Technische Prüfungen des Datenschutzbeauftragten

Bei allen Unternehmen die über ein eigenes IT-Firmennetzwerk verfügen fangen wir in den nächsten Tagen wieder mit den technischen Prüfungen an. Die technische Prüfung des IT-Netzwerkes erfolgt durch einen Netzwerkscan.

Was ist ein Netzwerkscan?

Ein Netzwerkscan oder das Scannen des Netzwerks ist eine Prozedur, um aktive Hosts in einem Netzwerk zu identifizieren. Entweder sollen diese angegriffen werden oder ein Netzwerk-Administrator möchte die Sicherheit des Netzwerks bewerten. Zu den Scan-Prozeduren gehören groß angelegte Pings und auch Port Scans.

Was umfasst ein Netzwerkscan?

Die Prüfpunkte des Netzwerkscans umfassen die Prüfung der Inventarisierung, d.h. es wird geprüft, welche Hardware und welche Software im Netzwerk eingesetzt wird und ob die Versionen jeweils aktuell sind. Es wird geprüft, ob ein Virenscanner, vorhanden und aktiv ist. Die Virensignaturen werden auf Aktualität geprüft. Eine Passwortprüfung wird vorgenommen, d.h. die Passwörter werden mit den vom Administrator vorgebenden Richtlinien verglichen. Vorhandene Back-Up-Systeme werden auf ihre Funktionsfähigkeit geprüft. Es wird geprüft, ob eine Firewall vorhanden und aktiv ist und die Netzwerkaktivität protokolliert. Zudem wird das W-LAN auf Sicherheit der Verschlüsselung geprüft und ob das Passwort den vorgegebenen Sicherheitsrichtlinien entspricht. Es wird geprüft, ob ein Gäste W-LAN vorhanden ist und ob dieses getrennt vom Firmen W-LAN betrieben wird.

Warum ist ein Netzwerkscan notwendig?

Der Netzwerkscan ist als technisch organisatorische Maßnahme (TOM) Bestandteil der Sicherheit der Verarbeitung im Sinne des Art. 32 DSGVO.

Ihr Unternehmen ist als Verantwortliche Stelle im Sinne der DSGVO anzusehen und hat dafür Sorge zu tragen, dass im Sinne des Art. 25 Abs.1 […] geeignete technische und organisatorische Maßnahmen getroffen werden, um die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen.

Aus Datenschutzsicht ist ein Netzwerkscan die effizienteste technische Möglichkeit, um eben diese Anforderungen überprüfen zu können.

Zu den Aufgaben des Datenschutzbeauftragten gehört es i.S. des Art. 39 Abs. 1 lit b) die Einhaltung der DSGVO und anderer Datenschutzvorschriften zu überwachen und die Zuweisung von Zuständigkeiten sowie die Sensibilisierung der für die Verarbeitung zuständigen Mitarbeiter zu überprüfen.

Der Datenschutzbeauftragte ist grundsätzlich frei in der Wahl und Ausführung seiner Pflichten und berichtet unmittelbar der höchsten Managementebene des Verantwortlichen. Art. 38 Abs. 3 Satz 1 und 3.

Der Netzwerkscan dient dem Unternehmensverantwortlichen dazu einen Nachweis über die Prüfung der Sicherheitsaspekte bestehender Netzwerke gegenüber den Landesbehörden vorweisen zu können und somit, dass das Unternehmen seiner erweiterten Dokumentationspflicht nachkommt.

Zu beachten ist hierbei, dass die Dokumentationspflicht im Rahmen der DSGVO im Vergleich zum BDSG konkret bußgeldbewehrt ist.

Um den Unternehmensverantwortlichen vor einer bußgeldbewehrten Pflichtverletzung bestmöglich zu schützen, besteht die Notwendigkeit einen Nachweis über den Aufbau eines Datenschutzmanagements vorhalten zu können und die technisch organisatorischen Maßnahmen zum Datenschutz i.S. des Art. 32 DSGVO zu gewährleisten und regelmäßig zu überprüfen. Dies geschieht u.a. in Form des Netzwerkscans.

Der fertige Report bietet Ihnen eine klare Übersicht über notwendige Maßnahmen und Handlungsempfehlungen, um Ihr Netzwerk datenschutzgerecht und sicher zu betreiben.

Wenn Sie Fragen haben, sprechen Sie uns gerne an.

Aufgaben des Datenschutzbeauftragten

Ihr Unternehmen verfügt über eine eigene Webseite, zu den Aufgaben des Datenschutzbeauftragten gehört es u.a. diese Webseiten auf datenschutzrechtliche Schwachstellen zu prüfen. Somit werden alle Unternehmen, die eine eigene Webseite betreiben und Kunde sind ein Website-Security-Audit erhalten.

Was ist ein Website-Security-Audit?

