Risiko

Nichts dazugelernt? Unternehmen pfeifen auf Datenschutz

von Sascha Kuhrau
6. Juni 2011

Sony, Facebook und jetzt Neckermann — bekannte Marken kämpfen mit Datenpannen. Parallel dazu liefert eine Umfrage von TNS-Emnid im Auftrag von PwC ein umso erstaunlicheres Ergebnis: Deutsche Unternehmen pfeifen auf Datenschutz.

Verzerrte Eigenwahrnehmung

Jeder vierte Datenschutzbeauftragte der 1.000 größten deutschen Unternehmen wurde im Rahmen der Studie befragt. Zwei Drittel der Befragten antworten, Datenschutz würde in ihrem Unternehmen als wichtig wenn nicht sogar sehr wichtig betrachtet. Die Meinungsforscher schauten genauer hin: so wird lediglich in 4 von 10 Unternehmen ein regelmäßiger Datenschutzbericht angefordert. 25% der Befragten erstellen den Bericht unregelmäßig und in 35% der Unternehmen wird dieser erst gar nicht erstellt.

Kosten sparen

Das ist das vorherrschende Motto in den Unternehmen laut den Meinungsforschern, auch beim Thema Datenschutz. Fehlende personelle Ressourcen des Datenschutzbeauftragten gepaart mit mangelnder Einbindung in interne Kommunikation und Planungen machen den Stellenwert des Themas deutlich. So werden beispielsweise bei der Einführung neuer Datenverarbeitungssysteme nur in maximal 60% der Unternehmen die Datenschutzbeauftragten in die wichtige Planungsphase mit eingebunden.

Die Hoffnung stirbt zuletzt

Bleibt der Trost, daß in 2 von 3 Fällen einer Datenschutzverletzung Unachtsamkeit die Ursache war. Bei vier von zehn Vorfällen war den Beteiligten nicht mal bewußt, daß gegen bestehende Datenschutzgesetze verstoßen wird.

Risiko für Unternehmen

Mangelnder Datenschutz birgt jedoch für Unternehmen ein nicht unbedeutendes Risiko, Bußgelder und Strafen seitens der Landesdatenschutzbehörden auferlegt zu bekommen. Durch die Novellierung des Bußgeldkatalogs im Bundesdatenschutzgesetz in 2009 stehen konkrete Bußgeldrisiken für jedes Unternehmen und jeden Unternehmer im Raum — und das nicht erst, wenn es zu einer Datenpanne gekommen ist. Untätigkeit, fehlerhafte oder fehlende Regelungen in der sog. Auftragsdatenverarbeitung (Outsourcing), fehlende oder zu späte oder pro forma Bestellung eines Datenschutzbeauftragten sind nur einige Punkte, die ganz ohne Datenpanne zu einem Bußgeld führen.

Und wer glaubt, Geld zu sparen, bis es das Unternehmen im Rahmen einer Stichprobe, einer Beschwerde oder im schlimmsten Fall einer Datenpanne erwischt und meint, sich dann erst des Themas annehmen zu müssen, für den hält § 43 BDSG Absatz 3 eine kleine Überraschung parat: “Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.” Die Rechnung kann also nicht aufgehen.

Chancen nutzen

Dabei kann Datenschutz viel mehr sein, als die reine Vermeidung von Bußgeldern und Auflagen. Moderne Unternehmen nutzen die Chance, um sich durch konsequenten Datenschutz vom Wettbewerb abzuheben. Sie setzen nicht nur das gesetzlich vorgeschriebene Mindestmaß um, sondern nutzen Datenschutz — oft in Verbindung mit Qualitätsmanagementprogrammen -, um konsequent besser zu werden und Vorteile für sich zu nutzen. Und die Vorteile sind weit gefächert: beginnend vom Qualitätsmerkmal, um sich von Wettbewerbern positiv zu unterscheiden, über Datenschutz als Kundenbindungsinstrument bis hin zu den möglichen Kostensenkungspotentialen bei IT-Ausfällen.

Was können Sie tun?

