WILLKOMMEN BEI CASC
Persönliche Betreuung und zufriedene Kunden gehören zu unseren Stärken!

Wir sind Ihr zuverlässiger Full-Service Partner für die Umsetzung sämtlicher großer und kleiner Ideen im digitalen und analogen Bereich. Wir entwickeln gemeinsam mit Ihnen optimale Lösungen für Ihre Anliegen.

Wir unterstützen Sie in den Bereichen: Grafik-Design, Webprogrammierung, SEO-Optimierung, Datenschutz, Hosting und IT-Support, Hardwarekonfiguration und entwickeln webbasierte Software und Webshops.

Top-News:

ePrivacy- Verordnung
11.11.2019

Die Verhandlungen über die  ePrivacy Verordnung (ePVO), welche eigentlich gleichzeitig, als Ergänzung zur Datenschutzgrundverordnung, mit dieser am 28. Mai 2019 in Kraft treten hätte sollen, finden kein Ende.

Die Verordnung, welche die ePrivacy Richtlinie von 2002 ersetzen soll, regelt speziell die elektronische Telekommunikation. Ihr Hauptanliegen besteht darin einen vertraulichen Umgang der elektronischen Kommunikation zu normieren, sowie den Umgang mit personenbezogenen und nicht personenbezogenen Daten zu reglementieren. Einige Hauptpunkte die darin zu finden sein werden sind die „Anti-spam“-Regelungen für Digitales Marketing, Cookies-Bestimmungen und, wie bereits dargelegt, die Vertraulichkeit der elektronischen Kommunikation.

Derzeit befindet sich die Verordnung auf EU- Ebene noch im Verhandlungsstadium. Mit einer finalen Fassung ist mit sehr hoher Wahrscheinlichkeit, aufgrund Uneinigkeit von Rat, Parlament und Kommission, nicht vor 2020 zu rechnen. Mit ihrer Verlautbarung beginnt die Umsetzungsfrist von 24 Monaten, wonach die Verordnung frühestens mit 2022/2023 in Kraft treten würde.

Experten warnen vor einer zu starken Einschränkung der Wirtschaftstreibenden durch die neue Verordnung. Es wird auch empfohlen bereits jetzt, bei neu umzusetzenden Projekten, die kommende ePVO zu beachten. Aus unserer Sicht gestaltet sich dies, aufgrund Ermangelung eines finalen Entwurfes der Verordnung, noch nicht wirklich als machbar. Es ist wohl davon auszugehen, dass die ePVO, ebenso wie die DSGVO, einen für viele Unternehmen nicht zu vernachlässigenden Umsetzungsaufwand mit sich bringt. Wir bleiben dran und halten Sie diesbezüglich auf dem Laufenden. 
 





Urheberrechtsfragen mit Blick auf die Copyright-Richtlinie
23.10.2019

Prüfen Sie Ihre Homepage!

Die Urheberrechtsrichtlinie wurde in EU Gremien über drei Jahre verhandelt und ist mittlerweile vom Europäischen Parlament beschlossen. Mit Spannung wird nun die Umsetzung in Österreich erwartet. Nach der DSGVO könnte die Copyright-Richtlinie wieder zu einem Umsetzungsbedarf für die Betriebe führen. Die besagte EU-Richtlinie regelt die Nutzung von Werken durch Anbieter von Online-Diensten und reicht über Bestimmungen zur Transparenz bei Verträgen mit Urhebern bis hin zur Vergütung von Urhebern. Die konkreten Bestimmungen in Österreich bleiben abzuwarten.

Schon derzeit sind aber wesentliche urheberrechtliche Vorgaben zu beachten, wenn zB eine Homepage gestaltet wird. Man denke an Verlinkungen auf andere Homepages / Webinhalte. Links sind grundsätzlich zulässig, wenn die verlinkten urheberrechtlich geschützten Werke nicht einem neuen Publikum zugänglich gemacht werden. Vorsicht geboten ist bei Links, durch welche mit technischen Maßnahmen geschützte Inhalte zugänglich gemacht werden sollen – zB Inhalte einer entgeltlichen Website für eingeloggte Bereiche. 

Zulässigkeitsvoraussetzung ist, dass die Inhalte mit der Zustimmung der Rechteinhaber online gestellt wurden. Liegt eine Zustimmung nicht vor, ist die Verlinkung unzulässig. Laut dem Europäischen Gerichtshof ist darauf abzustellen, ob der „Linksetzer“ die Rechtswidrigkeit der Veröffentlichung der Werke auf der verlinkten Website kannte oder kennen musste. Bei einer Gewinnerzielungsabsicht des „Linksetzers“ vermuten die Gerichte, dass er eine allfällige Rechtswidrigkeit kannte. Unternehmerische Webseiten werden wohl meist in Gewinnerzielungsabsicht betrieben.

Der Oberste Gerichtshof hat entschieden, dass Arbeitsergebnisse von Konkurrenten nicht einfach übernommen/kopiert werden dürfen; diese sind zwar eventuell gar nicht urheberrechtlich geschützt, aber die Arbeitsersparnis würde einen Wettbewerbsvorteil bedeuten und ist daher als Wettbewerbsverstoß zu werten. Selbst dann, wenn fremde Inhalte kein urheberrechtlich geschütztes Werk darstellen, kann das Kopieren eines Textes daher rechtlich problematisch sein (unbefugte Nachahmung, unlauterer Wettbewerb)!

Layouts einer bereits bestehenden Website dürfen nicht einfach übernommen werden, denn auch diese können geschützt sein, wenn individuelle Gestaltungselemente eingesetzt werden.

