WILLKOMMEN BEI CASC
Persönliche Betreuung und zufriedene Kunden gehören zu unseren Stärken!

Eine – derzeit noch nicht rechtskräftige – jüngere Entscheidung der portugiesischen Aufsichtsbehörde verdeutlicht einmal mehr die Bedeutung des Vorliegens eines Rechte- und Rollenkonzepts. Die Aufsichtsbehörde hat Ende 2018 dem Krankenhaus Barreiro Montijo in Barreiro Nahe Lissabon eine Verwaltungsstrafe von gesamt EUR 400.000 auferlegt. Konkret hatte ein Kreis von 9 nichtmedizinischen Mitarbeitern des Krankenhauses über einen „Technikerzugang“ im System Zugriff auf Patientendaten, welche nur von den behandelnden Ärzten hätten eingesehen werden dürfen. Zudem gab es gesamt 958 aktive Ärztezugänge im System, aber nur 296 aktive Ärzte im Krankenhaus. Die portugiesische Aufsichtsbehörde sah durch diese Missstände die Grundsätze Integrität und Vertraulichkeit (Schutz vor unbefugter und unrechtmäßiger Verarbeitung; Schutz vor Verlust, Vernichtung, Veränderung von Daten) und Datenminimierung (Verarbeitung lediglich der zur Zweckerzielung notwendigen Daten, Beschränkung des Umfangs der Verarbeitung) verletzt, zudem sah sie die Anforderungen des Art. 32 DSGVO (Datensicherheit) aufseiten des Verantwortlichen als nicht umgesetzt und entschied sich für Sanktionen in Form von Geldbußen für die Verstöße, welche sich auf gesamt EUR 400.000 summieren.

Hätte sich das Krankenhaus in ausreichendem Maß Gedanken über notwendige Berechtigungsumfänge der Mitarbeiter/Dienstnehmer - einem sogenannten Berechtigungs- und Rollenkonzept - gemacht, und hätte es Berechtigungen entsprechend den Aufgaben der Mitarbeiter zugeteilt und aktuell gehalten, wäre unbefugten Personen wohl kein Zugriff auf Patientendaten möglich gewesen und es wäre auch keine so große Diskrepanz im Verhältnis aktiver Nutzerkonten zur Anzahl an Mitarbeitern entstanden. Die hohe Geldstrafe hätte durchaus vermieden werden können.

Was gilt es beim Berechtigungsmanagement zu beachten? Berechtigungen für Datenzugriffe in sämtlichen Anwendungen und Systemen sollten immer nur auf „need-to-know“ Basis erteilt werden, den einzelnen Mitarbeitern oder Mitarbeitern mit gleicher Aufgabe (sog. Rollen) sollten nur der Zugriff auf diejenigen personenbezogenen Daten ermöglicht werden, die diese für die Erfüllung ihrer Aufgaben auch unbedingt benötigen. Die Verteilung der Rollen und Berechtigungen sollte aus Nachweisgründen immer schriftlich dokumentiert werden. Es sollte auch definiert werden, wie weit die einzelnen Berechtigungen im Detail reichen (Daten lesen/Daten erfassen/Daten ändern und löschen). Sinnvoll ist auch zu dokumentieren, wer in welchem Umfang Rechte erteilen darf/soll und wie die Prozesse hierfür aussehen (Vieraugenprinzip, etc.) Zuletzt sollte die Auseinandersetzung mit Berechtigungen eine fortlaufende Aufgabe für den Verantwortlichen sein, Augenmerk sollte immer auf Aktualität gelegt werden - so sind etwa nicht mehr benötigte Profile zu löschen bzw. zu deaktivieren.

