Abruf des E-Rezepts per eGK? Aber sicher!

Ärztliche Rezepte sollen in Zukunft mittels E-Rezept direkt über die Krankenkassenkarte in Apotheken einlösbar sein. Aktuell verstößt die Schnittstelle, die dies ermöglichen soll, allerdings aufgrund von Sicherheitsmängeln gegen die DSGVO.

Professor Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit, sieht in der bisher vorgelegten Umsetzung ein großes Risiko für die Daten der Nutzer. Diese sind nicht ausreichend gegen unberechtigte Zugriffe von außen geschützt – ein Problem, das seit Monaten bekannt ist, ohne dass angemessene Lösungen bereitgestellt wurden. Laut Herr Kelber würde am Ende das Vertrauen in aktuelle und zukünftige Digitalisierungsprojekte wie das E-Rezept unter einem potenziellen Hack unnötig leiden.

Anstatt zusätzliche IT-Absicherungen einzurichten, steigt die Kassenärztliche Vereinigung jedoch aus dem Pilotprojekt aus. Herr Kelber drückt Enttäuschung darüber aus, will aber auch in Zukunft „Unzureichend gesicherten Lösungen (…) eine datenschutzrechtliche Absage erteilen.“ Denn: „Digitalisierung im Gesundheitssektor muss richtig umgesetzt werden: sicher, datenschutzkonform und bequem zu nutzen.“

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/12_E-Rezept.html

Gefährliche Zwangs-Apps für Fußballfans

Sicherheitsexperten sowie u. a. die Menschenrechtsorganisation Amnesty International warnen vor 2 Apps, die tiefen Zugriff auf das eigene Handy erlauben – die aber für die Fußballmeisterschaft vor Ort in Katar verpflichtend installiert werden müssen.

Nach der Installation können die Apps auf die persönlichen gespeicherten Daten sowie WLAN/Bluetooth-Verbindungen und den eigenen Standort zugreifen.

  • Ehteraz: Mit der App Etheraz soll der Verlauf von Corona-Infektionen von Person zu Person nachvollzogen werden. Über die App lassen sich Daten leicht Personen zuordnen und somit überwachen, wer sich wo und in welchen Umfeldern aufhält.
    Eine ähnliche App (Smittestopp) wurde zu Beginn der Pandemie in Norwegen eingesetzt, aufgrund des tiefen Eingriffs in die Privatsphäre jedoch wieder eingestellt.
  • Hayya: Diese App wird für die Einreise und den Stadionbesuch verwendet und ermöglicht die kostenlose Nutzung des öffentlichen Nahverkehrs.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/wm-in-katar-gefaehrliche-zwangs-apps-fuer-fussballfans/

IT-Sicherheitslage bleibt angespannt bis kritisch

Es liegt ein neuer Bericht des Bundesamtes der Informationstechnik (BSI) zu aktuellen Cyber-Bedrohungen im über das Jahr 2021 vor. Es folgen die größten Bedrohungen:

  • Cyber-Erpressungen:
    Als neuer Trend hat sich die Nutzung von DDOS und Ransomware herauskristallisiert. Virensoftware wie Emotet (deren Infrastruktur jedoch im Januar 2021 zerschlagen werden konnte) verschlüsselt Daten von Unternehmen/Organisationen bei einem Cyberangriff, um anschließend Lösegeld für die Wiederherstellung einzufordern.
  • Umgang mit Schwachstellen:
    Server-seitige Schwachstellen, wie etwa jüngst die Lücke der Exchange-Server von Microsoft, gehören zu den größten Herausforderungen, da dadurch entstehende Kompromittierungen erst Wochen oder Monate später bemerkt werden können bzw. erst dann zu tatsächlichen Schäden durch Cyberangriffe führen.
  • Der Faktor „Mensch“
    Wie immer ist der Mensch der Faktor, über den zahlreiche Angriffe ermöglicht werden. Sei es durch Phishing oder andere betrügerische Versuche: Im Rahmen der Pandemie haben Cyberangriffe deutlich zugenommen und bleiben ein großes Thema.

Weitere Informationen finden Sie hier:
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html#Start

Spam-Mail – Betreff: Vulnerability Report: (Email Spoofing)

Haben Sie auch bereits eine E-Mail eines „John A.“ zum E-Mail-Spoofing erhalten, welche ggf. direkt in Ihrem Spam-Ordner gelandet ist? Dann ist diese Mail in Ihren Spams richtig und gut aufgehoben.

