users lounge

Der Podcast für mehr IT-Sicherheit

#36 Datenschutzverletzungen

Wie man sie erkennt und richtig mit ihnen umgeht

14.02.2025 54 min

Zusammenfassung & Show Notes

In dieser Episode beschäftigen wir uns intensiv mit Datenschutzverletzungen – von deren Definition über konkrete Beispiele bis hin zu den notwendigen Schritten bei einem Vorfall. Dabei legen wir besonderen Wert auf die Einhaltung der DSGVO, etwa die 72-Stunden-Frist zur Meldung, und erörtern die Konsequenzen bei Nichteinhaltung. Wir diskutieren, wie essenziell präventive Maßnahmen, Schulungen und eine transparente interne Kommunikation sind, um den Herausforderungen im Umgang mit sensiblen Daten, beispielsweise bei Videoüberwachung und Auftragsverarbeitung, gerecht zu werden.

Wir sprechen über Datenschutzverletzungen, deren Definition, Beispiele und die notwendigen Schritte zur Meldung und Reaktion auf solche Vorfälle. Wir beleuchten die Wichtigkeit von Schulungen und Sensibilisierung der Mitarbeiter sowie die rechtlichen Anforderungen gemäß der DSGVO. In dieser Diskussion werden die Anforderungen und Fristen für die Meldung von Datenschutzvorfällen behandelt. Michael erklärt die Bedeutung der 72-Stunden-Frist und die Konsequenzen, die sich ergeben, wenn diese nicht eingehalten wird. Zudem erörtern wir, welche Maßnahmen nach einem Vorfall ergriffen werden sollten und wie wichtig Transparenz und Kommunikation mit den betroffenen Personen sind. Auch besprechen wir die Herausforderungen und Best Practices im Umgang mit Datenschutz, die Wichtigkeit von Transparenz, interner Kommunikation und der Verantwortung bei der Auftragsverarbeitung. Zudem wird die Notwendigkeit von präventiven Maßnahmen und einer klaren Rechtsgrundlage für die Datenverarbeitung hervorgehoben.


Takeaways
  • Datenschutzverletzungen sind Vorfälle, bei denen personenbezogene Daten unrechtmäßig verarbeitet werden.
  • Beispiele für Datenschutzverletzungen sind verlorene USB-Sticks oder falsche E-Mail-Verteiler.
  • Unternehmen müssen Datenschutzverletzungen innerhalb von 72 Stunden melden.
  • Mitarbeiter sollten geschult werden, um Datenschutzvorfälle zu erkennen und zu melden.
  • Ein klarer Meldeweg für Datenschutzvorfälle ist entscheidend.
  • Die DSGVO legt fest, wann eine Meldung erforderlich ist.
  • Präventive Maßnahmen können helfen, Datenschutzverletzungen zu vermeiden.
  • Die Sensibilisierung der Mitarbeiter ist ein wichtiger Schritt zur Vermeidung von Vorfällen.
  • Unternehmen sollten regelmäßig ihre Datenschutzpraktiken überprüfen.
  • Die Reaktion auf Datenschutzverletzungen sollte gut geplant sein. Meldepflichtige Datenschutzvorfälle müssen innerhalb von 72 Stunden gemeldet werden.
  • Die 72 Stunden zählen ab dem Zeitpunkt des Ereignisses.
  • Es ist wichtig, die internen Prozesse zu schulen, um Meldungen zu fördern.
  • Wenn jemand anders deinen Vorfall meldet, ist das sehr nachteilig für das Unternehmen.
  • Die Behörde erwartet eine Erklärung, wenn die Frist nicht eingehalten wird.
  • Transparenz gegenüber den Betroffenen ist entscheidend.
  • Sofortmaßnahmen sollten bei der Meldung angegeben werden.
  • Die internen Melderegeln müssen klar und verständlich sein.
  • Die Kommunikation mit den Betroffenen sollte offen und ehrlich sein.
  • Die Kontrolle über die Daten und Prozesse ist für Unternehmen unerlässlich. Die Verwendung von Videodaten muss klar geregelt sein.
  • Datenschutz erfordert eine Rechtsgrundlage und Zweckbindung.
  • Unternehmen müssen ihre Datenverarbeitungsprozesse dokumentieren.
  • Transparenz gegenüber Behörden und Betroffenen ist entscheidend.
  • Mitarbeiter sollten ermutigt werden, Probleme zu melden.
  • Präventive Maßnahmen sind notwendig, um Datenverluste zu vermeiden.
  • Auftragsverarbeiter müssen sorgfältig ausgewählt werden.
  • Daten, die nicht benötigt werden, sollten nicht gespeichert werden.
  • Ein internes Meldesystem kann helfen, Probleme frühzeitig zu erkennen.
  • Die Verantwortung für Daten bleibt beim Unternehmen, auch bei externen Dienstleistern.

Transkript

René
00:00:29
Und dann würde ich sagen, begrüßen wir jetzt mal zur 36. Episode der users lounge. Heute wie immer mit dabei der Michael.
Michael
00:00:39
Grüß dich René. Ehrlich, wir haben schon 36 Folgen, also 35 gesprochen und sprechen gerade in der 36. ein?
René
00:00:47
Ja.
Michael
00:00:48
Okay, cool.
René
00:00:50
Ja, ich wollte es zwischendurch ja immer mal ansagen, jetzt heute habe ich daran gedacht.
Michael
00:00:55
Ja, sehr cool. Doch, es geht schnell rum die Zeit. Es macht Spaß. Es ist ein kurzweiliges Vergnügen. Ich hätte jetzt auf Bauchgefühl 23, 24 getippt oder irgend sowas, aber nicht auf 36. Cool. Dann freue ich mich.
René
00:01:11
Ja, so soll es doch auch weitergehen. Deswegen haben wir auch heute wieder ein spannendes Thema mitgebracht. Also ich halte es auf jeden Fall immer für spannend. Ist ja. Wir haben, wir sprechen ja logischerweise immer ganz viel über Datenschutz und heute mal wirklich, was passiert denn im Falle einer Datenschutz Verletzung und was ist überhaupt erst mal eine Datenschutz Verletzung? Wann sind wir an der Stelle?
Michael
00:01:37
Und ja, ich muss, ich muss gerade sprunzeln. Du sagst, so soll es auch weitergehen und voller Elan und sagst von einem spannenden Thema. Und dann hast du den ersten, den ersten Break mit Oh, es geht um Datenschutz und dann hast du den zweiten Break drin. Es geht auch noch um Meldungen von Datenschutz Verstößen, also an alle, die jetzt weiter tapfer durchhalten. Vielen lieben Dank.
René
00:02:01
Nee, ich, also bevor wir uns jetzt falsch stellen, ich finde das Thema ja wirklich trotzdem interessant, weil es ist ja so auf der einen Seite klar, jetzt, ich bin ja auch ITler dann hinten raus und natürlich, ich, ich baue gerne auf so, aber es kann ja immer was passieren aus irgendeinem Grund so und dann ist es ja wichtig zu wissen, wie gehen wir vor, was kann eigentlich auf mich zukommen und so weiter und so fort. Ja, es sind ja Dinge, die sollte man glaube ich als ITler auch im Hinterkopf haben und natürlich auch als Unternehmer oder Unternehmerin natürlich, von daher, so im Detail haben wir da nicht drüber gesprochen. Wir haben zwischendurch mal gesagt, okay, du hast deinen, ich sag mal, deinen Datenschutzbeauftragten im Unternehmen meinetwegen, dass du da hin meldest, aber darüber hinaus gehen ja noch weitere Schritte voran und das ist etwas, das hat mich einfach dann auch interessiert, wie läuft wirklich dieser Ablauf, also wie gehen wir vor, wie geht das Unternehmen vor, was passiert eigentlich im Hintergrund, keine Ahnung. Das, was du uns dazu erzählen kannst, das würde ich auf jeden Fall gerne erfahren.
