgestaltung und datenschutzfreund­liche Voreinstellungen beginnt auf der Ebene der IT-Infrastruk­turen, nicht erst bei den Anwendungen. Wir geben Beispiele für Privacy-­Infra­strukturen und zeigen auf, wie weit die Datenschutz-Technologien reichen.

Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen das Datenschutzkonzept immer wieder überarbeiten. Lesen Sie, was dabei wichtig ist.

Die Idee hinter „synthetischen Daten“ besteht darin, einen ursprüng­lichen Datensatz zu verwenden und daraus neue, künstliche Daten mit ähnlichen statistischen Eigenschaften zu erstellen. KI-Modelle sollen sich auf diese Weise datenschutzfreundlich trainieren lassen.

Cookies gelangen nicht nur über den Desktop-Browser auf Endgeräte. Auch mobile Apps arbeiten mit Cookies. Um das Cookie-Management und die Datenschutzerklärungen steht es bei Apps aber noch schlechter als bei klassischen Websites. Informieren Sie die Nutzerinnen und Nutzer.

Integrität gehört wie Vertraulichkeit zu den Grundsätzen der DSGVO für die Verarbeitung personenbezogener Daten. Doch Integrität ist weitaus weniger bekannt und im Fokus als Vertraulichkeit, sodass der Schutz der Integrität leicht zu kurz kommt.

Datenschutzbeauftragte haben nach Datenschutz-Grundverordnung (DSGVO) eine Reihe von verpflichtenden Aufgaben. Dazu gehört, zu überwachen, ob der Verantwortliche oder Auftragsverarbeiter die Datenschutz-Vorschriften einhält. Die Überwachung umfasst zudem, die Strategien für den Schutz personenbezogener Daten zu prüfen. Was bedeutet das konkret?

Zu den Aufgaben von Datenschutzbeauftragten nach der DSGVO zählt, den Verantwortlichen oder Auftragsverarbeiter sowie die Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Datenschutz-Pflichten zu unterrichten und zu beraten. Was bedeutet das konkret?

Die Datenschutz-Grundverordnung (DSGVO / GDPR) und das Bundesdatenschutzgesetz (BDSG-neu) machen Vorgaben zur Löschung personenbezogener Daten. Daher empfiehlt es sich, ein Löschkonzept zur Umsetzung zu entwickeln. Hier unterstützt die Norm DIN 66398.

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Arbeiten die Beschäftigten teils im Büro und teils im Homeoffice, steigt die Gefahr, dass sie vertrauliche Unterlagen mit nach Hause nehmen. Bei aller Digitalisierung ist es daher notwendig, zu regeln, wie die Kolleginnen und Kollegen Papierdokumente richtig behandeln.

Cloud Service Provider und andere Auftragsverarbeiter werden mit der Datenschutz-Grundverordnung (DSGVO / GDPR) stark in die Pflicht genommen. Sie nehmen dem Auftraggeber aber keine Verantwortung ab, sondern werden selbst auch verantwortlich. Was heißt das konkret?

Die Datenschutz-Grundverordnung (DSGVO / GDPR) nimmt auch Auftragsverarbeiter in die Pflicht: Bei einer Auftragsverarbeitung ist nicht mehr nur der Verantwortliche gefordert. Was muss der Auftragsverarbeiter tun?

Wie lässt sich die Identität einer Auskunft suchenden betroffenen Person überprüfen, insbesondere im Rahmen von Online-Diensten? Kann die Online-Ausweisfunktion des Personalausweises helfen? Wie sind andere digitale Identitätsdienste zu beurteilen?

Niemand kann sich zig Passwörter merken. Daher ist es sinnvoll, Passwörter in einem Passwort-Manager oder -Safe zu speichern. Doch wie lernen die Nutzerinnen und Nutzer, damit richtig umzugehen?

Die DSGVO fordert die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen. Hinweise zur Umsetzung liefert sie aber nicht. Deshalb sind Hilfestellungen wie der neue BSI-Standard 200-4 mehr als willkommen.

Um die Datenschutz-Grundverordnung (DSGVO/GDPR) umzusetzen, gilt es, die IT-Sicherheitsmaßnahmen und die Organisation der Sicherheit zu dokumentieren. Unternehmen sollten deshalb ihre IT-Sicherheits-Rahmenrichtlinie sowie das IT-Sicherheitskonzept auf die DSGVO anpassen. Das verankert den Datenschutz in der IT-Sicherheit.

