> externer Datenschutzbeauftragter > Datenschutz IT-Systeme

Mittel zur Stärkung der Datensicherheit – Warum ein Penetrationstest Datenschutz-Risiken minimieren kann

Penetrationstest DatenschutzFür Unternehmensvorstände und Geschäftsleitungen besteht – neben der Erfüllung des Geschäftszwecks – ebenso die gesetzliche Pflicht der Risikominimierung innerhalb der betrieblichen Tätigkeit, wozu auch die Beachtung datenschutzrechtlicher Belange gehört. Dies gilt sowohl für Unternehmen und Konzerne, aber auch für Behörden, Vereine und allen sonstigen verantwortlichen Stellen im Sinne des Datenschutzes. Hilfe zur Erfüllung dieser Aufgabe bieten unter anderem Penetrationstest (kurz Pentest), welche durch entsprechende Dienstleister angeboten werden.

Ihr externer Datenschutzbeauftragter erklärt Ihnen, was unter einem Pentest zu verstehen ist und wieso ein Penetrationstest Datenschutz-Risiken minimieren kann. Unterstellt wird selbstverständlich eine ordnungsgemäße Durchführung.

Was ist ein Penetrationstest?

Penetrationstest ist der Fachbegriff für einen umfassenden Sicherheitstest eines Computers oder Netzwerkes unabhängig von dessen Größe. Dabei werden unterschiedlichste Methoden, beispielsweise simulierte Hackerangriffe, angewandt, um die Sicherheit bestimmter Systemteile zu testen. Mithilfe dieses Tests kann eine Schwachstellenanalyse im System erfolgen. Im Ergebnis können mit der Hilfe des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten vorbeugende Maßnahmen implementiert werden.

Vorbearbeitung des Penetrationstests

Nach dem deutschen Gesetz stellt der Datenschutz neben dem Post- und Fernmeldegeheimnis ein Gebiet dar, das ein besonders schützenswertes Gut (personenbezogene Daten) vor dem Zugriff durch Dritte, z. B. durch die Verwertung fremder Geheimnisse, Computerbetrug, Datensabotage oder -veränderung bewahren soll. Dabei ist der § 202c StGB (auch Hackerparagraph genannt) — insbesondere für Pentest-Dienstleiser – relevant. Nach diesem werden Personen, die Verfahren anwenden, die zum Beispiel zur Umgehung von Passwörtern oder für den Zugang zu fremden Computerprogrammen genutzt werden (z. B. sogenannte Hackertools), mit einer Geldstrafe oder auch einer Freiheitstrafe von bis zu 2 Jahren bestraft. Dies betrifft auch Dienstleister, die unautorisiert zum Zweck der Erhöhung der IT-Sicherheit — wie es beim Pentesting üblich ist — in Unternehmensnetzwerke eindringen. Die Ergebnisse, die dabei erzielt werden, unterliegen ebenso dem Straftatbestand, sofern keine Einwilligung durch das betroffene Unternehmen vorliegt. Folglich ist keine Strafhandlung gegeben, wenn der Auftragsgeber (betroffenes Unternehmen) die Zustimmung zur Durchführung einer Sicherheitsanalyse oder Pentesting gibt. Wichtig ist die Ermittlung der Zuständigkeit des Auftragsgebers, da dieser einem Pentest nur rechtskonform anordnen kann, wenn er für den betreffenden Bereich zuständig ist.

Vor der Durchführung eines solchen Tests stellt sich häufig die Frage nach dem Besitzstand und Eigentumsverhältnissen von Software, Computersystemen und Daten. Relevant sind besonders die korrekte Zuweisung der Besitz- und Eigentumsrechte, wenn der Test Dienstleistungen und Produkte betrifft, die durch externe Dritte betrieben werden, z.B. Server, Rechenzentrum oder Teile von IT-Systemen.

Ablauf und Dauer eines Penetrationstests

Der Ablauf und die Dauer eines Pentests ist abhängig von der Größe sowie Komplexität einer Anwendung oder der IT-Infrastruktur. Eine pauschale Festsetzung ist daher nicht möglich und immer einzelfallabhängig.

Trotz der Individualität eines Pentests ist es dennoch möglich das Verfahren grob in vier Phasen zu untergliedern. Diese sind:

  • Reconnaissance (deutsch „Aufklärung“)

Reconnaissance bezeichnet die Informationsbeschaffung vor einem (Hacker-)Angriff. Dabei sammelt der Pentester (hier legitimierter Hacker) eine Vielzahl von Informationen über das Unternehmen, um sich einen Überblick über dieses zu verschaffen.

  • Enumeration

In dieser Phase werden die gesammelten Informationen, welche innerhalb der Reconnaissance zusammengetragen wurden, ausgewertet. Der Pentester geht dabei aktiv vor, steuert gezielt Systeme an und sucht nach und nach das zu testende System nach Schwachstellen ab.

  • Exploitation

Hier nutzt der Penstester gefundene Schwachstellen des Systems aus. Dafür werden Exploits entwickelt, mit deren Hilfe sensible Informationen ausgelesen werden. Diese werden dann vom Penstester genutzt, um noch tiefer in das System zu gelangen.

  • Documentation

Die einzelnen Schritte, die zu einem erfolgreichen (Hacker-)Angriffes führen, werden durch den Pentester dokumentiert, was ein essentieller Bestandteil jedes Penetrationstests ist. Am Ende des Tests wird ein individueller Abschlussbericht aus den vorhandenen Dokumentationen erstellt, welcher die Ergebnisse aus dem Pentest nachvollziehbar machen soll.

Beachtung der Sorgfaltspflicht gegenüber Arbeitnehmern und sonstigen Betroffenen (Menschen)

Sind Mitarbeiterdaten (bzw. auch sonstige Betroffenendaten) zumindest potenziell von einem Pentest betroffen, so hat der Arbeitgeber als verantwortliche Stelle dafür zu sorgen, dass die Arbeitnehmerrechte (bzw. Betroffenenrechte) in Bezug auf den Datenschutz und die Datensicherheit beachtet werden. Derzeitige Grundlagen dafür sind in Deutschland das Bundesdatenschutzgesetz (ab Mai 2018 die Europäische Datenschutz-Grundverordnung, sog. DS-GVO und das Bundesdatenschutzgesetz neu, kurz BDSGneu) sowie das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das umgangssprachlich auch als IT-Grundrecht, Computergrundrecht oder auch Grundrecht auf digitale Intimsphäre bezeichnet wird und sich aus dem Urteil des Bundesverfassungsgerichts (1 BvR 370/07) vom 27. Februar 2008 aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG (Grundgesetz) ergibt.

Sind personenbezogene Daten von den Penetrationstests betroffen, so sollten Mitarbeiter direkt und ggf. der Betriebsrat / Personalrat bzw. die Mitarbeitervertretung über die geplanten Tests informiert werden, wobei konkrete Maßnahmen im Einzelfall entschieden werden sollten. Sofern Sie derartige Tests planen, sollten Sie Ihren Datenschutzbeauftragten frühzeitig einbinden. In Ihrem Hause ist noch kein Datenschutzbeauftragter bestellt? Dann nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Bei Verletzung der Mitarbeiterrechte können hohe Sanktionen (Bußgelder von bis zu 300.000 € bis hin zu einer Freiheitsstrafe von bis zu drei Jahren) die Folge sein. Ab Mai 2018, mit Geltung der Datenschutz-Grundverordnung, sind Sanktionen im Datenschutz von 20 Millionen Euro und mehr denkbar.

Kosten des Penetrationstests

Ebenso wie der Ablauf kann auch der Preis eines Pentest nicht genau ermittelt werden, da dieser auch von bestimmten Faktoren, wie beispielsweise von der Unternehmensgröße, Unternehmensstandort, Erfahrung und Qualifikation des Pentesters etc. abhängt.

Primär wird der Preis durch den Aufwand und Tagessatz ermittelt.

Nachbearbeitung des Pentests

Der Pentest an sich ist nichts wert, sofern keine geeigneten Maßnahmen unternommen werden, um die – durch den Test – ermittelten Sicherheitslücken zu beheben. Es ist daher sinnvoll, eine Nachbesprechung – beispielsweise in Form eines Workshops – durchzuführen. Diese könnten für Fragen bezüglich der Schwachstellen und der Bewertung der identifizierten Abweichungen genutzt werden. Mithilfe des beauftragen Dienstleisters und anderer dafür beauftragter und zuständiger Stellen (z.B. Datenschutzbeauftragter, IT-Sicherheitsbeauftragter oder durch einen Datenschutzberater) können dann geeignete Gegenmaßnahmen getroffen werden, welche nicht nur die Schwachstellen beheben, sondern auch datenschutzrechtlich vertretbar sind.

Fazit

Die Durchführung eines Pentests ist eine sinnvolle, aber kostenintensive Kontrollmaßnahme für Unternehmen. Die Pentests bieten zwar keine vollumfängliche, jedoch eine qualifizierte Sicherheit gegen das Eindringen Dritter (ungewollter Hacker) in das Unternehmenssystem. Es sollte allerdings beachtet werden, dass der Pentest nur eine Risikoanalyse bzw. ein Check ist, die einer Auswertung und Umsetzung bedürfen. Für die Integration der Maßnahmen zur Behebung der Sicherheitslücken ist es daher erforderlich den IT-Sicherheitsbeauftragten, Datenschutzbeauftragen oder Datenschutzberater einzubinden, damit eine datenschutzrechtliche und technisch adäquate Lösung gefunden werden kann.

Haben Sie weitere Fragen zu Pentests oder wie Sie mithilfe von Penetrationstests Datenschutz – Risiken minimieren können, dann nehmen Sie gerne Kontakt zu uns auf. Sollten Sie über die Vornahme eines Pentests nachdenken, ist es nicht verkehrt, einen kompetenten Partner zu haben, der sich mit den zu beachtenden Punkten im Datenschutz und damit verbundener Technik auskennt. Brands Consulting steht Ihnen als Ansprechpartner gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

„Frohe Ostern, Datenschutz!“ – Wieso Rundmails Datenschutz-Risiken bergen

Rundmails DatenschutzAlle Jahre wieder stehen insbesondere vor Feiertagen, wie Ostern oder Weihnachten, Datenschutzbeauftragten und Datenschützern die Haare zu Berge. Die Gründe sind allerdings nicht die überfüllten Supermärkte oder die Geschenkbesorgungen in aller letzter Sekunde, sondern die bei vielen Mitarbeitern überaus beliebten Rundmails.

Wer kennt es nicht? Man möchte noch schnell den Kollegen, Kunden oder anderen Ansprechpartnern angenehme Festtage wünschen, allerdings wird in der Regel eine nette E-Mail formuliert und diese an alle übersendet. Worauf die wenigsten Mitarbeiter achten, ist das Adressfeld, in das die E-Mail-Adressen eingegeben werden und genau diese Unachtsamkeit bzw. Unwissenheit kann schnell zu Sanktionen führen und daher teuer werden.

Ihr externer Datenschutzbeauftragter informiert, wieso Rundmails Datenschutz-Risiken hervorrufen können und erklärt, worauf Sie beim Versand von Rundmails achten sollten.

Wieso Rundmails Datenschutz-Risiken verursachen können

Bei Rundmails wird zunächst eine E-Mail formuliert, die an mehrere Empfänger übersendet werden kann, dabei kann der Versender bei der Eingabe der Empfänger-E-Mail-Adressen zwischen drei Adressfeldern wählen. Diese sind:

  • „An:“
  • „CC:“ (Carbon Copy = Kopie)
  • „BCC:“ (Blind Copy = nicht sichtbare Kopie)

Je nach ausgewähltem Adressfeld können die Empfänger sehen, wem die E-Mail ebenfalls übersendet worden ist und genau dies könnte für verantwortliche Stellen, wie Unternehmen, Behörden oder Vereine, sowie für den Mitarbeiter, der die Rundmail versendet hat, zu Sanktionen im Datenschutz führen.

Der Hintergrund ist, dass es sich bei einer E-Mail-Adresse um ein personenbezogenes Datum handelt. In § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) heißt es allerdings, dass personenbezogene Daten nur erhoben, verarbeitet und genutzt werden dürfen, wenn eine Rechtsgrundlage dies erlaubt oder informierte und freiwillige Einwilligungen der Betroffenen eingeholt worden sind.

Versendet ein Mitarbeiter eine Rundmail, sodass die Empfänger die E-Mail-Adressen der anderen Empfänger sehen können, so spricht man von einer Übermittlung personenbezogener Daten, die ebenfalls einer Rechtsgrundlage oder der informierten Einwilligung bedarf. Die wenigsten Mitarbeiter wären allerdings bereit vor dem Versand einer Rundmail informierte Einwilligungen von jedem Betroffenen einzuholen. Aus diesem Grund sollten sie die einzelnen Adressfelder näher betrachten.

„Rundmail Datenschutz“ – Die Versendungsmöglichkeiten von Rundmails

Bei dem Versand einer E-Mail an mehrere Empfänger sollten, insbesondere wenn es sich um Empfänger außerhalb der verantwortlichen Stelle handelt, wie zum Beispiel verschiedene Kunden, die E-Mail-Adressen in das Adressfeld „BCC:“ eingetragen werden. Werden die E-Mail-Adressen in den Adressfeldern „An:“ oder „CC:“ eingegeben, so sind diese für alle Empfänger sichtbar. Bei der Verwendung von „BCC:“ können die Empfänger allerdings nicht sehen, ob die E-Mail an weitere Personen übersendet worden ist.

Wenn Sie mehr zu der internen und externen Versendung von Rundmails erfahren möchten, dann lesen Sie gerne unseren Beitrag „Versendung von E-Mails mit „An“ und „CC“ – Wieso offene E-Mail-Verteiler Datenschutz-Risiken verursachen können“.

Bußgeld für offenen E-Mail-Verteiler

Bei Verletzung des Datenschutzrechts drohen Bußgelder, Geldstrafen und sogar Freiheitstrafen.

Wie schnell in einem solchen Fall Bußgelder verhängt werden können, zeigt der Fall einer Mitarbeiterin, die eine Rundmail an einen großen Kreis von Empfängern versendet hat. Die Empfängerliste war für alle Empfänger sichtbar, weswegen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einen Bußgeldbescheid gegen die Mitarbeiterin erlassen hat. In einem ähnlichen Fall verhängte die Aufsichtsbehörde ein Bußgeld gegen die Unternehmensleitung.

Um derartige Sanktionen zu vermeiden, sollten Unternehmen, Vereine oder andere Organisationen ihre Mitarbeiter ausreichend schulen und sensibilisieren. Gerne unterstützen wir Sie mit Datenschutz-Schulungen dabei.

Alle Kunden und Geschäftspartnern sowie sonstigen Interessententen, denen wir nicht persönlich gratulieren konnten, wünschen wir natürlich auf diesem Wege „FROHE OSTERN“!

Haben Sie noch Fragen zum Thema „ Rundmails Datenschutz “ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein.

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Sprachassistenten und Datenschutz – Helfer für den Büro-Alltag oder doch nur eine Gefahr für den Nutzer

Sprachassistenten und DatenschutzBevor wir auf das Thema „Sprachassistenten und Datenschutz“ eingehen, möchten wir zunächst die Vorteile der Sprachassistenten, wie Googles „Google Home“, Amazons „Alexa“ oder Apples „Siri, eingehen. Die kleinen „Helfer“ können durchaus praktisch sein und uns einige Aufgaben abnehmen, denn auf Fragen oder Aufgaben, wie „Alexa, wann habe ich meinen nächsten Termin?“, „Google, schreib meiner Frau, dass ich etwas später komme!“ oder „Siri, wie ist die aktuelle Verkehrslage?“ sind die Sprachassistenten bestens vorbereitet. Aus diesem Grund wundert es uns nicht, dass zunächst der Datenschutz in den Hintergrund gerät, allerdings handelt es sich dabei durchaus um ein Thema, das keinesfalls ignoriert werden sollte. Zwar gilt dies insbesondere beim Einsatz in Unternehmen, Vereinen, Behörden oder sonstigen verantwortliche Stellen, allerdings sollten auch Privatpersonen einige Risiken berücksichtigen. Wenn Sie mehr über mögliche Gefahren für Privatpersonen erfahren möchten, dann lesen Sie unseren Beitrag „Hörst du mich oder lauscht du schon?“ – Auswirkungen von Alexa, Siri und Google auf den Datenschutz“.

Ihr externer Datenschutzbeauftragter informiert über Sprachassistenten und Datenschutz und erklärt, welche Risiken und Gefahren für den Datenschutz Organisationen beachten sollten.

Sprachassistenten und Datenschutz – Welche Risiken und Gefahren Sie beachten sollten

Erhebt, verarbeitet oder nutzt eine verantwortliche Stelle personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben („Verbot mit Erlaubnisvorbehalt“).

Sollen die kleinen „Helfer“ für berufliche Zwecke eingesetzt werden und es findet eine Übermittlung personenbezogener Daten statt, so müsste sich das Unternehmen, die Behörde oder eine sonstige Organisation, die die Verantwortung für die Daten trägt, von jedem Betroffenen eine informierte Einwilligung einholen.   Der damit verbundene Aufwand dürfte in den meisten Fällen viel höher sein als der Nutzen durch die intelligenten „Helfer“, wobei die Entscheidung über die Risiken und notwendigen Maßnahmen von Fall zu Fall unterschiedlich ist. Im Folgenden haben wir Ihnen einige Fallbeispiele aufgeführt:

Der Anbieter des Sprachassistenten hat keinen Zugriff auf personenbezogene Daten

Wird ausschließlich die Hardware und ggf. die Software vom Anbieter durch die Organisation bzw. einen Mitarbeiter bezogen, wobei der Anbieter keinen Zugriff auf personenbezogene Daten erhält, dann dürfte die Nutzung in der Regel recht unproblematisch sein. Es sollte allerdings beachtet werden, dass ein potentieller Zugriff auf personenbezogene Daten durch den Hersteller bereits für die Erforderlichkeit weiterer Maßnahmen genügt. Beim Einsatz der Sprachassistenten werden die Daten, vor allem die Spracheingaben, grundsätzlich in eine Cloud ausgelagert. Aus diesem Grund dürfte der Ansatz, dass der Anbieter keine Daten erhält, in der Praxis eher unüblich sein, weswegen die weiteren Unterscheidungen beachtet werden sollten.

