Blog

Aktuelle Informationen zum Thema Datenschutz

So wird Filesharing nicht zum Risikoaustausch

05 März 2023

In Zeiten von Homeoffice und mobiler Arbeit müssen auch größere Dateien mit anderen Nutzenden ausgetauscht werden. Datenaustausch über Filesharing-Dienste ist deshalb beliebt, leider aber nicht automatisch sicher. Denken Sie an zusätzliche Schutzmaßnahmen.

Das Problem der großen Dateien

Von zu Hause aus zu arbeiten, ist seit Ausbruch der Corona-Pandemie zur neuen Normalität in der Arbeitswelt geworden. Auch in Zukunft werden dezentrale und hybride Arbeitsformen weiter an Bedeutung gewinnen, versichern Marktforscher. Doch was bedeutet das für Ihren Arbeitsalltag?

Ob Sie selbst im Büro, im Homeoffice oder unterwegs sind – es ist nur eine Frage der Zeit, dass Sie eine große Datei verschicken müssen. Sei es die neue Kundenpräsentation, das hochauflösende Foto vom neuen Messestand oder die Demo-Version einer Software, die ein Kollege beim Kunden vorstellen soll.

Wie aber überträgt man große Dateien? Als E-Mail-Anhang? Nicht nur die oftmals fehlende E-Mail-Verschlüsselung kann hier ein Problem sein. Große Dateien sind nicht wirklich als E-Mail-Anhang geeignet, entsprechend warnen viele E-Mail-Programme bereits beim Versuch.

Filesharing ist zunehmend beliebt

Anstatt die großen Dateien direkt per E-Mail zu verschicken, reicht es bei Filesharing-Diensten, einen Link als E-Mail zu versenden. Zuvor lädt man die Dateien in ein Filesharing-Verzeichnis und erzeugt den Link, den der Empfänger erhalten soll.

Das klingt einfach. Ist es auch, aber leider ist es nicht automatisch sicher, die Dateien über einen Filesharing-Dienst auszutauschen.

Das beginnt bereits damit, dass Sie sich fragen sollten, wohin Sie eigentlich die Dateien übertragen, damit sie in dem Austauschverzeichnis liegen. Meist steckt ein Cloud-Dienst dahinter, oftmals betrieben von einem Anbieter jenseits EU. So stellt sich bei personenbezogenen Daten die Frage, ob die Übertragung an den Filesharing-Dienst denn zulässig ist oder nicht.

Unklarer Speicherort, unsicherer Versand von Links

Neben der Frage, wohin Sie eigentlich die Dateien, die Sie austauschen möchten, übertragen, sollten Sie bei Filesharing auf die Datensicherheit achten. Erscheint der Datenaustausch sehr komfortabel, ist er leider meist nicht sicher genug. Generiert der Dienst zum Beispiel einen Link, den Sie auf Knopfdruck an eine E‑Mail-Adresse Ihrer Wahl versenden können, erzeugt das eine einfache E-Mail, die jeder Empfänger öffnen und bei der jeder auf den Link klicken kann. Ein Fehler in der E-Mail-Adresse führt dann dazu, dass womöglich unbefugte Dritte die Datei herunterladen können.

Besser ist es, wenn der Link allein nicht ausreicht, sondern ein Einmal-Passwort erzeugt wird, das der Empfänger benötigt und das auf einen anderen Weg an den Empfänger übertragen wird. Ein Passwort, das in der gleichen E-Mail steht wie der Link ist, bringt dagegen nichts.

Prüfen Sie also genau, welche Sicherheitsfunktionen der Filesharing-Dienst, den Sie nutzen möchten, anbietet. Verwenden Sie beruflich nur den Filesharing-Dienst, der im Unternehmen zugelassen ist.

Denken Sie auch an die Risiken, wenn Sie selbst einen Link erhalten, um über Filesharing eine größere Datei herunterladen zu können. Ist es wirklich der angegebene Absender? Was verbirgt sich tatsächlich hinter dem Link? Ist die Datei womöglich verseucht?

Sie sehen: Filesharing-Dienste vereinfachen zwar den Datenaustausch. Sie liefern aber nicht automatisch Sicherheit mit. Daher können mit dem Datenaustausch leicht zu übersehende Risiken verbunden sein.

Wissen Sie, was zu sicherem Filesharing gehört? Machen Sie den Test!

Frage: Dateien aus Filesharing-Diensten sind immer virenfrei. Stimmt das?

  1. Nein. Gelangt Malware in das Austauschverzeichnis, könnte sich die Malware auch hinter dem generierten Link verbergen, der per E-Mail verteilt wird.
  2. Ja, Filesharing ist immer mit einem Malware-Schutz verknüpft, der melden würde, wenn es sich um Schadsoftware handelt.

Lösung: Die Antwort 1. ist richtig. Sie können nicht davon ausgehen, dass die Dateien, die in einem Austauschverzeichnis liegen, auf Malware hin untersucht wurden. Prüfen Sie also selbst, ob die Dateien verseucht sind, bevor Sie diese übertragen. Als Empfänger eines Links sollten Sie diesen mit einem Link-Scanner überprüfen, bevor Sie die Datei herunterladen.

Frage: Die Datei, zu der der Link führt, liegt auf dem Computer des Absenders. Ist das so?

  1. Ja, der Filesharing-Dienst stellt nur die Verbindung zwischen den Rechnern her.
  2. Nein, die Datei wird zuvor auf der Filesharing-Plattform abgelegt, also dort zwischengespeichert.

Lösung: Die Antwort 2. ist richtig. Bei Filesharing geht es nicht um die Verknüpfung von Computern, sondern um die Übertragung von Dateien. Anstatt eine Datei direkt zu verschicken, lädt man sie bei Filesharing auf eine Plattform. Von dort lädt sie der Empfänger dann herunter. Deshalb wird die Datei an einen Dritten, den Filesharing-Betreiber, übertragen und von ihm gespeichert. Entsprechend muss bei dem Betreiber geklärt sein, ob der Datenschutz angemessen ist.

Mehr lesen

Auftragsverarbeitung im Fokus der Datenschutz-Aufsicht

27 Februar 2023

Kommen externe Dienstleister ins Spiel, kann eine Auftragsverarbeitung vorliegen. Lesen Sie, warum dieses Thema gerade jetzt besonders aktuell ist.

Ausgangspunkt sind Webhosting-Verträge

Ohne Internetseite kommt heute kein Unternehmen mehr aus. Zahlreiche Unternehmen haben außerdem einen Online-Shop. Gerade während Corona haben sich Online-Shops vielfach als unentbehrlich erwiesen. Um Webseiten und Online-Shops professionell betreiben zu können, wird in aller Regel ein externer Dienstleister eingeschaltet, also ein Webhoster. Er arbeitet auf der Basis eines Webhosting-Vertrags.