Prüfen Sie, ob für Ihr Unternehmen die gesetzliche Bestellpflicht vorliegt! Wenn ja, dann holen Sie sich ein Angebot ein, um die weitere Vorgehensweise und mögliche Kosten abzustimmen. Wenn nein, dann lehnen Sie sich nicht zurück. Jetzt müssen Sie als Geschäftsführer / Unternehmer selbst ran, um die gesetzliche vorgeschriebenen Maßnahmen zum Datenschutz in Ihrem Unternehmen sicherzustellen. Fehlen Ihnen das Know-How und die Zeit? Auch dann stehe ich Ihnen als Berater mit meinen Leistungen zur Seite — ganz ohne Bestellung zum Datenschutzbeauftragten. Sprechen Sie mich an. Die schlechteste Alternative: nichts tun und abwarten — das wird teuer!

Behörde zu leichtsinnig — Datenklau in Landratsamt Bad Hersfeld

von Sascha Kuhrau
31. März 2011

Guckst Du …

Da staunten die Mitarbeiter des Bad Hersfelder Landratamts nicht schlecht, als sie am 01.02.2011 zur Arbeit erschienen. Kein Internet, keine Emails, kein Drucken. Die Bildschirme der Kfz-Zulassungsstelle blieben schwarz, die Geldautomaten der Sozialkasse out of order.

Der Fehler steckt im Detail …

Wobei besagtes Detail sich dann doch als etwas größer herausstellte — es fehlten 10 der 20 Server im Rechnerraum. Einbruch, jedoch wurden keine weiteren Vermögenswerte vermisst. Das serverseitige Alarmsystem war wenig durchdacht. Es löste lediglich Email-Alarm im internen Netz aus. Da nachts jedoch kein Mitarbeiter vor dem Bildschirm weilt, lief der Alarm ins Leere. Die Diebe schulterten also gleich Server samt Alarmsystem und zogen ungestört von dannen.

Wir haben es ja schon immer gewußt …

Peinlich: die ermittelnde Kriminalpolizei wusste um die ungenügenden Sicherheitsmaßnahmen und hat die Behörde in der Vergangenheit mehrmals auf das Risiko hingewiesen. Was ist passiert? Nichts. Nach wie vor bestand die Sicherung des Serverraums aus Holztüren mit einfachen Schlössern.

Ja aber …

Was ging neben der Hardware verloren? Ein Querschnitt an Daten, die in einem Landratsamt anfallen. Die Behörde versuchte zu beschwichtigen, die personenbezogenen Daten und Vorgänge auf den Servern seien alle verschlüsselt.

Aussitzen …

Wie sicher die Schlüssel waren, welche Daten nun genau verloren gingen und welcher finanzielle Schaden durch den Einbruch dem Steuerzahler entstanden sei, wollte die ct in einem Interview erfahren. Die Behörde verweigerte die Auskunft.

Und nun …

Bleibt nur die Empfehlung, besonders an die Verantwortlichen des Bad Hersfelder Landratamts, aber auch an jeden für die IT-Sicherheit Verantwortlichen in Unternehmen sich aktiv mit dem sog. BSI Grundschutz-Katalog auseinanderzusetzen. Dieser hält zahlreiche Prüf- und Schutzmaßnahmen zur Abwehr solcher Vorfälle parat.

BSI IT Grundschutz Katalog
ct Artikel “Amtlicher Leichtsinn”

Der Facebook “Like-Button” — Aufregung im Netz

von Sascha Kuhrau
21. März 2011
2 Kommentare

Der Facebook “Like-Button” sorgt für immer mehr Aufregung und kontroverse Diskussion im Web. Teilweise erscheinen die Fronten recht verhärtet. Einerseits werden Aussagen getätigt, wer seine Daten schützen wolle, solle einfach auf das Internet verzichten. Andererseits wird mit der Unvereinbarkeit solche Features mit dem deutschen Datenschutzrecht argumentiert.

Was ist der “Like-Button” überhaupt?

Facebook stellt diesen Button Seitenbetreibern im Internet zu Verfügung. Angemeldete Facebook-User können mit einem einfachen Klick auf “Gefällt mir” ihr Gefallen an der Webseite in ihrem Profil kundtun. Deren Online-Freunde können dies online sehen, neugierig werden und die Seite eventuell auch besuchen. Klicken diese ebenfalls den “Gefällt mir-Button”, dann führt das zu einer (wünschenswerten) Mund-zu-Mund-Propaganda. Aus diesem Grund ist diese Funkion mittlerweile in eine Vielzahl von Webseiten und Blogs integriert.