Der Anbieter des Sprachassistenten (Sitz innerhalb der EU/des EWR) hat Zugriff auf personenbezogene Daten 

Um einen Sprachassistenten einsetzen zu können, muss dieser zunächst mit dem WLAN verbunden werden. Des Weiteren muss der Sprachassistent mit dem Smartphone gekoppelt werden. Zudem ist für den Einsatz in der Regel eine App, die auf dem Smartphone installiert wird, erforderlich. Es sollte deshalb davon ausgegangen werden, dass der Anbieter des Sprachassistenten neben der IP-Adresse und den Spracheingaben, den Zugriff auf weitere Daten, die sich auf dem Smartphone befinden, wie zum Beispiel den Kontakten, erhält. Eine Telefonnummer ist ein personenbezogenes Datum, weshalb das Datenschutzrecht greift und das Verbot mit Erlaubnisvorbehalt beachtet werden sollte. Eine Übermittlung bedarf, wie bereits erläutert, informierte Einwilligungen der Betroffenen oder einer Rechtsgrundlage.

Hat der Anbieter des Sprachassistenten seinen Sitz innerhalb der EU / des EWR und verarbeitet die personenbezogenen Daten ausschließlich nach Weisung und im Auftrag des Unternehmens, der Behörde oder sonstiger verantwortlicher Stelle, so handelt es sich um eine Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (BDSG). Bei einer Auftragsdatenverarbeitung greift die Fiktion der „Nicht-Übermittlung“, wodurch keine informierten Einwilligungen der Betroffenen – für die Weitergabe der Daten an den Dienstleister – eingeholt werden müssen.  Es sollte allerdings ein Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister abgeschlossen werden und sichergestellt werden, dass der Dienstleister ausreichende Maßnahmen ergreift, um personenbezogene Daten vor dem Zugriff durch Dritte zu schützen.

Wenn Sie mehr zur Auftragsdatenverarbeitung erfahren möchten, lesen Sie gerne unseren Beitrag „Auftragsdatenverarbeitung oder Funktionsübertragung – datenschutzrechtliche und –organisatorische Unterscheidung von Dienstleistern“.

Der Anbieter des Sprachassistenten (Sitz außerhalb der EU/des EWR) hat Zugriff auf personenbezogene Daten

Hat der Anbieter des Sprachassistenten seinen Sitz außerhalb der EU / des EWR (Drittland) so greift die Fiktion der „Nicht-Übermittlung“ nicht, wodurch entweder informierte Einwilligungen der Betroffenen eingeholt werden sollen oder geprüft werden sollte, ob eine andere Rechtsgrundlage für die Übermittlung vorliegt.

Informierte und freiwillige Einwilligungen

Sollen informierte Einwilligungen eingeholt werden, so sollte darauf geachtet werden, dass Betroffene ausreichend über die Datenerhebung, -verarbeitung (insbesondere die Datenübermittlung an den Dienstleister) und –nutzung ihrer Daten informiert werden. Zudem sollten die Einwilligungen freiwillig erfolgen. Im Arbeitsverhältnis scheitert es meist an der Freiwilligkeit oder der Informiertheit, regelmäßig auch an beiden Voraussetzungen. Arbeitgeber sollten sich in diesen Fällen zwingend an ihren Datenschutzbeauftragten wenden oder sich anderweitige fachkundige Unterstützung (z. B. Datenschutzberatung) holen.

Rechtsgrundlage

Sollte eine Rechtsgrundlage, die Übermittlung an den Anbieter erlauben, wobei für den Einsatz der Sprachassistenten keine vorliegen dürfte, so müsste geprüft werden, ob ein angemessenes Datenschutzniveau durch die EU-Kommission in dem Drittland festgestellt wurde. Ein angemessenes Datenschutzniveau liegt unter anderem in Kanada oder der Schweiz vor. Sofern dies nicht der Fall ist, sollte ein angemessenes Datenschutzniveau, mittels EU-Standardvertragsklauseln oder durch andere vertragliche Grundlagen, hergestellt werden.

Gespräche werden dauerhaft aufgezeichnet und in eine Cloud ausgelagert

Um das Aktivierungswort zu hören, müssen die Geräte die Gespräche i. d. R. dauerhaft aufzeichnen,

  • die dann auf den Servern des Anbieters oder
  • sogar auf Servern von anderen Anbieter landen. (Der Einsatz von Cloud-Lösungen, unter anderem von Infrastructure as a Service, ist heute keine Seltenheit.)

Werden die Server von anderen Anbietern betrieben, so müssten diese Subunternehmer ebenfalls in Verträgen erfasst werden.

Weitere Schwierigkeiten

Neben den benannten Problemen sollte beachtet werden, dass auch die Gespräche im Büro von Dritten, wie zum Beispiel Kunden oder Dienstleistern, aufgezeichnet werden (könnten).

Verantwortliche Stellen sollten rund um den Einsatz von Dienstleistern weitere erforderliche Maßnahmen beachten. Unter anderem sollten technische und organisatorische Maßnahmen gemäß § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG ergriffen werden, um die Daten vor unbefugten Zugriffen zu schützen.

Neben dem BDSG könnte aber auch das Telemediengesetz (TMG) relevant sein, wenn elektronische Kommunikations- und Informationsdienste angeboten werden. Wurde für den Einsatz der Sprachassistenten zum Beispiel eine App entwickelt, so sollte der App-Entwickler die Pflichten aus dem TMG, unter anderem die Impressumspflicht, nicht ignorieren.

Auch könnte das Telekommunikationsgesetz (TKG), insbesondere § 88 TKG, von Bedeutung sein, allerdings wäre dies im Einzelfall zu prüfen.

Fazit

Eine pauschale Antwort über die möglichen Risiken und Gefahren sowie die erforderlichen Maßnahmen bei dem Einsatz von Sprachassistenten kann nicht geben werden, da dies sehr von den eingesetzten Systemen abhängt.

Grundsätzlich ist von dem dienstlichen Einsatz von Sprachassistenten allerdings abzuraten, dass ein datenschutzkonformer Einsatz mit einem erheblichen Mehraufwand verbunden ist und zumeist Restrisiken verbleiben. Zumindest sollte die „dauerhafte Mithörfunktion“ auf beruflichen Geräten oder in beruflichen Sphären abgeschaltet werden, dies meint z. B. die Funktion „Hey Siri“.

Möchten Sie mehr zu Sprachassistenten und Datenschutz erfahren oder sich im Datenschutz dauerhaft besser positionieren? Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Unterschiede zwischen Datenschutz und Datensicherheit – Wieso Datensicherheit nicht immer zum Datenschutz beiträgt?

Datenschutz und DatensicherheitDie Begriffe Datenschutz und Datensicherheit werden in der Praxis regelmäßig synonym verwendet, dabei unterscheiden sie sich zum Beispiel in den, mit ihnen verfolgten, Zielen. Geht es bei der Datensicherheit um den Schutz von Daten allgemein, so sollen im Datenschutz personenbezogene Daten geschützt werden. Aus diesem Grund ist die Aussage, dass Datenschutz ohne Datensicherheit nicht möglich ist, zutreffend, allerdings existieren auch Ausnahmen, die zeigen, dass Maßnahmen zur Datensicherheit dem Datenschutz auch schaden können.

Ihr externer Datenschutzbeauftragter informiert Sie rund um die beiden Begrifflichkeiten und zeigt Ihnen im Folgenden wesentliche Unterschiede auf.

Was versteht man unter Datenschutz?

Beim Datenschutz geht es um den Schutz von personenbezogenen Daten, wobei der Kernpunkt nicht der Inhalt oder die Bedeutung der Daten ist, sondern die informationelle Selbstbestimmung. Weisen die erhobenen, verarbeiteten oder genutzten Daten einen Personenbezug auf, so ist die Rede von personenbezogenen Daten, dabei können sie direkt (bestimmt), zum Beispiel der Name, oder indirekt (bestimmbar) unter Zuhilfenahme einer weiteren Informationsquelle, zum Beispiel die Telefonnummer, einer Person zugeordnet werden. In Deutschland greifen in diesen Fällen das Bundesdatenschutzgesetz (BDSG), landesspezifische Vorschriften, wie zum Beispiel das Datenschutzgesetz NRW (DSG NRW) oder bereichsspezifische Gesetze, wie z B. das Telemediengesetz (TMG), die die Privatsphäre der Menschen schützen sollen. Zu beachten ist allerdings, dass in Deutschland dieser Schutz nur für natürliche Personen (Menschen) und nicht für juristische Personen, da kein Personenbezug gegeben ist, gilt. Der Begriff Datenschutz ist juristischer Natur, da die Begrifflichkeit sämtliche rechtliche Vorschriften, die personenbezogene Daten schützen sollen, erfasst. Beim Datenschutz geht es somit um die rechtlichen (theoretischen) Fragen („Unter welchen Voraussetzungen dürfen personenbezogene Daten erhoben, verarbeitet oder genutzt werden?“ und weniger um die technische Umsetzung, die wiederrum im Rahmen von der Datensicherheit (praktischer Ansatz) aufgegriffen wird.

Was ist unter Datensicherheit zu verstehen?

Für den, im Datenschutzrecht geforderten, Schutz bietet die Datensicherheit Maßnahmen. Beim Datenschutz handelt es sich letztens um die „Theorie“, die im Rahmen der Datensicherheit umgesetzt wird („Praxis“).  Die Datensicherheit behandelt die Frage, was überhaupt möglich ist und ist somit, dass Gegenstück zum Datenschutz, da ansonsten keine Daten geschützt, sondern lediglich Vorschriften formuliert wären.  Geht es bei Datenschutz alleinig um personenbezogene Daten, so fallen unter den Begriff Datensicherheit sämtliche Daten unabhängig davon, ob sie einen Personenbezug aufweisen. Kernpunkt der Datensicherheit sind Maßnahmen, um den Schutz der Daten vor Missbrauch (Kontrollierbarkeit), Verfälschung (Integrität), Verlust (Verfügbarkeit) und unberechtigter Zugriffe (Vertraulichkeit), zu gewähren .

Die benannten Ziele der Datensicherheit dürften Jedem, der bereits mit der Anlage zu § 9 BDSG vertraut ist, bekannt vorkommen, denn die im Datenschutzrecht benannten technischen und organisatorischen Maßnahmen bilden die Schnittstelle zwischen den beiden Begriffen. Gemäß § 9 Bundesdatenschutzgesetz in Verbindung mit der Anlage zu § 9 Satz 1 BDSG sind alle Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen dazu verpflichtet, technische und organisatorische Maßnahmen (kurz TOM) zu treffen, um die Anforderungen des BDSG zu erfüllen, wobei im Rahmen der Datensicherheit geprüft und Technische und organisatorische Maßnahmenbestimmt werden sollte, welche Maßnahmen erfüllt werden können bzw. erfüllt sind.

Verantwortliche Stellen, wie zum Beispiel Unternehmen, Vereine und Behörden, sind lediglich zur Einhaltung der Anforderungen des BDSG verpflichtet, wobei keinerlei gesetzliche Verpflichtung zur Abstimmung der technischen und organisatorischen Maßnahmen besteht. Das Prüfen der TOM ist allerdings anzuraten, da eine Organisation feststellen kann, an welcher Stelle Defizite bestehen. Des Weiteren könnten verantwortliche Stellen, die personenbezogene Daten im Auftrag verarbeiten (ADV-Dienstleister) vom Auftraggeber, zur Übersendung der technischen und organisatorischen Maßnahmen verpflichtet werden.

Benötigen Sie Unterstützung bei der Abstimmung der TOM oder möchten Sie wissen, ob Ihr Dienstleister sich an die Anforderungen des Bundesdatenschutzgesetzes hält? Dann nehmen Sie Kontakt zu uns auf, gerne unterstützen und beraten wir Sie rund um die technischen und organisatorischen Maßnahmen sowie bei der Abwicklung von Verträgen zur Auftragsdatenverarbeitung.

Achtung: Der Begriff Datensicherheit sollte nicht mit der IT-Sicherheit verwechselt werden, da bei der IT-Sicherheit der Schutz von digitalen Daten im Vordergrund steht.

Unterschiede von Datenschutz und Datensicherheit

Datensicherheit Datenschutz
Schutz von Daten  Schutz vor Datenmissbrauch und -pannen (Grundsätze der Datensparsamkeit, Zweckbindung)
Schutz aller Daten Schutz personenbezogener Daten
Schutz vor Verlust, Zerstörung, Missbrauch, Zugriff durch Unberechtigte Schutz der informationellen Selbstbestimmung (Privatsphäre)
Technische Maßnahmen / Lösungen Gesetzliche Vorschiften
Praxis: Bei der Datensicherheit geht es unter anderem um die Umsetzung der Anforderungen des Datenschutzes, wobei der praktische Ansatz, „Was ist möglich?“, verfolgt wird. Theorie: Beim Datenschutz wird der theoretische Ansatz „Was soll erfüllt werden?“ verfolgt werden.

Kann die Datensicherheit dem Datenschutz schaden?

Datensicherheit vs. DatenschutzGrundsätzlich unterschützen, bis auf wenige Ausnahmen, die Maßnahmen, die zur Datensicherheit erfolgen, den Datenschutz. Eine dieser Ausnahmen ist das Auslagern von Daten in eine Cloud. Kann das Auslagern in einen Cloud-Speicher die Daten vor Verlust schützen und ist grundsätzlich eher förderlich für die Datensicherheit, so verursacht diese Maßnahme in Hinblick auf den Datenschutz zahlreiche Risiken und Probleme. Bei einer Datensicherung in der Cloud, handelt es sich aus Datenschutzrecht bereits um eine Übermittlung, die wiederrum nur erlaubt ist, wenn sie auf einer Rechtsgrundlage oder einer informierten Einwilligung basiert. Hat der Cloud-Anbieter seinen Sitz zudem in einem Drittland, außerhalb der europäischen Union (EU) oder des europäischen Wirtschaftsraums (EWR), so muss die verantwortliche Stelle weitere Maßnahmen umsetzen, so ist üblicherweise ein angemessenes Datenschutzniveau herzustellen.

Möchte eine Organisation auf Cloud-Lösungen zurückgreifen, so ist ein deutscher bzw. europäischer Cloud-Anbieter und das Abschließen eines Vertrages zur Auftragsdatenverarbeitung (ADV) dringend anzuraten.

Möchten Sie mehr zu Datenschutz und Datensicherheit erfahren? Haben Sie Fragen zu den technischen und organisatorischen Maßnahmen oder Cloud-Computing? Dann nehmen Sie Kontakt zu uns auf.

Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Dann fordern Sie direkt ein kostenloses Angebot zum Datenschutz an und holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Statt Payback, Daten weg! – Wie Phishing Datenschutzrisiken hervorruft

Phishing DatenschutzrisikenDas Thema „Phishing Datenschutz“ beschäftigt, wenn neue Phishing-Attacken „die Runde machen“, nicht nur die Betroffenen selbst, sondern auch Datenschützer und Datenschutzbeauftragte.

Der Begriff „Phishing“ ist ein Kunstwort und setzt sich aus den englischen Wörtern „Password“ sowie „Fishing“ zusammen. Das Ziel der Täter ist es mittels gefälschter E-Mails, SMS und Webseiten an Datensätze, wie Passwörter und Kreditkartennummern, zu gelangen.

Ihr externer Datenschutzbeauftragter hat die wiederkehrenden Phishing-Attacken, ob auf Payback- oder Amazon-Kunden, gutgläubige „Gewinnspielteilnehmer“, denen Gutscheine von Saturn oder Ikea versprochen worden sind, oder Betroffene, die in der Hoffnung auf Steuerrückzahlungen auf die Phishing-Attacken reingefallen sind, zum Anlass genommen, um Sie über die Gefahren zu informieren und das Thema „Phishing Datenschutzrisiken“ näher zu durchleuchten.

Wieso Phishing Datenschutzrisiken für Payback-Nutzer verursacht hat

In den vergangenen Wochen hörte man vermehrt über neue Phishing-Attacken, die verstärkt auf Kunden, wie Payback- oder Amazon-Kunden ausgerichtet waren. Im Fall von Payback versendeten die Täter  E-Mails, die die Kunden über den 15. Geburtstag von Payback informierten und Payback-Nutzern die Verdopplung ihrer Payback-Punkte versprachen, dabei sollten Kunden einen Link anklicken. Diese E-Mails waren so gut gefälscht, dass nur den wenigsten Kunden auffiel, dass Payback bereits den 15. Geburtstag ein Jahr zuvor gefeiert hat. Folgte man nun dem Link, so wurde man auf eine gefälschte Webseite geführt, die sich ebenfalls kaum von der Originalen unterschied und wurde aufgefordert, seine Benutzerdaten einzugeben, die direkt in die Hände der Täter fielen.

Trotz der Mühe der Täter, die E-Mail möglichst echt aussehen zu lassen, sollte kritischen Nutzern unter anderem auffallen, dass sie, wie bei Phishing-Mails üblich, nicht persönlich angesprochen werden. Möchten Sie sich über weitere Anzeichen für gefälschte E-Mails, Webseiten und SMS informieren, dann lesen sich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Wer von Phishing-Attacken bis jetzt verschont geblieben ist, sollte sich dennoch mit dieser Thematik befassen, da die Täter nicht nur gefälschte Newsletter verschicken, sondern in sämtlichen Bereichen sowohl für Privatpersonen als auch für „verantwortliche Stellen“ eine Gefahr darstellen. Dies wurde in den vergangenen Wochen und Monaten deutlich, denn neben den gefälschten Payback-E-Mails tauchten vermeintliche E-Mails vom Finanzamt und von der Telekom auf. Die gefälschten E-Mails vom Finanzamt lockten die Betroffenen mit Steuerrückerstattungen. Während die Telekom angeblich vor einem vollen Speicher warnte. Genauso wie bei den Payback-E-Mails führte man die Betroffenen auf eine gefälschte Webseite und forderte zur Eingabe der E-Mail-Adresse und des Passwortes sowie weiterer Daten, z. B. Bankdaten, auf. Ähnlich von der Vorgehensweise, allerdings unter einem anderen Vorwand, sollten Amazon-Kunden ihre Daten zur Bekämpfung von Terrorismus überprüfen lassen.

Neben Privatpersonen und „verantwortlichen Stellen“ wurden in den letzten Monaten auch Politiker „Opfer“ von Spear-Phishing-Mails. Bezieht sich der Phishing-Angriff auf eine bestimmte Personengruppe und ist nicht breit gestreut, wie die Payback-Attacken, so ist die Rede von einem Spear-Phishing-Angriff. Der in der E-Mail eingebettete Link sollte die Politiker auf eine Malware verseuchte Webseite führen. Möchten Sie mehr zu den Gefahren durch Malware erfahren, dann lesen Sie unseren Beitrag „Verschlüsselungs-Trojaner „Locky“ – Die unerwünschte Verschlüsselung im Datenschutz“.