Michael
00:03:09
Ja, ich, ich werde mal schauen, dass wir eine, ein nicht ganz so trockenes Thema hier hinkriegen und ich nicht mit vielen Artikeln und Paragraphen und Dingen um mich werfe und das Ganze mal auf die Basics reduziere und mal auf das, das, das, das echte Doing runterbreche, wie so uns hart ist. Sehr gerne. Ich glaube, wir sollten damit anfangen, dass wir sagen, was sind denn Datenschutzverletzungen? Also wenn wir jetzt über das Thema reden, über was, über was reden wir denn da überhaupt? Das ist, glaube ich, der erste Einstieg in die erste spannende Kiste, worum es nämlich geht. Und wenn wir über Datenschutzverletzungen, Datenschutzverletzungen reden und wir reden über Datenschutz, reden wir über die DSGVO, reden wir über die DSGVO, reden wir über personenbezogenen Daten, folge richtig, immer wenn der Schutz personenbezogener Daten verletzt wird oder potenziell verletzt worden sein kann, reden wir von einem Datenschutzverletzung. Das heißt, immer wenn, machen wir mal so ein paar blöde Beispiele, immer wenn der unverschlüsselte USB-Stick mit den Gehaltslisten in der U-Bahn vergessen wird, immer wenn der unverschlüsselte Laptop aus dem Auto geklaut wird, immer wenn ich mit einem Notebook in der Bahn sitze und hinter mir zeichnet einer mein Bildschirm auf, immer wenn ich eine E-Mail, die für die Geschäftsleitung bestimmt ist mit sensiblen personenbezogenen Dateninhalt, in einen großen E-Mail-Verteiler schicke, also ich schicke an alle anstatt an die Geschäftsleitung, also immer wenn personenbezogene Daten dahin kommen, wo sie nicht hin sollen oder die Möglichkeit besteht, dass sie dahin gekommen sind, wo sie nicht hinkommen sollen, haben wir eine Datenschutzverletzung. Und das waren jetzt mal so ein paar ganz plakative Beispiele, aber da hast du garantiert auch noch so ein paar, oder?
René
00:05:09
Ja, das fängt ja glaube ich schon, also da kann man natürlich schon niederschwelliger anfangen, aber ja, ich kenne auch ein ganz gravierendes Beispiel tatsächlich aus der Arztpraxis, da war es halt so, die haben Briefe rausgeschickt und in diesen Briefen, das war eine bestimmte Patientengruppe, ich weiß nicht, ein bestimmtes Medikament haben die genommen, so und da haben die eine Information rausgeschickt. So diese Information, also das Brief, in den Leben war schon an die richtigen Personen geschrieben, aber die Adressen, die außen auf die Dings drauf kamen, auf die Briefungsschläge, die waren völlig anders. So, das heißt, die Gesundheitsdaten von jemandem wurden an jemand anders versandt. Das war schon sehr gravierend. So und da geht es dann halt auch, noch ein Beispiel, da weiß ich auch, dass es dann nachher zu einem Streitfall gekommen ist, sind Videodaten. Ja, da gab es nachher eine Meldung, also da war es so, das Unternehmen hat noch vor Einführung der DSGVO, die haben eine komplette Videoüberwachung eingebaut oder umgesetzt auf dem kompletten Firmengelände und auch im Innenbereich, im Lagerbereich, das muss man ja dazu sagen und da war es halt dann nachher so, das Unternehmen und ein Mitarbeiter waren sich nicht mehr ganz grün und daraufhin ist der Mitarbeiter losgegangen und hat dann gesagt, ja hier, ihr habt aber nicht darauf hingewiesen, wie lange diese Daten verfügbar bleiben, wo die Daten liegen, was weiß ich und in welcher Form ich aufgezeichnet werde. Das sind ja auch schon solche Dinge.
Michael
00:06:47
Klassiker Tagesbetrieb und das ist deswegen, deswegen ist das als Datenschützer immer so wie so eine indische Gebetsmühle, wenn du so bei Kunden bist und so Sachen erzählst, passt bei der Entsorgung von Papier auf, also diese falsche Entsorgung von Dokumenten, also diese berühmte, ihr habt eine Datenschutztonne oder habt einen Schredder, das ist so wichtig, weil das formal auch schon zu einem Datenschutzvorfall führen kann, wenn ich irgendwelche Gehaltslisten ungeschreddert in die blaue Tonne schmeiße und einer stellt die blaue Tonne an die Straße und irgendwann geht vorbei, der macht aus Juxentollerei Trede, klappt die Tonne hoch und holt sich da, kann sich die Dokumente rausziehen. Also auch das sind Beispiele für mögliche meldepflichtige Verletzungen, also auf jeden Fall für Datenschutzverletzungen und das sind so Dinge, wo man halt, kommen wir gleich zu Präventivmaßnahmen, aber das sind so mögliche Dinge, die passieren können. Ein weiterer Klassiker ist, wenn Unternehmen irgendwelche Rundmails verteilen, dass die E-Mails eben nicht vernünftig über Newsletter gehen oder vernünftig über BCC, über Blind Copy, das haben wir schon so oft auch in unseren letzten 34 Themenfolgen wahrscheinlich erwähnt. Schön 500 Stück in CC. Und jeder Empfänger sieht die anderen 499 Empfänger eben auch und weiß dann auch, wer die Kunden ist oder wer die Informationen auch gekriegt hat und da sind garantiert dann irgendwelche Mitbewerberdaten dabei und da ist garantiert irgendwas dabei. Und bei solchen Sachen hast du immer, wenn du so einen Verteiler an 500 schickst, da ist immer einer dabei, der sagt, jetzt gucke ich mal, was ich damit anfangen kann und wie ich dann mit dem Unternehmen umgehe. Kommen wir nachher zu. Aber auch das sind Beispiele für Datenschutzverletzungen.
René
00:08:40
Davon würde ich aber generell, abgesehen vom Datenschutz, dann würde ich abraten. Also ich kenne das konkurrierende Unternehmen, wenn die beide bei dir Kunde sind und sehen dann, also das kann nach hinten losgehen, dass einer sagt, okay, dann suchen wir uns jetzt einen anderen.
Michael
00:08:59
Das geht volle Granate nach hinten los, weil das erste, was du haben kannst, ist trotz aller, also auch bei mir, ein klassisches Beispiel bei mir, wenn ich Qualitätsmanagement berate, berate ich logischerweise auch oder gibt es die Möglichkeit, ähnliche Unternehmen zu beraten. Ist wahrscheinlich wie bei dir auch, wenn ihr IT macht, macht IT Security, stellt Serverlandschaften, also kümmert euch um die IT von Unternehmen, kann es auch passieren, dass ihr zwei Unternehmen beratet, die ähnliche Produkte verkaufen und eine ähnliche Marktpositionierung.
René
00:09:31
Machen wir auf gar keinen Fall. Aber ganz ehrlich, das muss aber auch jedem klar sein. Das ist ja etwas, das deine Expertise nachher ausmacht. Wenn du dich auf einen bestimmten Bereich konzentrieren kannst, dann hast du natürlich auch Erfahrung.