Webhosting ist Auftragsverarbeitung

Dass Webhosting eine Auftragsverarbeitung im Sinn der DSGVO darstellt, ist allgemeine Meinung. Denn der Auftraggeber macht dem Webbrowser genaue Vorgaben dafür, wie seine Internetseite oder sein Online-Shop betrieben werden sollen. In der Sprache des Datenschutzrechts handelt es sich dabei um Weisungen des Auftraggebers an den Auftragsverarbeiter.

Die Aufsichtsbehörden sind vielfach unzufrieden

Die Datenschutz-Aufsichtsbehörden haben prinzipiell nichts gegen Auftragsverarbeitung. Allerdings rügen sie häufig, dass aus ihrer Sicht in den Verträgen über die Auftragsverarbeitung wichtige Details fehlen. Außerdem beanstanden sie immer wieder, dass zwar von der Papierform her alles korrekt wirkt, es aber an einer ausreichenden praktischen Umsetzung der vertraglichen Regelungen fehlt.

Sie führen deshalb eine gemeinsame Prüfaktion durch

Ob die Kritik der Aufsichtsbehörden immer wirklich berechtigt ist, kann dahinstehen. Viel entscheidender ist, dass gleich sechs Aufsichtsbehörden vereinbart haben, das Thema „Auftragsverarbeitung beim Webhosting“ gemeinsam aufzugreifen. Dabei handelt es sich um die Aufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt. Seit Mitte 2022 führen sie eine sogenannte koordinierte Prüfung durch. Dies bedeutet, dass sie eine gemeinsame Checkliste entwickelt haben. Auf ihrer Basis treten sie an Unternehmen heran und stellen eingehende Fragen.

Unternehmen dürfen Anfragen nicht ignorieren

Die beteiligten Aufsichtsbehörden schreiben eine große Zahl von Unternehmen an und fordern sie auf, zunächst einen umfassenden Fragebogen auszufüllen. Dies löst beträchtlichen Aufwand aus. Viele Fragen lassen sich nicht sorgfältig beantworten, ohne vorher die Abläufe im Unternehmen umfassend durchzugehen. Dies berührt dann oft auch Abteilungen, die beispielsweise mit dem Online-Shop an sich unmittelbar nichts zu tun haben. Es geht aber nicht anders. Denn ein Unternehmen, das Fragen unvollständig oder sogar falsch beantwortet, riskiert eine Geldbuße.

Die Prüfaktion hat so etwas wie Fernwirkungen

Jedem Fachmann ist klar: Falls die Prüfaktion zum Webhosting aus der Sicht der Aufsichtsbehörden relevante Erkenntnisse bringt, werden ähnliche Prüfaktionen folgen. Dabei wird es jeweils um unterschiedliche Formen der Auftragsverarbeitung gehen. Das ist der Grund dafür, warum das Thema Auftragsverarbeitung insgesamt momentan einige Wellen schlägt.

Ohne Vertrag ist Auftragsverarbeitung nicht erlaubt

Gar nicht selten kommt es vor, dass eine Auftragsverarbeitung vorliegt und auch ein zuverlässiger Auftragsverarbeiter als Dienstleister tätig ist. Einen schriftlichen Vertrag gibt es allerdings nicht. Man meint vielmehr, entsprechende Auftragsscheine und Abrechnungen würden ausreichen. Das sieht die DSGVO allerdings anders:

  1. Sie legt fest, dass ein ausdrücklicher Vertrag nötig ist.
  2. Sie macht genaue Vorgaben zu seinem Inhalt.
  3. Sie fordert einen dokumentierten Vertragstext (schriftlich oder elektronisch).

Das Thema „Unterauftrag“ verlangt besondere Aufmerksamkeit

Beim Thema „Unterauftrag“ ist die DSGVO ebenso klar und eindeutig. Sie legt fest, dass ein Auftragsverarbeiter nur dann einen weiteren Auftragsverarbeiter einschalten darf, wenn der Auftraggeber dies schriftlich genehmigt hat. Hier geht es also nicht ohne Schriftform. Manchmal liegt ein Vertrag vor, der Unteraufträge nicht vorsieht. Dann entsteht aber trotzdem kurzfristig der Bedarf, einen Unterauftragnehmer einzuschalten. Der Vertrag muss deshalb nicht unbedingt geändert werden. Nötig ist dann aber jedenfalls eine schriftliche Erlaubnis.

Bitte bleiben Sie geduldig

Nachfragen zum Thema Auftragsverarbeitung können durchaus nerven, vor allem wenn gerade viel los ist. Angesichts der Aktionen der Aufsichtsbehörden haben sie allerdings gute Gründe. Deshalb kooperieren Sie bitte.

Mehr lesen

Der Weg zum Privacy Shield II

22 Februar 2023

Datenübermittlungen in die USA sind für viele Unternehmen wichtiger denn je. Tragfähige Rechtsgrundlagen hierfür fehlen jedoch zum Teil. Gerade Praktiker warten deshalb dringend auf den „Privacy Shield II“. Lesen Sie, was es damit auf sich hat und wann dieser „Schild“ verfügbar sein könnte.

Angemessenheitsbeschluss heißt das Zauberwort

Die USA sind in der Sprache der Datenschutz-Grundverordnung (DSGVO) ein Drittland, also ein Land außerhalb des Geltungsbereichs der DSGVO. Datenübermittlungen dorthin sind zulässig, wenn die Europäische Kommission beschlossen hat, dass dort ein angemessenes Schutzniveau herrscht. Sobald ein solcher Beschluss vorliegt, bedürfen Datenübermittlungen keiner besonderen Genehmigung durch die Aufsichtsbehörden. So regelt es Art. 45 Abs. 1 DSGVO.

Mit dem Privacy Shield I war etwa vier Jahre lang alles gut

Eine solchen Beschluss der Europäischen Kommission gab es tatsächlich schon einmal. Er betraf den „Privacy Shield I“. Dabei handelte es sich um Datenschutzvorkehrungen, die zwischen der EU und den USA für Datenübermittlungen in die USA vereinbart worden waren. Mitte Juli 2016 fasste die Europäische Kommission auf ihrer Basis einen Angemessenheitsbeschluss. Er hielt fast auf den Tag genau vier Jahre. Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) den Beschluss allerdings für nichtig. Das geschah durch das Urteil „Schrems II“.