Fotos werden auf vielfältige Art und Weise auf Homepages eingesetzt. Hier besteht nicht nur ein Schutz für urheberrechtliche Werke, sondern auch für jede andere Art von Fotos. Es ist die Zustimmung des Fotografen einzuholen und in der Regel auch der Name des Fotografen anzugeben. Bilder von Personen dürfen ohne deren Zustimmung nicht der Öffentlichkeit zugänglich gemacht oder verbreitet werden. Es ist neben den urheberrechtlichen Bestimmungen auch die DSGVO zu beachten, wonach diese Datenverarbeitung rechtmäßig sein muss (sprich, eine Einwilligung ist meist erforderlich).

 

Unsere Tipps für Ihre Homepage!

  • Woher stammen die Inhalte der Homepage (Logos, Texte, Bilder, Fotos …)?
  • Wurden entsprechende Werknutzungsverträge (inklusive Verwendung im Internet) mit den Urhebern abgeschlossen?
  • Klären Sie, ob der Fotograf die explizite Nennung seines Namens wünscht.
  • Wurde die Einwilligung der abgebildeten Personen eingeholt?
  • Verweisen Links nur auf legale Inhalte, die mit Zustimmung der Rechteinhaber ins Internet gestellt wurden?

 

Foto: geralt/pixabay





Großer Erfolg bei der Hacker-Nachwuchs-Europameisterschaft
15.10.2019

Großer Erfolg für Österreich bei der Hacker-Nachwuchsmeisterschaft. Wir gratulieren Roland, der seit Mitte Juni Teil des CASC-Teams ist, sehr herzlich zu diesem Erfolg!

https://www.derstandard.at/story/2000109866967/oesterreich-wurde-dritter-bei-hacker-nachwuchs-europameisterschaft

Foto: Ikarus





Datenschutzstrafen – Ist die Schonfrist zu Ende?
18.09.2019

Bisher hat sich die österreichische Datenschutzbehörde bei der Verhängung von Geldbußen auffallend zurückgehalten. Sie verfolgte scheinbar den Grundsatz verwarnen statt strafen. Zwei jüngere Entscheidungen zeigen nun auf, dass diese vermeintliche Schonfrist wohl vorbei ist:

  • 10.000 Euro Geldbuße für einen Trainer eines Fußballvereins, der Spielerinnen in der Dusche nackt gefilmt haben soll. Dies stellt die höchste von der Aufsichtsbehörde bisher verhängte DSGVO-Verwaltungsstrafe gegen eine natürliche Person dar. Die Entscheidung ist wegen Beschwerde des Verantwortlichen beim Bundesverwaltungsgericht noch nicht rechtskräftig. 
  • 50.000 Euro Geldbuße gegen ein Unternehmen im medizinischen Bereich. Hier ging es um die Nichteinhaltung der Informationspflichten gegenüber Betroffenen und die Nichtbestellung eines Datenschutzbeauftragten. Auch diese Entscheidung ist nach unseren Informationen noch nicht rechtskräftig.

Auch in den Staaten Europas werden die Aufsichtsbehörden vermehrt aktiv in der Verhängung von Geldbußen. Einige Beispiele:

  • 50.000 Euro für Online-Bank N26 – Verstoß gegen Verpflichtung zur Datenlöschung (Die Bank führte eine Abgleichdatei aller ehemaligen Kunden, um den Abschluss von Vertragsbeziehungen mit bestimmten ehemaligen Kunden zu verhindern. Die Behörde erkannte dies als überschießend – in einer Abgleichdatei dürfen nur Personen aufgenommen werden, die tatsächlich unter Geldwäscheverdacht stehen, oder bei denen andere triftige Gründe gegen eine erneute Bankverbindung vorliegen).
  • 250.000 Euro für den Ausrichter der beiden spanischen Profifußballligen - Verstoß gegen das Transparenzgebot (Die Smartphone-Applikation des Ausrichters „La Liga“ griff auf Positionsdaten und auf das Smartphone-Mikrofon zu, ohne dass über diesen Zugriff aufgeklärt wurde. Der Anbieter wollte mit diesen Zugriffen illegale Spielübertragungen über Umgebungsgeräusche erkennen und verhindern).
  • 400.000 Euro Krankenhaus in Portugal - Verletzung zentraler Datenschutzgrundsätze durch Zugriff unbefugter Personen auf Patientendaten
  • 99,2 Millionen britische Pfund (110 Millionen Euro) für Hotelkette Marriott – Verletzung des Schutzes personenbezogener Daten (Zugriff auf Kundendaten durch Hack)
  • 183 Millionen britische Pfund (205 Millionen Euro) – Verletzung des Schutzes personenbezogener Daten durch Sicherheitslücken im Online-Buchungssystem der Airline, Nichtumsetzung eines notwendigen Schutzniveaus personenbezogener Daten (es wurden ua. Namen, Adressen, Zugangsdaten, Reiseinformationen und Kreditkartendaten samt CVV-Sicherheitsnummern von Kunden abgegriffen) 

Man sieht – es wird gestraft. Die Verwaltungsstrafen sind nicht bloß Theorie, sondern gelebte Praxis. Sie betreffen nicht nur große Unternehmen, sondern – insbesondere in Österreich – auch kleinere Betriebe, Organisationen und Einzelpersonen.

Viele Verantwortliche haben im „ersten Schwung“ der medialen Berichterstattung über mögliche drohende Konsequenzen bei Nichtbefassung der DSGVO vor bzw. nach Mai 2018 durchaus Maßnahmen zur DSGVO-Compliance getroffen. Allerdings besteht bei beinahe jedem Verantwortlichen noch Nachhol- bzw. Konkretisierungsbedarf in der Umsetzung. Dies ist auch eine logische Folge des Umfangs der Verpflichtungen, die die DSGVO den Verantwortlichen auferlegt. Verantwortliche mussten in der Umsetzung beinahe zwangsläufig Schwerpunkte bzw. Prioritäten setzen.


