Blog

Aktuelle Informationen zum Thema Datenschutz

Schluss mit Spam: So arbeiten Spam-Filter mit mehr Erfolg

15 Oktober 2021

Unerwünschte Mails, Chat-Nachrichten und Anrufe – Spam hat viele Gesichter. Spam-Filter sollen die Spam-Flut eindämmen. Dazu müssen sie aber richtig eingesetzt werden. Werden sie nicht trainiert, bleiben Spam-Filter erfolglos und dumm, die Spam-Mails weiterhin eine Plage und ein Datenrisiko.

Spam ist mehr als lästig

Zu Beginn des Arbeitstags ruft man seine E-Mails ab, unter den erschreckend vielen Mails, die über Nacht eingetroffen sind, befinden sich zahlreiche Spam-Mails. Ist dies der Fall, sortiert der Mail-Server offensichtlich die Spam-Mails nicht oder nicht gut genug aus. Oder aber der lokale Spam-Filter im E-Mail-Programm verdient wohl seinen Namen nicht.

Wenn man aber viele Spam-Mails im Posteingang hat, ist dies nicht nur ärgerlich. Es kostet Zeit und Nerven, nicht zuletzt kann man versehentlich legitime Mails löschen oder Spam-Mails ungewollt öffnen. Wenn die Spam-Versender dann noch das Öffnen registrieren (über Mail-Tracking), wird die Zahl der Spam-Attacken weiter steigen. Bringt die Spam-Mail Schadsoftware mit, ist schnell der Computer oder das Smartphone verseucht.

Spam-Filter können helfen, wenn man ihnen hilft

Nun stellt sich die Frage, warum die genutzten Spam-Filter diese vielen lästigen und sogar gefährlichen Mails nicht aussortieren. Darauf gibt es mehr als eine Antwort. Zum einen werden die kriminellen Spam-Versender, die Spammer, immer besser. Viele Spam-Mails sind also inzwischen besser getarnt als früher. Dabei hilft den Spammern auch künstliche Intelligenz, die die Spam-Inhalte optimieren, ja sogar auf die Opfer gezielt anpassen kann.

Ein weiteres Problem sind die Spam-Filter selbst, die nicht so eingesetzt werden, wie es eigentlich sein soll. Auch in den Spam-Filtern wird inzwischen zunehmend Maschinelles Lernen eingesetzt. Sie sollen also mit der Zeit immer besser, also immer genauer werden, weniger Spam-Mails übersehen und möglichst keine legitime Mail als Spam einstufen. Dazu müssen die Nutzer aber mit den Spam-Filtern arbeiten.

Das richtige Training für Spam-Filter

Neue Spam-Filter sind relativ dumm. Treffen im Posteingang also viele Spam-Mails ein, sollte man diese nicht einfach löschen, sondern als Spam markieren. Das verschiebt diese Spam-Nachrichten nicht nur in den Spam-Ordner. Man teilt dem Spam-Filter auch mit, dass er einen Fehler gemacht hat.

Umgekehrt sollte man legitime Nachrichten, die in den Spam-Ordner geschoben wurden, von der Spam-Markierung befreien. Das verschiebt sie wieder in den Posteingang und trainiert erneut den Spam-Filter, denn auch hier hat er Fehler gemacht.

Natürlich wird der Spam-Filter nie alles richtig machen, aber er wird mit der Zeit besser. Je nach Anbieter für den Spam-Filter wird er auch durch externe Updates schlauer gemacht, aber ohne das Training durch Sie als Nutzer geht es nicht. Nur der Mail-Empfänger selbst kann die individuellen Vorgaben machen, die der Spam-Filter kennen muss. Diese Vorgaben macht man durch Markieren als Spam und durch Entfernen der Spam-Markierung.

Dies mag nach Aufwand aussehen, zahlt sich später aber aus. Ein gut trainierter Spam-Filter, der den Datenschutz beachtet, also nichts über den Nutzer verrät, ist ein wichtiger Teil der E-Mail-Sicherheit.

Haben Sie Spam-Mails im Griff? Machen Sie den Test!

Frage: Übersieht ein Spam-Filter viele Spam-Mails, lohnt sich der Einsatz nicht. Stimmt das?

  1. Nein, dann muss man den Spam-Filter besser trainieren, also die übersehenen Spam-Mails mit einer Markierung als Spam versehen.
  2. Ja, denn wenn man selbst die Spam-Mails aussortiert, braucht man keinen zusätzlichen Spam-Filter.

Lösung: Die Antwort 1 ist richtig. Spam-Filter müssen trainiert werden. Sie sollten schon zu Anfang möglichst viel (offensichtlichen) Spam erkennen und in den Spam-Ordner verschieben. Aber wenn ein Nutzer einen ungewöhnlichen Newsletter abonniert hat, ist eine Einstufung als Spam für Dritte vielleicht richtig, für den Nutzer selbst jedoch nicht. Nur der Nutzer kann die genauen Vorgaben machen.

Frage: Markiere ich etwas als Spam, verschiebt dies die Nachricht nur in den Spam-Ordner. Stimmt das?

  1. Ja, die Spam-Markierung sorgt für die Sortierung in „Spam“ und „kein Spam“.
  2. Nein, das trainiert zusätzlich den Spam-Filter. Die Wahrscheinlichkeit, dass der Filter in Zukunft selbst die Spam-Markierung richtig setzt, steigt.

Lösung: Die Antwort 2 ist richtig. Wer in seinem Mail-Programm etwas als Spam markiert, hilft dem Spam-Filter und räumt gleichzeitig auf. Wer dagegen Spam-Mails einfach löscht oder anders verschiebt, der teilt dem Spam-Filter nicht mit, dass er etwas übersehen hat. Doch nur mit diesem Training kann der Spam-Filter besser werden und der E-Mail-Sicherheit sowie dem Datenschutz in Zukunft besser helfen.

Spam-Filter gibt es übrigens nicht nur für E-Mail, sondern zum Beispiel auch für SMS und Anrufe auf dem Mobiltelefon sowie für Chat-Nachrichten. Denn auch darüber können Spammer unerwünschte Nachrichten senden.

