Posts mit dem Label Kontrolle werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Kontrolle werden angezeigt. Alle Posts anzeigen

Mittwoch, 24. April 2019

LfDI-BW plant fast 20 mal mehr Datenschutz-Kontrollen im Ländle

Der Baden-Württembergische Landesdatenschützer Stefan Brink plant einer Meldung der Stuttgarter Zeitung (StZ) zufolge, die Zahl der Kontrollen im Ländle durch seine Behörde massiv aufzustocken. Da nicht genügend Personal zur Verfügung steht, soll dafür die Zahl der Beratungen für kleine Unternehmen und Vereine zurückgefahren werden.


Der Landesdatenschutz Baden-Württemberg will 2019 viel mehr kontrollieren als bisher

Kurswechsel in 2019 - Kontrolle geht jetzt vor Beratung


Das Landesamt für Datenschutz und Informationssicherheit Baden-Württemberg (kurz: LfDI-BW) ist eine Landesbehörde mit derzeit nur etwa 60 Mitarbeitern. Von diesen wurden im vergangenen Jahr gerade mal 13 Kontrollen durchgeführt. Stattdessen wurde großer Wert auf den Beratungsauftrag des LfDI-BW gelegt.

Das soll sich nun ändern.


Dienstag, 30. September 2014

Achtung Kontrolle - BayLDA prüft Mindestanforderungen von Mailservern

Ein durch Verschlüsselung geschützter E-Mail-Transport ist zwar schon seit 1999 standardisiert, aber erst durch die Abhörskandale der letzten Zeit ins öffentliche Bewusstsein geraten. Nun testet das Bayrische Landesamt für Datenschutz die Mailserver von Firmen, Freiberuflern, Verbänden und Vereinen, ob sie eine verschlüsselte Datenübertragung nach den aktuellen Standards unterstützen, da diese auch für den gesetzlich vorgeschriebenen Schutz personenbezogener Daten notwendig ist. Wie und was prüft das Bayrische Landesamt für Datenschutzaufsicht BayLDA und wer ist davon betroffen?


Wie findet das BayLDA die relevanten Mailserver?


Die Bayrische Datenschutz Aufsicht beginnt bei der Prüfung der Mailserver zunächst bei den Webangeboten in Bayern ansässiger Firmen und anderer nichtöffentlicher Organisationen. Damit eine Webseite in einem Browser aufrufbar ist, muss die Domain im DNS, der globalen Adressdatenbank des Internet eingetragen sein. Zusätzlich zu den für Webzugriffe nötigen Address-Records finden sich dort in der Regel auch MX-Records, Einträge für sogenannte Mail Exchanger, die für den E-Mail-Transport innerhalb der Domain verantwortlich sind. Diese verweisen auf Mailserver, die vom Domaininhaber selbst oder einem externen Dienstleister betrieben werden. Hier setzt die Bayerische Datenschutz Behörde an und führt stichprobenartige Prüfungen der so erreichbaren Server durch.

Achtung Kontrolle - BayLDA kontrolliert aktuell Mailserver


Was prüft das Bayerische Landesamt für Datenschutzaufsicht?


Die Bayerische Datenschutz Behörde hat drei Punkte identifiziert, die für die Datensicherheit beim E-Mail-Transport und damit für den Datenschutz relevant sind. Zuallererst muss der Mailserver die verschlüsselte Datenübertragung zulassen und unterstützen. Anders als bei den Webzugriffen, die zwischen HTTP und HTTPS unterscheiden, gibt es dafür beim E-Mail-Transport per SMTP keinen vollständig separaten Dienst, sondern die Verschlüsselung wird nach einem normalen Verbindungsaufbau ausgehandelt. Dies geschieht mit dem Kommando STARTTLS, das der Mailclient an den Server sendet. Ob ein Mailserver die verschlüsselte Datenübertragung grundsätzlich unterstützt lässt sich dadurch überprüfen, ob er das STARTTLS-Kommando akzeptiert oder mit einem Fehlercode beantwortet.

Zusätzlich zur Verfügbarkeit der Verschlüsselung prüft das BayLDA zwei Faktoren, die zu einer Beeinträchtigung der Sicherheit führen können, beziehungsweise diese verbessern. Perfect Forward Secrecy ist eine Option, die sicherstellt, dass die Datenkommunikation im Nachhinein auch mit dem Hauptschlüssel nicht mehr entschlüsselt werden kann. Der Heartbleed Bug ist dagegen ein schwerwiegender Softwarefehler in der meistgenutzten Verschlüsselungssoftware OpenSSL, der im April 2014 bekannt wurde (wir berichteten).

Was tun wenn sich das BayLDA meldet?


Wenn ein Schreiben vom BayLDA eintrifft besteht bei mindestens einem der oben genannten Punkte Handlungsbedarf. Dem Schreiben liegt ein Fragebogen bei, den Sie ausfüllen und an die Behörde zurücksenden sollten, da eine mangelnde Mitwirkung nach dem Bundesdatenschutzgesetz eine Ordnungswidrigkeit darstellt und eine Geldbuße nach sich ziehen kann. Bei Unklarheiten und Fragen zur Vorgehensweise helfe ich Ihnen als Datenschutz-Berater gerne weiter.

Ich freue mich auf Ihre Anfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele