Blog

Aktuelle Informationen zum Thema Datenschutz

Vorsicht bei Sammelmails mit offenem Verteiler

Sie schicken eine E-Mail an mehrere Adressaten. In manchen Fällen darf jeder Adressat alle anderen Adressaten sehen, in anderen dagegen nicht. Das kommt Ihnen bekannt vor? Gerade dann lesen Sie bitte unbedingt weiter!

Und täglich grüßt das Murmeltier

„Und täglich grüßt das Murmeltier“ – so lautet der Titel einer Filmkomödie. Der Hauptdarsteller steckt in einer Zeitschleife. Deshalb passiert um ihn herum jeden Tag immer wieder genau dasselbe. Dazu gehört, dass erstmals nach dem Winter die Murmeltiere aus dem Bau kommen. Und das eben jeden Tag aufs Neue. Ähnlich sieht es beim fehlerhaften Umgang mit Mailverteilern aus. Wir können davor warnen, so oft wir wollen. Die Pannen wiederholen sich trotzdem jeden Tag aufs Neue.

Nach wie vor gibt es bei Mails drei Adress-Varianten

Wer eine Mail an mehrere Adressaten schicken will, hat drei Adress-Varianten zur Verfügung:

  • Variante 1: Die Mailadressen aller Adressaten kommen in das „An“-Feld.
  • Variante 2: In das „An“-Feld kommt nur die Mailadresse eines Adressaten. Die Mailadressen aller anderen Adressaten kommen in das „Cc“-Feld.
  • Variante 3: Auch hier kommt in das „An“-Feld nur die Mailadresse eines Adressaten. Die Mailadressen anderer Adressaten kommen in das „Bcc“-Feld.

Nach wie vor besteht ein wichtiger Unterschied zwischen den drei Adress-Varianten

Der Unterschied besteht darin, welche Adressaten die Adressen der anderen Adressaten sehen können – oder eben auch nicht. Hier gilt in guter Murmeltier-Tradition:

  • Bei Variante 1 kann jeder Adressat die Mailadressen aller anderen Adressaten sehen. Denn alle Adressen stehen im selben offenen Adressfeld.
  • Bei Variante 2 ist das genauso. Zwar erhält hier nur der Adressat, der im „An“-Feld steht, die Mail direkt. An alle Adressaten, die im „Cc“-Feld stehen, geht „nur“ eine Kopie dieser Mail. Dabei handelt es sich allerdings um eine offene Kopie. Deshalb sehen hier alle Adressaten die Mailadressen aller anderen Adressaten.
  • Bei Variante 3 ist es dagegen ganz anders. Die Abkürzung „Bcc“ steht für „Blind-Kopie“. Adressaten, die in diesem Adressfeld stehen, können nicht erkennen, wer die Mail sonst noch erhalten hat.

Variante 3 (die mit dem „Bcc“) ist die problemlose Gestaltung

Variante 3 (die mit „Bcc“) passt dann punktgenau, wenn die Adressaten der Mail nichts miteinander zu tun haben und deshalb nichts voneinander wissen sollen. Typisches Beispiel: Eine Marketing-Mail geht an alle Kunden eines Unternehmens.

Daraus ergibt sich diese Faustregel

Diese Variante ist in allen Zweifelsfällen die richtige. Die Faustregel lautet daher: Es ist kein Problem, Variante 3 (die mit dem „Bcc“) zu benutzen, wenn eine Mail an mehrere Adressaten gehen soll. Die Nutzung der anderen beiden Varianten erfordert dagegen immer eine besondere Begründung. So passt Variante 2 (die mit dem „Cc“) etwa dann, wenn zwei Mailpartner sich austauschen und andere Personen davon wissen sollen.

Das kann man nicht oft genug wiederholen

Sie meinen, dass wir bis hier aus Texten abgeschrieben haben, die wir Ihnen schon einmal geschickt haben? Ja, das ist richtig. Es ist aber leider auch notwendig. Denn nahezu alle neuen Tätigkeitsberichte von Aufsichtsbehörden für den Datenschutz schildern entsprechende Fälle. Und allmählich verlieren die Aufsichtsbehörden die Geduld. Bisher waren die rechtlichen Folgen in solchen Fällen meist überschaubar. Das ändert sich aber gerade.

Am Anfang steht die Meldung der Datenschutzverletzung

Wer beispielsweise eine Marketing-Mail an alle Kunden mithilfe von Variante 1 (die mit dem „An“) oder Variante 2 (die mit dem „Cc“) verschickt, hat einen klaren Verstoß gegen die DSGVO begangen. Dieser Datenschutzverstoß ist der Datenschutzaufsicht mithilfe der üblichen Meldeformulare im Internet zu melden. Wer das versäumt, riskiert schon deswegen eine Geldbuße.

Als Nächstes kommt eine Geldbuße

Je nachdem, wie sensibel die Mailadressen sind, kommt es zu einer Geldbuße in unterschiedlicher Höhe. Mailadressen können durchaus sensibel sein. Beispiel: Eine Klinik verschickt aktuelle Informationen an schwangere Frauen, die in der Klinik entbinden wollen. Dass die Frauen schwanger sind, ergibt sich aus dem, was die Klinik ihnen in der Mail schreibt. Das wird dann im Zweifel teuer. Geht es dagegen um eine Werbemail für Bücher, wird die Geldbuße deutlich niedriger ausfallen.

Sperren Sie das Murmeltier endlich ein!

Wenn Sie diesen Text sorgfältig gelesen haben, sollte Ihnen keine Panne mehr mit Mailverteilern passieren. Bildlich gesprochen: Sie haben das Murmeltier erfolgreich in seinem Bau eingesperrt und lassen es dort friedlich schlafen. Das vermeidet Stress im Unternehmen.

Weiter lesen

Keine Updates in der IT, kein Datenschutz

Denken Sie auch, dass die vielen Aktualisierungen in der IT lästig sind? Doch ein Verzicht auf regelmäßige Updates würde den Datenschutz und die Datensicherheit aushöhlen: Viele Datenpannen geschehen, weil es offene Sicherheitslücken in der IT gibt.

Nervige Updates?

Kaum ein Tag vergeht, an dem nicht eine Aktualisierung für IT-Geräte heruntergeladen und eingespielt werden muss. Ob im Beruf oder im Privatleben: Die Apps auf Smartphones und Tablets, die Betriebssysteme und Anwendungen auf den PCs und Notebooks, ja sogar die Fernbedienung und das Smart-TV benötigen immer wieder eine Aktualisierung der Software.