Seit 2020 bemüht man sich um einen Privacy Shield II

Seither herrscht eine gewisse rechtliche Konfusion. Natürlich gibt es durchaus noch einige andere Rechtsgrundlagen für Datenübermittlungen in die USA, etwa eine Einwilligung des Betroffenen. Sie verursachen aber viel Aufwand und sind für eine Übermittlung von Daten vieler Personen praktisch fast nicht zu handhaben. Deshalb haben die USA und die EU nach der Entscheidung „Schrems II“ sofort damit begonnen, den für nichtig erklärten „Privacy Shield I“ durch einen „Privacy Shield II“ zu ersetzen. Diese Bemühungen sind jetzt in ein entscheidendes Stadium getreten.

Dem EuGH missfielen am Privacy Shield I zwei zentrale Punkte

Den EuGH störten am „Privacy Shield I“ vor allem zwei Dinge:

  • Zum einen monierte er, dass die US-Geheimdienste nach dem Recht der USA in keiner Weise an den Grundsatz der Verhältnismäßigkeit gebunden sind, wenn sie personenbezogene Daten erheben.
  • Zum anderen rügte er, dass Nicht-US-Bürger gemäß dem Recht der USA keinerlei Rechtsschutz gegen derartige Datenerhebungen hätten.

US-Präsident Biden hat mit einer Executive Order reagiert

Die USA haben sich vom Prinzip her bereit erklärt, diese beiden Schwachstellen zu beheben. Das ist nach dem Recht der USA allerdings gar nicht so einfach. Beschritten wurde der Weg, dass US-Präsident Biden am 07.10.2022 eine sogenannte „Executive Order“ erlassen hat. Dabei handelt es sich um eine verbindliche Anweisung des Präsidenten an alle US-Bundesbehörden. Damit gilt sie auch für alle US-Geheimdienste. Denn Geheimdienste gibt es in den USA nur auf Bundesebene.

Die Executive Order legt den Geheimdiensten gewisse Fesseln an

Bisher konnten die US-Geheimdienste selbst entscheiden, welche Maßnahmen zur Beschaffung und Auswertung von Daten sie für erforderlich hielten. Künftig müssen sie jedes Jahr im Voraus eine Art Rahmenplan erstellen. Er bedarf der Billigung durch den jeweiligen US-Präsidenten. Veröffentlicht wird er jedoch selbstverständlich nicht. Zugleich hat die Executive Order eine Institution eingerichtet, die sie als „Data Protection Review Court“ bezeichnet. Dieses „Gericht“ soll auch Nicht-US-Bürgern Rechtsschutz gewähren.

Jetzt ist die Europäische Kommission am Zug

Nun liegt der Ball, bildlich gesprochen, bei der Europäischen Kommission. Sie muss sich darüber einig werden, ob die getroffenen Maßnahmen der USA ausreichen, um einen Angemessenheitsbeschluss erlassen zu können. Erst wenn das geschehen ist, hat die Praxis wieder eine Rechtsgrundlage, die in ihrer Wirkung dem früheren Privacy Shield I entspricht. Die Diskussion darüber, ob ein solcher Angemessenheitsbeschluss möglich ist, läuft im Augenblick. Einbezogen sind dabei intern auch die Aufsichtsbehörden der EU-Mitgliedstaaten. Belastbare Ergebnisse sind noch nicht bekannt.

Möglicherweise gibt es im April 2023 den Durchbruch

Selbstverständlich gibt es Stimmen, die den jetzt gewählten Lösungsansatz kritisieren. Mit an der Spitze steht dabei Herr Schrems, Rechtsanwalt in Österreich, nach dem gleich zwei EuGH-Urteile benannt sind. In Brüssel ist zu hören, dass man sich bis etwa April 2023 einen Angemessenheitsbeschluss zutraut. Die Praktiker in den Unternehmen wären mit Sicherheit begeistert, wenn dies gelingen würde.

Mehr lesen

Ist Ihr Smartphone sicher genug?

18 Februar 2023

Smartphones sind für viele zum täglichen Begleiter geworden. Trotzdem wird die Sicherheit bei Smartphones weiterhin vernachlässigt. Das kann gefährliche Folgen haben. Denn Smartphones dienen zunehmend als Identitätsnachweis.

Ohne Smartphone geht es für viele nicht mehr

„Die Faszination für Smartphones ist so groß wie nie“, so Markus Haas, Präsidiumsmitglied im Digitalverband Bitkom. „Sie informieren und unterhalten uns, steigern unsere Produktivität und unterstützen uns in vielen Lebenslagen. Smartphones stehen für Innovation und Wachstum.“

Dies bestätigt eine Bitkom-Umfrage: Für nahezu alle Nutzerinnen und Nutzer (96 Prozent) sind Smartphones eine große Erleichterung im Alltag. Neun von zehn (90 Prozent) können sich ein Leben ohne Smartphone nicht mehr vorstellen.

Umso wichtiger ist es, für die notwendige Datensicherheit bei den Smartphones zu sorgen.

Smartphones werden immer noch schlechter als PCs geschützt

Obwohl es gerade die smarten Funktionen zusätzlich zum Telefonieren sind, die die Smartphones so beliebt machen, denken immer noch viele Nutzerinnen und Nutzer, sie hätten ein „Handy“ dabei, also ein Mobiltelefon. Doch bekanntlich sind Smartphones mehr Computer als Telefon.

Trotzdem werden Computer wie PCs und Notebooks anders und besser abgesichert als Smartphones, wie aktuelle Umfragen belegen.

Mit 96 Prozent haben fast alle Smartphone-Nutzer eine Bildschirmsperre eingestellt, neun von zehn (90 Prozent) haben einen SIM-Karten-Schutz aktiv. Dabei sperrt sich das Handy, sobald die SIM-Karte entfernt wird. Aber nur etwa jeder Zweite (55 Prozent) erstellt auch regelmäßig Backups seiner Smartphone-Daten. Virenschutzprogramme haben 43 Prozent installiert. Jeder Sechste (16 Prozent) deckt seine Smartphone-Kamera ab.

Wie ist es bei Ihnen? Schützen auch Sie Ihren „täglichen Begleiter“ Smartphone schlechter als den PC?

Bedeutung des Smartphones steigt und damit die Risiken

Bereits 13 Prozent nutzen einen Passwort-Safe, um Passwörter auf dem Smartphone zentral zu verwalten. Das ist nur ein Beispiel dafür, dass Smartphones zunehmend als Sicherheitswerkzeuge genutzt werden. Smartphones sind auch die häufigste Basis für den zweiten Faktor bei Online-Banking und Online-Shopping, zum Beispiel über den Fingerabdruck-Sensor.

Denkt man dann noch an mobiles Bezahlen per Smartphone, an digitale Impfzertifikate und Pläne für digitale Ausweise, die auf dem Smartphone gespeichert werden, ist schnell klar, dass Smartphones zu einem immer größeren Sicherheitsrisiko werden, wenn der Smartphone-Schutz nicht stimmt.

