Autor: Michael

Sensible Daten beim Email-Versand

Die meisten von uns versenden täglich Mails mit mehr oder weniger sensiblen Daten. Unverschlüsselte Mails werden wie eine Postkarte durch das Netz gesendet. Sie sind von jedem lesbar – sind Sie sich dessen bewusst?

Dabei werden oft auch personenbezogene Informationen oder sensible Daten verschickt. Darüber sollten Sie sich Gedanken machen!

So kann zum Beispiel bereits der Versand einer Rechnung mit Leistungen Rückschlüsse auf Einkommen, Gesundheit oder sonstiges geben. Unter Umständen ein erheblich Sicherheitsrisiko. Sie sollten daher mit Ihrem Empfänger klären, ob solche Daten unverschlüsselt versendet werden dürfen.

Die Alternative ist natürlich eine Verschlüsselung. Sie bietet Ihnen eine optimale Sicherheit. Haben Sie Empfänger, mit denen Sie regelmäßig Daten austauschen? Dann ist die Einrichtung einer verschlüsselten Übermittlung bei Empfänger und Absender eine lohnende Investition.

Inwieweit es bei der Versendung von Mails um sensiblen Daten geht, sollte vom Datenschutzbeauftragten geprüft werden. Denn eine Verletzung der Privatsphäre Ihres Empfängers oder der Missachtung des Datenschutzes kann schwerwiegende Folgen haben.

Passwörter: Warum ist das denn ein Problem?

Nicht nur im Zusammenhang mit der DSGVO ist der Schutz digitaler Informationen ein wichtiges Thema.

Persönliche Daten sicher aufzubewahren und insgesamt die Infrastruktur privat und geschäftlich vor Eindringlingen zu schützen, hat maßgeblich mit dem Umgang der verwendeten Passwörter zu tun.

Hier scheint es der Nutzer nach wie vor nicht so genau zu nehmen. Eine Umfrage des Anbieters Lastpass belegt, dass viele dasselbe Passwort für mehrere Zugänge verwenden. „Wie soll ich mir die alle merken“, „so komplizierte Passwörter kann ich mir nicht merken“ oder „bei mir gibt es sowieso nichts zu holen“ und ähnliche Ausreden sind oft die Antwort auf dieses Thema.

Resignation ist keine Lösung, das kann ich gleich sagen. Wenn wir es den Hackern leicht machen, dann werden die dadurch nicht weniger.

Und alle anderen Ausreden kann man mit einem Passwort-Manager lösen. Man muss nur mal anfangen. Die Tools sind oft kostenlos und  bieten einen hohen Schutz. Sichere Passwörter lassen sich damit leicht erstellen. Merken muss man sich da nichts mehr.

Als Datenschutzbeauftragter helfe ich meinen Partnern in der Einführung und unterweise Sie im Gebrauch dieser Tools. Nach ein paar Wochen ist die Resonanz immer positiv. Nach ein paar Monaten will den Gebrauch keiner mehr missen.

Viele Passwort-Manager bieten eine systemübergreifende Integration, sodass man auf Handy, Laptop oder PC gleichermaßen seine Zugangsdaten zur Verfügung hat.

Die Passwort-Verwalter sind auch ein wichtiger Teil zur Einhaltung der DSGVO.

Also, machen Sie es den Hackern nicht so leicht, nutzen Sie die Möglichkeiten eines Passwort-Managers. Ich helfe gerne bei der Umsetzung und des Gebrauchs nach Datenschutzregeln.

Was hat die Putzhilfe mit der DSGVO zu tun?

Kommt bei Ihnen auch regelmäßig eine Putzhilfe und säubert die Büros? Haben Sie darüber schon nachgedacht, welche Informationen Sie in Ihrem Unternehmen zu sehen bekommt? Unterlagen auf dem Schreibtisch, offene Aktenschränke? Papierkörbe, in die personenbezogene Daten und Firmeninterna entsorgt werden?

Dies alles kann dazu führen, das Informationen aus dem Unternehmen in falsche Hände geraten.

