Markus Kastelitz
Markus Kastelitz

BSI: Anforderungskatalog Cloud Computing (C5; Compliance Controls Catalogue)

BSI, Cloud

Der Anforderungskatalog des dt. BSI (englischer Titel: Cloud Computing Compliance Controls Catalogue, kurz „C5“) richtet sich in erster Linie an professionelle Cloud-Diensteanbieter deren Prüfer und Kunden der Cloud-Diensteanbieter. Es wird festgelegt, welche Anforderungen die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte.

Update 8.5.2017: Mindeststandard des BSI zur Nutzung externer Cloud-Dienste https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards/Nutzung_externer_Cloud-Dienste/Nutzung_externer_Cloud-Dienste_node.html;jsessionid=3E8EE7D37E8B9BEA57189C5BFEE7FF01.1_cid360

Markus Kastelitz

BRD: GDD veröffentlicht Auftragsverarbeitungs-Mustervertrag u. Praxishilfe „Verfahrensverzeichnis“

Auftragsdatenverarbeitung, DSGVO, Verfahrensverzeichnis

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat bereits mehrere, sehr empfehlenswerte „Praxishilfen DS-GVO“ veröffentlicht, zuletzt die

Markus Kastelitz

Österreich: Datenschutzbericht 2016 veröffentlicht

Datenschutzbehörde, Header
Österreich: Datenschutzbericht 2016 veröffentlicht

Gemäß § 37 Abs 5 DSG 2000 hat die Datenschutzbehörde bis zum 31. März eines jeden Jahres einen Bericht über ihre Tätigkeit im vorangegangenen Kalenderjahr zu erstellen, dem Bundeskanzler vorzulegen und in geeigneter Weise zu veröffentlichen. Der Bericht ist vom Bundeskanzler dem Nationalrat und dem Bundesrat vorzulegen.

Dieser Datenschutzbericht liegt nun für das Jahr 2016 vor – Lesestoff für Datenschutz-Aficionados für das verregnete Osterwochenende und darüber hinaus … 😉

Markus Kastelitz

Art.29-Datenschutzgruppe veröffentlicht Guidelines zur Datenschutz-Folgenabschätzung 

Art. 29 WP, Datenschutz-Folgeabschätzung, DSGVO

​Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 (pdf), Annex 1 – Examples of existing EU DPIA frameworks, Annex 2 – Criteria for an acceptable DPIA

Markus Kastelitz

Art.29-Datenschutzgruppe: aktualisierte Guidelines u.a. zum Datenschutzbeauftragten

Art. 29 WP, Datenportabilität, Datenschutzbeauftragter, Datenschutzbehörde, DSGVO, Uncategorized
Michael Punz

Weiteres Vereinsseminar zum Thema „Umsetzungsprojekt zur EU-DSGVO“

DSGVO, Umsetzungsprojekt
Weiteres Vereinsseminar zum Thema „Umsetzungsprojekt zur EU-DSGVO“

Aufgrund des Erfolgs des ersten Vereinsseminars zum Thema „Umsetzungsprojekt zur EU-DSGVO“ und des großen Interesses an diesem Thema hat am 3. April 2017 kurzfristig auch ein weiteres Vereinsmitglied den aktuellen Projektfortschritt im eigenen Haus vorgestellt, wie die Compliance zur EU-DSGVO bis Mai 2018 hergestellt wird.

Besonders erwähnenswert ist, dass sich ein Mitglied des Top Managements des Gastgebers die Zeit genommen hat, beim Vereinsseminar die Erfahrungen mit der EU-DSGVO auch aus Sicht des Top Managements zu schildern und auf Fragen der Teilnehmer einzugehen. Die Erkenntnis war klar: Für ein erfolgreiches EU-DSGVO-Umsetzungsprojekt ist die Unterstützung des Top Managements unerlässlich!