In der Mail von Herrn A., unter der Absender-Adresse (gekürzt) „johnhacker…@gmail.com“ – ja, die Mailadresse ist schon sehr seriös – fragt er netterweise erstmal, wie es uns gut. Er schreibt weiterhin, dass er noch keine Rückmeldung erhalten habe, zu dem durchgeführten Update der betroffenen Webseite. Außerdem weist er nochmals auf die Zahlung der Prämie hin, die man doch an ihn zahlen solle, da er ja schließlich die vermeintliche Sicherheitslücke auf der Webseite entdeckt hat.

Es folgt nun die angeblich zuvor gesendete Mail, ca. vor einer Woche. Darin stellt sich Herr A. als „security researcher“ vor und macht dann auf die Sicherheitslücken der Webseite aufmerksam. Als Webseite nennt er auch tatsächlich die (Unternehmens)Webseite des Empfängers mit der dazugehörigen Domain.

Durch die Nennung der Domain, scheint es vielleicht auf den ersten Blick, eine ernsthaft zu nehmende E-Mail zu sein, auf die man auch sofort reagieren sollte. Zudem sendet Herr A. die Mail nicht nur an eine Mailadresse des Unternehmens, sondern auch zeitgleich an die zuständige Landesbehörde für Datenschutz.

Wir haben Ihnen hier einmal die E-Mail beigefügt, die Herr A. versendet:

Nachfolgend erscheint sein angeblicher Fund auf der Webseite, dass kein DMARC eingerichtet sei. Ebenfalls sendet er – professionell wie er ist – auch einen Snapshot des Tools, welches anzeigt, dass DMARC nicht aktiviert ist.

Dies sieht dann wie folgt aus:

Was ist zu tun?

Hier empfehlen wir Ihnen diese Mail – wenn nicht bereits geschehen – als Spam zu melden. Bitte reagieren Sie nicht auf die Mail und zahlen natürlich auch keine „Belohnung“ an Herrn A. für seine „Bemühungen“.

Zumal auch ein Verstoß gegen das „Gesetz gegen den unlauteren Wettbewerb“ (UWG) bei derartigen Praktiken in Betracht kommt. Dies sollte man unserer Meinung nach nicht noch unterstützen.

Sollten Sie solche E-Mails erhalten und sich nicht sicher sein, wie Sie damit umgehen, so steht Ihnen die GINDAT GmbH bei Fragen gerne zur Verfügung.

Nachfolgend erläutern wir Ihnen noch die Techniken zum Spam / Spoofing, sowie den Begriff „DMARC“.

 

E-Mail-Spoofing

Zur Vermeidung von Spam/Spoofing, gibt es mehrere Techniken, die ein Domainbesitzer anwenden kann.

Alle basieren darauf, dass der Besitzer Richtlinien vorgibt, die von den Empfängern dann ausgewertet werden und damit Mails in der Regel mit mehr oder weniger Wahrscheinlichkeit als Spam einstufen.

 

SPF (Sender Policy Framework)

Einrichtung:

Hier wird ein DNS Eintrag erstellt, in dem alle Systeme genannt werden, die für die Domain Mails versenden dürfen.

Hier definiert der Besitzer einer Domain, welche Systeme im Namen der Domain (nach dem @ Zeichen) Mails versenden dürfen.

Das sind in der Regel die Mailserver, aber auch Webserver oder Drittanbieter wie z.B. Newsletterversand-Dienstleister.

Die Einrichtung erfordert relativ wenig Aufwand, da nur eine Liste aller authorisierten Systeme aufgestellt werden und der DNS Eintrag erstellt werden muss.

Dienste-Anbieter haben in der Regel Anleitungen, wie der SPF angepasst werden muss, damit Mailversand über den jeweiligen Dienst funktioniert.

Probleme:

Es kann durch SPF eine Zahl an False Positives entstehen. Vor allem wenn Weiterleitungen auf Mailboxen eingerichtet sind.

Wenn der Server die Mail weiterleitet bleibt die Absenderadresse die Originaladresse, daher versendet dann z.B. ein T-Online Mailserver, Mails für die ursprüngliche Absenderdomain und dieser Server ist nicht im SPF autorisiert.