Denken Sie an die Smartphone-Sicherheit, im Privatleben und im Beruf

Gleich ob Sie Ihr Smartphone nur privat oder auch beruflich nutzen: Überprüfen Sie umgehend, ob Sie diesen Schutz bereits aktiv haben:

  • regelmäßig Smartphone-Betriebssysteme wie Android oder iOS aktualisieren
  • regelmäßig Updates für Apps installieren
  • Bildschirmsperre nutzen
  • in aller Regel bereits verfügbare Verschlüsselung für die Daten auf dem Smartphone nutzen
  • keine Apps außerhalb der App-Stores installieren
  • Verbindungen über WLAN und Bluetooth nach Nutzung abschalten
  • an Diebstahl- und Verlustrisiko denken
  • eine professionelle Sicherheits-App installieren

Schützen Sie Ihren „täglichen Begleiter“, um die Vorteile eines Smartphones ohne die damit verbundenen Datenrisiken nutzen zu können!

Mehr lesen

Was bei Backups oft falsch gemacht wird

22 Januar 2023
Transfer files data system relocation concept, Person hand using laptop computer waiting for transfer file process with loading bar icon on virtual screen.

Hat man ein vollständiges, sicheres Backup, kann man trotz Ransomware-Attacke bald wieder den Betrieb aufnehmen. Leider sind viele Backups aber lückenhaft und unsicher. Erfahren Sie, was Sie zu einer erfolgreichen Datensicherung beitragen können.

Backups sind das Gegenmittel gegen Online-Erpressungen

IT-Sicherheitsbehörden sehen in den Online-Erpressungen mit Ransomware eine der größten Cyberbedrohungen. Das Risiko durch Erpresser-Schadprogramme steigt so stark, dass man vermuten könnte, es gibt keine Gegenwehr.

Doch das „Gegengift“ bei Ransomware-Attacken existiert, es ist wohlbekannt und eigentlich ein alter Bekannter in der IT: ein vollständiges, aktuelles und geschütztes Backup. Hat man seine Daten gesichert, kann man trotz der kriminellen Datenverschlüsselung seine Daten wiederherstellen und bald weiterarbeiten.

Leider sind Backups oft lückenhaft

Die scheinbar einfache Lösung gegen die Ransomware-Folgen ist offensichtlich komplizierter, als viele Unternehmen denken. Versuchen die Unternehmen, ihre Backups wieder einzuspielen, stellen sie fest, dass die Datenbestände unvollständig und veraltet sind. Im schlimmsten Fall müssen die Unternehmen erkennen, dass die Backups nicht geschützt waren und ebenfalls kriminell verschlüsselt wurden.

Laut einer Umfrage des GDV (Gesamtverband der Versicherer e.V.) unter kleinen und mittleren Unternehmen in Deutschland hapert es bei 80 Prozent bereits an den Basisschutzmaßnehmen gegen Cyberattacken. Zu diesen Basisschutzmaßnahmen zählen auch die regelmäßigen und geschützten Datensicherungen.

Zu den Backup-Lücken kommt es zum einen, weil in der zentralen Backup-Verwaltung nicht an alles gedacht wurde. Zum anderen sind aber auch Sie als Nutzerin oder Nutzer gefragt, damit die Backups wirklich zu einer erfolgreichen Datensicherung werden.

Tatsächlich schaffen es nur IT-Administration und Nutzende zusammen, für gute und sichere Backups zu sorgen.

Vermeiden Sie diese Backup-Fehler

So manche Nutzerin und so mancher Nutzer glaubt, wenn ein Backup-Vorgang läuft, dann verlangsamt dies ihre Arbeit und behindert sie. Deshalb neigen diese Nutzenden dazu, wenn möglich die Backup-Funktion zu unterbrechen oder die Backups zu verschieben. Tun Sie das bitte nicht! Damit würde der Backup-Plan unterbrochen, und Ihre Daten sind dann womöglich nicht in der Datensicherung vollständig enthalten, wenn die Sicherung zurückgespielt werden muss.

Ein weiteres Problem: So mancher Fachbereich schafft zum Beispiel Cloud-Dienste an und spricht dies nicht mit der IT ab, man spricht hier auch von Schatten-IT. Wenn aber die IT nichts von der Cloud-Anwendung weiß, kann sie diese auch nicht im Backup-Prozess vorsehen. Gerade durch die Entwicklung hin zu mehr „Hybrid Work“, also dem flexiblen Wechsel zwischen Büro, Homeoffice und mobiler Arbeit, kommt es zur Nutzung von privater IT zu dienstlichen Zwecken, ohne dass die IT darüber informiert wird. Dann fehlen die entsprechenden Daten im Backup. Unvollständige Backups bedeuten aber, dass sich nicht alle Daten wiederherstellen lassen.

Deshalb sollte der Umfang des Backups immer mit der IT abgestimmt werden, damit sie auch wirklich alle Daten sichern kann. Nur dann kann ein Backup auch gegen die Risiken einer Ransomware-Attacke helfen. Vermeiden Sie deshalb Schatten-IT, also Geräte, Speicher, Anwendungen oder Clouds ohne Kenntnis der IT-Administration.

Wissen Sie, was zu einem vollständigen Backup gehört? Machen Sie den Test!

Frage: Ein zentrales Backup erkennt alle Daten und ist immer vollständig. Stimmt das?

  1. Nein, wenn Geräte, Anwendungen und Dienste ohne Kenntnis der IT-Administration genutzt werden, werden diese Daten in aller Regel nicht gesichert.
  2. Ja, Backup-Programme scannen die IT und sichern alle Daten.

Lösung: Die Antwort 1. ist richtig. Wenn „Schatten-IT“ ohne Kenntnis der IT-Abteilung genutzt wird, fehlen diese Geräte, Dienste und Applikationen oftmals auch in den Backup-Regeln. Generell gilt: Man kann nur schützen und sichern, was man auch kennt. Informieren Sie deshalb immer Ihre Vorgesetzten und die IT, wenn Sie eine neue Anwendung, einen neuen Cloud-Dienst oder ein neues Gerät einsetzen wollen.

Frage: Wenn der Rechner langsam ist, läuft wohl ein Backup, so denken manche Nutzenden. Dann unterbrechen sie den Backup-Vorgang. Ist das so in Ordnung?

  1. Ja, denn die aktuelle Arbeit ist dringender als die Backups.
  2. Nein, die Backups stören in aller Regel nicht. Zudem sind sie entscheidend wichtig und dürfen nicht gestoppt werden.