Michael
00:09:46
Natürlich habe ich mit Kunden NDAs und natürlich WhatsApps in Vegas, Days in Vegas, das ist alles klar und alles vollkommen safe und da muss man sich natürlich keine Gedanken machen, dass das links oder rechts geht. Aber wenn ich so einen offenen E-Mail-Verteiler habe, wo eben die drei Firmen, die ich alle drei berate, die ähnliche Produkte auf dem Markt kriegen, auf einmal alle die gleiche Nachricht von mir kriegen und alle sich gegenseitig oben und unten sehen, dann fangen die natürlich alle, dann kriegt die Nummer ein Geschmäckle. Das sind halt einfach Dinge, wo man aufpassen muss und man macht es nicht. Punkt. Man macht keinen offenen E-Mail-Verteiler. Gehört schon zum guten Ton. Macht Newsletter, macht irgendwas. Macht keinen offenen E-Mail-Verteiler. Ende Ping. Total einfach. Das sind so typische Beispiele und da natürlich, gerade bei Beispielen dabei sind, Ramsenware-Angriff, Verschlüsselung, hast einen Hacker-Angriff, es zieht sich irgendeiner die Informationen, die personenbezogenen Daten von deinem Server runter. Also wann immer du das Gefühl hast, dass externe Personen auf deine personenbezogenen Daten von deinem Unternehmen Zugriff haben, die ihn eigentlich nicht haben sollten, haben wir einen Datenschutzvorfall. Erstmal an der Stelle. An den Beispielen, wenn man das nächste Kapitel reingeht, was passiert, wie geht sowas ab, dann ist natürlich auch hier wieder als allererster Input für, wie geht es denn los oder was passiert denn, ist ganz wichtig wieder der Mitarbeiter. Das letzte Glied in der Kette. Da wo es passiert. Der, der seinen Notebook verliert. Der, der seinen USB-Stick verliert. Der, der mal wieder auf irgendeine komische E-Mail gedrückt hat und plötzlich irgendwelche Buchstaben vom Monitor runterregen oder irgendwelche Gesichter ihn auf einmal angrinsen oder sonst irgendwas. Da ist es ganz super wichtig, dass, und das mache ich bei mir in meinen Datenschutzschulungen immer, das ist immer ein Teil davon, informiere die Personen und trainiere die Schulung, schaffe Awareness, dass die wissen, was ein Vorfall ist, dass die Beispiele dafür haben, dass die einfach wissen, worum es geht und dann in dem ersten Schritt zwei Dinge haben, eine Sofortmaßnahme und eine Meldung. Also im ersten Schritt wird dann erklärt, auch das, was wir schon typisch erklärt haben, Stecker raus, vom Internet binden, Polizei anrufen, wenn ein Notebook geklaut ist etc. pp. Und dann aber auch melde das, was passiert ist, ins Unternehmen an eine verantwortliche Meldestelle. IT-Security, Datenschutzbeauftragter, irgendwas. Also auf gut Deutsch. Passiert dir was? Also bringe Mitarbeitern bei, was Beispiele sind für solche Sachen. Sensibilisiere sie dafür. Erkläre ihnen, was sie als Sofortmaßnahme tun müssen, wenn sowas passiert. Kann immer mal passieren, ist halt einfach so. Und dann gebe ihnen einen sehr niederschwelligen Meldeweg, wo die sich offiziell melden können, dass es nicht unter den Tisch gekehrt wird. Nichts Komplexes, E-Mail-Adresse, Handynummer, whatever, wo sie sagen können, pass mal auf, hoppala. Das ist superwichtig und das ist im Prinzip auch schon der allerwichtigste Schritt.
René
00:13:14
Ja, gibt es bei sowas Ausnahmen? Also ich frage ganz speziell, weil wenn wir, also ich meine natürlich, es gibt die Vorgaben dafür, aber es gibt ja auch genug Vorfälle, wo mir jetzt nicht bekannt wäre, dass da irgendwann mal jemand vorher groß rumgetönt hat, hey, sorry, wir haben da Mist gemacht, sondern wo einfach klar ist, okay, die Daten wurden gestohlen. Also ich sage mal, gerade bei diesen größeren Unternehmen, Meta und was weiß ich, gab es da, also werden da wirklich Meldungen durchgeführt oder ist dann einfach, ja okay, die Datenbank wurde geklaut?
Michael
00:13:52
Du bist im dritten Schritt.
René
00:13:56
Okay, dann habe ich nichts gesagt, dann machen wir das später.
Michael
00:13:58
Alles easy, wir kommen genau jetzt dazu, weil jetzt haben wir die Situation, jetzt haben wir eine Meldung. Bleiben wir bei irgendeinem Beispiel. Nehmen wir den USB-Stick, nehmen wir die unverschlüsselten USB-Stick, nehmen wir die Gehaltslisten, nehmen wir das Ding ist auf der Straße irgendwo weg. Ich habe es in den Hosensack gesteckt, wie ich aus dem Unternehmen raus bin, schlimm genug, bringen wir gleich zu Präventionsmaßnahmen und wenn ich zu Hause angekommen bin, ey, ist er einfach weg. Ja, also was mache ich? E-Mail an IT-Ad oder Compliance-Ad oder Whatever-Ad Unternehmen, was im Unternehmen definiert ist. Erster Tipp, klaren Meldekanal definieren und wenn die Meldung da reingeht, muss die erst mal vernünftig bewertet werden, von einem der Ahnung hat, weil nicht alle Datenschutzvorfälle sind meldepflichtig. Das ist nämlich genau das, was du gesagt hast. Wir reden aktuell noch um die interne Meldung, dass ich als Unternehmen für meine Compliance sicherstellen will, was ist denn passiert? Dass ich Maßnahmen treffen kann zur Einschränkung, dass ich den ganzen, dass ich erst mal bewerte, was los ist. Dann kommt auch meistens ich oder der Datenschutzbeauftragte ins Spiel, dass die Meldestelle oder die E-Mail-Adresse oder die Person, die die interne Meldung mitkriegt, sagt, wir reden mal mit unserem Datenschutzbeauftragten drüber und haben wir wirklich ein Risiko für, kurz Datenschutztext, für die Rechte und Freiheit natürlicher Person. Also ist hinter dem ganzen Thema ein Risiko dahinter, dass wirklich was in die Binsen gehen kann. In der Regel stimme ich mich da mit dem Kunden ab. Ich berate, ich treffe die Entscheidung nicht, nein, sondern ich sage, pass auf, ganz sachlich, was war, was ist genau, was ist passiert, vielleicht noch mal mit der betroffenen Person oder mit der, der das Hoppala hatte, noch mal kurz Rücksprache gehalten, was ist wirklich passiert, was war denn auf dem USB-Stick drauf, Hosen runter, was war, ist der USB-Stick IT, habt ihr verschlüsselte USB-Sticks, unverschlüsselt, was ist genau passiert. So und wenn dann die Sache kommt und die Entscheidung kommt, jawohl, unverschlüsselt, jawohl, einfach mitgenommen, jawohl, 150 Gehaltslisten als PDF drauf oder jawohl, die letzten 28 Bewerbungen drauf, also PDF, irgend so was. Dann geht genau das los, was du gesagt hast, dann geht der Meldeweg los, dann bin ich verpflichtet, innerhalb von 72 Stunden, also ich, das Unternehmen, ist verpflichtet, innerhalb von 72 Stunden eine Meldung bei der zuständigen Landesdatenschutzbehörde zu machen. Ganz klassisch. Das heißt, du musst offiziell den Haar mehren, musst sagen, wir haben ein Hoppala, da gibt es unterschiedliche Formulare, unterschiedliche Meldekanäle, die eigenen wollen es, haben ein Portal, da kannst du es einloggen, die nächsten haben eine Word-Vorlage, die du runterlädst, die du ausfüllst und über ein Secure-E-Mail wieder hochschickst. Ich sehe jetzt keine Behörde mehr, oder mir ist jetzt keine Behörde mehr bekannt, die das PDF dann gerne als Fax hätte, also das gibt es, auch das gibt es nicht mehr. Schade eigentlich. Schade eigentlich, aber wie gesagt, wenn irgendeiner dazuhörend noch eine Stelle kennt, die Fax haben möchte, gerne melden, freue ich mich darüber, aber nein, Spaß beiseite. Also, interne Meldung ins Unternehmen rein, die interne Meldung wird intern bewertet, kommt es zu der Entscheidung, wir handeln sich um einen meldepflichtigen Datenschutzvorfall, muss an die Behörde gemeldet werden, innerhalb von 72 Stunden, beziehungsweise, wenn es eine Begründung ist, beziehungsweise kann auch ein bisschen länger sein, also du sollst nicht ohne ausreichende Begründung und ohne Verzögerung melden, innerhalb von 72 Stunden. Das ist halt einfach safe, deswegen hängt da ein bisschen Zunder dahinter.
