Freitag, 7. April 2017

EU-Datenschutz-Grundverordnung setzt auf Zertifizierung der Auftragsdatenverarbeitung

Unsere Erfahrung als Externe Datenschutzbeauftragte zeigt: Nahezu jedes mittelständische Unternehmen arbeitet heute mit mehreren unterschiedlichen Auftragsdatenverarbeitern gemäß § 11 BDSG zusammen - auch wenn dies und die daraus resultierenden Verpflichtungen den meisten Unternehmen nicht bewußt sind. 


Ein Beispiel: Das Callcenter als Auftrags(daten)verarbeiter gemäß § 11 BDSG (Artikel 28 EU-DSGVO)


Callcenter sind für zahlreiche Unternehmen das Tor zum Kunden. Callcenter verarbeiten Millionen, teilweise sehr sensible Kundendaten für ihre Auftraggeber. Um diese sensiblen Kundendaten zu schützen, sind angemessene Sicherheitsmaßnahmen und klare Abläufe sind notwendig. Für Auftraggeber ist es daher enorm wichtig, schon bei der Auswahl des Auftragnehmers schnell erkennen zu können, ob ein Callcenter vertrauenswürdig ist oder eher nicht.

Eine Zertifizierung bringt Klarheit


Eine Datenschutz-Zertifizierung durch yourIT für Auftragsdatenverarbeiter aller Art schafft die nötige Sicherheit für Auftraggeber und Auftragnehmer.

Übersicht der notwendigen Maßnahmen zur Datenschutz-Zertifizierung für Auftragsverarbeiter
yourIT - Übersicht der notwendigen Maßnahmen zur Datenschutz-Zertifizierung für Auftragsverarbeiter

Bei einer Datenschutz-Zertifizierung von Auftragsdatenverarbeitern gemäß § 11 BDSG (bzw. Auftragsverarbeitern gemäß Artikel 28 EU-DSGVO) werden in mehreren Schritten Geschäfts- und Datenverarbeitungsprozesse untersucht und falls erforderlich an die datenschutzrechtlichen Anforderungen angepasst. Eine erfolgreich bestandene Zertifizierung eines Auftragnehmers garantiert dadurch gegenüber dem Auftraggeber, dass die von Firmen verarbeiteten personenbezogenen Daten den hohen deutschen Datenschutzstandards entsprechen.

Gleichzeitig garantiert eine Datenschutz-Zertifizierung durch yourIT ein qualifiziertes und standardisiertes Datenschutzniveau, eine sichere Auftragsdatenverarbeitung sowie Kosten- und Zeiteinsparungen unter anderem bei Datenschutzkontrollen durch Auftraggeber oder Aufsichtsbehörden.

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) setzt auf eine Zertifizierung der Auftragsdatenverarbeitung


Die kommende EU-DSGVO setzt ganz offiziell auf eine Zertifizierung von Auftragsverarbeitern gemäß Artikel 28.

Die Durchführung einer Datenschutz-Zertifizierung bereits heute ist deshalb eine gute Vorbereitung auf das neue Datenschutzrecht, das ab dem 25.05.2018 gelten wird. Das neue Recht sieht Anpassungen in den Abläufen, Verträgen und IT-Sicherheitsmaßnahmen vor und erhöht die Bußgelder für Datenschutzverstöße auf bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.

Innovationspreis für die Datenschutz-Zertifizierung der yourIT


Die Initiative Mittelstand hat unsere Datenschutz-Zertifizierung für Auftragsdatenverarbeitung mit dem Innovationspreis-IT "BEST OF 2016" in der Kategorie "Consulting" ausgezeichnet.

Außerdem erhalten kleine und mittelständische Unternehmen gemäß KMU-Definition Fördermittel auf die durch yourIT durchgeführte Beratung.

yourIT - ESF-gefördertes Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter
Unser ESF-gefördertes Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Mittwoch, 5. April 2017

VR-Brillen: Ein Thema für den Datenschutz?

Ein Thema für den Datenschutz? Virtual Reality (VR) ist einer der Top-Trends der Unterhaltungselektronik. Auch am Arbeitsplatz kommen bereits VR-Brillen zum Einsatz. Dabei sind nicht nur virtuelle Welten im Blick, sondern auch Sie als Nutzer.