Lösung: Die Antwort 2. ist richtig. Backup-Prozesse laufen in der Regel sehr ressourcensparend ab, im Hintergrund, und stören die tägliche Arbeit nicht. Zudem sind Backups kein überflüssiger Ballast, sie können die Rettung in der Not sein bei Datenverlust und insbesondere auch bei den gefürchteten Ransomware-Attacken. Wenn man die Backups unterbrechen würde, tut man genau das, was die Internetkriminellen wollen: Man nimmt sich die Chance auf eine Wiederherstellung, ohne Lösegeld zu zahlen. Wobei man auch generell kein Lösegeld zahlen sollte.

Mehr lesen

Protokollierung – für unsere Sicherheit!

15 Januar 2023

„Systeme zur Angriffserkennung“ funktionieren nur, wenn Zugriffe auf personenbezogene Daten und andere Verarbeitungsvorgänge protokolliert werden. Die Protokollierung bildet die Basis für eine sichere Datenverarbeitung.

Intelligent confident influential gray-haired female asian wearing glasses, business lady, HR manager, talking to job candidate in modern office, holds and studies resume, smiling friendly

Cyberangriffe sind in aller Munde. Sie haben schon viele Unternehmen getroffen, aber auch Krankenhäuser und sonstige Gesundheitseinrichtungen bleiben nicht verschont. Die Webseiten sämtlicher Industrie- und Handelskammern in Deutschland wurden kürzlich böswillig lahmgelegt. Die Liste der Beispiele ließe sich leicht verlängern. Jedes einzelne Beispiel ist Grund genug, die Cybersicherheit sehr ernst zu nehmen.

Systeme zur Angriffserkennung sind teils gesetzlich vorgeschrieben

Ein wichtiges Instrument für die Abwehr von Angriffen sind „Systeme zur Angriffserkennung“, kurz „SzA“ genannt. Sie sind inzwischen sogar im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI-Gesetz) erwähnt. In Einrichtungen der kritischen Infrastruktur ist ihr Einsatz gesetzlich vorgeschrieben.

Sie dienen der Erkennung verdächtiger Abläufe

Solche Systeme fahnden nach verdächtigen Abläufen in informationstechnischen Systemen. Konkret bedeutet das: Sie messen Abläufe in EDV-Systemen, werten sie aus und gleichen sie mit Mustern ab, die erfahrungsgemäß auf Angriffe hindeuten.

Das ist manchmal einfach, häufig jedoch nicht

So kann es zum Beispiel verdächtig sein, wenn von einem PC mitten in der Nacht Datenübermittlungen ausgehen, obwohl zu dieser Zeit niemand im Unternehmen arbeitet. In der Regel sind freilich viel kompliziertere Auswertungen und Abgleiche nötig.

Protokolldaten sind die Basis vieler Auswertungen

Um sie durchführen zu können, müssen auch Aktivitäten von Mitarbeiterinnen und Mitarbeitern erfasst und ausgewertet werden. Dies führt zum Thema der Protokollierung von Daten. Es hat gute Gründe, wenn beispielsweise protokolliert wird, wer auf welche Daten zugreift und was er dann mit den Daten tut. Möglicherweise laufen nämlich im Hintergrund ferngesteuerte Aktivitäten ab, von denen er überhaupt nichts ahnt.

Verdächtige Abläufe führen zu schnellen Reaktionen

Falls ein System zur Angriffserkennung anhand von Protokolldaten ungewöhnliche Aktivitäten erkennt, sorgt es dafür, dass umgehend Maßnahmen ergriffen werden. Sie laufen in der Regel automatisch ab. Dazu kann es etwa gehören, laufende Datenübermittlungen zunächst einmal zu stoppen oder auch betroffene Geräte vom Internet zu trennen.

Schutzrechte berücksichtigen die Interessen der Belegschaft

Manche haben die Sorge, sie würden über die Protokollierung vom eigenen Unternehmen möglicherweise unangemessen kontrolliert. Rechtliche Schutzvorschriften stellen jedoch sicher, dass dies nicht der Fall ist. Protokolldaten können je nach ihrem Inhalt zur Kontrolle des Verhaltens und der Leistung von Mitarbeiterinnen und Mitarbeitern geeignet sein. Deshalb greifen hier die Mitbestimmungsregelungen ein, die für solche Situationen gelten.

Der Grundsatz der Zweckbindung ist zu beachten

Generell gelten für Protokolldaten, die personenbezogen sind, die allgemeinen Schutzregelungen für personenbezogene Daten. Dazu gehört der Grundsatz der Zweckbindung. Protokolldaten dienen dazu, eine sichere Datenverarbeitung zu ermöglichen. Insbesondere soll ihre Auswertung böswillige Angriffe von innen oder von außen abwehren. Damit ist der Zweck definiert, für den sie bestimmt sind. Nur dafür dürfen sie verarbeitet werden.

Viele Protokolldaten werden nur kurz gespeichert

Gespeichert werden dürfen Protokolldaten nur so lange, wie es für den geschilderten Zweck erforderlich ist. Viele Protokolldaten werden schon nach wenigen Stunden wieder gelöscht. Im Rahmen eines Sicherheitskonzepts kann es aber auch erforderlich sein, manche Protokolldaten über längere Zeit hinweg zu speichern. Denn manche Angriffsmuster lassen sich nur im längerfristigen Querschnittsvergleich entdecken.

Ein Löschkonzept gehört zu jedem Sicherheitskonzept

Wann welche Protokolldaten gelöscht werden, ist Teil der unternehmensinternen Regelungen für den Einsatz von Systemen zur Angriffserkennung. Da sich Bedrohungslagen immer wieder ändern, dürfen solche Regelungen nicht zu starr sein. Vielmehr müssen sie immer wieder an neue Entwicklungen angepasst werden. Dies alles wird sorgfältig dokumentiert. Der Grundsatz der Rechenschaftspflicht erfordert dies. Er besagt, dass der Verantwortliche nachweisen können muss, dass die DSGVO stets eingehalten wurde.

Mehr lesen

Datenpannen rund um Papier

04 Januar 2023

„Papier verwenden wir im Büro gar nicht mehr!“ Schön, wenn das bei Ihnen wirklich zu 100 % so ist. Denn der falsche Umgang mit Papier führt immer noch die Hitliste der Datenpannen an. Falls in Ihrem Büro zumindest noch etwas Papier vorkommt, sollten Sie also unbedingt weiterlesen.

Statistiken über Pannen sind einfach

Die gesetzlich vorgeschriebene Meldung von Datenpannen an die Datenschutzaufsicht ermöglicht recht genaue Statistiken dazu, was alles schiefgeht in den Büros. Und siehe da: „Pannen rund um Papier“ spielen immer noch eine erhebliche Rolle.

Die Anschriften „außen und innen“ müssen identisch sein

Wenn viel los ist und ein Schreiben mit der gelben Post verschickt wird, gerät es schnell in einen Umschlag, auf dem außen ein falscher Adressat steht. Das kann harmlos sein, wenn etwa nur die neueste Preisliste in die Post geht. Anders sieht es aber beispielsweise bei einem persönlich adressierten Mahnschreiben aus. Es betrifft den Adressaten sehr individuell. Und schon liegt eine ernsthafte Datenpanne vor.

Vier Augen sehen mehr als zwei

Zumindest wenn es um rechtserhebliche Schreiben geht oder um Schreiben mit medizinischen Daten, sollte deshalb vor dem Versand das Vier-Augen-Prinzip zur Anwendung kommen.

Kuvertiermaschinen brauchen Wartung

Verschickt ein Unternehmen eine größere Zahl von Schreiben, kommen nach wie vor Kuvertiermaschinen zum Einsatz. Leider werden sie oft nicht ausreichend gewartet. Dann ist es schnell geschehen, dass die Maschine mehrere Schreiben auf einmal einzieht und in denselben Briefumschlag steckt. Dagegen hilft nur, nicht an der Wartung zu sparen.

Das Faxgerät ist für viele eine Blackbox

Der Faxversand von Dokumenten erfolgt oft durch Hilfskräfte. Schließlich ist das eine scheinbar ideale Arbeit etwa für Praktikanten. Allerdings haben gerade sie meist keinerlei Erfahrung mit Faxgeräten. Der Griff zur falschen Faxnummer ist daher ebenso häufig wie das Vertippen bei der Eingabe der Faxnummer. Eine sorgfältige Einweisung in die Benutzung der Geräte ist deshalb unentbehrlich.

Nummernverzeichnisse brauchen Pflege

Auch die Aktualität von Verzeichnissen mit Faxnummern lässt häufig zu wünschen übrig – oft gerade deshalb, weil Faxgeräte immer seltener benutzt werden. Gerade die schrumpfende Bedeutung solcher Geräte führt dann im Ergebnis dazu, dass Pannen häufiger werden.

Falsch abgelegte Akten sind schwer wiederzufinden

Akten, neuerdings auch „papierbasierte Datenträger“ genannt, kommen vor allem im Personalwesen noch öfter vor. Die praktische Erfahrung zeigt, dass auch dickere Akten durchaus abhandenkommen können. Meist geht es dabei gar nicht um Diebstahl oder dergleichen. Vielmehr werden Akten immer wieder an falscher Stelle abgelegt. Die fehlende Übung gerade jüngerer Mitarbeiterinnen und Mitarbeiter im Umgang mit Akten begünstigt solche Pannen. Aufwendige Suchaktionen sind bisweilen erfolgreich, aber nicht immer. Die beste Abhilfe bietet die Umstellung auf elektronische Verarbeitung.

Papiervernichtung erfordert klare Vorgaben

Papierunterlagen, die nicht mehr benötigt werden, sind zu vernichten. Damit dies in jedem Fall datenschutzkonform erfolgt, sind relativ umfangreiche organisatorische Vorgaben notwendig. Sie sind weitaus wichtiger als beispielsweise die Frage, wie klein die Schnipsel nach dem Schreddern von Papier sein müssen.

Was seltener vorkommt, geht häufiger schief

Auch hier gilt: Gerade weil die Verwendung von Papier tendenziell abnimmt, nehmen die Pannen rund um die Vernichtung von Papier zu. Denn oft sind die organisatorischen Vorgaben schon sehr in die Jahre gekommen. Die Praxis im Unternehmen sieht dann ganz anders aus als in den einschlägigen Checklisten beschrieben. Dagegen hilft nur, diese Checklisten zu aktualisieren und dafür zu sorgen, dass sie auch beachtet werden.

Die Zugriffsprotokollierung funktioniert nur bei elektronischen Daten

Zu beachten ist auch, dass unberechtigte Zugriffe von Mitarbeiterinnen und Mitarbeitern bei Daten auf Papier oft viel einfacher sind als bei elektronischen Daten. Dies liegt daran, dass es keine Spuren hinterlässt, wenn jemand auf „Papier-Daten“ zugreift. Zugriffe auf elektronische Daten werden dagegen in der Regel protokolliert. Solche Zugriffsprotokolle lassen sich auswerten und liefern bisweilen aufschlussreiche Erkenntnisse über Datenschutzverstöße.

Papier ist eine unterschätzte Gefahrenquelle

Über das papierlose Büro wird zwar viel geredet. Zur Realität wird es dadurch allein aber nicht. Es stellt ein sehr richtiges Ziel dar. Solange es aber noch nicht erreicht ist, braucht die „Gefahrenquelle Papier“ die Aufmerksamkeit, die ihr gebührt.

Mehr lesen

IT-Notfall: Denn Sie wissen, was Sie tun

23 Dezember 2022

Wenn plötzlich eine Meldung auf Ihrem Bildschirm erscheint, dass Ihre Daten verschlüsselt sind und Sie ein Lösegeld für die Entschlüsselung zahlen sollen, kommt es auf eines an: Ihr besonnenes, überlegtes Verhalten. Doch wie sieht das aus?

Plötzlich im Aalrmzustand: Ihre IT

Panik ist ein schlechter Berater

Kaum jemand wird völlig gelassen reagieren, wenn es klare Anzeichen dafür gibt, dass der eigene Rechner und die eigenen Daten zum Ziel einer Cyberattacke geworden sind. Doch man sollte nicht überreagieren, in Panik verfallen und dann Fehler machen, die die Situation verschlimmern.

Leider besteht in vielen Unternehmen die Gefahr, dass die Beschäftigten nicht wissen, was sie im Fall eines Cyberangriffs oder eines anderen IT-Notfalls genau tun und lassen sollen. Nur gut jedes zweite Unternehmen verfügt über einen Notfallplan mit schriftlich geregelten Abläufen und Ad-hoc-Maßnahmen für den Fall von Datendiebstahl, Spionage oder Sabotage, wie der Digitalverband Bitkom berichtet.

Schnelle Reaktionen, aber keine überstürzten

Doch selbst wenn ein Notfallplan vorliegt, sind die Beschäftigten nicht immer im Bilde darüber, was in einem IT-Notfall zu tun ist. Wie ist es bei Ihnen? Kennen Sie schon das richtige Verhalten, wenn zum Beispiel ein Erpresser-Virus (Ransomware) Ihren Computer befallen hat? Dann gilt es, umgehend, aber wohlüberlegt zu reagieren.

Das Wichtigste: Die umgehende Meldung

Die wichtigste Reaktion ist, nicht selbst den Vorfall beheben zu wollen, sondern den IT-Notfall an die richtige Stelle im Unternehmen zu melden. Kennen Sie die Stelle nicht, fragen Sie bitte Ihre Vorgesetzte oder Ihren Vorgesetzten danach.

