Willkommen auf der Seite der EDV-Beratung Dölle

Mit Produkten aus den Bereichen Web-Entwicklung, Cloud Applikationen, EDV-Dienstleistungen und Datenschutz unterstützen wir unsere Kunden seit mehr als 30 Jahren.

e-Mail Kommunikation

10.04.24

Grundsätzlich gilt: alle personenbezogenen Daten, die elektronisch übermittelt werden, müssen verschlüsselt sein. Die Mindestanforderung ist hier, bei Office-Dokumenten und PDF-Dateien ein Passwort für die Öffnung zu hinterlegen.

Besser ist es, die Daten als Anhang zu verschlüsseln und dann zu versenden. (z.B. mit encrypto https://macpaw.com/encrypto

Optimal ist die direkte Verschlüsselung mit dem öffentlichen Schlüssel des Empfängers.

Datenverarbeitung auf privaten Geräten

04.04.24

Voraussetzung für die Verarbeitung auf privaten Geräten ist unter anderem, dass ein hinreichender technischer Zugriffsschutz auf die gespeicherten Daten besteht. Insofern muss ein Passwortschutz eingerichtet werden. Durch ein abschließbares Arbeitszimmer muss sichergestellt werden, dass Mandantendaten nicht dem unberechtigten Zugriff Dritter ausgesetzt werden. Benutzen bspw. Familienmitglieder den PC, müssen Verschlüsselungstechniken angewandt werden sowie Sicherungskopien erstellt werden.

Entsorgung von Schriftgut

25.03.24

Überall, wo personenbezogene Daten verarbeitet werden, müssen Datenträger aufbewahrt, transportiert und nach Ablauf der Löschfristen vernichtet werden. Neben magnetischen Datenträgern (Disketten, Magnetbänder, Magnetplatten) und optischen Datenträgern (Mikrofiche, CD-ROM, WORM, MO) ist Papier weiterhin ein wichtiger Datenträger. Auch dürfen in diesem Zusammenhang die Farbbänder aus den Schreibmaschinen sowie den Ausweis-Druckern nicht unberücksichtigt bleiben! Auf Datenträgern gespeicherte personenbezogene Daten sind durch technische und organisatorische Maßnahmen zu schützen. Es ist zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle). Insbesondere Schriftgut, das von jedermann unmittelbar gelesen werden kann, sollte vor unbefugter Kenntnisnahme geschützt aufbewahrt werden. Diese datenschutzrechtlichen Forderungen sind in jedem Fall auch bei der Vernichtung bzw. Entsorgung nicht mehr benötigter Datenträger zu beachten.

Eine ordnungsgemäße Entsorgung erfordert auch das Aufstellen von Abfallbehältern, die vor einem unberechtigten Zugriff geschützt sind bzw. statt dieser den Einsatz eines Aktenvernichters oder eines Schredders. So kann vorbeugend ein eventueller Datenmissbrauch durch Unbefugte oder Achtlosigkeit der Mitarbeiter verhindert werden.

Sofern Unterlagen nicht archivwürdig sind, sollten folgende Grundsätze für eine datenschutzrechtliche Entsorgung von Schriftgut mit personenbezogenen Daten beachtet werden:

  • Gesetzlich vorgeschriebene Löschungsfristen sind einzuhalten.
  • Die Vernichtung von Schriftgut im eigenen Sachbereich mittels eines Aktenvernichters oder eines Schredders ist die einfachste und zugleich sicherste Lösung. Das Sammeln von zu vernichtendem Datenmaterial sollte immer in Behältern erfolgen, die vor unbefugtem Zugriff geschützt sind.
  • Die Vernichtung sollte möglichst umgehend erfolgen.
  • Wird mit der Entsorgung eine andere Stelle beauftragt, so handelt es sich hierbei um Auftragsdatenverarbeitung. Der Auftrag zur Vernichtung der personenbezogenen Daten, die Festlegung zu den technischen und organisatorischen Maßnahmen sowie die Zulassung von Unterauftragsverhältnissen sind schriftlich festzulegen. Der Auftraggeber trägt weiterhin die Verantwortung für eine datenschutzgerechte Vernichtung seiner Daten. Er sollte sich persönlich vor Ort von der sicheren Entsorgung seiner Daten durch den Auftragnehmer überzeugen.
  • Die Einhaltung der Maßnahmen ist zu kontrollieren.