Hier gibt es zwei Lösungen:

1. Die Putzhilfe bekommt eine Geheimhaltungsverpflichtung.
Sie hat Einsicht (beabsichtigt oder zufällig spielt hierbei keine Rolle) in firmeninterne Unterlagen und eventuell sogar personenbezogene Daten. Somit ist Sie als Person genauso im Umgang mit sensiblen Daten zu unterrichten. Wenn Sie von einer Reinigungsfirma Ihre Büroräume gesäubert bekommen, dann sollte Ihnen das Unternehmen bereits entsprechende Verträge und Erklärungen vorgelegt haben.

2. Die Dateneinsicht minimieren.
Aktenschränke sind abzuschließen und Unterlagen auf dem Schreibtisch gehören nach Feierabend in das abschließbare Schubfach. In den Papierkorb gehören überhaupt keine sensiblen Daten. Diese werden im Aktenvernichter geschreddert. PCs sind mit Passwörtern geschützt. Alles was personenbezogene oder sensible Daten beinhaltet, liegt nicht offen herum.

Siehe hierzu auch meinen Beitrag Altpapier ist gefährlich.

IT-Sicherheit

offen zugänglicher Server
So sollte der Server nicht zugänglich sein.

Server, Router und andere Netzwerke sind vor Zugang zu schützen. Der Server hat nicht in der Abstellkammer oder dem Putzraum zu suchen. Wenn überhaupt, ist er dort in einem entsprechenden Schrank unter Verschluss. Kommt die Reinigungskraft nach Feierabend, hat sie in der Regel Zugang zu den Büros und kann sich frei im Unternehmen bewegen. Stellen sie sicher, dass die IT nicht zugänglich ist. Das Bundesamt für Informationssicherheit BSI gibt hierzu eine Reihe an Empfehlungen.

Der Datenschutzbeauftragte hilft

Bei der Besichtigung eines Unternehmens unterweise ich die Mitarbeiter auf Risiken und Vorsichtsmaßnahmen  im Umgang mit sensiblen Daten. Wenn gewünscht, wird in regelmäßigen Audits die Umsetzung und Einhaltung der DSGVO geprüft.

Initiative oder ausgeschriebene Bewerbung?

Derzeit bewerben sich wieder viel mehr Mitarbeiter bei den Unternehmen ohne dass eine Stelle ausgeschrieben wurde. Es treffen sogenannte initiative Bewerbungen ein. Im Gegensatz zu ausgeschriebenen Stellenangeboten gelten unterschiedliche Verfahrensweisen zur Einhaltung nicht nur der DSGVO.

Im Umgang mit personenbezogenen Daten wird die Einhaltung der Datenschutzgrundverordnung gefordert. In der Handhabe der Bewerbung muss aber auch das Allgemeine Gleichbehandlungsgesetz (AGG) beachtet werden.

Zuerst sollte man bei Angeboten auf der Homepage oder in sozialen Netzwerken auf eine klare Definition für eine Stellenausschreibung achten. Sie haben Einfluss auf den Umgang einer erhaltenden Bewerbung.

Die initiative Bewerbung

Wird auf der Homepage ein allgemein gehaltenes Angebot zur Aufforderung einer Bewerbung beschrieben, handelt es sich nicht um eine klar ausgeschriebene Stelle. Bewerbungen darauf kann man als „initiativ“ bezeichnen. Sie haben keine aktuell zu besetzende Stelle, freuen sich aber auf Bewerbungen. Abgelehnte Bewerber haben darauf keinen Rechtsanspruch nach dem AGG. Senden Sie die Unterlagen mit einer Absage an den Bewerber zurück, können Sie die Daten löschen. Es besteht in der Regel keine weitere Maßnahme, da Sie keine personenbezogenen Daten speichern.

Die ausgeschrieben Stelle

Machen Sie auf der Homepage, in sozialen Netzwerken oder in Jobbörsen auf eine freie Stelle aufmerksam, so gelten andere Maßnahmen im Umgang mit Bewerbungen. Bei einer Absage hat der Kandidat aufgrund des AGG die Möglichkeit, gegen die Absage zu klagen. Deshalb sollten solche Bewerbungen maximal sechs Monate gespeichert werden.