Scheuen Sie sich bitte nicht, einen IT-Vorfall zu melden. Es ist nicht Ihr Fehler, wenn Ihr Computer angegriffen wurde. Das kann jedem passieren. Aber Sie müssen den Vorfall melden, als Beobachterin oder Beobachter. Sie sind nicht etwa Verursacherin oder Verursacher, haben Sie da keine Sorge.

Wer, welches, was, wann, wo

Die Meldung eines IT-Notfalls ist einer Unfallmeldung sehr ähnlich. Die zuständige Stelle im Unternehmen braucht die Information, wer etwas meldet, um mögliche Rückfragen zu klären. Dann müssen die Expertinnen und Experten in Ihrem Unternehmen erfahren, welches IT-System betroffen ist, zum Beispiel Ihr PC oder Notebook. Im nächsten Schritt sollten Sie beschreiben, was Sie beobachtet haben, zum Beispiel die Erpresser-Meldung auf Ihrem Bildschirm.

Für die Maßnahmen zur Behebung des IT-Notfalls ist es dann noch wichtig, dass Sie sagen, wann der Vorfall aufgetreten ist und wo sich das betroffene IT-System aktuell befindet, ob Sie beispielsweise damit im Homeoffice oder im Büro gearbeitet haben.

Ansonsten gilt: Stellen Sie so lange die Arbeit an dem betroffenen IT-System ein, bis Sie die Mitteilung erhalten, dass Sie das System wieder nutzen können. Dokumentieren Sie Ihre Beobachtungen zum IT-Vorfall. Alle anderen Maßnahmen sollten nur nach Anweisung erfolgen. Damit lässt sich verhindern, dass Sie ungewollt Fehler machen, die die Lage eher verschlechtern als verbessern.

Mehr lesen

Was Online-Tracking alles verraten kann

07 Dezember 2022

Nicht nur die Werbewirtschaft nutzt Tracking-Verfahren, um die Online-Aktivitäten von Nutzenden nachzuverfolgen. Online-Tracking macht weitaus mehr möglich als personalisierte Online-Werbung: einen genauen Blick auf die persönlichen Einstellungen.

Online-Tracking

Ist Online-Tracking wirklich so schlimm?

Eine Trendstudie des BVDW (Bundesverband Digitale Wirtschaft) untersuchte die Akzeptanz für Werbung im Internet. Demnach sind sich drei Viertel der Befragten (71 Prozent) bewusst, dass Werbung ein unverzichtbares Finanzierungsmittel der digitalen Angebote im Internet ist. Gleichzeitig empfindet mehr als die Hälfte der Befragten (58 Prozent) Werbung als grundsätzlich störend.

Jeder zweite Internetnutzende (52 Prozent) gibt an, Cookies in den eigenen Browser-Einstellungen zu löschen, so eine Umfrage des Digitalverbands Bitkom. Doch so manchem erscheint die Sorge wegen Online-Tracking übertrieben. Immerhin ist dann die Online-Werbung, die angezeigt wird, passender zu den persönlichen Interessen und aktuellen Internetsuchen.

Aber Internetwerbung ist nicht alles, wofür sich die Analysen der Online-Aktivitäten nutzen lassen.

Persönliche Eigenschaften könnten transparent werden

Tatsächlich geht es bei Online-Tracking um mehr als möglichst erfolgversprechende Online-Werbung. So zeigt der Datenschutzbericht „Risiken im Zusammenhang mit dem Tracking- und Targeting-Ökosystem im digitalen Werbemarkt“ der Internationalen Arbeitsgruppe zum Datenschutz in der Technologie weitere Risiken auf, die das Tracking im Internet mit sich bringen kann.

Die Datenschützer berichten, dass sich das Tracking mittlerweile über digitale Werbung hinaus nutzen lässt, etwa um Meinungsbildungsprozesse zu manipulieren. Das ist möglich, weil Online-Tracking es erlaubt, eine Sammlung persönlicher Eigenschaften und Interessen zu einer Person anzulegen. Dies könnte nicht nur die Werbewirtschaft, sondern auch ein Interessenverband oder eine Partei für sich nutzen.

Sammlungen persönlicher Eigenschaften kann man sich selbst ansehen:

  • Google Ads Setting (Einstellungen für personalisierte Werbung) beispielsweise verrät Nutzenden mit Google-Konto, was bereits alles über die Person bekannt ist.
  • Auch bei Facebook zum Beispiel kann man sich die „Ad Preferences“ (Interessenbasierte Online-Werbung verwalten) ansehen, um dann festzustellen, dass sogar die Nähe zu einer politischen Partei dort hinterlegt sein kann.

Hohe Diskriminierungs- und Manipulationsrisiken

Die Datenschützer warnen vor den häufig übersehenen Risiken durch Online-Tracking: Das vertiefte Wissen über einzelne Nutzerinnen und Nutzer, insbesondere über die emotionale Verfassung, könne genutzt werden, um persönliche Vorurteile und Schwächen zu identifizieren. Es erlaubt Dritten, diese auszunutzen, um individuelles Verhalten zu beeinflussen oder sogar zu kontrollieren.

Der Datenschutzbericht nennt konkrete Beispiele: So beeinflusste Facebook im Jahr 2012 den Newsfeed von 1,9 Millionen seiner Nutzerinnen und Nutzer in den USA, um sie zum Wählen zu bewegen. Facebook behauptet, dass es den Anteil der Wählerinnen und Wähler innerhalb dieser Gruppe um drei Prozentpunkte erhöhen konnte. Die Datenschützer machen klar: Würden Facebook oder andere soziale Netzwerke eine solche Manipulation hypothetisch nur bei Nutzerinnen und Nutzern eines bestimmten politischen Spektrums anwenden, könnte das einen entscheidenden Einfluss auf den Ausgang von Wahlen haben.

Es gibt also sehr gute Gründe, sich über den Schutz vor heimlichem Online-Tracking genau zu informieren! Lesen Sie deshalb genau die Online-Hilfe zu Ihrem Browser, damit Sie alle verfügbaren Einstellungen kennen und einsetzen, die sich gegen ungewolltes Tracking richten.

Wissen Sie, wie Sie sich vor Online-Tracking schützen können? Machen Sie den Test!

Frage: Aktiviert man im Browser die Option „Do Not Track“ (DNT), findet kein Online-Tracking mehr statt. Stimmt das?

  1. Nein, die Einstellung DNT signalisiert nur den Wunsch der Nutzerin oder des Nutzers, nicht getrackt zu werden.
  2. Ja, dann wird das Tracking durch den Browser automatisch unterbunden.