Auskunftsersuchen und andere Rechte der Betroffenen

11.03.24

Ein jeder Betroffener (Mitarbeiter, Kunde, Mitglied, etc.) kann folgende Rechte einfordern:

  • Auskunftsrecht gem. Art. 15 DSGVO (Auskunft über die Daten)
  • Recht auf Berichtigung gem. Art. 16 DSGVO (Korrektur von Daten zum Betroffenen)
  • Recht auf Löschung bzw. Einschränkung gem. Art. 17 und 18 DSGVO
    Nach Art. 17 DSGVO kann ein Betroffener die Löschung seiner Daten fordern. Hierbei ist jedoch zu beachten, dass nach §257 HGB und §147 AO Belege für eine gewisse Zeit aufbewahrt werden müssen. Dies gilt auch für den e-Mail Verkehr und die eingegangene Löschanfrage.
  • Recht auf Datenübertragbarkeit Art. 20 DSGVO (Übertragung des Datensatzes in einem gängigen maschinenlesbaren Format)
  • Widerspruchsrecht Art. 21 DSGVO (Widerspruch gegen eine zuvor erteile Einwilligung)

Bitte jedem Ersuchen ist bitte der Datenschutzbeauftragte bzw. die Geschäftsleitung zu unterrichten, denn die Regelfrist für eine Antwort beträgt 1 Monat.

sichere Passworte

04.03.24
  • Bei Passworten gilt grundsätzlich: Je länger, desto besser.
  • Passwörter sollten mindestens 8 Zeichen lang, dann aber komplex sein und aus Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen bestehen. Lange Passwörter ab 20 Zeichen können hingegen auch weniger komplex sein.
  • Benutzen Sie einen Satz aus der Bibel samt Kapitel und Vers. Aus "Vater, in deine Hände befehle ich meinen Geist", Lukas Kapitel 23, Vers 46 wird bei Verwendung der ersten Buchstaben und der Nummern das Passwort VidHbimGL2346.

Datenpanne (Art. 33 DSGVO)

29.02.24

Eine Datenschutzpanne (Art. 33 DSGVO) ist jede “Verletzung des Schutzes von personenbezogenen Daten“ (nicht nur z.B. von sensiblen Daten wie aus dem Gesundheits- oder Bankenbereich). Immer wenn ein Hacker-Angriff vorliegt, wenn Angaben aus Versehen an einen falschen Empfänger geschickt werden oder wenn ein ähnlicher Fall vorliegt, in dem personenbezogene Daten einem Unbefugten zur Kenntnis gelangen, liegt eine Datenpanne vor.

Einzige Ausnahme: Die Daten waren verschlüsselt oder der Vorfall führt aus ähnlichen Gründen „voraussichtlich nicht zu einem Risiko“ für die Betroffenen.

Jeder, dem eine Datenpanne auffällt, muss diese unverzüglich der Geschäftsleitung oder dem Datenschutzbeauftragten melden. Diese Meldung kann formlos sein, muss aber das Datum und die Uhrzeit, wann die Panne passiert ist, enthalten.

Jede Panne muss bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden (!) gemeldet werden, nachdem sie bekannt wird. Wenn es länger dauert, muss die Verzögerung begründet werden.

Auch müssen diejenigen, die von einer Panne betroffen sind, ebenfalls informiert werden. Die Information der Betroffenen kann formlos erfolgen und unterliegt nicht einer Zeitvorgabe, sollte aber schnellstmöglich erfolgen.

Beispiele aus der Praxis:

  • e-Mail Verteiler mit Adressen in CC und nicht BCC
  • Gestohlener Laptop ohne verschlüsselte Daten
  • Verlorener USB-Stick ohne Verschlüsselung
  • Schmierpapier zum Malen für die Kinder enthielt Bewertungen auf der Rückseite
  • e-Mail an Vereinsmitglieder, mit unverschlüsselten Daten vom ganzen Verein (unterschiedliche Reiter in Excel!)