VR ist keine Vision, sondern Realität


Jeder elfte Deutsche hat bereits eine der Virtual-Reality-Brillen ausprobiert. Fast jeder Dritte kann sich vorstellen, dies künftig zu tun, so eine Umfrage des Digitalverbands Bitkom.

Ausgezeichnete Beratungspakete von yourIT - keine Vision sondern Realität
Ausgezeichnete Beratungspakete von yourIT - keine Vision sondern Realität

Wenn Sie noch keine VR-Brille aufgesetzt haben: VR-Brillen präsentieren einen Bildschirm direkt vor Ihren Augen und decken das gesamte Sichtfeld ab. Dadurch schauen Sie direkt in die Bilder und Videos und sind scheinbar Teil der virtuellen Umgebung. Selbst wenn Sie nach oben, nach unten oder zur Seite blicken: Die virtuelle Realität umgibt Sie.

Nicht nur Online-Spiele erhalten so einen neuen Erlebniswert. Es profitieren auch berufliche Anwendungen. Bitkom nennt als Beispiele Piloten, die in virtueller Umgebung die Flugzeugbedienung üben, und Ärzte, die riskante Eingriffe digital simulieren. Architekten und Städteplaner können begehbare Entwürfe erstellen. Reiseanbieter können eine Vorschau auf touristische Sehenswürdigkeiten bieten, bevor die Urlauber vor Ort sind.

Der Nutzer steht im Fokus


Bei Virtual Reality hat man als Nutzer das Gefühl, mitten im Geschehen zu sein. Auch wenn das nur virtuell ist: Tatsächlich stehen Sie als Träger einer VR-Brille im Mittelpunkt.

Sie wählen das VR-Video aus, das gezeigt wird, Sie installieren die VR-Anwendungen. Mit den führenden VR-Brillen sind spezielle App-Stores verknüpft, bei denen Sie ein Nutzerprofil anlegen.

Je nach Anbieter können Sie sogar Ihr Online-Profil von Facebook oder einem anderen sozialen Netzwerk mit Ihren VR-Anwendungen verknüpfen, Ihre VR-Erlebnisse bei Facebook & Co. teilen und mit Facebook-Freunden innerhalb einer VR-Anwendung kommunizieren.

Sehen und gesehen werden


Selbst wenn Sie keine Verknüpfung zu Facebook herstellen um ein Nutzerkonto werden Sie kaum herumkommen. Dort lässt sich protokollieren, was Sie sich angesehen haben. Tatsächlich ist es nicht nur geplant, in VR-Anwendungen passende Werbung zu machen, es geschieht schon. Dazu werden Ihre VR-Nutzungsgewohnheiten analysiert.

Mehr noch: Je nach Modell verfügt die VR-Brille über Mikrofon und Kamera, oder Sie stecken Ihr Smartphone in die VR-Brille, das über diese Funktionen verfügt. Mit Kamera und Mikrofon können Sie Kommandos geben, per Sprache oder per Blickkontakt mit der VR-Anwendung. Selbst Fotos und Videos von Ihren Erlebnissen können Sie damit machen.

Vergessen Sie aber nicht: Die Anbieter der VR-Erlebnisse könnten Sie als Nutzer analysieren, Datendiebe Sie sogar über die integrierte Kamera von Smartphone oder VR-Brille  heimlich bei der Nutzung der Brille beobachten. Befassen Sie sich deshalb mit dem Datenschutz, bevor Sie in virtuelle Welten eintauchen. Denn die Datenrisiken sind real.

Mittwoch, 8. März 2017

Virenschutz oder Datenschutz?

Die Frage, ob Sie Virenschutz oder Datenschutz wollen, erscheint auf den ersten Blick absurd. Denn Sie brauchen beides. Tatsächlich aber können Virenschutz-Lösungen zum Problem für den Datenschutz werden.


