Fachbeiträge


Datenschutz und IT-Sicherheit

Was kommt auf Contact Center zu?

Im Mai 2018 tritt die neue Datenschutzgrundverordnung in Kraft. Teletalk beschreibt in diesem Artikel ausfĂŒhrlich, worauf sich Dienstleister einstellen mĂŒssen.

Niels Lepperhoff: Was kommt auf Contact Center zu? Erschienen in: TeleTalk, Ausgabe Juli 2017, S. 12-14.

 

Gehaltsbenchmarks unterstĂŒtzen - zulĂ€ssig?

Der Grat zwischen einem wettbewerbsfĂ€higen Gehalt und einem (zu) hohen Gehalt ist schmal. Benchmarks geben Auskunft ĂŒber die Gehaltsspannbreiten in einer Branche. Dabei wird je nach Benchmark neben weiteren Kriterien auch nach Qualifikation, Position, Geschlecht und Alter unterschieden. Um solche Benchmarks erstellen zu können, sind die Anbieter auf personenbezogene Gehaltsdaten angewiesen. Personalleiter stehen deshalb vor der Frage, ob sie die Gehaltsdaten ihrer Mitarbeiter an die Anbieter ĂŒbermitteln dĂŒrfen.

Niels Lepperhoff: Gehaltsbenchmarks unterstĂŒtzen - zulĂ€ssig? Erschienen in: Lohn+Gehalt 05/2017, S. 90 - 91.

 

Der ĂŒbersehene Paragraph und die DS-GVO

Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ ergĂ€nzte 2015 das Telemediengesetz um Sicherheitsanforderungen fĂŒr Webseiten, Webshops, FTP-Server usw. Mit der Datenschutz-Grundverordnung (DS-GVO) stellt sich die Frage neu: Wie integrieren sie sich in die neuen Anforderungen zum Schutz personenbezogener Daten?

Niels Lepperhoff: Der ĂŒbersehene Paragraph und die DS-GVO. Erschienen in: IT-Sicherheit 04/2017, S. 54 - 55.

 

Vom Sturz aus dem 15. Stock 
 oder warum es bisher immer noch gut gegangen ist.

Ein Mann springt aus dem 15. Stock. Auf seinem Weg nach unten denkt er: „Keine Gefahr, bisher ging alles gut.“ 15 Stockwerke hat er Recht 
 An dieses Bild muss ich denken, wenn mir aus Unternehmen berichtet wird, dass eine Umstellung auf das neue Datenschutzgesetz, die Datenschutz-Grundverordnung (DS-GVO), nicht notwendig sei. Die laufende Übergangsfrist bis zum 25.05.2018 wirkt Ă€hnlich beruhigend wie ein 15 Stockwerke langer Fall. Wird die Landung Ă€hnlich hart? Vieles spricht dafĂŒr.

Niels Lepperhoff: Vom Sturz aus dem 15. Stock. Erschienen in: Lohn+Gehalt Spezial 04/2017, S. 8 - 9.

 

Zeitwirtschaft trifft Datenschutz-Grundverordnung

Auch die Zeitwirtschaft unterliegt ab dem 25.05.2018 den neuen gesetzlichen Vorschriften der Datenschutz-Grundverordnung (DS-GVO). Insofern lohnt sich eine BeschÀftigung mit den neuen Anforderungen, die die DS-GVO an die Art und Weise der Datenverarbeitung stellt.

Niels Lepperhoff: Zeitwirtschaft trifft Datenschutz-Grundverordnung. Erschienen in: Lohn+Gehalt 03/2017, S. 20 - 21.

 

Das IT-Sicherheitskonzept in der DS-GVO

Der Implementierung von Sicherheitsmaßnahmen geht nach Art. 32 Abs. 1 DS-GVO eine RisikoabwĂ€gung voraus. Diese RisikoabwĂ€gung unterliegt der Rechenschaftspflicht von Art. 5 Abs. 2 DS-GVO, d. h. sie sollte aus NachweisgrĂŒnden dokumentiert werden und stellt letztlich ein Sicherheitskonzept dar. Die Inhalte speisen sich einerseits aus weiteren Vorgaben des Art. 32 DS-GVO, aber auch aus der Anforderung, den Stand der Technik zu berĂŒcksichtigen (Art. 32 Abs. 1 S1 DS-GVO).

Niels Lepperhoff: Das IT-Sicherheitskonzept in der DS-GVO. Erschienen in: BvD-NEWS 02/2017, S. 15 - 18.

 

Softwarehersteller hilf!

Das VerhĂ€ltnis zwischen Anwender und Hersteller ist bei Programmen fĂŒr die Entgeltberechnung seit vielen Jahren ein besonderes. Durch die jĂ€hrlichen gesetzlichen Änderungen sowie komplexe rechtliche Vorschriften zur Berechnung fĂŒhlen sich Anwender schnell ĂŒberfordert und sind froh, dass ihre Programme sie kompetent durch den „Dschungel“ fĂŒhren. Mit dem Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 werden Anwender noch stĂ€rker auf die UnterstĂŒtzung ihrer Hersteller angewiesen sein.

Niels Lepperhoff: Softwarehersteller hilf! Erschienen in: Lohn+Gehalt 03/2017, S. 52 - 54.

 

Are you ready? - Checkliste fĂŒr die Datenschutz-Grundverordnung

Die Reform des europĂ€ischen Datenschutzes, die im kommenden Jahr wirksam werden wird, fĂŒhrt in jeder IT-Abteilung zu Handlungsbedarf. Doch wie groß ist der? Und was fehlt? Denn oft ist noch teilweise unklar, wo die neuen Regeln greifen und wo der Soll-Zustand bereits durch vorhandene Maßnahmen erfĂŒllt sein könnte.