Ein Rechte- und Rollenkonzept sollte im Sinne der Herstellung eines risikoangemessenen Schutzniveaus jedes von der DSGVO betroffene Unternehmen/jede Organisation/jeder Verein erstellen und umsetzen, unabhängig von der Größe. Besondere Bedeutung kommt dem Ganzen natürlich zu, wenn man Verarbeitungstätigkeiten durchführen muss, die ein höheres Risiko für Betroffene darstellen (z.B. umfassende Verarbeitung von Gesundheitsdaten). Gewährt man allen Mitarbeitern ohne Unterscheidung Zugriff auf alle Daten, gelangt man schnell zu Verstößen der DSGVO, was empfindlich teuer werden kann.
 

GF Markus Dittrich holt beim TÜV Symposium zum Thema Datensicherheit und Datenschutz die neuesten Informationen ein.
Mit weiteren Informationen kommen wir demnächst auf Sie zu.

GF Markus Dittrich ist heute auf dem Cloud 2019 Kongress in Wien und versorgt CASC mit aktuellen Infos zum Thema Cloud Infrastruktur und Security. Mehr dazu berichten wir in der nächsten Ausgabe des eniac. #cloudaustria

Wie erwartet ist die österreichische Datenschutzbehörde derzeit mit Strafen sehr zurückhaltend. Der Standard gibt einen schönen Überblick über die Aktivitäten der DSB seit Mai:

https://derstandard.at/2000092017999/Erst-vier-Strafen-wegen-DSGVO-seit-Mai

Die Herbstausgabe unseres Agentur-Magazins Eniacs ist fertig. Diese bringt unter Anderem Updates über den Datenschutz, den Kreativbereich sowie die neuesten Vortrags- und Eventstipps. Ganz besonders freuen wir uns darüber, uns näher  vorzustellen zu dürfen. Das CASC-Team hat sich 2018 stark verändert. Neue Herausforderungen benötigen innovative Herangehensweisen und intensive Zusammenarbeit. Darüber hinaus gibt es diesmal auch eine Newsletter-Aktion.

>> Download <<

Potenziell sind alle mehr als 1 Milliarde Nutzer des Messenger-Dienstes Whatsapp von einer großen Sicherheitslücke betroffen, wie heute bekannt wurde. Angreifern ist es durch die Sicherheitslücke möglich, über einen vom Nutzer angenommenen Videoanruf Schadsoftware auf das Smartphone des Nutzers zu spielen, dieses zu kapern und so möglicherweise gespeicherte Daten abzugreifen. Updates, welche die Lücke schließen, werden von Whatsapp seit 28.09.2018 bereitgestellt. Die Versionsnummern lautet hier 2.18.302 für das Betriebssystem Android und 2.18.93 für iOS. Leider wird derzeit nicht allen Android-Nutzern die aktuelle Version als Update über den Play Store angeboten.

Es empfiehlt sich unter Einstellungen/Hilfe/App-Info des Programmes nachzuprüfen, welche Version des Dienstes man aktuell installiert hat und – sofern das Update nicht automatisch erfolgt – manuell zu aktualisieren, sobald das Update im Google Play Store verfügbar ist. In der Zwischenzeit gilt: keinesfalls Videoanrufe von unbekannten Absendern annehmen.

Quellen:

https://derstandard.at/2000089062824/Massive-Sicherheitsluecke-bei-Whatsapp-gefaehrdet-Milliarden-Nutzer

https://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-gefaehrdet-Milliarden-WhatsApp-Nutzer-4186365.html

Bei der Beratung unserer Kunden ist oft ein zentrales Thema, wie lange Daten aufbewahrt werden dürfen und ob eine „Schonfrist“ zulässig ist, wenn Daten eigentlich bereits gelöscht werden müssten, weil gesetzliche Aufbewahrungsfristen verstrichen sind. Eine kürzlich veröffentlichte Entscheidung der Datenschutzbehörde (DSB) legt auf den ersten Blick den Schluss nahe: „Keine Schonfrist“. Denn weder ließ die DSB das Interesse eines Mobilfunkunternehmens gelten, eine längere Speicherfrist aufgrund interner Prozesse und der damit einhergehenden Erleichterung des Geschäftsablaufs vorzusehen. Noch erachtete sie eine laufende Verjährungsfrist als ausreichenden Grund zur Datenspeicherung, sofern sich kein „konkretes Verfahren“ abzeichne.
 
