Dienstliche E-Mails an private Adressen weiterleiten?

Möglicherweise haben Sie, wie viele anderen auch, schon mal eine dienstliche E-Mail an Ihre private E-Mail-Adresse weitergeleitet. Der Grund für diese Weiterleitung ist nicht weiter wichtig. Vielmehr ist es wichtig zu wissen das dieses als schweren Vertrauensbruch gewertet wird und eine fristlose Kündigung nach § 626 BGB rechtfertigt. So entschied das OLG München (Az. 7 U 351/23 e) kürzlich: Ein Vorstandsmitglied, das über längere Zeit vertrauliche E-Mails an seine private E-Mail-Adresse schickte, verstieß trotz der offenen Weiterleitung im CC gegen die DS-GVO und handelte damit rechtswidrig. Verstoß gegen die DS-GVO und Vertrauensbruch Obwohl das Vorstandsmitglied seine private E-Mail-Adresse sichtbar in den CC gesetzt hatte, und somit den Eindruck erwecken könnte, dass er im guten Glauben handelte, bewertete das Gericht dieses...

Weiterlesen

EU-US Angemessenheitsbeschluss

Mit dem Inkrafttreten des EU-US Angemessenheitsbeschlusses und eine Selbstzertifizierung können auf der Grundlage des neuen EU-US-Datenschutzrahmens personenbezogenen Daten durch Verantwortliche wieder einfach in die USA übertragen werden. Hierzu sollten Verantwortliche die Auftragsverarbeitungsverträge und der Überprüfungsprozess angepasst werden. Da der Angemessenheitsbeschluss an sich keine Rechtsgrundlage für die Datenübertragung in die US darstellt, muss zunächst sichergestellt werden dass das Unternehmen an das Daten übertragen werden sollen, diese Selbstzertifizierung vorweisen kann. Dazu gibt es die Website: dataprivacyframework.gov der US-Export-Behörde International Trade Administration. Überprüfung der Auftragsverarbeiter bzw. Unternehmer mit Sitz in der US Zur Überprüfung, ob das Unternehmen die notwendige selbst-zertifizierung vorgenommen hat und für welche Daten (HR oder nicht HR) diese Zertifizierung gültig ist, wird der folgende Link bereitgestellt. https://www.dataprivacyframework.gov/list Hierbei sollten Sie...

Weiterlesen

QR-Code-Phishing und Schutzmaßnahmen

Wie Sie sich vor unsicheren QR-Codes effektiv schützen können Scannen Sie keine QR-Codes, wenn Sie sich nicht absolut sicher über das Ziel sind. Überprüfen Sie, wenn möglich, vor dem Klicken die URL der Linkadresse. Achten Sie auf Anzeichen von physischer Manipulation der Aufkleber. Niemals Apps oder Anhänge über QR-Codes herunterladen. Machen Sie keine elektronischen Zahlungen über QR-Codes. Teilen Sie keine Informationen auf Seiten oder in Formularen, die Sie mit einem QR-Code aufgerufen haben. Aktivieren Sie, wenn möglich, die Multi-Faktor-Authentifizierung (MFA).

Weiterlesen

Selbstauskunft von Mietinteressenten

Ein heikles Thema, bei dem in der Praxis wohl noch Optimierungsbedarf besteht. Mieten und Wohnen (Wohnungswirtschaft) Der Wunsch eines Vermieters, eine Immobilie an möglichst vertrauenswürdige und solvente Personen zu vermieten, ist verständlich. Gleichzeitig möchte ein Vermieter auch wenig Mieterwechsel und Leerstand haben. Was liegt also näher, als den „Bewerbungsprozess“ für eine Wohnung an einem Makler abzugeben. Erfahrene Makler können den Bewerbungsprozess so gestalten, dass Informationen, welche von den Mietinteressenten abgefragt werden, mit denen sich Solvenz, Vertrauenswürdigkeit und dauerhaftes Mietinteresse abschätzen lässt. Allerdings müssen Makler die Rechte der Mietinteressenten bei Selbstauskünften beachten. Hierzu muss der Makler sich auf jeden Fall mit der Datenschutz-Grundverordnung (DS-GVO und das Bundesdatenschutzgesetz (BDSG) auseinandersetzen. Jedem wird klar sein, dass ein Makler und der Vermieter ein berechtigtes...

Weiterlesen

Schadensersatz bei einem möglichen Missbrauch von persönlicher Daten

DS-GVO Nachrichten

Bereits die Befürchtung eines Datenmissbrauchs kann einen immateriellen Schaden darstellen und zu Schadenersatzforderungen führen. (EuGH C-340/21 – 14.12.2023)   Der Europäische Gerichtshof (EuGH) hat festgestellt das bereits bei einem möglichen Missbrauch von persönlichen Daten einen Schadenersatz durch den/die betroffene eingefordert werden kann. Für Verantwortliche (Unternehmen) bedeutet dieses: Um einen Schadenersatzanspruch abzuwehren, muss das Unternehmen welches Opfer eines Cyberangriffs wurde nachweisen können, dass die getroffenen Schutzmaßnahmen geeignet waren, um einen solchen Angriff zu verhindern. Der Verantwortliche muss nachweisen können das er "in keinerlei Hinsicht für den Schaden verantwortlich" ist. Für Betroffenen bedeutet dieses: Betroffenen können nicht einfach behaupten, dass sie einen immateriellen Schaden erlitten haben. Sie müssen nachweisen das sie bereits durch eine mögliche zukünftige missbrauchs ihrer personenbezogenen Daten geschädigt wurden....

