Neue CE-Richtlinien effizient umsetzen

Die Software CE-Ready führt Anwender in einfachen Schritten durch den Prozess der CE-Kennzeichnung von Produkten Im April 2016 treten neue europäische Richtlinien in Kraft, die für viele Unternehmen mit zusätzlichen Pflichten einhergehen: Wesentlich mehr Produkte benötigen in Zukunft eine CE-Kennzeichnung. Um den Prozess für die betroffenen Betriebe zu vereinfachen und ihnen Zeit bei der Umsetzung zu sparen, haben die INMAS GmbH und die PC-Force GmbH jetzt eine aktualisierte Version des Programms „CE-Ready“ entwickelt. Die Software steuert Anwender auch ohne umfassende Vorkenntnisse durch den kompletten Prozess der CE-Kennzeichnung. Nicht nur die Hersteller, sondern auch die Händler von Produkten müssen sich auf mögliche Änderungen einstellen, denn im Falle eines Sicherheitsmangels haftet der sogenannte „Inverkehrbringer“ der Ware – also derjenige, der sie in der EU auf den Markt bringt. Insgesamt ändern sich gleich acht europäische Richtlinien, wobei die Niederspannungsrichtlinie (2014/35/EU) und die Richtlinie zur elektromagnetischen Verträglichkeit (2014/30/EU) besonders viele Produkte betreffen. Weitere Anpassungen beziehen sich beispielsweise auf Messgeräte, Druckbehälter und den Explosionsschutz. Die neuen Richtlinien beinhalten die Pflicht zur Durchführung und Dokumentation einer Risikoanalyse und Risikobewertung im Rahmen der Erstellung von technischen Unterlagen. Das bedeutet, dass alle denkbaren Risiken, die über den gesamten Lebenszyklus des Produkts entstehen können, vorab erkannt und ihre möglichen Folgen eingeschätzt werden müssen. Auf Basis dieser Analyse müssen die notwendigen Maßnahmen zum Schutz der Nutzer abgeleitet werden. Die Software CE-Ready führt den Anwender mit einfachen Schritten durch den umfassenden Prozess. Dies beginnt mit der Risikobeurteilung und der Berücksichtigung der aktuellen Sicherheitsnormen, beinhaltet aber auch die rechtssichere Dokumentation und die automatisierte Erstellung der Betriebsanleitung. Konkret bedeutet dies beispielsweise, dass die Anwender von CE-Ready mit einem umfassenden Fragebogen auf alle denkbaren Probleme ihres Produkts gestoßen werden, auch wenn diese nicht auf Anhieb erkennbar sind. Darüber hinaus werden die relevanten Normen identifiziert, Gefährdungen beschrieben und Maßnahmen definiert. Die Dokumentation wird so erstellt, dass der gesamte Prozess auch Jahre später noch rechtssicher dargestellt werden kann. CE-Ready wird zu Beginn der Nutzung individuell auf die Bedürfnisse des jeweiligen Unternehmens eingestellt. Anschließend kann die Software in der Regel ohne externe Unterstützung für neue Anwendungsfälle eingesetzt werden. Die hinterlegten Normen und Richtlinien werden dabei von INMAS kontinuierlich aktualisiert, sodass jederzeit der gültige Stand abgebildet ist. Weitere Informationen: www.ce-ready.de und www.inmas.de.

Quelle: Neue CE-Richtlinien effizient umsetzen › suhling management consulting – Datenschutz intelligent integriert

Datenschutzskandal beim Tag der offenen Tür › suhling management consulting – Datenschutz intelligent integriert