Lässt sich diese Entscheidung nun so einfach auf die Praxis anderer Unternehmen umlegen? Unserer vorsichtigen Einschätzung nach Nein! Denn bei näherer Betrachtung unterliegen Mobilfunkunternehmen gewissen Sonderbestimmungen, die im Telekommunikationsgesetz geregelt und bezüglich Datenverarbeitungen tendenziell strenger sind, als dies für andere Unternehmen der Fall ist. Das Telekommunikationsgesetz schließt nämlich ein „berechtigtes Interesse“ des Mobilfunkunternehmens als Grund für die Speicherung von Stammdaten aus (siehe § 97 Abs. 2 TKG).
 
Da es für „gewöhnliche“ Unternehmen eine solche gesetzliche Spezialregelung nicht gibt, gehen wir davon aus, dass diese ein berechtigtes Interesse daran haben könnten, Daten länger zu speichern, als gesetzliche oder vertragliche Verpflichtungen dies vorschreiben. Wir denken hier etwa an die interne Festlegung einer (kurzen) „Schonfrist“, die aus Praktikabilitätsgründen in gewissen Fällen unvermeidbar scheint – oder entsorgen Sie etwa Ihre 7 Jahre alten Buchhaltungsdaten am 1.1. um 00:01 Uhr, anstatt Sekt zu trinken und Walzer zu tanzen? Ein weiteres Beispiel, das die Annahme eines berechtigten Interesses rechtfertigen könnte, wäre die Speicherung von Daten während laufender Verjährungsfrist, um sich für den Fall der Einleitung eines Verfahrens vor Gericht oder Behörde verteidigen zu können. Das berechtigte Interesse kann jedoch niemals ein Freibrief für eine unverhältnismäßig lange Speicherdauer sein und muss im Einzelfall sorgfältig argumentiert werden.
 
Wir warten gespannt auf weitere Entscheidungen der Datenschutzbehörde zum Thema und möchten in diesem Zusammenhang darauf hinweisen, dass es sich bei obigem Text lediglich um unsere unverbindliche Meinung und nicht um eine Rechtsberatung handelt.

Den Originaltext der Entscheidung finden Sie hier.

Technische Geräte leiden sehr unter der starken Hitze, darum ist es zu empfehlen, diese zwischen 0 bis 35 Grad zu lagern. Die Folgen sind verheerend, denn die Lebenszeit des Akkus, Displays und Gehäuses sinkt enorm. Es empfiehlt sich für das Auto eine Kühltasche mit zu nehmen, diese muss jedoch trocken sein und darf daher keine Kühl Akkus beinhalten, wegen des Kondenswassers.  
https://help.orf.at/stories/2927443/

Das beste Büro der Welt ist dort wo unsere Arbeit ist. :) In den letzten Tagen in Innsbruck, Amstetten oder Lech. Und in den kommenden Tagen in Graz, Salzburg, Lech, St. Pölten, Klagenfurt oder am Zicksee.

Über die Vorgehensweise von Facebook wurde nach dem Auftreten der Cambridge Analytica Vorwürfe viel diskutiert. Wie von uns schon oft vermutet, passiert die Weitergabe von Userdaten aber in viel größerem Stil. Die neuen Vorwürfe sind daher noch brisanter und interessanter.

Weitere Informationen sind hier zu finden: http://fm4.orf.at/stories/2917123/

Sowohl aus persönlicher als auch aus datenschutzrechtlicher Sicht, können wir ein aktives Verfolgen der Situation bei Facebook nur empfehlen.

