Sensible Daten beim Email-Versand

Die meisten von uns versenden täglich Mails mit mehr oder weniger sensiblen Daten. Unverschlüsselte Mails werden wie eine Postkarte durch das Netz gesendet. Sie sind von jedem lesbar – sind Sie sich dessen bewusst?

Dabei werden oft auch personenbezogene Informationen oder sensible Daten verschickt. Darüber sollten Sie sich Gedanken machen!

So kann zum Beispiel bereits der Versand einer Rechnung mit Leistungen Rückschlüsse auf Einkommen, Gesundheit oder sonstiges geben. Unter Umständen ein erheblich Sicherheitsrisiko. Sie sollten daher mit Ihrem Empfänger klären, ob solche Daten unverschlüsselt versendet werden dürfen.

Die Alternative ist natürlich eine Verschlüsselung. Sie bietet Ihnen eine optimale Sicherheit. Haben Sie Empfänger, mit denen Sie regelmäßig Daten austauschen? Dann ist die Einrichtung einer verschlüsselten Übermittlung bei Empfänger und Absender eine lohnende Investition.

Inwieweit es bei der Versendung von Mails um sensiblen Daten geht, sollte vom Datenschutzbeauftragten geprüft werden. Denn eine Verletzung der Privatsphäre Ihres Empfängers oder der Missachtung des Datenschutzes kann schwerwiegende Folgen haben.

Passwörter: Warum ist das denn ein Problem?

Nicht nur im Zusammenhang mit der DSGVO ist der Schutz digitaler Informationen ein wichtiges Thema.

Persönliche Daten sicher aufzubewahren und insgesamt die Infrastruktur privat und geschäftlich vor Eindringlingen zu schützen, hat maßgeblich mit dem Umgang der verwendeten Passwörter zu tun.

Hier scheint es der Nutzer nach wie vor nicht so genau zu nehmen. Eine Umfrage des Anbieters Lastpass belegt, dass viele dasselbe Passwort für mehrere Zugänge verwenden. „Wie soll ich mir die alle merken“, „so komplizierte Passwörter kann ich mir nicht merken“ oder „bei mir gibt es sowieso nichts zu holen“ und ähnliche Ausreden sind oft die Antwort auf dieses Thema.

Resignation ist keine Lösung, das kann ich gleich sagen. Wenn wir es den Hackern leicht machen, dann werden die dadurch nicht weniger.

Und alle anderen Ausreden kann man mit einem Passwort-Manager lösen. Man muss nur mal anfangen. Die Tools sind oft kostenlos und  bieten einen hohen Schutz. Sichere Passwörter lassen sich damit leicht erstellen. Merken muss man sich da nichts mehr.

Als Datenschutzbeauftragter helfe ich meinen Partnern in der Einführung und unterweise Sie im Gebrauch dieser Tools. Nach ein paar Wochen ist die Resonanz immer positiv. Nach ein paar Monaten will den Gebrauch keiner mehr missen.

Viele Passwort-Manager bieten eine systemübergreifende Integration, sodass man auf Handy, Laptop oder PC gleichermaßen seine Zugangsdaten zur Verfügung hat.

Die Passwort-Verwalter sind auch ein wichtiger Teil zur Einhaltung der DSGVO.

Also, machen Sie es den Hackern nicht so leicht, nutzen Sie die Möglichkeiten eines Passwort-Managers. Ich helfe gerne bei der Umsetzung und des Gebrauchs nach Datenschutzregeln.

Was hat die Putzhilfe mit der DSGVO zu tun?

Kommt bei Ihnen auch regelmäßig eine Putzhilfe und säubert die Büros? Haben Sie darüber schon nachgedacht, welche Informationen Sie in Ihrem Unternehmen zu sehen bekommt? Unterlagen auf dem Schreibtisch, offene Aktenschränke? Papierkörbe, in die personenbezogene Daten und Firmeninterna entsorgt werden?

Dies alles kann dazu führen, das Informationen aus dem Unternehmen in falsche Hände geraten.

Hier gibt es zwei Lösungen:

1. Die Putzhilfe bekommt eine Geheimhaltungsverpflichtung.
Sie hat Einsicht (beabsichtigt oder zufällig spielt hierbei keine Rolle) in firmeninterne Unterlagen und eventuell sogar personenbezogene Daten. Somit ist Sie als Person genauso im Umgang mit sensiblen Daten zu unterrichten. Wenn Sie von einer Reinigungsfirma Ihre Büroräume gesäubert bekommen, dann sollte Ihnen das Unternehmen bereits entsprechende Verträge und Erklärungen vorgelegt haben.

2. Die Dateneinsicht minimieren.
Aktenschränke sind abzuschließen und Unterlagen auf dem Schreibtisch gehören nach Feierabend in das abschließbare Schubfach. In den Papierkorb gehören überhaupt keine sensiblen Daten. Diese werden im Aktenvernichter geschreddert. PCs sind mit Passwörtern geschützt. Alles was personenbezogene oder sensible Daten beinhaltet, liegt nicht offen herum.

Siehe hierzu auch meinen Beitrag Altpapier ist gefährlich.

IT-Sicherheit

offen zugänglicher Server
So sollte der Server nicht zugänglich sein.

Server, Router und andere Netzwerke sind vor Zugang zu schützen. Der Server hat nicht in der Abstellkammer oder dem Putzraum zu suchen. Wenn überhaupt, ist er dort in einem entsprechenden Schrank unter Verschluss. Kommt die Reinigungskraft nach Feierabend, hat sie in der Regel Zugang zu den Büros und kann sich frei im Unternehmen bewegen. Stellen sie sicher, dass die IT nicht zugänglich ist. Das Bundesamt für Informationssicherheit BSI gibt hierzu eine Reihe an Empfehlungen.

Der Datenschutzbeauftragte hilft

Bei der Besichtigung eines Unternehmens unterweise ich die Mitarbeiter auf Risiken und Vorsichtsmaßnahmen  im Umgang mit sensiblen Daten. Wenn gewünscht, wird in regelmäßigen Audits die Umsetzung und Einhaltung der DSGVO geprüft.

Initiative oder ausgeschriebene Bewerbung?

Derzeit bewerben sich wieder viel mehr Mitarbeiter bei den Unternehmen ohne dass eine Stelle ausgeschrieben wurde. Es treffen sogenannte initiative Bewerbungen ein. Im Gegensatz zu ausgeschriebenen Stellenangeboten gelten unterschiedliche Verfahrensweisen zur Einhaltung nicht nur der DSGVO.

Im Umgang mit personenbezogenen Daten wird die Einhaltung der Datenschutzgrundverordnung gefordert. In der Handhabe der Bewerbung muss aber auch das Allgemeine Gleichbehandlungsgesetz (AGG) beachtet werden.

Zuerst sollte man bei Angeboten auf der Homepage oder in sozialen Netzwerken auf eine klare Definition für eine Stellenausschreibung achten. Sie haben Einfluss auf den Umgang einer erhaltenden Bewerbung.

Die initiative Bewerbung

Wird auf der Homepage ein allgemein gehaltenes Angebot zur Aufforderung einer Bewerbung beschrieben, handelt es sich nicht um eine klar ausgeschriebene Stelle. Bewerbungen darauf kann man als „initiativ“ bezeichnen. Sie haben keine aktuell zu besetzende Stelle, freuen sich aber auf Bewerbungen. Abgelehnte Bewerber haben darauf keinen Rechtsanspruch nach dem AGG. Senden Sie die Unterlagen mit einer Absage an den Bewerber zurück, können Sie die Daten löschen. Es besteht in der Regel keine weitere Maßnahme, da Sie keine personenbezogenen Daten speichern.

Die ausgeschrieben Stelle

Machen Sie auf der Homepage, in sozialen Netzwerken oder in Jobbörsen auf eine freie Stelle aufmerksam, so gelten andere Maßnahmen im Umgang mit Bewerbungen. Bei einer Absage hat der Kandidat aufgrund des AGG die Möglichkeit, gegen die Absage zu klagen. Deshalb sollten solche Bewerbungen maximal sechs Monate gespeichert werden.

Hier kommen dann aber eine Menge Anforderungen im Umgang mit personenbezogenen Daten und Einhaltung der DSGVO auf Sie zu. Wer hat Zugriff auf die Daten? Was gilt es zu beachten, wenn man die Bewerbung für spätere Stellenausschreibungen behalten möchte? Was gilt bei der Einstellung eines Bewerbers?

Viele Fragen dazu kann der Datenschutzbeauftragte beantworten. Welche Voraussetzungen dazu in Ihrem Unternehmen zu treffen sind, spreche ich gerne mit Ihnen ab.

Videokonferenzen: Was Organisierende und Teilnehmer beachten müssen

Videokonferenzen sind seit Corona eines der am meisten genutzten Kommunikationsmittel. Sie bieten eine zeit- und kostensparende Möglichkeit, Informationen visuell und persönlich auszutauschen.

Bedingt durch Homeoffice will man die Kollegen mal wieder sehen. Telefonie geht meistens nur zu zweit, durch Anbieter von Video-Meeting-Software ist eine Teambesprechung kein Problem mehr. Das dabei auch personenbezogene Daten und die Sicherheit eine Rolle spielen, sollte nicht vernachlässigt werden.

Derzeit wird man mit Informationen um die Sicherheit und den Datenschutz rund um diese Tools erschlagen. Fast täglich kommen Nachrichten zu Sicherheitsrisiken einzelner Anbieter auf den Tisch. Dabei gilt es erstmal, nur ein paar einfache Regeln in der Auswahl der Software zu beachten.

Auswahl der Software

Die meisten Anbieter bieten inzwischen diese notwendigen Einstellungen:

  • Das Meeting kann nur mit einem Passwort betreten werden
  • Ein Warteraum, bevor der Teilnehmer in die Meetingraum durch den Organisator erlaubt wird
  • Eine Sperrung des Meetings für neue Teilnehmer nach einer gewissen Zeit

Sind diese Voraussetzungen durch die Software gegeben, sind die wichtigsten Hürden für die Auswahl der Software überwunden. Es gibt weitere Vorgaben, die aber dann individuell auf den Einzelfall zu prüfen sind.

Was Organisierende beachten sollten

In Bezug auf die DSGVO sind datenschutzrechtliche Voraussetzungen für die Teilnehmer von Video-Meeting zu erfüllen. Insbesondere bei Meetings, die nicht innerhalb des Unternehmens geführt werden, sind besondere Kriterien zu beachten. Werden personenbezogene Daten für die Durchführung der Meetings an die Eingeladenen verteilt, müssen die Betroffenenrechte nach Art. 15-22 DSGVO berücksichtigt werden.

Es geht also zum Beispiel nicht, Namen und andere persönliche Informationen ohne Erlaubnis an alle Teilnehmer zu versenden. Dies muss vorher schriftlich mit Zusage des Teilnehmers geklärt werden.

Wird das Meeting oder Teile davon aufgezeichnet, so müssen die Teilnehmer dem vorher zugestimmt haben. Dies gilt in allen Bereichen!

Hinweise für Teilnehmer

Für die Meetings gilt: Setzen Sie sich vor einen neutralen Hintergrund. Büroschränke, in denen beschriftete Ordner stehen, sind zu vermeiden. Sorgen Sie für eine ruhige Atmosphäre. Achten Sie auf die Geheimhaltung im Raum, das gilt auch für Familienangehörige. Ist Ihre IT entsprechend sicher? Siehe hierzu auch mein Beitrag zu Sicherheit im Homeoffice.

Weitere Unterstützung

Für die Durchführung von Videokonferenzen stehe ich als Datenschutzbeauftragter gerne zur Verfügung. Wer sich durch den Dschungel an Informationen kämpfen möchte, dem stehen nachfolgende Links mit vielen weiteren Hinweisen zur Verfügung.

Kompendium Videokonferenzsysteme
Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Stand: April 2020, 173 Seiten, PDF

Praxishilfe Videokonferenzen und Datenschutz
Gesellschaft für Datenschutz und Datensicherheit e.V.
Stand: April 202, 17 Seiten, PDF

Nutzung von Messenger- und Videokonferenzdiensten in Zeiten der Corona-Pandemie
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Stand: April 2020

Leitfragen zur Beurteilung von Angeboten
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Stand: April 2020

Sicherheit im Home-Office

Sicherheit im Home-Office wird oft unterschätzt. Welche Maßnahmen sind erforderlich?

Die IT-Sicherheit und der Datenschutz im Home-Office ist durch die derzeitige Veränderung der Arbeitswelt oft ein Desaster. Die momentane Situation verändert die Arbeitswelt massiv. Viele Beschäftigte arbeiten derzeit von zu Hause aus und benutzen dabei ihre privaten Geräte. Dabei werden Mindestanforderungen an die Sicherheit im Home-Office oft nicht eingehalten.

41 % der Beschäftigten arbeiten derzeit im Home-Office. 68% wollen dies auch zukünftig. Dies hat eine aktuelle Umfrage der ESET GmbH ergeben. Die Absicherung von Routern, Netzwerken und Geräten ist im privaten Umfeld aber in der Regel selten sicher.

68% der Mitarbeiter wollen Home-Office
Quelle: Presseportal

Offenes und zugängliches WLAN, schlechte Absicherung des Routers und der angeschlossenen Geräte sind eher die Regel.

Der private Nutzer hat oft gar nicht den Durchblick bei der Vielzahl der Einstellungen an einem Router. Der Begriff VPN (Virtuelles persönliches Netzwerk) zur sicheren Nutzung des Firmennetzes ist vielen auch nicht geläufig.

Der erste Schritt: Absicherung des Routers und der Geräte

Die Absicherung des Routers ist der Schritt, Fremden der Zugriff zum privaten Netzwerk zu erschweren. Der IT-Verantwortliche des Unternehmens und das Systemhaus sollten dazu eingebunden werden.