Niels Lepperhoff: Are you ready? Erschienen in: kes 02/2017, S. 56 - 58.

 

Informationspflichten gegenĂŒber Bewerbern nach der DS-GVO

Unternehmen sind gesetzlich verpflichtet, Personen, deren Daten sie erheben oder empfangen, ĂŒber die Verarbeitung dieser Daten zu informieren. Diese Pflicht ergibt sich aus dem BDSG und demnĂ€chst nach der DS-GVO, wobei die Informationspflichten nach der DS-GVO erheblich umfangreicher sind. Unterschieden wird danach, ob die Informationen beim Bewerber erhoben werden oder - mit oder ohne sein Wissen - bei anderen Stellen.

Niels Lepperhoff: Informationspflichten gegenĂŒber Bewerbern nach der DS-GVO. Erschienen in: RDV 01/2017, S. 21 - 25.

 

Hilfe, mein Datenschutzbeauftragter schlÀft

Die Reform des europĂ€ischen Datenschutzes, die im kommenden Jahr wirksam werden wird, fĂŒhrt in jedem Unternehmen zu Handlungsbedarf. Trotz der AllgemeingĂŒltigkeit der neuen Gesetzgebung und der damit verbundenen Änderungen haben viele Organisationen noch nicht mit der Umsetzung begonnen. Vielfach herrscht Unsicherheit darĂŒber, ob die neuen Regelungen fĂŒr das eigene Unternehmen ĂŒberhaupt einschlĂ€gig sind, und ob der Soll-Zustand durch bereits vorhandene Maßnahmen nicht schon lĂ€ngst erfĂŒllt ist. Dieser Artikel rĂ€umt mit weitverbreiteten Fehlannahmen auf und leistet Hilfestellung bei der Beurteilung der eigenen Datenschutz-Compliance.

Niels Lepperhoff: Hilfe, mein Datenschutzbeauftragter schlÀft. Erschienen in: Lohn+Gehalt 01/2017, S. 87 - 89.

 

Abschied von Fingerprint, Iris-Scan & Co? - Biometrische Zugangskontrollen im Lichte der neuen DS-GVO

Biometrische Daten werden gerne zur Identifikation von Personen eingesetzt, da sie sich einer bestimmten Person eindeutig zuordnen lassen, nicht an Dritte weitergegeben werden können und daher als sicher gelten. Im Rahmen der Zutrittskontrolle gelten sie als sehr sicher. Auch fĂŒr die Nutzer erscheint die Zutrittskontrolle durch biometrische Daten auf den ersten Blick attraktiv: Im Gegensatz zu Passwörtern und Zutrittskarten können biometrische Daten nicht vergessen oder verloren werden, sondern ermöglichen eine schnelle und unkomplizierte Identifizierung. Auf den zweiten Blick zeigt sich jedoch, dass die Verwendung biometrischer Daten fĂŒr die betroffenen Personen erhebliche Risiken birgt.

Niels Lepperhoff: Abschied von Fingerprint, Iris-Scan & Co? Erschienen in: IT-Sicherheit 1/2017, S. 36 - 39.

 

Die Zeit drĂ€ngt fĂŒr HR - Die neue EU-Datenschutz-Grundverordnung

Niels Lepperhoff im Interview mit dem Chefredakteur der Zeitschrift „HR-Perfomance“, Franz Langecker, zum Thema „EinfĂŒhrung der neuen EU-Datenschutz-Grundverordnung“ und dem sich daraus ergebenden Handlungsbedarf fĂŒr Unternehmen.

Niels Lepperhoff: Die Zeit drĂ€ngt fĂŒr HR - Die neue EU-Datenschutz-Grundverordnung. Erschienen in: HR-Performance 1/2017, S. 76, www.hrperformance-online.de.

 

2017: Das Jahr der Entscheidung fĂŒr Softwareanbieter?

Bisher war der Datenschutz fĂŒr die meisten Softwareanbieter kein wichtiges Thema. Durch die grĂ¶ĂŸte Reform des europĂ€ischen Datenschutzrechtes seit 1995 wird Datenschutz ein zentrales Kriterium beim Einkauf von Softwareprodukten. Insbesondere aufgrund der neuen Dokumentations- und Nachweispflichten werden Unternehmen datenschutzrechtliche Aspekte in ihre Auswahlkriterien aufnehmen mĂŒssen. Die Softwareanbieter, die passende Lösungen anbieten, können sich hier einen Wettbewerbsvorteil verschaffen.

Niels Lepperhoff: 2017: Das Jahr der Entscheidung fĂŒr Softwareanbieter? Erschienen in: Lohn+Gehalt Spezial Oktober 2016, S. 12 - 15.

 

Sicheres Hosting nach deutschem Datenschutzrecht

Am 25.05.2016 trat das neue, europĂ€ische Datenschutzrecht, die Datenschutz-Grundverordnung, in Kraft. Mit ihrem Wirksamwerden in zwei Jahren wird sie das deutsche Datenschutzrecht fast vollstĂ€ndig ablösen. Dieses fĂŒhrt zu vielen neuen Anforderungen an Hosting- und Clouddienste.

Niels Lepperhoff: Sicheres Hosting nach deutschem Datenschutzrecht. Erschienen in: Funkschau. Sonderheft Made in Germany, S. 27.