Mehr lesen

Wann ist die Zugriffskontrolle durch Fingerabdruck erlaubt?

04 Oktober 2021

Der Scan des Fingerabdrucks schützt Rechner besonders effektiv vor unbefugten Zugriffen. In bestimmten Fällen darf der Arbeitgeber ausdrücklich verlangen, dass Beschäftigte diese Methode nutzen.

Fingerabdrücke sind besonders geschützt

Fingerabdrücke gehören zu den biometrischen Daten. Biometrische Daten sagen unmittelbar etwas über den Körper eines Menschen aus. Deshalb sind sie besonders geschützt. Ihre Verarbeitung ist nur unter engen Voraussetzungen zulässig. Das ordnet die Datenschutz-Grundverordnung (DSGVO) für biometrische Daten an, wenn sie „zur eindeutigen Identifizierung einer natürlichen Person“ geeignet sind.

Es passt zur Fürsorgepflicht des Arbeitgebers

Das gilt auch im Arbeitsleben. Daran ist nichts Überraschendes. Das Arbeitsrecht kennt die Fürsorgepflicht des Arbeitgebers. Sie bringt zum Ausdruck, dass die persönlichen Belange von Arbeitnehmerinnen und Arbeitnehmern im Arbeitsalltag wichtig sind. Sie schafft einen geschützten Rahmen, in dem der Arbeitnehmer seine Arbeitsleistung erbringt.

Die Einzelheiten regelt das BDSG

Manchmal ist eine ordnungsgemäße Arbeitsleistung nur möglich, wenn dabei Daten des Arbeitnehmers verarbeitet werden. Hierzu trifft das Bundesdatenschutzgesetz (BDSG) einige Regelungen. Solche ergänzenden nationalen Vorschriften macht die DSGVO für das Arbeitsleben ausdrücklich möglich.

Zweistufige rechtliche Prüfung bei Fingerabdrücken

Das BDSG sieht eine zweistufige Betrachtung vor. Dies lässt sich am Beispiel von Fingerabdrücken sehr gut zeigen:

  • Stufe 1: Zunächst muss feststehen, dass das Scannen von Fingerabdrücken notwendig ist, damit der Arbeitnehmer seine Arbeitsleistung ordnungsgemäß erbringen kann.
  • Stufe 2: Anschließend ist zu prüfen, ob im konkreten Einzelfall ausnahmsweise trotzdem schutzwürdige Interessen des Arbeitnehmers den Vorrang haben. Sollte das der Fall sein, wäre das Scannen zwar an sich erforderlich, aber im Ergebnis trotzdem nicht zulässig.

Im Normalfall ist ein Fingerabdruck-Scan übertrieben

Im normalen Büroalltag ist es nicht erforderlich, den Zugriff auf einen Rechner durch das Scannen eines Fingerabdrucks abzusichern. Sofern die „üblichen Bürodaten“ wie etwa Daten von Bestellungen und Lieferungen verarbeitet werden, wäre das schlicht übertrieben. Natürlich brauchen auch solche Daten einen Schutz gegen unbefugte Zugriffe. Dafür genügen aber die üblichen Mittel wie Passwörter und das Sperren des Bildschirms, wenn einige Zeit keine Eingabe mehr erfolgt ist.

Das macht den Büroalltag unbequemer

Für solche Situationen ist das Scannen von Fingerabdrücken nicht erforderlich. Damit fehlt es an den Voraussetzungen der Stufe 1. Der Arbeitgeber darf in diesen Fällen solche Scans nicht vorsehen. Dies gilt auch dann, wenn es den betroffenen Arbeitnehmern eigentlich ganz recht wäre. Denn für sie wäre es oft bequemer, den Daumen auf einen Scanner zu legen, statt ein Passwort einzugeben, das sie auch noch regelmäßig ändern müssen. Eine Betriebsvereinbarung zu dem Thema könnte weiterhelfen. Eine Einwilligung des Arbeitnehmers sehen die Datenschutzbehörden dagegen mit Skepsis.

In Sonderfällen ist ein Fingerabdruck-Scan geboten

Manchmal ist der Einsatz von Fingerabdruck-Scans erforderlich. Das gilt vor allem für sicherheitssensible Bereiche. Ein Beispiel hierfür ist die Arbeit an technischen Entwicklungen, die später zum Patent angemeldet werden sollen. Ein weiteres Beispiel ist die Durchführung von Aufträgen, die staatlichen Geheimhaltungsvorschriften unterliegen. Dies kommt etwa bei Lieferanten der Bundeswehr vor. Solche Fälle erfüllen die Voraussetzungen der Stufe 1.

Schutzwürdige Interessen stehen fast nie entgegen

Die Prüfung der Stufe 2 ergibt nur ganz selten, dass dennoch schutzwürdige Interessen von Arbeitnehmern als vorrangig anzusehen sind. Denn selbstverständlich wird der Arbeitnehmer schon im eigenen Interesse strikt darauf achten, wer beispielsweise Zugriff auf die Scan-Daten hat. Sonst würde der Schutz, den er mit ihrer Hilfe anstrebt, sofort wieder unterlaufen.

Schutzmaßnahmen brauchen immer ein Gesamtkonzept!

Als einzige Schutzmaßnahme reicht der Einsatz von Fingerabdruck-Scans normalerweise nicht aus. Vor allem das automatische Sperren des Bildschirms, wenn einige Zeit keine Eingabe erfolgt ist, ist zusätzlich notwendig. Und eine ganz banale Absicherung sollte man ebenfalls nie vergessen: Ein PC ist heutzutage so klein, dass er leicht in einer Tasche Platz findet. Es ist deshalb ein Schutz dagegen notwendig, dass ihn ein „Langfinger“ einfach mitnimmt. Jede einzelne Sicherungsmaßnahme taugt eben nur so viel wie das Gesamtkonzept, zu dem sie gehört!