Wieso nun die Aufregung?

Problematisch an diesem Button und der dahinterstehenden Routine ist, daß hierbei nicht nur die Daten angemeldeter Facebook-Nutzer gesammelt werden, sondern die jedes Besuchers einer Webseite mit einem solchen Button. Facebook könnte diese Informationen z.B. zum Erstellen kompletter Besucher- und Nutzerprofile fremder Webseiten nutzen. Facebook selbst hat sich bisher lt. den Betreibern von hamburg.de nicht in befriedigender und rechtlich belastbarer Art und Weise zu der Erhebung, Nutzung und Verarbeitung dieser Daten geäußert.

Grund genug für die Betreiber, den “Like-Button” wieder aus dem gesamten Stadtportal zu verbannen. Ein breiter und kontroverser Austausch zu dieser Maßnahme ist im Blog von hamburg.de nachzulesen.

Eine Stellungnahme der Kanzlei Dr. Bahr aus Hamburg beleuchet die rechtlichen Aspekte des Einsatzes solcher Funktionen mit entsprechendem Weitblick, ohne Social Media Tools und Features von vornherein zu verurteilen.

Ein ebenso guter Artikel zur rechtlichen Bewertung von social media plugins von RA Dr. Thomas Helbing. Im Blog von drweb.de findet sich ein ebenso interessanter Beitrag zum Thema.

Update 21.03.2011

Mittlerweile nutzen immer mehr Seiten den Facebook Like Button, darunter auch prominent besuchte Auftritte wie der von Spiegel, Stern und Bild. Auch immer mehr Blogger und Webseitenbetreiber setzen auf diese Möglichkeit, darüber (hoffentlich) mehr Besucher zu generieren. Gerüchte im Web sprechen von einer Versechsfachung der Besucherzahlen dank dieses kleinen “Knopfs”.

Doch nach wie vor sehen Datenschützer und die Datenschutzbehörden das dafür notwendige Skript kritisch. Denn der eigentliche Gewinner ist Facebook. Sammelt die Organisation doch darüber — ganz unabhängig, ob der Button angeklickt wird oder nicht — wertvolle Informationen über das Surfverhalten seiner Benutzer, umfangreiches Mitgliederprofil inklusive.

Die Prüfung, inwieweit die Funktionsweise gegen deutsches Datenschutzrecht verstößt, dauert zur Zeit noch an. Der erste Online-Händler wurde jedoch bereits abgemahnt. Nicht wenige Webseiten versäumen in Ihren Datenschutzerklärungen den ausreichenden Hinweis auf die Nutzung und Folgen dieser Form des Webtrackings. Ebenso fehlt oftmals die Erklärung des sog. Widerrufrechts, also die Möglichkeit, wie sich der Besucher gegen diese Form der Beobachtung und Datenerhebung wehren kann.

Welche Punkte seitens der Datenschutzbehörden alle in der Kritik stehen, können Sie hier nachlesen.

Briten vergaßen 17000 USB Sticks in der Reinigung

von Sascha Kuhrau
3. März 2011

Sie baden gerade Ihren USB-Stick darin

Laut einem Online-Bericht der österreichen Zeitung “Krone” wurden 2010 in Großbritannien über 17.000 USB-Sticks in Kleidung vergessen, die zur Reinigung in die Wäscherei gegeben wurde. Diese Zahl holte eine Umfrage des Datenschutz-Unternehmens Credant Technologies aus der Wäschetrommel. Laut Credant sind das viermal so viel wie in 2009 — britischer Reinlichkeitswahn?

Ab 1000 Umdrehungen geht es rund

Unter Datenschutzgesichtspunkten sind die Sticks im Zweifel nach Wasch- und Schleudergang datenschutzgerecht entsorgt. Dies ist so jedoch nicht im Sinne des Erfinders — nicht der Waschmaschine, sondern des Datenschutzes.

Für datenschutzgerechte Entsorgung ist für gewöhnlich die IT-Abteilung eines Unternehmens zuständig, nicht die Wäscherei um die Ecke. Der Fachbereich verfügt über das Know-How und die notwendigen Tools, um Datenträger fachgerecht zu löschen oder endgültig zu entsorgen.

Ohne Weichspüler und Knitterschutz

Nicht auszudenken, wenn die Sticks statt in der Trommel in kriminelle Hände geraten wären oder im Verkauf bei Ebay: Verlust von Firmen-Internas, Kalkulationen oder vielleicht sogar personenbezogener Daten. Letzteres ist nach § 42a BDSG kein Kavaliersdelikt und hat in Deutschland unangenehme Folgen für das betroffene Unternehmen, zu dem der Mitarbeiter gehört -> Bußgeldkatalog.

Nicht nur sauber, sondern rein

Für den sicheren Umgang mit USB-Sticks und anderen externen Speichermedien sorgen regelmäßige Schulungen und Informationen durch Ihren Datenschutzbeauftragten, der zuvor die Konzeption entsprechender Richtlinien aktiv mitgestaltet hat (Verschlüsselung, Nutzung, Entsorgung etc.). Sie haben noch keinen? Dann sprechen Sie mich an.

Datensicherheit in Unternehmen oftmals noch vernachlässigtes Thema

von Sascha Kuhrau
28. Februar 2011

Online-Umfrage von “Deutschland sicher im Netz e.V.” (DsiN) enthüllt Schwachstellen

600 kleine und mittelständische Unternehmen beteiligten sich an der aktuellen anonymen Online-Umfrage von DsiN. Das Ergebnis ist wenig schmeichelhaft für die Verantwortlichen in den Unternehmen: lediglich ein Drittel der Befragten gibt an, über eine Compliance-Strategie zu verfügen. Vor dem Hintergrund drohender Bußgelder bei Nichteinhaltung von Datenschutz- und Datensicherheitsregeln — gerade im Umgang mit personenbezogenen Daten — schwer nachvollziehbar.

Erfreulich zumindest die Aussage, daß fast 70% immerhin mit der Umsetzung von Einzelmaßnahmen außerhalb eines Strategiekonzepts begonnen haben. Allerdings sind lediglich in 26,7% aller befragten Unternehmen die Mitarbeiter durch regelmäßige Schulungen zum Thema Datenschutz und Datensicherheit sensibilisiert.

Gefahren lauern im (Büro-) Alltag

Spreche ich mit Verantwortlichen in Unternehmen, so höre ich beim Thema Datensicherheit oft einander ähnelnde Aussagen wie “Wir haben alles technisch mögliche gegen Hackerangriffe unternommen”, “Unsere Backup- und Recovery-Strategie wird immer wieder geprüft” oder auch “Unsere IT ist in ein Rechenzentrum outgesourct und daher vollkommen sicher”. In der Summe sicher der richtige Ansatz, als häufig isoliert umgesetzte Einzelmaßnahmen im Sinne einer Compliance-Strategie unzureichend.

Dabei wird oftmals übersehen, daß die Gefahren für die Daten im Unternehmen nicht unbedingt von außen drohen, sondern im ganz normalen Büro-Alltag auftreten:

USB-Sticks / Mobile Speichermedien: hier lauert gleich doppelte Gefahr. Einerseits durch den Verlust dieser oftmals nur noch daumennagelgroßen Geräte mit eigenen sensiblen und / oder personenbezogenen Daten. Andererseits das Risiko, unbemerkt und unbewußt Schadroutinen durch das ungeschützte Einstecken oder Einlegen in das interne Firmennetz einzuschleusen.
Mobile Geräte / Laptops / Smartphones: Probleme treten hier bei Verlust schnell zutage durch fehlende Verschlüsselung, lokal gespeicherte Informationen oder unzureichend gesicherte VPN-Zugänge, meist zugunsten eines höheren Bedienkomforts (in einer Studie von 2008 steht Komfort für knapp ein Viertel der IT-Verantwortlichen vor Datensicherheit).
Multifunktionsgeräte (MFG) / Kopierer: in einer immer mehr vernetzten Welt kommunizieren diese Geräte mittlerweile über das Internet und sind somit von außen angreifbar. Interne Zwischenspeicher können bei Reparatur oder Austausch durch externe Dienstleister ebenfalls Internas nach außen tragen.
VoIP (Voice over IP): meist komfortabler und preisgünstiger als Telefonanlagen birgt die Technik jedoch auch Gefahren. Wie jede IP-Technologie ist sie von außen angreifbar und im Zweifel aufgrund unzureichender Schutzmaßnehmen abhörbar.
Cloud Computing: der große Hype aus 2010 setzt sich in 2011 fort — alle wollen “in die Cloud”. Kostendruck und Überall-Verfügbarkeit hin oder her sollten nicht davon ablenken, daß hier Firmeninterna und personenbezogene Daten in “öffentliche” Bereiche außerhalb des Unternehmens ausgelagert und in die Verantwortung externer Anbieter übergeben werden.
Mitarbeiter: mangelnder Kenntnisstand und fehlende Sensibilisierung Ihrer Mitarbeiter stellten mit die größten Bedrohungspotentiale für Ihre Unternehmensdaten dar. Gesellen sich noch Frust oder Vorsatz hinzu, dann ist Ihr Unternehmen fast chancenlos.

