Ratgeber IT

Ratgeber IT

IT-Grundschutzprofil für Handwerksbetriebe

Die Digitalisierung stellt Handwerksbetriebe vor verschiedene Herausforderungen. Speziell das Thema Informationssicherheit hat nicht den Stellenwert, den es auf Grund zunehmender Cyberangriffe, …

Datenschutzgrundverordnung DSGVO

Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard …

Checkliste Google My Business für kleine und mittlere B2B-Unternehmen

Die Mittelstand 4.0-Agentur Handel hat eine Checkliste zur Nutzung von Google My Business für kleine und mittlere B2B-Unternehmen veröffentlicht. Google My Business ist ein Dienst, der die …

E-Mailsicherheit: Anlagenfilterung

In verschiedenen Virenschutzlösungen aber auch mit dem MicrosoftExchange Server können Sie mithilfe der Anlagenfilterung steuern, welche Anlagen Benutzer empfangen können. Zahlreiche Anlagen …

Praxis Recht – Neue Informationspflichten zur Verbraucherschlichtung

Seit April 2016 gibt es für Streitigkeiten mit Verbrauchern ein neues Verfahren. Die Verbraucherschlichtung ist im Verbraucherstreitbeilegungsgesetz (VSBG) geregelt und darf nur von besonderen …

IT-Sicherheitscheck

Informationsmaterial, Checklisten und weiterführende Links zur IT-Sicherheit im …

Datenschutz in der betrieblichen Praxis

Verstöße gegen den Datenschutz sind keine Kavaliersdelikte mehr. Was bisher selbstverständliche Praxis war, kann heute für Handwerker zur Stolperfalle werden. Datenschutz wird mit seinen formalen …

Windows FileServer vor Ransomware / Crypto Locker schützen

Ransomware wie Crypto Locker oder Locky, sind Trojaner, die meisten von einem Client aus anfangen Daten zu verschlüsseln und dabei auch vor Netzlaufwerken nicht halt machen. Dabei nützt auch der …

Zehn Merksätze zur Archivierung von E-Mails in Unternehmen

Leitfaden zur Aufbewahrung steuerrelevanter Dokumente Verschlüsselte E-Mails müssen auch unverschlüsselt aufbewahrt werden Berlin, 20. Dezember 2015 - Junge Unternehmen müssen …

Responsive Webdesign wird zur Pflichtübung

Google hat am 21. April ein großes Update seiner Suchmaschine gestartet. Wichtigste Änderung: Websites ohne mobile Ansicht (Responsive Webdesign) droht nun ein schlechteres Ranking in den …

Anleitung zu www.rollladen-sonnenschutz.de – Zeigen Sie Profil

Login Loggen Sie sich unter http://www.rollladen-sonnenschutz.de/login mit Ihren Zugangsdaten von rs-fachverband.de ein.             Sollten Ihnen die Daten …

Doppelt anmelden hält besser – Wichtige Dienste per Zwei-Faktor-Authentifizierung schützen

Ob bei Google, Facebook oder in der Dropbox, viele Online-Accounts sind gespickt mit sensiblen Daten – eine begehrte Ware in einem immer komplexeren Umfeld. Eine 100-prozentige Sicherheit vor …

iOS AirPrint auch ohne AirPrint kompatiblen Drucker

Seit der iOS-Version 4.2 beherrschen die Apple-Geräte die AirPrint-Funktion. Damit ist es möglich, Druckaufträge direkt an kompatible Drucker zu senden. So können Sie Texte, Fotos oder Grafiken …

Datenschutz bei Werbemaßnahmen

Die Reform des Bundesdatenschutzgesetzes (BDSG) von 2009 sah zahlreiche Übergangsvorschriften vor, wonach Altdatenbestände erst zu einem späteren Zeitpunkt den neuen Regeln unterworfen werden. …

Websitegestaltung bei Verbraucherverträgen

Zuletzt mit den Chef-Informationen vom 15. Juli 2012 haben wir unsere Betriebe über die seit dem 1. August 2012 geltenden neuen Anforderungen beim Betreiben von Online-Shops informiert und konkrete …

Ist mein Passwort sicher?

Microsoft bietet ein Online-Tool über eine gesicherte Verbindung zur Überprüfung der Passwortstärke …

PDF bei iPhone, iPad & Co.

Apples iOS-Geräte können zwar von Haus aus mit PDF-Dateien umgehen, doch es werden nicht immer alle PDF-Funktionalitäten korrekt wiedergegeben. Abhilfe schafft der Adobe Reader, den es für …

Die Erstellung sicherer Passwörter

Sichere Kennwörter sind ein wichtiger Schutz für sicherere Online-Transaktionen. Wichtig bei der Kennwortsicherheit ist die Länge und Komplexität. Das ideale Kennwort ist mind. 8 Zeichen lang …

Digitale Fotografie: Megapixel, Bildgröße und Bildqualität

Ausgangspunkt Kompakt-Digital-Kamera (Seitenverhälnis meist 4:3): 3 Megapixel = 72,25 x 54,19 cm bei 72 dpi Auflösung 3 Megapixel = 2048 x 1536 Pixel bei 72 dpi Auflösung Umgerechnet auf …

Schlechter Stil per E-Mail behindert Geschäftsabläufe

Das richtige Verhalten per E-Mail ist wichtig: Viele Menschen fassen schlecht formulierte E-Mails als ein Zeichen von Geringschätzung auf. In vielen Fällen sehen sich zwei von zehn …

Ratgeber IT

IT-Grundschutzprofil für Handwerksbetriebe

Die Digitalisierung stellt Handwerksbetriebe vor verschiedene Herausforderungen. Speziell das Thema Informationssicherheit hat nicht den Stellenwert, den es auf Grund zunehmender Cyberangriffe, auch auf Handwerksbetriebe, haben müsste. Oft fehlt es in den Betrieben an den entsprechenden Fachkenntnissen, der Zeit und zielgruppenspezifischen Hilfestellungen.

Der „IT-Grundschutz-Profil für Handwerksbetriebe“ soll einfache Wege aufzeigen, wie Betriebe das Thema IT-Sicherheit zielgerichtet angehen und umsetzen können. Es bildet das Beispiel eines Betriebes unabhängig vom Gewerk ab. Dadurch stehen möglichst vielen Handwerksbetrieben Anregungen für die Erhöhung der Informationssicherheit zur Verfügung. Ausgehend von vier als relevant betrachteten Geschäftsprozessen umfasst es u. a.

  • eine Liste der relevanten Zielobjekte (Anwendungen, IT-Systeme sowie Räumlichkeiten), die es zu schützen gilt,
  • eine Zuordnung der dazu passenden IT-Grundschutz-Bausteine mit Anforderungen und Umsetzungshinweisen sowie
  • Empfehlungen zur Umsetzungsreihenfolge.

Zentrale Hilfestellungen für die Umsetzung im Betrieb bieten

  1. „Landkarten“ als Entscheidungsgrundlage für die Unternehmensleitung und „Umsetzungs-Fahrplan“ für IT-Fachleute.
  2. Der Routenplaner “Cyber-Sicherheit für Handwerksbetriebe“: Anschauliche Routenpläne und zielgruppengerechte Arbeitshilfen führen auf die für Handwerksbetriebe maßgeblichen IT-Grundschutz-Bausteine und dazu passenden Umsetzungshinweise des BSI in der jeweils aktuellen Edition. Handwerksbetriebe können so ihren individuellen Sicherheitsprozess nach IT-Grundschutz des BSI bedarfsgerecht gestalten.

Ratgeber IT

Datenschutzgrundverordnung DSGVO

Ab 25. Mai 2018 gelten in allen Mitgliedstaaten der Europäischen Union neue Datenschutzregeln. Mit der Reform soll sichergestellt werden, dass in allen Mitgliedstaaten derselbe Datenschutzstandard besteht. Da in Deutschland bereits hohe Anforderungen an den Datenschutz gelten, führen die neuen Vorschriften zwar zu zahlreichen formellen Änderungen. Eine inhaltliche Verschärfung der Anforderungen geht mit der Reform jedoch insgesamt nicht einher. Sie muss trotzdem erstgenommen und innerbetrieblich zur Chefsache gemacht werden, da bei Verstößen erhebliche Strafen drohen.

Handwerksbetriebe müssen also sicherstellen, dass sie bis zum 25. Mai 2018 die erforderlichen Anpassungen vornehmen. R+S wird daher in dieser und in den kommenden Ausgaben die für die handwerkliche Praxis wichtigsten Aspekte und Fragen zusammenstellen und Handwerksbetrieben einen vertieften Überblick sowie das notwendige Rüstzeug zu geben, die jeweiligen betrieblichen Abläufe an die Anforderungen des neuen Datenschutzrechts anzupassen.