Das Audit „Website Security“ prüft verschiedene Aspekte einer Website, die den Datenschutz sowie die Sicherheit (vorrangig der Benutzer) betreffen. Einen vollständigen Pen-Test kann und soll das Audit nicht ersetzen.

Was beinhaltet ein Website-Security-Audit?

Die Prüfpunkte des Website-Security-Audits umfassen die Prüfung der Verschlüsselung der Webseite, sicherheitsrelevante http Respons Header werden geprüft. Eine Prüfung auf Verwendung extern gehosteter Dateien wie z.B. JavaSkript findet statt, es wird auf Webanalytik Software von Drittanbietern wie z.B. Google Analytics getestet. Die Verwendung von Socialmedia Plug-Ins wird geprüft, ebenso ob Ihre Webseite Einträge auf Sperrlisten verzeichnet sind. Und nicht zuletzt, wird überprüft, ob Ihre Email-Adressen schon einmal Opfer bekannter Hackerübergriffe geworden sind.

Warum ist ein Website-Security-Audit notwendig?

Das Website-Security-Audit ist als technisch organisatorische Maßnahme (TOM) Bestandteil der Sicherheit der Verarbeitung im Sinne des Art. 32 DSGVO.

Ihr Unternehmen ist als Verantwortliche Stelle im Sinne der DSGVO anzusehen und hat dafür Sorge zu tragen, dass im Sinne des Art. 25 Abs.1 […] geeignete technische und organisatorische Maßnahmen getroffen werden, um die Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen.

Wenn die Unternehmenswebseite nicht umfassend genug abgesichert ist, können u.U. von einem nicht autorisierten Dritten Daten der Website-User abgegriffen und missbraucht werden. Falls keine ausreichenden Sicherheitsvorkehrungen im Sinne der TOMs (Art. 32 DSGVO) getroffen wurden, haftet der Seitenbetreiber als verantwortliche Stelle.

Aus Datenschutzsicht ist ein Website-Security-Audit eine effiziente technische Möglichkeit, um eben diese Anforderungen überprüfen zu können.

Zu den Aufgaben des Datenschutzbeauftragten gehört es i.S. des Art. 39 Abs. 1 lit b) die Einhaltung der DSGVO und anderer Datenschutzvorschriften zu überwachen.

Der Datenschutzbeauftragte ist grundsätzlich frei in der Wahl und Ausführung seiner Pflichten und berichtet unmittelbar der höchsten Managementebene des Verantwortlichen. Art. 38 Abs. 3 Satz 1 und 3.

Das Website-Security-Audit dient dem Unternehmensverantwortlichen dazu einen Nachweis über die Prüfung der Sicherheitsaspekte bestehender Webseiten gegenüber den Landesbehörden vorweisen zu können und somit, dass das Unternehmen seiner erweiterten Dokumentationspflicht nachkommt.

Zu beachten ist hierbei, dass die Dokumentationspflicht im Rahmen der DSGVO im Vergleich zum BDSG konkret bußgeldbewehrt ist.

Um den Unternehmensverantwortlichen vor einer bußgeldbewehrten Pflichtverletzung bestmöglich zu schützen, besteht die Notwendigkeit, die technisch organisatorischen Maßnahmen zum Datenschutz i.S. des Art. 32 DSGVO zu gewährleisten und regelmäßig zu überprüfen. Dies geschieht u.a. in Form des Website-Security-Audits.

Zu jedem Audit erhalten Sie ein Ergebnis sowie Handlungs­empfehlungen, sofern Maßnahmen erforderlich sind. Diese Empfehlungen können z.B. Ihre Datenschutz­erklärung betreffen oder technischer Natur sein.

Das fertige Audit bietet Ihnen eine klare Übersicht über notwendige Maßnahmen und Handlungs­empfehlungen, um Ihre Website datenschutz­gerecht und sicher aufzustellen.

Wenn Sie Fragen haben, sprechen Sie uns gerne an.

Datenschutzbehörden prüfen Cookie-Consent-Banner

Die Datenschutzbehörden kündigen länderübergreifend eine groß angelegte Aktion an, bei der die neuen Tracking-Vorgaben auf Webseiten näher ins Visier genommen werden sollen. Seit Oktober des vergangenen Jahres nach einem Urteil des EuGH im Vorabentscheidungsverfahren (EuGH C‑673/17 vom 01.10.2019) ist klar, dass es für Tracking-, Analyse- und Werbemaßnahmen, die nicht der reinen technischen Auslieferung einer Seite dienen, einer ausdrücklichen Einwilligung des Seitenbesuchers bedarf.

Spätestens mit der daraufhin ergangenen deutschen Entscheidung vom 28.05.2020 (BGH I ZR 7/16) ist dies die geltende verbindliche Rechtslage in Deutschland. Nachdem bereits in unserem Hause einige Anfragen von Seiten der Behörde eingetrudelt waren, haben die Datenschutzbehörden nunmehr eine groß angelegte Überprüfung angekündigt (Pressemitteilung des LDI BW vom 19.08.2020).