Worauf Unternehmen bei der Zutrittskontrolle achten sollten Die Festlegung einer Zutrittskontrolle wird nicht nur vom Bundesdatenschutzgesetz in Bezug auf personenbezogene Daten gefordert. Auch die zu erwartende EU-Datenschutzgrundverordnung (EU-DSGVO) fordert den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen sicherzustellen. Dies wird durch die angemessenen technischen und organisatorischen Maßnahmen (TOMs) realisiert. Ob es sich dann um einen sogenannten „für die Verarbeitung Verantwortlichen“ oder einen Auftragsverarbeiter handelt, spielt keine Rolle. Auf die Angemessenheit sollte das Augenmerk gelegt werden. Die Definition lautet: Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Im Rahmen einer Auftragsdatenverarbeitung sind die technisch und organisatorischen Maßnahmen in Sachen Zutrittskontrolle ohnehin zu beschreiben. Daher macht es Sinn, sich bereits vor Abschluss einer Auftragsdatenverarbeitung um dieses Thema zu kümmern. Im Nachfolgenden sind einige Beispiele aufgeführt, mit welchen technischen und organisatorischen Maßnahmen die Zutrittskontrollen zu realisieren sind: Schließanlagen, Radio-frequency Identification, Festlegung der Sicherheitszonen wie Haupteingang, Büroräume, Abteilungen, Archive, Server- und Technik-Räume, Lager, Bestimmung der zutrittsberechtigten Personen, Einsatz von Zugangskontrollsystemen, Verschluss der Arbeitsplätze, Zutrittsregelungen für betriebsfremde Personen, Zutrittskontrollsystem: Ausweisleser, Magnetkarte, Chipkarte, Schlüssel und Schlüsselvergabe, Türsicherung (elektrische Türöffner usw.), Überwachungseinrichtung wie Alarmanlage, Videomonitor oder Fernsehmonitor, Alarmanlage, Absicherung von Gebäudeschächten, automatisches Zugangskontrollsystem, Chipkarten- und Transponder-Schließsystem, Schließsystem mit Codesperre, manuelles Schließsystem, biometrische Erkennungssysteme bzw. Zugangssperren wie Fingerabdruck, Handgeometrie, Gesichtserkennung, Stimmerkennung, Unterschriftserkennung, Iriserkennung oder Retinaerkennung, Videoüberwachung der Zugänge, Lichtschranken oder Bewegungsmelder, Sicherheitsschlösser, Schlüsselregelung (Schlüsselausgabe etc.), Werkschutz, Personenkontrolle beim Pförtner bzw. beim Empfang, Protokollierung der Besucher, sorgfältige Auswahl von Reinigungspersonal, sorgfältige Auswahl von Wachpersonal, Tragepflicht von Berechtigungsausweisen mit und ohne Profilfoto (Mitarbeiterausweise, Besucherausweise, Gästeausweise), Gebäudesicherung: Zäune, Pforte, Sicherung der Räume: Sicherheitsschlösser, Chipkartenleser, Codeschlösser, Sicherheitsverglasung, Alarmanlagen und noch viele weitere Möglichkeiten. Auch Standards und Normen lassen sich bei der Zutrittskontrolle sehr gut integrieren: Anforderungen nach ISO/IEC 27002 sind Sicherheitsbereiche und Sicherheitszonen, Zutrittskontrolle, Sicherung von Büros, Räumen und Einrichtungen, Schutz vor Bedrohung von außen und aus der Umgebung, Arbeiten in Sicherheitszonen, Öffentlicher Zutritt, Anlieferungs- und Ladezonen. Anforderungen nach dem BSI IT-Grundschutzkatalog sind Aufgabenverteilung und Funktionstrennung, Vergabe von Zutrittsberechtigungen, Schlüsselverwaltung. Keine technischen und organisatorischen Maßnahmen zu ergreifen, kann an den Tag der offenen Tür erinnern. Doch selbst am echten Tag der offenen Tür sollte Unbefugten der Zutritt zu Datenverarbeitungsanlagen mit geeigneten Maßnahmen verwehrt werden. Fragen zum Thema Zutrittskontrolle kann von Datenschutzexperten und Datenschutzauditoren der suhling management consulting, http://suhling.biz, beantwortet werden.

Quelle: Datenschutzskandal beim Tag der offenen Tür › suhling management consulting – Datenschutz intelligent integriert

Die Zukunft der absoluten Passwortsicherheit beginnt jetzt … › suhling management consulting – Datenschutz intelligent integriert