Dabei sind neue Funktionen und Erweiterungen eher die Ausnahme. Schaut man sich an, warum eine Aktualisierung ansteht, wird das Update meist mit notwendigen Fehlerbehebungen begründet. Die meisten Fehler aber sind Probleme für den Betrieb des Geräts und für die Sicherheit der Daten.

IT-Fehler sind oftmals Schwachstellen

Die Fehler in der Software passieren meist ungewollt während der Entwicklung. Die Programmiererinnen und Programmierer entdecken ihre Fehler erst spät oder sogar zu spät. Internetkriminelle suchen aktiv nach Fehlern in der IT, um sie auszunutzen und zum Beispiel Berechtigungen und Zugriffsmöglichkeiten zu erlangen, die sie nicht haben sollten.

Die Fehler in der IT sind deshalb auch Schwachstellen oder Sicherheitslücken. Sie machen die gefürchteten und immer stärker zunehmenden Cyberangriffe erst möglich. Eine IT ohne Schwachstellen ließe sich nicht missbrauchen, doch leider gibt es keine fehlerfreie IT.

Wenn Updates zu spät kommen

Kommt es zu einem Angriff, bevor die Schwachstelle durch Updates, auch Patches genannt, behoben ist, haben die Internetkriminellen und Datendiebe meist leichtes Spiel. Viele Datenschutzverletzungen entstehen durch solche Cyberattacken, die IT-Schwachstellen ausnutzen. Tatsächlich sind IT-Sicherheitslücken und entsprechende Angriffe inzwischen eine der Hauptursachen für Datenpannen, wie die Datenschutzaufsichtsbehörden regelmäßig melden.

Nun könnte man denken, die Schwachstellen werden nicht rechtzeitig behoben, weil es keinen Patch dafür gibt. Das kommt zwar vor. Doch sehr häufig würde es durchaus schon ein Sicherheitsupdate geben, aber das jeweilige Unternehmen oder der betroffene Nutzende haben das verfügbare Update nicht installiert. Teils liegt dies an der Unkenntnis, dass es bereits ein Update gibt. Teils wird aber auch der Aufwand für die vielen Aktualisierungen gescheut.

So sagte zum Beispiel Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein: „Mit Sorge blicke ich auf das Thema Informationssicherheit“. So hätten immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen. „Die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können“, so Marit Hansen weiter.

Viele Schwachstellen bleiben offen, obwohl ein Update verfügbar wäre

Ein Beispiel zeigt, wie gefährlich es sein kann, ein verfügbares Update nicht zu installieren. So berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) davon, dass bei einem weltweit breit gestreuten Angriff Tausende Server mit Ransomware infiziert und kriminell verschlüsselt wurden, um Lösegeld zu erpressen. Dabei nutzten die Angreifer eine Schwachstelle in einer bestimmten IT-Lösung aus, die bereits lange bekannt war und für die es schon länger eine Fehlerbehebung gab.

Es ist zwar auch richtig und wichtig, eine bereits ausgenutzte Schwachstelle zu schließen, also „die Tür zu schließen“, durch die die Angreifenden gekommen waren. Doch weitaus besser wäre es, nicht erst nach dem erfolgreichen Angriff die Empfehlungen zur Behebung der Schwachstellen zu lesen und umzusetzen. Mit dem erfolgreichen Angriff ist es sehr oft bereits zu einer Datenpanne gekommen.

Tipp: Priorisieren, Automatisieren und die Bedeutung der Updates bedenken

Statt die Vielzahl der Updates zu beklagen oder sogar verfügbare Updates nicht zu installieren, sollten Unternehmen wie auch Privatpersonen überlegen, wie sie den zweifellos bestehenden Aufwand verringern, aber auch rechtfertigen können.

Zum einen sind nicht alle Updates gleichermaßen kritisch. Denn die möglichen Folgen einer offenen Schwachstelle unterscheiden sich. In Schwachstellen-Datenbanken gibt es deshalb zu Schwachstellen und Updates in aller Regel eine Bewertung, wie hoch das Risiko durch die jeweilige Schwachstelle ist.

Sind der mögliche Schaden und die Wahrscheinlichkeit eines Angriffs hoch, muss die betreffende Schwachstelle eine hohe Priorität zur Behebung erhalten. Dabei sollten möglichst Lösungen genutzt werden, die Updates automatisch herunterladen und installieren oder aber zumindest auf die verfügbaren Updates hinweisen.

Nicht zuletzt sollte man bedenken: Ohne Updates ist heute kein Datenschutz mehr möglich. Es würden Löcher bleiben, durch die Daten abfließen können, Datenpannen wären oft die Folge. Updates gehören deshalb zum Datenschutz dazu.

Weiter lesen

Wenn die KI zum Datenleck wird

Datenschützer warnen schon länger davor, dass die unbedachte Nutzung von Künstlicher Intelligenz (KI) zum Risiko für die Privatsphäre werden kann. Dienste wie ChatGPT sorgen nun für eine einfache Verbreitung von KI in Unternehmen und Haushalten. Höchste Zeit, den Umgang mit KI zu hinterfragen.

KI: Mehr als ein nützlicher Assistent

Der Chatbot antwortet druckreif auf jede Frage, oder die App malt ein Bild nach Anweisung und im gewünschten Stil – eine breite Öffentlichkeit hat in den vergangenen Wochen und Monaten ausprobiert, was Künstliche Intelligenz inzwischen leisten kann, berichtete der Digitalverband Bitkom. Rund drei Viertel der Bundesbürgerinnen und Bundesbürger (73 Prozent) sind nun der Meinung, dass KI eine Chance ist.

Auch Unternehmen sind offen für KI-Dienste wie ChatGPT & Co: Bereits jedes sechste Unternehmen plant laut Bitkom den KI-Einsatz zur Textgenerierung. „Die aktuellen Entwicklungen in der Künstlichen Intelligenz ermöglichen es uns, erstmals direkt mit der KI zu interagieren, und schaffen völlig neue Einsatzbereiche quer durch alle Branchen“, sagte Bitkom-Präsident Achim Berg. „KI wird künftig zum Büroalltag genauso dazugehören wie heute der PC. KI hat das Potenzial, die massiven Auswirkungen der demografischen Entwicklung und des sich verschärfenden Fachkräftemangels abzufedern.“

Datenschützer sind alarmiert

Datenschutzaufsichtsbehörden weisen auch auf mögliche Risiken hin. KI-Systeme wie ChatGPT, die plötzlich zur Internet-Suche oder zum Schreiben von Texten zu allen möglichen Zwecken Verwendung finden: eine gute Sprachqualität, doch „ausgedachte“ Behauptungen werden wie echte Fakten präsentiert, Betroffenenrechte laufen leer, überzeugende Antworten auf die Fragen des Datenschutzes fehlen, so zum Beispiel das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Als erste Aufsichtsbehörde in Europa hatte die italienische Datenschutzbehörde der Firma OpenAI untersagt, personenbezogene Daten von italienischen Bürgerinnen und Bürgern im Rahmen der Anwendung ChatGPT zu verarbeiten. Zu klären ist insbesondere, wie mit personenbezogenen Daten der Nutzer oder Dritter umgegangen wird. Wer speichert sie, zu welchem Zweck und wie lange?