 

Datenschutzrecht - Neue Spielregeln fĂŒr Auftragnehmer

In der TeleTalk 04/2016 haben die Autoren das neue Datenschutzgesetz, die Datenschutz-Grundverordnung (DS-GVO) vorgestellt. Am 25.05.2016 ist das Gesetz in Kraft getreten. Nach Ablauf der zweijĂ€hrigen Übergangszeit wird es wirksam und löst das bisherige Datenschutzrecht fast vollstĂ€ndig ab. Betroffen sind alle Unternehmen.

Niels Lepperhoff, Thomas MĂŒthlein: Datenschutzrecht - Neue Spielregeln fĂŒr Auftragnehmer. Erschienen in: TeleTalk 07/2016, S. 11 - 13.

 

Wann kostet ein Personenbezug zu viel?

Wenn personenbezogene Daten verarbeitet werden, sind die Vorschriften des Datenschutzes zu beachten. Durch die beschlossene Reform des Datenschutzes werden diese Vorschriften zukĂŒnftig noch weiter verschĂ€rft und bringen einen nicht unerheblichen Zeitaufwand fĂŒr Unternehmen mit sich. Bei der Verarbeitung von Daten ohne Personenbezug sind die Vorschriften des Datenschutzes hingegen nicht zu beachten und der damit verbundene Aufwand entfĂ€llt. Dieser Artikel beleuchtet die Frage, ob und inwieweit die Entfernung eines Personenbezuges zur Vermeidung von Kosten, die bei der ErfĂŒllung von datenschutzrechtlichen Pflichten entstehen, sinnvoll sein kann.

Niels Lepperhoff: Wann kostet ein Personenbezug zu viel? Erschienen in: Lohn+Gehalt 07/2016, S. 97-98.

 

Auf die Finger geschaut
Die Datenschutz-Grundverordnung bringt neue Bestimmungen fĂŒr die Verarbeitung biometrischer Daten

Die Verwendung biometrischer Daten birgt fĂŒr die betroffenen Personen erhebliche Risiken. Das neue europĂ€ische Datenschutzgesetz trĂ€gt dem Rechnung und erlaubt ihre Verarbeitung nur in engen Grenzen. Bei Zuwiderhandlung drohen empfindliche Geldbußen und SchadenersatzansprĂŒche der betroffenen Personen - alte und neue Systeme und ihr organisatorisches Umfeld sind daher zu prĂŒfen und gegebenenfalls anzupassen.

Niels Lepperhoff: Auf die Finger geschaut. Erschienen in: kes 06/2016, S. 52 - 56.

 

Datenschutz-Compliance bei der Auswahl von Dienstleistern
DS-GVO fordert Unternehmen heraus - spÀtestens 2018

Von der breiten Öffentlichkeit nahezu unbemerkt hat die EU die grĂ¶ĂŸte Reform des europĂ€ischen Datenschutzrechtes seit 1995 verabschiedet. Die europĂ€ische Datenschutz-Grundverordnung (DS-GVO) wurde im vergangenen FrĂŒhjahr verabschiedet und erlangt ihre volle GĂŒltigkeit am 25.05.2018. Sie löst das bisherige deutsche Datenschutzrecht, insbesondere das Bundesdatenschutzgesetz (BDSG), weitestgehend ab. Dadurch Ă€ndern sich die Anforderungen, die an Dienstleister zu stellen sind. Vor allem aufgrund erhöhter Dokumentations- und Nachweispflichten ist die Compliance mit datenschutzrechtlichen Vorschriften vom „Nice-to-have“ zum „Must-have“ geworden. Gleichzeitig werden die Bußgelder - auch bei vermeintlichen Kavaliersdelikten - drastisch erhöht, sodass die Missachtung der neuen Datenschutzvorschriften schwerwiegende Folgen fĂŒr ein Unternehmen haben kann.

Niels Lepperhoff, Mareike Papendorf, Thomas MĂŒthlein: Datenschutz-Compliance bei der Auswahl von Dienstleistern. DS-GVO fordert Unternehmen heraus - spĂ€testens 2018. Erschienen in: IT-Sicherheit 06/2016, S. 46 - 49.

 

E-Learning in der Cloud - der Datenschutzcheck

E-Learning ist ein Mittel, um Qualifizierungsmaßnahmen in den Arbeitsalltag zu integrieren. Kern des E-Learnings ist das E-Learning Management System (EMS). Es ist eine Softwareanwendung, die den Zugang zu den Inhalten verwaltet, bei der Erstellung unterstĂŒtzt und die Inhalte an die Teilnehmer ausspielt. EMS lassen sich selber betreiben oder als Software as a Service („Cloud“) mieten. Eine Checkliste hilft Ihnen, zu prĂŒfen, ob die wichtigsten Datenschutzvorschriften, die bei der Variante „Cloud“ zu beachten sind, eingehalten werden.

Niels Lepperhoff: E-Learning in der Cloud - der Datenschutzcheck. Erschienen in: HR Performance 06/2016, S. 46 - 47.

 

Neue Verpflichtungen im Detail: Sicherheitskonzept und WirksamkeitsprĂŒfungen

Mit der Datenschutz-Grundverordnung (DS-GVO) verankert der europĂ€ische Gesetzgeber auch neue Vorgaben fĂŒr die IT-Sicherheit. Auf IT-Sicherheitsbeauftragte und Administratoren kommen unter anderem die Pflicht zur Erstellung eines Sicherheitskonzeptes und die regelmĂ€ĂŸige DurchfĂŒhrung von Wirksamkeitstests zu.