Immer wieder und häufiger werden wir über Fälle informiert, in welchen die Medien von „gehackten“ Passwörtern oder gestohlenen Zugangsdaten berichten. Erst kürzlich wurde über millionenfach geknackte Passwörter, verursacht durch internationale Kriminalität, berichtet. Es sind tausende Fälle im Internet nach zu lesen. Diese immensen Schäden, die dadurch entstehen, müssen endlich gestoppt werden. Internet-Experten prognostizieren eine weitere massive Zunahme an Internet-Kriminalität in dieser Form und stellen fest, dass der User in Zukunft selbst darum bemüht sein muss, sich zu schützen! Wir präsentieren Ihnen daher stolz unsere Neuheit für den revolutionären Schutz all Ihrer Passwörter: den absolut fälschungssicheren FissKey – eine nichtelektronische Sicherheitskarte mit einer dazugehörigen App! Der FissKey ist Ihre persönliche Passwortkarte. Sie schützen mit ihr sämtliche Passwörter zusätzlich und vor allem sicherer als je zuvor. Dies funktioniert ohne Angabe Ihrer persönlichen Daten. Ob Online-Banking, Einkaufen im Internet, Mitgliedschaften im Web oder natürlich auch Ihre E-Mail-Konten – also überall dort, wo man sich mit einem Passwort anmeldet bzw. einloggt. Hier erfahren Sie, wie einfach und genial dieser absolute Passwortschutz funktioniert. Kurzbeschreibung der Funktionsweise: Der revolutionäre FissKey funktioniert in Verbindung mit der FissKey-App, welche Ihnen kostenlos und für alle gängigen Betriebssysteme Ihrem Smartphone zur Verfügung gestellt wird. Mit dieser App richten Sie zuerst Ihr Sicherheitskonto ein. Ihre jeweiligen Passwörter, welche so mit einem zusätzlichen Code versehen werden, erhalten somit einen ergänzenden und zugleich absoluten Schutz gegen Hacker-Angriffe. Diese Kurzbeschreibung können Sie unter www.fisskey.de nach lesen. Bitte unterstützen Sie das einzigartige Projekt: https://www.startnext.com/fisskey-de Vielen Dank.

Quelle: Die Zukunft der absoluten Passwortsicherheit beginnt jetzt … › suhling management consulting – Datenschutz intelligent integriert

Wer hätte das gedacht, dass viele Firmen scheinbar doch, nach Aussage eines Anwalts der NSA, vieles gewusst haben und Daten preisgegeben haben.

Ein Anwalt der NSA behauptet, dass Google, Yahoo, Facebook, Apple & Co. von Anfang an über die PRISM-Spionagetätigkeiten Bescheid gewusst hätten. Doch eine Sache verrät er nicht.Wie der Guardian berichtet, soll ein Anwalt der NSA versichert haben, dass die großen US-Tech-Unternehmen in vollem Umfang von den PRISM-Spionagetätigkeiten gewusst haben sollen. Obwohl sie zum Teil genau das Gegenteil behauptet haben. Yahoo, Apple, Google, Microsoft, Facebook und AOL hatten bei Bekanntwerden des PRISM-Skandals behauptet, nichts davon gewusst zu haben. Manche, wie Apple, wollten gar noch nie den Begriff „PRISM“ gehört haben. Weil „PRISM“ ein interner Begriff war, der gegenüber den Unternehmen nicht genannt worden sei, sei das genau betrachtet sogar korrekt. Dass Apple und die anderen aber nichts von einer Datenübertragung – und auswertung im NSA-Hauptquartier gewusst haben wollen, stimmt jedoch nicht – wenn man den Worten des Anwalts Glauben schenkt.

via NSA-Anwalt: Google, Facebook & Co. haben alles gewusst – Leugnen zwecklos – macwelt.de – MACWELT.

Ein kleiner Einkauf in Hannover gefällig? – Datenschutz-Blog

Sponsored Post

Der Kauf von Wasserbetten erweist sich in Hannover als nicht besonders kompliziert. Es befinden sich in der Stadt zahlreiche Bettenlager, wie zum Beispiel einige Betten-Center, welches sehr gut zu erreichen sind. Diese zentrale Lage und die Qualität zeichnet diese Bettengeschäfte aus, sowie durch die ausgesprochen gute Qualität besagter Wasserbetten aus.

Betten Hannover: Wasserbetten sind für Groß und Klein stets ein besonderes Erlebnis. Warum auch nicht? Es doch immer wieder schön, wenn man sich nach einem anstrengenden Arbeitstag ein Bett fallen lassen kann, welches sich genau an den eigenen Körper anpasst.

Zudem ist Hannover immer einen kleinen Ausflug wert, denn die Stadt bietet außer ihren vielen Möglichkeiten, Betten zu erwerben, natürlich auch noch weitere attraktive Freizeitangebote. Neben einem Zoo, der vor allem für Familienausflüge ein interessantes Ausflugsziel sein kann, befinden sich auch ein Hochseilgarten und das Maislabyrinth in der Nähe der 525.000-Einwohner-Stadt. Neben diesen Attraktionen bietet Hannover natürlich auch Freibäder, sowie Museen und lockt mit einem sehr großen Theater- und Kulturangebot.

Whistleblower: Die Macht der Systemadminstratoren – Datenschutz-Blog

Wer hat die wirkliche Macht über die Daten? Hier ein Interview:

Die IT-Community solle sich ihrer Macht und ihres Einflusses bewusst werden. Die bekanntesten Whistleblower der vergangenen Jahre, Chelsea Manning und Edward Snowden, seien beide Systemadministratoren, sagten Julian Assange und Jacob Appelbaum vor 3.000 Zuschauern im Saal 1 auf dem 30C3. Assange wurde per Videochat aus der Botschaft von Ecuador in London zugeschaltet.

via Whistleblower: Die Macht der Systemadminstratoren – Golem.de.

Fachartikel: Keine Probezeit für Datenschutzbeauftragte im RDV – Datenschutz-Blog

Nachfolgend ein aktueller Beitrag / Fachartikel zum Thema Probezeit für Datenschutzbeauftragte, mit freundlicher Genehmigung von Herrn Prof. Gola:

(Arbeitsgericht Dortmund, Urteil vom 20. Februar 2013 –
10 Ca 4800/12 –)
Die Vereinbarung einer Probezeit mit der Möglichkeit zur ordentlichen Kündigung des Arbeitsvertrages ist aufgrund des Verstoßes gegen mit Beginn des Beschäftigungsverhältnisses geltenden Kündigungsschutz nach § 4f Abs. BDSG unwirksam. (Nicht amtlicher Leitsatz)

Aus den Gründen:
Die gesetzliche Regelung des § 4 f BDSG will sicherstellen, dass in den Fällen, in denen ein Datenschutzbeauftragter zu bestellen ist, dieser seiner Aufgabe gerecht werden kann und der Arbeitgeber nicht die Möglichkeit hat, ihn daran zu
hindern, es sei denn, dass in entsprechender Anwendung von § 626 BGB wichtige Gründe dafür vorliegen oder die Aufsichtsbehörde die Bestellung widerruft. Dieses gesetzliche Anliegen ist in Anbetracht der wachsenden Bedeutung des Datenschutzes nachvollziehbar. Es kann auch nur erreicht werden, wenn mit Aufnahme der Tätigkeit als Datenschutzbeauftragter und nicht erst nach Ablauf einer Probezeit der Abberufung und Kündigungsschutz eintritt. Andernfalls wäre während der Probezeit die Unabhängigkeit des Datenschutzbeauftragten nicht gewährleistet und hätte ein Unternehmer die Möglichkeit, nur Arbeitnehmer als Datenschutzbeauftragte einzusetzen, die sich noch in der Probezeit befinden. lnsofern spricht auch der Sinn und Zweck des Gesetzes dafür, dass der Gesetzgeber eine Abberufung des Datenschutzbeauftragten bzw. dessen Kündigung unabhängig von einer vereinbarten Probezeit erschweren wollte. Fraglich könnte allenfalls sein, ob es nicht ausgereicht hätte, mit Bestellung zum Datenschutzbeauftragten einen Kündigungsschutz entsprechend dem Kündigungsschutz zu gewähren. Es ist aber zu berücksichtigen, dass nicht nur der Datenschutzbeauftragte vor einer grundlosen Abberufung und Kündigung des Arbeitsverhältnisses geschützt werden soll, sondern vor allem ein effektiver, kontinuierlicher und ungestörter Datenschutz gewährleistet werden soll und gegenüber diesem Ziel weniger wichtige Gründe für eine Abberufung bzw. Kündigung zurückstehen sollen. Auch soll der Datenschutzbeauftragte nicht befürchten müssen, wegen der Wahrnehmung seiner Aufgaben unter Anführung anderer Gründe abberufen bzw. gekündigt zu werden. Ferner soll er nicht der Versuchung unterliegen, dem Datenschutz evt. entgegenstehenden Interessen des Unternehmers Rechnung zu tragen, damit der Unternehmer nicht jeden Kündigungsgrund zum Anlass nimmt, eine Kündigung auszusprechen. Dieser Versuchung könnte er auch dann unterliegen,
wenn er lediglich bestrebt wäre, eine Benachteiligung zu verhindern. lnsofern ist zu beachten, dass im Arbeitsleben, selbst sogar bei Vorliegen eines wichtigen Kündigungsgrundes, nicht selten keine Kündigung ausgesprochen wird bzw. nur dann eine Kündigung ausgesprochen wird, wenn daran auch in anderer Hinsicht ein Interesse besteht. Richtig ist allerdings, dass bei der Frage der Verhältnismäßigkeit der gesetzlichen Regelung die Belange des Datenschutzes gegen die berechtigten unternehmerischen Belange abgewogen und eventuelle Restrisiken für den Datenschutz in Kauf genommen werden müssen, soweit deren Vermeidung nur noch durch besonders schwere Einschränkungen der unternehmerischen Freiheit erreicht werden kann. Diese Abwägung kann aber allenfalls Berücksichtigung finden bei der Beurteilung des Grundes für den Widerruf der Bestellung zum Beauftragten für den Datenschutz bzw. für den Ausspruch einer Kündigung. Jede zeitliche Begrenzung des Schutzes des Amtes würde aus den oben genannten Erwägungen den Datenschutz erheblich gefährden und könnte deshalb nicht aus dem Gesichtspunkt der Verhältnismäßigkeit geboten sein. Hier ist entscheidend, dass die Beklagte keinerlei Gründe für ihr Vorgehen dargelegt hat. Es kann deshalb nichtmals ausgeschlossen werden, dass das Vorgehen der Beklagten seinen Grund allein darin hat, dass der Kläger seine Aufgaben als Datenschutzbeauftragter ernster genommen hat, als es ihren Interessen entsprach. Vor diesem Hintergrund wird auch besonders deutlich, dass der Konflikt nicht dadurch gelöst werden kann, dass der Beklagten die Möglichkeit eingeräumt wird, gegen Zahlung einer Abfindung das Arbeitsverhältnis zu beenden entsprechend §§ 9, 10 KSchG. Der Kläger hat auch einen Anspruch, bis zum rechtskräftigen Abschluss des Rechtsstreits zu unveränderten Arbeitsbedingungen gemäß dem Arbeitsvertrag vom 30.04.12 als Datenschutzbeauftragter weiter beschäftigt zu werden.
Grundsätzlich überwiegt mit der erstinstanzlichen Feststellung der Unwirksamkeit der Kündigung das Beschäftigungsinteresse des Arbeitnehmers das Interesse des Arbeitgebers, zunächst noch die Rechtskraft des Urteils abzuwarten, weil durch ein solches Abwarten es dem Arbeitnehmer zusätzlich erschwert würde, wieder Anschluss an die betrieblichen Abläufe zu finden und sich wieder in die Betriebsgemeinschaft einzugliedern. Hier besteht zudem ein besonderes Weiterbeschäftigungsinteresse im Sinne des Datenschutzes, zumal die Beklagte keinerlei Gründe dafür vorgetragen hat, warum sie den Kläger nicht mehr als Datenschutzbeauftragten weiter beschäftigen will. Die Kosten des Rechtsstreits waren gem. § 91 ZPO der Beklagten aufzuerlegen.