Durch die angeregte Diskussion und die vielen Inputs der Teilnehmer konnte wieder jeder wertvolle Anregungen für das eigene Unternehmen bzw. für die eigene Organisation mitnehmen.

Das nächste Vereinsseminar findet am 9. Mai (ebenfalls in Wien) zum Thema „Datensicherheit in der Praxis – Stand der Technik“ statt. Alle Mitglieder von PrivacyOfficers.at sind herzlich über die bereits versendete Einladung dazu eingeladen.

Markus Kastelitz

Österreich: DSGVO-Kommentar erschienen – unter Mitarbeit der Privacyofficers.at-Gründer M. Kastelitz u. R. Riedl

Header, Uncategorized
Österreich: DSGVO-Kommentar erschienen – unter Mitarbeit der Privacyofficers.at-Gründer M. Kastelitz u. R. Riedl

Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz-Grundverordnung, SFU Verlag (Wien), ISBN 978-3-902626-50-9, u.a. erhältlich bei Manz.

Markus Kastelitz

Österreich: Gerüchte über das DSGVO-Anpassungsgesetz

Datenschutz, Datenschutzbeauftragter, DSGVO

Ein Cross-post von meinem Blog: Es schwirren derzeit einige Gerüchte über das künftige österreichische „DSGVO-Anpassungsgesetz“ herum, die ich hier kurz festhalten will (Disclaimer: Es liegt in der Natur von Gerüchten, dass diese „fake news“ sein können – also Achtung):

  • FAKTUM: Österreich hat als einziger EU-Mitgliedsstaat gegen die DSGVO gestimmt (pdf). Es folgen die Gerüchte …
  • Eine Absenkung des Schutzniveaus (siehe zum deutschen Datenschutz-Anpassungs- und -Umsetzungsgesetz EU hier und aktuell auch hier sowie hier) ist wohl nicht zu erwarten (über bereits in der DSGVO vorgesehene „Flexibilisierungen“ hinaus).
  • Die LegistInnen im BKA (in Österreich die Abkürzung für das zuständige Bundeskanzleramt) haben einen internen Entwurf, der nur „das Notwendigste“ regelt, fertiggestellt; dieser ist nicht veröffentlicht und liegt dem Koalitionspartner zur internen Stellungnahme und Abklärung vor.
  • Es wird koalitionsintern u.a. über das darin vorgesehene datenschutzrechtliche „Verbandsklagerecht“ heiß diskutiert, ebenso über die Höhe von Verwaltungsstrafen (siehe u.a. Art 83 Abs 7 DSGVO) und die Umsetzung der JI-RL (EU) 2016/680.
  • Vom Anwendungsbereich sind nur mehr natürliche Personen umfasst (bislang sind in Ö auch juristische Personen [und Personengemeinschaften] als „Betroffene“ umfasst).
  • Geldbußen können auch gegen eine juristische Person als strafbare Person verhängt werden („Verbandsverantwortlichkeit“; vgl. das Kartellrecht) – dies soll Geschäftsführer bzw. Vorstandsmitglieder davor schützen, nach Verhängung einer „saftigen“ Geldbuße Privatinsolvenz beantragen zu müssen …
  • Last but not least: Angeblich soll erst im Herbst 2017 eine Regierungsvorlage veröffentlicht werden (wobei BM Drozda Anderslautendes angekündigt hat: „ein Entwurf für ein neues österreichisches Datenschutzgesetz bereits [liege vor], dieses mit dem Koalitionspartner abgestimmt werde und voraussichtlich noch im ersten Halbjahr 2017 beschlossen werden könne“)  – es bliebe dann wenig Zeit, bereits laufende Umsetzungsprojekte an etwaige „Austriaca“ anzupassen …
  • Update 1: Ich habe gerade gehört, dass es eventuell doch schneller gehen könnte und die Begutachtung demnächst starten soll – eine parlamentarische Beschlussfassung vor dem Herbst ist aber unwahrscheinlich.
  • Anmerkung zum DSB: Alle die von einer Überwälzung auf den künftig gem. Art 37 Abs 1 lit a-c DSGVO verpflichtend zu bestellenden Datenschutzbeauftragten als verantwortlichen Beauftragten (§ 9 VStG) „geträumt“ haben, sollten sich Folgendes überlegen: Der DSB darf bei Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten (Art 38 Abs 3 DSGVO; „Weisungsfreiheit“). Ob man im Unternehmen einen rechtlich weisungsfrei gestellten DSB mit einer Anordnungsbefugnis gem. § 9 Abs 4 VStG haben möchte, sollte man sich gut überlegen, zudem mit der Solidarhaftung gem. § 9 Abs 7 VStG. Dagegen spricht auch, dass der Verantwortliche verantwortlich ist (Art 5 Abs 2 DSGVO) und Art 39 DSGVO die Aufgaben des DSB mehr in der Beratung sieht als in jener des“Haftungsprellbocks“. Lesenswert zur Frage, wer eine Strafe zur tragen hat, hier von RA Dr. Schweiger.
Michael Mrak