Niels Lepperhoff, Thomas MĂŒthlein: Neue Verpflichtungen im Detail: Sicherheitskonzept und WirksamkeitsprĂŒfungen. Erschienen in: kes 05/2016, S. 64 - 68.

 

Datenschutz-Grundverordnung: Neue Dokumentationspflichten in der IT

Bisher galt das Prinzip, dass die Datenschutzaufsichtsbehörde VerstĂ¶ĂŸe eines Unternehmers gegen Datenschutzvorschriften belegen muss. Ein Unternehmen war nicht verpflichtet, anlasslos eine Dokumentation zu erstellen und zu pflegen, mit der es sein gesetzeskonformes Handeln nachweisen konnte. Dies wird sich mit dem Wirksamwerden der Datenschutz-Grundverordnung grundlegend Ă€ndern. Dann mĂŒssen Unternehmen jederzeit in der Lage sein, die RechtmĂ€ĂŸigkeit ihrer Verarbeitung nachzuweisen. So kann zukĂŒnftig auch eine fehlende Dokumentation mit einem Bußgeld belegt werden - sogar dann, wenn die dazugehörige Verarbeitung rechtskonform erfolgt ist. Vor diesem Hintergrund sind auch die Softwareentwicklung, die IT-Administration und die IT-Sicherheit gefragt, ein entsprechendes Dokumentationssystem einzufĂŒhren oder das bereits vorhandene an die neue Rechtslage anzupassen.

Niels Lepperhoff, Thomas MĂŒthlein: Datenschutz-Grundverordnung: Neue Dokumentationspflichten in der IT. Erschienen in: IT- Sicherheit 05/2016, S. 66 - 69.

 

Neue EU-Datenschutz-Grundverordnung: Was Sie wissen sollten

Die EU vereinheitlich das Datenschutzrecht, so dass europaweit tĂ€tige Unternehmen ab 2018 anstelle eines Flickenteppichs nationaler Datenschutzgesetze nur noch ein Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO) einhalten mĂŒssen. AusgewĂ€hlte Änderungen, die insbesondere fĂŒr Dienstleister aus den Bereichen Marketing, Kundenkommunikation und Call Center von Bedeutung sind, stehen im Mittelpunkt dieses Beitrags.

Niels Lepperhoff, Thomas MĂŒthlein: Neue EU-Datenschutz-Grundverordnung: Was Sie wissen sollten. Erschienen in: Teletalk 04/2016, S. 28 - 32.

Artikel lesen auf Teletalk.de

PDF von Teletalk

 

Dokumentationspflichten in der DS-GVO

Bisher galt das Prinzip, dass die Aufsichtsbehörde VerstĂ¶ĂŸe eines Unternehmens gegen Datenschutzvorschriften belegen muss. Ein Unternehmen war nicht verpflichtet, anlasslos eine Dokumentation zu erstellen und zu pflegen, mit der es sein gesetzeskonformes Handeln nachweisen konnte. Dies wird sich mit dem Inkrafttreten der Datenschutz-Grundverordnung grundlegend Ă€ndern. Dann mĂŒssen Unternehmen jederzeit in der Lage sein, die RechtmĂ€ĂŸigkeit ihrer Verarbeitung nachweisen zu können.

Niels Lepperhoff: Dokumentationspflichten bei der DS-GVO. Erschienen in: RDV 04/2016, S. 197 - 203.

 

Personalrecruiting (bald) ein risikoreiches GeschÀft?

Die DS-GVO vollzieht im Vergleich zum bisherig geltenden BDSG einen Paradigmenwechsel. Das BDSG stellt die rechtskonforme Datenverarbeitung in den Mittelpunkt. Die Bußgelder adressieren deshalb ausgewĂ€hlte VerstĂ¶ĂŸe gegen das BDSG mit bis zu 50.000 bzw. 300.000 Euro. Im Zentrum der DS-GVO steht die Befolgung ihrer gesamten Vorschriften - mit Bußgeldern von bis zu 4% des Jahresumsatzes oder 20 Millionen Euro. Bei Nichtbeachtung kann das Personalrecruiting so bald zu einem risikoreichen GeschĂ€ft werden.

Lepperhoff, Niels: Personalrecruiting (bald) ein risikoreiches GeschÀft? Erschienen in: Lohn+Gehalt Spezial Juni 2016, S. 14 - 21.

 

Neue Aufgaben fĂŒr (HR-)Fach- und FĂŒhrungskrĂ€fte durch die Datenschutz-Grundverordnung

Die Reform des europĂ€ischen Datenschutzrechtes wirkt sichauf alle Bereiche und Abteilungen eines Unternehmens aus. Der Personalbereich ist davon besonders betroffen, da hier eine Vielzahl von Daten zu verschiedenen Zwecken verarbeitet wird. Die Einhaltung des neuen Datenschutzrechtes kann nicht mehr allein dem Datenschutzbeauftragten oder der Rechtsabteilung ĂŒberlassen werden. Vielmehr sind auch FĂŒhrungskrĂ€fte und der Personalbereich in der Verantwortung, die neuen Vorgaben und Anforderungen umzusetzen.

Niels Lepperhoff: Neue Aufgaben fĂŒr (HR-)Fach- und FĂŒhrungskrĂ€fte durch die Datenschutz-Grundverordnung. Erschienen in: Lohn+Gehalt 04/2016, S. 92-95.

 

Datenschutz-Grundverordnung: Am Anfang steht das Sicherheitskonzept

Mit der Datenschutz-Grundverordnung kommen neue Pflichten auf Administratoren und IT-Sicherheitsverantwortliche zu. Eine wichtige Neuerung stellt die Pflicht zur Erstellung eines Sicherheitskonzepts dar, das zahlreichen gesetzlichen Vorgaben genĂŒgen muss. Dieser Beitrag zeigt auf, wie ein Sicherheitskonzept erstellt werden kann. Bereits bestehende Sicherheitskonzepte sollten an die neuen Vorgaben angepasst werden.

Niels Lepperhoff: Datenschutz-Grundverordnung: Am Anfang steht das Sicherheitskonzept. Erschienen in: IT-Sicherheit 04/2016, S. 58 - 61.

 

Jedes Unternehmen ist betroffen - Datenschutz-Grundverordnung oder warum DatenschutzverstĂ¶ĂŸe kein Kavaliersdelikt sind

VerstĂ¶ĂŸe gegen Datenschutzvorschriften werden oft als Kavaliers- oder Bagatelldelikte abgetan. Der geringe Verfolgungsdruck und die vergleichsweise niedrigen Bußgelder fĂŒhren dazu, dass sich viele Unternehmen nur wenig oder schlimmstenfalls sogar gar nicht mit Fragen des Datenschutzes befassen. Durch die grĂ¶ĂŸte Reform des europĂ€ischen Datenschutzrechtes seit 1995 wird das Datenschutzrecht auf eine europaweit einheitliche Basis umgestellt und gleichzeitig werden die Bußgelder drastisch erhöht. Die EinfĂŒhrung neuer Aufgaben und die Ausweitung bereits bekannter Pflichten fĂŒhren dazu, dass sich Unternehmen eingehend mit dem Datenschutz beschĂ€ftigten mĂŒssen, um die neuen Vorgaben einhalten zu können. Insbesondere im Personalbereich ergeben sich zahlreiche Neuerungen, wie die Pflicht Bewerber, Mitarbeiter und sonstige Personen ĂŒber die Verarbeitung ihrer Daten zu informieren.

Niels Lepperhoff: Jedes Unternehmen ist betroffen - Datenschutz-Grundverordnung oder warum DatenschutzverstĂ¶ĂŸe kein Kavaliersdelikt sind. Erschienen in: Lohn+Gehalt 03/2016, S. 105-109.

 

Neue Vorschriften - auch fĂŒr die Security!

Mitte April 2016 haben EU-Parlament und EU-Rat das neue europÀische Datenschutzrecht verabschiedet, die Datenschutz-Grundverordnung (DS-GVO). Neben einer EU-weiten (Neu-)Regelung des Datenschutzes selbst hat die DS-GVO auch erhebliche Auswirkungen auf die IT-Sicherheit.

Niels Lepperhoff, Thomas MĂŒthlein: Neue Vorschriften - auch fĂŒr die Security! Erschienen in: kes 02/2016, S. 54 - 63.

 

Mehr gesetzliche Pflichten fĂŒr IT-Verantwortliche

Die grĂ¶ĂŸte Reform des europĂ€ischen Datenschutzrechtes seit 1995 betrifft nicht nur rechtliche Grundlagen, sondern auch den Einsatz von IT-Produkten und die Dokumentation von IT-Sicherheitsmaßnahmen. Durch die drastisch erhöhten Bußgelder, die auch bei vermeintlich harmlosen BagatellverstĂ¶ĂŸen verhĂ€ngt werden können, kann die Missachtung von datenschutzrechtlichen Vorschriften gravierende Folgen fĂŒr Unternehmen haben. Dies gilt auch fĂŒr Auftragnehmer, die nun erstmals eigenverantwortlich IT-Sicherheitsmaßnahmen fĂŒr die von ihnen angebotenen Leistungen durchfĂŒhren mĂŒssen. Erweiterte und zusĂ€tzliche Pflichten wie die Ausweitung der Meldepflicht von SicherheitsvorfĂ€llen, die regelmĂ€ĂŸige ÜberprĂŒfung von Sicherheitsmaßnahmen und die DurchfĂŒhrung von Risikoanalysen sorgen fĂŒr zusĂ€tzlichen Handlungsbedarf.

Niels Lepperhoff: Mehr gesetzliche Pflichten fĂŒr IT-Verantwortliche. Konsequenzen aus der neuen EU-Datenschutz-Grundverordnung (Teil 1). Erschienen in: IT-Sicherheit 02/2016, S. 64 - 69. www.itsicherheit-online.com

 

Personalrecruiting (bald) ein risikoreiches GeschÀft?

Die grĂ¶ĂŸte Reform des europĂ€ischen Datenschutzrechtes seit 1995 wird in den nĂ€chsten Jahren zu großen Umstellungen im betrieblichen Alltag fĂŒhren. Im Recruiting entstehen zusĂ€tzliche Informationspflichten gegenĂŒber Bewerbern, die zusammen mit den erweiterten Rechten an den eigenen Daten zu zahlreichen Stolpersteinen fĂŒhren können. Durch die erhöhten Transparenzpflichten können Bewerbern Informationen in die HĂ€nde gelangen, die in gerichtlichen oder aufsichtsbehördlichen Verfahren gezielt gegen Unternehmen eingesetzt werden können.

Niels Lepperhoff: Personalrecruiting (bald) ein risikoreiches GeschÀft? Erschienen in: HR Performance | Recruiting Tomorrow 2017. Verlag: Datakontext GmbH. April 1016.

Langversion: HR Performance | Recruiting Tomorrow 2017 (externer Link)

Kurzversion als PDF-Download

 

Folgen des EuGH-Urteils zu Safe Harbor: Bußgeld angedroht

Am 6. Oktober 2015 hat der EuropĂ€ische Gerichtshof das bis dato hĂ€ufig im Datenverkehr mit den USA genutzte Instrument „Safe Harbor“ außer Betrieb gesetzt. WĂ€hrend die EU-Kommission zusammen mit der US-Regierung an der Nachfolgeregelung „Privacy Shield“ arbeitet, droht der Hamburgische Beauftragte fĂŒr Datenschutz und Informationsfreiheit an, die ersten Bußgelder gegen Unternehmen zu verhĂ€ngen, die weiterhin Safe Harbor nutzen. Ein Bußgeld fĂŒr rechtswidrige Übermittlungen personenbezogener Daten betrĂ€gt nach § 43 Abs. 2 Nr. 1 BDSG bis zu 300.000 Euro.

Niels Lepperhoff, Thomas MĂŒthlein: Folgen des EuGH-Urteils zu Safe Harbor: Bußgeld angedroht. Erschienen in: HR Performance 02/2016, S. 66 - 67.

 

Bedeutung der jĂŒngsten Änderungen des § 13 Abs. 7 TMG

Im Rahmen des „Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“, das am 25.07.2015 in Kraft trat, wurde neben anderen Gesetzen auch das TMG geĂ€ndert. Die Berichtserstattung rund um das Gesetz konzentrierte sich auf die neuen Regelungen fĂŒr Betreiber kritischer Infrastrukturen, wie z. B. Energieversorgung. Dabei blieb weitgehend unbeachtet, dass vom neuen Absatz 7 des § 13 TMG (fast) alle Betreiber von Telemediendiensten betroffen sind. Damit bestehen jetzt Anforderungen an die Sicherheitsvorkehrungen von Webshops, Unternehmenshomepages, E-Mailservern u. v. m. aller Branchen und UnternehmensgrĂ¶ĂŸen. Der Beitrag beleuchtet die neue Regelung, insbesondere aus dem technischen Blickwinkel, und schĂ€tzt die Konsequenzen fĂŒr die Praxis ab.

Niels Lepperhoff, Mareike Papendorf: Bedeutung der jĂŒngsten Änderungen des § 13 Abs. 7 TMG. Erschienen in: DuD 02/2016, S. 107 - 110.

 

EinfĂŒhrung in die Dokumentationspflichten gemĂ€ĂŸ DSGVO

Der Gesetzgeber greift eine Forderung der Art. 29-Gruppe aus 2010 auf, indem er mit Art. 5 Abs. 2 DSGVO die „Rechenschaftspflicht“ fĂŒr Unternehmen, Behörden, Vereine usw. einfĂŒhrt. Die Kombination aus Rechenschaftspflicht und Nachweispflicht wirkt Ă€hnlich einer Beweislastumkehr, d.h. Unternehmen mĂŒssen ihre „Unschuld“ gegenĂŒber der Aufsichtsbehörde beweisen (können). FĂŒr die Aufsichtsbehörde entfĂ€llt die Notwendigkeit, die „Schuld“ zu beweisen, d.h. es kommt zukĂŒnftig auf die FĂ€higkeit, den „Unschuldsnachweis“ fĂŒhren zu können, an. Die Frage, ob ein weitergehender Verstoß wie bspw. eine unzulĂ€ssige Datenverarbeitung tatsĂ€chlich begangen wurde, kann dahinter zurĂŒcktreten.

Niels Lepperhoff: EinfĂŒhrung in die Dokumentationspflichten gemĂ€ĂŸ DSGVO. Erschienen in: BVD-News 2/2016, S. 13-16.

 

Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung

Peter Gola, Niels Lepperhoff (2016): Reichweite des Haushalts- und Familienprivilegs bei der Datenverarbeitung. In: Zeitschrift fĂŒr Datenschutz (ZD) 1/2016, S. 9-12.

 

Umsetzung der Cookie-Richtlinie - Status Quo

Die Nutzung von Cookies stellt Webseitenbetreiber oft vor unerwartete Schwierigkeiten. Die sich aus europĂ€ischem und deutschem Recht ergebenden Anforderungen stoßen in der Praxis auf UmsetzungshĂŒrden, wie z. B. die Pflicht zur Protokollierung von Einwilligungen. Auch die technische Umsetzung von obligatorischen Widerspruchsmöglichkeiten birgt juristische Stolpersteine. FĂŒr internationale Webseiten kommt erschwerend hinzu, dass es keine einheitliche Rechtslage innerhalb der EU gibt. FĂŒr ausgewĂ€hlte LĂ€nder werden die nationalen Umsetzungen der Richtlinie 2009/136/EG ("Cookie-Richtlinie") vorgestellt.

Niels Lepperhoff, Mareike Papendorf (2016): Umsetzung der Cookie-Richtlinie – Status Quo. In: BvD-News 1/2016, S. 30-38.

 

Bedeutung des EuGH-Urteils zu Safe Harbor

Niels Lepperhoff, Thomas MĂŒthlein (2015): Bedeutung des EuGH-Urteils zu Safe Harbor. In: Lohn+Gehalt Dezember 2015, S. 40 - 49.

 

Messenger im Unternehmen

Die Nutzung von Instant Messengern berĂŒhrt verschiedene Datenschutzfragen vom Schutz vor unbefugtem Lesen oder VerĂ€ndern bis hin zu ZulĂ€ssigkeit der Verwendung. Dieser Beitrag beschĂ€ftigt sich mit ausgewĂ€hlten Aspekten der ZulĂ€ssigkeit und konzentriert sich auf eine ausschließlich dienstliche Nutzung.
Niels Lepperhoff, Mareike Papendorf (2015): Messenger im Unternehmen. In: RDV 6/2015, S. 309 - 315.