Für die Arbeit auf dem Firmenrechner sollte zwingend eine VPN-Verbindung zur Verfügung stehen. Dies gilt übrigens auch unterwegs bei öffentlichen Netzwerken. Sie sorgt dafür, dass die übermittelten Daten wie Passwörter oder firmeninterne Daten nicht offen übermittelt werden.

Die Einhaltung der DSGVO

Den privaten PC zur Arbeit zu verwenden, birgt hohe Risiken für die Einhaltung der DSGVO. Denn auf den Rechnern sind oft Apps für Social-Media-Dienste wie Facebook, Xing etc. vorhanden. Sie fragen bei der Installation oft nach Zugriffen auf Kontakte. Dies sollte bei der Nutzung von Outlook und Co. für die geschäftliche Kontaktverwaltung abgeschaltet werden.

Den heimischen PC in der Familie zu benutzen, so dass mehrere Personen und auch die Kinder darauf zugreifen können, ist dringend abzuraten.
Wer wo surft, welche Daten lädt und sich dabei eventuell Trojaner oder Viren einfängt, ist bei dieser Methode viel riskanter.

Der Datenschutzbeauftragte hilft

Welche Anforderungen in einem privaten Umfeld für die Einhaltung der DSGVO zu erfüllen sind, dafür bin ich als Datenschutzbeauftragter für Sie da. Weitere Informationen zum Thema Home-Office: Altpapier im Homeoffice und Personenbezogene Daten im Home-Office

Cookies und die DSGVO

Wer im Internet unterwegs ist, kommt an Cookies nicht vorbei. So richtig sichtbar wurden die kleinen Kekse erst, als die neue Datenschutzgrundverordnung DSGVO im Jahr 2018 eingeführt wurde. Seitdem klicken sich alle durch mehr oder weniger große Cookie-Banner. Aber: was müssen Website-Betreiber bei ihrem Cookie-Banner eigentlich beachten? Ich zeige Ihnen, was es mit den Cookies auf sich hat.

DSGVO verlangt Cookie-Hinweise

Als Besucher einer Homepage ist es eher lästig, als Betreuer eine Homepage mit Aufwand verbunden: Das Cookie. Cookies sind kleine Codeschnipsel, die unter Umständen auf dem Rechner des Besuchers gespeichert werden. Was heiß jetzt unter Umständen?

Je nachdem, welche Informationen der Betreuer der Homepage über den Besucher speichert, werden mehr oder weniger auch personenbezogene Daten hinterlegt. Das können die IP-Adresse, die Region, Besuchsdatum, welche Seiten aufgerufen werden oder auch andere Daten sein. In der DSGVO ist festgelegt, dass der Besucher selber entscheiden darf, welche Informationen über ihn gespeichert werden dürfen. Aus diesem Grund sollte der Betreiber bei der Gestaltung der Homepage einiges beachten.

Auf einer ganz einfachen Homepage werden in der Regel keine oder nur sehr wenige Daten des Nutzers abgegriffen. Wer keine Kontaktformulare oder ähnliches bereitstellt, wird meist keinen Hinweis auf seiner Seite benötigen. Das beliebte Content-Management-System WordPress speicher zum Beispiel automatisch so genannte Session-Cookies. Sie sorgen für das korrekte Funktionieren der Website. Solche Cookies speichern keine persönlichen Informationen. So braucht man auch keinen Cookie-Hinweis.

Cookies können vieles

Schon wer die Statistik seiner Website auswertet, zum Beispiel mit Google Analytics, muss den Benutzer die Gelegenheit geben, den entsprechenden Cookie zu verhindern. Viele andere Dienste, die gerade in WordPress als Plugin zum Einsatz kommen, verwenden jedoch Cookies, die einen Rückschluss auf die Person zulassen. Und genau über diese kleinen Kekse muss der Nutzer eben selbst entscheiden können.

Es gilt eine ganz einfache Regel: Für den Besucher darf die Seite überhaupt nicht benutzbar sein, wenn er nicht in irgendeiner Weise der Mindestanforderung von Cookies zustimmt. Wird über ein Plugin sogar die Möglichkeit angeboten, alle Cookies abzulehnen, muss sichergestellt sein, dass auch nur das angezeigt werden kann, was ohne Cookies auskommt. Dies lässt sich in der Praxis kaum durchführen. Daher ist es nicht ratsam, einen Button anzubieten, der zur Ablehnung aller Cookies führt.

DSGVO regelt den Cookie-Einsatz

Wichtig ist, dass der Cookie-Hinweis so auf der Seite angebracht wird, dass man nicht trotzdem Inhalte der Seite ansehen kann. Damit zeigt man dem Nutzer, dass er sich darüber im Klaren sein soll, dass hier etwas mit seinen Daten geschieht. Ob ihm das egal ist oder nicht, muss er auf jeder Website wieder neu entscheiden.