Der erste Teil zu den ergänzenden technischen Maßnahmen hat ihre Bedeutung betrachtet und Maßnahmen wie Verschlüsselung und Pseudonymisierung in ihren generellen Möglichkeiten hinterfragt. Nun geht es um die Wirksamkeit einzelner Maßnahmen und die Hinweise, die der Europäische Datenschutzausschuss dazu gibt.

Sind ergänzende Maßnahmen für die Datenübermittlung in einen
Drittstaat erforderlich, spielen die technischen Schutzmaßnahmen
eine wesentliche Rolle. Es gibt bisher keine allgemeingültigen Vorgaben, wohl aber Empfehlungen. Wie lassen sie sich in der Praxis umsetzen?

Das einfache Cookie-Management im Webbrowser reicht nicht, um raffinierte Verfahren zu unterbinden, die Nutzer-Aktivitäten nachverfolgen. Doch Webbrowser haben Funktionen, um auch moderne Tracking-Verfahren zu erkennen und zu blockieren. Selbst die sogenannten Super-Cookies lassen sich damit besser abwehren.

In den letzten Monaten warnten Sicherheitsbehörden vor Phishing-Wellen im Zusammenhang mit der Covid-19-Pandemie. Schon zuvor war Phishing eine ernstzunehmende Gefahr für den Schutz personenbezogener Daten. Grund genug, eine spezielle Schulung anzubieten. Wer dabei Phishing-Simulationen nutzt, sollte das genau vorbereiten.

Nicht der oder die Datenschutzbeauftragte ist verantwortlich für den Datenschutz, sondern die sogenannte verantwortliche Stelle. Wer verantwortlich oder gemeinsam verantwortlich ist, kommt auf die Datenverarbeitung und die Auftragsverarbeitung an. Wir geben einen Überblick zum Verantwortlichen, auch zu Fragen der Haftung und zur Verantwortung bei Datenschutzverletzungen.

Die stärkste Verschlüsselung hilft wenig, wenn sie nicht überall dort greift, wo sie notwendig ist. In der Praxis haben viele Verschlüsselungs-Konzepte gefährliche Lücken. Hinterfragen Sie daher die Wirksamkeit der Verschlüsselung regelmäßig.

Ehemalige Beschäftigte können gewollt oder ungewollt zu einem großen Datenrisiko werden. Nur ein durchdachtes Verfahren für Kolleginnen und Kollegen, die aus dem Unternehmen ausscheiden, kann hier gegensteuern. Prüfen Sie deshalb diese Verarbeitungstätigkeit Ihres Unternehmens oder Ihrer Behörde.

Personenbezogene Daten müssen nach der Datenschutz-Grundverordnung (DSGVO) gegen Zerstörung und Verlust geschützt sein, Stichwort: Verfügbarkeit. Doch wie erkennen Sie, ob das gewährleistet ist? Monitoring-Tools helfen zum Beispiel dabei, die Backups zu überwachen.

Der Trend hin zu Cloud Computing darf nicht darüber hinwegtäuschen, dass es weiterhin Serverräume gibt, die eine umfassende Zutrittskontrolle benötigen. Aber mit Brandmeldeanlage, USV und Klimatisierung ist es nicht getan. In manchen Unternehmen befinden sich die Maßnahmen zur Kontrolle der Zutritte leider noch auf dem Stand einer besseren Bürotür.

Die Datenschutz-Diskussion zu Microsoft Windows 10 hat bei zahlreichen Unternehmen das Thema „Telemetrie-Daten“ auf die Agenda gebracht. Doch Windows 10 ist nur ein Beispiel von vielen.

Software-Lösungen allein können die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht sicherstellen. Aber Tools können zumindest dabei helfen. In unserer Serie stellen wir verschiedene Werkzeuge vor. Den Anfang machen Tools und Verfahren, die helfen, ein Risiko zu bewerten.

Sind erneut Mail-Adressen und Passwörter in unbefugte Hände geraten und im Internet veröffentlicht worden, ist die Sorge nicht nur in Unternehmen und Behörden groß, selbst betroffen zu sein. Doch wie stellen Sie fest, ob Sie zu den Opfern zählen?