 

Outsourcing - auch der Verantwortung?

Thomas MĂŒthlein, Niels Lepperhoff (2015): Outsourcing - auch der Verantwortung? In: Lohn & Gehalt, April 2015, S. 27-31.

 

Neuer Datenschutzstandard DS-BvD-GDD-01 mit passendem GĂŒtesiegel

Die jĂŒngsten Skandale haben das Thema Datenschutz noch stĂ€rker in den Blick der Öffentlichkeit gerĂŒckt als bisher. Dazu kommen Datenpannen in Unternehmen, die bei den betroffenen Unternehmen nicht nur zu einem Imageverlust, sondern im Zweifelsfall auch zu Vertragsstrafen oder RegressansprĂŒchen fĂŒhren -- und zu Unsicherheiten bei den Verbrauchern. Unternehmen, die vertrauenswĂŒrdige Partner suchen, stehen deshalb verstĂ€rkt vor der Frage: Ist das potenzielle Partnerunternehmen in Sachen Datenschutz zuverlĂ€ssig?

Erschienen in: MMR Multimedia und Recht 2013, 617.

 

DatenschutzverstĂ¶ĂŸe im Internet

Auch im fĂŒnften Erscheinungsjahr des Xamit Datenschutzbarometers nehmen die DatenschutzverstĂ¶ĂŸe im Internet zu: Bei der Untersuchung von ĂŒber 3 Mio. deutschen Webseiten wurden durchschnittlich 91 VerstĂ¶ĂŸe pro 100 Webseiten gefunden. Fast doppelt so viele wie im Jahr 2008.

Erschienen in: Datenschutz und Datensicherheit, Nr. 5/2013, S. 301-306.

 

DatenschutzverstĂ¶ĂŸe und Vollzugsdefizite

Der Trend hin zu mehr DatenschutzverstĂ¶ĂŸen im Internet ist nach wie vor ungebrochen. FĂŒr das Datenschutzbarometer 2011 wurden mehr als 3 Mio. Webseiten auf die Einhaltung von Datenschutzbestimmungen hin untersucht. DarĂŒber hinaus dokumentiert die Studie die personelle Ausstattung der Datenschutzaufsichtsbehörden in Deutschland. ErgĂ€nzend werden erstmals sowohl deren Kontroll- und SanktionstĂ€tigkeit als auch ausgewĂ€hlte Erfolge dargestellt.

Erschienen in: Datenschutz und Datensicherheit, Nr. 3/2012, S. 195-199.

 

Datenschutzbarometer 2011: Ungebrochener Trend zu mehr DatenschutzverstĂ¶ĂŸen

Seit 2008 misst das Xamit Datenschutzbarometer jĂ€hrlich ausgewĂ€hlte DatenschutzverstĂ¶ĂŸe im Internet. In diesem Zeitraum nahmen die VerstĂ¶ĂŸe insgesamt um 49% zu.

Erschienen in: BvD-News 1/2012, S. 56-57.

 

DatenschutzverstĂ¶ĂŸe im Internet - Datenschutzbarometer 2010

Seit der Erstauflage des Datenschutzbarometers im Jahr 2008 sind die Beanstandungen der Webseiten abermals gestiegen. FĂŒr die Untersuchung 2010 wurden ĂŒber zwei Mio. Webseiten auf die Einhaltung ausgewĂ€hlter Datenschutzbestimmungen hin ĂŒberprĂŒft. Außerdem dokumentiert die Untersuchung seit 2009 die Personalausstattung der deutschen Aufsichtsbehörden, die nach wie vor eher unzureichend ist.

Erschienen in: Datenschutz und Datensicherheit, Nr. 10/2011.

 

Vorsicht Falle: Einbindung von Empfehlungen auf die eigene Webseite

Empfehlungen gelten als zuverlĂ€ssige Umsatzbringer. Deshalb ist es fĂŒr Unternehmen von Bedeutung, Empfehlungen auch in die Onlinewelt zu ĂŒbertragen. Ein bekanntes Mittel ist der "Like-" oder "GefĂ€llt mir-Button" von Facebook. FĂŒr die folgende Analyse beschrĂ€nken wir uns zwar exemplarisch auf den Facebook Like-Button. Gleichwohl lassen sich die Überlegungen auch auf andere Anbieter ganz oder teilweise ĂŒbertragen.

Erschienen in: BvD-News 2/2011, S. 28-29.

 

"Internet-Check": Mehr Sicherheit im Netz

Kinder wachsen heute in einer von digitalen Medien geprĂ€gten Umwelt auf. Deshalb verfĂŒgen sie in der Regel ĂŒber außerschulische Medienerfahrungen, die sie in die Schule mitbringen. Doch diese Erfahrungen bedeuten noch lange nicht, dass die Kinder und Jugendlichen ĂŒber Internetkompetenz verfĂŒgen. Ein verantwortungsbewusster Umgang mit dem Internet ist aber wesentlicher Bestandteil einer zeitgemĂ€ĂŸen Medienkompetenz. In der Schule bietet sich die Chance, die Internet-Erfahrungen, die SchĂŒlerinnen und SchĂŒler außerhalb der Schule machen, aufzugreifen, das schulische und außerschulische Lernen und Handeln zu verbinden und die Kinder und Jugendlichen so zu einer Reflexion der eigenen Mediennutzung – und vor allem des eigenen Risikoverhaltens – anzuleiten.