René
00:17:58
Wer bemisst denn die 72 Stunden und woran? Nehmen wir mal das Unternehmen, okay, und das wird dann die, Moment, nehmen wir an, ich wäre jetzt ein böswilliges Unternehmen, also ich versuche wirklich aktiv zu verhindern, dass man die 72 Stunden überschreitet, möchte aber noch etwas Zeit gewinnen, um mir was weiß ich was zu überlegen. Habe ich da nicht die Möglichkeit, nehmen wir mal an, die Meldung kam per Mail an den Beauftragten intern, der sich dann damit befassen soll. Ich würde die Mails einfach aus allen Archiven löschen. Wer will mir dann nachweisen, dass, wenn ich nach zwei Wochen gemeldet habe, das nicht die 72 Stunden einhält?
Michael
00:18:55
Du hast ja das Event, also du hast zwei Dinge. Erstens mal ist es der Behörde relativ...
René
00:19:02
Aber ich muss es ja beim Event nicht selber erkannt haben.
Michael
00:19:05
Kannst du auch zu spät erkannt haben. Ja, aber es ist deine Aufgabe zu erkennen, es zählt das Event. Deswegen zählen die 72 Stunden ab Eintreten des Events. Nicht?
René
00:19:16
Das heißt, der erste Zeitraum zwischen mir ist es vielleicht passiert und ich schicke es mal angenommen an dich und du prüfst es noch mal, ob es wirklich einer ist. Die Zeit zählt auch schon in die 72 Stunden.
Michael
00:19:29
In den 72 Stunden, nachdem ihm die Verletzung bekannt wurde. Alles klar.
René
00:19:36
Dann ist es ja ab da, wo du quasi gesagt hast, dass es eine Verletzung ist.
Michael
00:19:39
Ab da, wo die E-Mail reingeht. Deswegen Awareness Mitarbeiter, das kannst du drehen wie Gummi. Du kannst jetzt auch rumschmarrn, du kannst sagen, dem Mitarbeiter ist es bekannt geworden, weil er hat den Stick verloren. Der Mitarbeiter ist Teil des Unternehmens. Hier steht aber, gehen wir rüber auf Artikel 33 DSGVO, meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde. Da war es schon. Möglichst binnen. Möglichst binnen, aber die 72 werden halt eng gesehen. In meiner Praxis, wenn ich das habe, ich versuche die Schulung und die Mitarbeiter so zu triggern, dass die sich melden. Ich habe den Meldekanal so, dass der sich bei mir meldet und wir sind bestrebt, die 72 Stunden einzuhalten. Weil wenn es crasht, crasht es eh. Und ob die Behörde jetzt nach 72 oder 73 kriegen, dann werden sie dir keinen Strickkurs drehen. Das ist das, was ich meine. Aber wenn du dir jetzt auf einmal fünf Tage oder sechs Tage Zeit lässt oder 14 Tage Zeit lässt und dann irgendwann mal der Meinung bist, jetzt melde ich dann doch mal der Behörde. Das ist halt blöd. Das ist halt dumm. Also das ist halt einfach, da gibst du dich selbst preis, dass du einfach ein Thema hast. Und eine Sache ist, vielleicht an der Sache ist nur eins wichtig. Bleib bei dem USB-Stick oder bleib bei dem Papier in der Papptonne, was nicht verschlüsselt worden ist. Also ein ungeschreddert Papier in der Papiertonne. Nimm den USB-Stick. Jetzt mache ich folgendes. Ich habe ihn jetzt gefunden. So, jetzt bin ich nicht mehr das Unternehmen, sondern ich bin jetzt der Spaziergänger, der den gefunden hat. Ich sehe hier keinen mehr auf der Straße, dem das Ding gehört, wo ich hinterher hechten kann. Also jetzt, wenn dir das rausgefallen ist, ich sehe den USB-Stick da liegen. Den nehme ich jetzt. Und weil ich ein interessiertes Kerlchen bin, setze ich mir den daheim und stecke mir den mal daheim ins Notebook rein. Aber natürlich in ein geschütztes. Ich wollte es gerade sagen. Ich habe so ein altes Linux-Kiste, habe ich in der Ecke rumfliegen, genau für solche Dinge, weil ich mir vor acht Jahren mal irgendeinen Terra gekauft habe für 350 Euro. Der liegt jetzt mit einem Linux in der Ecke. Der ist genau für sowas noch gut. Also könnte sein, dass es sowas gibt. Und ich stecke den da rein und sehe, alles klar, Gehaltslisten. Jetzt mache ich folgendes. Jetzt gehe ich an dem gleichen Tag bei die Polizei und sage, ey, pass mal auf, ich habe was gefunden. Oder meldet das sogar direkt der Landesdatenschutzbehörde, weil ich sage, ah, guck mal, was ich hier gefunden habe. Da steht sogar vielleicht das Unternehmen drauf. Ja, wenn es Gehaltslisten sind, steht hier oben das Unternehmen kurz drauf, wo die Mitarbeiter beschäftigt sind und 50 Beschäftigten Daten oben drauf. So, wo ich hin will, ist, dass das Dümmste, was dir als Unternehmen ja passieren kann, ist, wenn irgendein anderer deinen Datenschutzvorfall bei der Polizei anzeigt oder bei der Behörde meldest, bevor du selbst meldest. Weil das gibt dir ja oder das gibt dir der Behörde das Gefühl, dass du deinen Laden ja gar nicht unter Kontrolle hast. Meldest du direkt und zeitnah, bevor dieser Stick gefunden wird, bevor da was passiert, theoretisches Szenario, aber ja, meldest du gleich proaktiv, hat die Behörde wenigstens das Gefühl, dass du deinen Laden soweit unter Kontrolle hast, dass du mitkriegst, wenn was passiert. Ist zwar dann immer noch blöd und du musst immer noch Rede und Antwort stehen und es kann dir immer noch passieren, die Fragen noch mal nach und noch mal nachhaken, aber du hast wenigstens die Kontrolle über dein Unternehmen und über die Kontrolle über das, was in deinem Unternehmen passiert. Das Dümmste, was dir passieren kann, ist, wenn irgendwann du einen Brief kriegst von der Landesdatenschutzbehörde und da drin steht, auch ganz dumm und salopp beschrieben, vermissen sie nicht einen USB-Stick. Das ist somit das Blödste nach meiner Meinung, was dir mal eben passieren kann. Die Antwort darauf ist dann nein. Ja, genau.
René
00:23:36
Sonst hätte man ja irgendwas gemacht.
Michael
00:23:38
Sonst hätte ich ja gemeldet. Komisch. Ja, deswegen, Spaß beiseite, die 72 würde ich eng auslegen an dieser Stelle und ich würde zusehen, dass ich das zügig melde.
René
00:23:51
Ja, okay, dann erklärt sich das ja. Also es ist nicht ganz so eng gesehen, aber natürlich macht es dann absolut Sinn zu melden und umso länger die Spanne ist, klar, wie du schon sagst, umso schlechter.
Michael
00:24:08
Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist dir eine Begründung für die Verzögerung beizufügen. Da bist du. Also nicht möglichst 72 Stunden, also ja, deswegen möglichst oben. Dauert es länger, musst du dich erklären warum. Wir konnten nicht innerhalb 72 Stunden melden, weil wir es die letzten acht Wochen gar nicht gemerkt haben. Ja, also stehst du, wo ich hin will.
René
00:24:39
Ja, ja, aber ist es denn auch so, also nehmen wir mal an, okay, ich könnte es nicht begründen, bekomme ich alleine schon für die verspätete Meldung eine Strafe?
Michael
00:24:48
Kann ja passieren. Okay, kann ja passieren, du kriegst da das erste Mal schon eine über den Deckel drüber. Okay,
René
00:24:55
ja, ich denke, das ist ja auch mal interessant zu hören, weil ich meine grundsätzlich bei Datenschutzverstößen, dass es da natürlich auch Strafen mit sich bringen kann, ist klar, aber dass es auf dem Weg überhaupt zur Meldung, also zur vollständigen Meldung mit allem, was dazugehört, da auch schon so gewisse Punkte gibt, wofür man auch schon bestraft werden kann, ist ja denke ich auch mal interessant dann zu hören.