Beginnen wolle man mit reichweitenstarken Medienunternehmen. Dies stellt allerdings nur einen ersten Schritt dar. Wunderbar plastisch beschreibt der LDI BW, wie Tracking-Maßnahmen in der realen Welt aussehen würden.
Stellen Sie sich vor, Sie machen eine Shopping-Tour. Dabei hätten Sie einen oder mehrere Ihnen unbekannte Begleiter an Ihrer Seite. Diese protokollieren jeden Ihrer Handgriffe, jeden Schritt Ihrerseits. Es würde aufgezeichnet, was Sie sich angesehen haben und wie lange Sie sich vor bestimmten Schaufenstern aufgehalten haben. Besonders interessant sind auch Ihre Einkäufe, die selbstverständlich mit sämtlichen Details festgehalten werden. Und das nicht nur in einem Geschäft, sondern oftmals während Ihrer gesamten Shopping-Tour über mehrere Geschäfte, über mehrere Tage hinweg. Diese heimlichen Begleiter laufen schnurstracks zu den einzelnen Geschäften zurück, um diesen im Detail zu berichten, was oder wie sie Ihnen bei der nächsten Einkaufstour Produkte anbieten sollen.

Da ist mir der Brötchen-Bäcker um die Ecke wesentlich lieber, der lediglich weiß, welches Brötchen ich esse und wann er morgens mit mir rechnen kann.

Sofern Sie bis jetzt noch nicht aktiv geworden sind, prüfen Sie kritisch, welche Tracking- und Werbetools in Ihrer Webseite eingebunden sind. Sollten Sie solche nicht technisch notwendigen Technologien auf Ihrer Seite eingebunden haben, bedarf dies einer aktiven Einwilligung.
Bisherige Cookie-Banner, die im Weitersurfen eine Einwilligung sehen, sind nicht mehr zulässig. Es bedarf – vor – dem Ausführen solcher Technologien einer aktiven Einwilligung des Nutzers.

Für unsere Kunden haben wir eine Checkliste in den Fragebögen hinterlegt, mit Hilfe der Sie die rechtlichen Anforderungen an ein Cookie-Consent-Banner prüfen können. Für Detailfragen sprechen Sie bitte Ihren Datenschutzbeauftragten an.

Bußgeld nach Verletzung der 72 Stunden-Frist bei der Meldung einer Datenschutzverletzung nach Art 33 DSGVO

Der Hessische Landesdatenschutz­beauftragte hat laut Tätigkeitsbericht 2019 gegen eine Reha Klinik ein Bußgeld in Höhe von 6.800.- € erlassen, da diese einen Entlassungsbericht mit sensiblen Gesundheitsdaten versehentlich an den falschen Empfänger geschickt hat.

Hierbei handelte es sich um eine „Datenpanne“, die nach Art 33 DSGVO innerhalb von 72 Stunden an die zuständige Behörde zu melden ist. Nachdem das Unternehmen von der Falschversendung durch den Empfänger erfuhr, meldete Sie den Vorgang erst nach 7 Tagen der zuständigen Landesdatenschutz­behörde. Die rechtzeitige Meldung sollte kein Bußgeld nach sich ziehen, die Verspätung nahm die Behörde aber zum Anlass ein erhebliches Bußgeld zu verhängen.

In gegenüber der Aufsichtsbehörde ausdrücklich zu begründenden Fällen kann diese Frist ggf. überschritten werden, z.B. weil eine Datenschutzverletzung unverschuldet erst später bekannt wird oder erst nach einer längeren Recherchephase als solche erkennbar ist. Die Begründung der Reha Klinik, es habe sich um einen erstmaligen Fall gehandelt und die Mitarbeiter hätten nicht gleich gewusst, was mit dem Fall zu tun sei, ließ die Behörde nicht gelten.

Derartige Fälle müssen in einer Anweisung im Unternehmen geregelt sein, damit sie rechtzeitig von den Mitarbeitern erkannt und an entsprechend verantwortliche Personen gemeldet werden. Wissen Ihre Mitarbeiter, dass die fehlerhafte Versendung, insbesondere von sensiblen Daten an Unbefugte eine meldepflichtige Datenschutz­verletzung darstellt und grundsätzlich binnen 72 Stunden bei der zuständigen Landesdatenschutz­behörde angezeigt werden muss? Haben Sie Ihre Mitarbeiter geschult und eine Handlungsanweisung hinterlegt? Wenn nein, sollten Sie sich schleunigst darum kümmern, denn allein die Überschreibung der Meldefrist kann, wie das Beispiel zeigt, teuer werden.

Ein Muster zu Datenschutz­verletzungen findet sich im myGINDAT Erstpacket unter „Meldung Datenschutzverletzung“. Ihr Datenschutz­beauftragter unterstützt Sie bei der Umsetzung.