Neue und verschärfte Sicherheitsrisiken

IT-Sicherheitsforschende warnen davor, dass solche KI-Dienste dafür genutzt werden könnten, bei Cyberangriffen die Opfer leichter zu täuschen, indem zum Beispiel „erfolgreiche“ Phishing-Mails leichter zielgenau erstellt werden können.

Doch auch legitime Nutzerinnen und Nutzer könnten mit solchen KI-Diensten die Datensicherheit aushöhlen, indem sie dem KI-Service vertrauliche Daten übermitteln, die in den Datenbestand des Dienstes aufgenommen, ausgewertet und an Dritte ausgegeben werden könnten. Zum Beispiel könnte womöglich der Versuch, ein Bewerbungsschreiben per KI optimieren zu lassen, zu einer ungewollten Datenweitergabe an Dritte führen.

Verschiedene Unternehmen haben bereits intern Verbote erlassen, vertrauliche Daten in Dienste wie ChatGPT einzutragen. Dieser Gefahr sollten sich aber alle Nutzenden bewusst sein.

Wissen Sie, wie KI-Dienste zum Datenleck werden könnten? Machen Sie den Test!

Frage: Wenn man in einen KI-Dienst seine eigenen Daten eingibt, damit diese zum Beispiel in einen professionellen Lebenslauf verwandelt werden, bleibt dies vertraulich. Stimmt das?

  1. Nein, es ist nicht ohne Weiteres auszuschließen, dass die eingegebenen Daten in den gesamten Datenbestand aufgenommen werden.
  2. Ja, jede Nutzung eines KI-Dienstes ist so vertraulich wie ein Gespräch unter vier Augen, nur zwischen KI und Nutzer oder Nutzerin.

Lösung: Die Antwort 1. ist richtig. KI-Dienste sind darauf angelegt, zu „lernen“, also auf die Eingaben der Nutzenden zu reagieren, um die Antworten immer weiter zu optimieren. Dabei ist es die Idee von KI, aus möglichst vielen Quellen Daten zu beziehen. Ob die Daten dann später für andere Zwecke genutzt werden als die ursprünglichen, ist eine Frage an den Datenschutz, den die KI gewährleistet. Automatisch kann man nicht von der Einhaltung der Zweckbindung ausgehen.

Frage: Antworten, die eine KI gibt, sind sorgfältig geprüft und vertrauenswürdig. Ist das so?

  1. Ja, jede KI basiert auf einer Qualitätssicherung, sodass man den Ergebnissen vertrauen kann.
  2. Nein, die Antworten können fehlerhaft sein. Eine weitere Prüfung ist notwendig.

Lösung: Die Antwort 2. ist richtig. KI-Expertinnen und Experten warnen davor, einer KI einfach zu vertrauen. KI-Lösungen sind nicht fehlerfrei. Es kann sogar sein, dass Dritte eine KI so trainiert haben, dass sie gezielt falsche Antworten gibt, um zum Beispiel Nutzende zu manipulieren. Dazu werden die Trainingsdaten „vergiftet“. Man spricht von Data Poisoning. Es ist denkbar, dass über Antworten von KI Nutzende zu Aktivitäten verleitet werden sollen, die Sicherheitslücken und Datenpannen nach sich ziehen, wie zum Beispiel die Preisgabe von Zugangsdaten und Geschäftsgeheimnissen.

Weiter lesen

Verpflichtung auf das Datengeheimnis 2.0

Allgemein vorgeschrieben ist die Verpflichtung auf das Datengeheimnis durch die DSGVO nicht. Das verblüfft viele, denn nach wie vor gehört sie zu den Ritualen bei der Einstellung. Aber was ist, wenn neue Mitarbeitende die Unterschrift unter die Verpflichtungserklärung verweigern?

Die DSGVO regelt nur einen Spezialfall ausdrücklich

Wer das Stichwort „Verpflichtung auf das Datengeheimnis“ in der DSGVO finden will, muss genau hinsehen. Es taucht lediglich an einer Stelle auf. Nur für Beschäftigte von Auftragsverarbeitern sieht die DSGVO eine ausdrückliche Verpflichtung auf die Wahrung des Datengeheimnisses vor (siehe Art. 28 Abs. 3 Nr. 2b DSGVO). Für andere Beschäftigte ist eine solche förmliche Verpflichtung nicht vorgesehen. Das bedeutet keineswegs, dass die DSGVO das Datengeheimnis gering schätzen würde – im Gegenteil.

Diese Regelung soll denkbare Zweifel ausschließen

Für die DSGVO ist es völlig selbstverständlich, dass es so etwas wie ein Datengeheimnis gibt und dass Beschäftigte es generell beachten müssen. So selbstverständlich, dass sie es nur für den Spezialfall „Beschäftigte von Auftragsverarbeitern“ ausdrücklich hervorhebt. Denn hier könnten sich Zweifel ergeben. Schließlich verarbeiten diese Beschäftigten Daten, die nicht ihrem Arbeitgeber „gehören“, sondern dessen Kunden. Und zu diesen Kunden stehen die Mitarbeiter des Auftragsverarbeiters in keinem eigenen vertraglichen Verhältnis.

Das Datengeheimnis gilt unabhängig davon allgemein

Bei der Verpflichtung auf das Datengeheimnis geht es darum, dass ein Unternehmen seine datenschutzrechtliche „Rechenschaftspflicht“ erfüllen will. Diese Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO festgelegt. Sie besagt: Es genügt nicht, dass ein Unternehmen die Vorgaben der DSGVO einhält. Das Unternehmen muss vielmehr jederzeit nachweisen können, dass dies tatsächlich so ist.

„Wer schreibt, der bleibt“

Zur Einhaltung der DSGVO gehört es, dass ein Unternehmen seinen Mitarbeitern verdeutlicht, welche Pflichten sie im Datenschutz haben. Das erfordert Schulung, Information und Belehrung. Dass so etwas stattgefunden hat, muss schriftlich dokumentiert sein. Denn sonst könnte ein Unternehmen vieles behaupten, ohne dass es nachprüfbar wäre.

Die Verpflichtung ist ein Instrument der Dokumentation

Ein bewährtes Instrument der Dokumentation ist die Verpflichtung von Beschäftigten auf das Datengeheimnis. Aus ihr entstehen für die Beschäftigten keine Pflichten, die nicht ohnehin vorhanden wären. Insofern haben sie auch keinen sachlichen Grund, die Unterschrift unter eine solche Verpflichtung zu verweigern.

Beschäftigte sind zur Unterschrift nicht verpflichtet

Andererseits können sie gerade deswegen auch nicht zu einer Unterschrift gezwungen werden. Es gibt dafür schlicht keine Rechtsgrundlage. Niemand muss durch seine Unterschrift die Beachtung von Pflichten bestätigen, wenn eine solche Bestätigung nirgends gesetzlich angeordnet ist. Schließlich käme auch niemand auf die Idee, von Beschäftigten beispielsweise eine schriftliche Bestätigung dafür zu fordern, dass sie niemals etwas am Arbeitsplatz stehlen werden. Das Verbot, Dinge zu stehlen, gilt völlig unabhängig von einer solchen Unterschrift.

Ein Vermerk über die Verweigerung genügt

Damit liegt auf der Hand, wie ein Unternehmen damit umgehen sollte, wenn ein Beschäftigter die Verpflichtung auf das Datengeheimnis nicht unterschreiben will. Es genügt, dass das Unternehmen die Weigerung in seinen Unterlagen vermerkt. Eine kurze Notiz „Unterschrift verweigert“ reicht aus. Zur Sicherheit sollte die Notiz mit einem Datum versehen sein und den Namen oder das Namenskürzel desjenigen enthalten, der die Verpflichtung vornehmen wollte.

Der Vermerk dient der Dokumentation

Damit hat das Unternehmen seine Dokumentationspflicht erfüllt. Und der Beschäftigte kann sich nicht irgendwann darauf herausreden, er habe seine Pflichten nicht gekannt. Ein ausdrücklicher Hinweis an den Beschäftigten, dass die Verweigerung der Unterschrift an seinen Pflichten nicht das Geringste ändert, kann dabei sinnvoll sein.

Der Begriff „Beschäftigte“ ist hier sehr weit zu fassen

Die dauerhaft Beschäftigten bilden in Unternehmen normalerweise die Kerngruppe der Personen, die auf das Datengeheimnis verpflichtet werden. Selbstverständlich müssen jedoch auch befristet Beschäftigte, Azubis, Praktikanten und Leiharbeiter die Vorgaben der DSGVO beachten. Gerade für sie ist das möglicherweise nicht so selbstverständlich wie für die Kernbelegschaft. Sie müssen deshalb unbedingt ebenfalls verpflichtet werden.

Weiter lesen

Einladungen zu Bewerbungsgesprächen

An Gesprächen mit Bewerbern nehmen in einem Unternehmen normalerweise mehrere Personen teil. Eine Termineinladung über Outlook bringt die Akteure zusammen. Welche Informationen über den Bewerber oder die Bewerberin dürfen dabei im Outlook-Kalender und in der Outlook-Einladung enthalten sein?

Bewerbungsgespräche erfordern Terminvereinbarungen

Ein Unternehmen erhält immer wieder Vermittlungsangebote der Agentur für Arbeit. Die Termine für die nötigen Bewerbungsgespräche lässt es im Outlook-Kalender eintragen. Die Eintragungen enthalten immer den Namen des Bewerbers oder der Bewerberin und Angaben zu der Stelle, auf die sich das Vermittlungsangebot bezieht. In manchen Fällen kommen noch weitere Informationen hinzu. Vor allem wird festgehalten, ob der Bewerber früher schon einmal Vorstellungstermine versäumt hat.

Eintragungen im Outlook-Kalender sind rasch ein Problem

Das Unternehmen war unsicher, ob das alles so korrekt ist. Deshalb bat es das Bayerische Landesamt für Datenschutzaufsicht um Beratung. Die Antwort des Landesamts fällt differenziert aus.

Keine Probleme hat es damit, dass der Name des Bewerbers im Kalender und in der Einladung steht. Es hat auch nichts dagegen, dass das Stichwort „Bewerbungsgespräch“ enthalten ist. Bei allem, was darüber hinausgeht, sieht es aber erhebliche Probleme.

Zugriffs- und Löschungskonzept müssen funktionieren

Unternehmen dürfen Daten von Personen, die sich bewerben, nur an einem Speicherort speichern, der dazu aus der Sicht des Datenschutzes geeignet ist. Dafür muss der Speicherort zwei Kriterien genügen:

  • Zum einen muss ein Zugriffskonzept vorhanden sein. Es muss also genau definiert sein, wer auf die Daten zugreifen kann.
  • Zum anderen muss für den Speicherort ein Löschkonzept bestehen. Es muss also feststehen, wann gespeicherte Daten wieder gelöscht werden. Sie dürfen nur so lange gespeichert werden, wie das erforderlich ist.

Bei Outlook-Kalendern ist das oft schwierig

Wichtig dabei: All dies darf nicht nur auf dem Papier stehen. Vielmehr muss es in der Realität auch tatsächlich „gelebt“ werden. Mit Recht bemerkt das Landesamt, dass diese beiden Kriterien bei Outlook-Kalendern in der Praxis kaum je erfüllt werden. Dies scheitert schon an den üblichen Vertretungsregelungen für Mail-Postfächer. Sie führen dazu, dass immer wieder auch solche Mitarbeiter Daten wahrnehmen können, die überhaupt nicht an Bewerbungsgesprächen beteiligt sind.

Outlook verleitet zu großzügigen Zugriffsregelungen

Aber auch die Kalenderfreigaben sind vielfach sehr großzügig ausgestaltet. Das soll Terminplanungen mit mehreren Beteiligten erleichtern. Es kann aber auch dazu führen, dass Mitarbeiter Zugriff auf Kalenderdaten haben, obwohl es nicht erforderlich wäre. Dasselbe gilt bei Gruppenpostfächern, auf die mehrere Personen Zugriff haben.

Ergänzende Unterlagen gehören nicht in Outlook-Kalender

Vor diesem Hintergrund will das Landesamt nichts davon wissen, dass Bewerbungsunterlagen, Gesprächsnotizen und Vorbereitungsvermerke für ein Bewerbungsgespräch im Outlook-Kalender gespeichert werden. Sie gehören aus seiner Sicht dort nicht hin, sondern vielmehr in die Obhut der Stelle, die für Personalangelegenheiten im Unternehmen zuständig ist. Sie kann den Personen einen Zugriff einräumen, die am konkreten Bewerbungsverfahren mitwirken.