Zulässige Datenverarbeitung ohne Einwilligung

Jeder Betrieb steht im Kontakt mit Kunden und Lieferanten, von denen er zumindest E-Mail-Adressen und Telefonnummern speichert; er verarbeitet also personenbezogene Daten. Und damit muss er sich schon den verschärften Anforderungen des Datenschutzrechts stellen – ob er will oder nicht. Natürlich liegt der Gedanke nahe „Der Kunde will doch etwas von mir, also muss ich doch seine Daten haben“. Trotzdem muss das Thema (mutmaßliche) Einwilligung mit Sorgfalt behandelt und durchaus differenziert betrachtet werden.

Wann also ist die Nutzung von Daten überhaupt erlaubt?

Eine Datennutzung ist nur zulässig, wenn  eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt (siehe hierzu unten „Anforderungen an die datenschutzrechtliche Einwilligung“).

Vorschriften, die eine Datennutzung erlauben, finden sich hauptsächlich in Artikel 6 der Europäischen Datenschutz-Grundverordnung (DSGVO). Diese Regelungen werden durch die §§ 22, 24, 26 des Bundesdatenschutzgesetzes (BDSG) ergänzt.

Gemäß Art. 6 DSGVO ist eine Datenverarbeitung ohne Einwilligung zulässig, wenn die Verarbeitung

  • zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können),
  • zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um dem Kunden nach seinem Wunsch einen Kostenvoranschlag senden zu können),
  • zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (z.B. die Auswertung der Kundendatei, um bestimmte Kunden zielgerichtet mit Werbung anzusprechen).

Beachte: Die Datennutzung zur Direktwerbung ist zulässig. Allerdings dürfen Betroffene der Werbung jederzeit widersprechen (Art. 21 Absatz 2 DSGVO). Für Werbung per E-Mail ist weiterhin eine Einwilligung erforderlich.

Die Verarbeitung personenbezogener Daten von Arbeitnehmern konkretisiert § 26 BDSG. Hiernach ist eine Verarbeitung zulässig, wenn es

  • zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist (z.B. Speicherung von Lohnunterlagen und Krankheitstagen),
  • zur Ausübung der Interessensvertretung der Beschäftigten erforderlich ist (z.B. Weiterleitung von Arbeitnehmerdaten an den Betriebsrat).

Gesundheitsdaten (z.B. Dioptrienzahl, Gehörschädigung etc.) gelten als besonders schutzwürdige Daten (Art. 9 DSGVO). Für Betriebe der Gesundheitshandwerke – dies soll hier nur der Vollständigkeit halber erwähnt werden – folgt die Berechtigung zur Verarbeitung von Gesundheitsdaten aus § 22 Abs. 1 Nr. 1 b) BDSG. Diese Vorschrift erlaubt die Verarbeitung von Gesundheitsdaten

  • zum Zweck der Gesundheitsvorsorge,
  • zur Versorgung oder Behandlung im Gesundheits- oder Sozialbereich,
  • wenn es für einen Vertrag zwischen der betroffenen Person und einem Angehörigen eines Gesundheitsberufs erforderlich ist.

Anforderungen an die datenschutzrechtliche Einwilligung

Wie oben erwähnt, kann eine Datennutzung außer von Gesetzes wegen nur im Falle einer Einwilligung des Betroffenen erlaubt sein.

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen an eine Einwilligungserklärung erfüllt sein. Für Betriebe gelten die Vorschriften der DSGVO, die durch das BDSG ergänzt werden.

Eine Einwilligung ist nur dann rechtmäßig, wenn derjenige, der die Einwilligung erklärt, dies freiwillig tut. Jede Form von Druck, Zwang oder Verpflichtung führt deshalb zur Unwirksamkeit der Einwilligung. Eine Einwilligung gilt unter anderem bereits als unfreiwillig, wenn der Abschluss eines Vertrags oder die Erbringung einer Leistung von der Abgabe der Einwilligungserklärung abhängig gemacht wird und der Kunde keine Möglichkeit hat, die Leistung auf andere Weise zu erlangen.

Die Wirksamkeit einer Einwilligung ist nicht vom Alter des Einwilligenden abhängig. Insofern spielt es an sich keine Rolle, ob es sich um einen Minderjährigen oder einen Volljährigen handelt. Für die Wirksamkeit der Einwilligung ist allein die Einsichtsfähigkeit des Einwilligenden in die Tragweite seiner Erklärung maßgeblich. Der Einwilligende muss erkennen können, welche Folgen die Einwilligung für ihn hat.

Ob Minderjährige diese Einsichtsfähigkeit besitzen, kann nicht pauschal beurteilt werden, sondern richtet sich nach den Umständen des Einzelfalls. Da die Einsichtsfähigkeit eines Minderjährigen nicht in jedem Fall mit abschließender Sicherheit beurteilt werden kann, empfiehlt es sich in der Praxis, bei Minderjährigen stets die Einwilligungserklärung der Erziehungsberechtigten einzuholen.

Einwilligungen müssen – anders als früher – nicht mehr schriftlich erklärt werden. Eine mündliche Einwilligung ist deshalb in gleicher Weise wirksam. Allerdings sollte die Einwilligungserklärung allein aus Beweis- und Dokumentationsgründen stets in Textform (also z.B. als Mail, Fax oder SMS) eingeholt werden.

Die gewählte Form der Einwilligung ist zugleich Maßstab für den Fall, dass die Einwilligung widerrufen wird. Wurde die Einwilligung mündlich erteilt, muss ein mündlich erklärter Widerruf akzeptiert werden. Die Dokumentation mündlicher Erklärungen ist allerdings aufwändig, fehleranfällig und für effiziente Betriebsabläufe nicht zu empfehlen.

Die gesetzlichen Vorschriften geben klare Mindestanforderungen an den Inhalt der Einwilligungen vor:

  • Der Datenverarbeiter muss seine Identität offenlegen (Angabe des Namens bzw. der Firma).
  • Es muss dargelegt werden, welche Daten erhoben werden (z.B. Adressdaten, Kontodaten).
  • Es muss der Zweck genannt werden, für den die Daten verarbeitet werden (z.B. Werbung, Weitergabe an Dritte).

Hinweis auf das Widerrufsrecht: Der Einwilligende hat die Einwilligung freiwillig erklärt und kann sie jederzeit mit Wirkung für die Zukunft widerrufen. Es ist anzugeben, in welcher Form (Textform) und an welche Adresse (Postanschrift, E-Mail-Adresse) der Widerruf zu richten ist.

Die Angaben müssen verständlich und in klarer, einfacher Sprache formuliert werden. Sie müssen so konkret und so umfassend sein, dass sich der Einwilligende darüber ein Bild machen kann, was mit seinen Daten passiert.

Die Einwilligungserklärung ist optisch so zu gestalten, dass sie ins Auge fällt und vom Einwilligenden wahrgenommen wird. Dies ist vor allem dann wichtig, wenn die Einwilligungserklärung zusammen mit anderen Informationen (z.B. Allgemeinen Geschäftsbedingungen) in einem einzigen Text vorgelegt wird. Die erforderliche optische Abhebung ist beispielsweise durch eine Einrahmung, einen Fettdruck, eine andere Farbe oder durch eine andere Schriftgröße möglich.

Die Einwilligung muss aktiv erklärt werden und sollte durch eine eindeutige bestätigende Handlung erfolgen. Dies kann – abgesehen von einer unterschriebenen Einwilligung – z.B. durch Anklicken eines Kästchens beim Besuch einer Internetseite geschehen. Stillschweigen, das bloße Hinnehmen bereits angekreuzter Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar.

Soll die datenschutzrechtliche Einwilligung gemeinsam mit weiteren Erklärungen abgegeben werden, so sollte für jede Erklärung eine gesonderte Unterzeichnung oder ein gesondertes Anklicken vorgesehen werden. Dies bietet sich allein aus Beweiszwecken an. Eine einzige Unterschrift/Bestätigung für das gesamte Dokument birgt dagegen das Risiko der Unzulässigkeit und ist deshalb nicht zu empfehlen.

Wie lange gilt eine Einwilligung?

Obwohl die gesetzlichen Vorschriften keine zeitliche Geltungsdauer vorsehen, wird in der Praxis davon ausgegangen, dass erklärte Einwilligungen nicht unbeschränkt gültig sind.

