Archive: News

Die Sächsische Datenschutz- und Transparentbeauftragte (SDTB), Frau Dr. Juliane Hundert, hat am 16.05.2023 den Tätigkeitsbericht Datenschutz für das Jahr 2022 vorgelegt. Mehr als 1.000 Beschwerden wurden von der Behörde in diesem Zeitraum bearbeitet. Schwerpunkte im Berichtsjahr waren u.a. 

• Vorgänge, die im Zusammenhang mit Datenpannen standen,
• Auskunftsrecht (3.2.),
• Abo-Modelle im Online-Bereich (2.3.6),
• Websites und Apps (4.1.1; 4.3.1),
• Themen zum Schutz und der Verarbeitung von Gesundheitsdaten, beispielsweise um den Auskunftsanspruch bei Patientenakten (3.2.3),
• Übermittlung von Gesundheitsdaten an Inkassounternehmen (2.4.1),
• Auch die ergriffenen Maßnahmen zur Corona-Pandemie waren Anfang des Jahres 2022 noch ein Thema (1.4, 1.5, 2.2.8),
• Begleitung von Rechtsetzungsvorhaben durch die SDTB (6.2.8).

Auf über 230 Seiten sind die Schwerpunkte der Datenschutzaufsicht, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst.

Lesen Sie mehr unter: 
https://www.datenschutz.sachsen.de/taetigkeitsbericht-datenschutz-2022-vorgelegt-6144.html

Die Website der Sächsischen Datenschutz- und Transparenzbeauftragten wurde neu gestaltet und ist ab sofort unter www.datenschutz.sachsen.de erreichbar. Der Internetauftritt wurde in den letzten Monaten inhaltlich, optisch und technisch überarbeitet. Das Informationsangebot ist nun nach Zielgruppen unterteilt und enthält themenspezifische Inhalte, wie zum Beispiel Datenschutz in der Schule, im Homeoffice, bei Videokonferenzsystemen und in vielen weiteren Bereichen.

Die neue Website richtet sich an Bürgerinnen und Bürger sowie an die Wirtschaft und Verwaltung. Im Vergleich zum alten Auftritt sind viele neue Inhalte hinzugekommen, um betroffene Personen und Verantwortliche umfangreicher über ihre Rechte und Pflichten zu informieren. Die Datenschutz- und Transparenzbeauftragte hofft, dass durch frühzeitige Berücksichtigung des Datenschutzes etliche Beschwerden und Verstöße verhindert werden können. In den kommenden Monaten wird das Angebot um weitere praxisnahe Informationen erweitert, da Prävention besser als Intervention ist. 

Die Überarbeitung der Website hat auch die Darstellung für mobile Endgeräte verbessert und präsentiert Inhalte nun auch barrierefrei. Eigens entwickelte Symbole und Grafiken helfen bei der Orientierung und Navigation. 

Neue E-Mail-Adressen

Die E-Mail-Adressen haben sich geändert, sodass statt »@slt.sachsen.de« ab sofort »@sdtb.sachsen.de« verwendet wird. Das zentrale E-Mail-Postfach ist nun »post@sdtb.sachsen.de«.

Falls die alten Angaben in einer Datenschutzerklärung eingebunden wurden, sollten die Kontaktdaten der Aufsichtsbehörde aktualisiert werden, zum Beispiel auf einer Website. Beachten Sie, dass E-Mails an die bisherigen Postfächer der Sächsischen Datenschutz- und Transparenzbeauftragten nur noch bis Ende Juni 2023 an die neuen Adressen weitergeleitet werden.

Über die Sächsische Datenschutz- und Transparenzbeauftragte

Die Sächsische Datenschutzbeauftragte ist die unabhängige Datenschutz-Aufsichtsbehörde für Sachsen gemäß Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Die Zuständigkeit ergibt sich aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes für nicht-öffentliche Stellen wie Unternehmen und Vereine und aus § 14 Absatz 1 desselben Gesetzes für öffentliche Stellen wie Behörden. Seit 2022 wird das Amt von Dr. Juliane Hundert in Dresden geleitet und von etwa 40 Mitarbeiterinnen und Mitarbeitern unterstützt. Die Sächsische Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften und bearbeitet Beschwerden von Bürgern. Zu ihren weiteren Aufgaben gehört die Beratung von sächsischen Verantwortlichen bei datenschutzrechtlichen Fragen. Seit dem Inkrafttreten des Sächsischen Transparenzgesetzes zum 1.1.2023 ist Dr. Juliane Hundert auch als Transparenzbeauftragte tätig.

Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten:
https://www.medienservice.sachsen.de/medien/news/1066198

Spätestens seit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen, die personenbezogene Daten verarbeiten, Strategien zur deren Löschung haben. Denn der drastisch erhöhte Bußgeldrahmen bei Datenschutzverletzungen duldet keine Nachlässigkeiten mehr.

Was müssen Verantwortliche hierbei zur Löschung personenbezogener Daten und den dazugehörigen Nachweispflichten wissen? Welche Pflichten sieht die DSGVO vor? Welche Dokumentationsmaßnahmen sind hierbei sinnvoll?

Ohne Löschkonzept kein Einhalten der DSGVO-Grundprinzipien (Art. 5 DSGVO):

• Speicherbegrenzung,
• Datenminimierung und
• Zweckbindung.

Zum Einhalten dieser Grundprinzipien ist für Unternehmen ein Löschkonzept notwendig. Dieses stellt sicher, dass personenbezogene Daten dann gelöscht werden, wenn der Zweck wegfällt, auf dessen Grundlage die Daten verarbeitet wurden.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/So_laesst_sich_die_Loeschung_von_Daten_dokumentieren.pdf

Schritt für Schritt zum Löschkonzept:
https://datenschutz.prodatis.com/nl/schritt_fuer_schritt_zum_loeschkonzept.pdf

Das Löschkonzept – ein Beispiel:
https://datenschutz.prodatis.com/nl/das_loeschkonzept_ein_beispiel.pdf

Das CERT-AT weist auf eine Zunahme an Spear-Phishing-Angriffen auf österreichische und deutsche Unternehmen hin. Bei diesem Spear-Phishing versuchen Betrüger, Rechnungszahlungen auf falsche Konten unter ihrer Kontrolle umzuleiten.

Die Betrüger kommen recht einfach an die für ihre Betrugsmasche nötigen Informationen. Über Ausschreibungen, Blog-Beiträge, Pressemitteilungen oder Ankündigungen in sozialen Medien lassen sich Geschäftsbeziehungen zwischen Unternehmen erkennen. An diese Unternehmen schicken die Cyberkriminellen unverdächtige E-Mail-Anfragen, auf die sie Antworten im Corporate Identity (CI) erhalten, der offiziellen Unternehmensoptik und -aufmachung.

Darauf basierend fälschen die Betrüger täuschend echt aufgemachte E-Mails des Unternehmens, mit leicht abgewandelter E-Mail-Adresse, die öfter sogar mit ähnlich klingenden Domains versehen sind. Mit diesen fragen sie z.B. bei den Lieferanten des Unternehmens nach noch offenen Rechnungen.

Die Lieferanten schöpften hierbei kaum Verdacht, da sie das Geld für ihre Leistungen gerne haben möchten. Die so erhaltenen Rechnungen, z.B. im PDF-Format manipulieren die Betrüger und ändern die Kontoverbindung auf ein Bankkonto unter ihrer Kontrolle – in der Regel im Ausland – und senden sie an das Kunden-Unternehmen. In den betrügerischen E-Mails weisen sie dann sogar auf die geänderte Bankverbindung hin.

(Quelle: www.heise.de)

Lesen Sie mehr unter:
https://heise.de/-7538772

Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und sind ein Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten, daher brauchen Sie Schutz innerhalb und außerhalb des internen Netzwerks.

Ein DMS verwaltet Dokumente über ihren gesamten Lebenszyklus hinweg. Wer eine DMS-Lösung einführt, braucht ein umfassendes Konzept, um keine gesetzlichen Anforderungen, unter anderem aus der Datenschutz-Grundverordnung (DSGVO), außer Acht zu lassen.

Die betriebswirtschaftlichen Vorteile eines Dokumentenmanagement-Systems sind unbestreitbar:

• Zeit sparen bei der Ablage und Suche im Dokumentenarchiv
• Personal- und Materialkosten sparen
• Optimierte Prozesse über Abteilungsgrenzen hinaus
• Medienbrüche vermeiden
• Bessere Verteilung der Informationen und leichterer Zugriff
• Schneller auf Anfragen reagieren

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/DMS_Datenschutzgerechtes_Dokumentenmanagement.pdf

---

Einladung zum ELO ECM Solution Day in Leipzig am 14.03.2023

Die ELO Digital Office GmbH, Hersteller eines weltweit führenden Dokumentenmanagement-Systems und die PRODATIS CONSULTING AG sowie weitere Partner veranstalten auch in diesem Jahr regionale Veranstaltungen. Die erste findet im März in Leipzig statt, zu der Sie sich hier gern kostenlos anmelden können. Weitere Veranstaltungen folgen im Juni in Potsdam und Fürth.

