aboutpixel.de / Datenschutz © Rainer Sturm

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­gel­dri­si­ko für Ihre Organisation.

“[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ortu­n­ab­hän­gig und fle­xi­bel genutzt wer­den können.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Drittstaaten).

“Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten ver­bun­den sind.”

Im zwei­ten Teil wird es ziem­lich kon­kret im Hin­blick auf in der Cloud ein­ge­setz­te Lösun­gen wie Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­ons­hip-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men. Hier wol­len die Behör­den sehr kon­kre­te Anga­ben zu den genutz­ten Anbie­tern und Lösungen.

Abge­schlos­sen wird der Fra­ge­bo­gen mit Anga­ben zum betrieb­li­chen Daten­schutz­be­auf­trag­ten. Die­sen soll­ten Sie bei Vor­lie­gen der gesetz­li­chen Bestell­pflicht hof­fent­lich benen­nen kön­nen und in die Beant­wor­tung des Fra­ge­bo­gens ein­be­zo­gen haben.

„Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting. Unter­neh­men müs­sen sich aber des­sen bewusst sein, dass hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen, wol­len wir auch die Sen­si­bi­li­tät der Unter­neh­men in die­sem Bereich erhö­hen.“ betont Tho­mas Kra­nig, der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht. „Aus­ge­hend von der Beant­wor­tung des Fra­ge­bo­gens kann und wird das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht dort, wo sich dies als not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung einsteigen.“ 

Sie haben einen sol­chen Fra­ge­bo­gen erhal­ten, jedoch kei­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten zur Beant­wor­tung parat? Spre­chen Sie uns an.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​9​.​pdf

Fast jeder kennt sie, vie­le nut­zen Sie. Kurz­links zu Frei­ga­ben in Cloud­spei­chern oder auch als schnel­ler Link zu Web­sei­ten. Eine Stu­die der Uni­ver­si­tät Cor­nell hat nach­voll­zieh­bar ein Risi­ko für die auf die­se Art frei­ge­ge­be­nen Daten auf­ge­zeigt. Schwach­stel­le ist die typi­sche Zusam­men­set­zung mit Buch­sta­ben und Zah­len, und nur weni­gen Zei­chen. Die­se Kom­bi­na­tio­nen las­sen sich auto­ma­ti­siert erzeu­gen und abfra­gen. Sind die Frei­ga­ben nicht zusätz­lich mit einem Pass­wort geschützt, kön­nen die auf die­se Art im Zugriff befind­li­chen Daten direkt kom­pro­mit­tiert werden.

Die Stu­die zeigt ein wei­te­res Risi­ko auf. In sie­ben Pro­zent aller auf die­se Art ermit­tel­ten frei zugäng­li­chen Frei­ga­ben hät­ten Sie auf­grund der Art der Frei­ga­be Schad­code in den Spei­cher ein­brin­gen kön­nen. Die­ser hät­te sich mit­tels der übli­chen Syn­chro­ni­sa­ti­on somit auf die ange­schlos­se­nen Gerä­te der Nut­zer wei­ter ver­brei­ten können.

Gene­rell raten wir dazu, bei der Ver­ga­be aber auch der Nut­zung von Kurz­links sehr vor­sich­tig zu sein. Einer­seits besteht das in der Stu­die gut nach­voll­zieh­ba­re Daten­schutz-Risi­ko für Ihre auf die­se Art frei­ge­ge­be­nen Daten. Ande­rer­seits wis­sen Sie nie, wohin Sie ein Kurz­link füh­ren wird. Eine belieb­te Masche sind Umlei­tun­gen auf prä­pa­rier­te Web­sei­ten, die mit­tels Explo­it Kit Schwach­stel­len auf Ihrem Gerät aunut­zen, um Ihnen Schad­code unterzujubeln.

Gene­rell scha­det es auch nicht im Unter­neh­mens­um­feld, Ihre Mit­ar­bei­ter für den Umgang mit Cloud Spei­chern, Frei­ga­ben und Kurz-Urls zu sen­si­bi­li­sie­ren und ent­spre­chen­de Richt­li­ni­en dafür auf­zu­stel­len. Sicher nicht ver­kehrt, bei der Gele­gen­heit zu prü­fen, ob Cloud Lösun­gen daten­schutz­kon­form ein­ge­führt sind, Stich­wort Auf­trag­da­ten­ver­ar­bei­tung. Ihr Daten­schutz­be­auf­trag­ter ist hier­für der idea­le Ansprech­part­ner. Sie haben kei­nen Daten­schutz­be­auf­trag­ten. Spre­chen Sie uns an.