Mehr lesen

Selbstdatenschutz im Homeoffice

27 September 2021

Beschäftigte im Homeoffice sind in Fragen des Datenschutzes zwar nicht auf sich allein gestellt, aber ihr Anteil an Schutzmaßnahmen ist höher, als viele glauben. Es geht um mehr als die Sicherheit für Notebook und Smartphone.

Selbst sind die Frau und der Mann

In Zeiten der Corona-Pandemie ist die Zahl der Beschäftigten im Homeoffice deutlich gestiegen. Zu Beginn waren viele Maßnahmen noch temporär gedacht, mit heißer Nadel gestrickt und gerade im Bereich der Datensicherheit mehr ein Provisorium als eine Lösung auf Unternehmensniveau.

Inzwischen aber ist in vielen Unternehmen deutlich geworden, dass das Homeoffice nicht mehr komplett verschwinden wird. Im Gegenteil: Viele Firmen wollen das Homeoffice als gleichberechtigten Arbeitsplatz neben dem Büro im Firmengebäude erhalten. Man spricht dann von hybriden Arbeitsplätzen.

Doch wirklich gleichberechtigt sind Homeoffice und Büroschreibtisch in der Firma nicht. Denn der Firmenarbeitsplatz kann von den zentralen Maßnahmen der IT-Sicherheit profitieren. Im Homeoffice sind die Beschäftigten selbst gefragt, für die Sicherheit der personenbezogenen Daten stärker aktiv zu werden.

Betriebliche Notebooks und Smartphones reichen nicht

Wie eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI) in der deutschen Wirtschaft ergab, verwenden nur 42 Prozent der Unternehmen ausschließlich betriebseigene IT in den Homeoffices. Die Mehrzahl der Unternehmen setzt also darauf, dass die Beschäftigten auch private Geräte betrieblich einsetzen.

Ist dies der Fall, müssen die Beschäftigten die eigenen Geräte wie Notebook und Smartphone genauso stark absichern, wie dies der Arbeitgeber mit den betrieblichen Geräten tut. Insbesondere müssen private und betriebliche Daten und Anwendungen strikt getrennt werden, der Zugriff privater Apps und unbefugter Dritter, wozu auch die eigene Familie der Beschäftigten zählt, auf betriebliche personenbezogene Daten muss ausgeschlossen werden.

Doch selbst die Bereitstellung von Smartphones und Notebooks durch den Arbeitgeber reicht nicht für den Datenschutz im Homeoffice, es ist mehr an Selbstdatenschutz gefragt.

Homeoffice muss sichere Umgebung werden

Tatsächlich nutzen selbst betriebliche Smartphones und Notebooks im Homeoffice auch Geräte, die eben doch private Geräte sind. Dies können die Drucker im Homeoffice sein, das Headset, die Webcam, die Maus, der Bildschirm und insbesondere der Internet-Router, mit dem die Verbindung ins Internet, aber meist auch die Verknüpfung mit dem Firmennetzwerk aufgebaut wird.

Internet-Router sind beliebte Angriffsziele für Hacker, denn sie werden häufig vernachlässigt. Die Sicherheitseinstellungen werden nicht kontrolliert, die Firmware des Routers nicht regelmäßig aktualisiert. Das WLAN-Passwort „kennen“ auch die Smart-Home-Anwendungen, die häufig so reich an Schwachstellen sind, dass ein Angreifer dort das Passwort auslesen kann, um dann den Datenverkehr im Homeoffice zu überwachen.

Nicht nur an die IT denken

Doch nicht nur die komplette private IT, die die Beschäftigten im Homeoffice nutzen, ist Gegenstand des Selbstdatenschutzes, da die IT-Sicherheitsabteilung des Arbeitgebers hier nicht aktiv wird. Auch die Dokumente auf dem heimischen Schreibtisch, die Ausdrucke im privaten Müll und die Telefonate auf dem Balkon oder der Terrasse können zu Datenschutz-Problemen führen.

Wer im Homeoffice arbeitet, muss an den Home-Datenschutz denken. Das umfasst etwa auch das Absperren der heimischen Bürotür, wenn andernfalls unbefugte Zugriffe auf Daten und Dokumente möglich werden könnten.

Mehr lesen

Datentransfer in die USA – eine Dauerbaustelle?

08 August 2021

Die DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt eine große Herausforderung für die Zukunft. 

Ohne Übermittlungen in die USA geht kaum etwas 

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten. Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen. Meist laufen sie über Server in den USA.  

Die USA – ein Drittland 

Ein Unternehmen, das Daten in die USA übermittelt, muss die Vorgaben der DSGVO einhalten. Die USA sind bekanntlich kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht orientiert sich nicht an den Vorgaben der DSGVO. Deshalb sind Maßnahmen nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO). 

Der goldene Weg: generelle Regelungen 

Ideal wäre es für Unternehmen, wenn es generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.  

„Safe Harbour“ und „Privacy Shield“ sind Geschichte 

Zunächst sollten die „Safe-Harbour-Regelungen“ buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen. Später sollte der „Privacy Shield“ ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA darstellen.  

Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade. Seine Entscheidungen sind unter den Kurzbegriffen „Schrems I“ und „Schrems II“ bekannt. Herr Schrems, ein österreichischer Jurist, hatte jeweils die Verfahren in die Wege geleitet, die zu den Entscheidungen geführt haben. 

Der aktuelle Stand: Ratlosigkeit 

Im Augenblick herrscht in den Unternehmen eine gewisse Ratlosigkeit. Das spüren alle Mitarbeiterinnen und Mitarbeiter, die mit Datenübermittlungen in die USA zu tun haben, in ihrem beruflichen Alltag. Aufforderungen, solche Übermittlungen auf das Notwendigste zu beschränken, sind Standard. Von der EU entworfene „Standardvertragsklauseln“ dienen häufig als Rechtsgrundlage für Datentransfers, sind aber aufwendig zu handhaben. Einwilligungen betroffener Personen taugen nicht als breit anwendbare Rechtsgrundlage. Der Aufwand ist schlicht zu hoch.  