Hier kommen dann aber eine Menge Anforderungen im Umgang mit personenbezogenen Daten und Einhaltung der DSGVO auf Sie zu. Wer hat Zugriff auf die Daten? Was gilt es zu beachten, wenn man die Bewerbung für spätere Stellenausschreibungen behalten möchte? Was gilt bei der Einstellung eines Bewerbers?

Viele Fragen dazu kann der Datenschutzbeauftragte beantworten. Welche Voraussetzungen dazu in Ihrem Unternehmen zu treffen sind, spreche ich gerne mit Ihnen ab.

Videokonferenzen: Was Organisierende und Teilnehmer beachten müssen

Videokonferenzen sind seit Corona eines der am meisten genutzten Kommunikationsmittel. Sie bieten eine zeit- und kostensparende Möglichkeit, Informationen visuell und persönlich auszutauschen.

Bedingt durch Homeoffice will man die Kollegen mal wieder sehen. Telefonie geht meistens nur zu zweit, durch Anbieter von Video-Meeting-Software ist eine Teambesprechung kein Problem mehr. Das dabei auch personenbezogene Daten und die Sicherheit eine Rolle spielen, sollte nicht vernachlässigt werden.

Derzeit wird man mit Informationen um die Sicherheit und den Datenschutz rund um diese Tools erschlagen. Fast täglich kommen Nachrichten zu Sicherheitsrisiken einzelner Anbieter auf den Tisch. Dabei gilt es erstmal, nur ein paar einfache Regeln in der Auswahl der Software zu beachten.

Auswahl der Software

Die meisten Anbieter bieten inzwischen diese notwendigen Einstellungen:

  • Das Meeting kann nur mit einem Passwort betreten werden
  • Ein Warteraum, bevor der Teilnehmer in die Meetingraum durch den Organisator erlaubt wird
  • Eine Sperrung des Meetings für neue Teilnehmer nach einer gewissen Zeit

Sind diese Voraussetzungen durch die Software gegeben, sind die wichtigsten Hürden für die Auswahl der Software überwunden. Es gibt weitere Vorgaben, die aber dann individuell auf den Einzelfall zu prüfen sind.

Was Organisierende beachten sollten

In Bezug auf die DSGVO sind datenschutzrechtliche Voraussetzungen für die Teilnehmer von Video-Meeting zu erfüllen. Insbesondere bei Meetings, die nicht innerhalb des Unternehmens geführt werden, sind besondere Kriterien zu beachten. Werden personenbezogene Daten für die Durchführung der Meetings an die Eingeladenen verteilt, müssen die Betroffenenrechte nach Art. 15-22 DSGVO berücksichtigt werden.

Es geht also zum Beispiel nicht, Namen und andere persönliche Informationen ohne Erlaubnis an alle Teilnehmer zu versenden. Dies muss vorher schriftlich mit Zusage des Teilnehmers geklärt werden.

Wird das Meeting oder Teile davon aufgezeichnet, so müssen die Teilnehmer dem vorher zugestimmt haben. Dies gilt in allen Bereichen!

Hinweise für Teilnehmer

Für die Meetings gilt: Setzen Sie sich vor einen neutralen Hintergrund. Büroschränke, in denen beschriftete Ordner stehen, sind zu vermeiden. Sorgen Sie für eine ruhige Atmosphäre. Achten Sie auf die Geheimhaltung im Raum, das gilt auch für Familienangehörige. Ist Ihre IT entsprechend sicher? Siehe hierzu auch mein Beitrag zu Sicherheit im Homeoffice.

Weitere Unterstützung

Für die Durchführung von Videokonferenzen stehe ich als Datenschutzbeauftragter gerne zur Verfügung. Wer sich durch den Dschungel an Informationen kämpfen möchte, dem stehen nachfolgende Links mit vielen weiteren Hinweisen zur Verfügung.