SPF darf nur eine begrenzte Zahl an weiteren DNS-Abfragen auslösen. Wenn also viele Drittanbieter-Dienste genutzt werden, die eigene SPF-Einträge inkludieren, kann es dazu kommen, dass der Eintrag nicht mehr korrekt aufgelöst wird.

Hier lohnt es sich bestimmte Dienste auf Subdomains abzuspalten, damit ein eigener SPF erstellt werden kann. (z.B. newsletter.domain.tld für Newsletterversand)

 

DKIM

Hier wird ein kryptografischer Schlüssel genutzt, mit dem die Mails beim Versand signiert werden.

Damit werden 2 Dinge sichergestellt:

  1. Die Mail kommt von einem System, das Zugriff auf den privaten Schlüssel hat und ist damit sehr wahrscheinlich authorisiert.
  2. Die Mail wurde im Nachhinein nicht verändert, da DKIM auch einen Hash des Inhalts und einiger Headerfelder beinhaltet.

Einrichtung:

Die Einrichtung ist aufwändiger, als bei SPF.

Hier wird ein DNS Eintrag erstellt, in dem der öffentliche Schlüssel publiziert ist, mit dem ein Empfänger dann die Signatur überprüfen kann.

Die Server, die Mails versenden, müssen die DKIM Signatur hinzufügen. Einige Mailsysteme, wie z.B. Microsoft Exchange unterstützen DKIM aber nicht von Haus aus, hier müssen dann Drittanbieter-Lösungen genutzt werden.

Sollte man eine zentrale Email-Security-Lösung nutzen (vor allem Cloud Services), kann diese oft die DKIM Signatur übernehmen. Hier kann dann zentral für alle Mails, die über den Service versendet werden, die Signatur hinzugefügt werden.

Drittanbieter wie Newsletterversand-Dienstleister, haben in der Regel eigene DKIM Keys, deren DNS Eintrag man einfach seiner Domain hinzufügen kann.

Probleme:

Grundsätzlich sollte eine DKIM Signatur beim Weiterleiten einer Mail erhalten bleiben, da sich weder der Nachrichteninhalt, noch die (signierten) Header ändern. Damit ist das false Postivie Problem von SPF hier nicht gegeben.

Einige Systeme (Microsoft Exchange) ändern allerdings beim Durchgang der Mail tatsächlich die Header Felder und sorgen so für fehlschlagendes DKIM nach einer Weiterleitung.

 

DMARC

DMARC baut auf den beiden Techniken SPF und DKIM auf und definiert, wie die beiden Richtlinien vom Empfänger interpretiert werden sollen.

Generell sieht DMARC Mails als autorisiert an, wenn einer der beiden Mechanismen erfolgreich war. Somit kann die Zahl der False Positives reduziert werden und gleichzeitig Spoofing bekämpft werden.

Einrichtung:

Sobald SPF und DKIM bereits implementiert sind ist die Einrichtung sehr einfach.

Es muss nur ein DNS Eintrag mit den gewünschten Richtlinien erstellt werden.

UPDATE: Abmahnwelle – Schadenersatzansprüche wegen Google Fonts

In unserem Infobrief „August 2022“, haben wir Sie bereits über die Abmahnwelle zu Google Fonts informiert.

Das Thema scheint weiterhin aktuell zu sein. Wir haben wieder Informationen erhalten, dass nun ein Schreiben einer Rechtsanwaltskanzlei postalisch versendet wird.

Die RAAG-Kanzlei, mit Sitz in Meerbusch, nennt hier namentlich Ihren Mandanten und weist auch hier auf die Nutzung von Google Fonts auf der Webseite hin und dass dadurch die IP-Adresse an Google weitergeleitet wird.

Nachfolgend werden die anfallenden Kosten erläutert, welche man auch auf der letzten Seite in einer tabellarischen Übersicht findet. Insgesamt möchte die RAAG-Kanzlei, dass die Summe (aus einem aktuellen Schreiben) von 226,10 Euro an die angegebene Kontoverbindung gezahlt wird.