Ein dringender Geburtstagswunsch 

Den dritten Geburtstag der DSGVO verbinden viele Unternehmen mit dem Wunsch, dass die EU in nächster Zeit ein besonderes Geburtstagsgeschenk bastelt: eine in der Praxis sinnvoll nutzbare Rechtsgrundlage für Datenübermittlungen in die USA! Die EU und die USA haben versprochen, sich darum in der nächsten Zeit intensiv zu bemühen. 

Mehr lesen

Wie steht es um die Sicherheit personenbezogener Daten?

02 August 2021

Drei Jahre müssen Unternehmen und Behörden die Datenschutz-Grundverordnung nun schon anwenden. Doch scheinen die Sicherheitsvorfälle und Datenpannen noch größer und häufiger als früher zu sein. Kommt die Datensicherheit nicht von der Stelle? Kann es überhaupt Datensicherheit geben?  

DSGVO fordert eine sichere Verarbeitung personenbezogener Daten 

Die Datenschutz-Grundverordnung lässt keinen Zweifel. Sie fordert ausdrücklich: Die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten und die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Daten müssen auf Dauer sichergestellt sein.  

Nun könnte man vermuten, dass drei Jahre Anwendung der DSGVO dazu geführt hätten, dass IT-Sicherheitsvorfälle und damit Verletzungen der genannten Schutzziele für personenbezogene Daten inzwischen seltener auftreten. Doch offensichtlich ist das nicht der Fall. Die Schlagzeilen der Tagespresse sind voll von Meldungen über Datenverluste, Datenmissbrauch und Spionageangriffe auf Unternehmen und Behörden. 

Ist die Forderung der DSGVO nach einer umfassenden Sicherheit der personenbezogenen Daten unrealistisch? Kann wirkliche Datensicherheit vielleicht gar nicht gelingen? 

Hundertprozentige Sicherheit gibt es nicht, aber … 

Kein Sicherheitsexperte würde behaupten, dass es eine hundertprozentige Sicherheit gibt, daran kann auch die DSGVO nichts ändern. Trotzdem ist die Forderung nach Datensicherheit ein zwingender Bestandteil des Datenschutzes. Nur weil die Meldungen über Millionen von Datensätzen, die ungeschützt im Internet gefunden wurden, nicht abreißen, kann man auf die Maßnahmen des technischen Datenschutzes nicht verzichten. 

Tatsächlich ist es so, dass die Maßnahmen der Datensicherheit durchaus Sicherheitsvorfälle und Datenpannen vermeiden, es also ohne diese Maßnahmen viel mehr Schaden für die Betroffenen von Datenverlust und Datenmissbrauch geben würde. Sicherheitsexperten sagen, dass selbst Basisschutzmaßnahmen helfen können, die Mehrzahl möglicher Angriffe zu verhindern.  

Für besonders raffinierte Angriffe und komplexe Vorfälle braucht man dagegen besondere Schutzmaßnahmen. Doch auch diese können keine Garantie bieten. 

Wirksamkeit der Schutzmaßnahmen muss dauerhaft überwacht werden 

Aus gutem Grund fordert die DSGVO neben den Sicherheitsmaßnahmen auch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. So kann es durchaus sein, dass eine ergriffene Maßnahme nicht das erfüllt, was man für die Sicherheit erwartet hat. Es kann aber auch sein, dass eine Schutzmaßnahme für eine gewisse Zeit greift, dann aber keine zuverlässige Datensicherheit mehr bieten kann. Dies soll durch die Kontrolle der Wirksamkeit erkannt werden, um die Schutzmaßnahmen dann zu optimieren. 

Entscheidend für die Datensicherheit ist dabei der Stand der Technik, wie die DSGVO fordert. So kann zum Beispiel eine Verschlüsselung in der Zukunft nicht mehr stark genug sein, da die Angreifer dann Mittel haben, um sie zu brechen. 

Neben neuen Angriffsmethoden sind es auch die neuen Technologien, die die Datensicherheit immer wieder herausfordern. Neue Technik bringt neue Schwachstellen mit sich, die Angreifer ausnutzen könnten. Aber auch bestehende Technik kann Sicherheitslücken enthalten, die erst später bekannt werden. 

Datensicherheit ist und bleibt eine Daueraufgabe 

Sieht man also genauer hin, so darf man sich nicht wundern, dass auch drei Jahre nach Anwendung der DSGVO Sicherheitsvorfälle auftreten und der Datenschutz verletzt wird, weil die Datensicherheit unzureichend war. Das kann an der Wahl der falschen Maßnahmen liegen, an fehlendem Schutz, an Vorfällen, die sich technisch gar nicht verhindern lassen, aber auch an der hohen Dynamik der IT und der Bedrohungslage.  

Die Sicherheit der Verarbeitung personenbezogener Daten ist also nicht etwa schlechter geworden, weil immer noch viele Datenpannen auftreten. Stattdessen kann man annehmen, dass die Zahl der gemeldeten und entdeckten Vorfälle zugenommen hat – das ist also ein gutes Zeichen für den Datenschutz, wenn man Datenschutzverletzungen nicht übersieht, sondern meldet und abstellt. Das ist durchaus als Erfolg der DSGVO zu sehen, die die Meldepflichten stärker in den Blick der Unternehmen gerückt hat. 

Gleichzeitig gilt es, weiterhin die Sicherheit der Daten auf ihre Wirksamkeit hin zu untersuchen. Dazu gehört es auch, Sicherheitsfunktionen nicht zu umgehen oder zu deaktivieren, weil sie scheinbar den Komfort reduzieren. Das würde dann tatsächlich den Datenschutz verschlechtern. Das gilt heute und wird auch in Zukunft so sein. 

Mehr lesen

Private Aktivitäten und die DSGVO

29 Juni 2021

Immer wieder hört man, dass die DSGVO nicht gilt, wenn jemand Daten für private Zwecke verarbeitet. Was ist da dran? Und wo verlaufen die Grenzen?

Eine Ausnahme vom Anwendungsbereich der DSGVO

Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) geht sehr weit. Aber für die private Verarbeitung von Daten gilt sie tatsächlich nicht. Genauer: Sie gilt nicht für die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“ So beschreibt es an etwas versteckter Stelle Art. 2 Absatz 2 Buchstabe c DSGVO.

