Tag Archives: Datenschutz

inoffizielle Übersetzung – Deutsch – Entwurf DatenschutzgrundVO

Eine inoffizielle Übersetzung der DatenschutzgrundVO in deutscher Sprache findet ihr hier:

https://www.bvdnet.de/eu-dsgvo.html

 

Denkt aber bitte daran, dass nur das aktuell englische Original im Zweifel gültig ist. Es ist jedoch sehr wahrscheinlich, dass der Text in den europäischen Hauptsprachen (spanisch, deutsch, französisch, italienisch) übersetzt wird.

privacy shield – Artikel 29 Group

Wie wir wussten tagte die Artikel 29 Gruppe, das Beratungsgremium in Datenschutzfragen der EU Kommission vom 2. bis 3. Februar. Bei der Tagung wurde auch über das privacy shield gesprochen, worauf eine am 3. Februar veröffentlichte Pressemitteilung entstand.

Natürlich begrüßt die Artikel 29 Gruppe den rechtzeitigen (Frist vom 16.10.2015 zu Ende Januar 2016) Abschluss der Verhandlungen zwischen der EU und den USA. Sie bitten um die Übermittlung der Dokumente, um eine Aussage treffen zu können.

Nun wird es aber interessant, denn die Artikel 29 Gruppe untersuchte die anderen Transferwerkzeuge zum Transfer von personenbezogenen Daten in die USA auf ihre Robustheit. Dabei wurde auch der derzeitige Rechtsrahmen und die Praxis der US-Geheimdienste untersucht. Dazu hat die Artikel 29 Gruppe externe Informationen von Wissenschaftlern, Unternehmensvertretern, leitenden Regierungsbeamten und auch der Zivilgesellschaft der EU und der USA eingeholt.

Das Ergebnis sind vier nachrichtendienstliche Garantien für deren Tätigkeit:

  1. Die Verarbeitung personenbezogener Daten soll auf eine einfache, klare und präzise Art mit nachvollziehbaren Regeln erfolgen, so dass sich jeder in die Lage versetzen kann, was bei der Übertragung der seiner Daten eigentlich passiert.
  2. Die Notwendigkeit und Verhältnismäßigkeit in Bezug auf die legitimen Ziele muss gewahrt sein. Daraus folgt, dass ein Gleichgewicht zwischen dem Ziel, warum die Daten gesammelt und zugänglich gemacht werden und den Rechten Einzelner.
  3. Eine unabhängiger Aufsichtsmechanismus sollte vorhanden sein, das heißt sowohl effektiv als auch unparteiisch: dies kann entweder ein Richter oder eine andere unabhängige Stelle sein kann, solange es ausreichende Fähigkeit hat, die notwendigen Kontrollen durchzuführen;  (Ombutsmann eröffnet durch „andere unabhänige Stelle“?)
  4. Wirksame Heilmittel müssen für den Einzelnen zur Verfügung stehen: Jeder sollte das Recht haben seine / ihre Rechte bei einer unabhängigen Instanz zu verteidigen.

 

Die WP 29 Gruppe wird privacy shield prüfen auf:

  • Bedenken des US-Rechtsrahmen in Bezug auf die Einführung gelindert werden kann
  • Bestimmungen und Befugnisse der Datenschutzbehörden wie des Artikels 28 der RL 95/46/EG eingehalten werden.
  • Rechtssicherheit für andere Transfertools zur Verfügung steht.

 

Nach Ablauf der Frist wird die WP 29 Gruppe die Lage bewerten und eine Bewertung veröffentlichen.

 

Dabei hält die WP29 Gruppe für die aktuelle Übertragung von personenbezogenen Daten in die USA  die EU Standardvertragsklauseln und auch unternehmenseigene Binding Regelungen für möglich und nutzbar. (Transfermechanismen)

 

via:

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf

Internet am Arbeitsplatz – Empfehlungspaper

Die Konferenz der Landes- und Bundesdatenschützer hat in redaktioneller Bearbeitung des Bayerischen Datenschutzbeauftragen ein Empfehlungspaper für die Internetnutzung am Arbeitsplatz mit dem Stand Januar 2016 veröffentlicht.

Diese Orientierungshilfe enthält Empfehlungen für die Internetnutzung am Arbeitsplatz, aber auch Empfehlungen und Mustervereinbarungen für die E-Mailnutzung.