Wie begegnen Sie diesen Gefahren?

Eine schlüssige Compliance-Strategie bewertet diese beispielhaft genannten Gefahrenpunkte entsprechend und sieht dafür — neben IT-gestützten Mechanismen — bewährte Verfahrensweisen vor:

Erstellen und Umsetzen geeigneter, unternehmensweiter Benutzerrichtlinien für den Umgang mit Technologien mit Gefährdungspotential
Regelmäßige Schulungen und Sensibilisierungen der Mitarbeiter z.B. im Rahmen der obligatorischen Verpflichtung auf das Datengeheimnis
Fortlaufende Information der Unternehmensführung und Mitarbeiter über neue Bedrohungsszenarien aufgrund technischer Weiterentwicklungen

Ihr Datenschutzbeauftragter ist gefordert

Diese fortwährende Tätigkeit in Abstimmung mit Unternehmensführung und IT-Leitung ist ein klassisches Tätigkeitsfeld für Ihren Datenschutzbeauftragten. Sie haben keinen Datenschutzbeauftragten? Dann sprechen Sie mich an. Eventuell sind Sie in Ihrem Unternehmen gesetzlich zur Bestellung verpflichtet. Vermeiden Sie unnötige Bußgelder.

DsiN Sicherheitscheck online: Prüfen Sie, wie fit Ihr Unternehmen in punkto Datensicherheit ist

Wenn Sie petzen (wollen), Datenschutz nicht vergessen :-)

von Sascha Kuhrau
10. Februar 2011
2 Kommentare

Vor einiger Zeit erreichte mich zu einem der meistgelesenen Artikel auf diesem Blog “Bußgeldvorschriften Datenschutz bei Verstoß gegen das Bundesdatenschutzgesetz” ein Kommentar, den ich Ihnen — selbstverständlich anonymisiert — nicht vorenthalten möchte:

“Wir veröffentlichen auf unserer Seite zigtausende Namen und Anschriften von Ärzten ohne dass wir die betroffenen zur Veröffentlichung befragt haben.

Auf Nachfrage der löschen wir keinen der Veröffentlichten Namen.

Uns interessieren die Bußgeldvorschriften zum Bundesdatenschuzugesetz nicht.”

Als Absender waren der Name des betreibenden Unternehmens sowie dessen Support-Email-Adresse eingetragen.

Wenn der Sachverhalt in dieser Form stimmt, dann ist das — abgesehen von einigen orthographischen Fehlern im Kommentar — schon eine erschreckende Angelegenheit. Der Auftritt an sich erscheint seriös und gut frequentiert.

Sollte sich der Kommentierende hier jedoch vertan haben oder den Betreiber der genannten Seite lediglich in Mißkredit bringen wollen, dann bekommt ein solcher Kommentar eine gewisse Brisanz. Der Autor hat sich zwar durch die unwahre Angabe zu seinem Namen und der Email-Adresse zu verschleiern versucht, aber dabei die Protokollfunktionen der Blogsoftware unterschätzt. Diese zeichnet nämlich zusätzlich Datum, Uhrzeit und die IP-Adresse des Absenders auf. Dies dient zur Absicherung im Hinblick auf zahlreiche Urteile zum Thema Haftung von Foren-Betreibern, auch wenn ich diese Funktion aus Datenschutzgründen lieber nicht nutzen würde (sofern sie überhaupt abschaltbar ist). Mittels dieser Daten kann der Kommentator nun also durchaus theoretisch ermittelt werden. Ein Risiko, das dem Kommentierenden vielleicht nicht bewußt war, als er seinem Unmut freien Lauf ließ.

