Schweizerischer KMU Verband
  • Über uns...
    • Leitbild
    • Politische Ziele
    • Vorstand
    • Geschäftsstellen
    • Statuten
    • Partnerverbände
    • Geschäftsordnung
    • SKV Imagebroschüre
    • Blog
    • Logos
  • SKV Partner
  • Mitglieder
  • Klimaneutralität
  • Günstiger Einkaufen
  • Dienstleistungen
  • Rechtsberatung
    • Digital Lawyer
  • Workshop2022
  • Aus- & Weiterbildung
  • KMU & Gesundheit
  • IT-Security bei KMU
  • Förderung Projekte
    • Programme
    • Technologiefonds
  • Verträge & Checklisten
  • Events & Termine
  • Zeitung Erfolg
  • SKV Newsletter
  • Werbemöglichkeiten
  • Umfragen & Studien
  • Mediadaten
  • KundenVersprechen
  • QR-Rechnung

Sicher ins digitale Shopping-Getümmel

26/11/2021

0 Comments

 
​Black Friday ist nur der Anfang. Die Adventszeit ist generell die Hochsaison im E-Commerce, auch für die digitale Kriminalität. Sie nutzt dieses Jahr besonders die Lieferschwierigkeiten bei begehrten Geschenken aus. Tipps von Cisco Talos für das sichere Weihnachtsshopping.
Der Adobe Holiday Shopping Forecast 2021 erwartet weltweit für die Adventszeit Rekordumsätze von mehr als 200 Mrd. Dollar: Das Shopping-Fieber erfasst viele Menschen und lässt sie jede Vorsicht vergessen. Zudem sind Lieferengpässe spürbar, besonders bei begehrten neuen Gadgets wie der PS5 oder der Xbox Series X. Auch das eine oder andere Tablet oder Mobiltelefon lässt auf sich warten. Ein Geschenk für die digitale Kriminalität, die mit angeblich lieferbaren Geräten und allerlei mehr Verführungen aufzuwarten weiss. Wir wissen, welches Präsent einen jedoch erwartet: Malware, Kreditkartensorgen und viele andere Unannehmlichkeiten mehr. Anders als in früheren Jahren werden sich die Hacker nicht nur auf die traditionellen Rabatt-Tage wie Black Friday konzentrieren, sondern aggressiver über die gesamte Adventszeit auftreten.

Die Methoden der Kriminellen
Sie werden auf Social Engineering setzen und mit manipulativen E-Mails attraktive Brands und Produkte vorgaukeln, sie locken mit hohen Rabatten und versprechen Geräte, die eigentlich aufgrund von Lieferproblemen gar noch nicht verfügbar sein können. Die gängigsten Tricks sind Werbebanner mit Link zu gefälschten Seiten, E-Mails mit Kaufbestätigung, gefälschte Wettbewerbe, Umfragen und Geschenkangebote, Warn-Mails von der Post oder von Kreditkartenfirmen – und immer verbunden mit der Aufforderung, schnell zu reagieren. Darum gilt zur Weihnachtszeit besonders: Erst denken, dann klicken. «Prüfen Sie verlockende Angebote und den Absender genau, geben Sie in E-Mails keine Daten ein und beherzigen Sie stets die alte Regel, wonach alles, was zu gut klingt, meist nicht wahr ist», sagt Roman Stefanov, Head of Cybersecurity von Cisco Schweiz.
​
So umgehen Sie die Shopping-Fallen
Die Security-Spezialisten von Cisco Talos empfehlen für sicheres Online-Shopping:
  • Vorsicht bei Absender-Adressen mit den Endungen .top, .stream, .trade und .bid. Von diesen Domains aus kommen aus Erfahrung die meisten Spam-E-Mails.
  • Downloads nur von offiziellen Stores beziehen.
  • Berechtigungen für Apps prüfen und nur erteilen, wenn klar ist, wofür diese Berechtigung dient.
  • Bösartige Apps enthalten oft Rechtschreibfehler oder dubiose Kontakt-E-Mails.
  • Öffnen Sie keine unerwarteten E-Mails. Stammen diese angeblich von einem bekannten Händler: Prüfen Sie, ob Sie dort registriert sind.
  • Benützen Sie während der Shopping-Saison auf jeden Fall einen Ad-Blocker. Bei bestimmten sicheren Sites können Sie diesen einzeln deaktivieren.
  • Benützen Sie anerkannte Bezahldienste der grossen internationalen und nationalen Player.
  • Komplexe und unterschiedliche Passwörter für jede einzelne Shoppingsite bewahren Sie vor Schaden, wenn einer der Shops mal gehackt werden sollte.
  • Klicken Sie nicht auf Links, sondern tippen diese manuell in die Eingabezeile des Browsers ein.
  • Bietet der Shop oder Dienstleister Multifaktor-Authentifizierung an (z.B. Cisco Duo), nutzen Sie diese. Damit loggen Sie sich mit Hilfe eines zweiten Geräts (z.B. Smartphone) ein.

Talos Podcast: How to avoid common holiday shopping scams
Über Cisco
Cisco (NASDAQ: CSCO) ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft. Erfahren Sie mehr unter https://newsroom.cisco.com/ und folgen Sie uns auf Twitter unter @Cisco.
Cisco Systems (Switzerland) GmbH: Richtistrasse 7, 8304 Wallisellen
0 Comments

Was ist Smishing,und wie kann man sich davor schützen?

14/10/2021

0 Comments

 
 Haben Sie schon einmal eine SMS auf Ihrem Smartphone erhalten, in der Sie aufgefordert wurden, auf einen Link zu klicken, um weitere Informationen zu erhalten? Es könnte sich um eine Zustellungsmitteilung eines Online-Shops oder eines Postdienstes handeln oder um eine Benachrichtigung über eine neue Voicemail. Vielleicht kam Ihnen die SMS etwas komisch vor, und Sie haben sich gefragt, ob Sie auf den Link klicken sollen oder nicht. Aber Sie wollten wissen, wo Ihr Paket ist oder wer eine Nachricht hinterlassen hat, also haben Sie es trotzdem getan. 
Genau das ist der Friseurin und Unternehmerin Loredana Bartels passiert. Sie erhielt eine SMS. Zunächst dachte sie, es sei eine Nachricht von einem neuen Kunden, der einen Termin vereinbaren wollte, doch dann erhielt sie eine weitere SMS, die ihr verdächtig vorkam. Trotzdem klickte sie auf den Link. Nichts schien zu passieren und es gab keine Voicemail. Das beunruhigte Loredana.

Loredana ist nicht die Einzige. Viele andere Kleinunternehmer und Angestellte in der Schweiz sind in letzter Zeit Ziel von SMS-Phishing-Attacken mit dem Namen Flubot geworden. SMS-Phishing – oder anders gesagt Smishing – ist eine Art von Cyberangriff. Dabei werden Sie dazu verleitet, auf einen Link zu klicken oder eine Malware, einen bösartigen Code, zu installieren, der dem Angreifer Zugriff auf Ihr Gerät oder Ihre sensiblen Daten gibt. Er kann zum Beispiel auf Ihre Kontaktliste
zugreifen und dann Nachrichten an Ihre Freunde und Geschäftskontakte senden, wobei er vorgibt, Sie zu sein.

Glücklicherweise wusste Loredana, an wen sie sich wenden musste, um sicherzustellen, dass alles in Ordnung war. Die Security Defender des GEIGER-Projekts untersuchten Loredanas Smartphone. GEIGER ist ein von der EU finanziertes Horizon 2020-Innovationsprojekt, das eine Cybersicherheitslösung für kleine Unternehmen entwickelt. Loredana nimmt an dem Projekt teil und hilft den Cybersicherheitsexperten, die Perspektive von Kleinunternehmen zu verstehen. Gemeinsam fanden sie heraus, dass Loredana ihr Smartphone richtig konfiguriert hatte und es der Flubot-Malware nicht gelang, sich zu installieren. Die Einstellungen
verhinderten, dass Flubot auf die von Loredana empfangenen Nachrichten zugreifen und Loredanas Kontaktliste zur weiteren Verbreitung nutzen konnte. «Bevor ich überprüft habe, ob sich die Malware auf meinem Telefon installiert hat, hatte ich ein wenig Angst. Was würden sie mit den von mir gestohlenen Telefonnummern machen? Was würde mit meinen Kontakten passieren? Es würde mir sehr leid tun, wenn meine Kunden meinetwegen betroffen wären», sagte
Loredana. «Jetzt, wo ich mehr weiss, möchte ich auch meinen Kunden helfen, indem ich sie warne. Ich habe meinen Mitarbeitern bereits geraten, nicht auf solche Links zu klicken.»

Wie können Sie wissen, ob Ihr Smartphone betroffen war? Oder ob Sie selbst gefährdet sind? Wie können Sie verhindern, dass es Cyberkriminellen gelingt, durch einen Smishing-Angriff auf Ihr Smartphone zuzugreifen? Es gibt ein paar einfache Massnahmen, die Sie ergreifen können. Prüfen Sie zuallererst, dass keine unbekannten Apps installiert werden dürfen. iPhones sind immer so konfiguriert. Android-Telefone bieten diese Einstellung im Menü «Biometrie und Sicherheit».

Wenn Sie eine Flubot-SMS erhalten und auf den Link geklickt haben und Ihr Telefon die falschen Einstellungen hat, die die Installation unbekannter Apps zulassen:
  1. Aktivieren Sie den Flugmodus Ihres Smartphones.
  2. Überprüfen Sie alle Online-Dienste, die eine SMS-Anmeldung verwenden (Zwei-Faktor-Authentifizierung), dass nichts Böses passiert ist.
  3. Melden Sie den Vorfall Ihrem lokalen Cybersicherheitszentrum (in der Schweiz ist dies die NCSC)
  4. Sichern Sie Ihre wichtigen Daten.
  5. Setzen Sie Ihr Telefon zurück.
  6. Überprüfen Sie die Einstellungen, die verhindern, dass unbekannte Apps installiert werden.
«Es wäre wichtig, gewarnt zu werden, wenn ein Angriff wie Flubot im Umlauf ist, um vorbereitet zu sein. Und da ich kein Cybersecurity-Experte bin und nicht weiss, wie man mit neuen Bedrohungen umgeht, wäre es auch beruhigend zu wissen, dass es qualifizierte Unterstützung gibt, wenn etwas passiert», sagte Loredana.