Michael
00:25:21
Ja, aber das sind so diese typischen Kisten, auch aus meinem Beratungsansatz oder jetzt, ich gehe mal rüber, da steht drin, mach es in 72 Stunden, wenn du es nicht in 72 Stunden machst, hast du eine Begründung zu besorgen. Wenn ich jetzt nach einer Woche melden würde ohne Begründung an den Landesdatenschutzbericht, dann wird die auf jeden Fall schon mal verschnupft reagieren. Verstehst du, was ich meine? Du machst das nicht. Du bietest an dieser Stelle für solche Aktionen einfach keine Angriffsfläche.
René
00:25:51
Gibt es offene, also kann man Meldungen einsehen? Jetzt mal ich angenommen, kann ich einsehen, wer gemeldet hat? Nein. Okay, weil das wäre ja vielleicht noch so ein Punkt, weil sonst hätte ich nämlich gesagt, okay, wenn es das geben würde, dann könntest du ja andersherum sagen, ja, ich wollte aber erst alles wieder gerade ziehen, damit da nichts passiert und dann habe ich es gemeldet, weil sonst hätten es andere ja schon gesehen. Es gibt keinen Pranger.
Michael
00:26:19
Schade eigentlich. Kein öffentlicher Pranger, wo man solche Sachen sieht.
René
00:26:27
Ja, aber ist ja auch sinnvoll. Okay, aber dann geht es an die Landesdatenschutzbehörde. Was passiert dann? Ich meine, die kommt natürlich auf einen zu, fragt schon mal nach hier, hey, woher kommt es? Also so stelle ich es mir vor. Woher kommt es? Was sind die Maßnahmen dagegen? Was für Auswirkungen hatten wir denn jetzt wirklich? Wie viele Daten sind abgeflossen? Keine Ahnung. Was ist mit diesen Daten passiert?
Michael
00:26:58
Wofür könnten sie eingesetzt werden? Das wollen die in der Regel schon, also nicht in der Regel, das wollen die bei der Meldung schon haben. Also wenn du eine Meldung hast, dann ist abgeschlossen, weil sie sind weg, isolierter Angriff, der USB-Stick ist weg, also es werden nicht mehr wie 50 oder 1000 Newsletterempfänger weg oder wir haben Ransomware-Angriff, der ist noch da oder wir haben aktuell noch nicht die Sicherheitslücke geschlossen etc. pp. Also diese Basic-Informationen gibst du bei der Meldung schon mit rein. Und in der Regel gibst du bei der Meldung auch schon sowas rein wie so eine Sofortmaßnahme. Hey, wir haben jetzt aus Sofortmaßnahmengründen mal den Server runtergefahren und vom Netz getrennt. Wir haben als Sofortmaßnahme schon mal das Master-Passwort an dieser Stelle geändert. Also all diese Dinge werden da schon mit reingetragen und dann läuft das Ding.
René
00:27:59
Wohin läuft es? Wie lange läuft es? Also was läuft?
Michael
00:28:04
Das ist, das läuft oder das guckt sich von der Behörde einer an, auch da guckt sich einer an und er wird sich dann bei Fragen bei dir melden, wird dann noch Rückfragen haben und dann wartet man, ob die Behörde das Verfahren zumacht, ob man überhaupt noch was hört, ob es ein Bußgeldverfahren eingeleitet wird und was passiert. Wann? Wie lange? Öffentliche Einrichtung, sorry, das kann ich dir jetzt nicht sagen. Also die 72 Stunden hat die Behörde nicht ums Maulwurfspitz ausdrücken. Also du hast die 72 zu melden, umgekehrt die 72 hast du nicht. Liegt auch von Behörde zu Behörde. Bei der einen geht es schneller, bei der anderen dauert es länger. Aber mach mal kurz wieder erden, wenn du einen Vorfall hast, bleibst bei diesem USB-Stick. Bleiben wir bei dem USB-Stick, bei 50 personenbezogenen Datenlisten obendrauf. Das ist eine eingeschränkte Kiste. Das Ding ist passiert. Was willst du tun? Es ist, wie es ist. Das heißt, du schreibst das da rein, das ist okay, wir haben es gemacht, wir haben es gemeldet. Es ist dem so, in Zukunft werden wir ab sofort, also um zu verhindern, dass die Maßnahmen erneut passieren und dass das ein weiteres Sicherheitsrisiko für das Unternehmen ist, ab sofort verbieten wir USB-Sticks, ab sofort werden wir USB-Sticks nur noch verschlüsselt. Ansonsten haben wir, ich glaube für das Thema gibt es glaube ich 100 unterschiedliche Dinge, wie man es besser machen kann, außer genau so zu machen. Dann geht sich das in der Regel aus. Dann wird die nochmal nachfragen, nach dem Motto, ihr habt doch jetzt abgestellt und das gemacht, wie macht das denn jetzt wirklich? Also wenn die Beschreibung, die du da reinschreibst, denen nicht reicht, werden die nochmal nachfragen. Also ich habe jetzt in der Praxis noch nichts gehabt, was wir nicht der Landesdatenschutz, einer Landesdatenschutzbehörde so darlegen konnten, dass wir nicht in ein Bußgeldverfahren reingelaufen sind. Also für mich war immer diese Hopperlase, aber ich habe jetzt auch noch nichts graviert. Ich bin zum Glück Meta-Facebook, Google oder der große Automobilhersteller in der Nähe von Wolfsburg ist zum Glück nicht mein Mandant, dass ich mich da jetzt mit irgendwelchen Datenlecks und irgendwelchen Meldungen an Behörden auseinandersetzen muss, wo es wahrscheinlich Bußgeldverfahren gibt. Also das, was bei mir in der Mandantschaft bis jetzt passiert ist, kann ich dir so sagen. Es ist passiert oder es sind Dinge passiert. Wir haben die Dinge sauber an die Behörde gemeldet. Das heißt, wir haben proaktiv die Hand gehoben und haben es erklärt, haben Maßnahmen getroffen, haben geschrieben, was wir tun, um das Ganze einzudämmen. Also Sofortmaßnahmen und haben beschrieben, was wir langfristig tun werden, um zu vermeiden, dass das wieder auftritt. Das ist ein Hakenprall. Was du noch machen musst, was vielleicht hier auch noch wichtig ist, wenn wir genau an solchen Sachen sind, wer wie wo informiert wird, bleibe bei diesen 50 Mitarbeitern, bei diesen 50 Personalisten. Natürlich musst du nicht nur vor der Landesdatenschutzbehörde zu Kreuze kriechen, sondern wenn das so ist, dass du gemeldet hast, wirst du es auch den Mitarbeitern sagen müssen. Das heißt, du schickst eine E-Mail an die 50 Mitarbeiter, nicht den CC und sagst denen, pass auf, es ist ein Hopperlapp passiert, Gehaltsliste April 2024 oder was, ist uns dummerweise auf dem USB-Stick verloren gegangen. Nur dass du Bescheid weißt, es besteht die Möglichkeit, dass die Sachen entsprechend in falsche Hände geraten. Tut uns leid. Auch da wieder Option, wenn du dich beschweren willst bei der Behörde, beschwer dich, wir können es nicht ändern, es ist passiert. Du wirst jetzt von der Beschwerde auch wenig haben, außer dass du vielleicht nochmal drauf klopfst, aber es löst das Thema nicht. Das heißt, Betroffenen sind zu informieren, dann ist gut. Wichtig ist, wenn wir mit Betroffenen Informationen sprechen, wir sprechen von größeren Dingen, gehen Richtung Meter oder Automobilkonzerne, dann informiere ich, ändert neuer Passwort. Das ist ja das, was regelmäßig auch, wo schon mal Mails kommen und wo schon mal Dinge passieren. Ist das irgendein anderes Unternehmen, das ist mir jetzt auch schon, oder in meinem Mandantenkreis auch schon mehrfach passiert, dass irgendwelche Großen kommen und sagen, uns ist da mal was. Es besteht die Möglichkeit, dass Logindaten abgegriffen worden sind, bitte sofort und auf der Stelle umgehen, ändert mal euer Passwort bei uns auf dem Portal. Das sind so Klassiker, weshalb ich die Betroffenen einfach informiere, dass sie eine Chance haben zu reagieren und auch Bescheid informiert, transparent werden.