Wie bitte? Was ist los? Hast Du auch WhatsApp?

Laut Stiftung Warentest sendet WhatsApp die Namen und Telefonnummern des Nutzers unverschlüsselt an einen US-amerikanischen Server, womit diese für potenzielle Angreifer problemlos lesbar sind.[18][19] Auch aus Datenschutzsicht ist die zentrale Speicherung der Telefonbücher aller Nutzer sehr bedenklich.

Bereits im Mai 2011 wurde eine andere Sicherheitslücke entdeckt, die das Übernehmen der Benutzerkonten durch Fremde ermöglichte.[20] Konversationen, die mit WhatsApp getätigt werden, wurden zunächst nicht verschlüsselt; somit wurden die Daten im Klartext gesendet und empfangen. Dies bedeutete, dass die Nachrichten für Unbefugte leicht zu lesen waren.[21] Seit August 2012 werden die Konversationen der Nutzer verschlüsselt versendet.[18]

Am 6. Januar 2012 veröffentlichte ein Unbekannter eine Website, die, unter der Voraussetzung, dass dessen Telefonnummer bekannt ist, es ermöglicht, den Status eines beliebigen WhatsApp-Benutzers zu ändern.[22] Nach Angaben des Hackers wird hierbei nur eine von vielen anderen Sicherheitslücken ausgenutzt. Am 9. Januar 2012 berichtete die WhatsApp Inc., dass die Website endgültig gelöscht werden wird. Jedoch war das Blockieren der IP-Adresse der Website die einzige Maßnahme, die getroffen worden war. Als Reaktion darauf wurde vom Hacker eine Windows-Anwendung zum Herunterladen bereitgestellt, die die gleiche Funktionalität bot.[23]

Einige Tage später, am 13. Januar 2012, verschwand WhatsApp ohne Angabe von Gründen aus dem App Store von Apple.[24] Das Entwicklungsunternehmen von WhatsApp reichte daraufhin eine neue Version der App bei Apple ein, die in den App Store aufgenommen wurde.[25]

via WhatsApp – Wikipedia.