Eine Einwilligung kann nur herangezogen werden, solange derjenige, der eingewilligt hat, vernünftiger Weise mit einer Verarbeitung seiner Daten rechnen muss. Dies kann je nach Fall unterschiedlich sein. Wer seine Einwilligung zum Erhalt von Werbung zu dem regelmäßigen Tag der offenen Tür seines RS-Betriebs erklärt hat, muss nicht damit rechnen, dass er nach mehreren Jahren erstmals oder erneut Werbung erhält.

Formelle Pflichten von Betrieben – Ein Überblick

Das Datenschutzrecht räumt Personen, deren Daten von Betrieben genutzt werden, zahlreiche Rechte ein. Damit soll erreicht werden, dass diese Betroffenen Einfluss auf den Umgang und die Verbreitung ihrer Daten haben.

Für Betriebe, die Daten verarbeiten, bestehen kehrseitig gewisse Anforderungen an die Datennutzung. Wer Daten z.B. seiner Kunden und Geschäftspartner nutzen möchte, muss diese überwiegend formalen Anforderungen erfüllen. Die Pflichten von Betrieben und die Rechte von Betroffenen sind in den Artikeln 12 bis 22 der Datenschutz-Grundverordnung (DSGVO) geregelt. Die Vorschriften werden durch die §§ 32 bis 37 des Bundesdatenschutz-gesetzes (BDSG) ergänzt.

Betriebe, die Daten nutzen, werden vom Gesetz als „Verantwortliche“ bezeichnet, weil sie die Datennutzung verantworten und für Datenpannen einstehen müssen. Ihre Pflichten sind im Einzelnen:

  • Transparenzgebot (Art. 12 DSGVO): Art. 12 regelt den Umgang mit Anfragen des Betroffenen und in welcher Form Anfragen zu beantworten sind. Der Verantwortliche hat der betroffenen Person sämtliche Informationen und alle Mitteilungen auf präzise, transparente, verständliche und leicht zugängliche Weise in einer klaren und einfachen Sprache unverzüglich zu übermitteln. Obwohl auch eine mündliche Information zulässig ist, ist in der Praxis die Textform allein aus Beweisgründen zu empfehlen. Hierbei spielt es keine Rolle, ob der Text in Papierform oder elektronisch übermittelt wird.
  • Informationspflichten (Art. 13 und 14 DSGVO): Art. 13 regelt, welche Informationen der Verantwortliche dem Betroffenen zu erteilen hat, wenn er beim Betroffenen Daten erhebt. Art. 14 bestimmt die Informationspflichten, wenn die Daten nicht bei der betroffenen Person selbst, sondern bei einem Dritten erhoben werden. Siehe hierzu ausführlich unten „Informationspflichten bei Erhebung personenbezogener Daten“.
  • Auskunftsrecht (Art. 15 DSGVO): Betroffene haben das Recht, vom datenverarbeitenden Betrieb eine Bestätigung zu verlangen, ob über sie personenbezogene Daten gespeichert sind und verarbeitet werden. Ist das der Fall, hat der Betrieb Auskunft über diese Daten, deren Herkunft sowie weitere Informationen zu erteilen. In der Praxis werden solche Auskunftsanfragen i.d.R. von Kunden auf Betriebe zukommen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sind personenbezogene Daten falsch, nicht mehr aktuell oder unvollständig, haben die betroffenen Personen gemäß Art. 16 ein Recht auf Berichtigung. Der verantwortliche Datenverarbeiter muss die unrichtigen oder unvollständigen Daten unverzüglich korrigieren.
  • Recht auf Löschung (Art. 17 DSGVO): Nach Art. 17 haben Betroffene das Recht, die Löschung ihrer Daten zu verlangen, wenn einer der gesetzlich geregelten Löschungsgründe vorliegt. Ein solcher Grund liegt vor, wenn:
    1. die Aufbewahrung der Daten für den Zweck, zu dem sie ursprünglich erhoben wurden, nicht mehr erforderlich ist,
    2. die Daten unrechtmäßig verarbeitet wurden,
    3. der Betroffene seine Einwilligung für eine weitere Speicherung widerrufen hat. Selbst wenn einer der vorgenannten Gründe vorliegt, dürfen Daten aber nicht gelöscht werden, wenn gesetzliche Aufbewahrungsfristen bestehen und der Verantwortliche damit zur Aufbewahrung verpflichtet ist (z.B. bei rentenrelevanten Unterlagen von Mitarbeitern). Anstelle einer Löschung tritt die sog. Einschränkung der Verarbeitung gemäß § 35 BDSG, wenn die Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse des Betroffenen an der Löschung als gering anzusehen ist.
  • Recht auf Vergessenwerden (Art. 17 DSGVO): Eine besondere Form des Löschungsanspruchs ist das „Recht auf Vergessenwerden“. Dieses Recht bezieht sich auf Daten, die veröffentlicht wurden und zielt insbesondere auf Veröffentlichungen im Internet ab. Für Handwerksbetriebe dürfte dies in der Praxis jedoch keine große Rolle spielen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene in bestimmten Fällen erwirken, dass der Datenverarbeiter ihre Daten sperrt und somit nicht weiter verarbeiten darf. Dies gilt u.a. für den Fall, dass die Richtigkeit gespeicherter Daten bestritten wird und die Datennutzung für die Dauer der Überprüfung der Richtigkeit ausgesetzt werden soll, die Datenverarbeitung unrechtmäßig ist und der Betroffene anstatt der Löschung die Nutzungseinschränkung bevorzugt.
  • Pflicht zur Datenübertragung (Art. 20 DSGVO): Das Recht auf Datenübertragung gibt Betroffenen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen Dateiformat zu erhalten. Der Betroffene hat damit das Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“. Die Regelung soll den Wechsel zu einem anderen Anbieter insbesondere bei sozialen Netzwerken oder Verträgen mit Energieversorgern, Banken und Versicherungen erleichtern. Für Handwerksbetriebe wird dieses Recht jedoch keine Praxisrelevanz haben.
  • Widerspruchsrecht (Art. 21 DSGVO): Betroffenen steht ein Widerspruchsrecht gegen eine Verarbeitung ihrer Daten zum Zweck der Direktwerbung zu. Obwohl die Nutzung von Daten zur Direktwerbung zulässig ist, können betroffene Personen hiergegen jederzeit und ohne Angabe von Gründen widersprechen. Nach erfolgtem Widerspruch dürfen die Daten nicht mehr zur Direktwerbung genutzt werden.
  • Dokumentationspflicht (Art. 30 DSGVO): Handwerksbetriebe sind verpflichtet, sämtliche Verarbeitungsprozesse im sogenannten „Verzeichnis von Verarbeitungstätigkeiten“ zu dokumentieren. Hierdurch soll eine Übersicht über die datenschutzrelevanten Abläufe im Betrieb gegeben werden. Erweist sich eine beabsichtigte Datennutzung als risikoreich, ist zusätzlich eine „Datenschutz-Folgenabschätzung“ nach Art. 35 DSGVO vorzunehmen.

Informationspflichten bei Erhebung personenbezogener Daten

Personen, deren Daten von einem anderen verarbeitet werden, sollen im Vorlauf zur Datenverarbeitung informiert werden. Insbesondere sollen sie erfahren, welche Daten über sie erhoben und zu welchem Zweck sie genutzt werden. Um diese Transparenz herzustellen, sind Betriebe verpflichtet, den jeweils betroffenen Personen zahlreiche Informationen über die beabsichtigte Datennutzung zu erteilen. Welche Informationen dies im Einzelnen sind, ist in den Art. 13 und 14 der Europäischen Datenschutz-Grundverordnung (DSGVO) aufgelistet, die durch §§ 32 und 33 des Bundesdatenschutzgesetzes (BDSG) ergänzt werden.

Bei den Informationspflichten sind drei Situationen zu unterscheiden:

Werden personenbezogene Daten beim Betroffenen direkt erhoben, müssen diesem insbesondere folgende Informationen mitgeteilt werden:

  • Identität des Verantwortlichen: Name und Kontaktdaten des Datenverarbeiters (bei juristischen Personen zudem Name des Vertreters, z.B. Name des Geschäftsführers).
  • Kontaktdaten des Datenschutzbeauftragten (DSB): Dies gilt nur, sofern ein DSB bestellt ist. Der Name des DSB ist hierbei nicht zwingend zu nennen.
  • Verarbeitungszweck der Datennutzung: z.B. für Werbemaßnahmen oder zur Abwicklung eines Vertrags.
  • Rechtsgrundlage der Datenverarbeitung: Entweder Benennung der gesetzlichen Norm, die die Datenerhebung erlaubt oder Einwilligung des Betroffenen. Bei einer Einwilligung ist zusätzlich der Hinweis auf das Recht zum Widerruf der Einwilligung erforderlich.
  • Empfänger oder Kategorien von Empfängern der Daten: Gilt nur, wenn die Daten an Dritte weitergeleitet werden. z.B. Weitergabe von Daten an die Creditreform.
  • Dauer der Verarbeitung oder Dauer der Datenspeicherung: In der Regel dauert die Datennutzung an, bis der Zweck der Datenverarbeitung erreicht ist.
  • Rechte der Betroffenen: z.B. Recht auf Auskunft, Berichtigung, Löschung.
  • Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde.
  • Hinweis, ob die Bereitstellung der Daten für den Abschluss oder die Abwicklung eines Vertrags erforderlich ist: z.B. Adresse des Kunden, wo der Auftrag zur Reparatur durchgeführt werden soll.

Werden personenbezogene Daten nicht beim Betroffen selbst, sondern bei einem Dritten oder aus öffentlichen Quellen erhoben, müssen zunächst dieselben Angaben gemacht werden, wie bei der Erhebung beim Betroffenen selbst.

Zusätzlich sind dem Betroffenen zwei weitere Informationen zu erteilen:

  • Welche Kategorien personenbezogener Daten erhoben werden: Werden z.B. einfache Adressdaten oder besonders sensible Daten wie z.B. Gesundheitsdaten erhoben?
  • Aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

Für den Fall, dass der Verantwortliche die Daten bereits vorliegen hat und für einen anderen Zweck weiterverarbeiten möchte, muss er die betroffenen Personen vor der Weiterverarbeitung über folgende Aspekte informieren:

  • den neuen Zweck der Verarbeitung,
  • die Dauer der Verarbeitung (siehe oben bei Erhebung beim Betroffenen),
  • die Rechte des Betroffenen (siehe oben bei Erhebung beim Betroffenen),
  • Beschwerderecht (siehe oben bei Erhebung beim Betroffenen).

Im Fall der Datenerhebung beim Betroffenen müssen die Informationen im Zeitpunkt der Datenerhebung mitgeteilt werden. Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen. Bei einer Zweckänderung ist der Betroffene vor der Verwendung der Daten zum neuen Zweck zu unterrichten.

Ausnahmsweise ist die Information des Betroffenen nicht erforderlich, soweit dieser bereits Kenntnis über die einzelnen Angaben der Datenverarbeitung hat.

Werden die Daten bei einem Dritten erhoben, darf die Information zudem unterbleiben, wenn die Informationserteilung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde.

Verstöße gegen die datenschutzrechtlichen Informationspflichten können gemäß Art. 83 Abs. 5 DSGVO Strafen in Höhe von bis zu 20 Mio. EUR oder vier Prozent des Weltjahresumsatzes ausgesprochen werden!

(Quelle: RS-Fachzeitschrift Ausgabe 1/2 und 3 sowie ZDH)
Weitere Informationen finden Sie in der RS-Fachzeitschrift Ausgabe 4 und 5.

 

Auf Grundlage weiterer Anregungen aus der Handwerksorganisation hat der ZDH inzwischen ergänzende Informationsunterlagen samt weiterer Muster erarbeitet. Hierzu gehören auch Muster von vorausgefüllten Verarbeitungsverzeichnissen zur Datenverarbeitung zu den verschiedensten Zwecken und Beispielsformulierungen für ergänzende Informationen im Datenschutzhinweis auf Webseiten.

Zudem wurden der schon mehrfach von uns empfohlene Leitfaden für Betriebe sowie der Leitfaden für öffentlich-rechtliche Handwerksorganisationen punktuell aktualisiert.

Die beiden Leitfäden finden Sie hier:

LEITFADEN DATENSCHUTZ BETRIEBE
LEITFADEN DATENSCHUTZ BETRIEBE
LEITFADEN_DATENSCHUTZ_BETRIEBE.pdf
LEITFADEN DATENSCHUTZ HANDWERKSORGANISATIONEN
LEITFADEN DATENSCHUTZ HANDWERKSORGANISATIONEN
LEITFADEN_DATENSCHUTZ_HANDWERKSORGANISATIONEN.pdf

Alle Informationen und Arbeitshilfen stehen auf der Webseite des ZDH unter https://www.zdh.de/themen/organisation-und-recht/datenschutz/ als Download zur Verfügung.

 

Ratgeber IT

Checkliste Google My Business für kleine und mittlere B2B-Unternehmen

Die Mittelstand 4.0-Agentur Handel hat eine Checkliste zur Nutzung von Google My Business für kleine und mittlere B2B-Unternehmen veröffentlicht. Google My Business ist ein Dienst, der die Sichtbarkeit des unternehmenseignen Angebotes in den Google-Suchergebnissen erhöhen kann.

Der kostenfreie Leitfaden zeigt Schritt für Schritt, worauf kleine und mittlere Unternehmen achten sollten, wenn sie bei dem Branchenverzeichnis ihr Profil anlegen. Dabei wird erläutert, welche Basisdaten wichtig sind und wie B2B-Unternehmen ihre Google-My-Business-Seite besonders aussagekräftig gestalten können.

Checkliste Google-My-Business
Checkliste Google-My-Business
Mittelstand-4.0-Agentur-Handel_Checkliste_Google-My-Business_Web.pdf

Ratgeber IT

E-Mailsicherheit: Anlagenfilterung

In verschiedenen Virenschutzlösungen aber auch mit dem MicrosoftExchange Server können Sie mithilfe der Anlagenfilterung steuern, welche Anlagen Benutzer empfangen können. Zahlreiche Anlagen enthalten schädliche Viren, die der Firma beachtlichen Schaden zufügen können.
Es empfhiehlt sich, folgende Dateitypen beim E-Mailempfang auszufiltern (Die Liste erhebt keine Anspruch auf Vollständigkeit):

*.ade, *.adp, *.asp, *.asx, *.bas, *.bat, *.chm, *.clp, *.cmd, *.com, *.dbx, *.docm, *.dotm, *.exe, *.hlp, *.hta, *.htb, *.inf, *.ink, *.ins, *.isp, *.js, *.jse, *.mbx, *.mht, *.msc, *.msi, *.msp, *.mst, *.nch, *.pcd, *.php, *.pht, *.pif, *.prf, *.rar, *.reg, *.scr, *.scr, *.sct, *.shb, *.shs, *.swf, *.vb, *.vbe, *.vbs, *.wms, *.wsc, *.wsf, *.wsh, *.xlm, *.xlsb, *.xltm

 

Ratgeber IT

Praxis Recht – Neue Informationspflichten zur Verbraucherschlichtung

Seit April 2016 gibt es für Streitigkeiten mit Verbrauchern ein neues Verfahren. Die Verbraucherschlichtung ist im Verbraucherstreitbeilegungsgesetz (VSBG) geregelt und darf nur von besonderen Schlichtungsstellen durchgeführt werden. Streitigkeiten zwischen Handwerkern und Verbrauchern können bei der sog. Allgemeinen Verbraucherschlichtungsstelle (www.verbraucher-schlichter.de) behandelt werden. Das Verfahren darf nur von Verbrauchern beantragt werden und wird ausschließlich online durchgeführt.

Ab Februar 2017 müssen Unternehmer nach dem Verbraucherstreitschlichtungsgesetz Verbrauchern Auskunft geben, ob sie im Fall eines Rechtsstreits an einer Verbraucherschlichtung teilnehmen. Beachten Sie hierzu die nachfolgenden Information:

Informationspflicht über Verbraucherschlichtung
Informationspflicht über Verbraucherschlichtung
ZDH_Praxis_Recht_Information_20172.pdf
Anlage zur Informationspflicht über Verbraucherschlichtung
Anlage zur Informationspflicht über Verbraucherschlichtung
ZDH_Praxis_Recht_Infopflichten_2017.pdf

Weitere Informationen vom Bundesministerium der Justiz und Verbraucherschutz

Übersicht Informationspflichten Verbraucherschlichtung
Übersicht Informationspflichten Verbraucherschlichtung
Verbraucherschlichtung_Uebersicht_Informationspflichten_BMJV.pdf
Leitfaden zur Verbraucherschlichtung
Leitfaden zur Verbraucherschlichtung
Verbraucherschlichtung_Leitfaden-BMJV.pdf

Ratgeber IT

Ratgeber IT

Datenschutz in der betrieblichen Praxis

Verstöße gegen den Datenschutz sind keine Kavaliersdelikte mehr. Was bisher selbstverständliche Praxis war, kann heute für Handwerker zur Stolperfalle werden. Datenschutz wird mit seinen formalen Dokumentations- und Informationspflichten jedoch häufig als bürokratisch empfunden. „Im betrieblichen Alltag wird dem Thema oftmals nicht die gebotene Priorität eingeräumt. Das sollten die Unternehmen schnell ändern“, rät Holger Schwannecke, Generalsekretär des Zentralverbandes des Deutschen Handwerks (ZDH).

