News / Blog
Unsere Gedanken rund um das Wesentliche

Nacht der Unternehmen 2015

Besuchen Sie uns am 3. November 2015 ab 17:00 Uhr an unserem Stand bei der Nacht der Unternehmen im Technologie Zentrum Aachen.

Safe-Harbor-Abkommen: Angemessener Schutz der Grundrechte vom EuGH angezweifelt

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 6. Oktober 2015 die Entscheidung der Europäischen Kommission, dass die USA bei der Übermittlung personenbezogener Daten ein dem EU-Recht angemessenes Schutzniveau garantieren, aufgehoben. Hiervon betroffen sind das Safe-Harbor-Abkommen sowie ggf. auch die Standard-Vertragsklauseln, die die EU-Kommission zur Verfügung stellt.

Diese Abkommen/Verträge regeln im Wesentlichen

  • die Übertragung personenbezogener Daten zwischen deutschen / EU-Unternehmen und US-Firmen, die zum gleichen Konzern gehören,
  • die Übertragung personenbezogener Daten zwischen verschiedenen Niederlassungen derselben Firma, sofern der Empfänger der Übertragung in den USA sitzt,
  • die Übertragung personenbezogener Daten (auch automatisiert) mit Ausgangspunkt in Deutschland / EU innerhalb einer vorhandenen IT-Infrastruktur, wenn dabei der neue Speicherort in den USA ist.

Insbesondere urteilte der EuGH, dass die Europäische Kommission „die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann“. Außerdem bemängelt der EuGH, dass die Kommission nicht geprüft hat, ob die Vereinigten Staaten tatsächlich einen angemessenen Schutz der Grundrechte gewährleisten.

Deutsche Datenschutzbehörden, z.B. das LDI NRW, haben eine umfassenden Klärung der Konsequenzen des Urteils angekündigt, d.h. die Datenschutz-Aufsichtsbehörden werden unverzüglich auf Bundesebene sowie auf EU-Ebene beraten und das weitere Vorgehen abstimmen. (LDI-Erklärung)

Vom Wegfall der „Safe Harbor“-Einstufung der USA als Grundlage für die Beurteilung der Rechtmäßigkeit eines Transfers personenbezogener Daten von einem EU-Mitgliedstaat, insbesondere der Bundesrepublik Deutschland, in die USA betroffen sein könnten z.B. IT-Angebote an Dritte, etwa

  • Cloud-Services,
  • Social-Media-Network-Nutzung mit Infrastruktur / Datenaustausch zwischen D/ EU und USA,
  • Verträge im Bereich IT-Services, bei denen zumindest fallweise personenbezogene Daten an einen Leistungserbringungsort in den USA fließen müssen.

Das kann Verträge sowohl für Full Managed Service als auch Wartungsverträge mit 3rd Level Support betreffen, wenn etwa Leistungen direkt aus den USA beigesteuert werden und hierfür personenbezogene Informationen fließen müssen.

Auch Regelungen innerhalb eines Unternehmens/ einer Unternehmensgruppe für derartige Datentransfers zu Unternehmensstandorten in den USA können betroffen sein und müssen evtl. auf eine neue rechtliche Grundlage gestellt werden, sofern sie bislang den Safe-Harbor-Beschluss der EU oder entsprechenden durch die EU-Kommission zur Verfügung gestellten Standard-Vertragsklauseln zugrunde legten. Im Zweifel schadet es nicht, die in Deutschland maßgeblichen Ausführungen des BDSG, insbesondere §4b „Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen“ sowie §4c „Ausnahmen“ genauer zu berücksichtigen – insbesondere die juristischen Details und ihre Tragweite. Datenschutzbeauftragte werden sicher noch eine Weile ein wichtiger Anlaufpunkt für Fragen und Klärungsaufträge sein.

Outsourcing von (IT-)Services – Anforderungen gemäß BDSG: Vorsicht Bußgeldgefahr!

Sobald Fremddienstleistungen eine „Auftragsdatenverarbeitung“ beinhalten, greifen Detailvorgaben des Bundesdatenschutzgesetzes an explizit im Vertrag zu regelnde Details, siehe §11 BDSG. Bereits das Speichern von Daten ist Datenverarbeitung im Sinne des Gesetzes, und damit sind z.B. Verträge mit Cloud-Providern im Fokus von §11 BDSG, sobald zumindest anteilig personenbezogene Daten in der Cloud gespeichert werden könnten.