Wenn der Schutz zur Gefahr wird


Kaum jemand verzichtet komplett auf einen Virenschutz für den PC oder das Notebook, eigentlich sollte es niemand tun. Bei Smartphones sieht es schon deutlich schlechter aus: Jeder fünfte Smartphone-Besitzer (20,7 %) nutzt sein Mobilgerät ohne jegliche Sicherheitsfunktionen zum Schutz des Geräts und der darauf befindlichen Daten, so eine Umfrage für das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Aus Sicht des Datenschutzes sollte auf jedem Endgerät ein Schutz vor Malware oder Schadsoftware vorhanden sein. Doch diese Forderung kann zu einem Datenrisiko führen, wenn man nicht darauf achtet, wie es der Anbieter der Antiviren-Software mit dem Datenschutz hält.
Tatsächlich gibt es eine ganze Reihe von Virenschutz-Lösungen, die zwar Malware erkennen und abwehren, die es aber selbst nicht so genau mit dem Datenschutz zu nehmen scheinen.

yourIT, Datenschutz, Virenschutz, securITy
yourIT, Datenschutz, Virenschutz, securITy

Überprüfung von Datenschutzerklärungen ergab Mängel


Das Testinstitut AV-Test aus Magdeburg hat die Datenschutzerklärungen von 26 Antiviren-Programmen untersucht und dabei viele Unzulänglichkeiten und Probleme entdeckt. So hatten zwei Anti-Malware-Lösungen überhaupt keine Datenschutzerklärung.
In fast jeder untersuchten Datenschutzerklärung räumten sich die Hersteller zudem in erheblichem Umfang Zugriffsrechte auf Daten ein, die für den Einsatz einer Schutz-Software nicht nötig sein dürften, so AV-Test.

Einige Extrembeispiele untermauern diese Einschätzung: So haben einzelne Hersteller angegeben, dass sie Daten über das Geschlecht, die Berufsbezeichnung sowie Rasse und sexuelle Orientierung eines Nutzers verarbeiten wollen.
Der Bezug zum Schutzzweck der Software ist offensichtlich nicht vorhanden. Die Vermutung liegt nahe, dass die Anbieter Nutzerinformationen zu Werbezwecken erheben bzw. an Dritte für Werbemaßnahmen weitergeben. Eine informierte Einwilligung, wie sie der Datenschutz fordert, erfragen sie dafür vom Nutzer nicht.

Kein blindes Vertrauen in die IT-Sicherheit


Leider können Sie also nicht davon ausgehen, dass alle Lösungen, die Ihre Daten vor Angreifern schützen, selbst mit den Daten so umgehen, wie es der Datenschutz ver-langt. Auch IT-Sicherheitsanwendungen müssen hinterfragt werden, wie sie es mit dem Datenschutz halten, genau wie jede andere Applikation, die Sie installieren oder nutzen möchten.

Genau genommen sollten Sie bei IT-Sicherheitslösungen wie den Antiviren-Programmen noch genauer hinschauen, was in der Datenschutzerklärung steht. Denn Sicherheitsprogramme haben sehr mächtige Funktionen und oftmals weitgehende Zugriffsberechtigungen auf die Daten.
Diese Berechtigungen brauchen sie in Teilen zwar, um wirklich schützen zu können. Doch sie machen auch einen falschen Umgang mit personenbezogenen Daten durch Sicherheitssoftware so gefährlich.

Nutzen Sie also auf jedem Endgerät einen Virenschutz, aber prüfen Sie bei jedem Tool auch die Datenschutzerklärung. Virenschutz und Datenschutz werden beide gebraucht, getrennt voneinander sollten sie nicht sein. Ohne Virenschutz ist Datenschutz heute nicht mehr möglich, ohne Datenschutz sollte es jedoch keine Virenschutz-Lösung geben.

Virenschutz = Datenschutz? Testen Sie Ihr Wissen!


Frage: Virenschutz ist elementar für den Datenschutz. Stimmt das?


  • a. Ja, das stimmt. Trotzdem ist der Datenschutz beim Virenschutz nicht automatisch         garantiert.
  • b. Virenschutz braucht man nur, wenn man das Internet nutzt.
  • c. Virenschutz-Lösungen berücksichtigen automatisch den Datenschutz. 

Lösung: Die Antwort a. ist richtig. Virenschutz braucht man auf jedem Endgerät, gleich ob es einen Internetzugang hat oder nicht. Denn auch ein USB-Speicherstift kann zum Beispiel Malware einschleppen.
Trotzdem kann man nicht davon ausgehen, dass der Datenschutz beim Virenschutz automatisch stimmt. Prüfen Sie die Datenschutzerklärung des Anbieters genau, bevor Sie sich für eine Lösung entscheiden.