Auf Seite 2 der heutigen Ausgabe des Standards dreht sich alles um die Datenschutz-Grundverordnung, die mit dem heutigen Tag in Kraft tritt. Im Artikel über die Umsetzung in Kleinbetrieben, ist unser Datenschutzbeauftragter Sebastian Strimitzer als Experte über seinen bisherigen Erfahrungen interviewt worden.

123456, password, 12345678, qwertz, 12345 - das sind immer noch einige der am häufigsten genutzt Passwörter!

Konventionelle Passwörter sind für Hacker sehr einfach zu knacken. Vor allem Ein-Wort-Passwörter wie "Erdbeere" sind eine große Gefahr, auch weil die meisten im Wörterbuch zu finden sind. Um diese Variationen dann sicherer zu machen werden Sonderzeichen, Zahlen und Großbuchstaben eingefügt. Dadurch wird die Kombination zwar sicherer, aber auch viel komplizierter und daher viel schwerer zu merken. Daraus resultiert die immer noch weit verbreitete Praxis das "super sichere" Passwort dann überall zu verwenden.

Abhilfe verschafft hier eine Passphrase. Sie ist länger, komplizierter dennoch einfach zu merken und hilft Logins sicherer zu machen.
 

Eine Guideline zur Erstellung sicherer Passphrasen findet man hier.
 

Noch ein paar Tipps:

• Kurze Passwörter sind schlecht. Lange Passphrasen sind gut
• Alte Passwörter niemals wieder verwenden
• Zwei-Faktoren-Authentifizierung erhöht Sicherheit zusätzlich
• Jedes Konto sollte eine eigene sichere Passphrase haben
• Auch Passphrasen müssen hin und wieder gewechselt werden
• Ein verlässlicher Passwort-Manager bietet sich unter Umständen an

In den letzten Wochen war Geschäftsführer Markus Dittrich mit verschiedenen Mitarbeitern in Summe über 10.000km in Österreich und Deutschland unterwegs.

Hier einige Eindrücke:

Schön war's!

Mit Google My Business entscheiden Sie, was Nutzer sehen, wenn sie eine Suchanfrage nach Ihrem Unternehmen ausführen.

Die Vorteile im Überblick

• Der Eintrag ist kostenlos
• Die wichtigsten Informationen zu Ihrem Unternehmen werden angezeigt - dies erleichtert Kunden die Kontaktaufnahme
• Sie können die informationen stets aktuell halten und ausgewählte Fotos, Texte oder Videos hinzufügen
• Das eigene Suchergebnis kann verbessert werden und das Unternehmen wird direkt in Google Maps angezeigt

Erfahren Sie mehr zu dem Thema:

https://www.google.de/business/

https://www.otago.at/google-my-business-optimieren/

https://pulsdesign.at/google-my-business-was-bringt-es-wirklich/

Sollten Sie noch Fragen haben oder Hilfe bei Ihrem Eintrag benötigen - wir helfen Ihnen gerne weiter!

Sebastian Strimitzer und Markus Dittrich waren letzte Woche in Linz und Ried und sind derzeit in Dornbirn. Das Interesse ist groß und die Stimmung wie immer gut.
An folgenden Tagen tragen wir in den nächsten Wochen vor:

Unter den folgenden Links können Sie sich für die Vorträge anmelden:

SPAK = Sportunion Akademie, www.sportunion-akademie.at
NOE = NOE Regional, www.noeregional.at
MHA = Medical Health Academy, www.medical-health-academy.at
ASVOE = ASVÖ Landesverband Wien, www.asvoewien.at

... brauchen neue Lösungen!

ORF-Beitrag zum Thema künstliche Intelligenz: http://orf.at/stories/2428476/2427406/

Die "Schwachstelle" Mensch im Informationszeitalter wird immer wichtiger - langfristig wird das Thema nur mit Schulungen für die eigenen Mitarbeiter und der damit einhergehenden Sensibilisierung zu bewältigen sein!