Die zahlreichen Fälle zeigen, dass die Kreativität der Täter keine Grenzen kennt und sich nicht nur Privatpersonen, sondern auch „verantwortliche Stellen“ mit dem Thema „Phishing Datenschutz“ auseinandersetzen sollten.

Wieso Phishing Datenschutzrisiken für „verantwortliche Stellen“ hervorrufen

DatenpannePhishing-Attacken, insbesondere, wenn Kreditkarten- und Bankdaten ausgespäht worden sind, führen für Betroffene häufig zu viel Stress und können zu einem hohen finanziellen Schaden führen, allerdings sind die Auswirkungen für „verantwortliche Stellen“ wesentlich schlimmer.

Der Grund ist, dass verantwortliche Stellen über weitaus mehr personenbezogene Daten verfügen, wodurch das Datenschutzgesetz klare Regelungen für derartige Datenpannen getroffen hat. Laut § 42 a Bundesdatenschutzgesetz (BDSG) sind verantwortliche Stellen bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Verlust der Daten zu informieren. Dieser Informationspflicht muss insbesondere bei besonderen Angaben personenbezogener Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Solche Datenpannen führen zu hohen Bußgeldern und einem erheblichen Imageverlust.

Verantwortlichen Stellen, wie Unternehmen und Vereinen, ist deshalb dringend anzuraten, sich mit dem Thema „Phishing Datenschutzrisiken“ auseinanderzusetzen sowie die Mitarbeiter ausreichend zu schulen. Eine weitere Maßnahme, die ergriffen werden sollte, ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen.

Möchten Sie mehr zu dem Thema „Phishing Datenschutz“ erfahren oder wünschen Sie Datenschutz-Schulungen, um Ihre Mitarbeiter ausreichend zu sensibilisieren? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Lädst du noch oder überträgst du schon? – Datenschutzrisiko öffentliche Ladestationen

öffentliche Ladestationen DatenschutzWer kennt das nicht? Man befindet sich auf Geschäftsreise oder ist anderweitig unterwegs und prompt ist der Akku des mobilen Endgerätes (z.B. Handy, Laptop, Tablet etc.) leer. Das Ladekabel hat man vergessen und die mobile Powerbank ist ebenfalls nicht zur Hand. In der Regel passiert dies in besonders ungünstigen Situationen: Die Verabredung wollte sich per Anruf melden oder es sollte noch eine wichtige E-Mail an den Kunden geschrieben werden. Retter in der Not sind die öffentlichen Ladestationen, welche in Fernzügen, Cafés, Flughäfen und auch in Linienbussen aufzufinden sind. Dankend wird in den oben genannten Notsituationen der kostenlose Dienst in Gebrauch genommen und in manchen Fällen später bitterlich bereut. Durch solche Ladekabel können Schäden am Handy sowie die Übertragung personenbezogener Daten nicht ausgeschlossen werden.

Ihr externer Datenschutzbeauftragter erklärt, warum durch öffentliche Ladestationen Datenschutz-Risiken bestehen und gibt Hinweise zum Schutz.

Beschädigung des Gerätes bei der Nutzung von offenen Ladestationen

Sie sollten sich vorab bewusst machen, dass nicht nur datenschutzrechtliche Probleme beim Laden mit fremden Ladegeräten entstehen können. Ein anderes Kabel kann vor allem dann Ihr Handy schädigen, wenn dieses eine zu hohe Spannung aufweist. Aus diesem Grund ist es sicherer, das eigene Ladekabel zu verwenden oder, sofern dieses vergessen wurde, eine geeignete Powerbank zu nutzen oder im Notfall ein geeignetes Ladekabel neu zu erwerben.

Wie öffentliche Ladestationen Datenschutz -Risiken hervorrufen können

Neben den Schäden am Gerät sollte allerdings vor allem das Datenschutzrisiko nicht außer Acht gelassen werden, das neben hohen Bußgeldern zu einem erheblichen Imageverlust führen könnte.

Unberechtigter Zugang Dritter durch USB-Anschluss

Fast alle Mobilgeräte lassen sich mithilfe eines USB-Kabels aufladen, dabei dient das USB-Kabel nicht nur der reinen Lieferung von Energie an das Endgerät, sondern ebenso dem Datentransfer. Wird ein mobiles Endgerät über den USB-Port eines Computers angeschlossen, kann nicht nur der Akku des Endgerätes aufgeladen werden, sondern per Computer auf die Daten des Endgerätes zugegriffen und sogar Daten von einem Computer auf das mobile Endgerät transferiert werden. Folglich kann bei einer öffentlichen Ladenstation nicht ausgeschlossen werden, dass unberechtigte Dritte Zugang auf die Daten des mobilen Endgerätes haben und darauf befindliche Daten von diesen eingesehen, transferiert und andernorts gespeichert werden könnten.

Voller Akku inkl. Malware aus der Ladestation

Ein anderes Risiko neben dem Zugang Unberechtigter stellt das sogenannte „Juice Jacking“ dar. Juice Jacking beschreibt einen zielgerichteten Cyberangriff auf ein mobiles Endgerät über dessen Stromzufuhr. Auf einer Hackerveranstaltung namens „DEF CON“, einer Messe, die über die neuesten Entwicklungen im Computerbereich und über bestimmte Computerrisiken aufklärt, wurden einige Ladestationen aufgebaut. Diese wurden vorher so präpariert, dass bei Anschluss der mobilen Geräte an die Ladestationen die Nachricht „[…] should not trust public charging station […]“, zu deutsch („[…]es sollte den öffentlichen Ladestationen kein Vertrauen geschenkt werden […]“), auf den Endgräten angezeigt wurde. Die simulierten Angriffe lassen erkennen, wie einfach es für Fremde ist, Zugang zum mobilen Gerät zu erlangen, indem die Täter öffentliche Ladestationen manipulieren. Vergleichbare Manipulationen kennen wir beispielsweise bei EC- und Kredit-Karten an Geldautomaten. Hier werden Karten kopiert und PIN-Nummern abgegriffen.

In der Regel bemerkt der Eigentümer den Zugriff auf sein Handy im ersten Moment nicht. Die Täter gehen dabei sehr geschickt vor, indem beim Anschluss des mobilen Endgerätes an eine öffentliche Ladestation eine darauf befindliche App durch eine gleich aussehende Schadsoftware ersetzt wird. Diese erlaubt dem unberechtigten Dritten nicht nur vollen Einblick in Ihre Daten auf dem Handy, sondern kann ihm auch ermöglichen auf Ihr Handy zuzugreifen.

Möglichkeiten zum Schutz des mobilen Gerätes und der Daten

Die sicherste und einfachste Möglichkeit ist es, den Dienst einer öffentlichen Ladestation nicht in Anspruch zu nehmen und somit seine Daten zu schützen. Sofern Sie unterwegs auf eine Lademöglichkeit angewiesen sind, so sollte immer das eigene Ladegerät genutzt werden. Das Ladegerät sollte dabei nicht an einen fremden USB-Anschluss angeschlossen werden, sondern immer direkt an eine Steckdose. Weitere Schutzmöglichkeiten bieten Charge-Only-Cable, welche einen Datentransfer ausschließen und nur eine Aufladung des Endgerätes ermöglichen. Eine mobile Powerbank kann ebenso eine sichere Energieversorgung des Handys garantieren.

Je nach Anbieter des mobilen Endgerätes bieten bereits vorhandene Handyeinstellungen einen Schutz. Apple beispielsweise sperrt den Datenaustausch, jedoch nur solange das iPhone nicht durch Eingabe des Codes entsperrt wird. In diesem Zustand ist der Zugriff durch einen fremden PC über die USB-Verbindung nicht möglich. Unbekannt ist der PC allerdings nicht mehr, wenn das iPhone während des Ladevorgangs entsperrt wurde. Nutzen Sie während des Ladens an einer Ladestation das Gerät, so ist ein Zugriff Unberechtigter auf ihr iPhone möglich. Schließen Sie es erneut an diese Ladestation an, so ist diese Ladestation als „bekannt“ deklariert und ein Datentransfer ist theoretisch auch im gesperrten Zustand nicht völlig ausgeschlossen. Sie sollten daher, solange das iPhone lädt, nicht darauf zugreifen. Gerade bei dringlichen Anrufen oder E-Mails erscheint dies schwierig zu realisieren.

Trotzdem ist eine völlige Sicherheit gegen den Zugriff nicht garantiert, da es gewisse Software gibt, welche Codes leicht entschlüsseln kann. Eine Software-Lösung für dieses Problem bietet Jailbreak. Jailbreak (dt. Gefängnisausbruch) beschreibt das Verändern des Betriebssystems (iOS), damit bestimmte Funktionen intergiert werden können, auch solche, die den Zugriff durch Fremde unterbinden.

Bei Android-Geräten kann ein Datentransfer während des Ladens unterbunden werden, wenn in den Einstellungen unter Entwickleroptionen eine Deaktivierung des USB-Debugging vorgenommen wird. Nutzt man diese Funktion bei einem Datentransfer auf den eigenen Computer, sollte diese nach Beendigung des Datenaustausches wieder deaktiviert werden.

Möchten Sie mehr zum Thema „ Öffentliche Ladestationen Datenschutz “ erfahren oder sich dauerhaft im Datenschutz besser positionieren? Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Skype, WhatsApp, Facebook Messenger, iMessage & Co. – Datenschutz-Risiken bei Instant Messaging-Diensten

Instant-Messaging-Dienste DatenschutzDas Aufkommen neuer Messaging-Dienstleister geht Hand in Hand mit der Verbreitung sowie dem beruflichen und gemischten (privat / beruflich) Einsatz von Handys und sonstigen meist mobilen Endgeräten. Insbesondere in Unternehmen, aber auch in anderen Organisationen (Behörden, Vereine, der Kirche …), ist der Gebrauch
von Instant-Messaging-Dienstleistungen attraktiv, da diese eine schnelle Nachrichtenübermittlung garantieren und eine günstige Alternative zur SMS bilden. Es sollte dabei aber nicht außer Acht gelassen werden, dass solche Instant-Messaging-Dienste Datenschutz-Risiken mit sich bringen können. Daher ist es ratsam, zu wissen, wie solche Dienste mit personenbezogenen Daten, Geschäfts- und Betriebsgeheimnissen verfahren.

Ihr externer Datenschutzbeauftragter informiert, worauf verantwortliche Stellen bei der Nutzung von Instant-Messaging-Dienstleistungen achten sollten und wieso Instant-Messaging-Dienste Datenschutz-Risiken verursachen können.

Instant-Messaging-Dienstleistungen

Instant Messaging ist, wie der Name sagt, ein Nachrichtensofortversand und stellt eine Kommunikationsmöglichkeit dar. Diese erfolgt durch das Versenden von Kurzmitteilungen, welche der Absender durch das sogenannte Push-Verfahren auslöst. Die versendete Nachricht erhält der Empfänger dabei unmittelbar auf seinem Handy, Computer oder sonstigem mobilen Endgerät. Um diesen Dienst nutzen zu können, müssen die Nutzer über ein Programm (Client) verfügen. Eine wichtige Gruppe der Clients bzw. hierfür erforderlichen Programme sind neben klassischen Apps die Webbrowser. Ein Einsatz ist daher regelmäßig mit nur sehr geringen Hürden möglich.  Die eingesetzten Clients verbinden die Nutzer über ein Netz direkt mit dem Server. In der Regel ist es auch möglich, Nachrichten an Teilnehmer zu senden, welche derzeit gar nicht online sind. Diese erhalten ihre Nachrichten, sobald sie wieder mit dem Internet verbunden sind. Hierbei ist es offensichtlich, dass Datensätze zumindest zwischengespeichert werden müssen.

Mit der Updateinformation zum WhatsApp Messenger der Version 2.17.2 vom 26.01.2017 informiert  Whatsapp wie folgt „Du kannst jetzt bei Nachrichten auf Senden tippen, auch wenn du keine Verbindung hast. Diese Nachrichten werden dann automatisch gesendet, sobald dein Telefon wieder mit dem Internet verbunden ist.“ Hat der Versender Internet, wird die Nachricht somit versendet. Hat zu diesem Zeitpunkt der Empfänger allerdings keinen Netzzugang, so wird die Nachricht gespeichert, bis der Nutzer wieder erreichbar ist. Zwischen Versand und Empfang kann hierdurch eine längere Zeitperiode entstehen, in der die Daten / Informationen zumindest zwischengespeichert werden.

Instant-Messaging-Systeme innerhalb von IT-Richtlinien/-Betriebsvereinbarungen/-Dienstvereinbarungen

Häufig werden Instant-Messaging-Systeme innerhalb der IT-Sicherheitsrichtlinien, Betriebsvereinbarungen oder Dienstvereinbarungen von Organisationen nicht ausreichend eingebunden bzw. berücksichtigt. Messaging Systeme werden zu pauschal ohne individuelle Betrachtung und Berücksichtigung den Telekommunikationsdiensten zugeordnet, worunter auch die E-Mail fällt. Organisationen sollten nicht nur klare Regelungen für die Nutzung des dienstlichen E-Mail-Postfachs treffen, sondern Differenzieren und auch die Nutzung von Instant-Massaging-Diensten, wie zum Beispiel von WhatsApp oder Apples iMessage, klar regeln.

Neben WhatsApp und iMessage findet unter anderem Skype for Business, früher Microsoft Lync, Verwendung. Dieser Message-Dienst ermöglicht den Mitarbeitern, Sofortnachrichten sowie Daten auszutauschen. Gleichzeitig können mit Skype for Business verschiedenste Messaging-Systeme verbunden werden, womit ebenso Kunden und Dienstleister, welche ein anderes System nutzen, erreicht werden können.

Die Problematik liegt hierbei nicht nur bei der rechtlichen Zuordnung des Systems, sondern vielmehr auch bei der Bewertung, ob damit Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber erfolgen könnten.

Verwendung von Instant-Messaging-Systemen für eine Verhaltens- und Leistungskontrolle

Die Möglichkeit einer dauerhaften, technisch gestützten Leistungs- und Verhaltenskontrolle könnte sich theoretisch bereits durch die Statusmeldungen (verfügbar, beschäftigt, abwesend) des Mitarbeiters ergeben. Daraus kann der Arbeitgeber beispielsweise auf mögliche Fehlzeiten, Aktivität und Arbeitszeiteinteilungen des Arbeitnehmers schließen. Ein berechtigtes Interesse des Arbeitgebers auf Chatverläufe zu zugreifen kann unter anderem dann vorliegen, wenn die Inhalte eines Chats archivierungspflichtige Geschäftsbriefe bzw. Geschäftskommunikation betreffen. Derartige relevante Kommunikation mag derzeit vielleicht nur in Einzelfällen vorkommen, gerade bei technischen Arbeitsmitteln ist ein schneller, regelmäßig auch zeitgemäßer Wandel, allerdings nichts Verwunderliches.

Grundsätzlich kann der Arbeitgeber eine Kontrolle ansetzen, sofern ein konkreter Missbrauchsverdacht gegenüber den Arbeitnehmern vorliegt, wobei es eine große Rolle spielt, ob eine Privatnutzung erlaubt ist. Darf der Arbeitnehmer die Instant-Message-Dienste zu privaten Zwecken nutzen, so tritt der Arbeitgeber als Telekommunikationsanbieter auf und ist den Vorschriften des Telekommunikationsgesetztes (TKG) unterworfen. Laut § 88 TKG gilt das Fernmeldegeheimnis, wodurch die Zugriffsrechte des Arbeitsgebers auf die Chatverläufe erheblich eingeschränkt werden. Selbst bei einem Verdacht auf eine Straftat könnte sogar die Strafanzeige als milderes Mittel gelten. Bei einem Verbot der Privatnutzung dürfte der Arbeitgeber auf die Chatverläufe zugreifen, allerdings sollte dies ebenfalls stichprobenartig und in angemessenen Zeiträumen bzw. im Missbrauchsverdachtsfall erfolgen (anlassbezogen).

Instant-Message-Dienste können eine Verhaltens- und Leistungskontrolle der Mitarbeiter erleichtern. Beispiel: Nutzt eine Firma ein Chatprogramm, um zeitnah auf Supportanfragen von Kunden einzugehen, so könnte der Arbeitgeber mittels Protokollierung der Chatverläufe prüfen, wie lange ein Mitarbeiter für die Beantwortung benötigt oder wie viele Anfragen der Mitarbeiter am Tag beantwortet. Um eine Verhaltens- und Leistungskontrolle durch den Arbeitgeber zu vermeiden, ist von einer grundlosen Protokollierung der Chatverläufe abzuraten. Eine konkete Protokollierung mit Zweckbindung könnte hingegen denkbar sein. Zudem sollten klare Regelungen geschaffen werden. Mit diesen soll zum einen geregelt werden, ob eine Privatnutzung erlaubt oder verboten ist. Des Weiteren soll klar formuliert werden, wann der Arbeitgeber bzw. andere Vorgesetzte unter Einbeziehung des Datenschutzbeauftragten und – sofern vorhanden – eines Betriebsratsmitglieds auf die Daten zugreifen dürfen. Um gesetzliche Aufbewahrungsfristen nicht zu verletzen, sollte zudem festgelegt werden, dass keine Dateien versendet werden dürfen, die gesetzlichen Archivierungspflichten unterliegen oder bei denen Löschfristen einzuhalten sind, die auf diesem Wege überschritten würden.

Wieso Instant-Messaging-Dienste Datenschutz-Risiken hervorrufen

Besonders kritisch ist die Nutzung von extern betriebenen Instant-Messaging-Dienstleistungen, wie WhatsApp oder auch iMessage. Besonders dann, wenn iPhones oder sonstige Smartphones dienstlich vom Unternehmen zur Verfügung gestellt werden, sollte ausdrücklich darauf hingewiesen werden, dass die Instant Messaging Funktionen untersagt sind. Eine derartige Vorgabe erteilte eine der großen deutschen Banken zur Umsetzung im Jahr 2017.