Erfahren Sie in Kundenvorträgen, Workshops, Live-Demos und im Gespräch mit Fachexperten, wie Sie die Digitalisierung Ihres Unternehmens umsetzen können.

Weitere Informationen finden Sie hier:
https://datenschutz.prodatis.com/nl/ELO_Solution_Day_Leipzig.pdf

ELO ECM Solution Day in Leipzig am 14.03.2023
KONGRESSHALLE am Zoo Leipzig | Pfaffendorfer Str. 31 | 04105 Leipzig

Wir würden uns freuen, mit Ihnen gemeinsam, einen spannenden Tag rund um das Thema ELO ECM zu verbringen.

Von den vielfältigen Möglichkeiten von Excel wissen die meisten Nutzer kaum etwas. Gerade das kann bei bestimmten Vorgehensweisen in diesem Programm Datenpannen verursachen, welche den Nutzern dabei nicht bewusst sind. Ziel muss es sein, solche Pannen zu vermeiden.

Der Bayerische Landesbeauftragte für den Datenschutz hat deshalb zu diesem Thema einen Ratgeber veröffentlicht, welcher sich in weniger als einer halben Stunde durcharbeiten lässt.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Datenpannen_mit_Excel_vermeiden.pdf

Ratgeber zu Microsoft Excel des BayLDA:
https://www.datenschutz-bayern.de/datenschutzreform2018/aki46.html

Viele Unternehmen überlassen den Empfängern von Werbe-E-Mails die Wahl, wie oft sie solche Nachrichten erhalten wollen. Hat der Empfänger seine Entscheidung getroffen, muss sich das Unternehmen daran halten, da sonst Ärger mit dem Wettbewerb droht.

Wenn sich jemand bei einem Unternehmen ausdrücklich für einen wöchentlichen Werbe-Newsletter eingetragen hat, das Unternehmen ihm dann aber dennoch Newsletter in Abständen von weniger als einer Woche zuschickt, stellt dies unlauteren Wettbewerb dar.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Werbe-E-Mails_Einwilligungen_und_ihre_Tuecken.pdf

Entscheidung des Kammergerichts Berlin vom 22.11.2022:
https://gesetze.berlin.de/bsbe/document/KORE555612023

Betreiber von Websites, Apps und Co. haben die Vorgaben des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), insbes. § 25 TTDSG, sowie die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu beachten. Im Folgenden wird erläutert, auf welche Verhaltensweisen des Websitebetreibers § 25 TTDSG bzw. die DSGVO konkret Anwendung finden, also ihr sachlicher Anwendungsbereich. Zudem wird der Rechtsrahmen dargestellt, der sich aus § 25 TTDSG bzw. der DSGVO ergibt, also was konkret mit den personenbezogenen Daten der Websitenutzer gemacht werden bzw. unter welchen Voraussetzungen beim Einsatz von Cookies und Co. auf deren Endgeräte zugegriffen werden darf.

Mehr erfahren Sie unter:
https://www.gdd.de/downloads/praxishilfen/prax-praxishilfen-neustrukturierung/GDDPraxishilfeDSGVOePrivacyundDatenschutzbeimOnlineauftritt.pdf

Ransomware-Angriffe stellen eine der größten Cyber-Bedrohungen für Staat, Wirtschaft und Gesellschaft dar.

Bei einem Ransomware-Angriff werden die Daten auf einem IT-System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes (engl. Ransom) in Aussicht gestellt. Immer öfter wird zusätzlich mit der Veröffentlichung der zuvor entwendeten Daten gedroht, um das Opfer zusätzlich unter Druck zu setzen. Ransomware Angriffe zeichnen sich dadurch aus, dass die Auswirkungen auf einen Betroffenen mit dem Einsatz der Ransomware unmittelbar eintreten:

• Dienstleistungen und Geschäftsprozesse können nicht mehr zur Verfügung gestellt werden.
• Die IT des Betroffenen kommt zum Erliegen.
• Durch die zunehmende Professionalisierung und Arbeitsteilung auf der Seite der Angreifer sind zudem die Einstiegshürden für die Durchführung von Ransomware-Angriffen deutlich gesunken, was weitere Täter anzieht.