Kompendium Videokonferenzsysteme
Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Stand: April 2020, 173 Seiten, PDF

Praxishilfe Videokonferenzen und Datenschutz
Gesellschaft für Datenschutz und Datensicherheit e.V.
Stand: April 202, 17 Seiten, PDF

Nutzung von Messenger- und Videokonferenzdiensten in Zeiten der Corona-Pandemie
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Stand: April 2020

Leitfragen zur Beurteilung von Angeboten
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Stand: April 2020

Sicherheit im Home-Office

Sicherheit im Home-Office wird oft unterschätzt. Welche Maßnahmen sind erforderlich?

Die IT-Sicherheit und der Datenschutz im Home-Office ist durch die derzeitige Veränderung der Arbeitswelt oft ein Desaster. Die momentane Situation verändert die Arbeitswelt massiv. Viele Beschäftigte arbeiten derzeit von zu Hause aus und benutzen dabei ihre privaten Geräte. Dabei werden Mindestanforderungen an die Sicherheit im Home-Office oft nicht eingehalten.

41 % der Beschäftigten arbeiten derzeit im Home-Office. 68% wollen dies auch zukünftig. Dies hat eine aktuelle Umfrage der ESET GmbH ergeben. Die Absicherung von Routern, Netzwerken und Geräten ist im privaten Umfeld aber in der Regel selten sicher.

68% der Mitarbeiter wollen Home-Office
Quelle: Presseportal

Offenes und zugängliches WLAN, schlechte Absicherung des Routers und der angeschlossenen Geräte sind eher die Regel.

Der private Nutzer hat oft gar nicht den Durchblick bei der Vielzahl der Einstellungen an einem Router. Der Begriff VPN (Virtuelles persönliches Netzwerk) zur sicheren Nutzung des Firmennetzes ist vielen auch nicht geläufig.

Der erste Schritt: Absicherung des Routers und der Geräte

Die Absicherung des Routers ist der Schritt, Fremden der Zugriff zum privaten Netzwerk zu erschweren. Der IT-Verantwortliche des Unternehmens und das Systemhaus sollten dazu eingebunden werden.

Für die Arbeit auf dem Firmenrechner sollte zwingend eine VPN-Verbindung zur Verfügung stehen. Dies gilt übrigens auch unterwegs bei öffentlichen Netzwerken. Sie sorgt dafür, dass die übermittelten Daten wie Passwörter oder firmeninterne Daten nicht offen übermittelt werden.

Die Einhaltung der DSGVO

Den privaten PC zur Arbeit zu verwenden, birgt hohe Risiken für die Einhaltung der DSGVO. Denn auf den Rechnern sind oft Apps für Social-Media-Dienste wie Facebook, Xing etc. vorhanden. Sie fragen bei der Installation oft nach Zugriffen auf Kontakte. Dies sollte bei der Nutzung von Outlook und Co. für die geschäftliche Kontaktverwaltung abgeschaltet werden.

Den heimischen PC in der Familie zu benutzen, so dass mehrere Personen und auch die Kinder darauf zugreifen können, ist dringend abzuraten.
Wer wo surft, welche Daten lädt und sich dabei eventuell Trojaner oder Viren einfängt, ist bei dieser Methode viel riskanter.

Der Datenschutzbeauftragte hilft

Welche Anforderungen in einem privaten Umfeld für die Einhaltung der DSGVO zu erfüllen sind, dafür bin ich als Datenschutzbeauftragter für Sie da. Weitere Informationen zum Thema Home-Office: Altpapier im Homeoffice und Personenbezogene Daten im Home-Office

Personenbezogene Daten: Risiko im Home-Office

Dass Unternehmen ihre Mitarbeiter ins Home-Office schicken, ist nichts Besonderes. Die wenigsten aber machen sich Gedanken darüber, dass sensible personenbezogene Daten so aus der Firma wandern. Und damit zum Datenschutz-Killer werden können. Unternehmer sollten ihren Mitarbeitern einige Regeln mit auf den Weg geben.