Sofern dies nicht gewünscht ist und den Mitarbeitern eine Privatnutzung der Smartphones erlaubt werden soll, wäre zu prüfen, ob die Einführung eines Mobile-Device-Management-Systems einschließlich Containersystem notwendig ist, wobei die Verhältnismäßigkeit nicht außer Acht gelassen werden sollte. Bei einem Unternehmen mit fünf Smartphones dürfte regelmäßig anders vorzugehen sein als bei 500 oder mehr Endgeräten und der erlaubten Privatnutzung. Grundsätzlich gilt jedoch, dass Organisationen klare Regelungen schaffen sollten, da der Einsatz von Instant-Messaging-Diensten Datenschutz-Risiken verursacht. Dies ergibt sich unter anderem daraus, dass der Arbeitnehmer meist über seinen privaten WhatsApp- oder iTunes-Account kommuniziert. Dabei scannen beide Programme das Adressbuch und führen die gesammelten Informationen in eine Datenbank. Diese befinden sich auf den Servern der Anbieter. Problematisch wird es insbesondere dann, wenn der Server sich in einem Land befindet, welches sich außerhalb der EU/des EWR befindet und über kein angemessenes Datenschutzniveau verfügt. Darunter fallen mitunter die USA. In unserem Beitrag zu „Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?“ finden Sie mehr Informationen dazu.

Ebenso bedenklich ist die kommerzielle Nutzung der persönlichen Daten durch einige Anbieter von Instant-Messaging-Systemen. Sie sollten sich daher erkundigen, inwiefern der Anbieter Ihre Daten verwertet.

Weiterhin wurde durch zahlreiche Meldungen verkündet, dass einige externe Instant-Messaging-Dienstleistungen gewisse Sicherheitslücken aufweisen. So hatte beispielsweise Microsoft bei seinem Windows Live Messenger sowie auch MSN einige Sicherheitsprobleme, welche sich unter anderem bei deren integrierten Webcam-Sitzungen und Video-Chats befanden. Das Problem bestand darin, dass der Instant-Messaging-Client die Webcam-Sitzung und Video-Chats nicht korrekt verarbeitet und damit möglichen Angreifern (Hackern) die Chance bietet, beliebige Codes ausführen zu können. Um dies zu ermöglichen, müsste das potenzielle Opfer lediglich zu einer Webcam- oder Video-Chat-Sitzung durch den Angreifer eingeladen werden. Die Opfer werden dabei von vermeintlichen Bekannten auf interessante Webseiten gelockt, wo Schadprogramme (Malware) auf sie warten.

Es ist daher unerlässlich, einen Datenschutzbeauftragten und IT-Sicherheitsbeauftragten zur Seite zu haben, damit datenschutzrechtliche Probleme und IT-Sicherheitsrisiken optimal behandelt oder umgangen werden können.

Falls Sie sich für die Risiken bei der Nutzung von Instant-Messaging-Diensten in Organisationen interessieren, könnten die Beiträge

von uns für Sie interessant sein.

Sicherheitskriterien bei Instant-Messaging-Diensten

Eine gewisse Sicherheit bei einigen Instant-Messaging-Diensten bietet die End-to-End-Verschlüsselung, die die gesendeten Daten so verfremdet, dass diese ohne Datenschlüssel nicht mehr nachvollziehbar sind. Erst wenn die Nachricht bei dem Empfänger ankommt, wird die Nachricht entschlüsselt. Grundsätzlich bietet dieses Verfahren eine gewisse Sicherheit, jedoch sollte beispielsweise bei WhatsApp darauf geachtet werden, dass die aktuelle Version installiert ist. 2016 führte WhatsApp offiziell mit Kennzeichnung im Chatverlauf die End-to-End-Verschlüsselung ein, bei älteren Versionen gilt diese jedoch nicht. Sie sollten daher möglichst die neueste Version besitzen.

Wie bereits erwähnt, besitzen nicht alle Länder ein angemessenes Datenschutzniveau. Auch sind je nach Sitz des Anbieters unterschiedliche Maßnahmen zu ergreifen, dabei ist es entscheidend, ob der Anbieter seinen Sitz innerhalb der EU/des EWR hat oder eine Datenübermittlung an einen Dienstleister außerhalb der EU/des EWR (Drittland) stattfindet. Kann oder möchte eine Organisation nicht auf den Einsatz von Instant-Message Diensten verzichten, so sollten Anbieter gewählt werden, die Ihren Sitz innerhalb der EU/des EWR haben. Zudem sollten klare Regelungen mittels Richtlinien/Betriebsvereinbarungen/Dienstvereinbarungen geschaffen und Mitarbeiter – mittels Datenschutz-Schulungen – ausreichend sensibilisiert werden.

Fazit

Instant-Messaging-Dienste stellen eine Erleichterung der Kommunikation dar, da diese die Nachrichten sofort übermitteln und der Empfänger diese ebenso ohne Zeitverzug einsehen kann. Jedoch bieten die angebotenen Dienste keine vollkommene Sicherheit der Datenübertragung und vor ungewolltem Zugriff oder missbräuchlicher Verwendung. Besonders problematisch sind unter anderem:

  • Anbieter außerhalb der EU/des EWR,
  • mögliche kommerzielle Nutzung der privaten Daten durch Instant-Messaging-Dienste,
  • Sicherheitslücken innerhalb der Software.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Zutrittskontrolle durch intelligente Türschlösser – Welche Risiken und Gefahren für den Datenschutz Smart Locks hervorrufen können

Datenschutz Smart LocksSmart Locks zum Öffnen und Verschließen von Türen werden immer beliebter. Nicht nur für Hauseigentümer bieten sie eine gute Alternative, wenn man seinen Schlüssel im Haus vergessen hat, auch für beruflich veranlasste Zwecke können diese nützlich sein. Gerade kleinere Unternehmen oder behördliche Organisationen (z. B. kleinere Körperschaften) können durch die Verwendung von Smart Locks ihr Schlüsselmanagement besser gestalten und dokumentieren. Neben zahlreichen Vorteilen sollte allerdings nicht ignoriert werden, welche Gefahren für den Datenschutz Smart Locks verursachen können.

Ihr externer Datenschutzbeauftragter informiert über die Vor- und Nachteile von Smart Locks und erklärt, worauf insbesondere Organisationen bei der Installation von Smart Locks achten sollten.

Was sind Smart Locks?

Smart Locks sind, wie der Name bereits preisgibt, intelligente Türschlösser. Bedient werden diese via Smartphone-App oder über eine Web-Oberfläche und ermöglichen berechtigten Personen den Zugang oder das Abschließen einer Räumlichkeit, welche mit einem Smart Lock ausgestattet ist. Je nach Anbieter eines Smart Locks werden auch Alternativen zur App und Web-Oberfläche angeboten. Zum Beispiel das Öffnen der Türen mittels Handsender, der auf das intelligente Türschloss, eingestellt wird, oder das Anbringen eines Zahlenfeldes an der Außenseite der Tür. Durch die Eingabe eines Zahlencodes kann die Tür – ohne Smartphone und Internet – geöffnet und verschlossen werden.

Wie funktioniert ein Smart Lock?

Die Installation erfolgt auf unterschiedlichste Weise. Bei einigen Anbietern, wie zum Beispiel Danalock, muss mitunter der Schlüsselzylinder ausgetauscht werden. Bei dem Anbieter Nuki hingegen werden lediglich zwei Adapter am Türschloss angebracht.

Beide Varianten basieren jedoch auf demselben Prinzip. Der Hausschlüssel bleibt dabei im Schloss oder dem neu in die Tür einzubauenden Schlüsselzylinder. Der Schlüsselzylinder wie auch die Adapter bedingen die Rotation des Schlüssels, zum Beispiel nach links zum Aufschließen oder rechts zum Abschließen. Gesteuert wird das Ganze in den meisten Fällen via Smartphone-App oder per Internet im Nutzerkonto des jeweiligen Anbieters. Berechtigte Personen (Hausbesitzer, Familienmitglied oder Gast) haben somit die Möglichkeit, auch ohne Schlüssel in den verschlossenen Raum zu gelangen, sofern er sein Handy bei sich hat oder mit dem Internet verbunden ist. Weiterhin bietet z. B. der Anbieter Nuki eine automatische Auf- und Verschließ-Funktion, die durch GPS, Geofences und Bluetooth ausgelöst wird. Dies geschieht in folgenden Schritten:

  • Die berechtige Person nähert sich mit dem Handy der Haustür,
  • was durch das Handy-GPS geortet wird (Aufenthaltsort der Person).
  • Nähert sich die berechtigte Person der Haustür und erreicht eine bestimmte Distanz wird eine digital generierte Grenze durchbrochen (Gofences) und ein Bluetooth-Signal vom Handy zum Schloss gesendet.
  • Das Bluetooth-Signal löst die entsprechende Auf- Funktion des Smart Locks aus und ermöglich den Zugang in die Räumlichkeit.
  • Verlässt die Person den Raum wird ebenfalls der Standort ermittelt und ab einer bestimmten Distanz ein Bluetooth-Signal gesendet. Der Smart Lock verschließt die Tür.

Daneben kann durch die App oder per Nutzerkonto anderen Personen durch den Eigentümer der Räumlichkeit oder eine dazu berechtigte Person (Administrator) der Zugang zu der Räumlichkeit regelmäßig durch Freischaltung eines weiteren Nutzers (berechtigter Nutzer) erlaubt werden.

Welche Chancen und Risiken für den Datenschutz Smart Locks hervorrufen

Aufgrund des Agierens via App benötigt der Anbieter eines Smart Locks Informationen, die für den Vertragsschluss und für die Inbetriebnahme relevant sind, hierzu gehören regelmäßig insbesondere:

  • Name
  • Vorname
  • Passwort
  • Standort
  • uvm.

Darüber hinaus dürfte die Nutzung protokolliert werden:

  • Öffnender Nutzer
  • Uhrzeit der Öffnungen
  • uvm.

Diese gesammelten Daten stellen personenbezogene Daten dar und werden insbesondere durch das Bundesdatenschutzgesetz geschützt. So darf eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten, nach § 4 BDSG, nur dann erfolgen, wenn

  • ein Gesetz besteht, welches dies zulässt oder
  • der Betroffene dem Verfahren zustimmt.

Sollten Organisationen die intelligenten Türschlösser einsetzen oder den Einsatz planen, so sollte das Datenschutzrecht nicht außer Acht gelassen werden.

Datenschutzrechtliche Chancen –  Zentrale und revisionsfähige Zutrittsberechtigungen

Für verantwortliche Stellen (Unternehmen, Vereine und Behörden…) könnte es als nützlich erachtet werden, dass eine zentrale und revisionsfähige Vergabe von Zutrittsberechtigungen erleichtert wird. Solche Schlösser können insbesondere für Räume, wie zum Beispiel Akten- oder Serverräume genutzt werden, die sensible und personenbezogene Daten enthalten. Es könnte entsprechend gewährleistet werden, dass berechtigte Personen einen temporären Zugang erhalten (Gast bzw. berechtigter Wartungstechniker); diese Berechtigung kann bei Bedarf entzogen werden, ohne die Person darauf hinweisen zu müssen, den Schlüssel abzugeben. Es sollte jedoch darauf geachtet werden, dass das angewendete Programm gewisse Sicherungen aufweist, denn schnell könnte aus dem Vorteil ein Risiko entstehen, wenn unter anderem alle Berechtigten über Administratoren-Rechte verfügen.

Datenschutzrechtliche Risiken – Keine bzw. keine geeigneten Benutzerrollen

Bei gewissen Anbietern von Smart Locks steht jeder Person, welche eine Zugangsberechtigung besitzt, die Möglichkeit zu, jeden darin befindlichen Nutzer zu löschen oder zu sperren. So kann auch der eigentliche Berechtigte (z.B. Administrator), sofern keine Sicherung (z.B. Passwort) für die Lösung besteht, entfernt werden.

Weiterhin sollte darauf geachtet werden, dass eine Sicherung in dem Programm enthalten ist, welche dem hinzugefügten Gast verbietet, weiteren Personen den Zugang zu dem Programm zu verschaffen. Hier zeigt sich, ohne konkrete Produkte zu benennen, dass die derzeit im Handel erhältlichen Produkte eher die Zielgruppe der Privathaushalte haben und weniger gut für kleinere Unternehmen, Behörden und Vereine geeignet sind. Hier dürften weiterhin professionelle, zumeist deutlich teurere Lösungen, notwendig sein.

Datenschutzrechtliche Risiken – Keine Regelungen zum Einsatz dienstlicher/privater Smartphones

Wird den Mitarbeitern die Möglichkeit gewährt, sich Zugang zum Gebäude bzw. zu den einzelnen Büros via Smartphone-App zu verschaffen, so ist das Aufstellen von klaren Regelungen/Richtlinien unvermeidbar. Zunächst sollte geklärt werden, mit welchen Smartphones (dienstliche oder private) ein Zugang möglich ist, wobei der Einsatz privater Smartphones weitere Risiken hervorruft.

Datenschutzrechtliche Risiken – Datenübermittlung

Neben den Regelungen zur Nutzung der Smartphones, sollte zudem beachtet werden, dass bei der Nutzung der Smart Locks eine Datenübermittlung an den Anbieter der eingesetzten Smart Locks nicht ausgeschlossen werden kann. Dies erfordert weitere Maßnahmen, die von den einzelnen Anbietern und dem Umfang/der Art der Datenübermittlung abhängt. Werden personenbezogene Mitarbeiterdaten an den Anbieter übermittelt, so könnte zum Beispiel das Abschließen eines Vertrags zur Auftragsdatenverarbeitung notwendig sein. Dies wäre allerdings im Einzelfall zu prüfen, da dies unter anderem vom Sitz des Anbieters abhängig ist.

Datenschutzrechtliche Risiken –  Verhaltens- und Leistungskontrolle durch den Einsatz von Smart Locks

Es wird – je nach Anbieter – ein Protokoll (Wer, wann, welche Tür geöffnet hat) geführt, auf das der Administrator zugreifen kann. Auch dies erfordert klare Regelungen und die Durchführung von Maßnahmen, wie zum Beispiel einer Vorabkontrolle durch den Datenschutzbeauftragten, da ansonsten eine Verhaltens- und Leistungskontrolle der Mitarbeiter möglich wäre. Ggf. sollte der Betriebsrat vor Inbetriebnahme der Smart Locks eingebunden werden.

Datenschutzrechtliche Risiken –  Zugang/Zugriff durch Unbefugte

Mit dem Smart Lock entsteht außerdem ein Risiko auf anderer Ebene. Kein Programm ist je vor Hackerangriffen gefeit, so wenig wie ein Schloss vor allen Einbrüchen bzw. Einbrechern. Jedoch braucht es für den unberechtigten Zugang zu einer herkömmlich verschlossenen Haustür entweder den Schlüssel oder rohe Gewalt. Der Schlüssel stellt ein spezifizierbares Objekt dar, das lediglich für ein Türschloss konzipiert ist. Ein Smart Lock jedoch gibt jedem Berechtigten Zugang, wobei lediglich der Zugang zu dem Benutzerkonto oder der Handy-App notwendig ist, um die Tür öffnen zu können. Zudem sollte beachtet werden, dass – je nach Anbieter – das Abstellen der Alarmanlage mittels Smart Lock-App möglich ist. Der Verlust/Klau eines Smartphones oder ein Hackerangriff könnte sowohl für Privatpersonen als auch für verantwortliche Stellen schlimme Folgen haben. Sicherheitsmaßnahmen müssen daher auf allen Ebenen bedacht werden.

Sonstige Vor- und Nachteile 

Das Smart Lock stellt keine Alternative zum Schlüssel dar. Es wird in den meisten Fällen weiterhin ein Medium, wie zum Beispiel ein Smartphone oder ein Handsender benötigt, welches das Türschloss öffnet und schließt. Geht das Handy verloren, hat der Finder Zugangsmöglichkeiten zu den Räumlichkeiten. Smart Locks bieten aber bessere und kostengünstigere Möglichkeiten, gegen den Verlust vorzugehen, da lediglich ein Internetanschluss notwendig ist, um die Nutzung zu sperren.

Ein weiter Risikofaktor ist die Batterie, welche die Automatik der Smart Locks bei einigen Anbietern betreibt. Ist die Batterie leer hat man auch keine Zugangsmöglichkeit mehr. Daher ist es sinnvoll, ein Türschloss zu haben, mit dem das Öffnen der Tür auch dann möglich ist, wenn auf der anderen Seite ein Schlüssel steckt. Nutzer müssen insofern regelmäßig den Stand des Akkus kontrollieren oder sich auf die systemseitigen Warnsignale der Anbieter verlassen.

Fazit

Smart Locks bieten einen gewissen Komfort. Mit dem Handy oder – je nach Anbieter – mit einem Handsender können Türschlösser geöffnet und geschlossen werden, auch ohne entsprechenden Schlüssel. Dennoch sollten die damit verbundenen Risiken auch unter datenschutzrechtlichen Gesichtspunkten nicht unterschätzt werden. Ein solches Schloss ist nicht vor Hackerangriffen gefeit. Ebenso besteht die Möglichkeit vor verschlossener Tür zu stehen, weil beispielsweise vergessen wurde, die Batterie zu wechseln. Auch sollten Maßnahmen ergriffen werden, um die Mitarbeiter vor einer Verhaltens- und Leistungskontrolle zu schützen.

Haben Sie weitere Fragen zu „ Datenschutz Smart Locks “, dann nehmen Sie gerne Kontakt zu uns auf. Sollten Sie über die Anschaffung eines Smart Locks nachdenken, ist es nicht verkehrt, einen kompetenten Partner zu haben, der sich mit den zu beachtenden Punkten im Datenschutz und damit verbundener Technik auskennt. Brands-Consulting steht Ihnen als Ansprechperson gerne zur Seite. Nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein unverbindliches Datenschutz-Angebot ein

Brands Consulting – steht für kompetente Dienstleistungen rund um Datenschutz & Beratung

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Online-Skimming und EC-Karten-Skimming – Welche Gefahren für den Datenschutz Skimming verursacht

Datenschutz SkimmingFür die Meisten dürfte EC-Karten-Skimming, das Ausspähen bzw. Abschöpfen von Zahlungsdaten, nicht neu sein, allerdings hört man vermehrt, dass bei der Bestellung in Online-Shops Zahlungsdaten ausgespäht werden. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde am 09.01.2017 von mehr als 1000 deutschen Online-Shops berichtet, die derzeit von Online-Skimming betroffen seien.

Ihr externer Datenschutzbeauftragter erklärt, welche Gefahren für den Datenschutz Skimming verursachen kann und worauf Betroffene als auch verantwortliche Stellen, wie zum Beispiel Banken und Online-Shops, achten sollten.