Millionen-Geldbuße für ein Opfer von Ransomware:
https://www.datenschutz-praxis.de/pleiten-pech-pannen/millionen-geldbusse-fuer-ein-opfer-von-ransomware/
https://ico.org.uk/media/action-weve-taken/mpns/4021951/interserve-group-limited-monetary-penalty-notice.pdf

Daten nach einem Ransomware-Vorfall sicher wiederherstellen:
https://www.datenschutz-praxis.de/tom/daten-nach-einem-ransomware-vorfall-sicher-wiederherstellen/

Ransomware-Attacken: Ablauf und Bewältigung eines Cyberangriffs:
https://www.datenschutz-praxis.de/datenschutzbeauftragte/ransomware-attacken-ablauf-und-bewaeltigung-eines-cyberangriffs/

12 typische Fehler in Sicherheitskonzepten:
https://www.datenschutz-praxis.de/datenschutzbeauftragte/12-typische-fehler-in-sicherheitskonzepten/

Weitere Informationen erhalten Sie auch unter:
https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/Unternehmen/unternehmen_node.html

hat Ihr Unternehmen/Ihre öffentliche Einrichtung Dienstleister (z.B. Cloudanbieter) verpflichtet, die als sogenannte Auftragsverarbeiter gemäß Artikel 28 DSGVO personenbezogenen Daten verarbeiten, sind Sie als Verantwortlicher verpflichtet, eine initiale Prüfung des Auftragsverarbeiters sowie regelmäßige Kontrollen/Überprüfungen durchzuführen.

Regelmäßige Kontrollen/Überprüfungen sollen zeitnah mögliche Schwachstellen beim Auftragsverarbeiter insbesondere bei der IT-Sicherheit erkennen, um Verstöße gegen die gesetzlichen Regelungen zu vermeiden.

Häufig setzen Auftragsverarbeiter weitere Unterauftragnehmer ein, wodurch die Datenflüsse für Sie als Auftraggeber schnell unübersichtlich werden können.

Der Auftragsverarbeiter muss den Auftraggeber vor Hinzuziehung eines neuen Unterauftragnehmers beziehungsweise beim Wechsel eines Unterauftragnehmers vorab um Genehmigung fragen oder zumindest eine Widerspruchsmöglichkeit einräumen – je nach Vereinbarung im Auftragsverarbeitungsvertrag. Ob dies auch zuverlässig erfolgt, sollte im Zuge einer Kontrolle hinterfragt werden.

Nachfolgend stellen wir Ihnen einen Mustertext zur Verfügung, welchen Sie an Ihre eingesetzten Auftragsverarbeiter senden können.

---

Kontrolle der Verträge zur Verarbeitung von Daten im Auftrag gemäß Art. 28 DSGVO   

Sehr geehrte Damen und Herren,

Sie agieren als Auftragsverarbeiter für unser Unternehmen/unsere öffentliche Einrichtung und verarbeiten somit personenbezogene Daten. Entsprechend unserer vertraglichen Vereinbarungen obliegt es Ihnen hinreichende Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der EU-Datenschutzgrundverordnung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist.

Im Rahmen unserer regelmäßigen Kontrollhandlungen bitten wir Sie, uns die folgenden Informationen zukommen zu lassen:

• aktuelle Liste der Subauftragnehmer,
• Mitteilung über Änderungen der Verarbeitung bzw. eine Übersicht zu den derzeitigen technisch- organisatorischen Maßnahmen als auch
  ein aktuelles Testat, Bericht oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren etc.) zur Wahrung der Vorgaben der DS-GVO bzw. datenschutzrechtlicher Bestimmungen
• Mitteilung, ob es im Zusammenhang mit der Verarbeitung personenbezogener Daten unseres Unternehmens/unserer Einrichtung meldepflichtige Verletzungen des Schutzes personenbezogenerer Daten gab.

Sofern es hinsichtlich der vorstehenden Punkte keine Neuerungen geben sollte, bitten wir Sie ebenfalls, um die Übermittlung einer entsprechenden Negativauskunft.

Für den Eingang Ihrer Rückmeldung haben wir uns den 28.02.2023 vorgemerkt.

Sollten Rückfragen und/oder Unklarheiten bestehen, stehen wir für Fragen gern zur Verfügung.

Vielen Dank im Voraus.
Mit freundlichen Grüßen