Datenschutz rote Taste © IckeT - Fotolia.com

Laut einer aktu­el­len Bit­kom Stu­die nut­zen ledig­lich 24% der befrag­ten Inter­net­nut­zer Pass­wort-Safes für Com­pu­ter und Online-Diens­te. Das sind 5% Pro­zent­punk­te mehr als im ver­gan­ge­nen Jahr, was sei­tens Bit­kom auf ein gestie­ge­nes Pro­blem­be­wußt­sein sei­tens der Nut­zer auf­grund der NSA Affä­re zurück­zu­füh­ren sei. Die Mehr­heit bevor­zugt jedoch nach wie vor ein­fa­che und mehr­fach genutz­te Pass­wör­ter. Letz­ters wird schnell zum Pro­blem, wenn ein Account erfolg­reich kom­pro­mit­tiert wurde.

Über die Län­ge und Kom­ple­xi­tät von Pass­wör­tern wer­den wah­re Glau­bens­krie­ge geführt. Kann es der einen Par­tei nicht lang und kom­plex genug sein, zeich­net sich die Gegen­sei­te durch eine teil­wei­se naï­ve Sicht­wei­se auf das The­ma aus. Die Lösung wird — wie so oft — dazwi­schen lie­gen. Fakt ist, zu kur­ze Pass­wör­ter even­tu­ell noch ohne Kom­ple­xi­tät sind ein gefun­de­nes Fres­sen, sofern kei­ne wei­te­ren Hür­den wie Log­in Sper­ren nach x Fehl­ver­su­chen auf­ge­stellt sind. Fakt ist aber auch, ein zu lan­ges Pass­wort ist aus der Pra­xis her­aus unsi­cher, da es sich der Anwen­der nicht mer­ken kann und irgend­wo niederschreibt.

Einen Kom­pro­miss stel­len Pass­wort-Safes dar. Die­se wer­den durch ein ein­ma­li­ges kom­ple­xes siche­res Pass­wort geschützt und in der dahin­ter­lie­gen­den Daten­bank wer­den alle ande­ren Zugangs­da­ten für Com­pu­ter und Online-Diens­te ver­schlüs­selt abge­legt. So muss sich der Nut­zer erst mal nur das Haupt­pass­wort mer­ken, das gele­gent­lich auch geän­dert wer­den kann (und soll­te). Alle wei­te­ren zu schüt­zen­den Infor­ma­tio­nen sind sicher im Con­tai­ner des Pass­wort-Safes gespei­chert. Mit wei­te­ren Lösun­gen wie z.B. Boxcryp­tor kann die Daten­bank dann sogar in Cloud-Diens­ten zusätz­lich ver­schlüs­selt abge­legt wer­den. Der Zugriff ist für die gän­gigs­ten Lösun­gen ist jeder­zeit vom PC oder auch mobi­len Gerä­ten mit Android und iOS mög­lich. Natür­lich soll­ten mobi­le End­ge­rä­te mit wei­te­ren Schutz­maß­nah­men ver­se­hen sein, damit der Pass­wort-Safe nicht frei zugäng­lich ist bei Ver­lust des Geräts.

Online Spei­cher­diens­te (zumeist von ame­ri­ka­ni­schen Anbie­tern) soll­ten sich mit etwas gesun­dem Men­schen­ver­stand von selbst verbieten.

Links

Mann mit Lupe - Unter BeobachtungEs wird schwie­rig, vor die­sem Umstand wei­ter­hin die Augen zu ver­schlie­ßen. Im gro­ßen Stil greift die NSA auf Basis des Patri­ot Act von 2001 Tele­fon- und Inter­net­da­ten bei Kon­zer­nen wie Micro­soft, Veri­sign, Goog­le, Apple und Face­book ab. Der For­eign Intel­li­gence Sur­veil­lan­ce Court (FISC), das geheims­te US-Gericht hat mit AZ BR 15–80 vom 25. April 2013 eine Fir­men­kun­den-Toch­ter von Veri­sign zur Her­aus­ga­be sämt­li­cher Ver­bin­dungs- und Posi­ti­ons­da­ten ver­don­nert. Nach Bekannt­wer­den die­ses eigent­lich als top secret ein­ge­stuf­ten Beschlu­ßes leg­ten das Wei­ße Haus und der ame­ri­ka­ni­sche Kon­greß lt. Spie­gel Online noch­mals nach: es hand­le sich hier­bei um kei­ne Aus­nah­me, son­dern die Regel. Die “Washing­ton Post” und der “Guar­di­an” ver­mel­den aus Regie­rungs­krei­sen, das seit 2007 sys­te­ma­tisch NSA und FBI die Ser­ver von Micro­soft, Yahoo, Goog­le, Face­book, AOL, Sky­pe, You­Tube und Apple direkt ange­zapft werden.

