DS-GVO: Sicherheit der Verarbeitung (Art. 32)

lon_12Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlicht Beiträge zur Umsetzung der am 25.05.2018 wirksamen Datenschutz-Grundverordnung (DS-GVO). Hierzu werden relevante Themenkomplexe erörtert. Dies erfolgt im Sinne einer Interpretation bzw. Erörterung uns stellt keine verbindliche Auffassung der Aufsichtsbehörde dar.

1 Sicherheit der Verarbeitung (Art. 32)
Der bisherige § 9 BDSG (inkl. Anlage), der den Bezug zur Informationssicherheit herstellte (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsgebot) wird in der DS-GVO nicht mehr existieren. Stattdessen wird im Art. 32 „Sicherheit der Verarbeitung“ ausführlich beschrieben, welche technischen und organisatorischen Maßnahmen für ein angemessenes Schutzniveau zu treffen sind.

[…]

BYOD – Bring Your Own Desaster

20150618-_DSF0256-Bearbeitet-Bearbeitet-BearbeitetEs gibt Themen die nahezu unsterblich sind. BYOD gehört zu dieser Kategorie. Vor einigen Jahren galt BYOD als topaktuell, und um eine Referentin zu zitieren „BYOD ist sexy – für Unternehmen und Mitarbeiter“. Ob dem so ist sehe ich als fraglich an, und betrachtet man die Verbreitung von BOYD in Unternehmen, so zeigen sich Zweifel an der damaligen euphorischen Aussage. Trotz alle dem, was ist aus Sicht des Datenschutzes und der Informationssicherheit anzumerken?

[…]

Kann ISIS12 Ransomware verhindern?

Eine gute Frage: Hätte die unterfränkische Gemeinde D. durch Einführung und Betrieb des Informationssicherheits Managementsystems (ISMS) ISIS12 die Ausbreitung des Computervirus Teslascript auf IT-Systemen der Stadtverwaltung verhindern können? Eine einhundert prozentige Sicherheit kann das Vorgehensmodell ISIS12 gegen die seit Monaten immer öfters aktiven Ransomware-Varianten nicht bieten. Jedoch sinkt das Risiko einer Infektion mit CryptoWall, Locky, PadCrypt, TelsaCrypt, TorrentLocker und anderer Malware erheblich.

[…]

„EU-US Privacy Shield“ das neue „Safe Harbor“?

_DSF0463Die von den deutschen Aufsichtsbehörden für den Datenschutz eingeräumte Schonfrist für eine Neuregelung von Datenübermittlungen und Datenverarbeitungen im Auftrag in den USA ist am 31. Januar 2016 abgelaufen. Die EU-Kommission hat nun am 2. Februar unter der Bezeichnung „EU-US Privacy Shield“ ein neues Datenschutzabkommen mit der US-Regierung angekündigt. Die Details des Abkommens werden in den nächsten Wochen noch ausgearbeitet (weitere Informationen).
Am 2./3. Februar hat nun die Art.-29-Datenschutzgruppe der EU-Kommission (WP 29) getagt. Die wesentlichen Ergebnisse stehen in deutscher Sprache hier zur Verfügung:

[…]

Status Quo Safe Harbor – Aktuelle Antwort einer Aufsichtsbehörde

Datenschutz

Der EuGH hat bekanntlich am 06.10.2015 das Safe Harbor Abkommen (Entscheidung 2000/520/EG der Kommission) für nichtig erklärt. In der Zwischenzeit gibt es diverse Kommentare und Einschätzungen zu den Konsequenzen. Die Artikel 29 Datenschutzgruppe forderte in einer Erklärung vom 16.10.2015 „die Mitgliedstaaten und die europäischen Institutionen nachdrücklich dazu auf, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen zu finden, damit die Grundrechte bei Datenübermittlungen in das Hoheitsgebiet der Vereinigten Staaten gewahrt werden.“ Was bedeutet dies konkret für Unternehmen, die bislang Safe Harbor als geltende Rechtsgrundlage verwendet haben?

[…]