Schon Handwerksbetriebe, die ehemalige Kunden mit einem Newsletter über neue Angebote auf dem Laufenden halten wollen, müssen Daten erfassen. Hier gilt der Grundsatz: Entweder ein Gesetz erlaubt die beabsichtigte Datennutzung ausdrücklich oder derjenige, dessen Daten genutzt werden sollen, willigt in die Nutzung ein. „Gerade die kundenorientiert arbeitenden Handwerksbetriebe müssen diesen Grundsatz verinnerlichen und ihre Datenverarbeitung danach ausrichten“, so Schwannecke. Denn liegt das Einverständnis nicht vor, ist jede Erhebung, Speicherung und Nutzung von Kundendaten zunächst einmal verboten.

Das Bundesdatenschutzgesetz verpflichtet die Betriebe zudem zur Bestellung eines Datenschutzbeauftragten, sobald regelmäßig mehr als neun Mitarbeiter persönliche Daten automatisiert verarbeiten. Hierfür reicht bereits der Zugriff auf die in Excel gespeicherte Kundendatei aus.

Zum vielfältigen Aufgabenspektrum eines betrieblichen Datenschutzbeauftragten gehört die Beratung die Geschäftsführung in allen datenschutzrechtlichen Angelegenheiten. Werden beispielsweise neue Verfahrensabläufe eingeführt, sind diese auf Risiken zu prüfen und ggf. Empfehlungen für alternative Lösungen auszusprechen. Auch der Schulung und Sensibilisierung der Mitarbeiter für den Datenschutz kommt eine hohe Bedeutung zu.

Auch wenn keine Pflicht zur Bestellung besteht, empfiehlt es sich, einen Mitarbeiter als Datenschutzexperten fortzubilden. „Die Sensibilität von Kunden für den datenschutzkonformen Umgang mit ihren Daten nimmt spürbar zu. Hierauf sollten sich die Betriebe einstellen“, so Schwannecke.

Auch allgemein müssen datenschutzrelevante Betriebsabläufe künftig anders dokumentiert werden. Mit der europäischen Datenschutz-Grundverordnung wurde das bestehende nationale Recht moderat weiterentwickelt. Eine wichtige Neuerung betrifft etwa das Transparenzgebot: Kunden müssen künftig bei Erhebung von Daten zahlreiche Informationen zur Verfügung gestellt werden. Diese reichen von Angaben der Kontaktdaten bis hin zu Ausführungen über die Zwecke der Datennutzung. Die europäischen Vorschriften treten ab Mai 2018 in Kraft und sind künftig in der Datenschutz-Grundverordnung selbst nachzuschlagen.

Wer hilft bei Nachfragen?

Zuständig für die Unterstützung und Beratung in Datenschutzfragen sind die Datenschutzbehörden der Bundesländer. Bevor die Aufsichtsbehörde, ein privater Datenschutzdienstleister oder ein spezialisierter Rechtsanwalt kontaktiert werden, empfiehlt es sich, zunächst bei seiner Innung, dem Verband oder der Handwerkskammer Rat zu suchen. Die Handwerksorganisationen sind mit den Strukturen und typischen Betriebsabläufen von Handwerksbetrieben vertraut und bieten praxisgerechte Lösungen.

Ratgeber IT

Windows FileServer vor Ransomware / Crypto Locker schützen

Ransomware wie Crypto Locker oder Locky, sind Trojaner, die meisten von einem Client aus anfangen Daten zu verschlüsseln und dabei auch vor Netzlaufwerken nicht halt machen. Dabei nützt auch der beste Virenschutz auf dem Fileserver nichts. In nur wenigen Fällen gibt es die Möglichkeit, die verschlüsselten Daten wiederherzustellen. Ohne ein Backup kann der Schaden schnell sehr groß werden.

Für Windows-Server gibt es aber mittels der Dateiprüfung über den Ressourcen-Manager die Möglichkeit, den Schaden möglichst gering zu halten.
Im Blog „Franky’s Web“ steht, wie es geht: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/

 

 

Ratgeber IT

Zehn Merksätze zur Archivierung von E-Mails in Unternehmen

  • Leitfaden zur Aufbewahrung steuerrelevanter Dokumente
  • Verschlüsselte E-Mails müssen auch unverschlüsselt aufbewahrt werden

Berlin, 20. Dezember 2015 – Junge Unternehmen müssen zahlreiche rechtliche Vorgaben bei der Buchführung beachten, gleichgültig ob Nagelstudio oder Internet-Start-up. Eine zentrale Frage ist in diesem Zusammenhang, wie die Unternehmen mit steuerrelevanten E-Mails umgehen sollen. „Zahlreiche betriebliche Prozesse wie Bestellungen oder der Versand von Rechnungen werden heute per E-Mail abgewickelt“, sagt Jürgen Biffar, Vorstandsvorsitzender des Kompetenzbereichs ECM im Bitkom. Die rechtliche Grundlage dafür bilden die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Der Digitalverband Bitkom und der Verband elektronische Rechnung (VeR) haben die wichtigsten Anforderungen an die elektronische Post in ihrem gemeinsam ausgearbeiteten Leitfaden „E-Mails und GoBD – 10 Merksätze für die Unternehmenspraxis“ zusammengestellt.

Die zehn Merksätze im Überblick:

  • E-Mails sind aufbewahrungspflichtig
    E-Mails mit der Funktion eines Geschäftsbriefs oder eines Buchungsbelegs müssen aufbewahrt werden.
  • E-Mails sind elektronisch aufzubewahren
    Ausdrucke auf Papier reichen nicht aus.
  • Dateianhänge sind im Original aufzubewahren
    Steuerrelevante E-Mail Dateianhänge müssen im Originalformat aufbewahrt werden. Verschlüsselte E-Mails müssen auch unverschlüsselt gespeichert werden
  • E-Mail als Transportmittel
    Dient eine E-Mail als reines Transportmittel für eine andere elektronische Datei, zum Beispiel eine Rechnung, muss sie nicht aufbewahrt werden. Die isolierte Speicherung der transportierten Datei reicht aus.
  • E-Mails sind zu indexieren
    Von besonderer Bedeutung ist das Kriterium der Ordnung. Danach müssen E-Mails mittels einer Indexstruktur identifizierbar und klassifizierbar sein. Insbesondere muss eine eindeutige Zuordnung zum jeweiligen Geschäftsvorfall oder Buchungsbeleg hergestellt werden.
  • E-Mails sind unverändert zu archivieren
    Die Aufbewahrung von geschäftlicher E-Mail-Korrespondenz innerhalb des Mailsystems oder des Dateisystems ohne zusätzliche Sicherungsmaßnahmen reicht nicht aus, um die Anforderungen an die Unveränderbarkeit zu erfüllen.
  • Die Konvertierung von E-Mails unterliegt spezifischen Vorgaben
    Bei der Konvertierung einer volltextrecherchierbaren E-Mail in eine anderes Format müssen die Recherchemöglichkeiten erhalten bleiben.
  • Der Umgang mit E-Mails ist zu dokumentieren
    Die Prozesse für den Empfang und Versand von aufbewahrungspflichtigen bzw. steuerlich relevanten E-Mails müssen dokumentiert werden.
  • E-Mails unterliegen dem Recht auf Datenzugriff
    Betriebsprüfer dürfen laut GoBD E-Mails mit einer Volltextsuche durchsuchen und maschinell auswerten. Daher sollten E-Mails mit steuerlicher Relevanz getrennt von anderer Korrespondenz aufbewahrt werden.
  • Rechnungen als E-Mails sind zulässig
    Seit der Änderung durch das Steuervereinfachungsgesetz 2011 ist es möglich, dass E-Mails ohne weitere Voraussetzungen als elektronische Rechnungen fungieren und beim Empfänger zum Vorsteuerabzug berechtigen.