Vorgehensweise bei EC-Karten- und Online-Skimming

Bei Skimming, zu deutsch Abschöpfen, werden Zahlungsinformationen ausgespäht. Bei EC-Karten-Skimming setzten die Täter überwiegend auf manipulierte Geldautomaten, dabei werden an den Bankautomaten vollständige Frontplatten angebracht oder die Täter installieren vor den Kartenlesegeräten manipulierte Einschubschächte. Mit den manipulierten Lesegeräten werden die Kartendaten ausgelesen und auf gefälschte Karten kopiert. Zeitgleich wird der PIN des Betroffenen / der Betroffenen mittels Kamera oder Tastatur-Attrappe aufgezeichnet. Neben veränderten Bankautomaten wurden allerdings auch manipulierte Türöffner identifiziert. Auch hier setzen die Täter auf Einschubschächte, die das Auslesen der Kartendaten ermöglichen. Dürften die meisten Bankkunden von dieser Masche bereits gehört haben und sensibler im Umgang mit ihren EC- und Kreditkarten verfahren, so könnte die Information, dass Täter ähnliche Vorgehensweisen bei der Bestellung in Online-Shops anwenden, allerdings neu sein.

Wie das Bundesamt für Sicherheit in der Informationstechnik berichtet, nutzen die Täter Sicherheitslücken in veralteten Programmen der Shops, dabei seien Online-Shops, die auf der Software Magento beruhen, betroffen. Die Cyber-Kriminellen schleusen eine Programm-Code ein, womit die Zahlungsdaten an die Täter übermittelt werden.

„ Datenschutz Skimming “ – Wie sich Betroffene vor Skimming schützen können  

Betroffenen ist anzuraten sowohl beim Einsatz von EC-Karten bzw. Kreditkarten als auch bei Bestellungen in Online-Shops etwas vorsichtiger zu sein, da neben Skimming auch Phishing zum Datenklau führen kann. Wenn Sie mehr zu den Gefahren durch Phishing erfahren möchten, dann lesen Sie dich unseren Beitrag „Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft“.

Neben dem sensiblen Umgang sind ansonsten die Möglichkeiten der Betroffenen zum Schutz vor Skimming sehr eingeschränkt, da diese in dem meisten Fällen zunächst von dem Klau / Abfluss ihrer Daten nichts bemerken.

„ Datenschutz Skimming “ – Was verantwortliche Stellen beachten sollten

Sind die Möglichkeiten der Betroffenen zum Schutz ihrer personenbezogenen Daten vor Cyber-Kriminellen überschaubar, so gilt dies allerdings nicht für verantwortliche Stellen, insbesondere nicht für die Anbieter von Online-Shops.

Gemäß § 13 Abs. 7 des Telemediengesetztes (TMG) sind Betreiber von Online-Shops verpflichtet, ihre Systeme durch technische und organisatorische Vorkehrungen gegen unerlaubte Zugriffe und Störungen zu schützen. Zu diesen technischen Vorkehrungen gehört unter anderem das zeitnahe Einspielen von Sicherheitsupdates. Laut § 16 Abs. 2 Nr. 3 TMG handelt es sich um eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 50000 Euro bestraft werden kann, wenn der Betreiber vorsätzlich oder fahrlässig über eine in § 13 Abs. 7 Nr. 1 und 2 Buchstabe a genannte Pflicht zur Sicherstellung verstößt.

Des Weiteren sollten sowohl Banken als auch Betreiber von Online-Shops beachten, dass die gemäß § 42a BDSG dazu verpflichtet sind, Betroffene und die Aufsichtsbehörde über den Datenverlust durch Skimming, Phishing oder andere Formen von Datenklau/Datenverlust (gilt auch bei Verlust eines USB-Sticks mit personenbezogenen Daten) zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten.

Das schlimmste Szenario (Worst-Case) dürfte sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten, wie bei Skimming üblich, gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann.

Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Möchten Sie mehr zum Thema Datenpanne erfahren, dann lesen Sie unseren Beitrag „Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG“ und erfahren Sie, wie Sie sich gegen Datenpannen schützen können.

Falls Sie mehr zum Thema „ Datenschutz Skimming “ erfahren möchten oder sich nicht sicher sind, ob die getroffenen organisatorischen und technischen Vorkehrungen den datenschutzrechtlichen Bestimmungen genügen, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Ob die Amazon Cloud via Prime wirklich kostenlos ist und wieso auch Prime-Kunden das Thema „Cloud Datenschutz“ bei Amazon-Drive berücksichtigen sollten

Cloud DatenschutzAnbieter von Clouds, insbesondere Storage Clouds, erfreuen sich immer größerer Beliebtheit, wobei dies eher nicht für den Cloud Datenschutz gilt, da diese Thematik sowohl von den Anbietern als auch von den Nutzern eher stiefmütterlich behandelt wird. Durch die zunehmende Digitalisierung greifen wir immer seltener auf Papier und Stift zurück, wir erfassen unsere Unterlagen lieber direkt in digitaler Form. Es ist uns möglich überall Videos und Fotos zu erstellen, digital zu speichern und Musik herunterzuladen. Diese Vielzahl an Fotos, Videos und anderen Dateien führt allerdings zu einem für uns ziemlich nervtötenden Problem, dass meistens mit dem Hinweis: „Ihr Speicher ist voll!“ beginnt.  Viele Verbraucher greifen aus diesem Grund auf Cloud-Lösungen zurück, da diese in den meisten Fällen – abhängig vom Anbieter und dem erforderlichen Speicherplatz – vermeintlich kostenlos sind bzw. erscheinen. Des Weiteren können die Verbraucher – je nach Anbieter – von unterschiedlichen Endgeräten und völlig ortsunabhängig auf die Daten in der Cloud zugreifen. Ein weiterer Vorteil ist, dass die Handhabung ziemlich einfach ist und der Zugriff auf Dateien, Bilder etc. sogar anderen Personen erlaubt werden kann. Kurzer Exkurs: Beim Cloud-Einsatz oder der Nutzung sonstiger IT-Systeme in Unternehmen, Behörden oder sonstigen verantwortlichen Stellen werden in derartigen Fällen geeignete Zugriffsrechte respektive Benutzerrollen / Rollenverzeichnisse abgestimmt und definiert.

Neben den zahlreichen Vorteilen führt Cloud Storage jedoch zu zahlreichen Datenschutz-Risiken. Ihr externer Datenschutzbeauftragter informiert Sie im Folgenden über die Risiken für Privatpersonen und „verantwortliche Stellen“ und erklärt, worauf sie – ganz besonders – achten sollten.

„ Cloud Datenschutz “ – die Risiken für Privatpersonen

Für Privatpersonen sind die Risiken meist überschaubar, da sie ihre eigenen privaten Daten in eine Cloud auslagern, allerdings sollten sich auch Privatpersonen bewusst machen, dass sie dem Cloud-Anbieter zumindest theoretischen Zugriff auf ihre privaten Informationen, Videos und Bilder gewähren, EGAL WIE PRIVAT DIESE SIND. Für Prime-Anbieter mag das Angebot von Amazon zwar ansprechend sein, da die Nutzung der Amazon Cloud als Zusatz für Fotos unbegrenzt und für weitere Dateien bis zu 5 GB kostenlos ist, allerdings sollten die Nutzer nicht vergessen, dass sie für den Speicherplatz möglichweise mit ihren Daten und noch viel schlimmer mit ihrer Privatsphäre bezahlen. Zudem sollte beachtet werden, das große Unternehmen ihre Strategie schnell ändern können, vor allem, wenn sie sehen, dass ein gewisses „Abhängigkeitsverhältnis“ der Nutzer entstanden ist. Das beste –erst jüngst aufgetretene – Beispiel ist die Änderung der Nutzungsvereinbarung von WhatsApp, die eine Übermittlung personenbezogener Daten an Facebook erlauben soll. Bei der Übernahme vor etwa zwei Jahren wurde dies noch vollkommen ausgeschlossen. Möchten Sie mehr zu diesem Thema erfahren, dann lesen Sie unseren Beitrag „Datenweitergabe an „Datenkrake“ Facebook – Wie WhatsApp Datenschutz-Risiken erhöht“. Auch bei Amazon kann deshalb nicht ausgeschlossen werden, dass eine zukünftige Änderung der Strategie weitere Risiken für die Nutzer hervorruft. Nutzer sollten sich daher immer die Frage stellen: „Wie wichtig sind mir die Daten und wie schlimm wäre es, wenn ein Dritter diese (privaten) Daten sehen würde?“

„Cloud Datenschutz“ – die Risiken für „verantwortliche Stellen“

Auch für „verantwortliche Stellen“ spielt das Thema „ Cloud Datenschutz “ im Zusammenhang mit Amazon Prime eine große Rolle. Zwar bietet Amazon derzeit kein Prime für Unternehmen, Behörden oder sonstige „verantwortliche Stellen“, allerdings ist nicht auszuschließen, dass ihre Mitarbeiter Prime-Kunden sind und kostenlos von der Cloud-Lösung Gebrauch machen könnten. Auch Vereine sind zu den sogenannten „verantwortlichen Stellen“ zu zählen und müssen sich daher an das Bundesdatenschutzgesetz halten.  Doch gerade in Vereinen oder Stiftungen dürfte das Risiko einer Nutzung von „kostenlosen Diensten“ als besonders hoch einzustufen sein, da möglichst keine Kosten verursacht werden sollen. Dies gilt zwar auch für Unternehmen oder Behörden, die Freigabeprozesse sind hier allerdings regelmäßig zumindest etwas besser.

Die Nutzung von Cloud-Lösungen ohne die Kenntnis der Geschäftsleitung, der IT-Abteilung und des Datenschutzbeauftragten bzw. sonstiger Beratungs- und Entscheidungsträger fällt unter den Oberbegriff „Schatten-IT“ und kann zu erheblichen Gefahren für „verantwortliche Stellen“ führen. Möchten Sie mehr zum Thema „Schatten-IT“ erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Die Nutzung von Cloud-Diensten, wie „Amazon Drive“, führt allerdings nicht nur zu Datenschutz-Gefahren und Datenschutz–Risiken, wenn die Mitarbeiter diese heimlich nutzen. Diese Datenschutzbedenken können auch bestehen, wenn die „verantwortliche Stelle“ über die Nutzung informiert wurde. Der Grund für das hohe Risiko für eine Organisation liegt in der Datenübermittelung. Werden personenbezogene Daten in eine Cloud ausgelagert, so reicht für die Datenübermittlung bereits aus, dass der Cloud-Anbieter theoretisch auf die Daten zugreifen kann. Eine Datenerhebung, -verarbeitung und -nutzung darf, laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG), allerdings nur erfolgen, wenn eine gesetzliche Grundlage oder informierte Einwilligungen der Betroffenen dies erlauben.

Werden personenbezogene Daten an einen Cloud-Anbieter innerhalb der EU/des EWR übermittelt, erfolgt dies meistens im Rahmen einer Auftragsdatenverarbeitung, da die Cloud-Anbieter die Daten ausschließlich nach Weisung der „verantwortlichen Stelle“ (Cloud-Nutzer) verarbeiten dürfen. Eine Auftragsdatenverarbeitung gemäß § 11 BDSG wird als „Nicht-Übermittlung“ eingestuft, wodurch das Einholen von informierten Einwilligungen nicht erforderlich ist.

Anders ist es allerdings bei Cloud-Anbietern außerhalb der EU/des EWR, so z. B. bei Amazon, da die Datenübermittlung auch als solche eingestuft wird. Eine Übermittlung an einen Cloud-Anbieter erfordert eine Rechtsgrundlage oder die informierte Einwilligung. Zudem müssen sich „verantwortliche Stellen“ darauf einstellen, dass sie ein „angemessenes Datenschutzniveau“, mittels EU-Standardvertragsklauseln, Binding Corporate Rules oder anderer vertraglicher Grundlagen und Datenschutz-Maßnahmen, herstellen müssen.  Der Grund ist, dass in den sogenannten Drittländern (außerhalb EU/des EWR) i. d. R. kein „angemessenes Datenschutzniveau“ herrscht. Dies führt für „verantwortliche Stellen“ zu einem erheblichen (Mehr-)Aufwand und zu zahlreichen Risiken, zu deren Reduzierung ein fachkundiger und zuverlässiger externer Datenschutzbeauftragter beitragen kann.

Maßnahmen, die „verantwortliche Stellen“ ergreifen sollten, um Risiken und Gefahren rund um „Cloud Datenschutz“ zu minimieren, sind u. a.:

  • Cloud-Anbieter innerhalb der EU/des EWR wählen,
  • Verträge zur Auftragsdatenverarbeitung mit den Cloud-Anbietern abschließen,
  • Cloud-Anbieter ausreichend prüfen bzw. durch einen Datenschutzbeauftragten prüfen lassen,
  • Mitarbeiter schulen und sensibilisieren, da der Faktor „Mensch“ im Zusammenhang „Cloud Datenschutz“ die größte Rolle spielt,
  • Klare Regelungen innerhalb der „verantwortlichen Stelle“ mittels Betriebsvereinbarung, Dienstvereinbarungen oder Richtlinien treffen.

Haben Sie weitere Fragen zu der Thematik „Cloud Datenschutz“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Firewall – eine Schutzmauer für den Datenschutz

Firewall für den DatenschutzJede Verbindung des Rechners (oder sonstiger IT-Geräte) mit dem Internet führt unweigerlich, zumindest zu einer theoretischen, Gefährdung durch die Außenwelt. Die Firewall („Brandschutzmauer“) hat die Aufgabe, unerlaubte Zugriffe auf den eigenen Rechner bzw. das lokale Netzwerk zu verhindern.

Grundsätzlich wird zwischen einer „Personal Firewall“, die auf dem eigenen System installiert ist, und einer externen Firewall unterschieden. Bei den meisten Personal Firewalls, auch bekannt unter Desktop Firewall, entsteht mit der Zeit ein eigenes Regelwerk, sodass sich der Nutzer nicht um Konfigurationen kümmern muss.

Unternehmen greifen allerdings meistens auf externe Firewall-Lösungen zurück, da diese auf separaten Geräten installiert sind und manuell nach eigenen Bedürfnissen konfiguriert werden können.

Wie funktioniert eine Firewall?

Um die Funktionsweise einer Firewall zu beschreiben, nehmen wir als Beispiel ein Bürogebäude mit verschiedenen Eingängen. Zunächst gibt es einen Personaleingang, an dem nur Beschäftigte kontrolliert werden. Angestellte, Reinigungskräfte, Hausmeister, Werkstudenten werden über den Personaleingang durchgelassen. Es muss allerdings auch sichergestellt werden, dass nicht berechtigte Personen keinen Einlass erhalten. Zu diesem Zweck erhält der Pförtner eine Liste mit Regeln, wem er die Schranke öffnen darf. In diesem Zusammenhang erhalten z. B. alle Mitarbeiter automatisch einen Berechtigungsausweis, durch den die Kontrolle erleichtert wird. Dienstleister und externe Personen erhalten hier keinen Zutritt. Daneben existiert der Haupteingang, an dem Besucher empfangen und ebenfalls kontrolliert werden. Eine Anmeldung hat bei der Empfangskraft zu erfolgen, damit diese entscheiden kann, wer ins Bürogebäude darf.

Nach dem gleichen Prinzip funktioniert eine Firewall, die mit Hilfe eines sogenannten Firewall-Regelwerks u. a. die Absender- oder Zieladressen von Datenpaketen kontrolliert und prüft, ob diese durchgelassen oder abgewehrt werden. Feste Regeln, entscheiden darüber, ob ein Datenpaket die Schranke passieren (pass) darf, abgelehnt (deny, reject) oder verworfen (drop) wird. Um sich vor Gefahren von außen zu schützen, sollten diese Regeln regelmäßig geprüft und aktualisiert werden.

Die Firewall kann jedoch mehr als nur Zugriffe von außen regeln. Sie ist des Weiteren in der Lage Zugriffe auf das Internet von innen heraus zu steuern. Verbietet der Arbeitgeber seinen Mitarbeitern über den Firmen-Internetzugang den Zugriff auf Webseiten, wie z. B. auf Facebook, kann er die entsprechenden Internetseiten über die Firewall sperren bzw. ggf. durch Black- und Whitelists steuern. Hierdurch ist es möglich, den Zugriff auf bestimmte Seiten zu beschränken und eine Liste erlaubter Programme zu erstellen.

Funktionen einer Firewall

  • Die Zugangskontrolle auf Netzebene (Verhinderung von Zugriffen aus dem Internet),
  • Zugangskontrolle auf Benutzerebene (Identifizierung und Authentifizierung aller Benutzer),
  • Zugangskontrolle auf Dienste-Ebene (Sperrung und Freigabe von Internet-Diensten, wie beispielsweise http, ftp),
  • Kontrolle auf Anwendungsebene (Für bestimmte Dienste, z. B. ftp, werden nur unkritische Befehlsoptionen zugelassen),
  • Beweissicherung und Protokollauswertung (z. B. Protokollierung aller sicherheitsrelevanter Vorkommnisse). Protokolldaten des Firewall-Systems sollten idealerweise pseudonymisiert gespeichert werden, da es sich aus Sicht des Datenschutzes um Daten mit Personenbezug handeln kann.

Firewall als technische Maßnahmen für den Datenschutz

Jede verantwortliche Stelle, die personenbezogene Daten erhebt, verarbeitet und / oder nutzt, ist verpflichtet, technische und organisatorische Maßnahmen (TOM) zu treffen, um die Anforderungen aus der Anlage zu § 9 des Bundesdatenschutzgesetzes (BDSG) zu erfüllen. Der Einsatz einer Firewall sollte als technische Maßnahme fest integriert sein, da der Einsatz für den Schutz von Daten eine erhebliche Rolle spielen kann.

Eine Firewall ermöglicht, wie bereits erläutert, das Sperren von Webseiten (z. B. Facebook, Dropbox, …) , was einerseits den Arbeitgeber erfreut, da diese Seiten durch die Privatnutzung häufig viel Arbeitszeit kosten, und andererseits auch den Datenschutzbeauftragten erfreuen dürfte. Gründe hierfür liegen z. B. darin, dass der unkontrollierte Transfer von internen (sensiblen) Informationen (Betriebsgeheimnisse, personenbezogene Daten) an nicht berechtigte Dritte eingedämmt wird.

Eine Firewall ermöglicht nicht nur den Schutz sensibler Informationen einer „verantwortlichen Stelle“ durch das Sperren von Internetseiten, sie schottet auch das lokale Netzwerk vor „böswilligen“ Zugriffen aus der Außenwelt ab. Mit dieser Maßnahme kann das Risiko von Datenpannen reduziert werden.

Gelangen personenbezogene Daten an Unbefugte, so ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei einer Datenpanne dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern ist der Imageverlust eines Unternehmens erheblich.

Aus diesem Grund ist der Einsatz einer Firewall, aber auch weiterer Schutzmaßnahmen anzuraten. Kleinere Unternehmen oder Privathaushalte sollten zumindest zu einer aktuellen Anti-Viren-Software greifen. Bei nicht-öffentliche Stellen der Privatwirtschaft [Unternehmen (Einzelfirmen, Freiberufler wie Ärzte, Rechtsanwälte, Steuerberater), Firmen [Aktiengesellschaften (AG) GmbHs, KGs, OHGs, GbR, UGs, Partnergesellschaften usw.] und Konzerne, aber auch Parteien] und bei öffentlichen Stellen (Behörden, Körperschaften des öffentlichen Rechts, Gemeinden, …) sollten weitere der technischen und organisatorischen Maßnahmen ergriffen werden.

Sie haben eine Frage zu diesem Thema oder möchten mehr über die technischen und organisatorischen Maßnahmen erfahren? Sprechen Sie doch mit Ihrem Datenschutzbeauftragten. Sie haben noch keinen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

BYOD, CYOD und COPE – Der Weg über das Mobile-Device-Management zum Datenschutz

Mobile Device Management für den DatenschutzZahlreiche Unternehmen sehen sich heutzutage mit dem Problem der ausufernden Verwendung privater Endgeräte innerhalb des Unternehmens konfrontiert. Es handelt sich dabei allerdings nicht um ein Problem, dem sich ausschließlich große Firmen oder Konzerne stellen müssen. Auch in Behörden und Körperschaften (sogenannte „öffentliche Stellen“) wird immer mehr „externe Technik“ zum Einsatz gebracht. Am ersten Twitter-Posting des Bundesministerium des Inneren (BMI): „Wir sind etwas spät hier. Wir mussten noch unsere Zuständigkeit prüfen“ aus 05/2016 lässt sich erkennen, dass behördliche Organe vielfach „ein wenig mehr Zeit“ benötigen, damit der Fortschritt Einzug erhält. Aber auch diese öffentlichen Stellen sehen sich vor und nach der Entscheidung über Neuerung mit ähnlichen Barrieren konfrontiert, wie die Privatwirtschaft.

Gerade bei Führungskräften oder beim Social Media Marketing (SMM) z. B. mittels:

  • Facebook
  • Flickr
  • Google Plus
  • LinkedIn
  • Pinterest
  • Tumblr
  • Twitter
  • Vimeo
  • YouTube
  • Xing

wird eine ständige Erreichbarkeit immer wichtiger. Dies wird nicht zuletzt durch aufkommende Hassrede über Einzelpersonen, aber auch behördliche Organisationen und Wirtschaftsunternehmen erkennbar. Mit Hashtags wie #NoHateSpeech oder #HateSpeech wird in ganzen Kampagnen zwar gegen die Hassrede gekämpft, dennoch ist auch hier eine schnelle Erreichbarkeit wichtig, um ggf. auftretende Gefahr frühzeitig von den Betroffenen abwenden zu können.

Mitarbeiter möchten meist ungerne mehrere Smartphones mit sich führen. Ein dienstliches Smartphone spart mit einer Alltnet-Flat nicht nur direkt private Kosten des Mitarbeiters, sondern dient regelmäßig auch noch der Mitarbeitermotivation. Denn das „brandneue Teil“ hätten sich viele vielleicht selbst nicht gekauft und lieber ihre „alte Möhre“ weiter genutzt.

Es ist somit mehr als nachvollziehbar Überlegungen anzustellen, wie IT-Geräte gesetzeskonform sowohl für die dienstliche als auch für die private Nutzung ausgegeben und genutzt werden können.

Durch diese zunehmende Verschmelzung der Grenzen zwischen beruflicher und privater IT-Nutzung ist zu klären, welche und ob sich Möglichkeiten bieten, um die Sicherheit für unternehmensinterne Daten (Betriebsgeheimnisse / personenbezogene Daten) zu gewährleisten. Gleichzeitig sollen auch die Interessen der Mitarbeiter gewahrt werden (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz, Personaldatenschutz).

Im Weiteren soll dargestellt werden, was überhaupt hinter Abkürzungen wie BYOD, CYOD und COPE zu verstehen ist.

BYOD – Bring Your Own Device

 

monitor-66618_640Bei dem Konzept Bring Your Own Device, kurz BYOD, erlaubt der Arbeitgeber seinen Mitarbeitern das berufliche Arbeiten mit privaten Endgeräten. Der Einsatz ist, anderes als bei der Schatten-IT, mit der Geschäftsführung oder sonstigen Entscheidungsträgern (z. B. IT-Leitung oder IT-Abteilung) abgesprochen, wodurch die Datenschutz-Risiken im Vergleich zur Schatten-IT geringer sein können. Dennoch lauern bei BYOD Gefahren, die von den „verantwortlichen Stellen“ nicht ignoriert werden sollten.

Dürfen Arbeitnehmer ihre eigenen mobilen Endgeräte verwenden, auch bekannt unter „Consumerization“, zu deutsch „Konsumerisierung“, dann ist eine Trennung zwischen privaten und dienstlichen Daten kaum möglich. Durch die fehlende Unterscheidung haben „verantwortlichen Stellen“ zum einen das Problem, dass sie die technischen und organisatorischen Maßnahmen, gemäß § 9 Satz 1 Bundesdatenschutzgesetz (BDSG), gar nicht bzw. mit einem erheblichen Aufwand erfüllen können. Zudem darf der Arbeitgeber i. d. R. nicht auf die Endgeräte zugreifen, wodurch weder der Umgang mit personenbezogenen Daten noch die Einhaltung anderer rechtlicher oder unternehmensinterner Vorschriften geprüft werden darf.

BYOD kann nicht zu Verletzungen des Datenschutzrechts führen, sondern auch das Risiko vor Urheberrechtsverletzungen erhöhen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen bzw. arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen. Diese und weitere Risiken erfordern deshalb klare Regelungen, um BYOD möglichst rechtkonform zu gestalten.

Ein weiteres Problem ist, dass die privaten Endgeräte nicht ausreichend geschützt sein könnten und das Risiko vor Datenpannen, durch Verlust eines unverschlüsselten Gerätes oder eines Hackerangriffs, steigt. Aus diesem Grund ist der Einsatz einer Mobile-Device-Management-Software dringendst anzuraten.

Vorteile Nachteile
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Höhere Mitarbeiterzufriedenheit
  • Kostenersparnis für den Arbeitgeber
  • Der Arbeitgeber darf nicht auf die Geräte zugreifen
  • Datenschutzrechtliche und andere rechtliche Risiken
  • Höheres Risiko vor Datenverlust
  • Hoher Aufwand und hohe Kosten für Mobile-Device-Management-System (MDM), Richtlinien, Regelungen etc.
  • Viele Geräte von unterschiedlichen Herstellern

CYOD – Choose Your Own Device

selection-443127_640Bei Choose Your Own Device, kurz CYOD, stellt der Arbeitgeber eine Auswahl an Geräten, zwischen denen der Arbeitnehmer wählen darf, zur Verfügung. Anders als bei Bring Your Own Device gehören die Geräte somit dem Arbeitgeber, wodurch dieser, wenn er eine Privatnutzung verbietet, auf die Endgeräte zugreifen darf. Eine dauerhafte Überwachung der mobilen Endgeräte, zum Beispiel mittels Spyware, ist allerdings trotz Verbot untersagt. Eine erlaubte Privatnutzung führt zur Vermischung von privaten und dienstlichen Daten, die einige Risiken, wie bereits im Rahmen von BYOD erläutert, mit sich bringt. Macht eine „verantwortliche Stelle“ von diesem Konzept Gebrauch oder strebt CYOD an, so ist das Aufstellen von klaren Regelungen und das Einführen eines MDM-Systems zu empfehlen.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung

COPE – Corporate-Owned, Personally Enabled

questions-1014060_640Bei dem dritten Konzept Corporate-Owned, Personally Enabled, kurz COPE, stellt ebenfalls die „verantwortliche Stelle“ eine Auswahl an Endgeräten zur Verfügung. Eine Privatnutzung der vorkonfigurierten Geräte ist grundsätzlich gestattet, wobei der Mitarbeiter die Einrichtung und die Wartung des Gerätes zum Teil eigenverantwortlich durchführt.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Höhere Mitarbeiterzufriedenheit, da Privatnutzung erlaubt
  • Kostenersparnis der „verantwortlichen Stelle“ durch eigenverantwortliche Wartung durch den Mitarbeiter
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung
  • Erhöhtes Risiko vor Datenverlust bzw. –pannen, da kein Support und keine Wartung durch die IT-Abteilung erfolgt

Fazit

Eine heimliche Nutzung privater Geräte kann erhebliche Sicherheitsrisiken mit sich bringen und die Sicherheit des Unternehmensnetzwerks gefährden. Möchten Sie mehr über die Auswirkungen einer ungeregelten Nutzung privater Endgeräte erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Ist die Nutzung der Endgeräte gestattet, allerdings nicht ausreichend geregelt, führt dies ebenfalls zu Problemen und Risiken. Der Integrationsaufwand für eine Vielzahl von Gerätetypen, wie bei BYOD üblich, kann schnell unüberschaubar werden – vom laufenden Support und Updates ganz zu schweigen. Hier sind COPE oder auch CYOD im Zweifel die bessere Wahl, da sich von vornherein ein Durcheinander in der Endgeräte- und Betriebssystemlandschaft ausschließen oder zumindest einschränken lässt. Ein Problem, das alle drei Konzepte teilen, ist die zunehmend verschwimmende Grenze zwischen privater und geschäftlicher Verwendung der Endgeräte. Aus diesem Grund sollte das Unternehmen den Umfang der privaten Nutzung vorab genau festlegen, um späteren Problemen aus dem Weg zu gehen.

Bei der Konfiguration der Geräte sollten „verantwortliche Stellen“ die Installation einer MDM-Software in Betracht ziehen. Mit dem MDM-Programm sind zwar zusätzliche Kosten verbunden, allerdings können zahlreiche Risiken, die zu einem späteren Zeitpunkt zu wesentlich höheren Kosten führen können, minimiert werden. Die Software ermöglicht zum Beispiel den Einsatz von White- und Backlists, wodurch die Mitarbeiter keine Software, die verboten ist (Blacklist) oder die nicht explizit erlaubt ist (Whitelist), installieren können, oder die Fernlöschung bei Verlust des Gerätes. Bei einer erlaubten Privatnutzung sollte die IT-Abteilung bei der Konfiguration zudem auf eine Container-Lösung zurückgreifen, damit die Vermischung von privaten und dienstlichen Daten vermieden wird.

Sind auch Sie auf der Suche nach einem neuen Konzept für Ihr Unternehmen, um die Verwendung von mobilen Endgeräten zu verbessern oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten. Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Apples Optimized Storage und der Datenschutz – Einsatz in Behörden, Unternehmen und sonstigen verantwortlichen Stellen

Optimized Storage, zu deutsch optimierte Speicherung, ist eine von Apple in macOS Sierra angekündigte Funktion, die das Löschen und Auslagern von nicht bzw. selten benötigten Daten automatisieren soll. Mit Hilfe von Optimized Storage sollen die Nutzer bei der Organisation des Speicherplatzes auf der Festplatte unterstützt werden. Nicht mehr benötigte Daten sollen automatisiert in den Papierkorb wandern und nach 30 Tagen, sofern vom Nutzer gewünscht, gelöscht werden. Selten genutzte Daten sollen hingegen gar nicht gelöscht, allerdings automatisch in die iCloud ausgelagert werden. Zunächst erscheint die Funktion als sehr nützlich, da der begrenzte Speicherplatz auf der Festplatte regelmäßig zum Problem wird. Das automatisierte Löschen und Auslagern von Daten kann allerdings zu datenschutzrechtlichen Risiken führen.

Wieso Optimized-Storage Datenschutz-Probleme hervorruft?

Auslagerung personenbezogener Daten in die Cloud (Optimized Storage Datenschutz)Bei der beruflich veranlassten Erhebung, Verarbeitung und Nutzung personenbezogener Daten sollte stets das Datenschutzrecht befolgt werden. Laut § 3 Abs. 4 BDSG fällt das Speichern, Auslagern (Übermitteln) sowie das Löschen personenbezogener Daten unter die Verarbeitung. Die Verarbeitung darf wiederrum nur erfolgen, wenn eine gesetzliche Grundlage dies erlaubt oder der Betroffene eine informierte Einwilligung abgibt. Das beschriebene Erfordernis einer Rechtsgrundlage oder einer informierten (freiwilligen) Einwilligung kann, insbesondere in Hinblick auf die Auslagerung in die iCloud, zu rechtlichen Schwierigkeiten führen.

Möchte eine „verantwortliche Stelle“ personenbezogene Daten in die iCloud auslagern, so erfordert die Übermittlung eine gesetzliche Grundlage oder die informierte Einwilligung des Betroffenen. Das Speichern in einer Cloud wird regelmäßig als Auftragsdatenverarbeitung (ADV), gemäß § 11 BDSG, eingestuft, die eine Ausnahme darstellt. Der Gesetzgeber betrachtet den Auftraggeber („verantwortliche Stelle“) und den Auftragnehmer (Cloud-Anbieter) als eine Einheit. Die Weitergabe der Daten wird deshalb als „Nicht-Übermittlung“ eingestuft wird. Handelt es sich um eine Auftragsdatenverarbeitung, sollten Auftraggeber und –nehmer einen ADV-Vertrag abschließen. Dieser sollte unter anderem die Weisungsbefugnis des Auftraggebers regeln. Das Einholen einer informierten Einwilligung der Betroffenen ist in diesen Fällen nicht notwendig. Die Fiktion der „Nicht-Übermittlung“ gilt allerdings nur für Auftragsdatenverarbeitungen innerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR).

Hat der Auftragnehmer (Cloud-Anbieter) seinen Sitz in einem Drittland (außerhalb der EU / EWR) greift diese Sonderregelung nicht. Das Auslagern in die iCloud, Sitz in den USA, wird als eine Übermittlung, die eine Rechtsgrundlage oder eine informierte Einwilligung erfordert, angesehen. Des Weiteren sollten „verantwortliche Stellen“, wie Unternehmen und Behörden, ein angemessenes Datenschutzniveau herstellen. Der Gesetzgeber geht bis auf wenige Ausnahmen, wie Kanada, davon aus, dass in Drittländern kein angemessenes Datenschutzniveau herrscht. Neben dem erheblichen Aufwand, den ein „verantwortliche Stelle“ mit der Beschaffung der informierten Einwilligungen hätte, müsste sie sich mit Verträgen, wie EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR), beschäftigen. Mit Hilfe dieser Verträge kann die „verantwortliche Stelle“ ein angemessenes Datenschutzniveau herstellen.

Das automatisierte Löschen sollte ebenfalls als sehr kritisch angesehen werden, da die Löschung, ohne angepasstes Backup-Konzept, zu weiteren rechtlichen Problemen führen könnte. Das automatisierte Löschen von Daten, denen gesetzlichen Aufbewahrungsfristen  entgegenstehen, wäre als klares Beispiel für ein zu lösendes Problem zu sehen.

Wo dürften Probleme bei Optimized-Storage verstärkt zu erwarten sein?

Handlungsbedarf dürfte natürlich insbesondere dort auftreten, wo verstärkt Apple-Hardware eingesetzt wird bzw. in der Zukunft Hardware anderer Hersteller, die ähnliche Funktionen ermöglicht. Eine überaus typische Branchenbeispiel sind Agenturen, da Apple-Geräte einfach „schick“ aussehen,  „trendy“ sind und zudem für Grafiker sehr gute Möglichkeiten bieten.

Daneben ist in den letzten Jahren ein klarer Trend zu Gerätewildwuchs rund um den Einsatz von Bring Your Own Device (BYOD) oder Abwandlungen wie Choose Your Own Device (CYOD) zu verzeichnen. Die Entwicklung rund um BYOD / CYOD aber auch Corporate Owned Personally (COPE) ist sowohl in Unternehmen als auch Behörden und natürlich ganz besonders in Vereinen oder bei ehrenamtlich Tätigen zu beobachten. Hier heißt es anzuknüpfen, klare und gesetzlich zulässige Strukturen zu schaffen. Dies geht zumeist nur mit professioneller Unterstützung, z. B. durch einen Datenschutzberater oder Datenschutzbeauftragten.

Fazit

Unternehmen, Vereinen sowie anderen „verantwortlichen Stellen“ ist aus Datenschutzsicht von der Nutzung der Funktion abzuraten. Die Verwendung von Optimized Storage bezweckt einen erheblichen Mehraufwand, der sich mit dem Nutzen zumeist nicht decken lässt. Die Nutzung dieser Funktion, insbesondere das Auslagern der personenbezogenen Daten in die iCloud, führt zu neuen Datenschutz-Risiken. Kann oder möchte eine „verantwortliche Stelle“ nicht auf Cloud-Storage-Lösungen verzichten, so wäre ein deutscher Cloud-Anbieter bzw. ein Anbieter mit dem Sitz innerhalb der EU/EWR anzuraten.

Des Weiteren sollten „verantwortliche Stellen“ die Löschung von Daten „selbst in die Hände nehmen“ und geeignete Löschkonzepte mit Ihrer IT-Abteilung sowie der Unterstützung eines externen (betrieblichen) Datenschutzbeauftragten erarbeiten.

Eine weitere wichtige Maßnahme wäre die Schulung der Mitarbeiter, da diese häufig, vor allem im Rahmen von BYOD / CYOD / COPE auf Cloud-Lösungen, wie iCloud oder Dropbox, zurückgreifen.

Möchten Sie mehr über Optimized Storage, Cloud-Storage, Cloud-Lösungen oder Bring Your Own Device erfahren? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter? Nehmen Sie bequem Kontakt zu uns auf – wir helfen Ihnen gerne weiter.

Möchten Sie sich im Datenschutz dauerhaft besser aufstellen und suchen noch einen geeigneten Datenschutzbeauftragten? Fordern Sie ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

 

Angriffe in Facebook, E-Mails & Co. – Wenn Phishing Datenschutz – Probleme hervorruft

Bildschirmfoto 2016-07-04 um 13.21.02Für die meisten Internet-Nutzer dürfte die Information, dass im World Wide Web (WWW) zahlreiche Gefahren lauern, nicht neu sein. Zu den Bedrohungen zählen unter anderem Schadprogramme, wie Viren, trojanische Pferde (Trojaner), Spyware etc., und Phishing-Angriffe.