Privacy Enhancing Technologies in der Praxis

Privacy Enhancing Technologies (PET)

John Borking präsentierte vor 22 Jahren die Idee, dass der Schutz der Privatsphäre im Informationszeitalter nur durch Technik erreicht werden kann. Es war die Geburtsstunde der „Privacy Enhancing Technologies“, die später die Konzepte des „Privacy by Design“ und des „Datenschutzes durch Technik“ ermöglichen sollten.

Die europäische Behörde für Netz- und Informationssicherheit ENISA hat vor einen Jahr eine Analyse zum Reifegrad von Datenschutz-Techniken veröffentlicht. Sie ist ein Meilenstein zur Umsetzung der so genannten „Privacy Enhancing Technologies“ in der Praxis. Bei der Umsetzung der Vorgaben der Datenschutz-Grundverordnung wird PET eine wichtige Rolle spielen. Im Verein befassen wir uns unter anderem in Arbeitsgruppen mit diesem Thema.

 

Michael Mrak

Filmtipp: Democracy – Im Rausch der Daten

DSGVO, Gesellschaft, Privacy
Filmtipp: Democracy – Im Rausch der Daten

Der Dokumentarfilm „Democracy – Im Rausch der Daten“ begleitet die Entstehung der Datenschutz-Grundverordnung der Europäischen Union. Der Film begleitet dabei den Abgeordneten des Europäischen Parlaments Jan Philipp Albrecht und die damalige Vizepräsidentin der Europäischen Kommission und Kommissarin für Justiz, Grundrechte und Bürgerschaft Viviane Reding, die sich um die Umsetzung stärkeren Datenschutzes zur informationellen Selbstbestimmung bemühen.

Die Dokumentation kann unter anderem hier gekauft bzw. als Stream gesehen werden:

YouTube Leihfilm

Apple iTunes Leihfilm

Apple iTunes Kauffilm

Amazon Video als Leihfilm oder als DVD

 

 

Markus Kastelitz

11. Europäischer Datenschutztag mit Beteiligung von Privacyofficers.at (Rückblick)

Datenschutz, Datenschutzbehörde, Datenschutztag, DSGVO

Anlässlich des 11. Europäischen Datenschutztages fand am 23. Februar 2017 im Bundeskanzleramt eine gemeinsame Veranstaltung von Datenschutzbehörde und Datenschutzrat unter dem Titel „Das neue Datenschutzrecht in der Europäischen Union“ statt. Zu den Vortragenden zählte auch Judith Leschanz von Privacyofficers.at, die Vortragsfolien (darunter auch jene von Dr. Matthias Schmidl, stellvertretender Leiter der Datenschutzbehörde) sind hier (Bundeskanzleramt) abrufbar. Ein Bericht der Wiener Zeitung über den Datenschutztag ist hier verfügbar.

Michael Mrak

Google-Richtlinien: EFF gibt Datenschutz-Tipps

Cloud, Datenschutz, Google

Die US-Bürgerrechtsorganisation EFF gibt auf ihrer Webseite Tipps, wie noch vor der Umstellung der Datenschutzrichtlinien von Google eine Zusammenführung der Suchhistorie mit anderen Google-Diensten verhindert werden kann.

Am 1.März wird Google die stark umstrittene neuen Datenschutzrichtlinien einführen, die die Zusammenführung aller Daten von Google-Diensten vorsieht. Dadurch könnten theoretisch mit Hilfe der Suchhistorie und den Daten aus anderen Diensten wie YouTube oder Google+ ziemlich präzise Schlüsse über einen Nutzer gezogen werden. Um das zu verhindern, hat die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) eine Anleitung auf ihrer Seite veröffentlicht, wie vergangene Suchdaten gelöscht und die Sammlung von diesen Daten in Zukunft verhindert werden kann.

Quelle: futurezone.at

Michael Mrak

EU-Kommission stellt Konzept für Daten-Binnenmarkt vor

Uncategorized

Die EU-Kommission will den freien, grenzüberschreitenden Datenfluss in der EU möglich machen und die bestehenden ungerechtfertigten Beschränkungen abschaffen. Dafür hat sie heute (Dienstag) in Brüssel politische und rechtliche Konzepte vorgeschlagen, mit denen Europas Digitalwirtschaft vorangebracht werden soll.

Zum Artikel der EU-Kommission

Michael Mrak

Folgen Sie unserem Blog per E-Mail

Header
Folgen Sie unserem Blog per E-Mail

Möchten Sie über aktuelle Beiträge aus unserem Blog per E-Mail informiert werden? Tragen Sie Ihre E-Mail Adresse in der rechten Spalte unter dem Abschnitt  „Blog via E-Mail abonnieren“ ein und aktivieren Sie danach in der eingegangenen E-Mail das Abonnement. Jeder unserer Artikel wird, sobald er veröffentlicht wird, per Email an die von Ihnen gewählte E-Mail Adresse verschickt. Nützen Sie diese Funktionalität, um über alle Beiträge hier auf dem Laufenden zu bleiben. Selbstverständlich können Sie sich jederzeit von dem E-Mail Verteiler abmelden.

Blog via E-Mail abonnieren

Geben Sie Ihre E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten. Ich stimme widerruflich zu, dass meine E-Mail-Adresse für o.a. Zweck von Privacyofficers.at verarbeitet wird (Datenschutzinfos hier)

Schließe dich 823 anderen Abonnenten an

Anstehende Veranstaltungen

  1. 2. Regionalgruppentreffen WEST

    Mai 6 @ 17:00 - 22:00
  2. 1. Regionalgruppentreffen SÜD

    Mai 6 @ 17:00 - 20:00
  3. Ein Jahr DSGVO – über 300 Mitglieder – Grund genug zu feiern!

    Mai 24 @ 16:00 - 23:00
  4. Sommerfest 2019

    Juni 13 @ 17:00 - 20:00

Blog via E-Mail abonnieren

Geben Sie Ihre E-Mail-Adresse an, um diesen Blog zu abonnieren und Benachrichtigungen über neue Beiträge via E-Mail zu erhalten.

Schließe dich 823 anderen Abonnenten an

Anstehende Veranstaltungen

  1. 2. Regionalgruppentreffen WEST

    Mai 6 @ 17:00 - 22:00
  2. 1. Regionalgruppentreffen SÜD

    Mai 6 @ 17:00 - 20:00
  3. Ein Jahr DSGVO – über 300 Mitglieder – Grund genug zu feiern!

    Mai 24 @ 16:00 - 23:00
  4. Sommerfest 2019

    Juni 13 @ 17:00 - 20:00