Wohl dem, der dem Ruf nach “preis­wer­ten” Cloud-Lösun­gen ame­ri­ka­ni­scher Anbie­ter bis­her hat wider­ste­hen kön­nen. Der deut­sche und euro­päi­sche Markt hält siche­re und rechts­kon­for­me Cloud-Lösun­gen in Hül­le und Fül­le für Unter­neh­men bereit. Ger­ne unter­stüt­zen wir bei der Aus­wahl eines geeig­ne­ten Anbieters.

Big Bro­ther Awards?

“Die Big­Bro­the­rA­wards Deutsch­land wur­den ins Leben geru­fen, um die öffent­li­che Dis­kus­si­on um Pri­vat­sphä­re und Daten­schutz zu för­dern – sie sol­len miss­bräuch­li­chen Umgang mit Tech­nik und Infor­ma­tio­nen zeigen.
Seit dem Jahr 2000 wer­den in Deutsch­land die Big­Bro­the­rA­wards an Fir­men, Orga­ni­sa­tio­nen und Per­so­nen ver­lie­hen, die in beson­de­rer Wei­se und nach­hal­tig die Pri­vat­sphä­re von Men­schen beein­träch­ti­gen oder per­sön­li­che Daten Drit­ten zugäng­lich machen. Die Big­Bro­the­rA­wards sind ein inter­na­tio­na­les Pro­jekt: in bis­her 19 Län­dern wur­den frag­wür­di­ge Prak­ti­ken mit die­sen Prei­sen ausgezeichnet.”

https://​www​.big​bro​the​ra​wards​.de/

And the win­ners 2012 are …

“Sie­ger” gab es die­ses Jahr zuhauf. So wur­de in der Kate­go­rie Behör­den + Ver­wal­tung der säch­si­sche Staats­mi­nis­ter des Inne­ren, Herrn Mar­kus Ulb­ig, für Funk­ze­l­len­ab­fra­gen im Raum Dres­den im Rah­men einer Anti-Nazi-Demons­tra­ti­on im Früh­jahr 2011 aus­ge­zeich­net. Ob sich Bun­des­in­nen­mi­nis­ter Dr. Hans-Peter Fried­rich (CSU) über sei­nen Award in der Kate­go­rie Poli­tik für die Ein­rich­tung eines Cyber-Abwehr­zen­trums ohne Legi­ti­ma­ti­on durch den Bun­des­tag wirk­lich freut, bleibt abzuwarten.

Weni­ger per­so­nen­be­zo­gen wur­de die Cloud als Trend aus­ge­zeich­net, Nut­zern die Kon­troll­rech­te über ihre dar­in abge­leg­ten Daten zu ent­zie­hen. Das 2008 vom Bun­des­ver­fas­sungs­ge­richt pos­tu­lier­te Grund­recht auf Gewähr­leis­tung der Ver­trau­lich­keit und Inte­gri­tät infor­ma­ti­ons­tech­ni­scher Sys­te­me wird in den meis­ten aktu­el­len Umset­zun­gen von Cloud Com­pu­ting ekla­tant verletzt.

In der Kate­go­rie Arbeits­welt hat sich ein nicht unbe­kann­tes Unter­neh­men um den Daten­schutz beson­ders her­vor­ge­tan: die­ser Award geht an die Fir­ma Bofrost für die rechts­wid­ri­ge Aus­for­schung von Daten auf einem Betriebsratscomputer.

Alle “Aus­ge­zeich­ne­ten” kön­nen Sie hier im Detail nachlesen.

Nomi­nie­run­gen für 20120 kön­nen bereits ein­ge­reicht werden.

 

Foto: Thors­ten Möl­ler https://​www​.big​bro​the​ra​wards​.de/​g​r​a​p​h​ics