Nach einer Recherche im Internet über die RAAG-Kanzlei, haben wir festgestellt, dass die Kanzlei von Nikolaos Kairis geleitet wird, welcher auch das Schreiben aufgesetzt hat. „Dikigoros“ ist übrigens das griechische Wort für „Rechtsanwalt“. Herr Kairis scheint also in Griechenland zur Rechtsanwaltschaft zugelassen zu sein und kann aufgrund § 2 EuRAG in Deutschland praktizieren. Ausweislich des bundesweiten Rechtsanwaltsregisters ist die Zulassung erst im Jahre 2021 erfolgt.

Wir empfehlen Ihnen, den geforderten Betrag nicht an die Kanzlei zu senden, da die rechtlichen Ausführungen zum Schadenersatz des Herrn Kairis mehr als fraglich sind. Sie sollten sich hierzu allerdings juristischen Rat hinzuziehen. Dahingehend kann die GINDAT GmbH Sie gerne unterstützen, unsere Juristen stehen Ihnen hier zur Verfügung. Sollten Sie betroffen sein, dürfen Sie uns Ihre Anfrage gerne per E-Mail an die info@gindat.de senden.

Weiterhin empfehlen wir Ihnen natürlich, Google Fonts schnellstmöglich lokal auf Ihrer Webseite einzubinden.

LG Bonn: Auch vorbekannte Daten vom Auskunftsanspruch umfasst

Jede Person hat ein Recht auf Auskunft über die über sie gesammelten Daten (Art. 15 DSGVO). Macht eine Person Gebrauch von diesem Recht, muss ein Anbieter alle betroffenen Daten herausgeben. Laut einem Hinweisbeschluss des Landgericht Bonn betrifft das auch Informationen, die bereits zuvor an die Person weitergegeben wurden (wie etwa Rechnungen und Zahlungsdaten).

Jeder kann vom eigenen Auskunftsrecht ohne Angabe von Gründen Gebrauch machen – somit stellt sich für jeden Arbeitgeber die Frage, welche Informationen herausgegeben werden müssen.

In einem konkreten Fall hatte eine Klägerin von ihrer Krankenkasse Auskunft über ihre Daten verlangt. Die darauf erfolgte Auskunft reichte in den Augen des Gerichts jedoch nicht aus – es hätten auch Unterlagen wie Krankenversicherungsdaten, Rechnungen, Zahlungen und Zahlungsdaten, die der Klägerin natürlich vorlagen, übermittelt werden müssen.
Laut Beschluss des Gerichts schließt die Tatsache, dass ein Schreiben der Klägerin bereits bekannt sein muss, den Auskunftsanspruch nicht aus. Infolgedessen war die Auskunft der Krankenkasse als unvollständig anzusehen.

Der Beschluss erweitert, wie der Anspruch auszulegen ist. Denn durch den BGH wurde die eigene Korrespondenz mit einem Dienstleister (sofern sie personenbezogene Daten enthält) bislang nicht konkret zum Auskunftsanspruch hinzugezählt.
Wenn selbst Unterlagen und Korrespondenzen, die einem Anfragenden bereits bekannt sein müssen, im Anspruch auf Auskunft inbegriffen sind, eröffnen diese auch die Möglichkeit, beispielsweise verlorene Unterlagen als Kopie anzufordern.

Vernichten von Datenträgern

Beim Vernichten von Datenträgern müssen bestimmte Anforderungen berücksichtigt werden. Welche genau, wird in der DIN 66399 beschrieben, welche im August 2018 in die internationale Norm ISO/IEC 21964 übernommen wurde.

Sobald sich personenbezogene Daten auf einem Datenträger befinden, fällt dessen Vernichtung in den Anwendungsbereich der Datenschutzgrundverordnung (vgl. Art. 4 Nr. 2 DSGVO). Die Vernichtung ist daher eine technisch-organisatorische Maßnahme, um die Datensicherheit zu gewährleisten.

Die DIN-Norm 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“ wurde im Oktober 2012 veröffentlicht. Hiermit wurde vom zuständigen DIN-Ausschuss ein Standard erarbeitet, der den Stand der Technik in der Vernichtung von Datenträgern abbildet. In der DIN 66399 werden ganzheitliche Ansätze verfolgt, es werden Grundlagen, Begriffe (Teil 1, geschrieben DIN 66399-1) sowie die Anforderung an die Maschinen zur Vernichtung von Datenträgern (Teil 2, geschrieben DIN 66399-2), benannt. Ebenso wird ein sicherer Prozess der Datenträgervernichtung (Teil 3, geschrieben DIN 66399-3) beschrieben.