Der Begriff „Phishing“ setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen, die bereits bestens beschreiben, welches Ziel mit Phishing-Angriffen verfolgt wird. Betrüger versuchen zumeist, mittels gefälschter E-Mails und Webseiten, an Zugangsdaten, Passwörter, Kreditkartennummern oder sonstige vermeintlich wertvolle Datensätze zu gelangen.  Die gefälschten E-Mails und Webseiten können auf den ersten Blick sehr professionell wirken, sodass häufig zahlreiche Personen auf die Phishing-Attacken reinfallen.

Brands Consulting, Ihr externer Datenschutzbeauftragter, informiert Sie über die Auswirkungen einer Phishing-Attacke auf den Datenschutz und wie Sie sich vor Phishing-Angriffen schützen können.

Auf welchem Weg erfolgen Phishing-Angriffe?Bildschirmfoto 2016-07-06 um 16.57.50

Die Täter versuchen in den meisten Fällen über gefälschte E-Mails und Webseiten an sensible Daten zu gelangen. Phishing-Attacken über andere Kommunikationskanäle, wie SMS oder Anrufe, können allerdings nicht ausgeschlossen werden. Meistens geben sich die Täter als Banken, Online-Shops oder andere Firmen aus, die aufgrund von abgelaufen Kreditkarten, zu aktualisierenden Kontoeinstellungen, nicht gezahlter Rechnungen etc. den Kontakt zu den Betroffenen suchen. In den gefälschten E-Mails befinden sich meistens Verlinkungen zu gefälschten Webseiten, die einem Anmeldeportal ähneln und die Betroffenen zur Eingabe der Zugangsdaten, Passwörter etc. verleihen sollen. Das Ausspähen von Zugangsdaten im Bereich der sozialen Medien, wie Facebook, Twitter etc. ist ebenfalls keine Seltenheit mehr.

Ähnlich aussehende Domainnamen sind weitere Methoden, die Betroffene auf gefälschte Seiten führen sollen. Möglichkeiten, die sich den Tätern bieten, sind zum Beispiel die Buchstaben „ä“, „ö“ und „ü“ oder die Verwendung von kyrillischen Buchstaben, die sich beispielsweise beim „a“ nicht unterscheiden. Wird die Beispiel-Adresse: http//:www.ihr-externer-datenschutzbeauftragte-baender.com/ gefälscht und heißt nun http//:www.ihr-externer-datenschutzbeauftragte-bänder.com/, wird dies den wenigstens Betroffenen auffallen.

Eine weitere Möglichkeit um Zugangsdaten auszuspähen, ist der Einsatz von Trojanern. Der Betroffene besucht eine infizierte Webseite oder erhält eine E-Mail bzw. eine SMS mit einem Link oder einem Anhang. Beim Öffnen installiert sich der Betroffene ein Schadprogramm auf sein Endgerät. Das trojanische Pferd läuft, ohne Wissen des Betroffenen im Hintergrund und kann sämtliche Zugangsdaten ausspionieren.

Welche Auswirkungen haben Phishing-Angriffe auf den Datenschutz?

Das Ausspähen von Daten bei Privatpersonen, insbesondere von Kreditkarten- und Kontodaten, kann für die betroffenen Personen zu einem hohen finanziellen Schaden führen, wobei eine Phishing-Attacke bei Unternehmen, Behörden, Vereinen etc., neben einem beträchtlichen finanziellen Schaden, zu einem hohen Imageverlust führen kann.

Bei einer Phishing-Attacke werden in der Regel, wie bereits erläutert, Benutzerkennungen, Kreditkartenummer oder sonstige, teilweise sensible, Datensätze ausgespäht. Bei diesen Daten bzw. Informationen handelt es sich um personenbezogene Daten, die vom Datenschutzrecht geschützt werden sollen. Besteht beispielsweise die Gefahr, dass personenbezogene Daten der Mitarbeiter, Kunden oder Lieferanten ausgespäht worden sind, ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern führen Datenpannen zu einem erheblichen Imageverlust. Oder möchten Sie etwa Ihre persönlichen Daten einem Unternehmen anvertrauen, das diese verliert?

Neben den personenbezogenen Daten sollte, jeder „verantwortlichen Stelle“ (wir erinnern uns: sogenannte „verantwortliche Stellen“ können z. B.: Behörden, Unternehmen, Vereine oder Stiftungen sein) der Schutz von weiteren sensiblen Daten, wie Betriebsgeheimnissen, am Herzen liegen.

Wie kann ich mich vor Phishing-Attacken schützen?

Die Internet-Kriminalität hat sich mit der Technik weiterentwickelt, wodurch Betroffenen die Unterscheidung zwischen gefälschten und originalen Webseiten, SMS sowie E-Mails erschwert wird. Nichtsdestotrotz lassen sich zahlreiche Maßnahmen ergreifen, um das Risiko, „Opfer“ einer Phishing-Attacke zu werden, drastisch zu minimieren.

Eine dieser Maßnahmen ist der Einsatz von Spam- und Phishing-Filtern, die gefälschte E-Mails und Webseiten erkennen und blockieren sollen. Privatpersonen und verantwortliche Stellen sollten sich allerdings nicht ausschließlich auf die Filter-Programme verlassen, da die Täter regelmäßig Änderungen vornehmen, wodurch die Filter-Programme umgangen werden können.

Der Faktor Mensch spielt bei Phishing-Attacken eine erheblich große Rolle. Um so wichtiger ist es, dass feste Mitarbeiter, aber insbesondere auch Praktikanten, Freiberufler, ehrenamtliche Hilfskräfte oder sonstige Aushilfen geschult bzw. sensibilisiert werden.

Anzeichen für gefälschte SMS, E-Mails und Webseiten können sein:

  • Nachrichten in fremder Sprache oder in schlechtem Deutsch (Grammatikfehler, fehlende Umlaute, kyrillische Buchstaben, fehlende Sonderzeichen),
  • Absender, die nicht zugeordnet werden können (z.B. die Rechnung eines Online-Shops, den man nicht kennt),
  • Unpersönliche Anrede (z.B. „Sehr geehrte Damen und Herren“, „Sehr geehrter Kunde“ oder besonders kreativ „Hallo“),
  • Die Aufforderung, eine Datei zu öffnen oder einem Link zu folgen,
  • Link-Adresse und anzuzeigender Text verweisen auf verschiedene Webseiten siehe Beispiel 3 (Um die tatsächliche Adresse zu sehen, kann mit dem Cursor über über den Link fahren. Nicht anklicken!),
  • Die Aufforderung, personenbezogene Daten, wie PIN, TAN, Passwörter etc. anzugeben,
  • Die Drohung mit Konsequenzen, wenn eine, meist sehr knapp bemessene, Frist nicht eingehalten wird (z.B. „Wir bitten Sie schnellstmöglich unserer Forderung nachzukommen, ansonsten sind wir gezwungen ein Inkassobüro zu beauftragen“, „Falls Sie der Zahlung bis XXX nicht nachkommen, werden wir Ihnen weitere Kosten des MahnverfahrenBildschirmfoto 2016-07-06 um 16.50.46s und der Verzugszinsen in Rechnung stellen“ oder die verlockende und weniger ermahnende Variante„Sie haben gewonnen! Nur Heute!“)
  • Die Absenderadressen sind gefälscht,
  • Das Kürzel https:// fehlt.

Beispiel 1

Phishing Datenschutz

Beispiel 2

Phishing Datenschutz

Beispiel 3

Phishing Datenschutz

Auf Phishing-Angriff reingefallen – Wie gehen Sie vor?

Sollten Sie auf einen Angriff reingefallen sein und einen Link geöffnet bzw. sensible Daten übermittelt haben, dann sollten Sie schnell reagieren. Zum einen sollten Sie, wenn Sie Mitarbeiter in einem Unternehmen, einer Behörde etc. sind, die IT-Abteilung unverzüglich informieren, damit diese den Rechner auf Schadprogramme untersuchen kann. Wurden Benutzerkennungen und Passwörter eingegeben, so sollten diese UNVERZÜGLICH —-> also SOFORT geändert werden.

Den „Opfern“ einer Phishing-Attacke ist zudem anzuraten, eine Strafanzeige bei der Polizei zu erstatten. „Verantwortliche Stelle“ sollten des Weiteren prüfen, ob die Täter Zugriff auf Informationen / Daten der „verantwortlichen Stellen“ hatten. Kann nicht ausgeschlossen werden, dass Unbefugte auf Informationen zugreifen konnten, so sollte geprüft werden, um welche Art der Daten es sich handelt. Gelangen personenbezogene Daten an Unbefugte, so sollten, wie bereits erläutert, Betroffene und die Aufsichtsbehörde über die Datenpanne informiert werden. Dieser Informationspflicht muss insbesondere bei besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten und zwar UNVERZÜGLICH (ohne schuldhaftes Zögern) nachgegangen werden.

Ob und inwieweit dieser Informationspflicht nachgegangen werden muss, hängt dabei von den einzelnen Gegebenheiten ab und kann nicht pauschal beantwortet werden. Umso wichtiger ist es einen Datenschutzbeauftragten einzuschalten, damit dieser den Sachverhalt prüfen und die erforderlichen Maßnahmen einleiten kann.

Haben Sie noch Fragen zu Phishing-Angriffen – sowie zum richtigen Verhalten bei einer Datenpanne oder einem Datenverlust? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie Kontakt zu uns auf oder fordern Sie sich direkt ein unverbindliches Datenschutz-Angebot an.

Unser Dienstleistungsangebot

Das Dienstleistungsangebot der Brands Consulting umfasst die Kernkompetenzen:

Unsere Zielgruppe/n

Brands Consulting offeriert sein Dienstleistungsangebot:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne/n]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen

Cloud Computing – Durchblicken Sie vor lauter Wolken den Datenschutz?

Als DaDatenschutz Cloud Computingtenschutzbeauftragter wird man häufig gefragt, ob das Auslagern von Daten in die Cloud aus Datenschutzsicht problematisch sein könnte. Diese Frage sollte bejaht werden, denn die Auslagerung personenbezogener Daten kann –je nach Sensibilität- zu Problemen und Risiken führen. Das Ausmaß notwendiger Prüfungen und Prozesse hängt von diversen Faktoren ab. Trotz der Vielzahl an Risiken greifen verantwortliche Stellen, wie Unternehmen, Vereine, Verbände etc., auf Cloud-Lösungen zurück. Aus welchem Grund ist Cloud-Computing so attraktiv und was versteht man unter dem Begriff?

Was versteht man unter Cloud-Computing?

Cloud-LösungenBei Cloud-Computing wird über das Internet auf IT-Leistungen und IT-Infrastrukturen, die sich in einer „Cloud“, zu deutsch Wolke befinden, zugegriffen. Die IT-Leistungen können vom Cloud-Nutzer flexibel eingesetzt und abgerechnet werden. Der Begriff Cloud-Computing kann in einzelne Abstraktionsebenen gegliedert werden. Die erste Ebene ist unter dem Begriff Infrastructure as a Service, kurz IaaS, bekannt. IaaS-Nutzer greifen auf Infrastrukturressourcen, wie Speicher-, Netzkapazitäten und Rechenleistung, zurück. Bei der zweiten Ebene Platform as a Service, kurz PaaS, können die Nutzer Programmierungs- und Laufzeitumgeben nutzen. Endbenutzer kommen meistens mit der dritten Ebene, Software as a Service (SaaS), in Berührung.  Bei Software as a Service wird eine Softwarelösung bereitgestellt, die vom SaaS-Nutzer flexibel verwendet werden kann. Sämtliche Tätigkeiten um die Software, wie zum Beispiel Wartungsarbeiten, übernimmt der SaaS-Anbieter. Bekannte SaaS-Lösungen sind unter anderem Customer-Relationship-Management-Lösungen (CRM-Lösungen), Speicher-Lösungen, wie Dropbox, und die Applikationen, kurz Apps, von Google.

Was sind die Vorteile von Cloud-Computing?

Cloud-Computing zählt nicht grundlos zu den wichtigsten IT-Trends. Die besondere Vertriebsform sorgt, insbesondere bei kleinen und mittelständischen Unternehmen (KMU), für ein hohes Interesse, da sie die Lösungen flexibel nutzen und ebenso variabel bezahlen können. Zudem bleiben den Unternehmen hohe Kosten für Lizenzen, interne Ressourcen, externe Wartungen usw. erspart, da die Lösungen gemietet und zugleich durch den Anbieter gewartet werden.

Nicht nur die Kosteneinsparungen sprechen für den Einsatz von Cloud-Computing, auch das zumeist höhere IT-Wissen der Cloud-Anbieter kann ein klarer Vorteil sein. Insbesondre KMU verfügen in den meisten Fällen nicht über ausreichende Kenntnisse im IT-Bereich und so können sie sich mittels fertiger Cloud-Lösungen auf ihr Kerngeschäft konzentrieren. Des Weiteren bleibt dem Cloud-Nutzer der Installationsaufwand erspart, da man über das Internet auf die Lösungen zugreift. Die Software befindet sich nicht auf dem Rechner, wodurch auch ein ortunabhängiger Zugriff möglich ist.

Cloud-Computing aus Datenschutzsicht

Der Einsatz von Cloud-Computing führt zu zahlreichen Risiken und Problemen. Umso wichtiger ist es, dass sich die verantwortlichen Stellen ausreichend mit diesem Thema beschäftigen und ihre Mitarbeiter diesbezüglich schulen / sensibleren. Insbesondere der Einsatz von Cloud-Lösungen neben der eigentlichen IT und ohne Wissen der IT-Abteilung, der Vorgesetzten und des Datenschutzbeauftragten birgt viele Gefahren.  Die parallele Nutzung von IT-Strukturen und IT-Lösungen der Fachabteilungen ist auch bekannt unter den Bezeichnungen „Schatten-IT“ bzw. „Shadow-IT“. Wenn Sie mehr darüber erfahren möchten, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

In Hinblick auf den Datenschutz ist auch das Auslagern von Daten problematisch, obwohl die IT-Abteilung und der Vorgesetze informiert sind, wie häufig im Rahmen von Bring Your Own Device (BYOD).  Bei Bring Your Own Device ist Arbeitnehmern die Arbeit mit privaten Endgeräten gestattet, wodurch Arbeitnehmer mit ihren privaten Geräten auf IT-Ressourcen und Informationen des Unternehmens zugreifen können. Das BYOD-Modell führt zu einer Vermischung privater und dienstlicher Informationen, weshalb der Arbeitgeber nicht auf die privaten Endgeräte zugreifen darf. Derartige Probleme lassen sich allerdings durch fachkundige Unterstützung, z. B. durch die Beratung des externen Datenschutzbeauftragten oder des Datenschutzberaters, vermeiden.

Der Nebeneffekt von BYOD ist zudem, dass Mitarbeiter oftmals nicht nur ihre privaten Endgeräte verwenden, sondern dienstliche Informationen mit Hilfe von privaten Cloud-Lösungen verarbeiten. Die Nutzung von Cloud-Lösungen, die aufgrund der Vermischung nicht kontrolliert werden darf, führt häufig zu zahlreichen Risiken und Problemen.

In der Praxis erfolgt die Inanspruchnahme von Cloud-Leistungen regelmäßig als Auftragsdatenverarbeitung (ADV). Dies ist grundsätzlich eher unproblematisch, da eine Auftragsdatenverarbeitung, gemäß § 11 BDSG, als eine „Nicht-Übermittlung“ eingestuft wird und somit die verantwortliche Stelle weder eine Einwilligung noch eine weitere Rechtsgrundlage benötigt. Das Abschließen eines ADV-Vertrages ist unbedingt anzuraten. Hierbei unterstützt Sie Ihr Datenschutzbeauftragter.

Problematisch ist allerdings, dass die Cloud-Anbieter (Auftragnehmer) häufig ihren Sitz außerhalb der europäischen Union (EU) und des europäischen Wirtschaftsraums (EWR) haben. Der Gesetzgeber stuft eine Auftragsdatenverarbeitung mit einem Dienstleister im Drittland als eine Datenübermittlung ein, wodurch das Einholen einer informierten Einwilligung oder das Übermitteln auf Basis einer Rechtsgrundlage unvermeidbar ist. Werden in der Praxis allerdings Daten in eine Cloud ausgelagert, dann erfolgt dies derzeit eher selten auf Basis eines ADV-Vertrages, einer informierten Einwilligung oder einer Rechtsgrundlage, da vielen verantwortlichen Stellen gar nicht bewusst ist, dass es sich bereits um eine Datenübermittlung handelt.

Ein weiteres Manko ist, dass in Drittländern bis auf wenige Ausnahmen (z. B. die Schweiz), kein angemessenes Schutzniveau herrscht und dieses vor der Übermittlung hergestellt werden muss. Um ein angemessenes Datenschutzniveau zu schaffen, sollte der Auftragsgeber (Cloud-Nutzer) EU-Standardvertragsklauseln, Binding Corporate Rules (BCR) oder andere Regelungen, die von der Aufsichtsbehörde genehmigt werden müssen, mit dem Auftragnehmer (Cloud-Anbieter) treffen.

Weitere Schwachstellen können zudem sein:

  • die fehlenden Kontroll- und Weisungsbefugnisse, die oftmals nicht mit der für Cloud-Computing charakteristischen Standardisierung vereinbar sind,
  • die hohe Vielzahl an Beauftragungsketten, die in der Praxis keine Seltenheit sind.

Der Auftraggeber muss bei einem Unterauftragnehmer mit dem Sitz in der EU/EWR keine Besonderheiten beachten, da § 11 Abs. 2 Nr. 6 BDSG Unterbeauftragungen vorsieht. Haben der Auftragnehmer und der Unterauftragnehmer ihre Sitze in einem Drittland, so sollte es, wenn EU-Standardvertragsklauseln zwischen dem Auftraggeber und Auftragnehmer abgeschlossen sind, ebenfalls nicht zu großen Problemen für den Auftraggeber führen. Die EU-Standardvertragsklauseln sehen ebenfalls Regelungen zu Unterbeauftragungen vor. Hat der Auftragnehmer seinen Sitz in der EU/EWR und der Unterauftragnehmer seinen Sitz in einem Drittland, so gibt es derzeit keinen festen Regelungen. Dem Aufraggeber ist allerdings zumindest anzuraten, EU-Standardvertragsklauseln mit dem Unterauftragnehmer abzuschließen.