Smartphones sind mittlerweile tägliche Begleiter. Deshalb sind Spionage-Tools auf mobilen Geräten besonders gefährlich. Das ist allerdings noch nicht jedem Nutzer bewusst. Sorgen Sie als Datenschutzbeauftragte(r) für Aufklärung und geben Sie Tipps.

Das Prüfschema, das die Datenschutzkonferenz zu Windows 10 beschlossen hat, ist ein gutes Beispiel, wie Prüfungen aussehen können. Es lässt sich daraus ein allgemeines Vorgehen ableiten.

Ohne die Zusammenarbeit mit der IT-Administration wird kaum ein Datenschutzbeauftragter (DSB) auskommen. Doch die Kooperation darf nicht zu eng werden. Vor allem darf es nicht zu einer Doppelfunktion DSB und Administrator kommen, um der Datenschutzkontrolle gerecht zu werden.

Mit Rollenkonzepten lässt sich die Zuteilung von Berechtigungen vereinfachen. Doch dabei kommen dynamische Risiken ins Spiel, wie dies in Zero-Trust-Modellen der Fall ist. Andernfalls sind Rollenkonzepte zu starr für die sich ändernden Bedrohungen der Datensicherheit.

Einmal anmelden statt vielfach: Statt sich zahlreiche verschiedene Zugangsdaten zu merken, können Nutzer von zentralen Identitätsdiensten und SSO-Funktionen (Single Sign-on) mit nur einer Anmeldung mehrere Online-Dienste nutzen. Das hat nicht nur Vorteile.

Archivlösungen unterstützen Unternehmen dabei, die relevanten Dokumente automatisch abzulegen. Doch wie stellen Sie sicher, dass sie auch fristgerecht gelöscht werden?

Smart Glasses, auch als Datenbrillen bezeichnet, reichern das visuelle Bild mit zusätzlichen Informationen an, erheben aber auch personenbezogene Daten und übertragen sie an Cloud-Dienste. Bevor Verantwortliche Datenbrillen einsetzen, ist es wichtig, eine Datenschutz-Folgenabschätzung zu machen und die Beschäftigten zu schulen.

CRM-Lösungen haben eine zentrale Bedeutung, wenn es um den Schutz von Kundendaten und die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) geht. Wir geben einen Überblick über neue Datenschutz-Funktionen von CRM-Lösungen.

Viele Websites entsprechen immer noch nicht den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Das zeigen aktuelle Prüfungen der Datenschutz-Aufsichtsbehörden. Unternehmen sollten die vorhandenen Orientierungshilfen und Tools nutzen, um ihre Internet-Auftritte auf Einhaltung der DSGVO zu überprüfen.

Die Umsätze mit mobilen Apps in Deutschland sind auf einem Rekordhoch. Leider gilt das auch für die mobilen Datenrisiken. Viele Apps kollidieren mit der Datenschutz-Grundverordnung (DSGVO). Doch es gibt Lösungen, wie Apps datenschutzkonform werden. Ein Beispiel: die AVARE-App.

Zur Sicherheit der Verarbeitung personenbezogener Daten nach DSGVO gehört die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das erfordert mehr als regelmäßige Backups.

Wie lässt sich die DSGVO bloß praktisch umsetzen? Manchmal hilft es, bei anderen zu schauen. Etwa in Anwenderberichten, die erfolgreiche Projekte zur Datenschutz-Grundverordnung beschreiben. Oder in die Tätigkeitsberichte der Datenschutzaufsichten.

Über die Datenschutz-Grundverordnung (DSGVO) wird auch mehr als fünf Jahre nach ihrer ersten Anwendung viel berichtet und diskutiert. Häufig geht es dabei um spezielle Fragen zum Datenschutzrecht der EU. Vieles wird jedoch verständlicher, wenn man sich gezielt mit den Grundlagen der DSGVO befasst. Das hilft auch, die Mitarbeitenden im Unternehmen zu sensibilisieren.