... jetzt ist die DSGVO auch groß auf ORF.at: http://orf.at/stories/2417552/

... am 9. Februar war wir in Graz im Steiermarkhof vortragen - schön war's! Danke für das rege Interesse!

Morgen, 14.02.18, sind wir in Wien zu hören... Bis Ende März tragen wir an folgenden Orten vor:

Die Anmeldung dafür ist über die Sportunion Akademie möglich: http://www.sportunion-akademie.at/de

Auch im April und Mai sind wir wöchentlich mehrfach in Vorträgen zu hören. Der genaue Fahrplan folgt noch...

Der Verein von Max Schrems, NOYB, hat die Startfinanzierung geschafft. Damit ist sicher gestellt, dass es im zweiten Halbjahr 2018 wohl schon rund gehen wird. :-)

Mehr Infos: https://derstandard.at/2000073437929/Finanzierung-fuer-Datenschutz-NGO-noyb-gesichert

Das Eniac 02/2017 ist jetzt online. Es Umfasst die Themen Datenschutz, Security im Internet und Cloud-Backup. Desweiteren wird das Projekt für das deutsche Umweltbundesamt und unsere Softwareentwicklung "Mein Mitglied" vorgestellt. Abgerundet wird unser neuestes Magazin mit einem Gastkommentar von Michaela Putz zu dem Thema "Content matters - Warum Texte für Ihr Unternehmen wichtig sind" und der Vorstellung eines weiteren Mitglieds unseres Teams Christopher Reither.

>> Download <<

Die neue Datenschutzgrundverordnung wirbelt derzeit einiges durcheinander. Max Schrems und Christof Tschohl (der uns persönlich bekannt ist) haben den Verein "noyb" gegründet. Dieser unterstützt Personen bei der Durchsetzung ihrer Rechte im Bereich Datenschutz.
Mehr Infos: http://orf.at/stories/2416600/2416601/

Nach mehrlähriger Recherche und Entwicklung ging vor kurzem die Website www.dellmour.org online. Die Seite beschäftigt sich auf wissenschaftlicher Ebene mit dem Thema Homöopathie und liefert eine sehr sachliche und objektive Perspektive.

Die mobile Website von www.brandschutzbeauftragte.at ist jetzt online und voll responsive! Inklusive Slider und einklappbarem Menü damit die Seite schön übersichtlich bleibt!
Eine mobile Ansicht ist für jede Website sehr wichtig damit die Inhalte auch über das Smartphone in idealer Form abrufbar sind!

Das Sportprogramm der Union West Wien hat ein neues Design bekommen. Dadurch ist es jetzt moderner und übersichtlicher.
Es hat auch ein neues Feature bekommen: Einen WhatsApp-Sharebutton für die mobile Ansicht

Das Unternehmen Uber kann froh das, dass der Datenklau nicht innerhalb der EU und im Juni 2018 passiert ist. Das hätte das Unternehmen eine Strafzahlung von rund 300Mio Euro laut der neuen Datenschutzgrundverordnung gekostet.

Weitere Informationen finden Sie hier: http://orf.at/stories/2415876/2415877/

Schön war's! Am Montag durften Sebastian Strimitzer und Markus Dittrich vor über 20 Unternehmer-Freunden des CWFB einige Infos zum Thema Datenschutz darlegen! Danke!

Bei einer Treiberinstallation auf einem Kunden-Notebook von Lenovo war ich unschlüssig, welcher Treiber noch fehlt, der im Geräte-Manager gelb markiert als "Unbekannt" aufschien. Die Lösung brachte mir die Google-Suche der Hardware-ID, welche im Geräte-Manager unter dem Reiter "Details" zu finden war. Ein fehlender Touchpad-Treiber war noch nicht installiert.

Es ist so weit! Mit vielen praktischen Features ausgestattet und in elegantem Design ging die neue Website des BG9 Wasagasse gestern online.

Hier geht's zur Website: bg9.at