 

Dieses Paper mit Empfehlungen könnt ihr hier runterladen:

https://www.datenschutz-mv.de/datenschutz/publikationen/informat/internet/oh-internet-arbeitsplatz.pdf

 

 

 

Security, Compliance und Datenschutz in Office 365 – CSA CCM

Microsoft hat heute auf dem Office Blog eine detaillierte Tabelle veröffentlicht, wie Office 365 konkret und detailliert mit den oben genannten Schwerpunkten umgeht. Microsoft arbeitet diesbezüglich schon lange mit der Cloud Security Alliance (Verein) zusammen und nutzt die  Cloud Alliance Cloud Control Martrix (CSA CCM). In der Cloud Security Alliance als gemeinnützige Organisation sind sowohl Praktiker, als auch die Industrie, Verbände, Regierungen und Unternehmen vereint, um eine Best Practise im Cloud Computing zu finden.

Um den Gold-Standard (STAR) dieser Organisation zu erhalten veröffentlicht Microsoft regelmäßig Selbstbewertungen von Microsoft Azure, Microsoft Dynamics CRM Online und Office 365 im Hinblick auf Security, Compliance und Datenschutz an.

Nun zeigt ein nun veröffentlichtes Mapping Dokument, wie Microsoft mit Office 365 diese Goldstandards erfüllt und damit den Empfehlungen nachkommt. Sie hoffen so, dass ihre Kunden bei einer Due Dilligence Prüfung oder auch allgemein bei einer Beurteilung von Office 365 besser und natürlich für Office 365 entscheiden können.

Die Tabelle wurde wie folgt auf Office Blogs veröffentlicht: (hier ein Screenshot)

Security-MappingOffcie365

Download des gesamten Dokumentes
https://www.microsoft.com/en-us/download/details.aspx?id=50726

Mehr Informationen: http://aka.ms/STP  (Office 365 Service Trust Portal)

Rückfragen zum Mapping

Ihr könnt eine eng. Email schicken an:  cxprad@microsoft.com

Zertifikate

  • ISO 27001
  • ISO 27018
  • SOC Bescheinigung

Für welche Produkte gilt dies?  (in MS Rechenzentren gehostet, auch DE Cloud in Zukunft)

  • Exchange Online
  • Exchange Online-Schutz
  • Sharepoint Online, einschließlich Microsoft Onedrive for Business
  • Skype für Unternehmen
  • On-line-
  • Bürodienste Infrastruktur
  • Suite User Experience
  • Domain Name Service
  • Sicherheit Workload Umwelt

 

 

 

 

Neue Infos von der Artikel 29 Gruppe zu privacy shield?

Heute ab 13:00 Uhr wird es ein Streaming der aktuell tagenden Artikel 29 Gruppe zum privacy shield geben. Fraglich ist natürlich, ob die Mitglieder die Verhandlungsunterlagen haben, weil sonst eine Analyse eher dünn wie die PK und PM sein wird.

Aber wir werden sehen:

 

Link:
https://scic.ec.europa.eu/streaming/article-29-subgroup-implementation-of-the-privacy-directive

Artikel 29. Arbeitsgruppe tagt Anfang Februar 2016

Ich habe heute die neue Tagesordnung der 104 Sitzung der Artikel 29 Arbeitsgruppe per Twitter erhalten. Ihr könnt euch das Dokument als .pdf hier downloaden: http://ec.europa.eu/justice/data-protection/article-29/press-material/agenda/files/2016/agenda_public_v20160115_2.pdf

Wann? 2 and 3 February 2016 Location

Wo? ALBERT BORSCHETTE-Rue Froissart 36, 1040 Brussels

 

Tagesordnungspunkte:

  • Safe Harbor- Consequences of the Schrems Judgment
  • Work programme 2016-2018
  • Improvement of EU and International cooperation between DPAs
  • Wi-Fi tracking
  • Data portability
  • Employee monitoring
  • Publication of personal data of government officials
  • E-health network

 

 

Technical Summit 2015 – Vortrag Datenschutz & Datensicherheit

Technical Summit

Nun ist auch die Session von Peter und mir vom Microsoft Technical Summit online 🙂

https://channel9.msdn.com/Events/microsoft-techncial-summit/Technical-Summit-2015-The-Next-Level/Was-gehen-mich-Datenschutz-Datensicherheit-in-der-Cloud-an

Viel Spaß beim Betrachten 🙂

 

 

Yammer nun mit EU Modelclauses

EUM_Yammer

Ich bekam am Ende der letzten Woche eine Email von Yammer, in der die Verfügbarkeit der EU Standardvertragsklauseln für Yammer bestätigt wurden. Dies ist äußerst wichtig für den Einsatz dieser Plattform in Deutschland. Aber warum? Es handelt sich natürlich um eine datenschutzrechtliche Fragestellung, wie so oft in den letzten Monaten.