Die DIN 66399 empfiehlt, die speichernden Datenträger hinsichtlich des Schutzbedarfs wie folgt zu klassifizieren:

  • Schutzklasse 1 (Normaler Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten beeinträchtigt die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Die Schadensauswirkungen sind begrenzt und relativ leicht durch eigene Aktivitäten des Betroffenen zu heilen.
  • Schutzklasse 2 (Hoher Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten beeinträchtigt erheblich die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Die Schadensauswirkungen sind beträchtlich („Ansehen“).
  • Schutzklasse 3 (Sehr hoher Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten gefährdet Leib und Leben oder die Freiheit des Betroffenen. Die Schadensauswirkungen nehmen existenzielles, bedrohliches, katastrophales Ausmaß an („Existenz“).

Die DIN 66399 empfiehlt, Datenträger bestimmter Schutzklassen nach Sicherheitsstufen angemessen zu vernichten. Die Norm bestimmt für verschiedene Materialklassen (z. B. Papier, Mikrofilm oder Halbleiterspeicher) Grenzwerte der Teilchengröße (Partikelgröße), welche bei der Vernichtung des Datenträgers eingehalten werden müssen, um die Wiederherstellung von Informationen aus dem Restmaterial zu verhindern oder zumindest zu erschweren.

Ein Fall aus den USA zeigt die Gefahr der geplanten Chatkontrolle

Es fängt an mit einem Vater, dessen kleiner Sohn Schmerzen im Genitalbereich hat. Im Vorfeld einer Videokonferenz mit dem Kinderarzt sollte der Vater Fotos der schmerzenden Stelle schicken. Der Vater macht also Fotos vom Penis seines Sohnes und verschickt sie. Gleichzeitig landen diese Fotos auf Google-Servern, ein automatischer Scan schlägt Alarm und die Polizei wird hinzugezogen.

Die anonyme Synchronisierung auf Android-Geräten (welche sich ausschalten lässt, – was sie in diesem Fall jedoch nicht war) hat die besagten Fotos auf die Server von Google geladen, wo sie als Kinderpornografie identifiziert wurden.
Auch wenn die Polizei nach ihrer Ermittlung keine Straftat feststellte, wurde dennoch der Google-Account des Vaters gesperrt und ist es bis heute. Die privaten Daten, die darauf lagen, sind verloren.

Es ist ein Fall, der die Kritikpunkte der geplanten Chatkontrolle im Speziellen und von automatischer Bilderkennung durch KI im Allgemeinen illustriert. Eine KI, selbst wenn sie in der Erkennung der Bilder fehlerfrei funktioniert, wird trotzdem keinen Kontext verstehen und wie in diesem illustrierten Fall False Positives ausgeben. Man darf davon ausgehen, dass solche Fälle sich infolge der Chatkontrolle häufen werden. Selbst wenn dies nicht zu tatsächlichen Strafanzeigen oder Verhaftungen führt (wie im Falle des Vaters), werden trotzdem Menschen unter Verdacht von schweren Verbrechen gestellt. Zusätzlich zu der Unsicherheit, wie mit diesem Verdacht vonseiten der Behörden umgegangen wird, müssen Betroffene außerdem noch damit leben, z. B. ihr Google-Konto zu verlieren (ebenfalls wie im Falle des Vaters).

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/falscher-verdacht-gegen-vater-ein-fall-aus-den-usa-zeigt-die-gefahr-der-geplanten-chatkontrolle/

US-Clouddienste nicht pauschal von Aufträgen auszuschließen

Die USA gelten nicht als zuverlässiger Drittstaat, bei denen europäische Daten guten Gewissens gespeichert werden können. Das geht auf ein Urteil des EuGHs (Europäischer Gerichtshof) vom Juli 2020 zurück.
Dieser Beschluss gilt allerdings seit dem Urteil des Oberlandesgerichts Karlsruhe vom Juli 2022 als aufgehoben.

In dem beurteilten Fall ging es um die europäische Tochterfirma eines Anbieters von Cloud-Dienstleistungen mit Sitz in den USA. Eben dieses Tochterunternehmen gibt an, Daten auf Servern in Deutschland zu speichern.