Lösung: Die Antwort 1. ist richtig. Tatsächlich übermittelt das DNT-Signal nur einen Wunsch. Aber es ist nicht garantiert, dass sich Werbenetzwerke und andere Tracking-Dienste daran halten. Untersuchungen haben sogar gezeigt, dass das DNT-Signal häufig missachtet wird.

Frage: Lässt man im Browser automatisch alle Cookies am Sitzungsende löschen, kann es kein längerfristiges Online-Tracking geben. Ist das so richtig?

  1. Ja, denn ohne Cookies gibt es kein Online-Tracking über mehrere Sitzungen hinweg.
  2. Nein, denn es gibt auch andere Tracking-Verfahren.

Lösung: Die Antwort 2. ist richtig. Selbst wenn Sie gar keine Cookies akzeptieren würden, also alle Cookies im Cookie-Manager des Browsers verbieten, können Sie im Internet getrackt werden. Möglich wird dies durch Cookie-Alternativen wie eindeutige Browser-Kennzeichen (sogenanntes Browser Fingerprinting). Die Entwicklung geht sogar weg von Tracking-Cookies hin zum sogenannten Cookieless Tracking. Es nutzt nur Cookie-Alternativen, die sich nicht über den Cookie-Manager im Browser steuern lassen.

Mehr lesen

Die Datenschutz-Folgenabschätzung

27 November 2022

Risikoanalysen vielfacher Art gehören zum Alltag in Unternehmen. Die Datenschutz-Folgenabschätzung (DSFA) ist ein spezieller Anwendungsfall der Risikoanalyse. Ein Thema nur für Spezialisten? Keineswegs!

„TOMs“ sollen Schaden vermeiden

Daten dürfen weder versehentlich gelöscht werden, noch dürfen sie in falsche Hände geraten. Aber wie lässt sich das sicherstellen? Technische Maßnahmen, etwa die Verschlüsselung von Daten, können ein wichtiger Baustein sein. Ähnliches gilt für organisatorische Maßnahmen wie etwa sichere Türschlösser. Zusammenfassend spricht man in der Praxis oft von „TOMs“, also den technischen und organisatorischen Maßnahmen.

Eine Risikoanalyse steht am Anfang

TOMs kosten meistens Geld, manchmal sogar viel Geld. Schon deshalb gilt der Grundsatz: So viel wie nötig davon, aber nicht unnötig viel! Was nach den konkreten Umständen erforderlich ist, ergibt sich aus einer Risikoanalyse. Unter der Bezeichnung „Datenschutz-Folgenabschätzung“ ist sie in der DSGVO vorgeschrieben. Über kurz oder lang wird jeder, der Daten verarbeitet, damit konfrontiert.

Auch scheinbar harmlose Daten können brisant sein

Häufig hört man in Unternehmen Aussagen wie: „Jedenfalls unsere Abteilung hat nur mit harmlosen Daten zu tun. Außer Adressen von Kunden und Angaben zu den Bestellungen dieser Kunden haben wir nichts.“ Eine Risikoanalyse ist auch dann nicht entbehrlich. Beispielsweise sind Kundenadressen manchmal Adressen von gefährdeten Personen. Das kommt sicher nicht häufig vor. Aber wenn doch, können zusätzliche Sicherungsmaßnahmen notwendig sein.

Die Mitarbeit aller im Unternehmen ist unentbehrlich

Niemand im Unternehmen sollte genervt sein, wenn ihm Datenschutzverantwortliche scheinbar banale Fragen stellen. Nur wer selbst mit den Daten umgeht, weiß im Detail, welche Art von Daten das sind und wo ein Gefahrenpotenzial für den Datenschutz stecken kann. Das Nachdenken darüber lässt sich nicht auf andere „abschieben“.

Manche Daten sind von Haus aus heikel

Manchmal ergibt sich das Risiko schon aus der Art der Daten. Typisch hierfür sind medizinische Daten. Sie sind ihrem Wesen nach vertraulich. Deshalb sind beispielsweise Daten beim Betriebsarzt immer besonders schutzwürdig. Ein PC mit solchen Daten muss deshalb speziell abgesichert werden.

Scheinbar banale Vorgänge können brisant sein

Nicht immer sind die Risiken so offensichtlich. Ein Beispiel dafür ist die Einbindung von besonderen Schriftarten auf einer Webseite. Das geschieht häufig über den Zugriff auf Dienste wie Google Fonts. Ein völlig banaler Vorgang? Leider nein, denn wenn jemand auf die Webseite zugreift, übermittelt Google Fonts Daten von ihm an Google. Google ist in den USA ansässig. Dies zieht besondere rechtliche Probleme nach sich. Es hat also gute Gründe, wenn im Rahmen einer DSFA auch Fragen nach solchen Abläufen gestellt werden.

Am Anfang steht die Frage nach den Daten

Jede Risikoanalyse läuft nach einem bestimmten Raster ab. Das ist auch bei der DSFA so. Am Anfang steht die Frage, welche personenbezogenen Daten verarbeitet werden. Normalerweise sollte sich dies schon aus dem ohnehin vorhandenen Verzeichnis der Verarbeitungstätigkeiten ergeben. Die Angaben, die dort enthalten sind, sollten allerdings bei dieser Gelegenheit überprüft werden.

Es folgt die Ermittlung des Schutzbedarfs

Personenbezogene Daten können unterschiedlich schutzbedürftig sein. Deshalb ist eine Einstufung der Daten anhand eines Rasters aus drei Kategorien üblich. Sie reichen vom geringen Schutzbedarf (etwa bei üblichen Adressdaten) über mittleren Schutzbedarf (etwa bei Angaben zum Personenstand) bis hin zu hohem Schutzbedarf (etwa bei medizinischen Daten).

Die Folgen etwaige Pannen sind wichtig

An diese Einstufung schließt sich die Frage an, welche Folgen etwaige Daten-Pannen haben können. Diese Frage ist deshalb wichtig, weil Pannen Schadensersatzforderungen, Geldbußen und andere Folgen für das Unternehmen nach sich ziehen können. Man sollte deshalb nicht voreilig davon ausgehen, dass „ohnehin im Normalfall nichts passiert“.

Die DSFA bildet eine Handlungsgrundlage

Ergebnis einer DSFA ist ein umfangreiches „Risikopapier“. Es bildet unter anderem die Grundlage dafür, welche Schutzmaßnahmen als notwendig anzusehen sind. Nur selten führt eine DSFA dazu, dass bestimmte Daten überhaupt nicht mehr verarbeitet werden dürfen. Viel häufiger ist es, dass bestimmte Spielregeln ergänzt oder vorhandene Spielregeln in der Praxis endlich umgesetzt werden.

Mehr lesen