Hinter der Regelung steht der Gedanke, dass rein private Aktivitäten die Interessen anderer Personen normalerweise nicht berühren.

Ausnahmen sind eng auszulegen

Die DSGVO lässt hier eine Ausnahme von ihrem Anwendungsbereich zu. Ausnahmen sind generell eng auszulegen. Deshalb empfiehlt es sich, die Regelung sehr genau anzuschauen. Dabei ergeben sich wichtige Aspekte:

Natürliche und juristische Personen

Die Ausnahme betrifft nur die Verarbeitung von Daten durch „natürliche Personen“. Das sind alle Menschen. Der Gegenbegriff dazu sind „juristische Personen“. Das heißt konkret: Wenn Herr Meier für sich persönlich einen Geburtstagskalender mit seinen Bekannten führt, spielt die DSGVO keine Rolle. Denn dies tut er als natürliche Person. Führt er einen Geburtstagskalender mit demselben Inhalt dagegen als Geschäftsführer für die Meier GmbH, sieht es anders aus. Dann gilt dafür die DSGVO.

Persönliche und geschäftliche Tätigkeiten

Die Ausnahme erfasst nur „persönliche und familiäre Tätigkeiten“. Das Gegenstück dazu sind vor allem „geschäftliche Tätigkeiten“. Ein elektronisches Telefonbuch mit den Rufnummern von Verwandten und persönlichen Freunden interessiert die DSGVO nicht. Bei einem elektronischen Telefonbuch mit den Rufnummern von Geschäftspartnern sieht das anders aus.

Behandlung von gemischten Fällen

Dieses Beispiel führt zu „Mischfällen“, die in der Praxis relativ häufig sind. Jemand hat in seinem privaten Handy die Rufnummern von Verwandten und Freunden gespeichert. Außerdem finden sich dort auch die Nummern aller wichtigen Geschäftspartner. Private Verbindungen bestehen zu den Geschäftspartnern nicht. Hier gilt die DSGVO für das gesamte Nummernverzeichnis, also für alle Daten. Denn von der DSGVO ausgenommen sind nur Tätigkeiten, die „ausschließlich“ persönlicher oder familiärer Natur sind. Hier dient das Verzeichnis aber auch geschäftlichen Zwecken.

Im Zweifel: keine Ausnahme möglich!

Unsicherheiten bei der Abgrenzung gehen immer zulasten dessen, der die Daten verarbeitet. Im Zweifel gilt die DSGVO also, und eine Berufung auf die Ausnahme ist nicht möglich. Beispiel: Es bleibt unklar, ob jemand einen Geburtstagskalender als Privatmann oder als Geschäftsführer nutzt. Dann muss er die DSGVO voll beachten. Er kann sich nicht auf die Ausnahme von der DSGVO berufen.

Soziale Netzwerke ohne Zugriffsbeschränkung

Viele wollen ihre Fotos einem weiteren Kreis von Bekannten zugänglich machen und stellen sie beispielsweise bei Facebook ein. Ansehen kann sie jeder, der auf den Account zugreift. Damit befinden sich die Aufnahmen außerhalb des ausschließlich privaten Bereichs. In solchen Fällen gilt die DSGVO in vollem Umfang.

Echt private Gruppen in sozialen Netzwerken

Natürlich sind auch in sozialen Netzwerken rein private Gruppen möglich. Beispiel: Weit voneinander entfernt lebende Mitglieder einer Familie richten eine private Gruppe ein, in der sie private Bilder und private Nachrichten austauschen. Zugriff haben nur die Mitglieder. Dafür gilt die DSGVO nicht. Wichtig ist aber eine persönliche Verbundenheit der Gruppe untereinander.

„Zahlenspiele“ helfen nicht weiter

Keine Rolle spielt dagegen, wie viele Mitglieder zu einer Gruppe gehören. Bloß weil eine Gruppe beispielsweise nur fünf oder zehn Mitglieder hat, ist sie nicht automatisch eine private Gruppe. Umgekehrt können beispielsweise bei einer großen Familie auch 20 oder 30 Personen durchaus noch eine private Gruppe bilden.

Überwachungskamera in der eigenen Wohnung

Manche lassen in ihrer Wohnung eine Kamera laufen, wenn sie außer Haus sind. Das tut etwa ein Katzenfreund, der tagsüber immer wieder einmal aus der Entfernung sehen will, wie es der Kätzin mit den neu geborenen Kätzchen geht. Das ist eindeutig ein Fall rein privater Datenverarbeitung, auch wenn der Zugriff über eine Datenleitung aus der Ferne erfolgt.

Überwachungskamera vor dem eigenen Haus

Anders sieht es bei Kameras in Hauseinfahrten aus. Das akzeptieren die Datenschutzbehörden nicht mehr als private Datenverarbeitung. Der Grund: Eine solche Überwachung dient dazu, Störenfriede im Bild festzuhalten. Das geht dann schon über den internen, rein privaten Bereich hinaus.

Mehr lesen

Vorsicht, Cookie-Entführung!

07 Juni 2021

Sicherheitsbehörden warnen aktuell davor, dass Angreifer selbst Online-Sitzungen, die über Zwei-Faktor-Authentifizierung geschützt werden, mittels Cookie-Diebstahl übernehmen könnten. Achten Sie deshalb auf das richtige Vorgehen mit dem Webbrowser.  

Vorgeschrieben: Erhöhter Schutz für den Zugang zu Daten  

Online-Shops müssen die Anforderungen der zweiten EU-Zahlungsdiensterichtlinie PSD2 an die starke Kundenauthentifizierung (Strong Customer Authentication – SCA) erfüllen. Die EU-Regularien der starken Kundenauthentifizierung (SCA) besagen, dass Kunden bei Transaktionen im Web und in Apps ihre Identität über mindestens zwei von drei möglichen, voneinander unabhängigen Sicherheitsfaktoren belegen müssen, also zum Beispiel über ein Passwort (Sicherheitsfaktor Wissen) und Biometrie (wie den Fingerabdruck).  