Möchten Sie, wie Loredana, mehr über digitale Sicherheit erfahren und wie Sie Ihr Unternehmen schützen können? Dann sollten Sie sich bei GEIGER https://project.cyber-geiger.eu/news.html anmelden!
​
Das Projekt «GEIGER» wird unter der Führung der Fachhochschule Nordwestschweiz FHNW mit Partnern aus der Schweiz, Deutschland, Frankreich, Italien, der Niederlande, Spanien, England, Rumänien und Israel durchgeführt. In der Schweiz werden Pilotprojekte mit der Berufsfachschule BBB in Baden und dem Schweizerischen KMU Verband SKV durchgeführt. Finanziert wird das Projekt über das Europäische
Forschungsprogramm «Horizon 2020».

This project has received funding from the European Union's Horizon 2020 research and innovation programme under grant agreement No. 883588 (GEIGER). The opinions expressed and arguments employed herein do not necessarily reflect the official views of the funding body.
0 Comments

Aktives Störungsmanagement betreiben – Der Einsatz von AIOps in der Praxis

31/3/2021

0 Comments

 
Durch die zügig fortschreitende Digitalisierung weiter Teile der Wirtschaft und Gesellschaft müssen Netzwerk- und Infrastrukturprobleme noch schneller behoben werden – idealerweise, bevor der Endnutzer oder Kunde diese überhaupt realisiert. Klaus Kurz, Director Solutions Consulting bei New Relic, erklärt, wie AIOps Unternehmen dabei helfen kann, aktiv gegen Probleme in den eigenen Anwendungen vorzugehen.
Moderne Anwendungen gehen heute immer besser auf die Bedürfnisse der Kunden ein. Jedoch kommt die Zuverlässigkeit der Infrastruktur durch häufig eingespielte Updates immer wieder auch an ihre Grenzen. Dies zeigt sich dem Benutzer durch Leistungsprobleme oder im schlimmsten Fall durch den kompletten Ausfall des digitalen Service.

Für die schnelle Reaktion auf Schwierigkeiten mit der Performanz der Infrastruktur brauchen IT-Teams die richtigen Tools, mit denen sie diese Leistungsprobleme überbrücken können. Viele der eher Cloud-nativen Ansätze sind für Site Reliability Engineers (SREs) allerdings zu undurchsichtig. Gefragt sind mehr Einblicke, die als Grundlage dienen, um Prioritäten richtig setzen sowie ein Problem schnell identifizieren und beheben zu können.

Hier kann AIOps Engineers helfen und IT-Experten die nötige zusätzliche Sicherheit und Transparenz geben. AIOps ist in der Lage, ihnen mithilfe von KI und maschinellen Lernen aufzuzeigen, wo es Anomalien gibt und deren Ursache zu identifizieren. Probleme werden so bereits in einer sehr frühen Phase aufgedeckt und können entsprechend behoben werden - noch bevor sie zu schwerwiegenden Beeinträchtigungen führen. Das wird vor allem auch deswegen immer wichtiger, weil der zu verwaltende Software- und Infrastrukturbestand immer schneller anwächst.

AIOps spielt besonders dort seine Stärke aus, wo, grosse, schnell wachsende Mengen an Leistungsdaten – egal, ob Observability- und Engagement-Daten oder Daten von Drittanbieter-Tools – im Spiel sind. Um die Teams bei der Identifizierung und Diagnose eines Problems zu unterstützen, werden Algorithmen und Tools für maschinelles Lernen auf die Daten angewandt. Dadurch werden die Prozesse besser nachvollziehbar und die Verwaltung von Zwischenfällen lässt sich effektiv automatisieren.

Es gibt mindestens fünf Möglichkeiten, wie AIOps in der Praxis eingesetzt werden kann:

1. Zwischenfälle erkennen
KI und maschinelles Lernen beginnen, Anomalien zu verstehen und wenden dieses Wissen darauf an, Systeme und Infrastrukturen zu monitoren. Dieser proaktive Ansatz ermöglicht es, frühe Warnzeichen herauszufiltern und zu prozessieren. Teams werden schneller auf ein Problem aufmerksam, noch bevor ein Kunde etwas merkt.

2. Reduzierendes Alert-Rauschens
Die stete Flut von Alarmmeldungen ist eine riesige Herausforderung für alle IT-Teams. Sie führt zu Abstumpfungseffekten, was bei kritischen Alerts fatal sein kann. Im Idealfall werden Alarmbenachrichtigungen mit niedriger Priorität unterdrückt, und solche, die miteinander in Verbindung stehen, gruppiert. AIOps korreliert, unterdrückt und priorisiert Vorfälle, sodass sich Teams besser auf die Probleme konzentrieren können, die die Zuverlässigkeit des Systems am meisten gefährden.