Personenbezogene Daten unbedingt schützen

Ein sensibles Thema im Home-Office sind personenbezogene Daten, die zum Beispiel auf Briefen oder anderen Schriftstücken zu finden sind. Denn wird zum Beispiel ein Probedruck oder ein Korrektur-Schriftstück nicht mehr gebraucht, wandert es auch im Home-Office ins Altpapier. Und genau da liegt das Problem. Denn wenn die Altpapier-Tonne zur Leerung auf der Straße steht, hat jeder Zugang zu Daten, die nicht jeder kennen sollte.

Dokumente, die personenbezogene Daten enthalten oder sonst irgendwie Firmengeheimnisse beinhalten, müssen nach DSGVO rechtssicher entsorgt werden. Dazu ist verpflichtend ein Aktenvernichter der Sicherheitsklasse P3 nötig. Wer also seine Mitarbeiter ins Home-Office schickt, sollte darauf achten, dass Dokumente entweder gesammelt und im Unternehmen vernichtet werden oder der Mitarbeiter einen Aktenvernichter erhält. Dies gilt übrigens auch für Monteure, Außendienstmitarbeiter und andere mobil arbeitende Kollegen.

Mitarbeiter für den Datenschutz sensibilisieren

Diese Mitarbeiter für die Thematik der DSGVO zu sensibilisieren, gehört damit auch zu den Aufgaben der Vorgesetzten und Datenschutzbeauftragten im Unternehmen. Wer mich als externen Datenschutzbeauftragten engagiert, kann sicher sein, dass seine Mitarbeiter ordentlich unterwiesen werden. Sie lernen, worauf es ankommt und wie sie sich im Umgang mit sensiblen Daten angemessen verhalten.

Welche Anforderungen in einem privaten Umfeld für die Einhaltung der DSGVO zu erfüllen sind, dafür bin ich als Datenschutzbeauftragter für Sie da. Weitere Informationen zum Thema Home-Office: Altpapier im Homeoffice und Personenbezogene Daten im Home-Office.

Datenschutz im Home-Office: Altpapier ist gefährlich

Das Frühjahr 2020 wird in die Geschichte eingehen als die Corona-Zeit, als alle im Home-Office waren. Und Datenschutz im Home-Office ist ein Thema, bei dem es so einiges zu beachten gibt. Denn das anfallende Altpapier kann durchaus sensible Daten enthalten. Arbeitgeber sollten ihre Mitarbeitern entsprechend Anweisungen mit auf den Weg geben.

Altpapier ist im Datenschutz generell ein Thema, im Homeoffice verdient es aber besondere Aufmerksamkeit. Denken Sie doch mal darüber nach, welche Informationen in die Altpapiertonne wandern. Da ist der Brief, die Rechnung oder der Lieferschein mit Ihrer Anschrift und der von dem Absender. Nicht zu vergessen die gelieferten Waren auf dem Lieferschein, ein Traum für jemanden, der damit etwas anfangen kann – ein Albtraum für den Datenschutz im Home-Office

Waren aus Online-Shops können Hinweise über den Empfänger geben. Daraus lässt sich vieles ableiten: Zum Beispiel, dass wir überhaupt online einkaufen, bestimmte Produktgruppen konsumieren. Das könnte dazu führen, das man uns gezielte Werbung sendet, wir zu gefakten Seiten geführt werden. Lassen Sie Ihrer Fantasie ruhig mal freien Lauf…

Datenschutz im Home-Office: Aufmerksamkeit ist wichtig

Das war ein einfaches Beispiel, von leichtsinnig weggeworfenen Informationen über Konto, Aktien, Steuerberater, Ämtern und so weiter, wollen wir gar nicht erst anfangen.

Sie fragen jetzt bestimmt, wie denn diese Briefe aus der Altpapiertonne zu einem Krimminellen gelangen. Stellen Sie abends Ihre Altpapiertonne nach draußen, und die bleibt da die ganze Nacht unbeaufsichtigt. Na denn…

Und Sie sind sich auch sicher, dass das Altpapier nach dem Einsammeln sofort in den großen Altpapierschredder kommt?

Schreddern: unbedingt!

Beim Datenschutz im Home-Office kommt es darauf an, dass zum Beispiel das gesamte Altpapier mit personenbezogenen Daten unbedingt geschreddert werden muss. Dazu wird ein Schredder mit der Sicherheitsklasse mindestens P3 benötigt. Diese gibt es im Shop bereits ab 50-70 Euro. Eine Investition, die sich lohnt.

Übrigens gilt für Home-Office und Vernichten von Dokumenten der Firma: Schreddern ist Pflicht!

Cookies und die DSGVO

Wer im Internet unterwegs ist, kommt an Cookies nicht vorbei. So richtig sichtbar wurden die kleinen Kekse erst, als die neue Datenschutzgrundverordnung DSGVO im Jahr 2018 eingeführt wurde. Seitdem klicken sich alle durch mehr oder weniger große Cookie-Banner. Aber: was müssen Website-Betreiber bei ihrem Cookie-Banner eigentlich beachten? Ich zeige Ihnen, was es mit den Cookies auf sich hat.

DSGVO verlangt Cookie-Hinweise

Als Besucher einer Homepage ist es eher lästig, als Betreuer eine Homepage mit Aufwand verbunden: Das Cookie. Cookies sind kleine Codeschnipsel, die unter Umständen auf dem Rechner des Besuchers gespeichert werden. Was heiß jetzt unter Umständen?

Je nachdem, welche Informationen der Betreuer der Homepage über den Besucher speichert, werden mehr oder weniger auch personenbezogene Daten hinterlegt. Das können die IP-Adresse, die Region, Besuchsdatum, welche Seiten aufgerufen werden oder auch andere Daten sein. In der DSGVO ist festgelegt, dass der Besucher selber entscheiden darf, welche Informationen über ihn gespeichert werden dürfen. Aus diesem Grund sollte der Betreiber bei der Gestaltung der Homepage einiges beachten.

Auf einer ganz einfachen Homepage werden in der Regel keine oder nur sehr wenige Daten des Nutzers abgegriffen. Wer keine Kontaktformulare oder ähnliches bereitstellt, wird meist keinen Hinweis auf seiner Seite benötigen. Das beliebte Content-Management-System WordPress speicher zum Beispiel automatisch so genannte Session-Cookies. Sie sorgen für das korrekte Funktionieren der Website. Solche Cookies speichern keine persönlichen Informationen. So braucht man auch keinen Cookie-Hinweis.

Cookies können vieles

Schon wer die Statistik seiner Website auswertet, zum Beispiel mit Google Analytics, muss den Benutzer die Gelegenheit geben, den entsprechenden Cookie zu verhindern. Viele andere Dienste, die gerade in WordPress als Plugin zum Einsatz kommen, verwenden jedoch Cookies, die einen Rückschluss auf die Person zulassen. Und genau über diese kleinen Kekse muss der Nutzer eben selbst entscheiden können.

Es gilt eine ganz einfache Regel: Für den Besucher darf die Seite überhaupt nicht benutzbar sein, wenn er nicht in irgendeiner Weise der Mindestanforderung von Cookies zustimmt. Wird über ein Plugin sogar die Möglichkeit angeboten, alle Cookies abzulehnen, muss sichergestellt sein, dass auch nur das angezeigt werden kann, was ohne Cookies auskommt. Dies lässt sich in der Praxis kaum durchführen. Daher ist es nicht ratsam, einen Button anzubieten, der zur Ablehnung aller Cookies führt.

DSGVO regelt den Cookie-Einsatz

Wichtig ist, dass der Cookie-Hinweis so auf der Seite angebracht wird, dass man nicht trotzdem Inhalte der Seite ansehen kann. Damit zeigt man dem Nutzer, dass er sich darüber im Klaren sein soll, dass hier etwas mit seinen Daten geschieht. Ob ihm das egal ist oder nicht, muss er auf jeder Website wieder neu entscheiden.