René
00:32:58
Ja, aber wird da wirklich immer darauf hingewiesen, dass es ein Datenschutzvorfall war, oder wird nicht einfach nur gesagt, kommen wir aus Sicherheitsgründen, ändert doch mal. Also Ebay ist glaube ich ein sehr gutes Beispiel dafür, wie oft die darauf hinweisen, wenn das jedes Mal ein Vorfall sein soll, dann ist es glaube ich schon echt nicht gut.
Michael
00:33:17
Ja, also ich kann dir nur so von meinem Kundenkreis und von meinem Betreuungskreis und meinen Klientel sagen, auch wenn es die Verantwortlichen dann meistens nicht gerne hören wollen, weil es ist halt einfach eine unschöne Sache, ich berate immer in die Richtung Transparenz, Hosen runter, melden.
René
00:33:36
Offene Kommunikation hilft ja nicht anders.
Michael
00:33:39
Dummes Spruch immer, der erste Schmerz ist der geringste, wenn du es rauszögerst und es irgendeiner der Betroffenen mitkriegt und dir hinten rum sich bei der Behörde meldet oder sowas. Es ist für mich, es gibt für mich nichts, ganz im Ernst, es ist nichts, aus meiner Sicht passiert, kann dir nichts Dümmeres passieren, als wenn sich die Behörde bei dir meldet und sagt, ihr habt einen Datenschutzvorfall, habt ihr davon nichts mitgekriegt, habt ihr euch nicht bei uns gemeldet. Da siehst du als Unternehmen, da stehst du so im kurzen Hemd da, weil das einfach alle Transparenz aufzeigt. Du hast nämlich nicht nur, dass du nicht unter Kontrolle deine Daten hast, weil es ist abgeflossen, sondern du hast auch die internen Melderegeln und die Compliance und dein gesamtes Unternehmen nicht so unter Kontrolle, dass du das mitkriegst und dann hast du deine Regulatorien nicht so unter Kontrolle und deine Prozesse nicht so unter Kontrolle, deine Kompetenzen im Haus, dass die entschieden haben, dass es gemeldet wird und das ist so das Dümmste, was passieren kann, persönliche Meinung.
René
00:34:42
Also ich hatte das ja, das was ich vorhin erzählt hatte mit der Videoüberwachung, das wurde ja dann, das war ja intern, da ging es ja jetzt nicht darum, dass Daten abgeflossen wurden, abgeflossen sind, aber es war ja trotzdem eine Meldung, die ja stattgefunden hat und wo sich dann die Datenschutzbehörde dann auch gemeldet hat und gesagt hat, hey, was ist denn da los? Jetzt sag doch mal erstmal, wie setzt ihr die Daten ein und so oder wie verwendet ihr die Videodaten? Da ging es ja wirklich eigentlich nur um die Gebäudesicherung. Es ging ja nicht darum, irgendwie nachzuweisen, arbeiten meine Mitarbeiter oder nicht. So und das konnte auch nach, also dargestellt werden, aber im Nachhinein hat die Behörde entschieden, dass die Videoüberwachung komplett abgebaut werden musste.
Michael
00:35:31
Ja, das ist natürlich, also wir haben jetzt eben gesagt, mit diesen USB-Sticken im Vorfall und wenn du das der Behörde vernünftig erklärst, ist die eine Sache. Aber natürlich, ganz kurz, andere Szenarien. Natürlich will die Behörde dann schon wissen oder es ist sehr gut möglich, dass die Behörde wissen will, welche Daten und warum hast du die denn überhaupt? Jetzt kommen wir rein wieder rüber mit Datenschutz und das, was wir immer predigen. Personenbezogene Daten, wenn ich die verarbeite, ich brauche eine Rechtsgrundlage, ich brauche eine Zweckbindung und ich muss gewisse Löschkonzepte beziehungsweise gewisse Aufbewahrungsrichtlinien haben. Das heißt, ich darf nur die Daten dann verarbeiten. Wenn ich einen Zweck für die Daten habe, muss ich wissen, wann ich mich von den Daten löse. Ich brauche eine Rechtsgrundlage und der Zweck muss gebunden sein. So. Dein Videobeispiel, Klassiker. Ja, natürlich wollen die das wissen. Wenn wir darüber reden, dass Videodaten öffentlich geworden sind, da würde ich auch fragen als Behörde, was habt ihr denn für eine Rechtsgrundlage, die überhaupt zu speichern, dass sie da sind, noch bevor sie weggegangen sind. Aber warum habt ihr die denn überhaupt? Und da kann es halt, das ist halt jetzt der Fall, wo es halt für Unternehmen halt auch empfindlich und dumm werden kann. Weil, wenn jetzt auf einmal Daten weg kommen, die sie hätten ja gar nicht mehr haben dürfen, das sieht halt dann schlecht aus. Oder wenn Videodaten abhanden kommen, die meinetwegen jetzt, ich sag mal, vier Wochen alt sind und die Überwachung von einem Fitnessstudio-Bereich zeigen oder eben auch in den öffentlichen Bereich reingehen etc. pp. Und wenn die Behörde dann die Daten noch sichtet oder sonst irgendwas, dann musst du die schon erklären. Und wenn du dann auf einmal da stehst und sagst, na ja gut, wir haben das gemacht, weil wir Lust zu hatten, löschen sehen wir nicht ein, Rechtsgrundlage brauche ich nicht, weil der Chef hat gesagt, wir müssen es tun und ab dafür, dann ist die Wahrscheinlichkeit, dass der Chef dann doch mal den Geldbeutel aufmachen muss, natürlich viel höher, als wenn du jetzt, Beispiel wie wir es eben hatten, Personaldaten von 50 Mitarbeitern auf dem USB-Stick, die du natürlich verarbeiten musst, weil das ja deine Angestellten sind und du musst Lohnläufe machen. Also hast du eine Rechtsgrundlage und hast einen Zweck für diese ganzen Dinge, dann bist du safe. Aber hast du für die Daten, die weggehen, das entsprechend nicht, hast du halt ein ganz anderes Thema.
René
00:37:53
Was viel amüsanter an der Sache ist, die Videoüberwachung musste ja abgebaut werden, sondern war sie ja auch eine ganze Zeit lang ab, bevor wieder eine neue kam, wo alles genau beschrieben war und was weiß ich. Aber in der Zwischenzeit beim Nachbarn gegenüber, wurde glaube ich ein Auto aufgebrochen. Da kommt dann die Polizei und fragt, hast du zufällig Videodaten hier vorne von der Straße? Das fände ich ja dann ganz amüsant, weil öffentlicher Bereich, aber da wird dann speziell nachgefragt. Wenn du es hast, ist es gut, wenn man es gerade gebrauchen kann, aber hast es und keiner fragt danach, dann ist es schlimm. Das ist immer zweischneidiges Schwert. Aber ja, finde ich ja richtig, dass der öffentliche Bereich da eben nicht mehr reingehört. Sonst würde bald, was weiß ich, jeder hier irgendwo mitten in der Stadt einfach eine Kamera aufhängen. Geht natürlich auch nicht.