Diese sogenannte Zwei-Faktor-Authentifizierung (kurz 2FA) ist auch aus dem Online-Banking bekannt. Scheinbar lässt sich damit ein erhöhter Zugangsschutz realisieren. Denn selbst dann, wenn ein Datendieb das Passwort eines Nutzers erbeutet, kann er sich allein damit nicht anmelden. Es fehlt dann zum Beispiel der Fingerabdruck des Nutzers, um seine Identität zu bestätigen.  

Doch auch ein starker Schutz lässt sich umgehen  

Doch leider führt eine Zwei-Faktor-Authentifizierung nicht automatisch zu einem sicheren Zugang. Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) meldete kürzlich, dass Angreifer einen starken Zugangsschutz umgangen haben, um Online-Konten anzugreifen. Dabei haben die Online-Kriminellen ausgenutzt, dass die erfolgreiche Anmeldung über die zwei Sicherheitsfaktoren in einem Browser innerhalb sogenannter Sitzungscookies (Session Cookies) gespeichert wird, damit man sich nicht für jede neue Seite eines Online-Shops erneut anmelden muss.  

Allerdings ist es möglich, solche Session Cookies zu stehlen oder zu entführen. Wenn ein Angreifer den Sitzungscookie in einem Webbrowser übernehmen kann, übernimmt er damit auch die laufende Sitzung und die Identität des angemeldeten Nutzers. Trotz Zwei-Faktor-Authentifizierung lässt sich also ein Zugang zu einem Online-Dienst kapern, wenn man nicht weitere Sicherheitsvorkehrungen trifft.  

Es kommt auf das richtige Nutzerverhalten an  

Um Ihre Online-Zugänge besser zu schützen und eine Cookie-Entführung möglichst zu verhindern, achten Sie darauf, dass die Sitzungscookies so kurz wie möglich gespeichert werden. Wichtig ist es deshalb, dass Sie sich nicht nur aus dem Online-Shop oder der Online-Bank abmelden, sondern auch den Browser komplett schließen.  

Ist der Browser geschlossen, wird das Session Cookie ungültig. Viele Benutzer melden sich niemals ab, oder sie schließen einen Browser nicht. Das erhöht allerdings das Risiko für einen Cookie-Diebstahl.  

Doch nun wissen Sie: Allein die Nutzung von 2FA ist kein Garant für einen starken Zugangsschutz. Bei Online-Zugängen zum Beispiel könnten Angreifer die Cookies stehlen, die als Nachweis für die erfolgreiche Anmeldung gesetzt werden. Denken Sie deshalb immer an die zeitliche Begrenzung für Sitzungscookies und damit an das Schließen des Browsers nach der Abmeldung.  

Schützen Sie Ihre Online-Zugänge richtig? Machen Sie den Test!  

Frage: Wenn mein Passwort um einen Fingerabdruck bei der Anmeldung ergänzt wird, kann keiner meinen Online-Zugang zum Webshop oder zum Online-Banking übernehmen. Stimmt das?  

  1. Nein, selbst eine Zwei-Faktor-Authentifizierung im Browser lässt sich umgehen, zum Beispiel durch Entführung des Session-Cookies.  
  1. Ja, denn wer sollte meinen Fingerabdruck fälschen können?  

Lösung: Die Antwort 1. ist richtig. Leider können Angreifer Sitzungscookies stehlen und missbrauchen, um damit bestehende Online-Sitzungen zu übernehmen. Der Diebstahl des Cookies ist dabei ein Diebstahl der digitalen Identität. Beenden Sie deshalb nach der Abmeldung von einem Online-Dienst immer auch den Browser.  

Frage: Blockiere ich alle Cookies über den Browser, erhöht dies den Zugangsschutz. Stimmt das?  

  1. Ja, denn ohne Cookies im Browser können auch keine Cookies gestohlen werden. So kann ich das Aushebeln des Zugangsschutzes vermeiden.  
  1. Nein, denn der Browser braucht die Sitzungscookies, um wie gewünscht zu funktionieren. Sogenannte technische Cookies (zum Beispiel für die Warenkorb-Funktion) sollte man nicht blockieren.  

Lösung: Die Antwort 2. ist richtig. Eine vollständige Blockade von Cookies kann zwar die feindliche Übernahme von Sitzungscookies und laufenden Online-Sitzungen verhindern. Aber dann arbeiten Webbrowser, Online-Shop und Online-Bank nicht mehr wie gewünscht und erforderlich.  

Sitzungscookies verhindern, dass Sie sich als Nutzer fortlaufend im Online-Shop anmelden müssen während eines Shopping-Vorgangs. Ohne Cookies können Sie keine Produkte im Online-Warenkorb sammeln und gemeinsam bezahlen. Deshalb müssen Sie die Session Cookies durch den richtigen Umgang mit dem Webbrowser besser schützen. Es hilft nicht, einfach alle Cookies zu blockieren. 

Mehr lesen

Clubhouse & Co.: Neue Apps, alte Risiken

18 Mai 2021

Die App „Clubhouse“ ist in aller Munde und hat einen erheblichen Nutzeransturm zu verzeichnen. Leider sind beliebte Apps nicht automatisch datenschutzfreundlich. Schauen Sie deshalb genau hin, wenn Sie einem Trend bei Apps und Online-Diensten folgen. 

Digitale Kommunikation in Pandemie-Zeiten  

Während der Corona-Pandemie sind drei Viertel der Internetnutzer in Deutschland vermehrt in sozialen Medien aktiv: Insgesamt geben 75 % an, solche Plattformen seit Ausbruch des Coronavirus in Deutschland intensiver zu nutzen, so eine Umfrage des Digitalverbands Bitkom.  

Auch neue soziale Netzwerke und Apps erfahren jetzt ein hohes Interesse, wenn es um die digitale Kommunikation geht. Ein prominentes Beispiel ist die App „Clubhouse“. Der Dienst versteht sich als soziales Netzwerk und ermöglicht private und öffentliche Audio-Konferenzen und Diskussionen.  

