Jetzt
Angebot
einholen

Aufbau Datenschutzerklärung

Im Grundsatz hat die Datenschutzerklärung wie bisher über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten zu informieren.
Darunter ist zu erklären wie neben der Erfassung von IP-Adressen und der Verarbeitung der Personendaten insbesondere auch der Umgang mit Social Plugins (Like Button) im Unternehmen verfahren wird.  Auch die Handhabung der Kontaktformularen, die Nutzung von Cookies, der Einsatz von Analyse-Tools (wie Google Analytics) ist zu erläutern.

Folgende Punkte sind in einer Datenschutzerklärung zu nennen:

Rechtsgrundlagen

Art. 9 DSGVO
Art. 6 DSGVO
Art. 12 ff DSGVO

 

1. Die Rechtsgrundlage für die Datenverarbeitung ist zu nennen

1.  Installation von Software auf dem Arbeitsplatzrechner nur durch Profis

wie die der europäischen Union, Art. 6 DSGVO oder die Datenschutzbestimmung der Schweiz.

2. Nutzer müssen umfassend über ihre Rechte informiert werden.

1.  Installation von Software auf dem Arbeitsplatzrechner nur durch Profis

  • Widerspruchsrecht/ Widerrufsrecht
  • Recht auf Auskunft: Auf Nachfrage durch den Betroffenen muss man eine umfassende Auskunft über die Daten, die man von ihnen gespeichert hat, geben.
  • Recht, dass die Daten der Nutzer berichtigt, gelöscht oder eingeschränkt wird.
  • Recht bei einer Aufsichtsbehörde beschwerde einzulegen
  • Recht auf Datenübertragbarkeit: Dies bedeutet, dass beispielsweise Profile von einem Dienst auf den anderen übertragen werden, das gilt vor allem für soziale Netzwerke
  • Ist ein Datenschutzbeauftragter vorhanden, dann muss man dessen Kontaktdaten angeben.

3. Datenübermittlung

1.  Installation von Software auf dem Arbeitsplatzrechner nur durch Profis

Der Nutzer ist auch darüber zu informieren, wer die erhobenen personenbezogenen Daten bekommt und ob die Daten an Server im Nicht-EU-Ausland übermittelt werden. Dabei ist darauf hinzuweisen, ob für dieses Empfängerland ein Datenschutzabkommen existiert – wie beispielsweise das sogenannte Privacy-Shield-Abkommen für die USA.

4. Datenspeicherung

1.  Installation von Software auf dem Arbeitsplatzrechner nur durch Profis

Der Nutzer ist zu informieren wie lange seine Daten gespeichert werden. Wenn die personenbezogenen Daten nicht mehr benötigt werden, sind sie zu löschen. Die aus Sicherheitsgründen nötige Nutzer-IP-Adresse sollte beispielsweise nicht länger als 14 Tage lang gespeichert werden.

5. Automatisierter Datenaustausch

1.  Installation von Software auf dem Arbeitsplatzrechner nur durch Profis

Der Nutzer muss zudem informiert werden, wenn eine sogenannte automatisierte Entscheidungsfindung erfolgt. Das kann beispielsweise sein, wenn die Kreditwürdigkeit einer Person vollautomatisierte überprüft wird.

Mehr zum Thema:

2. Erstellen Sie ein Inventar der Hard- und Software

2. Erstellen Sie ein Inventar der Hard- und Software

Um den Überblick zu behalten ist es zwingend notwendig ein Inventar über die Hardware und Software zu führen. Dazu gehören Arbeitsplatzgeräte mitsamt Anwendungen, Server, Smartphones, wie auch Drucker und andere Netzwerkgeräte.  Aufgrund der eingesetzten Hardware & Software-Versionen lässt sich schnell entscheiden, ob das Unternehmen bei einem Cyberangriff betroffen sein könnte. Zudem haben sie einen guten Überblick über den aktuellen Stand der Versionen.

3. Überprüfen Sie welche fremde und private Geräte im Netz angeschlossen sind.

3. ….Anschluss fremder und privater Geräte im Netz kontrollieren

Private Notebooks oder auch Smartphones und Geräte von Gästen können ein Sicherheitsrisiko sein, zumal Ihnen nicht bekannt ist welche Applikationen und Software Versionen auf diesen Geräten laufen und in wie weit diese Viren auf sich tragen.  Wenn private Geräte in Ihrem Betrieb erlaubt sind, dann sollten diese in einem eigenständigen Netzwerk laufen.  Zudem sollte der Umgang mit USB-Sticks und die Downloadpolicy geregelt sein, um das Einschleusen von Viren zu verhindern.

4. Sind Ihre Server und Arbeitsstationen sicher konfiguriert?

4. Server und Arbeitsstationen sicher konfigurieren («härten»)

Nach der Grundinstallation sollten die Systeme in ihrem Unternehmen nochmals überprüft und abgesichert werden. Anforderungen an die Passwortlänge klar definiert und die Zugriffsrechte eingeschränkt worden. Sind Dienste deaktiviert, die nicht benötigt werden.

5. Regelmässige Überprüfung des Firmennetz auf Schwachstellen

5. Periodisch das Firmennetz auf Schwachstellen prüfen

Überprüfen Sie Ihr Firmennetz regelmässig auf Schwachstellen?  Regelmässige Scans helfen, das Unternehmen auf aktuelle Gefährdungen hin zu prüfen und den Stand der Sicherheit überprüfen.