Unserer Ansicht nach gilt es nun, eventuelle Umsetzungslücken zu erkennen und systematisch zu schließen. Wir beobachten, dass in vielen Fällen zwar Verarbeitungsverzeichnisse erstellt wurden, diese aber den Vorgaben des Art. 30 nicht entsprechen. Oft fehlt es an konkreten, an den Verarbeitungszwecken ausgerichteten Art. 13-Informationen für Betroffene, teilweise gibt es keine Konzepte/Vorgaben zur Dauer der Vorhaltung der Daten und für Löschungen (Löschkonzept) bzw. Darlegungen wie Vertraulichkeit der Daten sichergestellt wird (z.B. Berechtigungsvergabe über Rechte- und Rollenkonzept).

Die DSGVO normiert in Art 5 Abs. 2, dass Verantwortliche die Einhaltung der DSGVO nachweisen müssen. Unsere Empfehlung:  Überprüfen Sie im Sinne einer Minimierung des Risikos der Strafbarkeit, ob die gesetzten Maßnahmen wirklich ausreichend sind, oder noch Lücken in der Umsetzung bestehen. CASC unterstützt Sie hierbei gerne.
 





Der Identitätsnachweis im Rahmen eines Auskunftsverfahrens
12.09.2019

Aus gegebenem Anlass informieren wir Sie zu einer für Verantwortliche interessanten Frage betreffend Datenschutz in der Praxis, um Fehler zu vermeiden.

Die Datenschutzbehörde (DSB) beschäftigte sich unlängst mit einer Frage zum Auskunftsersuchen, konkret ging es in diesem Fall darum:

Die betroffene Person stellte in einem Unternehmen ein Auskunftsersuchen und bezog sich dabei auf die bisherige vertragliche Beziehung zum Unternehmen. Es wurde per E-Mail mit PGP-Verschlüsselung eine Ausweiskopie beigelegt.

Das Unternehmen erklärte in der Folge postalisch (per Einschreiben) an die betroffene Person, dass die Identität nicht geklärt sei, und die betroffene Person die Möglichkeit hätte, sich zu identifizieren, nämlich

  • durch einen eigenhändig unterfertigten Brief mit Ausweiskopie
  • persönlich in einer Filiale des Unternehmens
  • per EMail mit qualifizierter Signatur unter eine besondere EMail-Adresse des Unternehmens

Die betroffene Person sah darin eine überschießende Anforderung an die Identitätsfeststellung und reichte eine Beschwerde wegen der Verweigerung der Auskunft bei der DSB ein.

Diese Beschwerde war erfolgreich, sodass das Unternehmen die begehrte Auskunft erteilen musste.

 

Im Detail:

Das Unternehmen versuchte zu argumentieren, dass kein Rechtsschutzinteresse bestehe. Laut DSB sehe der Art. 15 DSGVO keine Voraussetzungen für das Recht auf Auskunft vor, sodass auch ein Rechtsschutzinteresse nicht notwendig sei.

Gemäß Art 12 DSGVO hat ein Verantwortlicher die Ausübung der Betroffenenrechte für die betroffene Person zu erleichtern. Laut DSB seien einerseits die „gemeinsamen Modalitäten zur Ausübung der Betroffenenrechte“ geregelt, es gäbe aber andererseits keine konkreten Anleitungen dazu. Fraglich ist daher, wie die Identifizierung der betroffenen Person bei Ausübung der Betroffenenrechte zu erfolgen hat.

Bei Zweifeln an der Identität kann der Verantwortliche weitere Informationen anfordern (siehe Art 12 Abs 6 DSGVO), die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Somit kann ein Verantwortlicher sich weigern tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Der Verantwortliche soll schließlich nur alle vertretbaren Mittel nutzen, um den Betroffenen zu identifizieren (siehe ErwG 64).

Zeitlich vor der DSGVO hat sich der VwGH bereits mit solch einem Fall beschäftigt und entschieden, dass die Identitätsfeststellung Missbrauch verhindern soll (DSG 2000). Nach der alten Rechtslage war somit ein Missbrauch des Auskunftsrechts zur Informationsbeschaffung durch Dritte zu unterbinden. Ein Antragssteller musste verpflichtend seine Identität nachweisen. Ein Auftraggeber dürfe laut VwGH daher ohne Vorliegen eines Identitätsnachweises keine Daten an den Auskunftswerber – von dem er in diesem Moment nur annehmen kann, dass er tatsächlich der Betroffene ist – übermitteln; andernfalls das Datengeheimnis verletzt werden könne. Aus diesen Schilderungen ergibt sich daher, dass ein hoher Grad der Verlässlichkeit für den Identitätsnachweis gefordert wird. Der Nachweis hat so zu erfolgen, dass es dem Auftraggeber ermöglicht, die Identität des Auskunftswerbers mit der Person zu überprüfen, deren Daten Gegenstand der Auskunft sein soll.

Dies ist grundsätzlich auch auf die aktuelle Rechtslage durch die DSGVO und den Auskunftsanspruch nach Art 15 DSGVO iVm Art 12 DSGVO umlegbar. Die in § 26 Abs 1 S 1 DSG 2000 enthaltende Anforderung, dass der Auskunftsersuchende seine „Identität in geeigneter Form nachweist“ wurde jedoch nicht in die DSGVO übernommen.

Der Verantwortliche kann nicht generell einen Ausweis fordern, sondern nur wenn er „begründete Zweifel“ hat, dass die Identität des Auskunftsersuchenden nicht mit der Identität des „Datensubjektes“, dessen Daten er verarbeitet, übereinstimmt (siehe Art 12 Abs 6 DSGVO). Es ist immer eine Entscheidung im Einzelfall.

Fraglich ist daher, wann die sog. „Zweifel an der Identität“ vorliegen:

Die erwähnte Einzelfallentscheidung hat laut DSB der Verantwortliche selbst zu treffen und er muss somit klären, ob die Informationen, die ein Auskunftswerber bekannt gibt, ausreichend sind, um diesen als die Person zu identifizieren, deren Daten er verarbeitet. Solange das der Fall ist, bestehen keine Zweifel an der Identität und die Auskunft ist zu erteilen.

Im eingangs geschilderten Fall lagen folgende Informationen vor:

  • Kopie des Ausweises,
  • Wohnort und Geburtsdatum,
  • EMail-Adresse mit PGP-Schlüssel des Unternehmens des Auskunftswerbers,
  • Angaben zur vertraglichen Beziehung zwischen dem Betroffenen und dem Verantwortlichen (die nicht öffentlich verfügbar sind).

Laut DSB reichen diese Angaben aus, einen Auskunftswerber zu identifizieren. Schlussendlich war daher der Verantwortliche verpflichtet, innerhalb der gesetzlichen Frist, die angeforderte Auskunft zu erteilen. Weitere Identitätsnachweise, wie

  • E-Mail mit qualifizierter Signatur,
  • eigenhändig unterfertigtes Schreiben oder
  • persönliches Erscheinen

dürfen vom Auskunftswerber nicht gefordert werden.
 

Praxistipps:

  • Prüfen: Prüfen Sie als Verantwortlicher die Angaben im Auskunftsersuchen zur Identität der betroffenen Person
  • Entscheiden: Entscheiden Sie im konkreten Einzelfall, ob Sie diese Person als diejenige Person, deren Daten Sie verarbeitet, identifizieren können.
  • Frist einhalten: Bei positiver Identifikation ist die Auskunft fristgerecht zu erteilen (die Monatsfrist des Art 12 Abs 3 DSGVO beginnt mit Eingang des Auskunftsersuchens).
  • Auskunft: Achten Sie darauf, dass nur die tatsächlich betroffene Person die Auskunft über ihre Daten gemäß Art 15 DSGVO erhält.

Diese Einschätzung und Empfehlungen stellen keine Rechtsberatung dar. Es wird keine Haftung übernommen.

 





China und sein Sozialkreditsystem
02.09.2019

Wir sind gespannt wie es weitergeht. Schon mehrmals hat  Chinas neues Sozialkreditsystem für Schlagzeilen gesorgt. Diesmal ist es nicht aus DSGVO-Sicht interessant sondern bereits aus wirtschaftlicher Sicht. Wir sind froh in einem Europa mit DSGVO zu leben… :)

Weblink: https://orf.at/stories/3135232/





5 Mrd. Dollar Strafe für Facebook
17.07.2019

Langsam aber sicher bekommt der Datenschutz echte Zähne.

Wie aktuell zu lesen ist, wird Facebook voraussichtlich 4,4 Mrd. Euro (5 Mrd. Dollar) Strafe zahlen müssen.

Weitere Infos: https://www.derstandard.at/story/2000106246847/facebook-soll-milliarden-wegen-datenschutzskandals-zahlen

 

Wir sind gespannt wie es weitergeht.

 

Foto: APA/AFP/GERARD JULIEN





Firefox blockiert Autoplay-Inhalte
11.06.2019

Seit der aktuellen Version 66 blockiert Firefox automatisch abgespielte Audio-Inhalte. Erst wenn der Nutzer aktiv bestätigt (zB den „Play“-Button klickt), wird der Inhalt wiedergegeben. Nutzer können jedoch – über ein Symbol in der Adresszeile - individuell festlegen, auf welchen Seiten die Autoplay-Funktion erlaubt werden soll. Diese Erlaubnis kann später auch wieder rückgängig gemacht werden. Foto: blog.mozilla.org/firefox/de/autoplay-im-firefox-browser-automatisch-blockieren/





Ganz neu online
27.05.2019

Gute Zusammenarbeit bringt bekanntlich die besseren Ergebnisse. Seit Ende Mai ist die Website von physio16, eine physiotherapeutischen Praxis im 16. Bezirk in Wien, online. Wir finden die gelungene Fotografie ebenso ansprechend wie das lockere und aufgeräumte Layout.

Hier gehts zur Website: https://www.physiotherapie16.at/

 





Die Bedeutung eines Berechtigungs- bzw. Rollenkonzepts unter der DSGVO
22.05.2019

Eine – derzeit noch nicht rechtskräftige – jüngere Entscheidung der portugiesischen Aufsichtsbehörde verdeutlicht einmal mehr die Bedeutung des Vorliegens eines Rechte- und Rollenkonzepts. Die Aufsichtsbehörde hat Ende 2018 dem Krankenhaus Barreiro Montijo in Barreiro Nahe Lissabon eine Verwaltungsstrafe von gesamt EUR 400.000 auferlegt. Konkret hatte ein Kreis von 9 nichtmedizinischen Mitarbeitern des Krankenhauses über einen „Technikerzugang“ im System Zugriff auf Patientendaten, welche nur von den behandelnden Ärzten hätten eingesehen werden dürfen. Zudem gab es gesamt 958 aktive Ärztezugänge im System, aber nur 296 aktive Ärzte im Krankenhaus. Die portugiesische Aufsichtsbehörde sah durch diese Missstände die Grundsätze Integrität und Vertraulichkeit (Schutz vor unbefugter und unrechtmäßiger Verarbeitung; Schutz vor Verlust, Vernichtung, Veränderung von Daten) und Datenminimierung (Verarbeitung lediglich der zur Zweckerzielung notwendigen Daten, Beschränkung des Umfangs der Verarbeitung) verletzt, zudem sah sie die Anforderungen des Art. 32 DSGVO (Datensicherheit) aufseiten des Verantwortlichen als nicht umgesetzt und entschied sich für Sanktionen in Form von Geldbußen für die Verstöße, welche sich auf gesamt EUR 400.000 summieren.

Hätte sich das Krankenhaus in ausreichendem Maß Gedanken über notwendige Berechtigungsumfänge der Mitarbeiter/Dienstnehmer - einem sogenannten Berechtigungs- und Rollenkonzept - gemacht, und hätte es Berechtigungen entsprechend den Aufgaben der Mitarbeiter zugeteilt und aktuell gehalten, wäre unbefugten Personen wohl kein Zugriff auf Patientendaten möglich gewesen und es wäre auch keine so große Diskrepanz im Verhältnis aktiver Nutzerkonten zur Anzahl an Mitarbeitern entstanden. Die hohe Geldstrafe hätte durchaus vermieden werden können.

Was gilt es beim Berechtigungsmanagement zu beachten? Berechtigungen für Datenzugriffe in sämtlichen Anwendungen und Systemen sollten immer nur auf „need-to-know“ Basis erteilt werden, den einzelnen Mitarbeitern oder Mitarbeitern mit gleicher Aufgabe (sog. Rollen) sollten nur der Zugriff auf diejenigen personenbezogenen Daten ermöglicht werden, die diese für die Erfüllung ihrer Aufgaben auch unbedingt benötigen. Die Verteilung der Rollen und Berechtigungen sollte aus Nachweisgründen immer schriftlich dokumentiert werden. Es sollte auch definiert werden, wie weit die einzelnen Berechtigungen im Detail reichen (Daten lesen/Daten erfassen/Daten ändern und löschen). Sinnvoll ist auch zu dokumentieren, wer in welchem Umfang Rechte erteilen darf/soll und wie die Prozesse hierfür aussehen (Vieraugenprinzip, etc.) Zuletzt sollte die Auseinandersetzung mit Berechtigungen eine fortlaufende Aufgabe für den Verantwortlichen sein, Augenmerk sollte immer auf Aktualität gelegt werden - so sind etwa nicht mehr benötigte Profile zu löschen bzw. zu deaktivieren.

Ein Rechte- und Rollenkonzept sollte im Sinne der Herstellung eines risikoangemessenen Schutzniveaus jedes von der DSGVO betroffene Unternehmen/jede Organisation/jeder Verein erstellen und umsetzen, unabhängig von der Größe. Besondere Bedeutung kommt dem Ganzen natürlich zu, wenn man Verarbeitungstätigkeiten durchführen muss, die ein höheres Risiko für Betroffene darstellen (z.B. umfassende Verarbeitung von Gesundheitsdaten). Gewährt man allen Mitarbeitern ohne Unterscheidung Zugriff auf alle Daten, gelangt man schnell zu Verstößen der DSGVO, was empfindlich teuer werden kann.
 





TÜV-Symposium
15.05.2019

GF Markus Dittrich holt beim TÜV Symposium zum Thema Datensicherheit und Datenschutz die neuesten Informationen ein.
Mit weiteren Informationen kommen wir demnächst auf Sie zu.





Cloud 2019 Kongress in Wien
10.04.2019

GF Markus Dittrich ist heute auf dem Cloud 2019 Kongress in Wien und versorgt CASC mit aktuellen Infos zum Thema Cloud Infrastruktur und Security. Mehr dazu berichten wir in der nächsten Ausgabe des eniac. #cloudaustria





4 Strafen durch die Datenschutzbehörde seit Mai
13.12.2018

Wie erwartet ist die österreichische Datenschutzbehörde derzeit mit Strafen sehr zurückhaltend. Der Standard gibt einen schönen Überblick über die Aktivitäten der DSB seit Mai:

https://derstandard.at/2000092017999/Erst-vier-Strafen-wegen-DSGVO-seit-Mai





Es summt und brummt und ist endlich fertig ....
21.11.2018

Die Herbstausgabe unseres Agentur-Magazins Eniacs ist fertig. Diese bringt unter Anderem Updates über den Datenschutz, den Kreativbereich sowie die neuesten Vortrags- und Eventstipps. Ganz besonders freuen wir uns darüber, uns näher  vorzustellen zu dürfen. Das CASC-Team hat sich 2018 stark verändert. Neue Herausforderungen benötigen innovative Herangehensweisen und intensive Zusammenarbeit. Darüber hinaus gibt es diesmal auch eine Newsletter-Aktion.

>> Download <<





Große Sicherheitslücke bei Whatsapp
11.10.2018

Potenziell sind alle mehr als 1 Milliarde Nutzer des Messenger-Dienstes Whatsapp von einer großen Sicherheitslücke betroffen, wie heute bekannt wurde. Angreifern ist es durch die Sicherheitslücke möglich, über einen vom Nutzer angenommenen Videoanruf Schadsoftware auf das Smartphone des Nutzers zu spielen, dieses zu kapern und so möglicherweise gespeicherte Daten abzugreifen. Updates, welche die Lücke schließen, werden von Whatsapp seit 28.09.2018 bereitgestellt. Die Versionsnummern lautet hier 2.18.302 für das Betriebssystem Android und 2.18.93 für iOS. Leider wird derzeit nicht allen Android-Nutzern die aktuelle Version als Update über den Play Store angeboten.

Es empfiehlt sich unter Einstellungen/Hilfe/App-Info des Programmes nachzuprüfen, welche Version des Dienstes man aktuell installiert hat und – sofern das Update nicht automatisch erfolgt – manuell zu aktualisieren, sobald das Update im Google Play Store verfügbar ist. In der Zwischenzeit gilt: keinesfalls Videoanrufe von unbekannten Absendern annehmen.

Quellen:

https://derstandard.at/2000089062824/Massive-Sicherheitsluecke-bei-Whatsapp-gefaehrdet-Milliarden-Nutzer

https://www.heise.de/security/meldung/Kritische-Sicherheitsluecke-gefaehrdet-Milliarden-WhatsApp-Nutzer-4186365.html

 





Wie steht die DSB zur Speicherbegrenzung? Eine neue Entscheidung gibt Aufschluss.
14.08.2018

Bei der Beratung unserer Kunden ist oft ein zentrales Thema, wie lange Daten aufbewahrt werden dürfen und ob eine „Schonfrist“ zulässig ist, wenn Daten eigentlich bereits gelöscht werden müssten, weil gesetzliche Aufbewahrungsfristen verstrichen sind. Eine kürzlich veröffentlichte Entscheidung der Datenschutzbehörde (DSB) legt auf den ersten Blick den Schluss nahe: „Keine Schonfrist“. Denn weder ließ die DSB das Interesse eines Mobilfunkunternehmens gelten, eine längere Speicherfrist aufgrund interner Prozesse und der damit einhergehenden Erleichterung des Geschäftsablaufs vorzusehen. Noch erachtete sie eine laufende Verjährungsfrist als ausreichenden Grund zur Datenspeicherung, sofern sich kein „konkretes Verfahren“ abzeichne.
 
Lässt sich diese Entscheidung nun so einfach auf die Praxis anderer Unternehmen umlegen? Unserer vorsichtigen Einschätzung nach Nein! Denn bei näherer Betrachtung unterliegen Mobilfunkunternehmen gewissen Sonderbestimmungen, die im Telekommunikationsgesetz geregelt und bezüglich Datenverarbeitungen tendenziell strenger sind, als dies für andere Unternehmen der Fall ist. Das Telekommunikationsgesetz schließt nämlich ein „berechtigtes Interesse“ des Mobilfunkunternehmens als Grund für die Speicherung von Stammdaten aus (siehe § 97 Abs. 2 TKG).
 
Da es für „gewöhnliche“ Unternehmen eine solche gesetzliche Spezialregelung nicht gibt, gehen wir davon aus, dass diese ein berechtigtes Interesse daran haben könnten, Daten länger zu speichern, als gesetzliche oder vertragliche Verpflichtungen dies vorschreiben. Wir denken hier etwa an die interne Festlegung einer (kurzen) „Schonfrist“, die aus Praktikabilitätsgründen in gewissen Fällen unvermeidbar scheint – oder entsorgen Sie etwa Ihre 7 Jahre alten Buchhaltungsdaten am 1.1. um 00:01 Uhr, anstatt Sekt zu trinken und Walzer zu tanzen? Ein weiteres Beispiel, das die Annahme eines berechtigten Interesses rechtfertigen könnte, wäre die Speicherung von Daten während laufender Verjährungsfrist, um sich für den Fall der Einleitung eines Verfahrens vor Gericht oder Behörde verteidigen zu können. Das berechtigte Interesse kann jedoch niemals ein Freibrief für eine unverhältnismäßig lange Speicherdauer sein und muss im Einzelfall sorgfältig argumentiert werden.
 
Wir warten gespannt auf weitere Entscheidungen der Datenschutzbehörde zum Thema und möchten in diesem Zusammenhang darauf hinweisen, dass es sich bei obigem Text lediglich um unsere unverbindliche Meinung und nicht um eine Rechtsberatung handelt.

Den Originaltext der Entscheidung finden Sie hier.

 





Livehack: Hitzeschutz für technische Geräte
31.07.2018

Technische Geräte leiden sehr unter der starken Hitze, darum ist es zu empfehlen, diese zwischen 0 bis 35 Grad zu lagern. Die Folgen sind verheerend, denn die Lebenszeit des Akkus, Displays und Gehäuses sinkt enorm. Es empfiehlt sich für das Auto eine Kühltasche mit zu nehmen, diese muss jedoch trocken sein und darf daher keine Kühl Akkus beinhalten, wegen des Kondenswassers.  
https://help.orf.at/stories/2927443/





CASC on Tour
26.07.2018

Das beste Büro der Welt ist dort wo unsere Arbeit ist. :) In den letzten Tagen in Innsbruck, Amstetten oder Lech. Und in den kommenden Tagen in Graz, Salzburg, Lech, St. Pölten, Klagenfurt oder am Zicksee.





Warum Facebook und Datenschutz derzeit ein schwieriges Thema sind?
06.06.2018

Über die Vorgehensweise von Facebook wurde nach dem Auftreten der Cambridge Analytica Vorwürfe viel diskutiert. Wie von uns schon oft vermutet, passiert die Weitergabe von Userdaten aber in viel größerem Stil. Die neuen Vorwürfe sind daher noch brisanter und interessanter.

Weitere Informationen sind hier zu finden: http://fm4.orf.at/stories/2917123/

Sowohl aus persönlicher als auch aus datenschutzrechtlicher Sicht, können wir ein aktives Verfolgen der Situation bei Facebook nur empfehlen.





Casc im Standard vom 25.05.2018
25.05.2018

Auf Seite 2 der heutigen Ausgabe des Standards dreht sich alles um die Datenschutz-Grundverordnung, die mit dem heutigen Tag in Kraft tritt. Im Artikel über die Umsetzung in Kleinbetrieben, ist unser Datenschutzbeauftragter Sebastian Strimitzer als Experte über seinen bisherigen Erfahrungen interviewt worden.





Passphrasen lösen Passwörter ab
02.05.2018

123456, password, 12345678, qwertz, 12345 - das sind immer noch einige der am häufigsten genutzt Passwörter!

Konventionelle Passwörter sind für Hacker sehr einfach zu knacken. Vor allem Ein-Wort-Passwörter wie "Erdbeere" sind eine große Gefahr, auch weil die meisten im Wörterbuch zu finden sind. Um diese Variationen dann sicherer zu machen werden Sonderzeichen, Zahlen und Großbuchstaben eingefügt. Dadurch wird die Kombination zwar sicherer, aber auch viel komplizierter und daher viel schwerer zu merken. Daraus resultiert die immer noch weit verbreitete Praxis das "super sichere" Passwort dann überall zu verwenden.

