• 0163 - 70 53 684
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Ein EU-Urteil zum Datentransfer in die USA sorgt für Unruhe in der deutschen Wirtschaft. Ziehen betroffene Firmen nicht die richtigen Konsequenzen, drohen harte Strafen.

Führende Vertreter der Digitalwirtschaft in Deutschland haben sich besorgt darüber gezeigt, dass im Fall der gekippten EU-US-Datenschutzvereinbarung „Privacy Shield“ deutschen Unternehmen Bußgelder drohen können.

„Das Quasi-Verbot vieler Datenübermittlungen wirkt sich auf zahlreiche etablierte Geschäftsmodelle aus und verkennt die Realität einer globalen Datenwirtschaft“, sagte Susanne Dehmel, Mitglied der Geschäftsleitung des IT-Verbands Bitkom, dem Handelsblatt. „Die betroffenen Unternehmen können nicht von heute auf morgen ihre Prozesse umstellen, gleichzeitig drohen Strafen von Aufsichtsbehörden – all das führt zu großer Verunsicherung.“

Auch der Verband der Internetwirtschaft Eco zeigte sich alarmiert. Für alle Unternehmen, die auf den freien Verkehr und Austausch personenbezogener Daten angewiesen seien, berge das Urteil des Europäischen Gerichtshofs (EuGH) von Mitte Juli, mit dem das „Privacy Shield“ für nichtig erklärt worden war, „enorme Risiken“, sagte Eco-Geschäftsführer Alexander Rabe dem Handelsblatt.

In dem EU-US-Abkommen wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Daten werden häufig in den USA gespeichert – selbst wenn es sich um Firmen aus Europa handelt. Diese greifen oft auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück.

Die Luxemburger Richter begründeten ihr Urteil vor allem damit, dass Überwachungsbefugnisse der US-Behörden zu umfangreich seien. Aus ähnlichen Gründen hatte der EuGH 2015 bereits die Vorgängerregelung „Safe Harbor“ gekippt.

Verbände sehen EU am Zug

Der baden-württembergische Datenschutzbeauftragte Stefan Brink hält nach dem neuen EuGH-Urteil Bußgelder gegen deutsche Unternehmen für möglich. Die Aufsichtsbehörden versuchten derzeit, einen Ausweg aus einer „nahezu unlösbaren Situation“ zu finden, sagte Brink dem Handelsblatt. Andernfalls müsse jedes deutsche Unternehmen geprüft und mit Bußgeld belegt werden, wenn es seine Infrastruktur auf US-Datenverarbeiter aufgebaut habe.

Eco-Geschäftsführer Rabe sieht dringenden Handlungsbedarf. „Die EU muss deshalb möglichst rasch praktikable und nachhaltig verlässliche Lösungen für den Datentransfer in die USA präsentieren und so für Unternehmen wieder Rechtssicherheit schaffen“, sagte er. Dies sei im Interesse der gesamten Wirtschaft in Deutschland und Europa.

Bitkom-Expertin Dehmel appellierte ebenfalls an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen“. Von den Aufsichtsbehörden verlangte sie, die betroffenen Unternehmen jetzt zu beraten und praktische Hinweise zu geben.

 

Das EuGH-Urteil hat laut Dehmel für europäische Unternehmen mit einer Datenverarbeitung in den USA „massive“ Auswirkungen. „Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen“, erläuterte sie. „Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit“, fügte Dehmel hinzu. „Pauschale Lösungen sind bisher kaum in Sicht.“

Nur noch Einzelfall-Transfers auf Einwilligungsbasis möglich

Die EU-Kommission hatte indes betont, dass der Datenfluss zwischen Europa und den USA nach dem EuGH-Urteil nicht grundsätzlich unmöglich sei – denn es gebe noch die sogenannten Standardvertragsklauseln für den Datentransfer zwischen EU-Ländern und Drittstaaten.

Der Datenschützer Brink wendet indes ein, dass die „Standard-Datenschutz-Klauseln“ laut EuGH alleine „keine hinreichende Grundlage sein könnten, sondern durch zusätzliche Garantien unterstützt werden müssten“. Das heißt: Es müsse sichergestellt sein, dass US-Behörden nicht im Rahmen ihrer gesetzlichen Befugnisse auf Daten von Europäern bei US-Unternehmen zugreifen.