Das Oberlandesgericht sieht nun kein Problem darin, weil man „grundsätzlich davon ausgehen [kann], dass ein Bieter seine vertraglichen Zusagen erfüllen wird.“ Man könne zunächst darauf vertrauen, dass die Vorgaben durch die DSGVO bei der Datenverarbeitung erfüllt werden und müsse dies erst bei Zweifeln nachprüfen.

Kritik, auch von Datenschutzbehörden, dass das Urteil u.a. „rechtlich zweifelhaft“ sei, blieb nicht aus. Man kann gespannt sein, wie sich das Urteil in Zukunft auf die Datenverarbeitung auswirken wird.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/gerichtsurteil-us-clouddienste-nicht-pauschal-von-auftraegen-auszuschliessen-2209-168221.html

Stolperfallen bei der DSGVO

Mittlerweile ist die DSGVO (Datenschutzgrundverordnung) seit 4 Jahren gültig. Nach wie vor gibt es Verwirrungen und Unklarheiten um den richtigen Umgang mit personenbezogenen Daten. Darum hat der Online-Service-Anbieter Conceptboard eine Auflistung der gängigsten Stolperfallen erstellt.

Datenschutz wird auch in Zukunft eine große Rolle spielen und sollte, um Imageschäden und Bußgelder für das eigene Unternehmen zu vermeiden, nicht auf die leichte Schulter genommen werden.

  • 1. Unsichere persönliche Arbeitsweisen im Alltag

Wenn Passwörter/PINS zu einfach gestaltet sind, auf Papier aufgeschrieben, weitergereicht oder mehrfach verwendet werden, wird Hackern der Zugriff auf interne Systeme stark vereinfacht.
Passwörter sollten regelmäßig gewechselt werden und zureichend lang/komplex (bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) sein. Weiterhin ist, wo möglich, eine Multifaktorauthentifizierung wünschenswert, die die Passwortabfrage um Security-Token, Fingerabdrücke oder TAN-Code erweitert.

  • 2. Unrechtmäßige Verarbeitung personenbezogener Daten

Es ist wichtig, ein Bewusstsein für den Umgang mit personenbezogenen Daten (also Namen, Adressen, Telefonnummern etc.) zu entwickeln. Solche Daten müssen immer für einen bestimmten Zweck erhoben und dürfen nicht außerhalb dieses Zweckes verwendet werden (etwa für Gewinnspiele oder Umfragen).
Alle Mitarbeiter sollten Schulungen im Datenschutz erhalten, um eine Sensibilisierung für das Thema zu entwickeln.

  • 3. Nutzung unsicherer Cloud-Lösungen

Cloud-Dienste sind für Unternehmen hilfreich bei der Bewältigung großer Mengen von Daten, bergen aber auch Risiken. Denn wenn der Cloud-Dienstleister Server in den USA betreibt, sind die amerikanischen Geheimdienste (durch den Cloud Act) berechtigt, darauf zuzugreifen. Es werden also personenbezogene Daten potenziell weitergegeben und das Unternehmen, welchen den Cloud-Dienst nutzt, kann dafür haftbar gemacht werden.
Es sollte immer darauf geachtet werden, dass der Cloud-Betreiber Daten ausschließlich in deutschen oder zumindest europäischen Rechenzentren speichert.

  • 4. Mangelhafte Datenschutzerklärungen

Um Bußgelder und Klagen zu vermeiden, sollte die eigne Datenschutzerklärung auf Rechtskonformität unbedingt von der internen Rechtsabteilung oder von externen Beratern überprüft werden. Vorgefertigte Datenschutzerklärungen finden sich zur Anpassung an den eigenen Internetauftritt im Netz.

  • 5. Datensilos anlegen

Personenbezogene Daten sollten katalogisiert werden, um im Falle einer Datenlöschanfrage einer betroffenen Person eine Übersicht zu haben, wo die Daten überhaupt gespeichert sind. Wurden Back-ups/Sicherungskopien der Daten auf Rechnern oder USB-Sticks erstellt? Kann ein Unternehmen nicht nachweislich alle Daten der anfragenden Person finden und löschen, liegt ein Verstoß gegen die DSGVO vor und es droht ein Bußgeld.
Auch hier hilft, Mitarbeiter im Datenschutz zu schulen, um dem Risiko von Datenschutzverstößen im Falle einer Anfrage zu minimieren.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/stolperfallen-bei-der-dsgvo-18546