„Viele Menschen haben gerade gegenwärtig ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht“, so Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. „Die App wirft jedoch viele Fragen zur Wahrung der Privatsphäre von Nutzerinnen und Nutzern und von dritten Personen auf“, warnt der Datenschutzbeauftragte.  

Berechtigungen von Apps genau hinterfragen  

Datenschützer kritisieren bei Clubhouse etwas, was bei anderen Apps und sozialen Netzwerken früher bereits negativ aufgefallen ist. So werden die Adressbücher in den Mobilfunkgeräten von jenen Nutzerinnen und Nutzern, die andere Personen einladen, automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch geraten Kontaktdaten von zahlreichen Menschen, ohne dass diese überhaupt mit der App in Kontakt kommen, in fremde Hände, wo sie dann zu Zwecken der Werbung oder für Kontaktanfragen verwendet werden könnten.  

Die Betreiber speichern nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent werden.  

Besser auf den Datenschutz bei Apps achten  

„Man weiß als Nutzer nicht, was mit den Daten genau passiert“, erklärt auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Kugelmann. Allein schon aus diesen Gründen könne er als Landesdatenschutzbeauftragter nur empfehlen, die App nicht herunterzuladen und nicht zu verwenden.  

Anbieter, die sich an europäische Nutzer richten, müssen deren Rechte auf Information, Auskunft, Widerspruch und Löschung achten. Gleichzeitig besteht die Pflicht, die technisch-organisatorischen Maßnahmen zum Schutz der Daten zu gewährleisten. An all dem bestehen derzeit bei der Clubhouse-App einige Zweifel. Die deutschen Aufsichtsbehörden für den Datenschutz wollen nun die Einhaltung des europäischen Datenschutzrechts bei Clubhouse überprüfen.  

Johannes Caspar kommentierte: „Es kommt leider immer wieder vor, dass Anbieter aus den USA auf den europäischen Markt drängen oder einfach nur mit ihren Produkten und Dienstleistungen bei uns erfolgreich sind, ohne die grundlegendsten datenschutzrechtlichen Vorgaben des europäischen Digitalmarktes einzuhalten.“  

Dieses Beispiel zeigt, dass man als Nutzer genauer hinsehen muss, was eine beliebte App mit den Daten macht. Allein die weite Verbreitung und die Beliebtheit sind kein Kennzeichen für einen guten Datenschutz.  

Mehr lesen

Homeoffice auf den Punkt gebracht– 6 Punkte, die Sie in jedem Fall beachten sollten?

23 Januar 2021

Das Homeoffice ist auch nach fast einem Jahr Pandemie aktueller denn je. Vieles ist zu organisieren. Der Datenschutz sollte dabei weiterhin mit im Blick sein. Jede und jeder kann leicht einige einfache Dinge beachten. Das bewirkt oft erstaunlich viel. Heuten wollen wir nochmals einige wichtige Aspekte aufgreifen, die Sie in jedem Fall beachten sollten: 

Einsatz privater Geräte nur nach Absprache  

Homeoffice geht nicht ohne EDV. Wer dafür ein dienstliches Gerät zur Verfügung hat, darf nur dieses Gerät verwenden. Der Einsatz privater Geräte verlangt eine Absprache mit dem Arbeitgeber, zumindest mit dem unmittelbaren Vorgesetzten. Das muss nicht unbedingt schriftlich geschehen. Aber zumindest ein kurzer Mail-Austausch ist sinnvoll. Private Geräte können zusätzliche Risiken für den Datenschutz mit sich bringen, die am gewohnten Arbeitsplatz nicht bestehen würden.  

Besonders wichtig: Updates und Virenschutz  

Gerade bei privaten Geräten sind die Standardregeln der Datensicherheit zu beachten. Dazu gehören vor allem regelmäßige Updates! Am regulären Arbeitsplatz sorgt dafür oft die EDV-Abteilung, ohne dass man etwas davon merkt. Bei privaten Geräten muss sich jede und jeder selbst darum kümmern. Dasselbe gilt für den Virenschutz.  

Bildschirmschoner zum Schutz der Daten  

Ein Bildschirmschoner sollte Standard sein. Stellen Sie ihn so ein, dass er nach einigen Minuten ohne Aktivität „anspringt“. Das sorgt dafür, dass Familienangehörige und Besucher möglichst keine Daten sehen können. Besonders wichtig ist das, wenn Sie keinen besonderen Raum für das Homeoffice haben. Manchmal hilft es auch weiter, den Bildschirm etwas zu drehen, damit nicht jeder, der den Raum betritt, gleich alles sieht.  

Tücken beim privaten Telefon  

Weil der Empfang am Festnetz-Telefon oft besser ist, nutzen erstaunlich viele im Homeoffice nicht das Diensthandy, sondern den privaten Telefonanschluss. Dabei gerät oft in Vergessenheit, dass es in jedem Telefon Anruflisten gibt. Teils lässt sich diese Funktion schlicht ausschalten. Dann ist das Problem gelöst. Wenn das nicht geht oder nicht gewünscht ist, ist ein regelmäßiges Löschen der Listen nötig. Zumindest einmal in der Woche sollte man dies fest einplanen.  

Papierunterlagen sicher aufbewahren!  

Ganz ohne Papier geht es meistens auch im Homeoffice nicht. Wer Unterlagen aus dem regulären Büro mit nach Hause nimmt, ist für sie verantwortlich. Ein eigenes Zimmer für das Homeoffice bleibt für viele ein Traum. Aber mit der Aufbewahrung in einem abgeschlossenen Schrank/Rollschrank ist auch schon viel gewonnen.  

Altpapier datenschutzkonform beseitigen!  

Wo Papier benutzt wird, fällt auch Abfallpapier an. Vielleicht haben Sie ohnehin privat einen kleinen Aktenvernichter im Haus. Egal, ob er nun den Vorgaben für Bürogeräte voll entspricht – es ist besser als nichts. Keinesfalls dürfen Sie Abfallpapier mit personenbezogenen Daten „einfach so“ in die heimische Papiertonne stecken.  

