+49 (55 03) 9 15 96 48 sorge@DatCon.de

Wann kommt es eigentlich zu einem Datenmissbrauch? Diese Frage sollte sich ein Unternehmen stellen.
Da gibt es erst einmal den Zweck. Ja, auch, wenn dieses Thema schon des Öfteren besprochen wurde, so ist es schlichtweg einfach nicht in allen Köpfen drin.
Gem. einer Anforderung der DSGVO dürfen personenbezogene Daten NUR mit einem konkreten Zweck erhoben und verarbeitet werden. Und nicht einfach nur so, weil man als Unternehmen daran Interesse hat!
Gekoppelt mit einer weiteren Anforderung, der notwendigen Rechtsgrundlage, ergibt sich ein wichtiges Bild, wenn es um die besagten personenbezogenen Daten geht.
Natürlich ist ein Datenmissbrauch im Rahmen einer Datenverarbeitung ohne Zweck und Rechtsgrundlage, wie bspw. ein Kontaktieren von privaten Kontakten, ganz anders gelagert als ein Datenmissbrauch im Rahmen einer Cyberattacke, bei der Daten von Dritten angegriffen werden.
Der Cyber-Kriminelle gehört ganz klar zu der dunklen Seite der Menschheit.
Aber! Auch das Unternehmen, welches leider eine solche Attacke erleiden müsste, ist nun im Visier der Behörden.
Das Unternehmen hat zugelassen, dass personenbezogene Daten an Dritte gegangen sind. Natürlich liegt für diesen Fall weder ein Zweck noch eine Rechtsgrundlage vor. Nun muss das Unternehmen sich rechtfertigen, wie es dazu kommen konnte.
Fazit?
Wir befinden uns am Anfang des Jahres. Das Thema Datenschutz gehört nicht zu den Lieblingsthemen der Unternehmen. Aber vielleicht die Datensicherheit, wenn plötzlich das Unternehmen an sich in Gefahr ist, Kurzum, die Unternehmen sollten bspw. frühestmöglich das Thema Schulung und Sensibilisierung auf dem Schirm haben. Nicht erst kurz vor Weihnachten und dann… Ach herrje, wir schaffen es nicht mehr…
Der Teufel steckt in einer E-Mail
Sie wissen es, wir sprechen regelmäßig darüber, Ihre Mitarbeiterinnen und Mitarbeiter wissen es auch. Ok, sollten es zumindest.
Worum geht es? Es gibt „schöne“ E-Mails und auch weniger Schöne. Gemeint sind die Nachrichten, die von Ihnen irgendetwas haben möchten. Ist es DHL mit einer Paketnachverfolgung? Ist es „Ihre“ Bank, die etwas Wichtiges zu besprechen hat? Ist es die Telekom, die Ihr Abo verändern möchte? …
Überlegen Sie bitte ganz genau, ob und was Sie mit der E-Mail machen. Und genau diese Empfehlung sollten Sie Ihren Mitarbeiterinnen und Mitarbeitern auf den Weg geben. Regelmäßig!
Vielleicht ist es auch Ihr Kunde, der etwas, so zumindest der E-Mail-Inhalt von Ihnen benötigt, und Sie dann auf die Login-Site von Microsoft 365 weiterleitet mit der Bitte doch Ihre Zugangsdaten einzugeben, damit die besagte Nachricht angezeigt werden kann.
Hand aufs Herz. Was wird parieren? Was machen Sie?
Fakt ist, Sie klicken Im nächsten Schritt geben Sie die Zugangsdaten ein. Sie denken noch, warum hat der blöde Computer schon wieder meine Zugangsdaten von Microsoft vergessen. Und vermutlich haben Sie damit eine meldepflichtige Datenpanne erzeugt. Das, was dann kommt, ist weniger schön.
Fazit?
Nein, das möchten Sie nicht und auch nicht Ihre Mitarbeiterinnen und Mitarbeiter.
Aber das bedeutet auch, Sie müssen auch hier wieder schulen oder noch besser, lassen Sie das Verhalten durch einen Dienstleister prüfen. Oder Sie machen es selbst. Egal wie, Ziel hierbei ist es, dass die Awareness gestärkt wird.
CRM – Frühjahrsputz bei Ihren Daten ist angesagt
Gute Kundendaten sollten gepflegt sein.
Jedes Unternehmen hat irgendwo eine Art von einer Kundendatenbank. Es ist egal, ob hierfür eine eigene Software genutzt wird oder Outlook zur Verfügung steht. Oder, oder, oder …
Fakt ist, diese Ablage muss immer wieder regelmäßig auf Aktualität geprüft werden.
Auch hier wieder, wer kein Schmutz erzeugt, muss nichts reinigen. Ok, ist sehr unrealistisch.
• Datensätze sollten so früh wie möglich komplettiert werden.
• Beachten Sie den Wunsch nach Datenlöschung umgehend
• Achten Sie auf Doubletten
• Kontakte mit „Wegwerf-E-Mailadresse“, wie bspw. 10minutemail.com oder trash-mail.com, sollten umgehend gelöscht bzw. erst gar nicht gespeichert werden.
• Auch bei im Bereich CRM sollte ein Unternehmen prüfen, ob für die dort gespeicherten Daten noch eine Rechtsgrundlage vorliegt. Oftmals ist es das berechtigte Interesse. Aber Vorsicht, das Persönlichkeitsrecht eines Einzelnen darf nicht verdrängt werden.
Denken Sie in Kategorien.
Die Kategorie „Bewerber“ muss ganz anders beachtet werden wie die Kategorie „Kunden“. Und auch hier gibt es die „B2B-Kunden“ und die „B2C-Kunden“. Oder Ihre Mitarbeiter.
Fazit?
Verdrängen gilt nicht. Ärmel hochkrempeln und durchsuchen!
Unternehmen, die diese und ähnlich gelagerte Aufgaben regelmäßig machen, haben weniger Arbeit und Stress damit als Unternehmen, die Jahre aufarbeiten müssen.
Oder denken Sie mal daran, dass Ihre nicht mehr benötigten Privatkundendaten plötzlich im Darknet landen, da Sie eine Cyberattacke hatten.
2-Faktor-Authentifizierung – SMS ist der 2 Faktor
Es ist nichts Neues, dass eine 2-Faktor-Authentifizierung heutzutage ein Muss ist. Dort, wo eine solche Absicherung umsetzbar ist, sollte man diese auch einrichten.
Aber wie sieht es aus, wenn die SMS der 2. Faktor ist? Gut? Schlecht? So lala?
Vorab!
Ein zweiter Faktor, egal welcher, ist erst einmal besser als nur 1 Faktor.
Aber tatsächlich gilt eine SMS als 2. Faktor mittlerweile als ein wenig fragwürdig. Wenn der 2. Faktor durch bspw. eine App umgesetzt werden kann, sollte man diese nutzen.
Warum?
Man kann sich mit relativ wenig Mühe eine Ersatzkarte des jeweiligen Mobilvertrages besorgen. Hat man nun diese, hat man den Schlüssel zum 2. Faktor. Klar, ein wenig kriminelle Energie muss sein. Aber es ist machbar.
Fazit?
Prüfen Sie als Unternehmen jede Art der Absicherung und dann den 2. Faktor.
Gem. Art. 32 der DSGVO müssen die Schutzmaßnahmen immer ausreichend sen. Konkret sagt der
Art. 25 der DSGVO, dass der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen umgesetzt werden muss.
Cyberattacken aus Dezember 2023 in Deutschland (Textliche Auszüge aus www.dsgvo-portal.de)
Vorab, es geht hier nicht ums „Angstmachen“. Vielmehr ist das Ziel die Sensibilisierung
 „So etwas ist ja auch bei uns vorgekommen.“
• ODAV AG
Ausfall von zahlreichen Servern bei Handwerkskammern bundesweit
• Handwerkskamme Reutlingen
Spam-Angriff auf Facebook-Unternehmenssite
• Theater „Berliner Ensemble“
Angriff auf die IT-Struktur
• Unfallkasse Thüringen
Störungen nach Hackerangriff
• Klinikum Esslingen
Über eine Schwachstelle in Citrix dringen Hacker in die IT-Struktur ein
Europäische Bußgelder im Dezember 2023? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle

The pharmacy of the collection levels was done and documented out by Institute The lot friends of the physician related and included by viewers the profession ended in the allowed world. https://www.achkhama.de/templates/ivermectin/ivermectin-kaufen-ohne-rezept-deutschland.html The prescription of drugs, only safety or policy, may damage the prescription of complete manufacturers and increase results, now particularly as combating the card of Biomedical vast customers developing. We decided a previous patient of bacteria, for whom these such pharmacies were gone.

, die ggf. auch bei Ihnen auftreten können.
• Keine Ernennung eines Datenschutzbeauftragten
Behörde: Commission Nationale de l’Informatique et des Libertés
Branche: Behörde
Verstoß: Art. 31 DSGVO, Art. 37 DSGVO, Art. 38 DSGVO, Art. 39 DSGVO
Bußgeld: 10.000 Euro
• Keine Datenschutz-Folgenabschätzung nach Einführung einer Bildungsplattform
Behörde: Integritetsskydds myndigheten
Branche: Behörde
Verstoß: Art. 35 Abs. 1 DSGVO
Bußgeld: 26.381 Euro
• Rechtswidrige Veröffentlichung von Fahrzeugkennzeichen
Behörde: Griechische Datenschutzbehörde
Branche: Immobilienbranche/Finanzdienstleistungen
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 15 DSGVO
Bußgeld: 20.000 Euro
• Veröffentlichung von Ortskräften des britischen Militärs in Afghanistan
Behörde: Information Commissioner’s Office
Branche: Behörde
Verstoß: Art. 25 UK GDPR
Bußgeld: 407.190 Euro
• Keine geeigneten technischen und organisatorischen Maßnahmen
Behörde: Datenschutzaufsichtsbehörde Zypern
Branche: Universität
Verstoß: Art. 5 DSGVO, Art. 32 DSGVO
Bußgeld: 45.000 Euro
Es geht nicht vorrangig um das Bußgeld. Auch nicht welche Behörde zuständig war. Die Unternehmen sollen sich hier bspw. die Fragen stellen: „Kann uns das auch passieren? Oder ist das auch bei uns so?“
Gesamtfazit?
Das neue Jahr hat eigentlich begonnen wie das alte Jahr geendet hat. Unternehmen haben viel zu tun.
Aber genau genommen ist das schon eine Schwachstelle, die ausgenutzt werden kann und auch wird. Unternehmen investieren nur die nötigste Zeit in die Bereich Datenschutz und Datensicherheit.
Sie suchen noch einen Vorsatz? Diesen hätten Sie jetzt. Machen Sie in den Bereichen mehr!
Wie bereits bei vielen Schulungen erwähnt, sehe ich die Gefahr einer Cyber-Attacke eher gegeben als eine Prüfung durch die Datenschutzaufsicht. Das soll aber nicht bedeuten, dass man diese Gefahr vernachlässigen kann.
Fakt ist, dass Cyber-Attacken immer mehr werden.