Michael
00:38:43
Und was da auch nochmal, wenn wir über Behörden und über Dinge reden, was halt auch schon mal passiert oder was halt auch ein Standard ist, weil wir eben gesprochen haben über Aufbewahrungsrichtlinien, also wie lange Aufbau war und Zweckbindung, Rechtsgrundlage, also was ist der Zweck, was die Rechtsgrundlage, wie lange verarbeitet ihr die ganzen Kisten? Dann reden wir klassisch über ein Verarbeitungsverzeichnis, also über das berühmte VVT. Und worüber wir auch reden, wenn wir sagen, wir haben Maßnahmen getroffen oder wir haben jetzt andere Sachen, reden wir klassisch über die technisch organisatorischen Maßnahmen, über die TOMS. Und dass die Behörde sagt, Videokamera, Daten weg, schickt uns mal das entsprechende Verarbeitungsverzeichnis, also die entsprechende Verarbeitung, die dokumentierte Verarbeitungstätigkeit genau für diesen Fall, für den ihr die Daten hier oben habt. Und am besten reicht mir eure TOMS auch nochmal schnell hin und her, dass wir gucken können. Und du da eben auf der grünen Liste stehst, weil du weder das eine richtig hast, noch das andere richtig hast. Das ist halt einfach blöd. Deswegen auch hier wieder, kommen wir rüber, machen wir einen großen Schwenk in die Prävention rüber rein, hab halt einfach deine Hausaufgaben gemacht, hab solche Dinge in deinem Unternehmen vorliegen und passe auf, dass du nur die Daten überhaupt verarbeitest, so diese absolute Klassiker, hab halt nur die Daten, die du wirklich haben darfst und hab so wenig Daten wie möglich im Haus. Was du nicht im Haus hast, kannst du nicht verlieren. Also was du nicht in der Hand hast, kannst du nicht halten. Es ist halt einfach so, brauche ich die Daten nicht, verarbeite ich die Daten nicht. Habe ich die Daten nicht verarbeitet, können sie nicht geklaut werden. Ich muss ein bisschen Erklärungsnot.
René
00:40:15
Aber es gibt immer Fälle, wo man dann auch nicht, wo man eigentlich, ich sag mal, in erster Linie gar nicht so viel, also nichts tun kann, dass man die Daten verarbeitet, weil du brauchst sie, um deinen Tätigkeiten nachzukommen.
Michael
00:40:32
Ja, aber dann hast du eine Rechtsgrundlage, dann ist eindeutig.
René
00:40:35
Ja, ja, aber dann können die Daten auch gestohlen werden.
Michael
00:40:37
Ja, aber um ein anderes Beispiel auch, ich könnte mir vorstellen, dass es Unternehmen gibt, die zum Beispiel sich von Klassiker, Messedaten, Daten von Interessenten, Angebotserstellungen, die keine Aufträge gekriegt haben, sonstige Daten, die ich aus offiziellen Verzeichnissen mir, wo ich mein Telefonbuch geschrieben habe und verarbeite das jetzt selber, weil der Vertrieb der Meinung war, er braucht die Dinge. Kunden, die seit über zehn Jahren nicht mehr im Unternehmen sind, also in letzter Stellung mehr als zehn Jahre, also Leichen, wechseln wir es mal aus, wie es ist, Leichen, die du eigentlich auch nie, wo es sehr schwer wird, Rechtsgrundlagen zu finden und Zwecke zu finden, warum du die Daten hast, wo es halt einfach entweder sich das Internet nicht lösen kann oder du einen Vertrieb hast, der ein ziemlicher Datenmessie ist und der Meinung ist, nur weil ich 50 Visitenkarten mal vor vier Jahren auf einer Messe gekriegt habe und habe mit denen nie mehr Kontakt gehabt, die 50 Daten häckle ich mir jetzt mal in irgendein Kontaktformular rein oder die häckle ich mir jetzt in irgendein Monday oder in irgendein Kundensystem rein als potenzielle Leads und wenn das weggeht, das sind die Dinge, wo ich meine, da kommst du in Erklärungsnot, weil das musst du melden und weil du ja, wir haben eben gesagt, auch den Betroffenen melden musst, meldest du jetzt, nachdem du vor vier Jahren eine Visitenkarte gekriegt hast, die schön in dein CRM-System eingespeichert hast, nie mehr Kontakt mit dem gehabt, jetzt hast du einen Vorfall, jetzt musst du ihm anschreiben und sagen, tut mir leid, ich habe deine Adressdaten verloren, wie blöd ist das denn? Dann hast du auf jeden Fall keinen Kontakt mehr, auch in Zukunft nicht mehr. Das meine ich damit, ja, vielleicht lege ich es gerade ein bisschen eng aus, aber das ist halt einfach so mein Mindset. Mach halt einfach nur das, was du brauchst und das, was du brauchst, hast du wahrscheinlich, sehr wahrscheinlich eine Rechtsgrundlage für und auch das, natürlich, wenn sowas kommt, guckt man sich die TOMS und das Verarbeitungsverzeichnis nochmal an, bevor man das per Fax an die Behörde schickt, also ja, das war da immer nochmal, das ist ganz klar, aber die Basics unter Kontrolle, das ist halt einfach.
René
00:42:49
Also wir kennen ja auch ein paar IT-Unternehmen hier in Deutschland und da, also auch befreundet, ich will jetzt nicht schlecht darüber reden, darum geht es mir überhaupt nicht, das tue ich auch nicht, aber ich weiß, da gab es einen Vorfall, da ist es halt so und da konnten die auch nichts für, die haben ihre Systeme eigentlich alle geschützt gehabt, Problem war, die haben Kundendaten gehabt, also das heißt, die haben den Kunden mit all seinen Kennwörtern logischerweise in einer Dokumentation gehabt und da wurde dieses System, da ist eine Sicherheitslücke aufgegangen und dieses System wurde angegriffen. So und da mussten die dann, also ob da irgendwann Daten abgeflossen sind, konnte nicht mal festgestellt werden, wahrscheinlich nicht, also es wurde kein Zugriff festgestellt, aber die Sicherheitslücke war halt da und aufgrund dessen wurden einfach alle Kunden sofort informiert, ändert bitte eure Kennwörter, das System wurde geändert, alles gut. Also die Maßnahmen waren ja genau die richtigen, aber sowas kann schnell gehen. Also bevor wir jetzt nur von so einem Fall hier USB-Stick sprechen, da gibt es natürlich auch Dinge, da kann man einfach, hat man keinen richtigen Einfluss drauf, klar, man muss seine Maßnahmen treffen, aber es gibt halt auch gerade Schwachstellen, die sich jetzt gerade fix neu auftun, das kann immer mal dazu führen, dass was passiert.
Michael
00:44:11
Das kann wirklich, ja, also wir haben jetzt echt plakative Beispiele gehabt, aber natürlich kannst du in solche Kisten auch reinkommen, wobei aber auch da, ich weiß nicht, wenn wir über die Präventivkisten gehen, hast du ein gescheites Patchmanagement im Unternehmen, also auch das, wenn du jetzt erzählst, wir sind Daten von einem Windows 95, da gab es tatsächlich noch
René
00:44:32
keinen Patch für, nein, kein Windows.
Michael
00:44:33
Von einem Windows 95 Rechner abhandengekommen, dann könnte die Behörde auch verschnupft reagieren oder von einem Windows 2012 Server oder sowas. Also hab dein Kram unter Kontrolle, will ich damit sagen. Versuche präventiv diese ganzen Themen, die bei den letzten 34 folgen, unter Kontrolle, versuch da so unter Kontrolle zu haben, dass du ein gutes Bauchgefühl hast und dass du glauben kannst, dass du sehr sicher bist, dass du sicher bist an der Stelle. Weil immer wieder Gebetsmühle, du meldest halt ein Hoppala an eine Behörde und eine Behörde wird nachfragen und je transparenter und sicherer du da auftreten kannst und je selbstbewusster du sagen kannst, das ist alles cool, wir haben alle Updates gemacht, wir haben alle Patches gemacht, je eher werden die sagen, ja okay, menschliches Sagen kann passieren, aber wie gesagt, wenn du meldest Windows 95 Rechner, Windows 2012 Server, wir haben ja noch mit Windows 7 auf dem ganzen Kisten drauf, das wird dann halt irgendwann in eine Stelle rein, wo die Behörde sagt, naja gut, jetzt steckst du mal das Geld, was du sonst in eine vernünftige Serverlandschaft investiert hättest, mal in die Gemeinde, in die Allgemeinheit, in die Sache des Bußgeldes.