Brink hält eine solche vertragliche Zusicherung für kaum vorstellbar. „Seit wann kann ein Unternehmen seinem Kunden den Bruch geltenden Rechts seines Landes vertraglich zusichern?“, fragte er. „Mehr als ein Feigenblatt sind auch die Standardverträge also nicht mehr.“

Somit wären nach den Regeln der EU-Datenschutz-Grundverordnung DSGVO nur noch Einzelfall-Transfers auf Einwilligungsbasis oder zur Erfüllung von Einzelverträgen möglich, wie Brink erklärt, also keine regelmäßige Kooperation mit US-Anbietern mehr.

Autor: Dietmar Neuerer, Handelsblatt


Angreifer können Medienberichten zufolge sensible Daten auf Tausenden Servern in Deutschland ausspionieren. Der Grund: Die Server seien fehlerhaft eingerichtet.

Tausende Server in Deutschland sind so fehlerhaft eingerichtet, dass Angreifer darauf sensible Daten ausspionieren können. Das berichten die Wochenzeitung „Die Zeit“ sowie das Computermagazin „c't“ in ihren aktuellen Ausgaben. „Angreifer haben ein leichtes Spiel und können neben Code auch Zugangs- und Nutzerdaten abgreifen“, schreibt die „c't“.

Der Flensburger IT-Sicherheits-Unternehmer Matthias Nehls hatte zuvor rund 41.000 Systeme ermittelt, die fehlerhaft konfiguriert sind. Damit könne man ohne großen Aufwand Codearchive von Programmen auslesen lassen, in denen zum Beispiel Zugangsdaten zu Datenbanken mit sensiblen Daten von Kunden gespeichert sein können. Dabei handelt es sich im so genannte Repositories des Versionskontrollsystems Git.

Wie Recherchen der „Zeit“, der „c't“ und des NDR zeigen, waren von der Schwachstelle auch Server von Dax-Konzernen oder Hochschulen betroffen. Zudem fanden sich unter den betroffenen Systemen auch Server von Mittelständlern, Arztpraxen, Online-Shops und Stadtwerken - und das, obwohl die Problematik seit Jahren bekannt ist.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich davon nicht überrascht. „Viele kleine und mittelgroße Organisationen machen sich um ihre IT-Sicherheit keinen Kopf, da muss es erstmal knallen, bevor sie die richtigen Schutzmaßnahmen einleiten“, teilte Deutschlands Cybersicherheitsbehörde der „Zeit“ mit.

 Die „c't“ empfiehlt betroffenen Anwendern von Git, den Mangel in jedem Fall schleunigst zu beheben. „Wer sich nicht sicher ist, kann einfach http://meine­domain.de/.git/config im Browser aufrufen.“ Zeige der Browser eine Konfigurationsdatei an, sei der Server von dem Problem betroffen.
Autor: dpa, aus Handelsblatt


Wer für jedes Online-Konto ein eigenes Passwort verwendet, kann sich die vielen verschiedenen Kombinationen kaum merken. Passwortmanager helfen dabei, den Überblick zu bewahren. Stiftung Warentest prüft 14 Lösungen und findet auch einen kostenlosen Helfer gut.

Für die Sicherheit ist es wichtig, für jeden Internet-Zugang ein eigenes Passwort zu verwenden. Doch viele Nutzer tippen immer wieder die gleiche Kombination ein, weil sie den Aufwand scheuen oder befürchten, sich nicht alle Passwörter merken zu können. Das ist aber gar nicht nötig, wenn man einen Passwortmanager nutzt. Er verwahrt alle Kombinationen verschlüsselt in einem virtuellen Tresor und Nutzer müssen sich lediglich das Sesam-öffne-dich für die Software merken. Stiftung Warentest hat sich 14 Lösungen angesehen.

Ein guter Manager ist kostenlos

Drei Passwortmanager erhielten die Note "gut", sechsmal gab es ein "befriedigend" und zweimal das Urteil "ausreichend", berichtet die Stiftung in ihrer Zeitschrift "test" (Ausgabe 2/2020). Drei Browser-basierte Lösungen liefen außerhalb der Bewertung.

Den Testsieger Keeper Security (rund 30 Euro pro Jahr) und das zweitplatzierte 1Password (circa 38 Euro pro Jahr) gibt es auch kostenlos, dann allerdings mit eingeschränkten Funktionen. Ärgerlich fanden die Prüfer bei den Testsiegern, dass ihre Datenschutzerklärungen und AGB sehr deutliche Mängel aufweisen. Das führte zu Abwertungen.

Auf dem dritten Platz landete die kostenlose und datensparsame Open-Source-Software KeePass. Ihre Nutzung setzt allerdings etwas Technikwissen voraus. Unter anderem müssen Nutzer die Synchronisation über einen Cloud-Dienst selbst einrichten. Die Software gibt es zwar offiziell nur für Windows, unter keepass.info/download.html findet man aber Drittanbieter-Varianten für andere Betriebssysteme, die ebenfalls Open Source und damit vertrauenswürdig sind.

Am einfachsten zu handhaben ist nach Einschätzung der Warentester Dashlane (40 Euro pro Jahr). Auch das kostenlose Bitwarden erhielt eine Empfehlung. Beide Programme wurden mit "befriedigend" beurteilt.

Schwachstelle Master-Passwort

Der Vorteil eines soliden Passwortmanagers liegt auf der Hand: Er hilft beim Erstellen, Speichern und Verwalten komplexer und guter Passwörter. Bei immer mehr Online-Konten kann man sich schließlich kaum jedes einzelne Passwort merken. Über die Zwischenablage oder Browser-Erweiterungen werden die Anmeldedaten auf Wunsch auch beim jeweiligen Dienst eingegeben.

Die Passwortmanager bringen also mehr Sicherheit und weniger Stress - aber auch ein Risiko. Vergisst man sein Master-Passwort, mit dem die gesammelten Passwörter gesichert sind, ist guter Rat teuer. Da Hacker gewöhnlich nicht in Wohnungen einbrechen, ist es durchaus eine gute Idee, das Master-Passwort aufzuschreiben und an einem sicheren Ort aufzubewahren.

Wichtig ist, dass die Kombination für den Passwortmanager selbst nicht zu einfach zu erraten ist. Einige Testkandidaten erlauben Kennwörter mit weniger als fünf Zeichen. Das hat unter anderem KeePass den Testsieg gekostet, da Warentest solche Manager abwertete.

Browser-Lösungen erfüllen ihren Zweck

Die Tester untersuchten neben den Softwarepaketen auch die Passwortlösungen der Browser Firefox, Safari und Chrome. Alle drei bieten die Speicherung und Verwaltung von Zugangsdaten an.

Apples Safari nutzt dafür zum Beispiel den iCloud-Schlüsselbund und kann damit auf allen Geräten mit aktivem Nutzerkonto Zugangsdaten bereitstellen. Chrome verwendet das Google-Konto. Firefox nutzt den Firefox Account mit dem Synchronisierungsdienst Sync oder das Programm Lockwise.

Nach Ansicht der Tester erfüllen die Passwortmanager im Browser zwar ihren Zweck, sie haben aber einen Nachteil: Will man nicht dauernd zwischen den Browsern wechseln, muss man sich mehr oder weniger für alle Online-Tätigkeiten an einen Browser binden. Eine Note erhielten die Browser-Lösungen nicht. Die Passwortfunktionen ließen sich dafür nicht sauber genug vom Rest des Browsers trennen, so die Warentester.

Quelle: ntv.de, kwe/dpa

 


Wer Windows 10 nutzt, sollte sich unbedingt auch die Datenschutzeinstellungen des Betriebssystems anschauen. Vieles ist Geschmackssache, doch einige Anpassungen sind auf jeden Fall sinnvoll.


Datenpannen durch Fehlversendungen

Eine Mail mit personenbezogenen Daten geht per cc versehentlich an Adressaten, die sie gar nicht erhalten sollten. Personalunterlagen werden per Post an den falschen Herrn Meier geschickt. Alles nicht so schlimm? Eine kurze freundliche Entschuldigung, und alles ist wieder gut? So einfach ist es leider nicht!

Pflicht, Datenpannen zu melden

Die Datenschutz-Grundverordnung (DSGVO) enthält eine Verpflichtung, Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde für den Datenschutz zu melden. Dies muss im Normalfall binnen 72 Stunden geschehen.

Eine Ausnahme hiervon gilt nur dann, wenn voraussichtlich nicht mit Risiken für die betroffenen Personen zu rechnen ist. So regelt es Art. 33 Abs. 1 DSGVO.

