• 08621 - 9 88 30 88

Monatsarchiv Februar 2018

Voncubewerk

Datenschutzgrundverordnung (DSGVO) – noch 90 Tage bis zum Stichtag!

Sehr geehrte Damen und Herren,

die DSGVO ist brisant wie kein anderes Thema. Zum 25. Mai 2018 müssen die EU-weiten Datenschutzrichtlinien in jedem Unternehmen umgesetzt werden. Wie auch ohne juristischen Beistand die geänderten Vorschriften erfüllt werden können und was konkret zu tun ist, stellen wir Ihnen im folgenden Artikel in einer einfachen und leicht verständlichen Weise vor.

Für Unternehmen die sich nicht selbst um die Umsetzung kümmern möchten, bieten wir ebenso sorgenfreie Beratungspakete zur Umsetzung an. In diesem Fall übernehmen wir die nötigen und wesentlichen Maßnahmen – jeweils auf Ihr Unternehmen zugeschnitten – für Sie.

Einleitung:
In sämtlichen Bereichen des täglichen Lebens ist der Unternehmer mit Vorschriften und Gesetzen konfrontiert. Sei es bei der Buchhaltung, Archivierung, Aufbewahrung oder beim Datenschutz. Diese zu berücksichtigen, einzuhalten und umzusetzen ist Chefsache. Ab 10 Mitarbeitern muss dies durch einen Datenschutzbeauftragen unterstützt werden. Speziell die DSGVO bietet eine Vielzahl von Tücken, die vermutlich zeitnah durch konkurrierende Unternehmen und Abmahnkanzleien ausgenutzt werden. Zusätzlich existieren empfindliche Strafen für die Missachtung der DSGVO. Diese gilt es zu vermeiden.

DSGVO – wozu?
Die teils verschiedenen Datenschutzgesetze der EU-Staaten werden vereinheitlicht. Was soll dadurch vermieden werden?

    Schaffung von gläsernen Bürgern
    Datenabfluss persönlicher Daten an ausländische Unternehmen
    Vermeidung von blinder Datensammlung durch Unternehmen
    Unüberlegter Umgang mit persönlichen Daten
    Verlust der Hoheit über die eigenen Daten

Schnelle Lösung – keine Daten sammeln/erheben?
Im Grunde ja. Eigentlich könnte an dieser Stelle der Leitfaden bereits enden, würden keine Daten erhoben werden. Der erste Leitsatz lautet somit:
Erheben / speichern Sie nur die Daten, die zwingend für die Verarbeitung nötig sind. Hierzu einige Empfehlungen aus der Praxis:

Online-Shop- oder Webseiten-Betreiber:

    Verzicht auf die Protokollierung der Serverzugriffe durch Log-Dateien
    Vermeiden von Tracking-Cookies oder Plug-Ins für soziale Netzwerke
    Verzicht auf die unnötige Erfassung von Daten über Kontaktformulare wie z.B. Geschlecht, Geburtsdatum oder Religion

Aber auch wer keinen Onlineshop betreibt, stolpert über viele Fälle der Datenerhebung:

    Frisörsalon – z.B. persönliche Vorlieben der Kunden wie z.B. Haarfarbe
    Umgang mit Bewerberdaten / Erfassung von Kundenstammdaten
    Erfassung von Daten bei Gewinnspielen sowie erlangte Daten bei der Auftragserfüllung vor Ort

Maßnahme 1: Dokumentieren Sie, welche Daten wieso wann und wie in Ihrem Unternehmen erfasst werden in einem Verarbeitungsverzeichnis und informieren Sie Kunden bei Erhebung über deren rechtliche Grundlage.

Maßnahme 2: Zeigen Sie den Weg der Daten in Ihrem Unternehmen auf. Sprich, welchen Weg nehmen die Daten auf dem Weg der Verarbeitung.

DSGVO – eine Chance?
Die strengen Regeln der DSGVO bieten die Gelegenheit, sich mit den eigenen Prozessen und Abläufen auseinanderzusetzen. Heißt – was kann optimiert werden?

Maßnahme 3: Stellen Sie sich folgende Fragen und dokumentieren die Antworten:

    Werden Kunden über die Datenerhebung und Verarbeitung informiert?
    Wie gehe ich mit Kundenanfragen zum Thema Datenschutz um?
    Wer löscht auf Kundenwunsch hin Daten und kontrolliert die Durchführung?
    Wie ist der Umgang bei einem Hackerangriff oder Datenverlust? Wer wird informiert? Eskalationsstufen?
    Werden Daten nach der Verarbeitung gelöscht?
    Wozu speichere ich Daten X/Y?
    Welche gespeicherten Daten erfüllen welchen Zweck für mein Unternehmen?

Keine Regel ohne Ausnahme – Sonderfälle in der Praxis
In Bereichen wo Daten erhoben werden, die eine Einordnung oder gar Klassifizierung von Personen nach Geschlecht, Sexualität, Krankheit, Finanzen, Herkunft oder politischen Ansichten ermöglichen, ist es nötig, eine Folgeabschätzung durchzuführen. Hierzu zählen z.B. Versicherungsmakler, Rechtsanwälte, Heilpraktiker und Ärzte.

Maßnahme 4: Halten Sie in einer Folgeabschätzung schriftlich fest

    wieso – also zu welchem Zweck – diese Daten konkret erhoben werden. Die Datenerhebung muss stets zweckmäßig sein
    welche Risiken durch die Datenerhebung für die betroffenen Personen entstehen
    was technisch und organisatorisch unternommen wird, das Risiko auf ein nötiges Minimum zu reduzieren
    wer und vor allem wie auf einen Datenabfluss bzw. Datenverlust reagiert und welche Maßnahmen ergriffen werden

Nutzen Sie die verbleibenden 90 Tage um sich kritisch mit den neuen rechtlichen Anforderungen auseinanderzusetzen oder übertragen Sie die Umsetzung an Dritte.
Hierzu bieten wir das das DSGVO – Grundpaket (1 Projekttag) für 720,- € zzgl. MwSt.+ Fahrtkosten an.

Folgende Leistungen beinhaltet das Grundpaket:

    Besprechung der Datenverarbeitung und Erhebung vor Ort
    Bereitstellung Erfassungsdokument inkl. Ausfüllhilfe und Einweisung
    Bereitstellung Datenfluss-Dokumentationsbogen inkl. persönliche Einweisung
    Beratung und Erhebung der Datenverarbeitung inkl. schriftlicher Fixierung

Als zusätzliches Paket bieten wir Ihnen das DSGVO Erweiterungspaket (1/2 Tag) – Folgenabschätzung für 405,- € zzgl. MwSt.+ Fahrtkosten an. Antworten Sie hierzu einfach auf diese E-Mail.

Wir wünschen Ihnen viel Erfolg bei der Umsetzung der rechtlichen Anforderungen und verbleiben

mit freundlichen

Grüßen Stefan Bauer

Geschäftsführer

Dieser Artikel dient der Iinformation zum Thema DSGVO. Er stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.

Voncubewerk

3cx grandstream call to itself – 3cx ruft einen selbst an

Witzig, mit dem letzten SW-Update von 3CX hat sich wohl ein Bug eingeschlichen in Kombination mit Grandstream Telefonen. Führt dazu, dass ein Telefon (wenn es nicht die empfohlene FW-Version hat) von der 3CX alle 20 Minuten angerufen wird. Anrufer ist man jeweils selbst. Schnell die FW-Versionen aktualisieren und schon ist das Telefon wieder ruhig.

Voncubewerk

failed to accept an incoming connection: from: TLS handshake returned error code 5:: zabbix

Zabbix braucht für die verschlüsselte Kommunikation „Zufall“ um vernünftige Verschlüsselung zu gewährleisten.

Den Vorrat von Zufall kann man unter Linux mit …. prüfen:

root@monitoring:/home/monitoring# cat /proc/sys/kernel/random/entropy_avail
87

Hier sieht man schön, dass dem Server Entropy/Zufall fehlt. Eine normale Workstation mit regelmäßigem Maus/Tastaturinput hat hier Werte von > 2000.

Wo nimmt man jetzt mehr Zufall her? Ein unschöner Workaround wäre mit rng-utils /dev/urandom als Quelle zu verwenden. Ein sauberer Weg wäre, Zufall z.B. durch regelmäßige Suchoperationen mit find zu generieren. Detals hierzu findet Ihr hier:

https://lwn.net/Articles/525459/

Voncubewerk

systemd beendet User-Prozesse beim Logout

Über ein tolles Problem sind wir die letzten Tage beim Testen gestolpert. Systemd „bereinigt“ – sprich terminiert –  beim Logout eines Benutzers alle seine noch laufenden Prozesse.

Das heißt wenn der Webserver auf dem Server als Benutzer www läuft und wegen gleicher Rechte der Benutzer sich auch gelegentlich per SFTP als www anmeldet um Dateien zu übertragen, terminiert systemd den Apache-Prozess beim SFTP-Logout. Wir dachten wir spinnen, als wir das gesehen haben.

Es gibt dazu eine Unterhaltung in Buchlänge im Debian Bugtracker sowie unseren Bugreport an systemd-devel:

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=825394

https://lists.freedesktop.org/archives/systemd-devel/2018-February/040312.html

Schöne neue Welt.