René
00:45:46
Michael, ich habe ehrlich gesagt keine Fragen. Ich würde dazu noch mal einmal von meiner Seite aus das Fazit sprechen wollen. Und zwar, also was ich auf jeden Fall mitgenommen habe, ist klar, wenn man jetzt feststellen sollte, dass da irgendwie eventuell ein Problem vorliegt, dann natürlich einmal intern prüfen lassen und dann so schnell oder nicht nur intern mit seinem Datenschutzbeauftragten besprechen und dann die Meldung so schnell wie möglich natürlich dann an die Behörde geben und Maßnahmen natürlich da schon benennen und auch ergreifen, damit da eben nichts weiteres passiert. Transparenz, ganz großer Punkt in Richtung der Behörde, natürlich aber auch an alle betroffenen Personen. Zum einen, um natürlich das Vertrauen aufrechtzuerhalten, wenn man nichts dazu sagt, das ist immer so ein bisschen Totschweigen. Totschweigen hat immer einen ganz faden Beigeschmack und wird zu Reputationsverlusten führen. Aber am Ende des Tages, also wenn man wirklich transparent ist, dann wird der Gegenüber in der Regel auch sagen, er ist jetzt kacke, aber kommen wir schon jetzt irgendwie mit klar. Wir sind ja jetzt informiert. Gegebenenfalls, wie du schon gesagt hast, bei den großen Portalen irgendwie Kennwörter ändern oder was weiß ich. Dann weiß man ja schon mal, was man selber zu tun hat. Und ja, so würde ich es zusammenfassen, um zumindest allem gerecht zu werden und auch einer Strafe, wenn sie nicht, je nachdem wie groß mein Volumen natürlich sowieso ist, aber um einer Strafe aufgrund meiner Intransparenz oder meiner nicht zügigen Handlung, um wirklich dem aus dem Weg zu gehen.
Michael
00:47:37
Kooperation zahlt sich aus an dieser Stelle wie überall. Ich wollte gerade sagen, das ist halt einfach so. Was mir noch, ich habe noch zwei Punkte, was mir noch ganz wichtig ist in der Zusammenfassung ist, der allererste Punkt, Meldekanal intern aufbauen, Mitarbeiter sensibilisieren, dass gemeldet wird, dass an einem internen Meldekanal, dass an einer Person die Dinge reinkommen. Wenn da zehnmal Schrott mit reinkommt, nicht böses sein, beim elften Mal ist es vielleicht echt was, was wichtig ist. Also die Mitarbeiter animieren, melden uns Probleme, kann nur hilfreich für die IT sein. Wenn da fünfmal gemeldet wird, meine Maus ist kaputt oder der Drucker funktioniert nicht oder sonst irgendwas, kann man vielleicht da auch Kenntnisse rausziehen und vielleicht mal einen neuen Drucker anschaffen oder das Mausmodell etc. Also wie gesagt, Mitarbeiter animieren zu melden an einer Stelle und dann eben vernünftig ausziehen. Und was mir noch wichtig ist, weil du jetzt gerade eben noch gesagt hast mit dem Portal und mit Passwörtern und Kram, nochmal für die Unternehmen, die verantwortlichen Personen im Sinne der SGVO wichtig, wenn ihr Auftragsverarbeiter im Einsatz habt und die haben ein Hopperla, dann seid ihr dafür verantwortlich. Das heißt, wenn euch der Auftragsverarbeiter meldet, dumm gelaufen, euer Problem. Ab an die Behörde, Meldung machen, Betroffene informieren und dann geht es darum, wie sah denn der AV-Vertrag aus. Vernünftig, technisch-organisatorische Maßnahmen, habt ihr die bewertet? Habt ihr den Auftragsverarbeiter als safe anerkannt? Wie stimmen die Trumps vom Auftragsverarbeiter? Also die ganze Marie, nur weil ich jetzt Sachen in den Auftragsverarbeiter reingebe, bin ich da nicht raus, sondern Auftragsverarbeitung im Auftrag wird verarbeitet. Ich bin verantwortlich dafür, der handelt in meinem Auftrag. Bedeutet letzter Konsequenz oder bedeutet logischerweise, hat der ein Hopperla, habe ich das Hopperla auch, weil es meine Verantwortung ist. Das vielleicht noch mit auf den Weg als kurzen Teaser, dass man da auch weiß, wie man sich zu verhalten hat.
René
00:49:34
Ja, auf jeden Fall wichtig. Ganz kurz, ich habe das mit den Mitarbeitern, habe ich dir vorhin auch zugehört. Sorry, ich hatte es noch nicht.
Michael
00:49:43
Aber gut, dass du es nochmal angegangen hast. Sehr cool. Danke an alle, die durchgehalten haben. Ich hoffe, ich habe nicht so viel... War doch gar nicht so fad, wie du gesagt hast.
René
00:49:55
Oder wie du befürchtet hast.
Michael
00:49:57
Ja, vom Zahnarzt kommt es vor, gar nicht so schlimm, er hat gar nicht gebohrt.
René
00:50:04
Tja, heute musste man sich dann auch nicht so viel von mir anhören. Also vielleicht ist das auch noch ein Punkt.
Michael
00:50:10
Eher negativ. Nächste Woche machen wir wieder ein René-Thema. Da kann ich wieder zuhören und kann lernen. Ja, wir schauen mal. Darf ich eins vorschlagen? Ich überrasche dich jetzt. Ich knall dich jetzt eiskalt durch. Wir hatten das, glaube ich, im Jahresrückblick. Oder wir hatten es, glaube ich, letztes oder vorletztes Mal. Cool wäre, weil ich glaube, wir haben einige Unternehmen aus dem KMU-Bereich da. Also wirklich Klein, sage ich jetzt einfach mal zwischen 25 Mitarbeitern. Ich würde dich mal auf einen lockeren Plausch einladen für Sicherheitskonzept, Firewall, Backup-Konzept für genau diese Unternehmenskurse. Einfach mal, dass du uns mal kurz durchführst, weil wir hatten, was mich getriggert hat, was ich spannend fand, ist, wir hatten es in der Folge. Nass, inkrementell, vollständig, Verfügbarkeit, Verschlüsselung, Backup-System weiterlegen. Eine Fritzbox ist keine Firewall, was es da für Möglichkeiten gibt. Ich glaube, das wäre ein cooles Thema, wo du uns mal zwischendurch einen coolen Ausflug in die Praxis geben kannst. Haben wir nicht abgesprochen? Erwische ich dich jetzt eiskalt mit. Mach dir mal Gedanken. Vielleicht ist das ein Thema.
René
00:51:35
Ja, können wir auf jeden Fall gerne darüber sprechen. Ich hoffe, dass das Interesse da auch da ist, aber können wir auf jeden Fall gerne machen. Gut, sehr schön. Ja, dann würde ich sagen, für heute haben wir es eigentlich. Wir hören uns dann ja wieder am 28. Februar, also in 14 Tagen. Und bis dahin immer gerne überall nachhören. Ich kann nur immer wieder darum bitten, teilt unsere Inhalte. Drückt nicht die Glocke. Nein, wir haben keine Glocke. Aber am Ende des Tages ist es ja wirklich eine schöne Sache, wenn die Community noch wächst. Wir haben natürlich jetzt schon so einige, die auch immer wieder dabei sind. Aber es ist halt schön, wenn es noch größer wird, wo wir einfach noch ein paar mehr Zuhörer erreichen, Zuhörerinnen natürlich auch. Und ja, dann schauen wir mal, wo wir dann in Folge 72 stehen.
Michael
00:52:39
Was ich gerade cool finde, wo ich mir gerade überlege, wenn wir uns Ende Februars nächstes Mal hören und auch sehen, hoffentlich Ende Februar schon wieder T-Shirt-Wetter. Da habe ich so keinen Bock mehr auf das dreifache Beetwinterwetter aktuell. Wenn wir wirklich da wieder sind, dass wir schon mal wieder die Pullis ausziehen können, dann sind wir schon mal wieder im T-Shirt unterwegs. Das wäre immer cool. Nicht mehr das Heizlüfterchen noch irgendwo parallel laufen um die Heizung auf Vollgas, sondern dass wir da schon mal ein bisschen wilder sind. Das wäre cool. Ja, genau.
René
00:53:10
Ja, dann würde ich sagen, von mir aus bis dahin, alles Gute und dann bis zum nächsten Mal.
Michael
00:53:15
Von meiner Seite auch einen schönen Tag, schöne Zeit. Wir hören uns. Tschüss. Tschüss.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts