Der Beitrag Homeoffice: Einfallstor in die Unternehmens-IT? – Folge 2 erschien zuerst auf ACENT AG.

Der Beitrag Homeoffice : Einfallstor in die Unternehmens-IT? – Folge 1 erschien zuerst auf ACENT AG.

Dieser Blog beschränkt sich auf das Videoconferencing. Zu Beginn der Corona-Krise lag bei der Auswahl des eingesetzten Tools in den Unternehmen der Fokus meist auf einer schnellen Lösung. Inzwischen sollten sich die Verantwortlichen, insbesondere wenn sich das Videoconferencing bewährt hat, über eine flexible, nachhaltige und datenschutzkonforme Lösung Gedanken machen.

Videoconferencing im Unternehmen muss nicht zwangsläufig ein Sicherheitsrisiko darstellen. Allerdings muss das Tool diversen Anforderungen entsprechen, die es ursprünglich bereits vor dem ersten Verwenden zu klären gilt. Dabei sollten sich die Verantwortlichen bei der Auswahl einer Software zunächst stets fragen, ob eine On-Premises-Variante (also auf den eigenen Servern gehostete Software) in Frage kommt oder aus unterschiedlichsten Gründen eine SaaS-Lösung eingesetzt werden soll.

Vertragliche Vorkehrungen

Entscheidet sich das Unternehmen für eine SaaS-Lösung, ist mit dem Anbieter der Lösung grundsätzlich ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abzuschließen. Es sei denn, es handelt sich um ein Tool aus einer Gesamtlösung mit Videoconferencing, mit dessen Dienstleister bereits ein Vertrag besteht, z.B. Teams von Microsoft oder Meets von Google im Rahmen von anderen SaaS-Lösungen im Unternehmen.

Es ist immer vorab zu prüfen, ob der SaaS-Dienstleister, der als Auftragsverarbeiter eingesetzt werden soll, für die Verarbeitung geeignete technische und organisatorische Maßnahmen bietet, damit die Verarbeitung datenschutzkonform erfolgen kann.

Grundsätzlich sollte ein Anbieter aus Deutschland oder der EU bevorzugt werden, da bei Auftragsverarbeitern aus sog. Drittländern zusätzlich zu prüfen ist, ob sie ein angemessenes Schutzniveau bieten (Angemessenheitsbeschluss der EU) oder ansonsten geeignete Garantien des Anbieters (Abschluss von Standarddatenschutzklauseln).

Welche Möglichkeiten sollte das Videoconferencing-Tool bieten?

Der Verantwortliche (das Unternehmen) wird die technischen Maßnahmen anhand der geplanten Verarbeitung und Zielgruppe ausrichten müssen. Es ist danach zu fragen: Wird das Videoconferencing nur zur innerbetrieblichen Kommunikation genutzt oder auch mit Kunden in der Beratung oder Lieferanten bei Einkaufsverhandlungen? Dabei gilt es zu beachten, wie sensibel die Daten sind, die beim Videoconferencing geteilt werden sollen.

Der „Veranstalter“ der Videokonferenz ist dabei die verantwortliche Stelle und letztlich für die Auswahl des Tools und das damit verbundene Schutzniveau haftbar. Die Grundsätze „Data Protection by Design and Default“ nehmen vor allen Dingen das Unternehmen in die Pflicht.

Die „Must-haves“ an technischen Maßnahmen

Hosting: Wird das Tool gehostet oder On-Premises betrieben? Wenn möglich und nicht On-Premises, ist „VaaS“ (Video-as-a-Service) aus Deutschland oder der EU zu bevorzugen, da diese unmittelbar den Vorgaben der DSGVO unterliegen und somit ein angemessenes Schutzniveau gewähren.

Verschlüsselung: Die Kommunikation sollte möglichst verschlüsselt erfolgen. Dabei gilt es im Einzelfall zu bestimmen, welche Art von Verschlüsselung benötigt wird. Dies hängt letztlich von der Art der Daten ab, die verarbeitet werden sollen.

Business-Version: Für die Verwendung im Unternehmen eignen sich keine Tools, die für den privaten Einsatz gedacht sind. Zum Beispiel sind Apps wie WhatsApp oder FaceTime grundsätzlich ungeeignet.

Beschränkung von Logfiles: Logfiles sollten, nur soweit diese erforderlich sind, erstellt werden. Sie sollten aus Datenschutzsicht nur für die Fehlerbehebung durch den Dienstleister notwendig sein. Die Daten sind nur zu diesem Zweck zu verwenden und sollten nach Wegfall des Zwecks wieder gelöscht werden.

Chatverläufe und Dateiaustausch: Auch hier ist sicherzustellen, dass diese nur für den benötigten Zeitraum zur Verfügung stehen und danach automatisch gelöscht werden. Beim Chat dürfte dies nach Ende der Videokonferenz der Fall sein. Bei Dateiaustausch kann z.B. ein Zeitraum von wenigen Stunden oder einem Tag gewählt werden, innerhalb dessen die Mitarbeiter Zeit haben, die Daten herunterzuladen und anderweitig abzulegen. Ergänzend sollte als organisatorische Maßnahme geregelt werden, welche Arten von Dokumenten (nicht) über das Tool geteilt werden dürfen. Dies kann sowohl als Black- oder als Whitelist ausgestaltet werden.

Aufnahmen der Videokonferenz: Viele Tools bieten mittlerweile die Möglichkeit, die Video-Konferenz aufzunehmen. Dies dürfte in den meisten Fällen jedoch nur mit einer Einwilligung aller Teilnehmer zulässig sein. Daher sollte das Tool so eingestellt werden können, dass vor Start der Aufnahme bei allen Teilnehmern eine Nachricht mit den nötigen Informationen erscheint, sowie die Option, der Aufnahme zuzustimmen oder diese abzulehnen. Zudem wird eine Aufzeichnung wohl stets den Ton umfassen und könnte bei fehlender Zustimmung sogar regelmäßig wegen der Verletzung der Vertraulichkeit des Wortes strafbar sein. Hier ist im speziellen Fall ein Jurist zu befragen.

Einsatz bei Bewerbungsverfahren: Sollte ein Unternehmen Bewerbungsgespräche wegen Corona oder großer räumlicher Distanz via Videoconferencing durchführen, sollte im Voraus sorgfältig geprüft werden, was hier notwendig und überhaupt zulässig ist, z.B. Einsatz von Profiling-tools zur Verhaltensanalyse.

Blurr-Möglichkeit: Zudem bieten Videoconferencing-Tools teilweise die Möglichkeit, den Hintergrund vollständig auszugrauen. Dann laufen keine Kinder durch das Bild oder verrät die Bücherwand oder das Bild an der Wand persönliche Neigungen. Hier kann der Teilnehmer mit technischen Mitteln für mehr Datenschutz und Vermeidung von Peinlichkeiten sorgen.

Einrichtung von Zugangsbeschränkungen: Das ist wie ein persönliches Login oder wird bei Gästen durch die Zustimmung des Organisators geregelt. Es ist nicht immer selbstverständlich, dass Videoconferencing-Tools ohne diese technische Maßnahme eingesetzt werden. So meldete Mitte März 2020 das Fachmagazin c’t: „Ein vom bayerischen Innenministerium genutztes Videoconferencing-System stand ungeschützt im Netz. So konnte c’t an einer internen Sitzung zum Coronavirus mit Bayerns Innenminister Joachim Herrmann teilnehmen.“ *

Die dargestellten technischen Maßnahmen und Einstellungserwägungen erheben keinen Anspruch auf Vollständigkeit. Letztendlich muss immer der Einzelfall betrachtet werden.

Organisatorische Maßnahmen und Regelungen

Sensibilisierung: Teilnehmer sollten informiert und sensibilisiert sein, welche Daten über das Tool (vor allem auch mit Externen) geteilt werden dürfen. Hierzu kann der Moderator im Vorfeld eine Verhaltensrichtlinie verschicken und zu Beginn der Sitzung darauf verweisen. Insbesondere gilt dies beim Desktop-Sharing: Hier sollte nur gezeigt werden, was auch für die Besprechung erforderlich ist. Daher sollte der Desktop ohne Dateisymbole (Clean Desktop) gezeigt werden, solange diese für die Videoconferencing nicht erforderlich sind. Auch sollten keine Benachrichtigungen über neue Mails auf dem geteilten Bildschirm aufpoppen. Es sollte grundsätzlich für die Konferenz unterbunden werden. Als sehr nützlich hat sich das Muting nicht aktiver Teilnehmer erwiesen. Damit werden Rückkopplungen, Zwischenrufe der Kinder oder des Hundes nicht gleich an alle Teilnehmer verteilt.

Im innerbetrieblichen Bereich empfiehlt sich, eine Richtlinie zum Videoconferencing zu entwickeln und zu kommunizieren.

Quelle: *https://www.heise.de/ct/artikel/c-t-deckt-auf-Bayerischer-Innenminister-bespricht-Corona-Krise-in-ungeschuetzter-Videokonferenz-4680288.html

……………………………………………….

AKTUALISIERUNG am 28.01.2021:

Nach dem Austritt aus der Europäischen Union sind U.K. und Nord-Irland seit Januar 2021 unsichere Drittstaaten und entsprechend zu behandeln. Datenübertragungen aus der EU nach U.K. müssen nun über die Standardvertragsklausel der DSGVO mit entsprechenden Garantien abgesichert werden.

Ein Angemessenheitsbeschluss nach Art. 45 DSGVO der EU ist noch nicht absehbar.

Der Beitrag Homeoffice und Kundenkontakt per Videoconferencing erschien zuerst auf ACENT AG.

Der Beitrag Führung aus dem Homeoffice erschien zuerst auf ACENT AG.

Die Umsetzung (Do)

Nach der Analyse geht es an die Umsetzung der Planung. Neben den üblichen Fachanforderungen sollten Sie ein paar Datenschutz-Anforderungen im Augen behalten, um nicht nachher im Tagesgeschäft Schwierigkeiten zu bekommen.

An erster Stelle steht dabei das Berechtigungskonzept in SAP. Da S/4HANA kein schlichtes Upgrade ist, sondern eine neue Technologie, scheinen Berechtigungen im ersten Blick gleich zu bleiben. Im zweiten Blick wird allerdings deutlich, dass sie technisch völlig anders aufgebaut sind. Ein gängiger Fehler ist es, die alten Rollen zu übernehmen und nur ein wenig anzupassen. Das führt dazu, dass die Berechtigungen im Projekt nicht ausreichend beachtet werden.

Da die Berechtigungen nicht mehr transaktional, sondern Serviceberechtigungen sind, kann man sie nicht mehr über die GUI-Oberfläche aufrufen, sondern ruft einen Frontend-Server auf. Der Frontend-Server hat die Verbindung zum Fiori Launchpad. Dieses nimmt die Anforderungen entgegen und stellt die Verbindung zum Backend her. Das Backend ist dann die eigentliche S/4HANA.

Ein häufiger Fehler ist, dass Unternehmen ihre alten Rollen in die S/4HANA zufügen und mit Sternchen versehen, damit alles läuft, anstatt neue Rollen hinzuzufügen. Ein weiterer Fallstrick besteht darin, dass höchstwahrscheinlich das „alte“ Berechtigungskonzept aus der Zeit vor der DSGVO existiert – ein weiterer Grund, unter Datenschutzgesichtspunkten das Berechtigungskonzept neu zu entwickeln und dessen Wirksamkeit zu überprüfen. Das neue Berechtigungskonzept ist ein wichtiger Baustein in der SAP-Sicherheit und darf nicht unterschätzt werden.

Sperren und Löschen im SAP

Die DSGVO schreibt vor, dass pbD* gelöscht werden müssen, wenn der Zweck der Erhebung entfallen ist. Es sei denn, die Daten unterliegen einer Aufbewahrungsfrist oder ein Löschen ist aus technischen Gründen nicht möglich. In diesen Fällen sind die Daten zu sperren.

Für das vorschriftsmäßige Sperren und Löschen der Daten werden im SAP-System die Archivierungs-Funktionen und das SAP ILM (Information Lifecycle Management) genutzt.

Dabei ist zu beachten, dass das

• Sperren der Bewegungsdaten nur via Datenarchivierung möglich ist.
• Sperren der Stammdaten über SAP-ILM-Reports nur bei abgeschlossenen Bewegungsdaten durchführbar ist.
• Löschen archivierter Daten sowie nicht archivierte / gesperrte Stammdaten mittels SAP ILM löschbar sind.

Pseudonymisierung und Verschlüsselung

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und des Risikos für die betroffenen Personen und dessen Eintrittswahrscheinlichkeit sind nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Einen Vorschlag zur Erreichung eines angemessenen Schutzniveaus hat die Verordnung aber auch zu bieten: die Pseudonymisierung. Artikel 25 der EU-DSGVO beschreibt, dass die Pseudonymisierung vor allem hilft, den Datenschutzgrundsatz “Datenminimierung” wirksam umzusetzen und somit die Rechte der betroffenen Personen zu schützen. Die gute Nachricht: Pseudonymisierung eignet sich hervorragend, um Risiken wie Insider-Bedrohungen oder die Auswirkungen von Datenabflüssen sowie unerlaubten Zugriffen und Einsichtnahmen zu reduzieren – egal ob es sich um personenbezogene oder andere sensible Unternehmensdaten handelt. Hier sollte man frühzeitig im Planungs- und Entwicklungsprozess prüfen, an welchen Stellen eine Pseudonymisierung möglich ist.

Bei der Verschlüsselung sind im Projekt die unterschiedlichen Verschlüsselungsebenen und -möglichkeiten zu untersuchen. Von der Verschlüsselung auf Betriebssystem-Ebene, über die Verschlüsselung der Datenbank-Inhalte bis hin zu einer Verschlüsselung auf Applikationsebene oder einer benutzer- / rollenabhängigen Verschlüsselung.

Verfügbarkeit und Belastbarkeit

Dies betont die DSGVO ausdrücklich. Belastbarkeit (Resilienz) bedeutet in diesem Zusammenhang die Widerstandsfähigkeit der IT-Systeme im Fehlerfall, bei Störungen, bei hoher Beanspruchung.

Mangelnde Belastbarkeit der IT-Systeme wirkt sich indirekt auch auf die Verfügbarkeit der Daten aus.

Der Check (Prüfung)

Beim Check der IT-Security sind die umgesetzten Regeln, die vergebenen Berechtigungen und neuen DSGVO Prozesse regelmäßig zu prüfen und idealerweise in einem Datenschutzbericht zum Nachweis des Datenschutzmanagements zu dokumentieren.

Weitere Bereiche, die aus Datenschutzsicht einer regelmäßigen Prüfung und Awareness unterliegen sollten, sind:

• SAP-System Konfiguration
• Schnittstellensicherheit
• Patchmanagement
• Logging
• Faktor Mensch

Gerade letzterer Punkt sollte mit regelmäßigen Datenschutz- und Security-Schulungen unterstützt werden.

Aus Datenschutzsicht sind ebenfalls die Prozesse für Auskunfts-, Widerspruchs- und Korrekturrechte der Betroffenen frühzeitig zu prüfen. Denn hier gibt es für die Betroffenenrechte Zeit- und Formvorschriften in der DSGVO, wonach vollständig und richtig beantwortet werden muss. Ansonsten drohen Bußgelder bis 20. Mio. € oder 4 % des Jahres-Weltumsatzes der Unternehmensgruppe wegen Missachtung der Rechte der betroffenen Person.

Ein Augenmerk sollte auf das Auskunftsrecht gelegt werden, insbesondere wenn die betroffene Person eine elektronische Kopie ihrer Daten wünscht. Hier muss unterschieden werden, was muss und was kann beauskunftet werden und was unterliegt dem Geschäftsgeheimnis.

Act (Erkenntnisse in Verbesserungen umsetzen)

Erkannte Schwachstellen oder neue Anforderungen sind im ACT-Zyklus mit konkreten Maßnahmen zu hinterlegen. Danach wird mit diesen Erkenntnissen der Zyklus mit der Planung neu gestartet und anschließend im DO-Zyklus im System umgesetzt.

Fazit

Nicht nur wegen drohender hoher, abschreckender Sanktionen, sondern auch wegen möglicher Reputationsschäden, sollten Unternehmen frühzeitig die Anforderungen des Datenschutzes im HANA-Projekt berücksichtigen. Denn… „Vor-Sicht ist günstiger als Nach-Sicht“.

Anmerkung:

• *pbD = personenbezogene Daten

Der Beitrag DSGVO in SAP S/4HANA Projekten erschien zuerst auf ACENT AG.

Die Vorbereitung auf die neuen Datenschutzregeln ist für Unternehmen eine Chance, ihren Umgang mit sensiblen Daten zu überprüfen. Durch die immer stärkere Vernetzung und die Verlagerung von “Datenschätzen” in die Cloud, wie es bei HANA der Fall ist, sind Unternehmensdaten wachsenden Gefahren durch Cyberkriminalität ausgesetzt. Neben dem gesetzlich geforderten Schutz personenbezogener Daten müssen Unternehmen auch ihre sensiblen Unternehmensdaten vor unberechtigtem Zugriff schützen.

Entwickeln Sie vor Beginn der Migration auf S/4HANA ein umfassendes Sicherheits- und Datenschutzkonzept für die Berechtigungen der User und den Datenschutz in Ihrer S/4HANA Landschaft und den angrenzenden Systemen. Denn Datenschutz ist kein Projekt, sondern ein gelebter Prozess, der ständigen Änderungen unterliegt.

Das Datenschutzkonzept sollte u.a. einen dynamischen Prozess nach dem klassischen Plan-Do-Check-Act abbilden. Vorher ist allerdings die entscheidende Frage zu stellen und zu klären:

„Wo in meinem SAP-System befinden sich welche personenbezogenen Daten?“

Sind diese transparent und dokumentiert, ist der P-D-C-A-Zyklus gestartet. Weitere wesentliche Punkte sind generisch in der folgenden Grafik dargestellt.

Frühzeitig in der Planung sind die Grundsätze des Data Protection by Design and Default zu beachten:

• Data Protection by Design bedeutet dabei nichts anderes, als in der Planung darauf zu achten, dass nur die pbD* erhoben und gespeichert werden, die unbedingt erforderlich sind (Datensparsamkeit).
• Data Protection by Default bedeutet für das Customizing, eine nutzerfreundliche Voreinstellung so vorzunehmen, dass die Standard-Usability datenschutzkonform konfiguriert ist.

Zugriffsberechtigungen erlauben Benutzern, Objekte zu schreiben, anzuzeigen, zu ändern oder zu löschen. Dies ist bei Zugriff auf pbD* streng zu reglementieren. Denn aus Datenschutzsicht darf ein User nur aufgrund seiner Aufgabe oder Rolle im Unternehmen pbD* schreiben oder darauf zugreifen, lesen und/oder verändern oder löschen. Zusätzlich muss dies auf Grund der Rechenschaftspflicht in der DSGVO nachträglich nachgewiesen werden können.

Somit ist auf das Berechtigungskonzept unter Datenschutzgesichtspunkten ein wesentliches Augenmerk zu richten, neben dem sowieso zu berücksichtigenden 4-Augen-Prinzip in einigen Prozessen. Hierzu mehr im zweiten Teil dieses Blogs.

