Im Jahr 2023 hat die Europäische Union eine Reform der Cybersicherheitsregulierung für kritische Infrastrukturen durchgeführt. Der Geltungsbereich wurde erheblich erweitert, was zur direkten Betroffenheit von etwa 30.000 Unternehmen in Deutschland führt. Die Umsetzung der EU-Richtlinie in deutsches Recht muss bis zum 17. Oktober 2024 erfolgen.

WAS SIND DIE NEUEN ANFORDERUNGEN?

• Geschäftsleitungen sind nun verantwortlich für die Durchführung und Einhaltung von Cybersicherheitsmaßnahmen. Bei Verstößen gegen die Vorgaben der Richtlinie tragen sie persönliche Haftung.
• Sowohl Unternehmen als auch Lieferanten müssen die Regeln der Cybersicherheit einhalten und dies nachweisen können. Im Falle erheblicher Sicherheitsvorfälle müssen diese innerhalb von 24 Stunden den Aufsichtsbehörden gemeldet werden.
• Jede Einrichtung muss über ein Risikomanagement verfügen, das technische und organisatorische Maßnahmen ergreift, um die Cybersicherheit zu gewährleisten.

Betroffene Unternehmen

Betroffene Sektoren

Bildquelle: https://www.ngenn.net (IX Magazin, Ausgabe 2024 / 03)

Ab dem 06.03.2024 führt Google Schritt für Schritt die Vorgabe ein, dass Websites ein Einwilligungsbanner mit dem neuen Google Consent Mode V2 haben müssen. 

Die Nutzung von First-Party-Zielgruppen bei Google Ads und Google Analytics ist nur noch möglich, wenn der Nutzer, also der Website-Besucher, seine ausdrückliche Zustimmung erteilt hat und das entsprechende Signal über den Google Consent Mode V2 an Google zurückgesendet wurde. 

Hintergrund ist eine neue EU Vorgabe (Digital Markets Act (DMA)), welche Unternehmen ab 2024 dazu verpflichtet die Zustimmung zum Tracking vorweisen zu können – siehe auch „Richtlinie zur Einwilligung der Nutzer in der EU“.

Was macht der Google Consent Mode V2? 

Er regelt das Verhalten der Google Tags (Analytics, Ads, Floodlight, Conversion Linker) auf Basis der Zustimmung bzw. des Consent deiner User – nicht mehr und nicht weniger.

Mit der neuen Version 2 hat Google den Google Consent Mode in einen „Basic Mode“ und einen „Advanced Mode“ aufgeteilt.

• Der GCM „Basic Mode“ ist neu. Getrackt wird nur bei Zustimmung.
• Der GCM „Advanced Mode“ ist der alte, bisherige Consent Mode (V1). Getrackt wird auch bei Ablehnung – cookielos.

Im Basic Google Consent Mode werden ausschließlich Daten an Google gesendet, wenn die Einwilligung des Users vorliegt – der Nutzer im Cookie-Banner also auf „Annehmen“ geklickt hat. Liegt keine Zustimmung vor, werden keine Daten an Google gesendet. Auch keine Pings.

Damit ändert sich im Basic Google Consent Mode NICHTS am bisherigen Tracking. Alles bleibt wie zuvor.

Das einzige ist, dass die GCM „Basic“-Einstellung entsprechend im Google Tag Manager vorgenommen werden muss, damit Google sicherstellen kann, dass tatsächlich nur Daten erhoben werden, wenn Consent vorliegt.

Zusammengefasst

Der Google Consent Mode regelt also das Verhalten der Google Tags (Analytics, Ads, Floodlight, Conversion Linker) auf Basis der Zustimmung bzw. des Consent deiner User UND bietet ein cookieloses Tracking für Consent-Ablehner, um Datenlücken in Google Ads und GA4 zu schließen.

Für weitere Informationen kontaktieren Sie uns gerne!

Bildquelle: Borlabs Cookiebanner inkl. eigener Beschriftung

... ist die neueste Version von Googles Web-Analyse-Tool und bietet erweiterte Funktionen und Analysemöglichkeiten im Vergleich zur vorherigen Version, Universal Analytics.