Die 10 Merksätze „E-Mails und GoBD“ stehen ab sofort kostenlos zum Download zur Verfügung unter:
https://www.bitkom.org/Bitkom/Publikationen/E-Mails-und-GoBD-10-Merksaetze-fuer-die-Unternehmenspraxis.html

Ratgeber IT

Responsive Webdesign wird zur Pflichtübung

Google hat am 21. April ein großes Update seiner Suchmaschine gestartet. Wichtigste Änderung: Websites ohne mobile Ansicht (Responsive Webdesign) droht nun ein schlechteres Ranking in den Suchergebnissen. Zudem gilt eine Seite lt. Google als „mobile-friendly“, wenn kein Flash verwendet wurde. Darüberhinaus sollten Texte auch ohne Zoomen auf Mobilgeräten lesbar sein und die Darstellung der Website sollte sich automatisch an die jeweilige Bildschirmgröße anpassen. Der Google Algorithmus kennt da kein Pardon: Entweder man passt seine Webseiten an oder man rutscht in den Suchergebnissen weiter nach hinten. Sollten Sie unseren Rahmenvertrag mit web4business nutzen, können Sie Ihre Webseite mit wenigem Mausklicks auf eine mobilfähige Webseite kostenlos umschalten.

Ratgeber IT

Anleitung zu www.rollladen-sonnenschutz.de – Zeigen Sie Profil

Login

Loggen Sie sich unter http://www.rollladen-sonnenschutz.de/login mit Ihren Zugangsdaten von rs-fachverband.de ein.

tutorial rs-portal 00

 

 

 

 

 

 

Sollten Ihnen die Daten nicht vorliegen, so wenden Sie sich bitte an unsere Zentrale unter Telefon 0228 95210-0.

 

Antrag auf Änderung der Stammdaten

Auf dem Reiter „Profil“ können Sie bequem Ihre Stammdaten ändern sowie Ihr Produktportfolio und Ihre Dienstleistungen anpassen.

tutorial rs-portal 01

 

 

 

 

 

 

 

 

Nach Mausklick auf den roten Button Änderungsanfrage senden am Fuß der Seite, werden die Daten an uns übermittelt und in die Datenbank eingepflegt.
In der Regel sind die Daten nach 24 Stunden geändert.

 

Direkte Änderung Ihrers Unternehmensportraits

Auf dem Reiter Aktionstag können Sie:

  • Einen beliebigen Aktionstag angeben, benennen und eine Beschreibung dazu hinzufügen.
    Das kann der Rollladen- und Sonnenschutztag sein aber auch ein anderer Tag,
    an dem Sie Ihren Kunden etwas besonderes präsentieren möchten.
    Das Format für das Datum ist: tt.mm.yyyy (erste Zeile), in der zweiten Zeile können Sie eine Uhrzeit hh:mm eintragen.
    Bitte speichern Sie das danach Ihre Änderungen, bevor Sie weiter vorgehen.
  • Ein Bild hochladen. Das könnte z. B. Ihr Firmengebäude sein.
    Anforderungen: Bild in RGB mit idealerweise 500 Pixel x 380 Pixel bei 72 dpi nicht größer als 600 KB.
    Bitte nach dem Bild Upload erst speichern, bevor Sie weiter arbeiten!
  • Ein Logo hochladen
    Anforderungen: Bild in RGB mit idealerweise 160 Pixel x 60 Pixel bei 72 dpi und nicht größer als 300 KB.
    Bitte nach dem Logo Upload erst speichern, bevor Sie weiter arbeiten!
  • Informationen zu Ihrem Unternehmen eintragen. Erzählen Sie etwas über Ihr Unternehmen.
  • Öffnunszeiten eintragen. Das Format für die Uhrzeit ist: hh:mm

Wenn Sie Ihre Daten eingepflegt haben drücken Sie nochmals den roten Button „Speichern“. Fertig!

tutorial rs-portal 03

 

 

 

Ratgeber IT

Doppelt anmelden hält besser – Wichtige Dienste per Zwei-Faktor-Authentifizierung schützen

Ob bei Google, Facebook oder in der Dropbox, viele Online-Accounts sind gespickt mit sensiblen Daten – eine begehrte Ware in einem immer komplexeren Umfeld. Eine 100-prozentige Sicherheit vor Datenklau gibt es leider nicht und so zählt jede Hürde. Die Zwei-Faktor-Authentifizierung (2FA) ist ein bewährtes Mittel, um seinen Online-Konten ein erhöhtes Maß an Sicherheit zu verschaffen.

Es gibt die unterschiedlichsten Sicherheitsmethoden, die Online-Aktivitäten im Netz stärker abzusichern – die gängigste Methode ist das Einsetzen eines Passworts, das jemanden bei der Anmeldung zu einem Internetdienst verifizieren soll. Leider ist die gängige Praxis hierbei aber so, dass nur ein Passwort in Verbindung mit der E-Mail-Adresse für viele verschiedene Dienste genutzt werden. Für Kriminelle ein leichtes Spiel, denn die E-Mail-Adresse, die als Login-Name dient, ist kein Geheimnis. Ist ein Zugang einmal ausgespäht, steht dem Identitätsdiebstahl nichts mehr im Wege.

Viele der großen Anbieter haben mittlerweile reagiert und bieten Möglichkeiten, die Passworteingabe noch stärker absichern – beispielsweise die Zwei-Faktor-Authentifizierung. Sie dient dem einwandfreien Identitätsnachweis eines Nutzers durch die Kombination zweier Komponenten. Laut Definition kann das etwas sein, das ein Nutzer weiß, besitzt oder das untrennbar zu ihm gehört.

Gängige Beispiele im Alltag finden sich im Bankwesen – am Geldautomaten oder im Online-Banking. Durch die Kombination einer Bankkarte, die in der Regel nur der Eigentümer bei sich trägt, und dem PIN kann eine Transaktion eingeleitet werden. Beim Online-Banking ist es die Kombination aus PIN und TAN, die zur Überprüfung an das Smartphone des Kontoeigners verschickt wird, sobald eine Transaktion ausgelöst werden soll. In beiden Fällen reichen die Zugangsdaten allein nicht aus, um eine Überweisung einzuleiten oder Geld vom Konto abzuheben.

Die Zwei-Faktor-Authentifizierung als Identitätsnachweis ist also nur dann funktionsfähig, wenn beide benötigten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Identität nicht zweifelsfrei feststellen. Der Zugriff, der durch die Zwei-Faktor-Authentifizierung gesichert ist, bleibt verweigert.
Das System der Zwei-Faktor-Authentifizierung wird mittlerweile neben Microsoft, Google und Facebook von vielen Diensten angeboten – leider wissen das nur wenige. Auf https://twofactorauth.org gibt es eine Übersicht und so funktioniert es:

Smartpone App oder SMS

Je nach Anbieter werden die Codes per SMS übermittelt oder mittels einer Smartphone-App bereigestellt. Als App eignet sich der kostenlose Google Authenticator, aber auch HDE OTP oder Free OTP. Letztere Apps sind Open Source Produkte. OPT steht für One Time Password. Die Apps generieren alle 60 Sekunden neue Zugangscodes.

PayPal

Bei PayPal nennt sich die Zwei-Faktor-Verifizierung Sicherheitsschlüssel. Um diesen zu aktivieren loggt man sich in sein PayPal-Konto ein; klickt, um sein Benutzerprofil zu bearbeiten, auf das kleine Zahnrad oben rechts und danach auf den Reiter Sicherheit.
Hier kann man verschiedene wichtige Einstellungen vornehmen wie z.B. zwei Sicherheitsfragen definieren, eine PIN für den Kundenservice hinterlegen und natürlich den Sicherheitsschlüssel einrichten – ein Assistent führt durch die notwendigigen Schritte. Den Sicherheitsschlüssel erhält man dann per SMS. Alternativ kann man sich einen kostenpflichtigen Hardwareschlüssel im Kreditkartenformat zulegen.

Facebook

Um die Zwei-Faktor-Authentifizierung bei Facebook einzurichten, geht man über die Facebook Konto-Einstellungen in die Rubrik Sicherheit und aktiviert dort den Unterpunt Anmeldebestätigung. Nach Aktivierung wird ein Code abgefragt, sobald man sich von einem fremden Browser einloggt. Damit der Sicherheitscode übermittelt werden kann, muss eine Telefonnummer angegeben werden, damit er per SMS verschickt werden kann.