Gefordert ist eine explizite Formulierung von Vorgaben bzgl. technischer/ organisatorischer Maßnahmen bzgl. Datensicherheit. Dies müssen konkrete Vorgaben sein, ein einfaches Referenzieren oder Zitieren des BDSG reicht nicht. Ist der Vertrag zu unspezifisch, so kann dies als Ordnungswidrigkeit eingestuft werden.

§43 (Bußgeldvorschriften) Abschnitt 2.b lässt erkennen, dass sogar eine Prüfung der Maßnahmen beim AN zu den Pflichten des AG gehört, und nennt eine Bußgeldhöhe bis 50.000 €. Erst kürzlich wurde etwa in Bayern aus solchen Gründen ein Bußgeld in „fünfstelliger Höhe“ verhängt, siehe Pressemitteilung BayLDA Bußgeld wg. unspezifischem Vertrag

ComConsult Communications Index

Der ComConsult Communications Index (CCI), der die Ergebnisse aus Produkttests mit aktuellen UC-Lösungen in einer umfassenden Studie zusammenfasst, ist verfügbar. Der Fokus des CCI liegt ausschließlich auf Bedienbarkeit und Mehrwert von UC-Clients – ein Thema, das in dieser Form noch nicht für den deutschen Gesamtmarkt bewertet wurde.

Der Report wird von ComConsult Research vertrieben: http://www.comconsult-research.de/reports/de/cci.php?preK=Neueste%20Reports

Verfügbarkeit von IPv6: IPv6-Einführung im Mobilfunknetz der Telekom

Laut Auskünften des Sprechers der Deutschen Telekom zur Einführung von IPv6 im Mobilfunk-Bereich ist die Telekom aktiv dabei, ihr Mobilfunknetz auf Dual-Stack-Betrieb IPv4 und IPv6 umzustellen.Als voraussichtlicher Termin für die letzten Umschaltungen wird August 2015 genannt. Mehr Infos hierzu von heise.de unter: http://www.heise.de/netze/meldung/Tel…41029.html

ISO 27001/2: 2013 in deutscher Fassung (DIN)

Der aktuelle Stand zur Übernahme der aktuellen Normen ISO 27001 bzw. 27002 von 2013, die die Implementierung eines Informationssicherheits-Managementsystems (ISMS) spezifizieren, ist zurzeit wie folgt:

– ISO 27001:2013 + Cor. 1:2014 haben eine offiziell gültige deutsche Entsprechung in Form von DIN ISO/ IEC 27001, Ausgabe 03/2015

– das Pendant zu ISO 27002:2013 (formal genau: ISO/IEC FDIS 27002:2013) verharrt noch im Entwurfsstadium, aktuell erhältlicher Stand ist die Ausgabe 02/2014

Dies schließt die ergänzenden Korrekturen mit ein. Informationen zur weiteren Entwicklung finden sich unter: http://www.nia.din.de/cmd?search_grem…NormSearch

Full-HD Voice Codec

Die Fraunhofer-Gesellschaft hat einen neuen Voice Codec („Media Quality“ Full-HD Voice) angekündigt, der die Telefonie revolutionieren könnte. Eine entsprechende App ist bereits für Android verfügbar.
Hörprobe und mehr Informationen unter http://www.full-hd-voice.com

ComConsult auf dem Sommerfest der Informatik

Am 26. Juni 2015 stellen wir auf dem Sommerfest der Informatik an der RWTH Aachen aus.
Besuchen Sie uns an unserem Stand im Foyer des Informatik-Gebäudes an der Ahornstrasse, lernen Sie uns kennen und informieren Sie sich über unsere aktuellen Stellenangebote.

BSI: Compliance-Tabelle Grundschutz-zu-ISO2700x jetzt aktualisiert (14. EL/ ISO 2700x:2013)

Das BSI hat die Zuordnungstabelle von ISO-Controls zu Grundschutz-Textstellen aktualisiert, so dass jetzt die 14. EL der GS-Kataloge und die neuesten Versionen von ISO 27001/2 berücksichtigt sind.

100GBase ohne Notwendigkeit von 20 Fasern

Die Taskforce IEEE 302.3bm 100GBaseSR4 diskutiert, 100 GE nicht mehr über 20 Fasern zu übertragen, sondern lediglich über 8 Fasern. Damit begegnet man der ggf. teuren Problematik, dass die Verkabelung von 40GE inkompatibel zu der von 100GE ist, insbesondere die unterschiedlichen MPO-Stecker für beide Verfahren kamen auf dem Markt nicht gut an.
Sich abzeichnende Nachteile sind weitere Längenrestriktionen (OM3 nur noch 70 m und OM4 nur noch 100 m).