Abhilfe verschafft hier eine Passphrase. Sie ist länger, komplizierter dennoch einfach zu merken und hilft Logins sicherer zu machen.
 

Eine Guideline zur Erstellung sicherer Passphrasen findet man hier.
 

Noch ein paar Tipps:

  • Kurze Passwörter sind schlecht. Lange Passphrasen sind gut
  • Alte Passwörter niemals wieder verwenden
  • Zwei-Faktoren-Authentifizierung erhöht Sicherheit zusätzlich
  • Jedes Konto sollte eine eigene sichere Passphrase haben
  • Auch Passphrasen müssen hin und wieder gewechselt werden
  • Ein verlässlicher Passwort-Manager bietet sich unter Umständen an




CASC mit über 10.000km Reisetätigkeit!
19.04.2018

In den letzten Wochen war Geschäftsführer Markus Dittrich mit verschiedenen Mitarbeitern in Summe über 10.000km in Österreich und Deutschland unterwegs.

Hier einige Eindrücke:


Webprojekt für das Umweltbundesamt in Deutschland, Dessau-Roßlau


Datenschutzberatung für ein Hotel am Arlberg


Datenschutz Vortrag in Oberösterreich


Datenschutz Vortrag im Haus der Sports in Wien

Schön war's!





Mit "Google My Business" ausgewählte Unternehmensinformationen anzeigen
26.03.2018

Mit Google My Business entscheiden Sie, was Nutzer sehen, wenn sie eine Suchanfrage nach Ihrem Unternehmen ausführen.

Die Vorteile im Überblick

  • Der Eintrag ist kostenlos
  • Die wichtigsten Informationen zu Ihrem Unternehmen werden angezeigt - dies erleichtert Kunden die Kontaktaufnahme
  • Sie können die informationen stets aktuell halten und ausgewählte Fotos, Texte oder Videos hinzufügen
  • Das eigene Suchergebnis kann verbessert werden und das Unternehmen wird direkt in Google Maps angezeigt

 

Erfahren Sie mehr zu dem Thema:

https://www.google.de/business/

https://www.otago.at/google-my-business-optimieren/

https://pulsdesign.at/google-my-business-was-bringt-es-wirklich/

 

Sollten Sie noch Fragen haben oder Hilfe bei Ihrem Eintrag benötigen - wir helfen Ihnen gerne weiter!





Wir halten Datenschutzvorträge in ganz Österreich
21.03.2018

Sebastian Strimitzer und Markus Dittrich waren letzte Woche in Linz und Ried und sind derzeit in Dornbirn. Das Interesse ist groß und die Stimmung wie immer gut.
An folgenden Tagen tragen wir in den nächsten Wochen vor:

Ort Datum Veranstalter
Linz 16.03.2018 SPAK
Ried 17.03.2018 SPAK
Bregenz 20.03.2018 SPAK
Bregenz 21.03.2018 SPAK
Eisenstadt 22.03.2018 SPAK
Schenkenfelden 24.03.2018 SPAK
St. Pölten/Melk 06.04.2018 NÖ.Regional.GmbH
Amstetten/Scheibbs 07.04.2018 NÖ.Regional.GmbH
Wien 10.04.2018 ASVOE
Korneuburg/Tulln 13.04.2018 NÖ.Regional.GmbH
Mistelbach/Gänserndorf 14.04.2018 NÖ.Regional.GmbH
Wien 19.04.2018 MHA
Waidhofen an der Thaya/Gmünd 20.04.2018 NÖ.Regional.GmbH
Krems/Zwettl 21.04.2018 NÖ.Regional.GmbH
Wien 24.04.2018 ASVÖ Wien
Wiener Neustadt /Neunkirchen 27.04.2018 NÖ.Regional.GmbH
Baden/Lilienfeld 28.04.2018 NÖ.Regional.GmbH
Graz 28.04.2018 SPAK
Hollabrunn/Horn 04.05.2018 NÖ.Regional.GmbH
Mödling/Bruck an der Leitha 05.05.2018 NÖ.Regional.GmbH

Unter den folgenden Links können Sie sich für die Vorträge anmelden:

SPAK = Sportunion Akademie, www.sportunion-akademie.at
NOE = NOE Regional, www.noeregional.at
MHA = Medical Health Academy, www.medical-health-academy.at
ASVOE = ASVÖ Landesverband Wien, www.asvoewien.at

 





Neue Bedrohungsszenarien...
02.03.2018

... brauchen neue Lösungen!

ORF-Beitrag zum Thema künstliche Intelligenz: http://orf.at/stories/2428476/2427406/

Die "Schwachstelle" Mensch im Informationszeitalter wird immer wichtiger - langfristig wird das Thema nur mit Schulungen für die eigenen Mitarbeiter und der damit einhergehenden Sensibilisierung zu bewältigen sein!





DSGVO auch im ORF...
19.02.2018

... jetzt ist die DSGVO auch groß auf ORF.at: http://orf.at/stories/2417552/





DSGVO-Vortrag...
13.02.2018

... am 9. Februar war wir in Graz im Steiermarkhof vortragen - schön war's! Danke für das rege Interesse!

Morgen, 14.02.18, sind wir in Wien zu hören... Bis Ende März tragen wir an folgenden Orten vor:

Wien 14.02.2018
St. Pölten 17.02.2018
Salzburg 23.02.2018
Linz 16.03.2018
Ried 17.03.2018
Bregenz 20.03.2018
Bregenz 21.03.2018
Eisenstadt 22.03.2018
Schenkenfelden 24.03.2018

Die Anmeldung dafür ist über die Sportunion Akademie möglich: http://www.sportunion-akademie.at/de

Auch im April und Mai sind wir wöchentlich mehrfach in Vorträgen zu hören. Der genaue Fahrplan folgt noch...