Verschlüsselung spielt in der DSGVO eine wichtige Rolle. Doch geht der Schutz durch Verschlüsselung so weit, dass verschlüsselte Daten keine personenbezogenen Daten mehr sind? Es kommt darauf an! Informieren Sie deshalb die Mitarbeiterinnen und Mitarbeiter über die Details.

Unternehmen müssen Geschäfts­geheimnisse angemessen absichern, wollen sie von dem Schutz durch das neue Geschäftsgeheimnis­gesetz profitieren. Die notwendigen Schutzmaßnahmen für Geschäftsgeheimnisse und die für den Datenschutz ermöglichen Synergien.

Nicht nur Brandmelder können einen Fehlalarm auslösen. Auch die IT-Sicherheit macht Fehler. Reagieren die Mitarbeiter darauf falsch, ist der Datenschutz in Gefahr. Machen Sie False Positives, also falsche Alarme, deshalb zum Thema in Ihrer Datenschutz-Unterweisung.

Viele Datenpannen beginnen mit der Datenübertragung auf ein mobiles Speichermedium oder Endgerät, das später verloren geht. Oder Daten werden gestohlen, indem Angreifer sie über unkontrollierte Schnittstellen kopieren. Die Schnittstellenkontrolle gehört deshalb zur Datenschutzkontrolle dazu. Sie darf aber nicht zur Mitarbeiterüberwachung ausarten.

Wie sieht ein vollständiges Backup-Konzept aus, das auch der Datenschutz-Grundverordnung (DSGVO) gerecht wird? Beitrag und Checkliste führt die zentralen Punkte auf.

Um die Datenschutz-Grundverordnung (DSGVO) umzusetzen, führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Lesen Sie, worauf Sie dabei achten sollten.

Müssen personenbezogene Daten gelöscht werden, stellt sich die Frage: Reicht es aus, die Daten aus der Datenbank zu entfernen, oder sind die Speichermedien, auf denen sich die Daten befinden, zu vernichten? Wie so oft im Datenschutz lautet die Antwort: Es kommt darauf an!

Setzen Verantwortliche Public-Cloud-Dienste ein oder nutzen sie Cloud-Services Dritter mit, müssen sie ihre Daten besonders schützen. Ein wichtiger Baustein von mehreren ist dabei die Datenisolierung.

Wie personenbezogene Daten schützen, wenn der einfache Passwortschutz nicht ausreicht? Dafür bieten sich Verfahren der Zwei-Faktor-Authentifizierung an. Doch Vorsicht: Auch diesen verstärktem Zugangsschutz haben Angreifer schon geknackt. Was bedeutet das für den Datenschutz?

Der Datenschutz im Internet beginnt nicht erst damit, Online-Attacken abzuwehren, sondern mit dem datenschutzgerechten Internetauftritt eines jeden Unternehmens. Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht hierzu zahlreiche Vorgaben.

Die Videoüberwachung an öffentlichen Plätzen, aber auch in Unternehmen nimmt zu. Aus gutem Grund sieht daher die Datenschutz-Grundverordnung vor der weiträumigen Videoüberwachung öffentlicher Bereiche eine Datenschutz-Folgenabschätzung vor. Dazu gehört, die geplante Speicherdauer zu prüfen.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert Verfahren, die die Sicherheits-Maßnahmen im Unternehmen regelmäßig auf ihre Wirksamkeit überprüfen, bewerten und evaluieren. Dabei helfen verschiedene Security-Werkzeuge.

Monitoring im Netzwerk und auf Endgeräten gehört zu den zentralen IT-Sicherheits-Maßnahmen. Unternehmen dürfen es aber nicht übertreiben: Der Datenschutz verlangt eine klare Beschränkung und eine Information der Betroffenen, damit das Monitoring nicht zur Spionage wird.

Ein zentrales Problem im Datenschutz ist die Klassifizierung der personenbezogenen Daten, um ihren Schutzbedarf festzulegen. In Zeiten von Big Data sind Lösungen gefragt, die hierbei deutlich unterstützen können. Wir zeigen Beispiele.

Nicht nur für Whistleblower wären anonyme E-Mails hilfreich. Auch Spammer wollen E-Mails, die sich möglichst nicht bis zum Urheber zurückverfolgen lassen. Doch gibt es Anonymität bei E-Mails wirklich? Oder lassen sich alle Mails zurückverfolgen?