Corona als Auslöser von Kreativität?  

Vielleicht bietet das Homeoffice aber auch einen guten Anlass dazu, von Abläufen mit Papier auf elektronische Abläufe umzustellen. Das geht erstaunlich oft. Corona kann auch kreativ machen!  

Für alle anderen Fragen sprechen Sie uns gerne jederzeit an. Wir sind zertifizierte Datenschützer mit langjähriger Erfahrung.

Mehr lesen

Videokonferenzen im Fokus von Cyberattacken

22 November 2020

Die Zahl der beruflichen und privaten Videokonferenzen hat stark zugenommen. Das weckt das Interesse der Datendiebe. Ohne die erforderlichen Sicherheitsmaßnahmen ist die Vertraulichkeit der Gespräche und ausgetauschten Daten in Gefahr.

Der Berufsalltag wandelt sich

Wissenschaftler gehen davon aus, dass die Corona-Pandemie die Arbeitswelt auch längerfristig verändert. Im Arbeitsalltag werden wohl häufiger virtuelle Treffen anstelle von Konferenzen vor Ort stattfinden.

Leider fehlt vielen Berufstätigen noch die Erfahrung, um Videokonferenzen sicher nutzen zu können. Dadurch gerät der Datenschutz in Gefahr.

Videokonferenzen bergen viele Risiken

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, betont: „Da Videokonferenzen für viele neu sind, haben nicht alle im Blick, welche Risiken damit verbunden sind. Gerade in der Kombination mit Homeoffice ist einiges zu beachten. Um die Teilnehmenden von Videokonferenzen und die besprochenen Inhalte zu schützen, sind technische und organisatorische Sicherheitsmaßnahmen wichtig.“

IT-Sicherheitsexperten warnen davor, dass zum Beispiel ein ungebetener Gast an einer Videokonferenzsitzung teilnehmen könnte, um entweder das Gespräch mitzuhören oder die Sitzung durch den Austausch ungeeigneter Medien zu stören. Ebenso könnten Meeting-Links und -Zugänge gestohlen sowie bösartige Links und Schadsoftware verteilt werden.

Im Juni 2020 warnte zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Angreifer mehrere Schwachstellen in Zoom Video Communications ausnutzen konnten, um Schadcode auszuführen. Unter anderem konnte dies mittels speziell manipulierter animierter Bilddateien geschehen. Für einen Angriff genügte es, die vom Angreifer versendete Datei im Chat empfangen zu haben. Die Datei musste nicht extra geöffnet werden.

Auf eine sichere Lösung kommt es an

Die Aufsichtsbehörden für den Datenschutz warnten in den letzten Monaten vor verschiedenen Lösungen für Videokonferenzen, weil personenbezogene Daten in Gefahr geraten konnten, und empfahlen datenschutzfreundlichere Alternativen.

Die Berliner Beauftragte für den Datenschutz zum Beispiel empfiehlt, zu prüfen,

  • ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen,
  • ob es mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst für Videokonferenzen mit öffentlich verfügbarer oder kommerziell erhältlicher Software bereitzustellen, und
  • ob Lösungen eines Anbieters mit Sitz und Verarbeitungsort, insbesondere Server-Standort, im Europäischen Wirtschaftsraum (EWR) oder aus einem Land mit gleichwertigem Datenschutzniveau den Bedürfnissen des jeweiligen Unternehmens entsprechen.

Der gewählte Anbieter sollte die Daten nur im zulässigen Rahmen verarbeiten und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländischer Behörden – weitergeben, ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen können, die Verschlüsselung der Datenübertragung garantieren und einen ordnungsgemäßen Auftragsverarbeitungsvertrag anbieten.

Auch wichtig: das richtige Verhalten der Teilnehmerinnen und Teilnehmer

Allein die Wahl einer datenschutzgerechten Lösung reicht aber nicht, sie muss auch genutzt werden: Laut einer Kaspersky-Studie verwenden 26 Prozent der deutschen Mitarbeiter nicht genehmigte Videokonferenz-Tools und setzen die eigenen Daten und die Daten des Arbeitgebers möglichen Angriffen aus. Security-Experten beobachten den Trend, der BYOM (Bring Your own Meeting) genannt wird, also die Verwendung privater Videokonferenz-Lösungen zu betrieblichen Zwecken. Das kann gerade im Home-Office leicht passieren.

Bei den „kostenfreien“ Diensten sollte man ganz genau in die Datenschutzbestimmungen schauen. Oftmals zahlen die Nutzer hier mit ihren Daten. Das kann nicht im Sinne von Unternehmen sein und auch nicht im Sinne des Nutzers selbst.

Für den Datenschutz kommt es deshalb auch auf das Verhalten der Teilnehmer an. Die Datenschutzaufsicht von Schleswig-Holstein rät den Teilnehmern an Videokonferenzen insbesondere:

  • Informieren Sie sich bei der organisierenden Person, ob im Zusammenhang mit der Videokonferenz eine Datenschutzerklärung oder eine Datenschutz-Kurzinformation bereitgestellt wird.
  • Testen Sie die Funktionen, mit denen Sie Ihre Privatsphäre schützen können, um sie während der Videokonferenz sicher verwenden zu können, zum Beispiel Ton und/oder Bild deaktivieren.
  • Seien Sie sich bewusst, dass in einer Videokonferenz alle anderen Teilnehmenden zuhören, und geben Sie keine sensiblen Informationen weiter.
  • Schalten Sie Ihr Mikrofon stumm und ggf. die Kamera aus, etwa wenn im Homeoffice andere Personen aus Ihrem Haushalt in den Aufnahmebereich des Mikrofons oder in das Sichtfeld der Kamera kommen.
  • Seien Sie in der Videokonferenz aufmerksam und informieren Sie die organisierende Person bzw. die anderen Teilnehmenden, wenn beispielsweise eine fremde Person den Konferenzraum betritt.

Wir sind TÜV-zertifizierte Datenschutzbeauftragten und stehen Ihnen gerne beratenden zur Seite.

Mehr lesen