Bei einem konkreten Verdacht auf eine Verfahrensweise, wie Sie in diesem zitierten Kommentar geschildert wurde, ist die Einschaltung der zuständigen Landesdatenschutzbehörde zu empfehlen. Die Nutzung von Blog-Kommentaren ist hier eher als “sub-optimal” einzustufen.

Wie Sie Ihr Unternehmen schützen können, um solch einen Verdacht erst gar nicht aufkommen zu lassen, sagt Ihnen gerne Ihr Datenschutzbeauftragter. Sie haben keinen? Dann sprechen Sie mich an.

PS: Selbstverständlich hat dieser Kommentar mit den Angaben, die einen Bezug zum betroffenen Unternehmen zulassen, nie die Öffentlichkeit in diesem Blog erreicht!

Back to the roots — wieso eine herkömmliche Weihnachtskarte Ihre Daten schützt

von Sascha Kuhrau
3. Dezember 2010
1 Kommentar

Gerade zur Weihnachtszeit sehr beliebt – ecards oder auch elektronische Postkarten genannt. Schnell (und mit dem Lockmittel ‘kostenfrei’) im Internet erstellt und per Mausklick an den gewünschten Empfänger versandt. Dieser öffnet den Link in der Email im Vertrauen auf den ihm bekannten Absender. Wie groß ist die Freude des Betrachters über diese nette Geste.

Im Hintergrund schrillen im günstigsten Fall in der IT-Abteilung die Alarmglocken. Denn mittlerweile bedienen sich sogar kriminelle Elemente dieser profanen Möglichkeit, in Firmennetzwerke einzudringen. Oftmals – und vom Anwender vollkommen unbemerkt – aktiviert diese ecard so ganz nebenbei verschiedene Einfallmöglichkeiten über bekannte, aber noch nicht gestopfte Sicherheitslöcher in verschiedenen Anwendungen wie Flash, ActiveX, Java, Javascript oder direkt im Browserprogramm.

Zusätzlich haben Sie sowohl Ihren eigenen Namen samt Email-Adresse als auch die des „Beglückten“ preisgegeben. Wer garantiert Ihnen trotz der allerschönsten und ansprechendsten Aufmachung, dass die eingegebenen Daten nicht zu Werbesendungen per Email der dubiosesten Art genutzt werden?

Viele Unternehmen sind mittlerweile dazu übergegangen, sowohl die Anbieterseiten solcher ecards zu sperren oder zumindest den Aufruf der Email-Links zu blockieren. Doch der Schutz sollte auch in Ihren Privatbereich vordringen. Daher der nun häufiger zu lesende und gutgemeinte Rat von Datenschützern und IT-Sicherheitsspezialisten im Web: Lieber Finger weg von ecards. Im Zweifel nur auf bekannte und jahrelang bewährte Anbieter zurückgreifen.

Besser: Eine reale Postkarte oder ein handgeschriebener Brief vermitteln viel mehr Wertschätzung und Interesse an Ihrem Gegenüber als eine ecard. Nehmen Sie sich die Zeit – die Freude beim Empfänger wird deutlich größer sein. Und Ihr EDV-System um einiges sicherer.

Schöne Vorweihnachtszeit
Sascha Kuhrau

PS: nicht alle Anbieter von ecards werden die og. Vorgehensweise praktizieren. Dennoch ist Vorsicht geboten.

« Zurück
1
…
6
7
8

Risiko

Nichts dazu­ge­lernt? Unter­neh­men pfei­fen auf Datenschutz

Behör­de zu leicht­sin­nig — Daten­klau in Land­rats­amt Bad Hersfeld

Der Face­book “Like-But­ton” — Auf­re­gung im Netz

Bri­ten ver­ga­ßen 17000 USB Sticks in der Reinigung

Daten­si­cher­heit in Unter­neh­men oft­mals noch ver­nach­läs­sig­tes Thema

Wenn Sie pet­zen (wol­len), Daten­schutz nicht vergessen :-)

Back to the roots — wie­so eine her­kömm­li­che Weih­nachts­kar­te Ihre Daten schützt