Frage: Antiviren-Software verarbeitet personenbezogene Daten nur zu Sicherheitszwecken. Stimmen Sie dem zu?


  • a. Ja, zu welchen Zwecken sollte ein Sicherheitsprogramm denn sonst Daten verarbeiten?
  • b. Man sollte in der Datenschutzerklärung prüfen, zu welchen Zwecken der Software-Anbieter personenbezogene Daten erhebt, nutzt und speichert. Man kann Erstaunliches finden ...


Lösung: Die Antwort b. ist richtig, wie eine Untersuchung von AV-Test ergeben hat. Ob die erhobenen Nutzerdaten wirklich dem Sicherheitszweck dienen oder nicht, können Sie sich klarmachen, indem Sie die Sicherheitsfunktionen betrachten und sich fragen, ob Sie diese denn möchten oder nicht.
So kann ein Zugriff auf die Standortdaten sinnvoll sein, wenn Sie die Funktion nutzen wollen, ein verlorenes oder gestohlenes Gerät wiederzufinden. Daten über das Geschlecht und die sexuelle Orientierung des Nutzers haben aber zweifellos nichts mit den Sicherheitsfunktionen zu tun. Trotzdem wollen manche Antiviren-Lösungen solche Daten erheben und verarbeiten. Hier ist mehr als Vorsicht angesagt – es empfiehlt sich die Suche nach einer anderen Antiviren-Software!

Mittwoch, 1. März 2017

Ist mit einem Pentester eine Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG notwendig

yourIT aus Hechingen ist im Bereich Datenschutz & Informationssicherheit als Dienstleister und Berater tätig. Das IT-Systemhaus mit dem Slogan "Security in everything we do" bietet seinen Kunden unter anderem professionelle Schwachstellenanalysen und Penetrationstests an. Hierzu wurden und werden deutschlandweit Systemhaus-Partner aufgebaut, die eine Versorgung mit gleichbleibender Qualität im gesamten Bundesgebiet sicherstellen können.


Folgende interessante Frage wurde von einem Partner an yourIT herangetragen:


"Muss mit einem externen Dienstleister, der im Auftrag einen Pentest durchführen soll, ein Vertrag nach §11 Bundesdatenschutzgesetz (BDSG) bzw. Artikel 28 Abs. 3 EU-Datenschutzgrundverordnung (EU-DSGVO) geschlossen werden? Es werden an den Auftragsdatenverarbeiter (neu: Auftragsverarbeiter) ja eigentlich keine personenbezogenen Daten geliefert, wenn man jetzt von den Kontaktdaten zum Audit absieht.

Muss für solche Dienstleistungen ein § 11 Vertrag geschlossen werden, oder ist hier eine Verschwiegenheitserklärung sinnvoller.

Es wird ja kein Auftrag erteilt zum verarbeiten der Daten, sondern zur Prüfung der Systeme."

yourIT bietet eine breite Palette an Dienstleistungen und Beratungen im Bereich Datenschutz & Informationssicherheit
yourIT bietet eine breite Palette an Dienstleistungen und Beratungen im Bereich Datenschutz & Informationssicherheit

Und hier die Antwort von yourIT:


Wir möchten gerne voranstellen, dass zur sicheren Durchführung von Schwachstellenanalysen und Penetrationstests (Pentests) unbedingt ein sauberes und durchdachtes Vertragswerk notwendig ist. Ohne eine vom Verantwortlichen des Auftraggebers unterzeichnete "Permission to Attack" darf z.B. kein Audit stattfinden.

Wir geben Ihnen Recht: Bis auf die Kontaktdaten zum Audit werden augenscheinlich keine personenbezogenen Daten an den Pentester geliefert. Aber: Im Verlauf des Audits kann es vorkommen, dass der Auditor oder Pentester Zugriff auf personenbezogene Daten bekommt, wenn er in die Systeme eindringen kann. Das ist ja auch sein Auftrag Schwachstellen zu finden.

Zur Klärung der obigen Fragestellung gibt es den § 11 Absatz 5 BDSG: „Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“

Wir empfehlen den zusätzlichen Abschluss einer Verschwiegenheitserklärung (Non-Disclosure-Vereinbarung) für die Wahrung von Betriebs- und Geschäftsgeheimnissen etc.

yourIT - Wir auditieren und zertifizieren Pentester


Achtung: Die §11-Zertifizierung durch unser Beratungsunternehemen ist im Jahr 2017 förderfähig! Holen Sie sich bis zu 1.500 EUR FördermittelMehr zu diesem und unseren anderen staatlich geförderten Beratungspaketen haben wir auf einer eigenen Website zusammengestellt: http://www.mITgroup.eu


Bonus für mittelständische Pentester - Jetzt Fördermittel nutzen!


Die yourIT-§-11-Zertifizierung für mittelständische Unternehmen - sponsored by ESF

Um die Wettbewerbsfähigkeit mittelständischer Unternehmen zu steigern, stehen für Beratungsprojekte wie z.B. die §-11-Zertifizierung Fördergelder des Europäischen Sozialfonds bereit. Handeln Sie jetzt! Nähere Infos hierzu finden Sie hier.

Die §11-Zertifizierung bieten wir erfolgreich bundesweit an. Unsere Methodik und modernste Technik ermöglicht es uns in den meisten Fällen, das Audit schnell und unkompliziert auch ohne vor-Ort-Termin durchzuführen. Ihr Auftraggeber sollte nicht unnötig warten müssen, oder?

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Donnerstag, 9. Februar 2017

Was ist der Privacy Shield?

Wer in einem Unternehmen arbeitet, das Daten in die USA übermittelt, muss ihn kennen. Aber auch jeder Normalbürger sollte zumindest einmal davon gehört haben. Die Rede ist vom Privacy Shield, auf Deutsch etwa „Schutzschild für das Persönlichkeitsrecht“. Er kann seit dem 1. August 2016 genutzt werden. Viele Un-ternehmen hatten dringend darauf gewartet.


Eine Herausforderung: Datenübermittlungen in die USA


Will ein Unternehmen Daten von Kunden oder auch Daten von Mitarbeitern an ein US-Unternehmen übermitteln, geht das nicht „leicht und locker“. Und zwar auch dann nicht, wenn es sich bei dem US-Unternehmen beispielsweise um die „US-Mutter“ handelt.
Bekanntlich gehören die USA nicht zur EU. Deshalb erlauben die EU-Regelungen zum Datenschutz den Transfer von Daten in die USA nur dann, wenn dort ein angemessenes Datenschutzniveau herrscht. Was als angemessen anzusehen ist, bestimmt sich dabei natürlich nach den Vorstellungen der EU.

Datenschutz, yourit, Privacy Shield
Datenschutz, yourit, Privacy Shield

Datenschutz in den USA: durchaus, aber ...


Damit beginnen in der Praxis die Probleme. Zwar gibt es in den USA sehr wohl Datenschutzvorschriften. Deshalb sollte man gegenüber Kollegen aus den USA auch nie zu überheblich davon sprechen, die USA würden sowieso keinen Datenschutz kennen.

Nur zu schnell kann es einem sonst passieren, dass diese Kollegen etwa auf Regelungen hinweisen, die die Daten von Kindern ganz besonders schützen. Die Abkürzung hierfür heißt COPPA (Children's Online Privacy Protection Rule) und ist auch den meisten Durchschnitts-Amerikanern bekannt.

Die US-Regelungen setzen die Schwerpunkte aber ganz anders als die Vorschriften der EU. Manche Aspekte des Datenschutzes, die in Europa ganz hoch gehalten werden, gelten in den USA kaum etwas.
Langer Rede kurzer Sinn: Ein Datenschutzniveau, das nach den Vorstellungen der EU generell als angemessen anzusehen wäre, existiert in den USA nicht.

Individuelle Einwilligungen: nur theoretisch denkbar


Wie soll ein Unternehmen damit umgehen? Nun, es könnte beispielsweise jeden ein-zelnen Betroffenen um seine Einwilligung bitten und seine Daten erst dann übermitteln.
Theoretisch wäre das denkbar. In der Praxis funktioniert das aber schon wegen des Aufwands nicht. Deshalb wählt der neue Privacy Shield einen anderen Ansatz.

Der besondere Ansatz von Privacy Shield:


  •  Ein US-Unternehmen, das personenbezogene Daten aus der EU erhalten soll, verpflichtet sich dazu, umfangreiche Spielregeln für den Datenschutz einzuhalten. Sie sind unter dem Begriff „Privacy Shield“ zusammengefasst.
  • Diese Verpflichtung erfolgt gegenüber den zuständigen US-Behörden. Das ist meist die Federal Trade Commission (FTC), eine Verbraucherschutzbehörde. 
  • Der Inhalt der Spielregeln ist zwischen dem US-Handelsministerium (Depart-ment of Commerce) und der Europäischen Kommission abgestimmt.
  • Ist ein US-Unternehmen eine solche Verpflichtung eingegangen, gilt das Datenschutzniveau in diesem Unternehmen auch seitens der EU als angemessen.
  • Die positive Folge für die europäischen Geschäftspartner solcher US-Unternehmen: Sie dürfen personenbezogene Daten an dieses Unternehmen unter denselben Voraussetzungen übermitteln, unter denen dies auch innerhalb der Europäischen Union zulässig wäre.

Keine Einwilligung der Betroffenen nötig


Die Betroffenen müssen nicht gefragt werden, ob sie damit einverstanden sind. Sie müssen aber in geeigneter Weise informiert werden. Dabei sind viele Einzelheiten zu beachten, um die sich die Spezialisten in den Unternehmen kümmern. In Deutschland sind dies die Datenschutzbeauftragten der Unternehmen.

Erinnern Sie sich noch an Safe Harbor?
Manchem wird dieses Vorgehen irgendwie bekannt vorkommen. Völlig zu Recht! Ziemlich ähnlich lief dies auch schon bei den Safe-Harbor-Regelungen ab. Sie hatten sich über zehn Jahre lang beim Transfer von Daten aus der EU in die USA bewährt, jedenfalls aus der Sicht der meisten Unternehmen.

Allerdings hatte der Europäische Gerichtshof diese Regelungen im Oktober 2015 aus verschiedenen Gründen gekippt. Das geschah gewissermaßen über Nacht, also ohne jede Übergangsfrist. Deshalb waren neue Regelungen, wie sie der Privacy Shield nun vorsieht, dringend erforderlich.
Etwas vereinfacht lässt sich sagen: Der Inhalt des Pri-vacy Shield ist neu und wesentlich ausgefeilter, als es die Regelungen von Safe Harbor waren. Der Verfahrensablauf ist aber ziemlich ähnlich.

Gegen die Spielregeln verstoßen? Lieber nicht!


Wie sieht es übrigens damit aus, dass sich die Unternehmen auch wirklich an die Spielregeln halten, zu denen sie sich verpflichtet haben? Die Chancen dafür stehen gut. Jeder weiß, wie kräftig US-Behörden bei Rechtsverstößen zupacken können. Und das gilt nicht nur, wenn es um Verstöße gegen Abgasregelungen geht. Auch Datenschutzverstöße von US-Unternehmen haben die amerikanischen Behörden schon schwer geahndet. Gehen Sie also davon aus: Privacy Shield ist ernst gemeint!

Dienstag, 24. Januar 2017

Was bedeutet eigentlich „Stand der Technik?“

Der Datenschutz verlangt technisch-organisatorische Schutzmaßnahmen nach dem Stand der Technik. Das klingt nicht sehr konkret – mit Absicht!
Am schönsten wäre eine genaue Anleitung ...


Fast jeder zweite Internetnutzer (47 Prozent) ist in Deutschland in den vergangenen zwölf Monaten Opfer von Internetkriminalität geworden, so eine repräsentative Umfrage des Digitalverbands Bitkom. Die Vorfälle reichen von gefährlichen Infektionen durch Schadsoftware bis hin zu Online-Betrug und Erpressung.
Um die eigenen Daten zu schützen, aber auch um die Daten der Kunden, Partner und Mitarbeiter im Unternehmen zu schützen, sind also umfangreiche Maßnahmen für die Datensicherheit erforderlich.

Datenschutz, yourIT, securITy
Datenschutz, yourIT, securITy



Doch welche Maßnahmen sind genau notwendig? Wie schützt man sich am besten? Der Bitkom-Verband schreibt dazu: Gegen digitale Angriffe nutzen vier von fünf Inter-netnutzern (80 Prozent) ein Virenschutz-Programm und zwei von drei (67 Prozent) eine Firewall auf ihrem Computer.