Weiterlesen

Das Pflegeunterstützungs- und -entlastungsgesetz – PUEG

DSGVO News

Warum braucht der Arbeitgeber eigentlich die Geburtsurkunden der Kinder? Viele Arbeitgeber verlangen wegen das PUEG von Ihren Mitarbeitern die Abgabe der Geburtsurkunden deren Kinder. Oftmals auch wenn diese bereits vorliegen, sowie die von den bereits volljährigen Kindern. Begründet wird dieses mit einer durch die Behörden aufgelegter Beweisführung bei Prüfungen. Vor allem durch zusätzlichen bürokratischen Aufwand sorgt die Pflegereform für große finanzielle und bürokratische Belastungen bei Arbeitgebern. Dabei ist es fraglich, ob dieser Aufwand überhaupt vom Gesetzgeber gefordert wird, unbedingt notwendig ist und ob es nach den Datenschutzgesetzen zulässig ist.   Was dürfen Arbeitgeber für die Behörden speichern? Arbeitgeber dürfen laut Bundesdatenschutzgesetz (BDSG) nur Mitarbeiterdaten speichern und verarbeiten, die zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Dazu gehören vor allem die Stammdaten...

Weiterlesen

Auditierung von Managementsystemen

Datenschutzberatung und -assistenz

ISO 19011 - Leitlinie für die Durchführung von Audits Die ISO 19011 ist eine internationale Norm, die die Auditierung von Managementsystemen definiert. Sie bietet Leitlinien für die Durchführung von internen und externen Audits von verschiedenen Managementsystemen, einschließlich Datenschutzmanagement, Qualitätsmanagement, Umweltmanagement, Arbeitssicherheit und Informationssicherheit. Die Norm ISO 19011 betont die Unabhängigkeit, Objektivität und Kompetenz der Auditoren sowie die Vertraulichkeit der Auditinformationen. Sie legt auch Wert auf die kontinuierliche Verbesserung des Auditprozesses und die Anwendung eines risikobasierten Ansatzes.   Die Norm ISO 19011 enthält umfassende Anleitungen und Best Practices für den Auditierungsprozess. Hier sind einige wichtige Punkte, die in der Norm behandelt werden: Ziel und Umfang des Audits: Festlegung des Zwecks und des Anwendungsbereichs des Audits, einschließlich der zu auditierenden Managementsysteme und...

Weiterlesen

Was ist ein Managementsystem?

Datenschutzberatung und -assistenz

Ein Managementsystem ist ein strukturiertes Rahmenwerk, das von Organisationen verwendet wird, um ihre Ziele zu definieren, zu planen, umzusetzen, zu überwachen und zu verbessern. Es stellt sicher, dass die Aktivitäten und Prozesse einer Organisation effektiv und effizient gesteuert werden. Ein Managementsystem umfasst in der Regel eine Reihe von Elementen, die zusammenarbeiten, um eine umfassende Kontrolle und Steuerung der Organisation zu ermöglichen. Zu den typischen Elementen eines Managementsystems gehören: Politik und Ziele: Festlegung von Unternehmenszielen und Richtlinien, die die Grundlage für das Handeln der Organisation bilden. Planung: Entwicklung von Strategien, Plänen und Verfahren, um die Ziele der Organisation zu erreichen. Umsetzung: Implementierung der geplanten Maßnahmen und Prozesse in der Organisation. Überwachung: Kontinuierliche Überwachung der Leistung der Organisation, um sicherzustellen, dass die...

Weiterlesen

Emotet-Variante hebelt Sicherheitsscans aus

DSGVO News

Emotet ist eine gefährliche Schadsoftware, die seit Jahren aktiv ist und in der Lage ist, große Schäden zu verursachen. Es ist bekannt, dass Emotet regelmäßig aktualisiert wird, um Sicherheitsmaßnahmen zu umgehen und seine Fähigkeiten zu verbessern. Eine dieser aktualisierten Varianten ist in der Lage, Sicherheitsscans zu umgehen, indem sie sich als große Datei (.doc) tarnt. Diese Variante ist in der Lage, Malware auf einem infizierten System zu installieren, ohne von Antivirensoftware erkannt zu werden. Die von Experten neu entdeckte Variante, verwendet eine große E-Mail (ZIP)-Anhang (ca. 600Kb), um den Sicherheitsscan zu umgehen. (Durch eine bereits bekannte Schwachstelle im Sicherheitsscan werden große angehängte Dateien übergangen.) Was ist zu tun E-Mails mit beschriebenem Anhang sollten möglichst vorsorglich blockiert werden. Mitarbeiter sollten auf...

Weiterlesen

Doxing – Offenlegung von identifizierenden Informationen

DSGVO News

Beim Doxing auch Doxen genannt,  werden personenbezogene Daten aus verschiedenen Online-Quellen gesammelt und anschließend ohne Erlaubnis der Betroffenen im Internet veröffentlicht. Gedoxte Informationen könnten zum Beispiel sein: Privatadresse und private Kontaktdaten; Informationen über den Arbeitsplatz; Sozialversicherungsnummern; Finanzinformationen; Gesundheitsinformationen; private Bilder und Korrespondenzen; weitere personenbezogene Daten sowie polizeiliche oder administrative Informationen. Auf welcher Weise Die Zahl der krimineller Möglichkeiten und potenzieller Doxing-Quellen steigt stetig – viele der Angriffe geschehen ausschließlich auf Grundlage frei zugänglicher Informationen. Social Media: In den sozialen Netzwerken teilen User*innen bereitwillig Fotos und persönliche Informationen mit ihren Follower*innen, die Daten sind oft uneingeschränkt einsehbar. Per Cyberstalking lassen sich hier zahlreiche Informationen zusammentragen. Blogs und Websites: Wer glaubt, der liebevoll geführte Backblog oder das Online-Portfolio seien für Angriffe uninteressant,...

Weiterlesen