PbD* in Testumgebung

Zum Testen benötigt man praxisnahe Daten. Dabei sollten pbD* für die verschiedenen Testphasen synthetisch erzeugt oder anonymisiert werden. In dem Fall ist man aus der DSGVO raus und das Testen wird deutlich einfacher. Lässt sich dies partout nicht umgehen, ist das gleiche, strenge Berechtigungskonzept wie für die Produktionsumgebung anzuwenden.

Das Löschkonzept

Die Unternehmen, die HANA bereits eingeführt haben, beklagen einen erheblichen Aufwand, um SAP S/4HANA für die DSGVO fit zu machen. Dies betrifft zu einem wesentlichen Teil die Anforderung der DSGVO, pbD*, deren Erhebungszweck entfallen ist und die keiner Aufbewahrungspflicht aufgrund anderer Gesetze unterliegen, zu löschen oder zumindest zu sperren. Es ist offenbar nicht einfach und mit einem gewissen Aufwand verbunden. Viele Unternehmen sahen sich gezwungen, in ergänzende Produkte zu investieren, um die gesetzlichen Anforderungen zu erfüllen.

Insbesondere das “SAP NetWeaver Information Lifecycle Management” (ILM) stellt dabei aus DSAG-Sicht eine wichtige Komponente dar. Ohne dieses Werkzeug sei die Umsetzung der Datenschutzvorgaben nur mit hohem Zusatzaufwand machbar. Das ILM wird unter anderem zum Sperren und Löschen von personenbezogenen Daten benötigt.

Fazit

Nicht nur wegen drohender hoher, abschreckender Sanktionen, sondern auch wegen möglicher Reputationsschäden sollten Unternehmen frühzeitig die Anforderungen des Datenschutzes im HANA-Projekt berücksichtigen. „Vor-Sicht ist günstiger als Nach-Sicht“.

Der zweite, folgende Teil zum Thema DSGVO in SAP S/4HANA Projekten beschäftigt sich mit der Umsetzung (Do), der regelmäßigen Kontrolle (Check) sowie der Umsetzung der Erkenntnisss in geeignete Maßnahmen (Act).

Anmerkung:

• *pbD = personenbezogene Daten

Der Beitrag DSGVO in SAP S/4HANA Projekten erschien zuerst auf ACENT AG.

Traditionell liegt der Fokus des CISOs auf IT-Security, also dem Schutz der IT-Systeme und Daten. Identity and Access Management (IAM) und Firewalls sind zwei klassische Beispiele für Schutzmaßnahmen, die aus dieser Phase stammen und heute weitgehend als Standards in der IT etabliert sind.

Als Konsequenz von vermehrten Angriffen und der Erkenntnis, dass Angreifer trotz hoher Schutzmaßnahmen immer wieder erfolgreiche Angriffe platzieren, wird der Fokus stärker auf ‚Detection‘ und ‚Incident Response‘ gelegt. Ziel dabei ist es, durch intensives Monitoring Angriffe frühzeitig zu erkennen und durch schnelle Reaktion den potenziellen Schaden einzugrenzen. Durch diesen Schritt wird die CISO Organisation um die Komponente eines Cyber Defense Centers (oft auch CERT genannt) ergänzt.

Auch wenn die Kommunikation in Richtung Endanwender schon immer zum Aufgabenportfolio eines CISOs gehört, gewinnt diese Komponente durch das vermehrte Auftauchen von Phishing-Angriffen weiter an Bedeutung. Dazu kommt das Thema Klassifizierung. Ziel dabei ist es, zwischen den Informationen, die einen ‚normalen‘ Schutzbedarf haben und den besonders sensiblen Informationen, die z.B. das IP eines Unternehmens darstellen, zu unterscheiden. Hier ist der CISO gefordert, intensiv mit den Fachbereichen zu arbeiten, ihnen die Konzepte in Verbindung mit technischen, aber auch organisatorischen Schutzmaßnahmen nahe zu bringen. Spätestens ab diesem Zeitpunkt ist der CISO nicht mehr der Verantwortliche für IT-Security, sondern für Informationssicherheit.

Mit den Ransomware-Wellen 2017, aber auch den Diskussionen um regionale Stromausfälle durch die Energiewende und ganz aktuell durch den Ausbruch der Covid 19 Pandemie verändert sich in den ersten Unternehmen die Herangehensweise an die Risiken IT-basierter Geschäftsprozesse. In diesem Kontext taucht immer häufiger der Begriff Resilienz auf. Darunter versteht man die Fähigkeit, auch bei Störungen oder Teilausfällen der primären IT-Systeme wesentliche Geschäftsprozesse oder Teile dieser Geschäftsprozesse weiter betreiben zu können. Im Gesundheitsbereich spricht man bei Resilienz auch von Widerstandskraft.

Das Neue an dieser Betrachtungsweise ist die deutlich ganzheitlichere Herangehensweise an die Risiko-Mitigierung. Neben den klassischen Maßnahmen der IT-Security oder den Redundanzmaßnahmen des IT-Betriebes werden auch Sicherheits- und Redundanzmaßnahmen der operativen Geschäftsprozesse betrachtet. Ein Beispiel dafür ist die Erhöhung der Sicherheitsbestände von Rohstoffen oder Fertigprodukten, um die Produktion eines Industrieunternehmens unabhängiger vom Ausfall einzelner Supply-Chain-Systeme oder der Kommunikation untereinander zu machen.

Ein anderes Beispiel ist die Spiegelung von operativen Daten in ein Recherche-System in einer komplett anderen Systemumgebung. Dies hat einem Logistikunternehmen während der Ransomware-Welle 2017 geholfen, den Schaden zu begrenzen, da nach dem Totalausfall der operativen Systeme im eigenen Rechenzentrum viele Information zum Verbleib der Warencontainer aus dem Cloud-basierten Recherche-System rekonstruiert werden konnten.

Im Bereich der IT-Maßnahmen selbst kommt ein anderer Typ von Mitigationsmaßnahmen hinzu. So werden in den Cyber Defense Centern (CERTs) einiger Organisationen sowohl Windows-PCs als auch Macs eingesetzt. Wird bei einem Angriff eine Schwachstelle des einen Betriebssystems ausgenutzt, bleibt die Organisation mit dem anderen Equipment arbeitsfähig.

Im IT-Betrieb kann es sinnvoll sein, für die Backup-Systeme ein anderes Betriebssystem zu nutzen als für die operativen Systeme. Während der Ransomware-Welle 2017 hätte dies einigen Firmen geholfen, sehr viel schneller ihre operativen Systeme wiederherzustellen, da die Backup-Systeme genauso wie die operativen Systeme zunächst bereinigt werden mussten.

Auch kann die gezielte Verteilung von kritischen Applikationen auf unterschiedliche Cloud-Provider helfen, die Resilienz gegen den Ausfall dieser Services zu erhöhen und gleichzeitig Abhängigkeiten von einem Anbieter zu verringern.

Für den CISO bedeutet dies insgesamt, dass er als Partner der Fachbereiche mit diesen Risikoszenarien diskutiert und gemeinsam mit Fachbereich und IT-Organisation unter Kosten-Nutzen-Aspekten die sinnvollsten Maßnahmen zur Erhöhung der Resilienz auswählt. Er rückt damit deutlich näher an das operative Geschäft und wird als Partner der Fachbereiche wichtiger, insbesondere vor dem Hintergrund der zunehmenden Digitalisierung und der gleichzeitig zunehmenden Risiken für IT-basierte Geschäftsprozesse.

Der dritte Teil über Enterprise Architecture Management (EAM) und Cyber Security erscheint in Kürze.

Der Beitrag Der Chief Information Security Officer (CISO) und seine aktuellen Herausforderungen erschien zuerst auf ACENT AG.

• Wie sichere ich mein Geschäft ab?
• Wie sichere ich meine Mitarbeiter*innen (im Folgenden zur sprachlichen Vereinfachung nur Mitarbeiter genannt) gegen Infektionen und deren Konsequenzen (Quarantäne, Schließung des Standortes, gestörte Betriebsabläufe) ab?

Hier gibt es einige Möglichkeiten, Risiken zu reduzieren, z.B.:

• Schichtarbeit im Büro einführen – morgens arbeitet der eine Teil der Mitarbeiter, dann Büroreinigung und nachmittags arbeitet die andere Hälfte.
• Einführung von Kurzarbeit für die meisten und nur wenige Mitarbeiter sichern den Restgeschäftsbetrieb ab.
• Möglichst viele Mitarbeiter arbeiten von zu Hause aus und nur die absolut notwendigen Mitarbeiter vor Ort im Office.

Die letzte Lösung bietet sich an, weil sie scheinbar einfach und schnell zu implementieren ist und das gesundheitliche Ansteckungsrisiko in betrieblichem Umfeld deutlich reduziert wird. Zuerst ist dabei die arbeitsrechtliche Seite zu prüfen. Gibt der Arbeitsvertrag es her. Wie werden die Arbeitszeit-Regelungen eingehalten und nachweislich sichergestellt. Dann ist da eventuell auch ein Betriebsrat, der ein Mitbestimmungsrecht hat, z.B. bei Arbeitszeit, Gesundheitsschutz oder den Unfallverhütungsvorschriften. Hier möchte ich aber nicht weiter darauf eingehen. Siehe hierzu die Ausführungen von Prof. Dr. Oliver Ricken auf Haufe.de*.

Den Rest muss dann nur noch die IT machen! Die meisten haben einen Internetanschluss zu Hause sowie einen PC, Laptop oder ein Tablet. Ansonsten nehmen die Mitarbeiter einfach ihren Office-PC mit. Der „mobile“ Arbeitsplatz wird plötzlich zur Normalität: Immer mehr Unternehmen schicken ihre Mitarbeiter nach Hause und von dort sollen sie Teile ihrer beruflichen Tätigkeit erledigen. Diese sogenannte „Telearbeit“ oder neudeutsch „Home-Office“ hat aber ihre Tücken in der genutzten Technik, den Leitungskapazitäten (Bandbreiten), der IT-Security und den Compliance-Anforderungen. Und dann gilt es noch, die eigenen Geschäftsgeheimnisse zu schützen und die Anforderungen an den Datenschutz zu beachten.

Insbesondere für die letzten beiden Themen ist es existenziell, die IT-Security bzw. Informationssicherheit im Auge zu behalten und vorher zu prüfen. Sonst tauscht man schnell das Risiko der Quarantäne der Mitarbeiter gegen die Quarantäne der Rechner-Landschaft durch Ransomware aus.

Dabei ist eine der ersten und wichtigsten Kriterien: Arbeitet der Mitarbeiter zu Hause auf eigenem Rechner oder wird der Rechner oder der Laptop vom Unternehmen gestellt? In jedem Fall sollten für die Arbeit außerhalb der Geschäftsräume eindeutige und transparente Regeln aufgestellt sein, um die Rechte und Pflichten beider Seiten klarzustellen. Dies betrifft insbesondere den einzuhaltenden Datenschutz und Vorgaben zur Informationssicherheit – egal wo und auf welchem Endgerät die Mitarbeiter tätig werden.

Richtlinie zum Arbeiten im Home-Office

Wenn Sie noch keine Richtlinie für die Tele-Arbeit bzw. Arbeit im Home-Office haben, ist jetzt der Zeitpunkt, eine zu entwickeln und nachweislich zu kommunizieren. Es darf niemand hinterher sagen können, „…das hat mir aber keiner gesagt“.

Regeln Sie Themen wie

• Datensicherheit im Home-Office (Geheimhaltungspflichten)
• Informationspflichten an den Arbeitgeber (Arbeitgeber unverzüglich über alle relevanten Umstände zu informieren)
• Speicherung von privaten Daten auf betrieblichen Rechnern
• Arbeiten über Fern-Verbindung zum Unternehmens-Netzwerk (Zugang zum Netzwerk von außerhalb darf nur über starke Sicherheitsmechanismen, Nutzung von WLANs nur mit mindestens WPA2-Verschlüsselung erfolgen)
• Arbeiten mit privaten Geräten (u.a. Zugriff des Unternehmens auf private Rechner)
• Nutzung von mobilen Wechselmedien (USB-Sticks nur im Notfall und für den temporären Transport, keine personenbezogenen Daten)
• Download von Apps aus dem App-Store
• Einschränkung von Software-Installationen
• Haftung des Arbeitgebers (Haftungsausschluss für Verlust, Schäden oder Folgeschäden)
• Sowie unternehmensspezifische Regelungen

Geschäfts-PC oder -Laptop im Home-Office

Im Idealfall sollte Ihr Mitarbeiter nicht mit einem privaten PC oder Laptop arbeiten. Stellen Sie Ihren Mitarbeitern für das Home-Office einen eigenen Arbeitscomputer zur Verfügung.

• Verschlüsseln Sie die Festplatten: Im Fall von Diebstählen sind Sie so auf der sicheren Seite.
• Privates und Berufliches gehören nicht zusammen: Der Arbeitnehmer sollte die Home-Office Hardware nicht für private Zwecke nutzen.
• Familienmitglieder und andere Personen aus dem Haushalt des Arbeitnehmers sollten keinen Zugriff auf den Rechner haben.
• Verpflichten Sie Ihre Mitarbeiter, sichere Passwörter zu verwenden.
• Die Software des Rechners sollte auf dem neuesten Stand sein.
• Der Rechner sollte über ständig aktualisierte Virensoftware verfügen.
• Es sollte eine Firewall installiert und aktiv sein.

Diese Regelungen sind hoffentlich bereits in Richtlinien geregelt und lassen sich damit auf dem firmeneigenen Equipment gut umsetzen. Schwieriger wird die Umsetzung dieser Anforderungen, wenn ein privates Gerät zum Einsatz kommt. Hier könnte es empfehlenswert sein, dass die Mitarbeiter auf Terminalserver- bzw. Citrix-Servern zentral arbeiten und somit der eigene Rechner nur ein weitgehend „dummes“ Terminal ist. Das würde auch die eventuell nicht genügende Bandbreite im Home-Office kompensieren.

Sichere Anbindung des Home-Office an das Unternehmensnetzwerk

Egal, ob Geschäfts-Equipment oder private IT-Systeme – oberstes Gebot ist die sichere, verschlüsselte Anbindung an das Unternehmensnetzwerk per VPN oder über Webbrowser per https.

Prüfen Sie vorher aber auch, inwieweit die häusliche Bandbreite des Internet-Zugangs für die Home-Office-Lösung überhaupt ausreichend ist. Auch die zentralen Kapazitäten sollten einem externen Ansturm gewappnet sein. Am besten werden die Home-Arbeitsplätze in Gruppen ausgerollt, damit kann man sich an die Kapazitätsgrenzen heranarbeiten und Maßnahmen ergreifen, wen es eng wird. Der Mitarbeiter muss die für ihn notwendigen Applikationen auch laden und die Daten verarbeiten können.

Home-Office macht keinen Sinn, wenn der Mitarbeiter erst im Unternehmen die Dateien auf USB-Sticks kopiert, um sie dann zu Hause zu bearbeiten.

Absicherung der Home-Office-Endgeräte

Für Office-Equipment oder die private IT-Landschaft gilt: die Home-Arbeitsplätze müssen den IT-Sicherheitsstandards des Unternehmens entsprechen, im Idealfall noch höher sein. Insbesondere ein möglicher Zugriff auf die End-Geräte ist nicht so gut abgesichert wie im Unternehmen und darf zu dem noch nicht einmal kontrolliert werden. Häufig stehen die End-Geräte in Bereichen, die für alle Bewohner zugänglich sind.

Die nächste wichtige Frage ist, wie sichergestellt wird, dass sich eben nur der (zugelassene) Mitarbeiter einwählen kann und nicht ein unberechtigter Dritter. Hier ist eine Identifikation des Rechners und des Nutzers durch Zweifaktor-Identifikation empfehlenswert. Ein Mobile Device Management (MDM) oder noch besser ein Enterprise Mobility Management (EMM) wird bei Einsatz von vielen Home-Office-Plätzen meist unerlässlich.

Berechtigungen am Home-Office-Arbeitsplatz

Stellen Sie sicher, dass der Mitarbeiter im Home-Office die gleichen Berechtigungen wie im Unternehmen erhält und nicht aus Versehen, weil alles schnell gehen muss, er weiterreichende Berechtigungen erhält und so plötzlich auch auf die Personaldaten zugreifen kann, obwohl er im Marketing arbeitet.

Datenschutzvereinbarung zum Home-Office

Für die Arbeit im Homeoffice muss eine Datenschutzvereinbarung mit jedem Mitarbeiter getroffen werden. Diese Vereinbarung regelt, welche datenschutzrechtlichen Maßnahmen Arbeitnehmer im Homeoffice ergreifen müssen. Im Homeoffice haben Sie nämlich wenig Kontrolle darüber, wie Ihr Arbeitnehmer mit Ihren Daten umgeht. Sie bleiben aber verantwortlich!

Sie können den Home-Office-Platz zwar durch entsprechende Softwares vor IT-Angriffen schützen. Sie können dagegen aber nicht kontrollieren, inwieweit die berufliche technische Ausrüstung mit externen privaten Geräten verbunden wird. Hier kann es schnell zu Datenpannen kommen, die für Sie als Arbeitgeber verheerende Folgen haben können. Deshalb ist an dieser Stelle eine vertragliche Regelung sehr wichtig.

Zu guter Letzt: Berücksichtigen Sie die lizenzrechtlichen Themen im Home-Office

Für die Arbeit im Homeoffice muss die Lizenzfrage geprüft werden. Könnten die Lizenzen für den Arbeitsplatz auch für einen zweiten Arbeitsplatz desselben Mitarbeiters genutzt werden? Insbesondere, wenn der Mitarbeiter einen privaten PC oder Laptop und die darauf installierte Software jetzt für betriebliche Belange nutzt. Viele Apps sind speziell nur für die private Nutzung kostenfrei.

Sie sehen – so einfach die Lösung erscheint, die Mitarbeiter im Homeoffice weiterarbeiten zu lassen, gibt es doch allein aus IT-Sicherheits- und datenschutzrechtlicher Sicht etliche Dinge, die bei Außerachtlassung weit größeren Schaden als auf den ersten Blick Nutzen bringen könnten.

Quelle:

https://www.haufe.de/recht/deutsches-anwalt-office-premium/7-homeoffice-ii-mitbestimmung-in-sozialen-angelegenheiten_idesk_PI17574_HI11617160.html

Der Beitrag Homeoffice – das neue Einfallstor in die Unternehmens-IT in Zeiten von Corona erschien zuerst auf ACENT AG.

Vordergründig geht es häufig um die Frage, ob der CISO an den CIO berichten sollte oder ganz bewusst an eine Funktion außerhalb der IT. Die Möglichkeiten reichen hier von einer Berichtslinie an Funktionen wie Risk Management, Werkschutz / Corporate Security oder Compliance bis zu einer direkten Anbindung an den Vorstand oder eine Vorstandsfunktion. Das ‚Three-Lines-of-Defense-Model‘ des Risk Managements suggeriert zwar, dass seine Berichtslinie außerhalb der IT obligatorisch ist, allerdings berichtet die überwiegende Zahl der CISOs in großen Konzernen weiterhin an den CIO, auch wenn die Aufgaben definitiv über die IT im engeren Sinne hinausgehen. Beispiele hierfür sind die Informationsklassifizierung, Business Impact Analysen oder Mitarbeiter Awareness – alles Aufgaben, die nur im engen Schulterschluss mit den Fachabteilungen erfolgreich sein können.

Wichtiger, ob der CISO an den CIO berichtet oder nicht, ist allerdings die Frage, inwieweit seine Aufgaben in Ihrer Bedeutung und Breite vom Unternehmen verstanden und akzeptiert sind. Dies ist offensichtlich in vielen Unternehmen der Fall und deshalb lassen diese Unternehmen den CISO regelmäßig an ein Executive Gremium mit Vorstandbeteiligung berichten. Dies führt dazu, dass die Frage, an wen der CISO berichtet, weit weniger entscheidend ist.

Allerdings ist die Nähe zur IT in jedem Fall ein wichtiger Erfolgsfaktor für die Effizienz und Effektivität des CISOs und seiner Organisation. Die Umsetzung von Prinzipien wie ‚Security by Design‘ und das Monitoring der Einhaltung von Security-Vorgaben sind nur in enger Zusammenarbeit zwischen operativer IT und CISO-Organisation zu gewährleisten. Durch die enge Anbindung des CISOs an den operativen IT-Bereich lässt sich auch sicherstellen, dass aktuelle Entwicklungen zeitnah verfolgt und entsprechend geregelt und auch in das Security Monitoring übernommen werden können. Insbesondere die Veränderungen durch die Digitalisierung erfordern ein pro-aktives Agieren der CISO-Organisation. Bei einer zu großen Entfernung von der operativen IT besteht immer das Risiko, dass die CISO-Funktion den Entwicklungen hinterherläuft und als rückwärtsgewandte Governance-Funktion ohne nennenswerte Akzeptanz und damit Effektivität wahrgenommen wird.

Spannend und in vielen Firmen im Umbruch ist die Frage, wer verantwortlich für Cyber Security in der OT (Operational IT oder besser IT in der Produktion) ist. Durch die Konvergenz der Technologie liegt es nahe, den CISO und seine Organisation auch hierfür in die Pflicht zu nehmen. Häufig geht dies auch einher mit der Etablierung einer entsprechenden Support Einheit in der klassischen IT Organisation. Durch die typischerweise gewachsenen Strukturen mit eher dezentralen Verantwortlichkeiten und durch die deutlich langsameren Innovationszyklen bei Produktionsanlagen im Vergleich zum klassischen IT-Equipment, stellt die Aufgabe meist eine sehr große Herausforderung dar, zumal mit dem Einzug von Industrie 4.0 die Anfälligkeit der Prozesse durch Cyberangriffe massiv wächst.

Ein weiterhin aktuell diskutiertes Thema ist die Frage, inwieweit die CISO Organisation eher operative Verantwortlichkeiten für das SOC (Security Operation Center), das CERT (Computer Emergency Response Center) oder die etwas umfassendere Cyber Defense Organisation übernehmen sollte und wie das Zusammenspiel mit der operativen IT gestaltet wird. Auch wenn es hier durchaus unterschiedliche Konstellationen gibt, hat sich in großen Unternehmen durchgesetzt, die operative Security Einheit dem CISO zu unterstellen. Die Zuständigkeit des CISOs bedeutet dabei nicht automatisch, dass auch alle Aufgaben intern erledigt werden. Insbesondere der Betrieb von SOC-Aufgaben wird häufig – wie andere operative Aufgaben in der IT auch – durch spezialisierte Partnerunternehmen erbracht.

Inzwischen wird vermehrt die Frage gestellt, inwieweit auch die Sicherheit in Endprodukten z.B. bei Fahrzeugen oder medizinischen Devices in den Verantwortungsbereich des CISOs gehört. Auch hier gibt es keine allgemeingültigen Antworten, aber die Verantwortlichen für die IT in den Produkten sind sicher gut beraten, sich die häufig langjährige Expertise der CISO-Organisation zu sichern.

Last but not least muss auch überlegt werden, wie in Konzernen mit Tochtergesellschaften im In- und Ausland die CISO-Organisation global aufgestellt wird. Eine komplett zentralisierte Organisation hat sich insbesondere wegen der erforderlichen Nähe zum operativen Geschäft nicht bewährt. Stattdessen wird häufig ein Hybrid aus zentralen / regionalen und lokalen Komponenten gewählt. Governance-Aufgaben, das Monitoring von Security Vorgaben sowie Cyber Defense/CERT-Aufgaben sind sinnvollerweise zentral bzw. regional etabliert. Awareness Trainings, Risk Assessments und Business Impact Analysen eignen sich auch für lokale Aufgaben.

Die konkrete Ausprägung der globalen Struktur wie auch die anderen angesprochenen Organisationsaspekte müssen immer im Kontext des individuellen Unternehmens definiert werden. Ein Unternehmen aus der Finanzbranche, ein Handelsunternehmen oder ein forschendes Produktionsunternehmen werden nicht unbedingt das gleiche Setup der CISO-Organisation wählen, auch wenn die Grundstrukturen sich immer weiter annähern. In allen ist gemeinsam, dass nur mit einem starken CISO und einer entsprechend schlagkräftigen Cyber Security Organisation sich die Sicherheit in Zeiten der zunehmenden Digitalisierung gewährleisten lässt.

Der zweite Teil “Resilienz IT-basierter Geschäftsprozesse” erscheint in Kürze.

Der Beitrag Der Chief Information Security Officer (CISO) und seine aktuellen Herausforderungen erschien zuerst auf ACENT AG.

Mit der neuen DSGVO gab es größere Unsicherheit und unterschiedliche juristische Meinungen bis zur Veröffentlichung des Urteils vom OLG Frankfurt (27.06.2019 – 6 U 6/19 + Link zum Urteil), das in einem Fall die Grenzen klar aufzeichnet.

Aus meiner Sicht gibt es einen einfachen Drei-Punkte-Katalog, unter dem „Leistungen gegen werbliche Nutzung von Daten“ umgesetzt werden können:

1.      Freier Wille

Bei einer freiwilligen Einwilligung der betroffenen Person ist eine Koppelung von Leistung möglich, auch für mehrere Partnerunternehmen. Die Einwilligung muss allerdings eindeutig sein und alle Partnerunternehmen müssen im Sinne der Transparenz benannt werden. Die betroffene Person muss informiert sein, wem gegenüber sie die Einwilligung erteilt. Eine pauschale Einwilligung für die XY AG und deren Partnerunternehmen wäre nicht transparent genug und damit unzulässig.

2.      Absicherung

Die erhobene E-Mail-Adresse oder Telefonnummer sollte von Ihnen nicht sofort für den werblichen Kontakt genutzt werden. Auch hier ist das bekannte Double Opt-In-Verfahren zwingend erforderlich.

Es muss jeder genutzte, werbliche Kanal für sich mit einem Double-Opt-In abgesichert werden.

Die Zugehörigkeit der Telefonnummer zur betroffenen Person kann z.B. durch eine werbefreie SMS oder WhatsApp mit einem Bestätigungslink verifiziert werden.

3.      Nachweisbarkeit

Wenn Sie Werbung elektronisch versenden wollen, müssen Sie aufgrund der Rechenschaftspflicht die Einwilligung des Nutzers durch das Double-Opt-In Verfahren im Streitfall später nachweisen können. Vergewissern Sie sich, dass Ihr Marketing-Partner dazu in der Lage ist und lassen sich dies bei Gelegenheit einmal zeigen.

Der Beitrag Datenschutz: Kopplung von Leistung gegen Einwilligung möglich erschien zuerst auf ACENT AG.

Die betroffenen Unternehmen hatten jetzt jeweils zwei Jahre Zeit, ihre kritischen Prozesse und Assets, die bestimmte Schwellwerte (Kenngrößen) überschritten, abzusichern und die Umsetzung der vorgeschriebenen Maßnahmen dem BSI nachzuweisen sowie Kontaktschnittstellen zum BSI zu implementieren.

Richtlinien für die vorgeschriebenen Maßnahmen waren entweder die ISO 27001, der BSI-Grundschutzkatalog oder ein mit dem BSI vereinbarter Branchenstandard, der sog. B3S-Katalog. B3S steht dabei für Branchenbasierter Sicherheits-Standard zur IT-Sicherheit.

Seit dem 27.03.2019 liegt der Referentenentwurf zum neuen IT-Sicherheitsgesetz 2.0 vor. Dieser ist noch nicht verabschiedet, was aber für 2019 noch erwartet wird. Ab dann haben die betroffenen Unternehmen wieder zwei Jahre Zeit, die notwendigen Maßnahmen umzusetzen und nachzuweisen.

Neu dabei sind die Ausweitung der Befugnisse des BSI auch in das Straf- und das Strafverfahrensrecht und u.a. die voraussichtliche Einführung eines Sicherheitskennzeichens. Veränderungen gibt es auch im Zusammenhang mit dem Schutz kritischer Infrastrukturen. Dies wird einen ähnlichen Ruck durch die Unternehmen geben, wie letztes Jahr die DSGVO.

Gab es im ersten Sicherheitsgesetz noch einen verhältnismäßig „geringen“ Strafrahmen von 100.000 Euro je Verstoß, orientiert sich das IT-SiG 2.0 an den Bußgeldern der DSGVO mit maximalen „Geldbußen von bis zu 20.000.000 Euro oder von bis zu vier Prozent des gesamten, weltweit erzielten jährlichen Unternehmensgruppen-Umsatzes, je nachdem, welcher der Beträge höher ist“.

Wird nur ein geringer Teil davon in IT-Sicherheit investiert, bekommt man schnell eine Win-Win-Situation. IT-Sicherheit erhöht sich, Geschäftsgeheimnisse, Produktionsabläufe und personenbezogene Daten werden geschützt und mögliche Bußgelder sinken, denn ein Ignorieren dieser Compliance-Anforderungen wird teurer.

Neu hinzugekommen sind die Branchen Abfallwirtschaft, Rüstungsindustrie, Kultur und Medien sowie Unternehmen, die von erheblicher volkswirtschaftlicher Bedeutung sind. Da diese Begrifflichkeiten sehr weit gefasst werden können, ist hier die Konkretisierung abzuwarten.

Auch wenn es sich bisher nur um einen Referentenentwurf handelt, der zurzeit noch diskutiert wird, liegt eine Zielvorgabe ziemlich klar auf der Hand. Dies sollten von den Unternehmen bereits jetzt in deren Sicherheitsstrategien berücksichtigt werden.

Der Beitrag IT-Sicherheitsgesetz 2.0 erschien zuerst auf ACENT AG.

Vor einiger Zeit bereits hatte die Datenschutzkonferenz (DSK) strenge Vorgaben beim Einsatz von Tracking- und Marketing-Cookies in ihrer veröffentlichten Orientierungshilfe (siehe dort auch „Cookie-Banner“ & „Content-Tools“) erteilt. Am 01. Oktober 2019 wurde die Meinung der DSK zur informierten Einwilligung in bestimmte Cookies vom EuGH in einem Urteil bestätigt. Der EuGH ging darin sogar noch weiter – das Urteil gilt tatsächlich für ALLE Cookies. Es kommt nicht darauf an, ob diese personenbezogen sind oder nicht. Der Grundgedanke ist, dass ohne Einwilligung des Benutzers auf dessen Gerät gar nichts gespeichert werden darf.

Allerdings bedürfen technisch notwendige Cookies z.B. Warenkorbspeicher beim Shoppen oder Login-Cookies weiterhin keiner Einwilligung. Ebenso dürften Session-Cookies, die für die Aufrechterhaltung der Kommunikation notwendig sind, davon ausgenommen sein. Eine Informationspflicht in der Datenschutzerklärung indes besteht trotzdem.

Nach diesem Urteil des EuGHs besteht damit bei vielen Website-Betreibern akuter Handlungsbedarf. Zukünftig muss der Nutzer

1. informiert werden, welche Cookies zu welchem Zweck gesetzt werden, um
2. die Möglichkeit zu haben, die Verwendung von Cookies, die nicht zwingend für die Website notwendig sind, gezielt abzustellen.

Eine simple Einblendung mit entsprechenden Hinweisen reicht nicht mehr aus. In jedem Fall muss der Besucher wirklich eine Wahl haben, inwieweit er die Nutzung von Cookies bzw. Tracking-Instrumenten zulassen möchte oder nicht. Damit bleibt es nicht mehr der Risikobereitschaft des jeweiligen Unternehmens vorbehalten, wie zügig die DSK Cookie-Meinung auf den eigenen Seiten umgesetzt wird. Jetzt sollte aus meiner Sicht jeder Website-Betreiber möglichst zügig handeln.

Quelle:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf

Der Beitrag Konsequenzen aus dem EuGH-Urteil zum Einsatz von Cookies erschien zuerst auf ACENT AG.