Google

Um bei Goolge die Zwei-Faktor-Verifizierung einzurichten, loggt man sich in sein Konto ein, klickt auf seinen Accountnamen und gelangt so über den Menüpunkt Konto zur Kategorie Sicherheit. Dort kann man die 2FA einrichten. Das System funktioniert hier ähnlich wie bei Facebook: Meldet man sich von einem unbekannten Browser oder Gerät an, wird der Sicherheitscode, den man einrichtet, per SMS, Sprachanruf oder mobiler App verschickt. Man kann auch ganz sicher gehen und angeben, dass bei jeder Anmeldung die Abfrage ausgelöst werden soll. Damit auch weiterhin Programme auf Google-Konten zugreifen können, müssen zusätzliche Passwörter eingerichtet werden. Diese speziellen Passwörter gelten dann nur für die jeweilige Verwendung.

Dropbox

Auch für den Cloud-Speicher Dropbox lässt sich eine 2FA einrichten. Die Vorgehensweise folgt dem gleichen Muster wie bei den anderen Diensten: Sobald man sich eingeloggt hat, geht man in den Kontoeinstellungen in die Rubrik Sicherheit, welche die Installation der Zwei-Faktor-Authentifizierung über den Bereich Zweistufige Überprüfung einleitet. Auch hier ist das Ziel, einen Sicherheitscode einzurichten, der eingegeben werden muss, sobald sich ein Nutzer von einem unbekannten Browser oder Gerät einloggt.    (wi)

Ratgeber IT

iOS AirPrint auch ohne AirPrint kompatiblen Drucker

Seit der iOS-Version 4.2 beherrschen die Apple-Geräte die AirPrint-Funktion. Damit ist es möglich, Druckaufträge direkt an kompatible Drucker zu senden. So können Sie Texte, Fotos oder Grafiken direkt per WLAN an den Drucker ausgeben.

Kostenlos geht das Ganze mit dem AirPrint Acitvator für iOS.
Damit kann die Funktion für Drucker unter Windows einfach nachrüstet werden.
Das Programm sowie eine kurze Anleitung gibt es auf der Seite des Entwicklers, Stefan Mühl aus Hanau, unter http://bvrs.info/airprint

Ratgeber IT

Datenschutz bei Werbemaßnahmen

Die Reform des Bundesdatenschutzgesetzes (BDSG) von 2009 sah zahlreiche Übergangsvorschriften vor, wonach Altdatenbestände erst zu einem späteren Zeitpunkt den neuen Regeln unterworfen werden. Für den praxisrelevanten Bereich der Werbung finden die geltenden Vorschriften des BDSG ab dem 1. September 2012 auch für Altdaten Anwendung.

Die Voraussetzungen und Anforderungen des geltenden BDSG an die Nutzung von Daten zur Werbung müssen demzufolge künftig für sämtliche Daten (Alt- und Neudaten) beachtet werden. Für einen entsprechenden Überblick über die gesetzlichen Bestimmungen haben wir ein ZDH-Merkblatt zum Thema Datenschutz und Werbung bereitgestellt, in dem die für Handwerksbetriebe wichtigsten Punkte des geltenden Rechts für die Nutzung von Daten zu Werbezwecken zusammengefasst sind.

ZDH Recht Kompakt - Datenschutz Bei Werbemaßnahmen
ZDH Recht Kompakt - Datenschutz Bei Werbemaßnahmen
ZDH Recht Kompakt - Datenschutz bei Werbemaßnahmen.pdf

Ratgeber IT

Websitegestaltung bei Verbraucherverträgen

Zuletzt mit den Chef-Informationen vom 15. Juli 2012 haben wir unsere Betriebe über die seit dem 1. August 2012 geltenden neuen Anforderungen beim Betreiben von Online-Shops informiert und konkrete Maßnahmen zur Erfüllung dieser Anforderungen empfohlen. In einem aktuellen ZDH-Merkblatt werden die neuen Pflichten nochmals dargestellt:

ZDH Recht Kompakt - Websitegestaltung Bei Verbraucherverträgen
ZDH Recht Kompakt - Websitegestaltung Bei Verbraucherverträgen
ZDH Recht Kompakt - Websitegestaltung bei Verbraucherverträgen.pdf

Ratgeber IT

Ist mein Passwort sicher?

Microsoft bietet ein Online-Tool über eine gesicherte Verbindung zur Überprüfung der Passwortstärke an:

https://www.microsoft.com/de-de/security/pc-security/password-checker.aspx

Ratgeber IT

PDF bei iPhone, iPad & Co.

Apples iOS-Geräte können zwar von Haus aus mit PDF-Dateien umgehen, doch es werden nicht immer alle PDF-Funktionalitäten korrekt wiedergegeben.

Abhilfe schafft der Adobe Reader, den es für Apples mobile Plattform iOS gibt. Die PDF-Software ist in der Lage, alle PDF-Dokumente korrekt darzustellen und auch PDFs mit speziellen Funktionen (z. B. Formulare oder Passwort verschlüsselte PDFs) zu öffnen.

Natürlich unterstützt der Adobe Reader auch die Airprint-Funktion. Der Adobe Reader steht für iOS als kostenlose App im App Store bereit. Der BVRS empfiehlt generell für alle Betriebssysteme die Nutzung des Adobe Readers.

Ratgeber IT

Die Erstellung sicherer Passwörter

Sichere Kennwörter sind ein wichtiger Schutz für sicherere Online-Transaktionen.

Wichtig bei der Kennwortsicherheit ist die Länge und Komplexität. Das ideale Kennwort ist mind. 8 Zeichen lang und umfasst Buchstaben, Zahlen, Satz- und Sonderzeichen.

Verwenden Sie nicht für alles dasselbe Kennwort. Cyberkriminelle machen sich Kennwörter auf Websites zu eigen, die nicht ausreichend geschützt sind, und versuchen anschließend, das Kennwort und den Benutzernamen in besser geschützten Umgebungen zu verwenden, beispielsweise auf den Websites von Banken.
Benutzen Sie nicht für facebook & Co. die gleichen Passwörter wie zum Einkaufen oder wie für Banktransaktionen.
Ändern Sie Ihre Kennwörter in regelmäßigen Abständen. Legen Sie eine automatische Erinnerung fest, um Ihre Kennwörter für Ihre E-Mail sowie die Websites von Banken und Kreditkartengesellschaften ca. alle drei Monate zu ändern.
Je größer die Vielfalt an Zeichen in Ihrem Kennwort ist, desto besser. Software zum Hacken von Kennwörtern überprüft ein Kennwort jedoch nach üblichen Umwandlungen von Buchstaben in Symbole, beispielsweise „und“ in „&“.
Verwenden Sie das gesamte Tastaturspektrum, nicht nur die Buchstaben und Zeichen, die Sie am häufigsten verwenden oder sehen.

Erstellen Sie sichere Kennwörter, die Sie sich merken können

Es gibt viele Arten, ein langes, komplexes Kennwort zu erstellen. Als Eselsbrücke kann z.B. die Bildung eines Satzes dienen, der sowohl aus Wörtern, Zahlen und Satzzeichen besteht:

Montags morgens um 8Uhr bin ich top-fit und gut gelaunt!

daraus ergibt sich das Passwort: Mmu8Ubit-fugg!

Halten Sie Ihr Kennwort geheim!

Die einfachste Art, sich Kennwörter zu merken, ist, sie sich zu notieren. Dies ist völlig in Ordnung, jedoch sollten diese an einem sicheren Ort aufbewahrt werden.

Allgemeine Kennwortfallen, die es zu vermeiden gilt

Cyberkriminelle nutzen ausgeklügelte Tools, die Kennwörter schnell entschlüsseln können. Vermeiden Sie das Erstellen von Kennwörtern mit:

Wörterbuchbegriffen aus beliebigen Sprachen.
rückwärts geschriebenen Wörtern, Begriffen mit gängigen Rechtschreibfehlern und Abkürzungen.
Zeichenfolgen oder -wiederholungen. Beispiele: 12345678, 222222, abcdefg oder benachbarte Buchstaben auf der Tastatur (qwerty).
persönlichen Daten, wie Name, Geburtsdatum, Führerschein-, Personalausweisnummer oder ähnliche Daten.

Ratgeber IT

Digitale Fotografie: Megapixel, Bildgröße und Bildqualität

Ausgangspunkt Kompakt-Digital-Kamera (Seitenverhälnis meist 4:3):

3 Megapixel = 72,25 x 54,19 cm bei 72 dpi Auflösung
3 Megapixel = 2048 x 1536 Pixel bei 72 dpi Auflösung

Umgerechnet auf 300 dpi (Anforderung Offset-Druck) ergibt das:

3 Megapixel = 17,34 cm x 13 cm bei 300 dpi (Pixelmaß bleibt gleich: 2048 x 1536 Pixel)

Qualität

Die Qualität ist abhängig von der Bildkomprimierung!
Meist kommt bei digitalen Kleinbildkameras die s.g. JPG-Komprimierung zum Einsatz, d. h. die Bilder werden im JPG-Format auf dem Chip gespeichert. Hierbei sollte immer die gerinste Komprimierung eingestellt werden, bzw. die höchste Qualitätsstufe. Bei einer Sony DSC-W12 z. B. heißt die höchste Qualitätsstufe „fine“.