Antiviren-Programme und Firewall sind der absolute Basisschutz für jeden Computer. Aber reicht das aus? Was fordern zum Beispiel die Datenschutzvorschriften? Gibt es hier eine konkrete Vorgabe zum Schutzumfang?


BDSG und DSGVO nennen kaum genaue Sicherheitsverfahren.


Im Bundesdatenschutzgesetz (BDSG) findet man: Eine Maßnahme für die Zugangs-kontrolle, Zugriffskontrolle und Weitergabekontrolle ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.
Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) nennt die Verschlüsselung sowie die Pseudonymisierung.

Grundsätzlich aber sagen beide Gesetze zu den Maßnahmen der Datensicherheit: Ge-eignete technische und organisatorische Maßnahmen, um ein dem Risiko an-gemessenes Schutzniveau zu gewährleisten, sind zu treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintritts-wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Statt Schutzverfahren aufzulisten, verweisen die Texte jeweils in erster Linie auf den Stand der Technik. Warum eigentlich?


IT und Bedrohungen dynamischer als Gesetzgebung


Die gesetzlichen Regelungen fordern Schutzmaßnahmen nach dem Stand der Tech-nik, weil die IT-Sicherheitslösungen jeweils zur aktuellen Bedrohungslage, zum Schutzbedarf der Daten und zur eingesetzten IT passen müssen. Veraltete IT-Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz.

So sind zum Beispiel Verschlüsselungsverfahren, die vor einigen Jahren noch als Standard galten, heute kein wirksamer Schutz mehr. Datendiebe können diese Verschlüsselungsverfahren inzwischen relativ leicht brechen und umgehen.

Damit die Datensicherheit aktuell und damit hoch genug ist, müssen die Maßnahmen also regelmäßig angepasst und verstärkt werden. Würden rechtliche Vorgaben genaue IT-Sicherheitsverfahren benennen, müsste der Gesetzgeber die Texte fortlaufend ändern.

Das geht natürlich nicht. Deshalb verlangen die Regelungen, dass die Datensicherheitsmaßnahmen aktuell sind und damit die Sicherheit den Stand der Technik abbildet.


Privat und beruflich am Puls der IT-Sicherheit bleiben


Für Sie als Anwender bedeutet dies, dass Sie jeweils aktuelle Lösungen für Ihre Daten-sicherheit benötigen. Am Arbeitsplatz sollten Sie sich an die IT-Sicherheitsrichtlinien der Firma halten und nur die entsprechend freigegebenen IT-Lösungen sowie Sicherheitsanwendungen nutzen.

Privat sind Sie erst einmal auf sich gestellt. Hier ist es aber ebenso wichtig, dass Sie auf eine aktuelle Datensicherheit achten. Nicht nur, wenn Sie Privatgeräte beruflich verwenden, sondern generell.
So könne eine Person etwa an ihrer Körperhaltung zu erkennen sein, aber auch an ihrer Kleidung oder an mitgeführten Gegenständen.

Auch der Zeitpunkt und der Ort einer Aufnahme könnten Rückschlüsse darauf erlauben, welche Person man vor sich habe.

Was konkret tun?


Ihr aktuelles Datensicherheitsprogramm umfasst dabei, dass Sie die Betriebssysteme und Anwendungen auf allen genutzten Endgeräten aktuell halten und die Datenschutz- und Sicherheitsoptionen regelmäßig auf den passenden Stand bringen. Sicherheitslösungen wie den Virenschutz müssen Sie ebenfalls mit Updates versorgen.

Zudem ist wichtig, dass Sie sich neue Versionen der Sicherheitsprogramme beschaffen, in der Regel einmal jährlich. Die täglichen Updates gelten nämlich in aller Regel der aktuellen Viren-Erkennung. Neue Sicherheitsfunktionen bekommen Sie meist erst mit einer neuen Version der Anwendung.

Ob sich der Umstieg auf andere Sicherheitslösungen lohnt oder nicht, sollten Sie ab-hängig machen von Testergebnissen renommierter Prüfinstitute und von Berichten in der Fachpresse.
Sicher werden Sie auch in Schulungen und Unterweisungen zu IT-Sicherheit und Datenschutz jeweils aktuell informiert. Wichtig ist: Bleiben Sie am Ball. Die Datendiebe haben immer neue Ideen, wie sie angreifen können.

Dienstag, 10. Januar 2017

3 wichtige Spielregeln - Datenschutz auch bei Pokémon Go!

Die mobile App Pokémon Go hat für viele Menschen einen regelrechten Suchtfaktor. Und das keineswegs nur für Jugendliche – auch viele Erwachsene sind dem Spiel geradezu verfallen. Dabei darf der Datenschutz freilich ebenso wenig aus dem Blick geraten wie der Schutz von Unternehmensgeheimnissen. Im Dezember 2017 kam übrigens ein von den Fans sehnsüchtig erwartetes Mega-Update. Allzu schnell kann es besonderen Leichtsinn auslösen.


Pokéstops, Arenen und Monster


In seiner Freizeit kann natürlich jeder tun, was er will – beispielsweise so viele Spiele-Monster erfolgreich jagen, dass er den nächsten Level von Pokémon erreicht. Aber was ist, wenn gerade auf dem Grundstück des eigenen Arbeitgebers wunderschöne Pokéstops zu finden sind? Wenn man also gerade dort die besten Monster einfangen kann?

Die Spielkundigen verstehen sofort, was mit diesen Dingen gemeint ist. Sie ziehen sich in eine Arena zurück, um ein paar Monster zu besiegen. Ihre Kollegen wiederum wundern sich, wie ganz normale Menschen der Faszination von Dingen erliegen, die für die anderen um sie herum gar nicht sichtbar sind.

Pokémon Go, Datenschutz, yourIT
yourIT zu Pokémon Go und Datenschutz

Arbeitszeit ist keine Spielzeit! 


Klar ist, dass Spielen während der Arbeitszeit schon deshalb Fragen aufwirft, weil dann gerade nicht gearbeitet wird. Das ist zwar kein Thema des Datenschutzes, sondern des Arbeitsrechts. Freilich: Mehr Schaden als eine Zigarettenpause, die zu Unrecht nicht als Arbeitspause registriert wird, richtet das kurze Einfangen eines virtuellen Monsters während der Arbeitszeit auch nicht an, oder?

Bilder von Monstern und anderen Dingen 


Das kommt darauf an. Vielfach ist es üblich, eben eingefangene Monster zu fotografieren und das Foto an Freunde zu schicken. Blöd nur, wenn da noch andere Dinge auf dem Bild sind, etwa Konstruktionen, die nicht fotografiert werden dürfen. Wer weiß, wo ein solches Foto landet, und wer weiß, ob jeden Empfänger des Fotos wirklich nur die Monster interessieren.

Harmlose und andere Apps


Vielfach untersagen Unternehmen aus gutem Grund, Apps für private Zwecke auf dienstlichen Smartphones oder Tablets zu installieren. Ein solches Verbot gilt dann auch für die Pokémon-App. Das Argument, sie sei harmlos und könne keinen Schaden anrichten, kann daran nichts ändern. Erstens kommt es auf diesen Gesichtspunkt nicht an. Zweitens stellt sich die Frage, ob er zutrifft. Schon ein kurzer Blick in die Nutzungsbedingungen der App zeigt, dass sich der App-Anbieter das Recht einräumen lässt, unter bestimmten Bedingungen Daten an Dritte weiterzugeben. Was daraus im Einzelfall entstehen könnte, vermag niemand sicher abzuschätzen.

Diese 3 eigentlich selbstverständlichen Spielregeln sollten Sie beachten


3 Spielregeln sollten Sie unbedingt beachten:
  • Spielregel 1: Ein völliges No-Go ist es vor diesem Hintergrund, berufliche Mail-Adressen bei dem Spiel zu benutzen.
  • Spielregel 2: Wer spielen will, sollte das bitte nur auf seinem privaten Gerät tun und dabei nur eine private Mail-Adresse verwenden.
  • Spielregel 3: Und die rechte Zeit für das Spiel ist die Freizeit, nicht die Arbeitszeit.

Wer diese Punkte beachtet, kann sein Spiel genießen und sich beim Monster-Kampf mit Pokémon Go bestens erholen.