DSGVO Vortrag Graz





NOYB ist finanziert!
01.02.2018

Der Verein von Max Schrems, NOYB, hat die Startfinanzierung geschafft. Damit ist sicher gestellt, dass es im zweiten Halbjahr 2018 wohl schon rund gehen wird. :-)

Mehr Infos: https://derstandard.at/2000073437929/Finanzierung-fuer-Datenschutz-NGO-noyb-gesichert





Eniac 02/17 ist jetzt online
12.12.2017

Das Eniac 02/2017 ist jetzt online. Es Umfasst die Themen Datenschutz, Security im Internet und Cloud-Backup. Desweiteren wird das Projekt für das deutsche Umweltbundesamt und unsere Softwareentwicklung "Mein Mitglied" vorgestellt. Abgerundet wird unser neuestes Magazin mit einem Gastkommentar von Michaela Putz zu dem Thema "Content matters - Warum Texte für Ihr Unternehmen wichtig sind" und der Vorstellung eines weiteren Mitglieds unseres Teams Christopher Reither.

>> Download <<





Datenschutzverein noyb
29.11.2017

Die neue Datenschutzgrundverordnung wirbelt derzeit einiges durcheinander. Max Schrems und Christof Tschohl (der uns persönlich bekannt ist) haben den Verein "noyb" gegründet. Dieser unterstützt Personen bei der Durchsetzung ihrer Rechte im Bereich Datenschutz.
Mehr Infos: http://orf.at/stories/2416600/2416601/





Website für das deutsche Umweltbundesamt
28.11.2017
Vor kurzem ging die Website für unseren neuen Kunden das deutsche Umweltbundesamt zum Thema "Müll im Meer" online ( www.muell-im-meer.de ). Die Seite beschäftigt sich mit der verschmutzung der Meere, den Gründen dafür und neuen Lösungen. Diese Webpräsenz ist sehr wichtig um die Menschen für dieses wichtige Thema zu sensibilisieren.
Die Website hat auch eine mobile Ansicht und einen internen Bereich für die an dem Projekt beteiligten Personen.




Nach langer Entwicklung online!
28.11.2017

Nach mehrlähriger Recherche und Entwicklung ging vor kurzem die Website www.dellmour.org online. Die Seite beschäftigt sich auf wissenschaftlicher Ebene mit dem Thema Homöopathie und liefert eine sehr sachliche und objektive Perspektive.





Neue mobile Website
28.11.2017

Die mobile Website von www.brandschutzbeauftragte.at ist jetzt online und voll responsive! Inklusive Slider und einklappbarem Menü damit die Seite schön übersichtlich bleibt!
Eine mobile Ansicht ist für jede Website sehr wichtig damit die Inhalte auch über das Smartphone in idealer Form abrufbar sind!





Neues UWW-Sportprogramm
28.11.2017

Das Sportprogramm der Union West Wien hat ein neues Design bekommen. Dadurch ist es jetzt moderner und übersichtlicher.
Es hat auch ein neues Feature bekommen: Einen WhatsApp-Sharebutton für die mobile Ansicht





Datenklau bei Uber
23.11.2017

Das Unternehmen Uber kann froh das, dass der Datenklau nicht innerhalb der EU und im Juni 2018 passiert ist. Das hätte das Unternehmen eine Strafzahlung von rund 300Mio Euro laut der neuen Datenschutzgrundverordnung gekostet.

Weitere Informationen finden Sie hier: http://orf.at/stories/2415876/2415877/





Vortrag im CWFB
22.11.2017

Schön war's! Am Montag durften Sebastian Strimitzer und Markus Dittrich vor über 20 Unternehmer-Freunden des CWFB einige Infos zum Thema Datenschutz darlegen! Danke!





Treibersuche
14.11.2017

Bei einer Treiberinstallation auf einem Kunden-Notebook von Lenovo war ich unschlüssig, welcher Treiber noch fehlt, der im Geräte-Manager gelb markiert als "Unbekannt" aufschien. Die Lösung brachte mir die Google-Suche der Hardware-ID, welche im Geräte-Manager unter dem Reiter "Details" zu finden war. Ein fehlender Touchpad-Treiber war noch nicht installiert.





BG9 Website online
10.11.2017

Es ist so weit! Mit vielen praktischen Features ausgestattet und in elegantem Design ging die neue Website des BG9 Wasagasse gestern online.

Hier geht's zur Website: bg9.at

 





Firefox blockiert Autoplay-Inhalte
30.11.-0001

Seit der aktuellen Version 66 blockiert Firefox automatisch abgespielte Audio-Inhalte. Erst wenn der Nutzer aktiv bestätigt (zB den „Play“-Button klickt), wird der Inhalt wiedergegeben. Nutzer können jedoch – über ein Symbol in der Adresszeile - individuell festlegen, auf welchen Seiten die Autoplay-Funktion erlaubt werden soll. Diese Erlaubnis kann später auch wieder rückgängig gemacht werden.

Foto: blog.mozilla.org/firefox/de/autoplay-im-firefox-browser-automatisch-blockieren/





Firefox blockiert Autoplay-Inhalte
30.11.-0001

Seit der aktuellen Version 66 blockiert Firefox automatisch abgespielte Audio-Inhalte. Erst wenn der Nutzer aktiv bestätigt (zB den „Play“-Button klickt), wird der Inhalt wiedergegeben. Nutzer können jedoch – über ein Symbol in der Adresszeile - individuell festlegen, auf welchen Seiten die Autoplay-Funktion erlaubt werden soll. Diese Erlaubnis kann später auch wieder rückgängig gemacht werden.

Foto: blog.mozilla.org/firefox/de/autoplay-im-firefox-browser-automatisch-blockieren/