Yammer wird seit Anfang Mai 2015 in Microsofts Rechenzentren gehostet und ist ein reiner SaaS Dienst. Nun schauen wir uns dies etwas genauer an. Yammer wird in US Rechenzentren gehostet und damit laut EU-Kommission in einem unsicheren Drittland aus Gesichtspunkten des Datenschutzes her. Um den Datenschutz nun auf das europäische Niveau zu heben, müssen die EU Standardvertragsklauseln zwischen dem Kunden/Nutzer und dem Dienstanbieter vereinbart werden. Diese müssen 1 zu 1 mit den EU Modelclauses übernommen werden, nach einer Überprüfung mit dem Vergleichen-Tool von Word, kann ich dies für Yammer bestätigen.

Früher wurden Daten im rechtlichem Sinne in Yammer alleine über den Dienstvertrag und über die ehemalig gültige Safe Harbor Vereinbarung verarbeitet. Durch den Wegfall der Safe Harbor Regelungen war der datenschutzkonforme Einsatz von Yammer endgültig beendet worden, doch nun wurden die EU Standardvertragsklauseln abgeschlossen und einer Nutzung von Yammer steht fast nichts mehr im Wege. Zu bedenken bleibt nun auf der einen Seite die korrekte Konfiguration von Yammer und dass die EU Standardvertragsklauseln eventuell nochmal angepasst werden müssen, denn als Folge des Safe Harbor Urteils müssen diese bis zum 31.01.2016 geprüft und eventuell angepasst werden.

Konfiguration von Yammer
Empfohlen sind folgende Einstellungen:

  • Benutzersyncronisation mit der lokalen AD / Benutzersteuerung / Benutzerkontrolle / SSO
  • Wortfilter
  • Nutzungsbedigungen erstellen und von allen Nutzern vor der Nutzung des Tools bestätigen lassen
  • Betriebsvereinbarungen und Absprache mit dem Betriebsrat zur Nutzung von Yammer als Tool im Unternehmen. Sinnvoller Weise wird ein Ausschluss der Auswertung der Daten zur Leistungskontrolle und Überwachung des Mitarbeiters vereinbart.
  • regelmäßige Sicherung und Extraktion der Inhalte von Yammer auf lokale Festplatten (Archivierung)

via: https://blogs.office.com/2015/11/20/eu-model-clauses-and-hipaa-baa-update-now-available-for-all-yammer-customers/

 

 

Yammer Einsatz im Graubereich muss bevorzugt werden?

Ein höchstinteressante Unterhaltung hatte ich auf dem Technical Summit 2015 in Darmstadt zu Yammer. Eine der größten deutschen und internationalen Firmen setzt Yammer aktuell ein. Bei der Diskussion über Datenschutz, Datensicherheit und Schatten-IT, sind wir nach gut 2,5h Abwägung der widerstreitenden Interessen zum Entschluss gekommen: Yammer muss eingesetzt und geduldet werden, auch wenn es datenschutzrechtlich in einem Graubereich sein könnte (vor der Ankündigung der EU Modelclauses).

Was wäre die Alternative eines gut konfigurierbaren und aus Datensicherheitsgründen erstmal akzeptable Plattform – außer eventuell der Gedanke des Zugriffs von Geheimdiensten, aber ist es onPremise sicherer? – : Die User nutzen alternativ private Tools wie WhatsApp, Dropbox, GoogleDocs oder MegaUploads, TeamSpeak, Facebook-Gruppen oder Twitter. Alles dies ist aus Sicht eines Unternehmens schlechter, ein Verbot dieser Dienste nicht ausreichend, da unkontrollierbar, so die realistische Einschätzung. Also: geduldeter Yammer-Einsatz mit Aufklärung der Mitarbeiter und Kontrolle der Plattform durch des Unternehmens. (Berechtigung der Mitarbeiter über eine eigens eingerichteten Stelle: Berichtigung, Löschung, Sperrung und Änderung der Daten

Microsoft Technical Summit – Die deutsche Cloud

Technical Summit 20151

Kommt am 17.11.2015 zum Technical Summit, denn dann könnt ihr in der oben genannten Session alle Fragen rund um die deutsche Microsoft Cloud los werden.

 

 

 

Wer nach diesem Vortrag noch Fragen hat und auch tiefer einsteigen will oder einfach den Unterschied zwischen Datenschutz und Datensicherheit nicht kennt, die/der kann gerne dann zu Peters und meine Session im Anschluss kommen.

 

Agenda:
http://www.microsoft.com/germany/technical-summit/agenda.aspx

Anmeldung
https://msft.event-team.com/technicalsummit/