Die Löschung aller Daten muss sichergestellt sein

Besonderen Wert legt das Landesamt auf die ordnungsgemäße Löschung der Daten nach dem Abschluss eines Bewerbungsverfahrens. Dabei sieht es durchaus, dass auch dann noch ein Zugriff auf Bewerberdaten erforderlich sein kann. Das gilt etwa, wenn Berichtspflichten des Unternehmens gegenüber der Agentur für Arbeit bestehen.

Der Auskunftsanspruch von Bewerbern geht sehr weit

In der Praxis sollte man sich die Frage stellen, ob man nicht sogar auf den Namen des Bewerbers im Outlook-Kalender verzichten sollte. Denn es kommt immer wieder vor, dass ein Bewerber Auskunftsansprüche nach Art. 15 DSGVO geltend macht.

Dies ist besonders häufig, wenn jemand die Stelle nicht bekommen hat und beispielsweise behauptet, das liege an einer Diskriminierung seiner Person. Viele Juristen sind der Auffassung, dass sich der Auskunftsanspruch dann auch auf die Eintragungen im Outlook-Kalender erstreckt.

Das kann großen Aufwand auslösen

Der Aufwand, der dadurch entsteht, ist erheblich. Das Unternehmen muss nämlich den gesamten Outlook-Kalender durchsuchen lassen. Außerdem ist unter Umständen eine Abfrage dazu erforderlich, welche Mitarbeiter Eintragungen daraus übernommen und lokal abgespeichert haben. Dies alles lässt sich vermeiden, wenn der Name des Bewerbers nicht in den Outlook-Kalender aufgenommen wird.

Weiter lesen

Das sind die Tricks bei Cookie-Bannern

Cookie-Banner sind unbeliebt und lästig. Und schuld daran ist der Datenschutz, so denken viele. Doch das stimmt nicht. Aber das ist nicht das Einzige, was bei Cookie-Bannern häufig nicht richtig ist. Viele Cookie-Banner missachten Vorgaben.

Nicht der Datenschutz will Cookie-Banner

Eine gut gemachte und faire Internetseite benötigt kein Cookie-Banner, weil sie nur technisch notwendige Cookies verwendet, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber.

Es sind die Website-Betreibenden, die personenbezogene Daten sammeln möchten und deshalb über Cookie-Banner die erforderliche Einwilligung der Nutzenden einholen müssen. Aber das ist nicht alles: Es sind nicht nur die Betreiber der betreffenden Websites, die Cookie-Banner notwendig machen. So manche arbeiten dabei auch mit unfairen oder rechtswidrigen Mitteln.

Datenschutzaufsichtsbehörden berichten von Tricks bei Cookie-Bannern

Der Ausschuss der Datenschutzaufsichtsbehörden in der EU (Europäischer Datenschutzausschuss) hatte dazu eine Task Force Cookie-Banner gebildet, die nun ihren Abschlussbericht veröffentlicht hat. Darin sind viele Abweichungen von den Vorgaben für eine rechtsgültige, freiwillige und informierte Einwilligung beschrieben, die bei Cookie-Bannern verschiedener Websites aufgedeckt wurden.

Öffnet man zum Beispiel eine Webseite und baut sich dort ein Cookie-Banner auf, das es leicht macht, alle Cookies zu akzeptieren, wo aber ein Ablehnen der optionalen Cookies augenscheinlich nicht möglich ist, dann entspricht dies nicht den rechtlichen Vorgaben. Die fehlende Schaltfläche zum Ablehnen der Cookies ist jedoch nur ein Beispiel von vielen.

Viele Cookie-Banner sind irreführend

Der Bericht der Task Force Cookie-Banner zeigt, wie vielfältig die Tricks bei Cookie-Bannern sein können, mit denen Website-Betreiber die Einwilligung der betroffenen Nutzenden nicht erfragen, sondern vielmehr erschleichen wollen:

  • Betreiber von Websites stellen Optionen zur Auswahl dar mit vorab angekreuzten Kästchen.
  • Die Cookie-Banner enthalten einen Link und keine Schaltfläche, um die Cookies abzulehnen. Dabei wird das Ablehnen erst durch Öffnen mehrerer Unterseiten möglich. Das verkompliziert und erschwert eine Ablehnung.
  • Der „Akzeptieren“-Button ist deutlich hervorgehoben, die Schaltfläche „Alle akzeptieren“ ist gut sichtbar, Schaltflächen für das Ablehnen oder für andere Optionen dagegen nicht.
  • Website-Betreiber bezeichnen Cookies als „wesentlich“ oder „unbedingt erforderlich“, die aber technisch nicht erforderlich sind und nur der Sammlung personenbezogener Daten dienen, sodass das Ablehnen optionaler Cookies diese nicht betrifft.

Tipp: Lieber verzichten als auf Tricks reinzufallen

Treffen Sie auf eine Website, die es komplizierter macht, optionale Cookies abzulehnen als sie zu akzeptieren, ist Vorsicht angesagt. Cookies, die nicht technisch erforderlich sind, um den gewünschten Onlinedienst zu erbringen, müssen freiwillig sein. Es muss umfassende Informationen darüber geben, wie sie genutzt werden sollen und was mit den auf diese Art gesammelten personenbezogenen Daten geschehen soll.

Cookie-Banner, die gegen die Vorgaben einer informierten und freiwilligen Einwilligung verstoßen, sind genau wie unvollständige oder fehlende Datenschutzerklärungen ein Warnzeichen. Wo immer möglich, verzichten Sie auf den Besuch solcher Websites.

Weiter lesen

So wird Filesharing nicht zum Risikoaustausch

In Zeiten von Homeoffice und mobiler Arbeit müssen auch größere Dateien mit anderen Nutzenden ausgetauscht werden. Datenaustausch über Filesharing-Dienste ist deshalb beliebt, leider aber nicht automatisch sicher. Denken Sie an zusätzliche Schutzmaßnahmen.

Das Problem der großen Dateien

Von zu Hause aus zu arbeiten, ist seit Ausbruch der Corona-Pandemie zur neuen Normalität in der Arbeitswelt geworden. Auch in Zukunft werden dezentrale und hybride Arbeitsformen weiter an Bedeutung gewinnen, versichern Marktforscher. Doch was bedeutet das für Ihren Arbeitsalltag?

Ob Sie selbst im Büro, im Homeoffice oder unterwegs sind – es ist nur eine Frage der Zeit, dass Sie eine große Datei verschicken müssen. Sei es die neue Kundenpräsentation, das hochauflösende Foto vom neuen Messestand oder die Demo-Version einer Software, die ein Kollege beim Kunden vorstellen soll.

Wie aber überträgt man große Dateien? Als E-Mail-Anhang? Nicht nur die oftmals fehlende E-Mail-Verschlüsselung kann hier ein Problem sein. Große Dateien sind nicht wirklich als E-Mail-Anhang geeignet, entsprechend warnen viele E-Mail-Programme bereits beim Versuch.

Filesharing ist zunehmend beliebt

Anstatt die großen Dateien direkt per E-Mail zu verschicken, reicht es bei Filesharing-Diensten, einen Link als E-Mail zu versenden. Zuvor lädt man die Dateien in ein Filesharing-Verzeichnis und erzeugt den Link, den der Empfänger erhalten soll.

Das klingt einfach. Ist es auch, aber leider ist es nicht automatisch sicher, die Dateien über einen Filesharing-Dienst auszutauschen.

Das beginnt bereits damit, dass Sie sich fragen sollten, wohin Sie eigentlich die Dateien übertragen, damit sie in dem Austauschverzeichnis liegen. Meist steckt ein Cloud-Dienst dahinter, oftmals betrieben von einem Anbieter jenseits EU. So stellt sich bei personenbezogenen Daten die Frage, ob die Übertragung an den Filesharing-Dienst denn zulässig ist oder nicht.

Unklarer Speicherort, unsicherer Versand von Links

Neben der Frage, wohin Sie eigentlich die Dateien, die Sie austauschen möchten, übertragen, sollten Sie bei Filesharing auf die Datensicherheit achten. Erscheint der Datenaustausch sehr komfortabel, ist er leider meist nicht sicher genug. Generiert der Dienst zum Beispiel einen Link, den Sie auf Knopfdruck an eine E‑Mail-Adresse Ihrer Wahl versenden können, erzeugt das eine einfache E-Mail, die jeder Empfänger öffnen und bei der jeder auf den Link klicken kann. Ein Fehler in der E-Mail-Adresse führt dann dazu, dass womöglich unbefugte Dritte die Datei herunterladen können.

Besser ist es, wenn der Link allein nicht ausreicht, sondern ein Einmal-Passwort erzeugt wird, das der Empfänger benötigt und das auf einen anderen Weg an den Empfänger übertragen wird. Ein Passwort, das in der gleichen E-Mail steht wie der Link ist, bringt dagegen nichts.

Prüfen Sie also genau, welche Sicherheitsfunktionen der Filesharing-Dienst, den Sie nutzen möchten, anbietet. Verwenden Sie beruflich nur den Filesharing-Dienst, der im Unternehmen zugelassen ist.

Denken Sie auch an die Risiken, wenn Sie selbst einen Link erhalten, um über Filesharing eine größere Datei herunterladen zu können. Ist es wirklich der angegebene Absender? Was verbirgt sich tatsächlich hinter dem Link? Ist die Datei womöglich verseucht?

Sie sehen: Filesharing-Dienste vereinfachen zwar den Datenaustausch. Sie liefern aber nicht automatisch Sicherheit mit. Daher können mit dem Datenaustausch leicht zu übersehende Risiken verbunden sein.

Wissen Sie, was zu sicherem Filesharing gehört? Machen Sie den Test!

Frage: Dateien aus Filesharing-Diensten sind immer virenfrei. Stimmt das?

  1. Nein. Gelangt Malware in das Austauschverzeichnis, könnte sich die Malware auch hinter dem generierten Link verbergen, der per E-Mail verteilt wird.
  2. Ja, Filesharing ist immer mit einem Malware-Schutz verknüpft, der melden würde, wenn es sich um Schadsoftware handelt.

Lösung: Die Antwort 1. ist richtig. Sie können nicht davon ausgehen, dass die Dateien, die in einem Austauschverzeichnis liegen, auf Malware hin untersucht wurden. Prüfen Sie also selbst, ob die Dateien verseucht sind, bevor Sie diese übertragen. Als Empfänger eines Links sollten Sie diesen mit einem Link-Scanner überprüfen, bevor Sie die Datei herunterladen.

Frage: Die Datei, zu der der Link führt, liegt auf dem Computer des Absenders. Ist das so?

  1. Ja, der Filesharing-Dienst stellt nur die Verbindung zwischen den Rechnern her.
  2. Nein, die Datei wird zuvor auf der Filesharing-Plattform abgelegt, also dort zwischengespeichert.

Lösung: Die Antwort 2. ist richtig. Bei Filesharing geht es nicht um die Verknüpfung von Computern, sondern um die Übertragung von Dateien. Anstatt eine Datei direkt zu verschicken, lädt man sie bei Filesharing auf eine Plattform. Von dort lädt sie der Empfänger dann herunter. Deshalb wird die Datei an einen Dritten, den Filesharing-Betreiber, übertragen und von ihm gespeichert. Entsprechend muss bei dem Betreiber geklärt sein, ob der Datenschutz angemessen ist.

Weiter lesen

Auftragsverarbeitung im Fokus der Datenschutz-Aufsicht

Kommen externe Dienstleister ins Spiel, kann eine Auftragsverarbeitung vorliegen. Lesen Sie, warum dieses Thema gerade jetzt besonders aktuell ist.

Ausgangspunkt sind Webhosting-Verträge

Ohne Internetseite kommt heute kein Unternehmen mehr aus. Zahlreiche Unternehmen haben außerdem einen Online-Shop. Gerade während Corona haben sich Online-Shops vielfach als unentbehrlich erwiesen. Um Webseiten und Online-Shops professionell betreiben zu können, wird in aller Regel ein externer Dienstleister eingeschaltet, also ein Webhoster. Er arbeitet auf der Basis eines Webhosting-Vertrags.

Webhosting ist Auftragsverarbeitung

Dass Webhosting eine Auftragsverarbeitung im Sinn der DSGVO darstellt, ist allgemeine Meinung. Denn der Auftraggeber macht dem Webbrowser genaue Vorgaben dafür, wie seine Internetseite oder sein Online-Shop betrieben werden sollen. In der Sprache des Datenschutzrechts handelt es sich dabei um Weisungen des Auftraggebers an den Auftragsverarbeiter.

Die Aufsichtsbehörden sind vielfach unzufrieden

Die Datenschutz-Aufsichtsbehörden haben prinzipiell nichts gegen Auftragsverarbeitung. Allerdings rügen sie häufig, dass aus ihrer Sicht in den Verträgen über die Auftragsverarbeitung wichtige Details fehlen. Außerdem beanstanden sie immer wieder, dass zwar von der Papierform her alles korrekt wirkt, es aber an einer ausreichenden praktischen Umsetzung der vertraglichen Regelungen fehlt.

Sie führen deshalb eine gemeinsame Prüfaktion durch

Ob die Kritik der Aufsichtsbehörden immer wirklich berechtigt ist, kann dahinstehen. Viel entscheidender ist, dass gleich sechs Aufsichtsbehörden vereinbart haben, das Thema „Auftragsverarbeitung beim Webhosting“ gemeinsam aufzugreifen. Dabei handelt es sich um die Aufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt. Seit Mitte 2022 führen sie eine sogenannte koordinierte Prüfung durch. Dies bedeutet, dass sie eine gemeinsame Checkliste entwickelt haben. Auf ihrer Basis treten sie an Unternehmen heran und stellen eingehende Fragen.

Unternehmen dürfen Anfragen nicht ignorieren

Die beteiligten Aufsichtsbehörden schreiben eine große Zahl von Unternehmen an und fordern sie auf, zunächst einen umfassenden Fragebogen auszufüllen. Dies löst beträchtlichen Aufwand aus. Viele Fragen lassen sich nicht sorgfältig beantworten, ohne vorher die Abläufe im Unternehmen umfassend durchzugehen. Dies berührt dann oft auch Abteilungen, die beispielsweise mit dem Online-Shop an sich unmittelbar nichts zu tun haben. Es geht aber nicht anders. Denn ein Unternehmen, das Fragen unvollständig oder sogar falsch beantwortet, riskiert eine Geldbuße.

Die Prüfaktion hat so etwas wie Fernwirkungen

Jedem Fachmann ist klar: Falls die Prüfaktion zum Webhosting aus der Sicht der Aufsichtsbehörden relevante Erkenntnisse bringt, werden ähnliche Prüfaktionen folgen. Dabei wird es jeweils um unterschiedliche Formen der Auftragsverarbeitung gehen. Das ist der Grund dafür, warum das Thema Auftragsverarbeitung insgesamt momentan einige Wellen schlägt.

Ohne Vertrag ist Auftragsverarbeitung nicht erlaubt

Gar nicht selten kommt es vor, dass eine Auftragsverarbeitung vorliegt und auch ein zuverlässiger Auftragsverarbeiter als Dienstleister tätig ist. Einen schriftlichen Vertrag gibt es allerdings nicht. Man meint vielmehr, entsprechende Auftragsscheine und Abrechnungen würden ausreichen. Das sieht die DSGVO allerdings anders:

  1. Sie legt fest, dass ein ausdrücklicher Vertrag nötig ist.
  2. Sie macht genaue Vorgaben zu seinem Inhalt.
  3. Sie fordert einen dokumentierten Vertragstext (schriftlich oder elektronisch).

Das Thema „Unterauftrag“ verlangt besondere Aufmerksamkeit

Beim Thema „Unterauftrag“ ist die DSGVO ebenso klar und eindeutig. Sie legt fest, dass ein Auftragsverarbeiter nur dann einen weiteren Auftragsverarbeiter einschalten darf, wenn der Auftraggeber dies schriftlich genehmigt hat. Hier geht es also nicht ohne Schriftform. Manchmal liegt ein Vertrag vor, der Unteraufträge nicht vorsieht. Dann entsteht aber trotzdem kurzfristig der Bedarf, einen Unterauftragnehmer einzuschalten. Der Vertrag muss deshalb nicht unbedingt geändert werden. Nötig ist dann aber jedenfalls eine schriftliche Erlaubnis.

Bitte bleiben Sie geduldig

Nachfragen zum Thema Auftragsverarbeitung können durchaus nerven, vor allem wenn gerade viel los ist. Angesichts der Aktionen der Aufsichtsbehörden haben sie allerdings gute Gründe. Deshalb kooperieren Sie bitte.

Weiter lesen

Der Weg zum Privacy Shield II

Datenübermittlungen in die USA sind für viele Unternehmen wichtiger denn je. Tragfähige Rechtsgrundlagen hierfür fehlen jedoch zum Teil. Gerade Praktiker warten deshalb dringend auf den „Privacy Shield II“. Lesen Sie, was es damit auf sich hat und wann dieser „Schild“ verfügbar sein könnte.

Angemessenheitsbeschluss heißt das Zauberwort

Die USA sind in der Sprache der Datenschutz-Grundverordnung (DSGVO) ein Drittland, also ein Land außerhalb des Geltungsbereichs der DSGVO. Datenübermittlungen dorthin sind zulässig, wenn die Europäische Kommission beschlossen hat, dass dort ein angemessenes Schutzniveau herrscht. Sobald ein solcher Beschluss vorliegt, bedürfen Datenübermittlungen keiner besonderen Genehmigung durch die Aufsichtsbehörden. So regelt es Art. 45 Abs. 1 DSGVO.

Mit dem Privacy Shield I war etwa vier Jahre lang alles gut

Eine solchen Beschluss der Europäischen Kommission gab es tatsächlich schon einmal. Er betraf den „Privacy Shield I“. Dabei handelte es sich um Datenschutzvorkehrungen, die zwischen der EU und den USA für Datenübermittlungen in die USA vereinbart worden waren. Mitte Juli 2016 fasste die Europäische Kommission auf ihrer Basis einen Angemessenheitsbeschluss. Er hielt fast auf den Tag genau vier Jahre. Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Beschluss allerdings für nichtig. Das geschah durch das Urteil „Schrems II“.

Seit 2020 bemüht man sich um einen Privacy Shield II

Seither herrscht eine gewisse rechtliche Konfusion. Natürlich gibt es durchaus noch einige andere Rechtsgrundlagen für Datenübermittlungen in die USA, etwa eine Einwilligung des Betroffenen. Sie verursachen aber viel Aufwand und sind für eine Übermittlung von Daten vieler Personen praktisch fast nicht zu handhaben. Deshalb haben die USA und die EU nach der Entscheidung „Schrems II“ sofort damit begonnen, den für nichtig erklärten „Privacy Shield I“ durch einen „Privacy Shield II“ zu ersetzen. Diese Bemühungen sind jetzt in ein entscheidendes Stadium getreten.

Dem EuGH missfielen am Privacy Shield I zwei zentrale Punkte

Den EuGH störten am „Privacy Shield I“ vor allem zwei Dinge:

  • Zum einen monierte er, dass die US-Geheimdienste nach dem Recht der USA in keiner Weise an den Grundsatz der Verhältnismäßigkeit gebunden sind, wenn sie personenbezogene Daten erheben.
  • Zum anderen rügte er, dass Nicht-US-Bürger gemäß dem Recht der USA keinerlei Rechtsschutz gegen derartige Datenerhebungen hätten.