In Bezug auf den Datenschutz gibt es einige wichtige Aspekte, die bei der Verwendung von Google Analytics 4.0 berücksichtigt werden müssen:

1. Datenschutzrichtlinien: Als Website-Betreiber oder App-Entwickler ist es wichtig sicherzustellen, dass Sie transparent und rechtlich korrekt über die Erhebung, Verarbeitung und Nutzung von Nutzerdaten informieren. Ihre Datenschutzrichtlinien sollten klar darlegen, welche Arten von Daten von Google Analytics 4.0 erfasst werden, wie diese Daten verwendet werden und wie Benutzer ihre Zustimmung geben oder diese ablehnen können.
2. IP-Anonymisierung: Google Analytics 4.0 ermöglicht die Anonymisierung von IP-Adressen, um personenbezogene Daten zu schützen. Durch die IP-Anonymisierung wird die vollständige IP-Adresse vor der Speicherung verkürzt, sodass eine Identifikation einzelner Benutzer nicht möglich ist. Dies ist eine wichtige Datenschutzmaßnahme, die in vielen Ländern gesetzlich vorgeschrieben ist.
3. Opt-Out-Möglichkeiten: Nutzer sollten die Möglichkeit haben, sich von der Datenerfassung durch Google Analytics 4.0 abzumelden. Dies kann beispielsweise durch das Setzen eines Opt-Out-Cookies oder die Integration eines Opt-Out-Links in die Datenschutzrichtlinie erfolgen. Dadurch können Besucher entscheiden, ob ihre Aktivitäten von Google Analytics erfasst werden oder nicht.
4. Data Retention Controls: Mit Google Analytics 4.0 können Sie die Speicherdauer von Nutzerdaten steuern. Es ist ratsam, eine angemessene Aufbewahrungsfrist festzulegen und die Daten regelmäßig zu bereinigen, um die Datenschutzbestimmungen einzuhalten.
5. Datenweitergabe: Stellen Sie sicher, dass Sie die Daten aus Google Analytics nicht mit personenbezogenen Daten verknüpfen, es sei denn, Sie haben die ausdrückliche Zustimmung der Nutzer. Die Daten dürfen nicht für andere Zwecke verwendet oder an Dritte weitergegeben werden, es sei denn, es liegt eine rechtliche Grundlage dafür vor.
6. Google Data Processing Amendment: Wenn Sie Google Analytics 4.0 verwenden, sollten Sie das Data Processing Amendment (DPA) mit Google abschließen. Dieses Dokument enthält die Bedingungen für die Datenverarbeitung durch Google und stellt sicher, dass Google als Datenverarbeiter im Einklang mit den Datenschutzbestimmungen handelt.
7. Einwilligung der Nutzer: In einigen Ländern und Regionen ist es möglicherweise erforderlich, dass Sie die Zustimmung der Nutzer einholen, bevor Sie Google Analytics 4.0 verwenden. Achten Sie darauf, dass die Einwilligung rechtmäßig eingeholt wird und den Anforderungen der einschlägigen Datenschutzgesetze entspricht.

Bild: https://pixabay.com/de/photos/statistik-pfeile-tendenz-wirtschaft-2899893/

Auch kleine und mittlere Unternehmen sind beliebte Ziele von Cyber-Attacken. In den meisten Fällen sollen hier Daten von Kunden, Kooperationspartnern sowie sensible Daten gestohlen werden. Diese haben auf dem illegalen Markt einen hohen Wert und werden meist gebündelt verkauft. Ebenso werden diese genutzt, um weitere Attacken durchzuführen und einen noch höheren Schaden anzurichten. Gerade kleine und mittlere Unternehmen können einen solchen Schaden nur schwer verkraften.

Diese folgenden Basiselemente sind der Grundstein vor allem für kleine Unternehmen, um ein Mindestmaß an Sicherheit zu haben:

Zwei-Faktor Authentisierung
Der erste Faktor ist das Passwort. Ein zweiter Faktor ist z.B. eine Push-Tan oder eine App wie der Authenticator von Microsoft.