3. Der richtige Kontext als Basis
Zwischenfälle führen schnell dazu, dass Teams in einen stressigen Krisenmodus zu versetzen. AIOps ist so angelegt, dass in derartigen Fällen das gesamte Geschehen automatisch abgebildet wird und so ein ganzheitliches Bild für einen Vorfall liefert. Nur so kann eine Störung nicht nur verstanden, sondern als Reaktion darauf auch schnell behoben werden.

4. Aus der Vergangenheit lernen
AIOps ist ein stets wachsendes und sich durch maschinelles Lernen verbesserndes Tool. Erfahrungen aus der Vergangenheit, die aktuelle Nutzung und das Feedback von Anwendern liefern die Daten dafür, dass ähnliche Probleme kein zweites Mal auftreten. AIOps ist grundsätzlich darauf ausgerichtet, Korrelationen zu erkennen und passende Empfehlungen zur Problembehebung und -vermeidung zu liefern.

5. Integrierte Daten helfen dem Team
Daten zu Zwischenfällen aus beliebigen Quellen können in die aktuellen Tools und Workflows zum Ereignismanagement integriert werden. Eine AIOps-Lösung nimmt diese Daten auf, reichert sie mit Kontext an und sendet Benachrichtigungen an die entsprechenden Teams oder Responder in den Incident Management Tools, die die Teams bereits verwenden. New Relics Observability-Plattform bietet beispielsweise eine Zweiwege-Integration mit PagerDuty und anderen gängigen Lösungen für das Incident Management an. Je mehr Daten eingehen, desto bessere Handlungsempfehlungen kann AIOps liefern. Auf diese Weise verschwenden die Teams keine wertvolle Zeit mit dem Wechsel zwischen den einzelnen Tools.

AIOps sorgt für den nötigen Durchblick
AIOps darf auf keinen Fall als Beitrag zur Steigerung der Komplexität von Infrastruktur verstanden werden. Im Gegenteil, es ist wichtig zu verdeutlichen, dass es nicht als Black Box agiert. Die Unterstützung durch KI und maschinelles Lernen stellt immer nur eine Handlungsempfehlung und die Basis für eine fundierte Entscheidung dar. AIOps sorgt somit für die grösstmögliche Transparenz im Stack und zeigt Optimierungspotenziale auf – und das bei weiterhin möglichem manuellem Feedback, das auch ein so gut kalibriertes System wie AIOps zulassen muss.

Die Implementierung von AIOps und der proaktiven Anomalie Detection bringt trotz allem keinen erhöhten Konfigurationsaufwand mit sich. Denn basierend auf SRE-Kernsignalen lassen sich Anomalien über alle Anwendungen, Services und Log-Daten umgehend ausmachen. Somit wir die Einführung von AIOps vereinfacht und der Nutzen unmittelbar sichtbar.


Über New Relic
New Relic ist die grösste und umfassendste cloudbasierte Instrumentierungsplattform der Branche. Sie wurde entwickelt, um Kunden die Entwicklung einer perfektionierten Software zu ermöglichen. Die weltweit besten Software- und DevOps-Teams verlassen sich auf New Relic, um schneller zu arbeiten, richtige Entscheidungen zu treffen und erstklassige digitale Erfahrungen zu schaffen. Erfahren Sie unter newrelic.de, warum mehr als 50 Prozent der Fortune-100-Unternehmen auf New Relic vertrauen, wenn sie Software weltweit ausführen.
0 Comments

Neue Datenschutz-Grundverordnung der EU

20/4/2018

0 Comments

 
Von Roland M. Rupp, Leiter der Geschäftsstelle des SKV
Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, müssen ab dem 25. Mai 2018 verschiedene Pflichten erfüllen, da ansonsten drakonische Strafen drohen. Aus diesem Grund hat der Schweizerische KMU Verband hier eine Zusammenfassung der neuen Datenschutz-Grundverordnung erstellt und gleichzeitig Tipps implementiert, was Schweizer KMU tun und berücksichtigen müssen.
Aktuell wird gerade ein Schweizer Pendant zur DSGVO, ein neues Bundesgesetz über den Datenschutz, ausgearbeitet. Firmen, die sich schon auf die DSGVO eingestellt haben, dürften, wenn die Schweizer Version fertig ist, bei deren Umsetzung eine erhebliche Zeitersparnis haben.

Folgende Pflichten sind ab 25. Mai 2018 einzuhalten:
  • informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
  • "Privacy by design" und "Privacy by default" garantieren
  • einen Vertreter in der EU benennen
  • ein Verzeichnis der Verarbeitungstätigkeiten erstellen
  • Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
  • eine Datenschutz-Folgenabschätzung durchführen
  • bei Verstössen gegen die DSGVO Bussgelder zahlen. 

Informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden

Gesetzestext
Im EU-Datenschutzrecht gilt – anders als in der Schweiz – das sogenannte Verbot mit Erlaubnisvorbehalt. Das heisst, die Datenverarbeitung ist generell verboten, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder die betroffene Person in die Verarbeitung eingewilligt hat.
Damit die Einwilligung der betroffenen Person gültig ist, müssen bestimmte Voraussetzungen gegeben sein:

− Freie Entscheidung
Die Einwilligung ist nur gültig, wenn die betroffene Person sie freiwillig abgegeben hat. Die betroffene Person muss also eine echte Wahl haben, d.h. sie darf im Zuge der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt oder sonst in ihrer Entscheidung eingeschränkt werden. In diesem Zusammenhang ist insbesondere auch auf das sogenannte "Koppelungsverbot" hinzuweisen, wonach der Abschluss eines Vertrags nicht von der Verarbeitung weiterer Daten abhängig gemacht werden darf, die für die eigentliche Vertragsdurchführung gar nicht benötigt werden.

− Ausführliche, erkennbare und bestimmte Information
Die betroffene Person muss vor Abgabe der Einwilligungserklärung über den Zweck der Beschaffung und Verarbeitung  ihrer personenbezogenen Daten informiert werden. Dabei müssen alle für den konkreten Fall entscheidungsrelevanten Informationen enthalten sein und diese müssen genügend konkret sein. Eine Einwilligung ist also immer an einen bestimmten Zweck gebunden, welcher nicht zu allgemein gehalten werden darf. Die betroffene Person muss schliesslich in die Lage versetzt werden, die Informationen leicht zu erkennen und zu erkennen, dass ihr Handeln als Einwilligung qualifiziert wird.
​
− Form und aktive Handlung
Gemäss EU-DSGVO genügt die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle. Die Einwilligung ist also nicht an eine bestimmte Form gebunden und kann auch elektronisch oder mündlich erfolgen. Allerdings soll die Einwilligung nur durch eine eindeutige Handlung zustande kommen. Damit ist regelmässig eine aktive Handlung der betroffenen Person notwendig, andere Varianten wie eine stillschweigende Zustimmung, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person würden daher keine Einwilligung darstellen. Erfolgt die Einwilligung schriftlich, so hat die Aufforderung dazu in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie von anderen Sachverhalten getrennt zu erfolgen. 

− Widerruflichkeit
Die betroffene Person kann ihre Einwilligung jederzeit widerrufen. Es muss sichergestellt werden, dass dieser Widerruf
genauso einfach erfolgen kann, wie die Einwilligung selbst.

Tipp des Schweizerischen KMU Verbandes
Wenn Sie eine WebSite oder einen Onlineshop betreiben oder einen eNewsletter versenden, so sollten Sie unbedingt bei den Formularen zur Erfassung von Daten, E-Mail etc. dass Sie auf die Einhaltung des Datenschutzes Ihrerseits bedacht sind.

Schreiben Sie vor den «Senden» Button Ihres Formulares zum Beispiel:
Wir benötigen Ihre E-Mail-Adresse für die Zustellung des Gratis-Downloads oder eNewsletters.
Sie können sich jederzeit über einen Link in unserem eNewsletter oder mittels einer kurzen Nachricht wieder abmelden.
Bitte beachten Sie auch unseren Datenschutz-Hinweis. [Hier ein Link zu Ihrer WebSite mit dem Datenschutzhinweis]

Wichtig:
Wenn Sie in Ihren Formularen Funktionen integriert haben wie:

□ Ich möchte den eNewsletter erhalten

so darf dieses Feld standardmässig NICHT angekreuzt sein.

Unsere Empfehlung:
Bauen Sie in alle Formulare ein:

□ Ich habe Ihre AGB gelesen, verstanden und akzeptiere diese
□ Ich habe die Widerrufsbelehrungen gelesen und akzeptiere diese
□ Ich möchte den eNewsletter erhalten

Unterbinden Sie, dass ohne das Ankreuzen der ersten 2 Kästchen ein Absenden des Formulares überhaupt möglich ist.
Alle Formulare, welche Sie so erhalten, sollten Sie mit der IP Adresse, Datum und Uhrzeit speichern.

In einem Newsletter müssen Sie sicherstellen, dass man sich sowohl über einen einfachen Klick auf einen Abmeldelink oder mittels Rücksendung des eNewsletters mit einem kurzen Hinweis austragen kann.

Tipp:
Erfassen Sie nur Daten, welche Sie wirklich zur Verarbeitung benötigen. Ein Geburtsdatum ist in den seltensten Fällen notwendig, um einen Auftrag zu realisieren. Allenfalls ist es besser, dass Sie eine Abfrage integrieren:

□ Ich bestätige, das 18. Altersjahr erreicht zu haben

"Privacy by design" und "Privacy by default" garantieren

Gesetzestext (Art. 25 DSGVO)
Der Grundsatz "Privacy by Design" (Datenschutz durch Technik) bedeutet, dass der Verantwortliche bereits ab dem Zeitpunkt der Planung einer Datenverarbeitung (z.B. mittels eines neuen IT-Systems oder Prozesses) das Risiko von Verletzungen der Persönlichkeit oder der Grundrechte betroffener Personen verringern und solchen Verletzungen vorbeugen muss. Beispiels weise sollen eine regelmässige Löschung von Daten oder deren standardmässige Anonymisierung vorgesehen werden. Als besonders bedeutsam für den technikgestützten Datenschutz wird jeweils die Datenminimierung hervorgehoben.
Der Grundsatz "Privacy by Default" (Datenschutz durch datenschutzfreundliche Voreinstellung) bedeutet, dass der Verantwortliche verpflichtet ist, mittels geeigneter Voreinstellungen sicherzustellen, dass standardmässig nur diejenigen Personendaten verarbeitet werden, die für den jeweiligen Verwendungszweck erforderlich sind. Beispielsweise muss eine Webseite grundsätzlich Einkäufe erlauben, ohne dass ein Benutzerprofil erstellt werden muss.

Tipp des Schweizerischen KMU Verbandes
Gestalten Sie die Erfassungsmasken auf Ihrer WebSite so, dass nur die wirklich relevanten Daten abgefragt werden. Alle optionalen Daten welche Sie erfassen möchten, sollten klar gekennzeichnet sein.
Das beginnt übrigens schon bei der Anrede, welche ja darüber Auskunft gibt, ob man männlich oder weiblich ist und geht weiter zum Geburtsdatum. Sind diese Daten wirklich zwingend notwendig bei einem Onlinekauf?
Desweiteren könnte man ja zum Beispiel in den eignen Datenschutzbestimmungen schreiben, dass die Daten ausschliesslich in den eigenen Datenverarbeitungssystemen gespeichert sind und der Zugang zu diesen Daten mittels Verschlüsselung und Passwortabfrage den heutigen Anforderungen an den Stand des Datenschutzes entsprechen.


Einen Vertreter in der EU benennen

Gesetzestext
Grundsätzlich müssen Schweizer Verantwortliche oder Auftragsdatenverarbeiter, die vom Anwendungsbereich der EU-DSGVO erfasst werden, einen Vertreter in der EU bezeichnen.

Tipp des Schweizerischen KMU Verbandes
Diese Pflicht entfällt, wenn die Verarbeitung nur gelegentlich erfolgt, keine besonderen Datenkategorien verarbeitet werden und die Verarbeitung nicht zu einem Risiko für die Rechte und Freiheiten der natürlichen Person führt.


Ein Verzeichnis der Verarbeitungstätigkeiten erstellen

Gesetzestext
Der Verantwortliche hat ein Verzeichnis von Verarbeitungstätigkeiten im Unternehmen zu erstellen. Auftragsverarbeiter müssen ein analoges Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten führen. Beim Verzeichnis handelt es sich um eine Dokumentation oder Übersicht über alle Prozesse und Verfahren im Unternehmen, bei welchen personenbezogene Daten verarbeitet werden. Dabei sind die wesentlichen Angaben zur Datenverarbeitung anzugeben, wie z.B. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und allfällige Datenempfänger.
Ein Unternehmen muss dafür zunächst ermitteln, in welchen Fällen personenbezogene Daten von z.B. Kunden, Lieferanten oder Beschäftigten erhoben und verarbeitet werden. Hierzu bietet es sich an, zuerst alle innerhalb der Systemlandschaft des Unternehmens eingesetzten Anwendungen und Tools (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) aufzulisten, in denen personenbezogene Daten gespeichert werden. Dies hilft gleichsam bei der Ermittlung der Datenflüsse im Unternehmen und kann auch als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten dienen. Ausserdem werden Schweizer Unternehme ohnehin als Erstes eine Bestandesaufnahme vornehmen müssen, um eruieren zu können, ob sie vom Anwendungsbereich der EU-DSGVO erfasst werden.

Tipp des Schweizerischen KMU Verbandes
Im Artikel 30 DSGVO steht:
Unternehmen mit weniger als 250 Beschäftigten sind – mit einigen Ausnahmen – von dieser Pflicht ausgenommen (vgl. Art. 30 § 5 DSGVO).


Verletzungen des Datenschutzes an die Aufsichtsbehörde melden

Verletzungen des Schutzes personenbezogener Daten müssen der Aufsichtsbehörde möglichst innert 72 Stunden gemeldet werden. Es besteht nur dann keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist. Häufig müssen auch die betroffenen Personen benachrichtigt werden.
 
Tipp des Schweizerischen KMU Verbandes
Natürlich ist es wichtig, ein solches Szenario (Datenverlust durch Hacker o.ä.) einmal komplett «durchzuspielen», entsprechende Massnahmen beim Eintreten eines solchen Falles schriftlich festzuhalten und bei den entsprechenden Stellen (Personalabteilung, Marketing, IT) zu hinterlegen. Ebenso muss dort auch verzeichnet sein, wer von der Firma wo genau die Verletzung des Datenschutzes zu melden hat.

Ein Beispiel:
Sie haben eine umfassende Adressdatenbank und müssen feststellen, dass bei einem Einbruch Ihre IT-Systeme entwendet wurden.
In diesem Fall müssten Sie ein neues IT-System in Betrieb nehmen, den Backup der Adressdaten zurückspielen und danach alle Personen/Firmen informieren, dass möglicherweise Ihre Daten Drittpersonen ohne Berechtigung zugänglich wurden. Natürlich können Sie dann aber vermerken, dass die Daten auf den besagten IT Systemen verschlüsselt und passwortgeschützt waren. In der Datenbank des Schweizerischen KMU Verbandes wurden eigenes dazu so genannte «Fangadressen» integriert, so dass im Falle eines Datendiebstahles und Missbrauchs dies sofort erkannt wird.


Eine Datenschutz-Folgenabschätzung durchführen

Gesetzestext
Wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Wenn die Datenschutz-Folgenabschätzung ergibt, dass eine Datenverarbeitung ohne Massnahmen ein hohes Risiko bedeutet, muss die Aufsichtsbehörde konsultiert werden.
 
Tipp des Schweizerischen KMU Verbandes
Wenn Sie Daten mit einem hohen Risikofaktor (Zum Beispiel komplette Personen und Firmenprofile, Auslagerung der daten bei externen Datenverarbeitern, externe Datenspeicherung zum Beispiel in der Cloud) sollten Sie unbedingt die Mindestanforderungen der DSGVO Artikel 35 § 7 erfüllen.


Bei Verstössen gegen die DSGVO Bussgelder zahlen

Gesetzestext
Die maximale Geldbusse beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Dabei gilt der Jahresumsatz des gesamten Konzerns, nicht der einer einzelnen juristischen Person. Ausserdem sieht die EU-DSGVO neu ein Verbandsklagerecht vor, womit zukünftig Verbraucherschutzverbände Rechte von Betroffenen geltend machen können.
 
Tipp des Schweizerischen KMU Verbandes
Wenn Sie die oben genannten Punkte entsprechend umsetzen und laufend kontrollieren, so müssen Sie sich auch nicht vor Abmahnungen geschäftstüchtiger Anwälte oder dergleichen sorgen.


Quelle:

kmu.admin
KellerhalsCarrard
EDÖB
 

Muster eines Datenschutzhinweises auf einer Website
hier downloaden

Quelle: 

wirtschaftswissen.de


0 Comments

    Autoren dieses Blogs

    Im SKV Blog können sowohl die Mitarbeiter als auch Gastautoren Interessante News publizieren.

    Archiv

    Dezember 2022
    November 2022
    September 2022
    August 2022
    Juni 2022
    Januar 2022
    Dezember 2021
    November 2021
    Oktober 2021
    September 2021
    Juni 2021
    Mai 2021
    April 2021
    März 2021
    Februar 2021
    Januar 2021
    Dezember 2020
    November 2020
    Oktober 2020
    September 2020
    August 2020
    Juli 2020
    Juni 2020
    April 2020
    März 2020
    Januar 2020
    Dezember 2019
    Oktober 2019
    Juni 2019
    Mai 2019
    April 2019
    März 2019
    Februar 2019
    November 2018
    Oktober 2018
    September 2018
    August 2018
    Juli 2018
    Juni 2018
    Mai 2018
    April 2018
    März 2018
    Februar 2018
    Januar 2018
    Dezember 2017
    September 2017
    August 2017
    Juli 2017
    Mai 2017
    April 2017
    März 2017
    Februar 2017
    Januar 2017
    November 2016
    Oktober 2016
    August 2016
    Juli 2016
    Mai 2016
    Februar 2016
    Januar 2016
    Dezember 2015
    November 2015
    Oktober 2015
    September 2015
    August 2015
    Juli 2015
    Juni 2015
    Mai 2015
    März 2015
    Februar 2015
    Januar 2015

    Kategorien

    Alle
    25. Mai 2018
    Account Management
    Adressdaten
    Adressen
    Afrika
    Allgemein
    Analyse
    App
    Arbeitskleidung
    Arbeitskultur
    Arbeitslosen
    Arbeitslosigkeit
    Arbeitsmarkt
    Arbeitswelt
    Augmented Reality
    Ausflugziel
    Automatisierung
    Award
    Bank
    Basel
    Bauwesen
    Berechtigung
    Berufsbekleidung
    Betreibungsverfahren
    Bewerbungsprozesse
    Bildung
    Blockchain
    Brexit
    Buchhaltung
    Bulgarien
    Business
    Cashflow
    Cham
    Chatbots
    China
    Cloud
    CO2
    Coaching
    Content Marketing
    Corona
    COVID-19
    Credit Suisse AG
    Crowdlending
    Cyber Angriffen
    Cyber-Angriffen
    Cyber Attacken
    Cyber-Attacken
    Cybergefahren
    Cyberkriminellen
    Cybersecurity
    Datenschutz
    Defender
    Design
    Digital
    Digitalisierung
    Disruption
    Dokument-Management
    Drucken
    DSGVO
    EBanking
    E-Banking
    EBill
    E Commerce
    E-Commerce
    Einzahlungsscheine
    EMEX
    Emotionen
    Energie
    Energiesparen
    Entwiklung
    Epidemie
    Erbschaftssteuer
    Erfolg
    ERP
    ES Und ESR
    EU
    Event
    Expansion
    Export
    Exportunterstuetzung
    Exportwirtschaft
    Fachhochschule
    Fachkräfte
    Fakturierung
    Familienunternehmen
    Ferien
    Finanzierung
    Finnland
    Firmenverkauf
    Flutbot
    Fokus
    Food
    Forum
    FRAIM
    Führung
    Gedanken
    Gefahrgut
    GEIGER
    GEIGER-Projekt
    Geld
    Generationenwechsel
    Gesundheit
    Globalisierung
    Gründer
    Gütertransporte
    Handeln
    Handelskrieg
    Händler
    Herausforderungen
    Homeoffice
    HR Management
    Illnau
    Inkasso
    Innovation
    Insolvenz
    Internet
    Investitionen
    IPaaS
    IT
    IT Sicherheit
    IT-Sicherheit
    Jona
    Josef Rothenfluh
    Kapital
    KI
    Klimafreundlich
    Klimaschutz
    KMU
    Kommunikation
    Konkurse
    Kooperation
    Krankenkasse
    Kredit
    Krise
    Kunden
    Lausanne
    Leadership
    Lebensmittel
    Lebensqualität
    Lernkultur
    Liquidität
    Liquidität
    Management
    Marketing
    Martin Betschart
    Medizin
    Meeting
    MELANI
    Meldesysteme
    Messenger
    MICE
    Mitarbeiter
    Mitglieder
    Multibanking
    Nachfolgemarkt
    Nachfolgeregelung
    Networking
    Neugründung
    Noëmi Schöni
    OKR
    Online
    Onlinehandel
    Onlineshop
    Partnersuche
    Personalentwicklung
    Personalrekrutierung
    Pflege
    Phishing
    Post
    Prävention
    Praxen
    Prestige
    Produkte
    Projektmanagement
    Protektionismus
    Publikationssysteme
    QR-Rechnung
    Rabatt
    Rechnungswesen
    Recht
    Rolf Frischknecht
    SAP
    Schuldenmanagement
    Schweiz
    Schweizer KMU
    Security Defender
    Selbstständige
    Seminar
    Seminare
    SEO
    SERV
    SGE
    Sicherheit
    SKV
    SKV Partner
    Smishing
    Software
    Stellen
    Steuern
    Strategie
    Strategien
    Strom
    Studium
    Team
    Technik
    Technologie
    Technologietrend
    Telefonmarketing
    Therapien
    Tischmesse
    Todai
    Topsoft
    Transfomation
    Türkei
    Umfrage
    Umzug
    Unternehmenssteuerreform 3
    Unternehmensverkauf
    Unternehmertreffen
    Veranstaltungen
    Vermarktung
    Vernetzen
    Verordnung
    Versicherung
    Versprechen
    Virtual Storytelling
    Wachstum
    Wahlen 2015
    Währung
    Währung
    Webinar
    Weiterbildung
    Werbekampagne
    Werbung
    Wettbewerb
    Whistleblower
    WIR
    Wirtschaft
    Wirtschaftslage
    Xing
    Zahlungsausfällen
    Zahlungsverzögerungen
    Zielgruppe
    Zielsetzung
    Zugriffskontrolle
    Zukunft
    Zürich

    RSS-Feed

    View my profile on LinkedIn
Postanschrift:
Schweizerischer KMU Verband
Bösch 43
6331 Hünenberg

Tel. 041 348 03 30
Der Schweizerische KMU Verband -
Aktives Sprachrohr Schweizer KMU Betriebe.

Als Mitglied im Schweizerischen KMU Verband profitiert man von zahlreichen Vergünstigungen und einer grossen Unterstützung direkt bei der Bewältigung von Problemen oder erhält Hilfe in den Bereichen Marketing & Sales.
Login für Mitglieder

Datenschutz & Nutzungsbedingungen
Impressum
Kontakt
Intranet
Datenverarbeitungsverzeichnis
Cookies​
Widerrufbelehrung
Partrnerwebsites:
EGC - Europäischer Gesundheitsclub - Unternehmertreffen - Burgerfan - Schachmuseum - kmu-butler - insurtech ag - manere-sanus - mvm - spam-cop  - policenverwaltung - kmuverband - netzwerk-ag - netzwerk-appenzell - netzwerk-basel - netzwerk-bern - netzwerk-freiburg - netzwerk-glarus - netzwerk-gr - netzwerk-luzern - netzwerk-nidwalden - netzwerk-obwalden - netzwerk-schaffhausen - netzwerk-schwyz - netzwerk-stgallen - netzwerk-solothurn.ch - netzwerk-tg - netzwerk-uri - netzwerk-verlag - netzwerk-wallis - netzwerk-zuerich - netzwerk-zug