US-Präsident Biden hat mit einer Executive Order reagiert

Die USA haben sich vom Prinzip her bereit erklärt, diese beiden Schwachstellen zu beheben. Das ist nach dem Recht der USA allerdings gar nicht so einfach. Beschritten wurde der Weg, dass US-Präsident Biden am 07.10.2022 eine sogenannte „Executive Order“ erlassen hat. Dabei handelt es sich um eine verbindliche Anweisung des Präsidenten an alle US-Bundesbehörden. Damit gilt sie auch für alle US-Geheimdienste. Denn Geheimdienste gibt es in den USA nur auf Bundesebene.

Die Executive Order legt den Geheimdiensten gewisse Fesseln an

Bisher konnten die US-Geheimdienste selbst entscheiden, welche Maßnahmen zur Beschaffung und Auswertung von Daten sie für erforderlich hielten. Künftig müssen sie jedes Jahr im Voraus eine Art Rahmenplan erstellen. Er bedarf der Billigung durch den jeweiligen US-Präsidenten. Veröffentlicht wird er jedoch selbstverständlich nicht. Zugleich hat die Executive Order eine Institution eingerichtet, die sie als „Data Protection Review Court“ bezeichnet. Dieses „Gericht“ soll auch Nicht-US-Bürgern Rechtsschutz gewähren.

Jetzt ist die Europäische Kommission am Zug

Nun liegt der Ball, bildlich gesprochen, bei der Europäischen Kommission. Sie muss sich darüber einig werden, ob die getroffenen Maßnahmen der USA ausreichen, um einen Angemessenheitsbeschluss erlassen zu können. Erst wenn das geschehen ist, hat die Praxis wieder eine Rechtsgrundlage, die in ihrer Wirkung dem früheren Privacy Shield I entspricht. Die Diskussion darüber, ob ein solcher Angemessenheitsbeschluss möglich ist, läuft im Augenblick. Einbezogen sind dabei intern auch die Aufsichtsbehörden der EU-Mitgliedstaaten. Belastbare Ergebnisse sind noch nicht bekannt.

Möglicherweise gibt es im April 2023 den Durchbruch

Selbstverständlich gibt es Stimmen, die den jetzt gewählten Lösungsansatz kritisieren. Mit an der Spitze steht dabei Herr Schrems, Rechtsanwalt in Österreich, nach dem gleich zwei EuGH-Urteile benannt sind. In Brüssel ist zu hören, dass man sich bis etwa April 2023 einen Angemessenheitsbeschluss zutraut. Die Praktiker in den Unternehmen wären mit Sicherheit begeistert, wenn dies gelingen würde.

Weiter lesen

Ist Ihr Smartphone sicher genug?

Smartphones sind für viele zum täglichen Begleiter geworden. Trotzdem wird die Sicherheit bei Smartphones weiterhin vernachlässigt. Das kann gefährliche Folgen haben. Denn Smartphones dienen zunehmend als Identitätsnachweis.

Ohne Smartphone geht es für viele nicht mehr

„Die Faszination für Smartphones ist so groß wie nie“, so Markus Haas, Präsidiumsmitglied im Digitalverband Bitkom. „Sie informieren und unterhalten uns, steigern unsere Produktivität und unterstützen uns in vielen Lebenslagen. Smartphones stehen für Innovation und Wachstum.“

Dies bestätigt eine Bitkom-Umfrage: Für nahezu alle Nutzerinnen und Nutzer (96 Prozent) sind Smartphones eine große Erleichterung im Alltag. Neun von zehn (90 Prozent) können sich ein Leben ohne Smartphone nicht mehr vorstellen.

Umso wichtiger ist es, für die notwendige Datensicherheit bei den Smartphones zu sorgen.

Smartphones werden immer noch schlechter als PCs geschützt

Obwohl es gerade die smarten Funktionen zusätzlich zum Telefonieren sind, die die Smartphones so beliebt machen, denken immer noch viele Nutzerinnen und Nutzer, sie hätten ein „Handy“ dabei, also ein Mobiltelefon. Doch bekanntlich sind Smartphones mehr Computer als Telefon.

Trotzdem werden Computer wie PCs und Notebooks anders und besser abgesichert als Smartphones, wie aktuelle Umfragen belegen.

Mit 96 Prozent haben fast alle Smartphone-Nutzer eine Bildschirmsperre eingestellt, neun von zehn (90 Prozent) haben einen SIM-Karten-Schutz aktiv. Dabei sperrt sich das Handy, sobald die SIM-Karte entfernt wird. Aber nur etwa jeder Zweite (55 Prozent) erstellt auch regelmäßig Backups seiner Smartphone-Daten. Virenschutzprogramme haben 43 Prozent installiert. Jeder Sechste (16 Prozent) deckt seine Smartphone-Kamera ab.

Wie ist es bei Ihnen? Schützen auch Sie Ihren „täglichen Begleiter“ Smartphone schlechter als den PC?

Bedeutung des Smartphones steigt und damit die Risiken

Bereits 13 Prozent nutzen einen Passwort-Safe, um Passwörter auf dem Smartphone zentral zu verwalten. Das ist nur ein Beispiel dafür, dass Smartphones zunehmend als Sicherheitswerkzeuge genutzt werden. Smartphones sind auch die häufigste Basis für den zweiten Faktor bei Online-Banking und Online-Shopping, zum Beispiel über den Fingerabdruck-Sensor.

Denkt man dann noch an mobiles Bezahlen per Smartphone, an digitale Impfzertifikate und Pläne für digitale Ausweise, die auf dem Smartphone gespeichert werden, ist schnell klar, dass Smartphones zu einem immer größeren Sicherheitsrisiko werden, wenn der Smartphone-Schutz nicht stimmt.

Denken Sie an die Smartphone-Sicherheit, im Privatleben und im Beruf

Gleich ob Sie Ihr Smartphone nur privat oder auch beruflich nutzen: Überprüfen Sie umgehend, ob Sie diesen Schutz bereits aktiv haben:

  • regelmäßig Smartphone-Betriebssysteme wie Android oder iOS aktualisieren
  • regelmäßig Updates für Apps installieren
  • Bildschirmsperre nutzen
  • in aller Regel bereits verfügbare Verschlüsselung für die Daten auf dem Smartphone nutzen
  • keine Apps außerhalb der App-Stores installieren
  • Verbindungen über WLAN und Bluetooth nach Nutzung abschalten
  • an Diebstahl- und Verlustrisiko denken
  • eine professionelle Sicherheits-App installieren

Schützen Sie Ihren „täglichen Begleiter“, um die Vorteile eines Smartphones ohne die damit verbundenen Datenrisiken nutzen zu können!

Weiter lesen