Ganz wichtig ist es, den digitalen Zoom zu deaktivieren und nur den optischen Zoom zu nutzen, denn der digitale Zoom interpoliert und berechnet das Bild neu und verringert somit die Bildqualität erheblich.
Megapixel-Umrechnung beim Seitenverhältnis 4:3 und 72 dpi

5 Megapixel = 2584 x 1936 Pixel = 91,16 x 68,30 cm [bei 300 dpi = 21,88 x 16,39 cm]
8 Megapixel = 3264 x 2448 Pixel = 115,15 x 86,36 cm [bei 300 dpi = 27,64 x 20,73 cm]
10 Megapixel = 3648 x 2736 Pixel = 128,69 x 96,52 cm [bei 300 dpi = 30,89 x 23,16 cm]

Ratgeber IT

Schlechter Stil per E-Mail behindert Geschäftsabläufe

Das richtige Verhalten per E-Mail ist wichtig: Viele Menschen fassen schlecht formulierte E-Mails als ein Zeichen von Geringschätzung auf. In vielen Fällen sehen sich zwei von zehn Umfrageteilnehmern in einen Streit verwickelt, weil der Ton einer Nachricht Anlass zu Missverständnissen gibt.

Die Art, in der Personen im Geschäftsalltag antworten kann sich schwerwiegend auf die geschäftlichen Leistungen auswirken.

Die sieben E-Mail-Todsünden, die im Geschäftsalltag stören:

  • Ignorieren – Die Neigung zum Nichtbeantworten. Einer von 10 Umfrageteilnehmern klagt über solche E-Mail-Fluten, dass schon rein zahlenmäßig keine Zeit mehr bleibt, wirklich alle Nachrichten zu beantworten. Mehr als einem Fünftel der Teilnehmer in Großbritannien und Spanien graut davor, nach einer Abwesenheit wieder an den Arbeitsplatz zu kommen, weil sie genau wissen, welcher Berg von E-Mails dort auf sie wartet. Bei der großen Anzahl gesendeter E-Mails (und bei der Menge an Mails, die wortreich und irrelevant sind, zum Beispiel Spam) ist es wohl kein Wunder, dass ein Viertel der Teilnehmer bei mehr als der Hälfte ihrer gesendeten E-Mails einer Antwort hinterherlaufen. Dies macht sich insbesondere in Italien bemerkbar, wo 70 Prozent der Teilnehmer angeben, bei ihren E-Mails nachhaken zu müssen.
  • Lügen – Die Behauptung, eine bestimmte E-Mail nicht erhalten zu haben. Einer von 10 Umfrageteilnehmern gibt zu, regelmäßig mit Schuldgefühlen bei der Arbeit kämpfen zu müssen, weil er/sie seine/ihre E-Mails nicht beantwortet hat. In Großbritannien ist dieses Phänomen besonders verbreitet; 11 Prozent der Teilnehmer haben schon einmal vorgegeben, eine E-Mail nicht erhalten zu haben.
  • Voraussetzen – Die schlechte Angewohnheit, anzunehmen, dass jeder eine dringende E-Mail liest. Viele Personen verlassen sich zu sehr auf E-Mails. Sogar bei dringenden Angelegenheiten senden sie eine Mail und hoffen dann, dass diese Nachricht ankommt und auch gelesen wird. 27 Prozent der Teilnehmer sind verärgert darüber, dass wichtige E-Mails ohne weitere Vorankündigung (zum Beispiel per Telefon) versendet werden.
  • Nicht auf den Punkt kommen- Die Neigung, den Inhalt der Nachricht wortreich und viel zu ausführlich zu verfassen. Viele Mitarbeiter beschweren sich über seitenlange E-Mails, in denen sie erst mühsam nach den für sie relevanten Informationen suchen müssen. Ein Drittel der Teilnehmer in Frankreich findet diesen Punkt besonders ärgerlich.
  • Überfluten – Das Versenden einer E-Mail an alle möglichen Empfänger und das Senden einer Kopie an Personen, die kein Interesse am Inhalt haben. Mehr als ein Viertel der Teilnehmer sind frustriert, weil sie ohne Grund Kopien von E-Mails erhalten, die nicht relevant für sie sind; ein Problem, das für 30 Prozent der Angehörigen des oberen Managements akut ist. Mehr als ein Drittel der Teilnehmer in Italien geben an, dass ihr Posteingang wegen irrelevanter Nachrichten überquillt.
  • Die Form vernachlässigen- Das Verfassen von E-Mails mit schlechter Grammatik, Rechtschreibfehlern, unzusammenhängenden Argumenten und verworrenen Formulierungen. 81 Prozent der Teilnehmer stehen E-Mails ablehnend gegenüber, die schlecht formuliert sind und Rechtschreib- und Grammatikfehler enthalten. Dies gilt insbesondere in Deutschland, wo ein Drittel der Teilnehmer der Meinung ist, die Absender solcher E-Mails seien eher nachlässig und schlampig. 41 Prozent sind davon überzeugt, dass solche E-Mails auf Faulheit und sogar auf Geringschätzung hindeuten.
  • Im Ton vergreifen- Der falsche Ton in E-Mails. Kurze, eher schneidend formulierte E-Mails, bei denen sich der Absender nicht die Mühe macht, den richtigen Ton zu treffen, können unbeabsichtigt den Geschäftsbeziehungen schaden. Einer von 10 Teilnehmern (in Deutschland sogar 23 Prozent) erklärt, schon einmal Streitigkeiten mit Kollegen oder externen Personen gehabt zu haben, weil sie den Inhalt der E-Mails falsch aufgefassten.

Schritte, die dabei helfen, den richtigen Eindruck zu hinterlassen:

  • Eingang immer bestätigen – Melden Sie sich in jedem Fall innerhalb von 24 Stunden, und wenn Sie auch nur schreiben, dass Sie noch nicht antworten können. Wenn Sie kein mobiles E-Mail-Gerät besitzen und den gesamten Zugang über einen Desktop-Computer abwickeln, schalten Sie die Abwesenheitsfunktion ein, sobald Sie das Büro verlassen.
  • Sich der Sache stellen- Falls Sie nicht sofort ausführlich antworten können, informieren Sie den Absender der E-Mail. Lassen Sie sich nicht in die peinliche Lage bringen, den Empfang einer E-Mail abstreiten zu müssen, nur weil Sie diese Mail ignoriert haben.
  • Nicht blind voraussetzen, sondern anrufen- Wenn Ihre E-Mail dringend ist, weisen Sie in einem zusätzlichen Telefonanruf auf die Angelegenheit hin. Legen Sie dar, welche Schritte notwendig sind, und schlagen Sie einen realistischen Termin vor.
  • Auf den Punkt kommen- Legen Sie im Voraus fest, was Sie sagen werden, und nennen Sie so wenig Punkte wie möglich. Je mehr Sie schreiben, desto unwahrscheinlicher ist es, dass Ihre E-Mail überhaupt gelesen wird.
  • Interessierte Personen ermitteln – Wenn Sie Kopien einer E-Mail versenden, setzen Sie nur solche Personen auf CC, die ein aktives Interesse an der Angelegenheit haben. Um eine direktere Reaktion zu erzielen, sollten Sie direkt an die einzelnen Beteiligten schreiben.
  • Eher förmlich verhaltene E-Mails sind keine Ausrede dafür, die Rechtschreibprüfung nicht zu benutzen oder Kurzschrift und umgangssprachliche Formulierungen zu verwenden. Um den gegenseitigen Respekt nicht zu gefährden, behandeln Sie E-Mails wie normale Briefe: Prüfen Sie die Mails immer auf Fehler, bevor Sie sie absenden.
  • Keine vorschnellen Urteile fällen. Auf den ersten Blick scheinen einige E-Mails eher beleidigend. Bei näherem Betrachten stellt sich jedoch häufig heraus, dass sie einfach nur schlecht formuliert oder hastig geschrieben wurden.
  • Antworten Sie nie, wenn Sie ärgerlich oder aufgeregt sind. Denken Sie daran, dass E-Mails aufbewahrt werden können – und dass Ihre unüberlegte oder wütende Antwort wie ein Bumerang zu Ihnen zurückkommen könnte.