Passwörter
Starke Passwörter nutzen (Zahlen, Buchstaben, Groß- und Kleinschreibung, Sonderzeichen)
Verschiedene Passwörter nutzen – am besten empfiehlt sich ein Passwort Manager

Schulen und Sensibilisieren
Schulungen über die korrekte Nutzung neuer Soft- und Hardware
Informieren Sie auch über die möglichen Gefahren

Makros abschalten
Arbeiten Sie am besten ohne Makros oder nur mit freigegeben Makros

Firewall nutzen
Um den Angreifern das Eindringen in Ihr System zu erschweren, nutzen Sie unbedingt eine Firewall. Dies verschafft Ihnen eventuell ein bisschen Zeit, um gegenzusteuern.

Virenschutz nutzen
Schützen Sie Ihr System vor infizierten Dateien
Überprüfen Sie Ihr System in regelmäßigen Abständen auf Viren, Malware und Trojanern

Updates
Installieren Sie immer die aktuellen Updates für Soft- und Hardware, denn hier werden oft auch bekannte Sicherheitslücken geschlossen

Backups
Sichern Sie regelmäßig Ihre Daten z.B. bei einem Cloudanbieter in Deutschland
Datenverlust kann so wiederhergestellt werden

Sie sehen, es ist kein Hexenwerk eine Grundsicherheit in Ihr Unternehmen zu bringen. Schon durch das Einrichten und Beachten dieser oben genannten Punkte steigt die Sicherheit Ihrer IT-Infrastruktur und Ihrer Daten erheblich.

Bildquelle: Sicherheit Alarm Monitor - Kostenloses Foto auf Pixabay - Pixabay

Active-Sourcing, was ist zu beachten?

Active-Sourcing beschreibt das Rekrutieren von Mitarbeitern auf beispielsweise einschlägigen Portalen wie XING oder LinkedIn.
Hierbei werden personenbezogene Daten verarbeitet, insbesondere wenn eine Recruiting Software eingesetzt wird, weshalb die DSGVO beachtet werden muss.

Laut Art. 6 Abs. 1 lit. f DSGVO ist die Direktansprache von Kandidaten grundsätzlich erlaubt, wenn es einem berechtigten Interesse (auch wirtschaftlich) dient. Ein Recruiter hat Interesse an einer persönlichen Ansprache und nutzt hierfür in der Regel öffentliche Profile mit berufsrelevanten Informationen.

Was ist hierbei zu beachten?

• Nach dem Erstkontakt sollte eine Einwilligungserklärung folgen, worin der Kandidat einwilligt, dass seine personenbezogenen Daten für diesen bestimmten Zweck verarbeitet werden dürfen Dieser Prozess sollte dokumentiert werden.
• Aufgrund des Sparsamkeitsprinzips sollten nur die Daten verarbeitet werden, die tatsächlich benötigt werden.
• Der Kandidat ist über die Datenverarbeitung zu informieren (Art. 13 DSGVO):
  • Zwecke der Datenverarbeitung
  • Datenquellen
  • Speicherdauer
  • Bestehen eines Auskunfts- und Beschwerderechts
  • Recht auf Widerruf der Einwilligung.

Sollten die Daten nicht mehr benötigt werden, so müssen sie gelöscht werden (spätestens nach drei Monaten hält man für angemessen).
Möchte der Arbeitgeber die Daten länger aufbewahren (z.B. für eine später freiwerdende Stelle), braucht er eine schriftliche Einwilligung der Person.
Die Löschung sollte als Nachweis dokumentiert werden.
Kommt eine Recruiting Software zum Einsatz, sollte vorher geprüft werden, ob diese datenschutzkonform arbeitet. Ggf. benötigt der Verantwortliche eine vertragliche Grundlage zur konformen Umsetzung.

Wenn Sie diese genannten Punkte beachten, sind Sie für das Recruiting grundlegend gerüstet.

Bildquelle: Mieten Arbeit Büro - Kostenloses Foto auf Pixabay - Pixabay