Es gibt verschiedene kommerzielle und kostenfreie Software-Scanner-Lösungen. Verbreitet ist zum Beispiel Greenbone Community Edition. Um sich über den aktuellsten Stand zu informiern, bietet die NON-PROFIT-Organisation „The Open Web Application Security Project“ (OWASP) einen guten Überblick. Ein wichtiges Element ist die regelmässige Sensibilisierung der MItarbeiter in Ihrem Unternehmen. Die IT-Sicherheit im Unternehmen steht und fällt mit den Mitarbeiter. Mit den technischen Massnahmen können viele Cyberangriffe abgewehrt werden, sie können jedoch damit nicht ausschliessen, dass es trotzdem noch Sicherheitslücken gibt. Das wissen die Cyberkriminellen und fokussieren sich deshalb vermehrt auf die Mitarbeiter, zum Beispiel mit Phishing-Mails.

6. Verwenden Ihre Mitarbeiter sichere Passwörter?

6. Sichere Passwörter verwenden

Passwörter sind das Sicherheitsproblem Nummer eins. Immer wieder kommt es vor, dass Hacker die Datenbanken von Unternehmen knacken und Zugangsdaten von Nutzer entwenden. Oft wissen das die Nutzer eigentlich gar nicht! Die kostenlose Web-App „Have I Been Pwned“ findet heraus, ob Ihre Zugangsdaten gestohlen wurden. Unter dieser Domain bietet der australische Sicherheitsforscher Troy Hunt Nutzern eine Möglichkeit an, zu prüfen, ob ihre E-Mail-Adresse Teil bekannter grosser Daten-Leaks ist. Das Bundesamt für Sicherheit in der Informationstechnik in Deutschland (BSI) hält den Betreiber des Dienstes für vertrauenswürdig. Zu den Leaks, die Hunt berücksichtigt, kam es oft durch Datenlecks bei Unternehmen, nicht durch ein Fehlverhalten der Nutzer. Um ein Ergebnis angezeigt zu bekommen, tippt man seine Adresse ins Eingabefeld und klickt auf „pwned? Das Passwort „123456“ taucht gemäss der Plattform  23’5 Millionen Mal als gestohlen auf.

Aktuell befinden sich 428 Webseiten mit 9 Milliarden Accounts in der Datenbank, darunter Plattformen wie europajobs, Adobe, Yahoo und Snapchat . Darüber hinaus verfügt die Web-App über eine Benachrichtigungs-Funktion, die Sie automatisch informiert, wenn Ihre E-Mail gehackt worden ist.

Was ist bei einem Passwort zu beachten:
Benutzerpasswörter sollten mindestens 12 Zeichen lang sein, Administratorenpasswörter für die Systemverwaltung 16 Zeichen.
Passwörter sollten mindestens Gross- und Kleinbuchstaben und Zahlen enthalten.
Jedes Konto – Anmeldung am Computer, am Cloud-Speicher, am ERP, CRM etc. – benötigt ein eigenes Passwort.

7. Sensibilisieren Ihre Mitarbeiter

7. Sensibilisieren und schulen Sie die Mitarbeitenden in IT-Sicherheit

Sensibilisieren Sie Ihre Mitarbeiter darauf, dass insbesondere die Passwortregel aus Gründen der IT-Sicherheit und dem Datenschutz erforderlich sind und damit die Betriebssicherheit sichergestellt werden kann. Erklären und unterstützen Sie, insbesondere diejenigen Mitarbeiter, die sich damit schwertun.

8. Mitarbeiter auf die Gefahren von Phishing-Mails sensibilisieren

8. Mitarbeitende für die Gefahren von Phishing-Mails sensibilisieren

Phishing-Mails die Zugangsdaten ergaunern gehören leider zum Alltag. Das Wort setzt sich zusammen aus „password“ und „fishing“. Der Angreifer versucht dabei, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internetnutzers zu gelangen und diese für seine Zwecke, meist zulasten des Opfers, zu missbrauchen.
Eine der gemeinsten Varianten ist Ransomware. Ein Schadprogramme das sich auf ihrem Rechner, oder System einnistet und all ihre Dateien verschlüsselt und den Zugriff auf Daten und Systeme einschränken oder verhindern. Der Zugang wird nur gegen Zahlung eines Lösegeldes (engl. „ransom“) wieder freigegeben. Es handelt sich dabei um eine Form digitaler Erpressung.
Sensibilisieren Sie die Mitarbeitenden darauf, kritisch zu sein –  Schulen Sie die Mitarbeiter darin, die Schadsoftware zu erkennen.

9. Admin-Rechte für Benutzer nicht lokal vergeben

9. Keine lokalen Admin-Rechte für Benutzer

In der täglichen Arbeit sollten alle Mitarbeiter mit einem Standard-Benutzerkonto arbeiten und nie mit Administrator-Rechten. Damit sorgen Sie für eine zusätzliche Schutzstufe, falls ein Rechner plötzlich einen Virus haben sollte.

10. Zugriffsrechte auf Dateiablagen im lokalen Netz und Cloud einschränken

10. Minimale Zugriffsrechte auf Dateiablagen im lokalen Netz und in der Cloud

Arbeiten Sie mit Gruppen und legen Sie Verzeichnisse für Produktion, Verkauf, Marketing, Administration, Buchhaltung etc. an. Schränken Sie den Zugriff der Gruppen auf die jeweiligen Ordner ein und legen Sie Backup- und Archivdaten an einem separaten Ort ab. Machen Sie regelmässig ein Backup. Prüfen Sie die Rückspielung der Backups. Im Idealfall verhindern Sie damit auch, dass nach einem Cyberangriff Ransomware sämtliche Daten verschlüsseln kann.

Mehr zum Thema:

<span style=" font-family: Overpass !important; font-size: 18px !important;">Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu.</span></br> Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klickst, erklären Sie sich damit einverstanden.


Mehr erfahren

Schließen