Praxisbericht von Meike Frantzmann, Dörte Lepperhoff und Claudia Schuster.
Erschienen in: Jugendhilfe & Schule inform, Mai 2011, S. 27 - 30.

 

Messung des Datenschutz-Vollzugsdefizits

Auf die Veröffentlichung spektakulĂ€rer DatenschutzverstĂ¶ĂŸe folgt ĂŒblicherweise reflexartig der Ruf nach einem schĂ€rferen Datenschutzrecht. TatsĂ€chlich ist schon heue das Vollzugsdefizit erheblich, wie die wenigen existierenden empirischen Analysen belegen. Der vorliegende Beitrag stellt die Methoden, Ergebnisse und die Aussagekraft von vier Verfahren gegenĂŒber.

Erschienen in: Datenschutz und Datensicherheit, Nr. 10/2010.

 

Nur ein Vollzugsdefizit? - Parteien vernachlÀssigen den Datenschutz

Das Thema Datenschutz klettert immer weiter nach oben auf der Agenda der Politik in Deutschland. In den Wahlprogrammen der Parteien zur Bundestagswahl 2009 wird "Datenschutz mit Augenmaß" verlangt und dass der BĂŒrger darauf vertrauen können muss, "dass seine Daten vor Missbrauch geschĂŒtzt sind." Die GrĂŒnen verlangen sogar die Verankerung des Datenschutzes als BĂŒrgerrecht im Grundgesetz. Die Autoren der Studie "Parteien und Datenschutz - Datenschutzpraxis deutscher Parteien und parteinaher Organisationen" nahmen die Bundestagswahl 2009 zum Anlass, um zu untersuchen, wie die Parteien selbst mit dem Datenschutz umgehen.

Erschienen in: FIfF-Kommunikation, Nr. 4/2009.

 

Datenschutz auf WebprÀsenzen

Im Jahr 2007 untersuchte Xamit ca. 14.000 WebprĂ€senzen auf die Existenz von DatenschutzerklĂ€rung, die heimliche Nutzung von Google Analytics und die Korrektheit von Kontaktformularen. Die Ergebnisse waren ernĂŒchternd. Im folgenden stellen die Autoren die Ergebnisse einer Folgeuntersuchung mit 26.000 WebprĂ€senzen vor.

Erschienen in: Datenschutz und Datensicherheit, Nr. 10/2009.

 

Umgang mit DatenschutzerklÀrungen im Internet

85 Prozent aller WebprÀsenzen, die mittels Dialoginstrumenten personenbezogene Daten erheben, verzichten auf eine DatenschutzerklÀrung. Unerlaubte Datenverarbeitung und Vertrauensverlust sind die Folgen.

Erschienen in: Datenschutz und Datensicherheit, Nr. 1/2009

 

Datenschutz bei Webstatistiken - Ergebnisse einer empirischen Analyse

Wer protokolliert das Surfverhalten im World Wide Web? Werden Besucher ĂŒber eine Datenerhebung informiert? Wer kann technisch Bewegungsprofile mit Namen verknĂŒpfen? Diesen Fragen gingen die Autoren des folgenden Beitrags in einer empirischen Untersuchung von ĂŒber 14.000 WebprĂ€senzen von Unternehmen und Gemeinden nach.

Erschienen in: Datenschutz und Datensicherheit, Nr. 4/2008.

 

Can critical infrastructures rely on the Internet?

Fischer, W.; Lepperhoff, N. (2005): Can critical infrastructures rely on the Internet? Computers & Security, Vol. 24, Nr. 6, S. 485-491.

 

Internet Monitoring: Einfaches Erkennen von Störungen

Lepperhoff, N. (2004): Internet Monitoring: Einfaches Erkennen von Störungen. Informatik Spektrum 3/04.

 

Aussagewert der Verkehrsdaten: Aspekte der Sicherheitspolitik, des Datenschutzes und der Wirtschaft

Lepperhoff, N.; Tinnefeld, M.-Th. (2004): Aussagewert der Verkehrsdaten: Aspekte der Sicherheitspolitik, des Datenschutzes und der Wirtschaft. Recht der Datenverarbeitung 1/2004.

 

Internet under Threat: Simulation of Survivability with INESS

Fischer, W.; Lepperhoff, N.; Volst, A. (2003): Internet under Threat: Simulation of Survivability with INESS. Grimm, R.; Keller, H.B.; Rannenberg, K (Hrsg.): Informatik 2003. Mit Sicherheit Informatik. Lecture Notes in Informatics (LNI), Series of the German Informatics Society (GI). Bonn: Gesellschaft fĂŒr Informatik e.V. S. 45-56.

 


Diverse Themen

SAM - Simulation of Computer-Mediated Negotiations

Lepperhoff, N. (2002): SAM - Simulation of Computer-Mediated Negotiations. Journal for Artificial Societies and Social Simulation (JASSS) 5/4.

 

Kontakt / Angebot

Jetzt Angebot anfordern:
Das ErstgesprÀch ist kostenlos!
Tel +49 (0)211.960 823 80
info@xamit.de

Xamit News

Dokumentation, Meldepflichten und IT-Sicherheitsmanagement nach der DS-GVO
Vertiefungsworkshop zur Datenschutz-Grundverordnung von Datakontext

Weiterlesen

Pressespiegel

Permanenter Beratungsbedarf. Was die Buchbranche ĂŒber IT-Sicherheit wissen muss. Der Datenschutzexperte Niels Lepperhoff im
boersenblatt.net

Weiterlesen

Xamit Datenschutz FAQ

Wer muss einen Datenschutzbeauftragten haben?

Zur Antwort