Fazit

Alles in allem ist Cloud-Computing gerade für kleine und mittelständische Unternehmen eine reizvolle Alternative, um Kapazitäten / Ressourcen zu sparen und sich auf das Kerngeschäft zu konzentrieren. Es ist allerdings zu empfehlen, dass sich die verantwortlichen Stellen vor Augen halten, dass Informationen an den Cloud-Anbieter übermittelt werden und bei personenbezogenen Daten das Datenschutzrecht greift. Ist die Cloud-Nutzung unvermeidlich, so sollte darauf geachtet werden, dass die Datenübermittlung rechtskonform erfolgt. Um die Probleme/Risiken zu minimieren, ist die Auswahl eines Cloud-Anbieters, der seinen Sitz in der EU/EWR hat, dringendst anzuraten. Bereits bei der Auswahl des Dienstleisters und Dienstes sollten Datenschutzaspekte berücksichtigt und der Datenschutzbeauftragte frühzeitig einbezogen werden.

Möchten auch Sie Cloud-Lösungen nutzen oder greifen Sie bereits auf Cloud-Lösungen zurück? Gerne stehen wir Ihnen auch als externer Datenschutzbeauftragter oder als Datenschutzberater zur Verfügung. Sprechen Sie uns an – nehmen Sie Kontakt auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Verschlüsselungs-Trojaner „Locky“ – Die unerwünschte Verschlüsselung im Datenschutz

Die Gefahr, die durch Malware ausgeht, ist sowohl Privatpersonen als auch den Mitarbeitern und Verantwortlichen in Unternehmen weitgehend bekannt. Doch was ist überhaupt unter Malware zu verstehen? Der Begriff Malware ist sehr weit gefasst, dabei meint man jegliche Software, die entwickelt wurde, um Schaden anzurichten. Seinen Rechner kann man auf vielen Wegen, wie zum Beispiel beim Surfen im Internet, durch Anschließen eines infizierten Datenträgers oder durch Öffnen eines E-Mail-Anhangs, infizieren. Malware, zu deutsch: Schadsoftware, ist ein Sammelbegriff über Software, deren Zweck auf die Erzielung von Schaden ausgelegt ist. Bekannte Schadprogramm-Arten sind Viren, trojanische Pferde (Trojaner), Spyware, Rootkits etc., wobei die meisten gut getarnt sind und im Hintergrund laufen. Häufig merken Betroffene gar nicht, dass ihr Rechner bzw. Netzwerk befallen ist oder sie realisieren den Befall erst, wenn mittels Malware – abhängig von Art / Funktion – eine Vielzahl von Daten ausgespäht, verschlüsselt oder zerstört worden ist.

Aus diesem Grunde sollten Unternehmen zahlreiche Maßnahmen treffen, um sich gegen Schadprogramme möglichst wirksam zu schützen. Trotz dieser Schutzmaßnahmen tauchten kürzlich vermehrt Meldungen darüber auf, dass der Verschlüsselungs-Trojaner „Locky“ ganze Systeme lahmlegen konnte.

Was ist „Locky“?

locky2Bei dem Schadprogramm „Locky“ handelt es sich um einen Erpressungs-Trojaner, auch bekannt unter Ransomware oder Kryptotrojaner. Trojaner sind gewöhnlich, wie auf dem Bild dargestellt, als nützliche Anwendung getarnt. Im  Hintergrund sollen sie allerdings eine andere Funktion erfüllen. Anders als bei „üblichen“ Trojanern läuft „Locky“ nicht dauerhaft im Hintergrund mit dem Ziel möglichst viele Informationen, wie zum Beispiel Passwörter, auszuspähen, sondern um ganze Systeme mittels Verschlüsselung lahmzulegen.  Sind die Dateien verschlüsselt, erhält der Betroffene eine Lösegeldforderung, die er, laut Täter, für die Entschlüsselung begleichen soll.

Die Verschlüsselung mittels RSA-Kryptoschlüssel (2048 bit), sowie AES-Verschlüsselung und die Kreativität der Täter sorgte bereits für zahlreiche Ausfälle in Unternehmen oder anderen Einrichtungen (z. B. in Krankenhäusern). „Locky“ kann zwar mittlerweile mit Hilfe von einigen Anti-Virenprogrammen erkannt und entfernt werden. Die Entschlüsselung ist allerdings gegenwärtig Niemandem ohne Hilfe der Täter gelungen. Ein weiteres Problem ist,  dass die Täter ihre Methoden ausweiten.

Zu Beginn wurden vor allem „Rechnungen“ in Form von Worddokumenten, Excel- und Zip-Dateien als Anhang in E-Mails versendet. Die große Aufregung und Sorge, die aufgrund der E-Mails entstand, nutzten die Täter aus und versendeten eine Warnung des Bundeskriminalamtes (BKA) vor dem Trojaner „Locky“ inklusive eines „BKA Locky Removal Tools“ als Anhang. Beim Öffnen dieses Tools fand der Nutzer jedoch keinen Ratgeber und auch kein Removal-Tool vor, sondern eine Schadsoftware, die sich durch das Öffnen auf dem Computer installierte. Neben den Rechnungen und den BKA-Warnungen versenden die Täter zudem „eingescannte Dokumente“ angeblich von Kollegen. „Locky“ kann nicht nur über schadhafte E-Mail-Anhänge, sondern auch über infizierte Webseiten auf ihren PC gelangen.

Kann „Locky“ auch meine Dateien verschlüsselt?

Ging es in der Vergangenheit um Verschlüsselungs-Trojaner, konnten Apple-Fans aufatmen, denn diese wurden von „Locky“ und anderen Verschlüsselungs-Trojanern verschont. Seit März 2016 ist allerdings klar, dass sich auch Apple-Nutzer vor Verschlüsselungs-Trojanern in Acht nehmen sollten, denn erstmals wurden Dateien von Mac-Nutzern verschlüsselt. Das Schadprogramm wurde „KeRanger“ genannt. Das Ziel war, ebenso wie bei „Locky“, möglichst viele Dateien zu verschlüsseln und Lösegeld für die Entschlüsselung zu verlangen.

Wie kann ich mich schützen?

Grundsätzlich sollte darauf geachtet werden, dass Anti-Malware- bzw. Anti-Virenprogramme verwendet werden und diese stets aktuell gehalten werden. Ebenso wichtig ist das Installieren aktueller Sicherheitsupdates des Betriebssystems und der Anwendungen. Technisch kann zudem, um die Risiken zu minimieren, mit Spam-Filtern vorgesorgt werden. Im Fall von „Locky“  spielt allerdings der Faktor Mensch eine große Rolle.  Aus diesem Grund ist es wichtig, dass Mitarbeiter ausreichend sensibilisiert und geschult werden. Des Weiteren sollten regelmäßig Backups in ausreichender Zahl und Umfang angelegt werden, damit ein Teil der Sicherungsmedien nach dem Backup gänzlich aus dem Netz genommen werden kann. Das getrennte Lagern des Backups ist zu empfehlen, da sich „Locky“, wenn er auf einen PC gelangt, im Netzwerk ausweitet und sogar Dateien in verlinkten Cloud-Speichern verschlüsseln kann.

Ihr Rechner ist infiziert – Wie gehen Sie vor?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dringendst von der Zahlung des Lösegeldes ab. Zwar habe es Fälle gegeben, in denen die Täter tatsächlich nach Zahlung von Bitcoins einen Schlüssel, zur Entschlüsselung der Dateien, zur Verfügung gestellt haben, jedoch könne dies nicht garantiert werden. Aus diesem Grund bleibt den meisten Betroffen nur die Möglichkeit ein Foto von der Erpressungsnachricht zu erstellen, die Verschlüsselung  zur Anzeige zu bringen, den Rechner zu formatieren und ein zuvor erstelltes Backup einzuspielen.

In Hinblick auf den Datenschutz sollte, neben der Wiederherstellung der Dateien, geprüft werden, ob ausschließlich eine Verschlüsselung der Daten erfolgt oder ob sich Unbefugte sogar Zugriff zu Daten verschafft haben. Kann nicht ausgeschlossen werden, dass Unbefugte auf Informationen zugreifen konnten, so sollte geprüft werden, um welche Art der Daten es sich handelt. Gelangen personenbezogene Daten an Unbefugte, so ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss insbesondere bei besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten und zwar UNVERZÜGLICH (ohne schuldhaftes Zögern) nachgegangen werden.

Ob und inwieweit dieser Informationspflicht nachgegangen werden muss, hängt dabei von den einzelnen Gegebenheiten ab und kann nicht pauschal beantwortet werden. Umso wichtiger ist es einen Datenschutzbeauftragten einzuschalten, damit dieser den Sachverhalt prüfen und die erforderlichen  Maßnahmen einleiten kann.

Haben Sie noch Fragen zu Schadprogrammen -wie „Locky“- sowie zum richtigen Verhalten bei einer Datenpanne oder einem Datenverlust? Wünschen Sie Datenschutz-Schulungen für Ihre Mitarbeiter, um diese zu sensibilisieren? Dann nehmen Sie Kontakt zu uns auf oder fordern Sie sich direkt ein unverbindliches Datenschutz-Angebot an.

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?

Schatten IT DatenschutzUnter Schatten-IT (Shadow-IT) ist die parallele Nutzung von IT-Infrastrukturen, sprich Hardware, Software, Netzwerke und Services, neben der eigentlichen IT-Systemlandschaft eines Unternehmens, zu verstehen. Anders als bei der offiziellen Infrastruktur, findet keine Unterstützung durch die IT-Abteilung statt, sondern ist ausschließlich in Abteilungen für kleine Personengruppen angedacht. Häufig werden die Systeme durch die Fachabteilung, gänzlich ohne Kenntnis der IT-Abteilung, Geschäftsleitung und des Datenschutzbeauftragten initiiert, weshalb sie weder mit der technischen noch mit der organisatorischen Struktur des Unternehmens verknüpft werden.

Werden für das offizielle IT-System durch die IT-Abteilung zahlreiche Maßnahmen zum Schutz von sensiblen Informationen, wie Betriebsgeheimnissen und personenbezogenen Daten, umgesetzt, so kann in den meisten Fällen davon ausgegangen werden, dass Fachabteilungen diesen Schutz nicht gewährleisten können.

Gründe für die Schatten-IT

Gründe für die Schatten-IT sind in den seltensten Fällen Böswilligkeit der Mitarbeiter, sondern eher der Versuch, sich oder der IT-Abteilung, die Arbeit zu erleichtern oder abzunehmen. Zudem führt die technische Entwicklung dazu, dass die meisten Mitarbeiter über Smartphones, Tablets und Laptops verfügen. Das Arbeiten mit diesen mobilen Endgeräten ist für Mitarbeiter so selbstverständlich, dass sie sich über einzelne Risiken gar nicht bewusst sind. Ein in der Praxis häufig auftretendes Beispiel, insbesondere in kleinen und mittleren Unternehmen (KMU) oder Körperschaften, ist das Einrichten des dienstlichen E-Mail-Postfachs auf dem privaten Smartphone.

Neben der Selbstverständlichkeit nimmt zudem das technische Know-How der Mitarbeiter zu. Dies kann wiederrum dazu führen, dass sie ihre Fähigkeiten überschätzen und ohne die IT-Abteilung zurechtkommen möchten.

Des Weiteren bieten sich den Mitarbeitern, durch die stetig fortschreitende technische Entwicklung und sinkende Preise, viel mehr Möglichkeiten als dies in der Vergangenheit der Fall war. Möchten Sie miteinander kommunizieren, so weichen sie vom Telefonieren auf Instant Messenger, wie zum Beispiel WhatsApp oder Skype aus. Sollen Dokumente geteilt werden, so werden diese nicht mehr per verschlüsselter E-Mail versendet, sondern kurzerhand in Dropbox-Ordner gestellt. Kaum ein Mitarbeiter macht sich darüber Gedanken, dass er dabei gegen Rechtsgrundlagen -insbesondere des Datenschutzes- [z. B. das Bundesdatenschutzgesetz (BDSG)] verstößt.

Weitere Gründe für Ambitionen zur Schatten-IT können oftmals lange Reaktions- und Antwortzeiten der IT-Abteilungen, die auf zahlreiche Faktoren, wie die räumliche Trennung zwischen IT- und der jeweiligen Fachabteilungen, sowie die teilweise personell schwach besetzte IT zurückzuführen sind, sein. Dies und das Unverständnis vieler Mitarbeiter, wenn die IT-Abteilung oder übergeordnete Entscheidungsträger, Hard- oder Software aus Risiko- oder Budgetgründen ablehnen, sind Ursachen für das Ausweichen, z. B. auf „eigene“ Cloud-Lösungen. Das Nutzen externer IT-Infrastruktur ist jedoch kritisch zu betrachten, da weder die Sicherheit noch der Schutz der Daten gewährleistet werden kann. Es ist nicht grundlos so, dass die IT-Abteilung eine gewisse Zeit benötigt, um ggf. nach Rücksprache mit beratenden Funktionen, wie dem Datenschutzbeauftragten, oder Entscheidungsträgern Umsetzungen sicher zu veranlassen.

Risiken der Schatten-IT

Die Höhe und Häufung der Risiken hängt grundsätzlich von der Ausprägung der IT-Infrastruktur der Fachabteilungen ab, jedoch sollen im Folgenden einige Risiken und Probleme benannt werden, die in diesem Zusammenhang auftreten könnten.

Ein Beispiel für die Auswirkungen der Schatten-IT ist der Einsatz privater Hardware zu dienstlichen Zwecken. Verwenden Mitarbeiter ihre privaten Endgeräte und anderes als bei gewünschtem Bring Your Own Device (BYOD), ohne Kenntnis der IT  sowie der Geschäftsleitung, wird man regelmäßig mit Problemen, wie einer unzureichenden Verschlüsselung, konfrontiert. Ist die private Hardware nicht verschlüsselt, so können bei Verlust Informationen durch Unbefugte eingesehen werden. Gelangen personenbezogene Daten an Unbefugte, so ist die „Verantwortliche Stelle“ laut § 42 a BDSG bei sogenannten Datenpannen dazu verpflichtet, Betroffene und die Aufsichtsbehörde zu informieren. Dieser Informationspflicht muss vor allem bei besonderen personenbezogenen Daten (z. B. Beispiel Gesundheitsdaten) sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Neben Bußgeldern ist der Imageverlust eines Unternehmens erheblich.

Die Vermischung privater und dienstlicher Daten durch die Nutzung privater Geräte ist ebenfalls problematisch, da der Arbeitgeber kein Recht hat, auf die privaten Geräte zuzugreifen und insbesondere, bei Ausscheiden des Mitarbeiters nicht kontrolliert werden darf, ob alle dienstlichen Informationen entfernt wurden. In der Praxis führt dies unweigerlich dazu, dass über die Zeit gesehen und unweigerlich immer mehr und mehr Informationen unkontrollierbar außerhalb des Unternehmens bekannt sind oder dies zumindest werden können. Es werden somit zumindest einige kleinere und mittlere „Zeitbomben“ geschaffen.

cloud-computing Schatten-IT und DatenschutzDie Datensicherung, die Archivierung von E-Mails, der Schutz vor Malware oder Urheberrechtsverletzungen stellen weitere Risiken für ein Unternehmen dar. Bringt der Mitarbeiter private Geräte -ohne Kenntnis der IT-Abteilung- in ein Unternehmen ein, so sorgt er z. B. eigenständig für die für die Sicherung der Daten und den Schutz vor Malware. Ein Mitarbeiter verfügt jedoch in den meisten Fällen nicht über die technischen Kenntnisse einer IT-Abteilung, weshalb der Schutz der Informationen nicht oder nur teilweise gewährleistet werden kann. Dieses eigenverantwortliche Handeln der Mitarbeiter bereitet neben der IT-Abteilung, dem Datenschutzbeauftragten vor allem der Geschäftsleitung Bauchschmerzen, da diese letztens verantwortliche Stelle bleibt. Gleiches gilt auch für Urheberrechtsverletzungen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen / arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen.

Aber auch das eigenständige Beschaffen dienstlicher Hardware und Software sorgt für einen Wildwuchs, der kaum zu überblicken ist, wodurch die Anforderungen aus der Anlage zu § 9 Satz 1 BDSG nicht bzw. nur teilweise erfüllt werden können. Zudem ist die Abstimmung untereinander aufwendiger und die doppelte Implementierung der IT-Lösungen verursacht hohe Kosten.

Neben den möglichen Verletzungen der Archivierungspflichten, dem Urheberrecht oder den nicht erfüllten Anforderungen des Bundesdatenschutzgesetzes bzw. perspektivisch der EU-Datenschutz-Grundversordnung (DSGVO), häufen sich Probleme durch den Einsatz von Cloud-Computing. Personenbezogene Daten werden beispielsweise unkontrollierbar in die Dropbox geladen. Dabei handelt es sich bereits um eine Datenübermittlung in die USA, für die man keine Einwilligung des Betroffenen und i. d. R. keine andere Legitimation hat und somit gegen geltendes Datenschutzrecht verstößt.

Fazit zur Schatten-IT

Sicherlich bringt die Verwendung privater Geräte, der Einsatz von Cloud-Computing oder das selbstständige Beschaffen von Hard-und Software, insbesondere für den Mitarbeiter, eine Vielzahl an Vorteilen. Er ist viel flexibler und kann Hardware, sowie Software nutzen, die ihm von der Handhabung besser gefällt. Die Einsparungen für die Hardware können zunächst auch aus Sicht der Geschäftsleitung von Vorteil sein, jedoch sollte dies in einer kontrollierten Form, wie Bring Your Own Device (BYOD) mit einer Mobilgeräteverwaltung, einem sogenannten Mobile-Device-Management (MDM), eingebracht werden. Auch Cloud-Dienste können für alle Seiten viele Vorteile mit sich bringen. Übergehen Sie vor dem Einsatz allerdings nicht die IT und sonstige weitere Entscheidungsträger sowie die Geschäftsleitung. Bei Unklarheiten über datenschutzrechtliche Risiken, besser allerdings vorsorglich, sollte Ihr Datenschutzbeauftragter eingebunden werden. Alles in allem sollte das unkontrollierte Ansiedeln einer parallelen IT-Infrastruktur in einem Unternehmen unterbunden werden, da es viele Risiken mit sich bringt und insbesondere für die IT-Abteilung einen großen Mehraufwand bewirken kann.

Benötigen Sie weitere Informationen zu Risiken der Schatten-IT? Werden bei Ihnen Cloud-Dienste in Anspruch genommen oder haben Sie Fragen zur rechtskonformen Archivierung von E-Mail?

Sprechen Sie doch mit Ihrem Datenschutzbeauftragten. Sie haben noch keinen? Dann nehmen Sie Kontakt zu uns auf.

Gerne offierieren wir unser Dienstleistungsangebot an:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen
  • sowie in Einzelfällen interessierten Privatpersonen.