Jedes Unternehmen muss sich so organisieren, dass es Datenpannen tatsächlich bemerkt. Anders gesagt: Es muss seine Mitarbeiterinnen und Mitarbeiter dazu verpflichten, Datenpannen auch zu melden.

Vorbeugende Maßnahmen

Noch besser ist es natürlich, wenn solche Pannen erst gar nicht vorkommen. Die häufigste Art von Pannen sind Fehlversendungen. Das zeigen die Statistiken der Aufsichtsbehörden. Sie betreffen sowohl klassische Briefsendungen als auch Mails. Die Gründe sind jeweils unterschiedlich.

Pannen bei Briefsendungen

Bei Briefsendungen ist es schlicht so, dass vor allem jüngeren Mitarbeiterinnen und Mitarbeitern die Übung im Umgang mit Briefen fehlt. Privat schreiben sie kaum welche. Und im Unternehmen sind Briefe tendenziell ebenfalls seltener geworden.

Der Klassiker in diesem Bereich: Es müssen Unterlagen an eine größere Zahl von Adressaten verschickt werden. Auf den Unterlagen steht jeweils die Anschrift des Adressaten, und zwar fehlerfrei. Die Umschläge werden getrennt davon mit der jeweiligen Anschrift versehen. Beim Zusammenführen von Umschlägen und Unterlagen passieren dann die Fehler. Die Unterlagen kommen jeweils in den falschen Umschlag. Das geschieht besonders oft, wenn Praktikanten oder andere wenig geübte Personen damit beauftragt werden.  

Schnell stellt sich dann heraus, dass auch solche scheinbar einfachen Arbeiten eben doch nicht „jeder kann“.

Fensterumschläge als Lösung?

Manche Aufsichtsbehörden empfehlen inzwischen, in solchen Fällen Fensterumschläge zu verwenden. Dann ist es nicht mehr nötig, die Umschläge gesondert zu beschriften. Vielmehr wird die entsprechende Unterlage so in den Umschlag hineingesteckt, dass die Anschrift im Brieffenster erscheint. Das ist an sich keine schlechte Idee. Freilich kann dabei ein anderes Problem auftauchen. Immer wieder beginnt nämlich der Text auf einer Unterlage so nah an der Anschrift, dass Teile des Textes im Brieffenster zu sehen sind. Auch wenn es sich banal anhört, ist hier also genaues Falten des Papiers gefragt. Das verlangt ebenfalls Übung.

Vier-Augen-Prinzip

Eine andere Möglichkeit wäre, nach dem Vier-Augen-Prinzip vorzugehen. Das bedeutet allerdings, dass jeder Brief von zwei Mitarbeitern in die Hand genommen werden muss. Dieser Aufwand ist oft schlicht zu groß.

Pannen bei E-Mails

Klassische Datenpannen beim Versand von E-Mails ist die versehentliche Nutzung der cc-Funktion anstelle der bcc-Funktion, um ein und dieselbe Mail an eine größere Zahl Adressaten zu schicken. Sie wissen nicht, was der Unterschied ist? Dann sollten Sie offen gesagt die Finger davon lassen, mit diesen Funktionen zu arbeiten.

Nur kurz zur Erinnerung: Bei der bcc-Funktion sieht ein Adressat die Mailadressen der anderen Adressaten nicht, bei der cc-Funktion dagegen schon. Auf diese Weise ist dann schnell einmal eine komplette Kundenliste offengelegt. Dadurch kann dann ein Problem entstehen, das weit über den Datenschutz hinausreicht.

Die Funktion „an alle“

Eine ausgesprochen tückische Funktion ist auch die Funktion „an alle“. Mit „alle“ sind dabei dann beispielsweise sämtliche Mitarbeiter eines Unternehmens gemeint, die ein Mailsystem benutzen. Das können Tausende von Mailadressen sein.

Viele Unternehmen behalten die Nutzung dieser Funktion deshalb bestimmten Personen oder Funktionseinheiten vor (beispielsweise der Pforte, wenn sie etwa in einem Notfall eine Warnung verschicken muss, und der Firmenleitung, wenn es zum Beispiel um Weihnachtsgrüße an alle geht). Solche Beschränkungen sind weder Schikane noch Misstrauen. Sie verhindern im Gegenteil Pannen größerer Art.

Wegducken hilft nicht!

In jedem Fall gilt: Sollte es zu einer Versendungspanne kommen, muss dies sofort dem Vorgesetzten gemeldet werden. Denn nur so kann das Unternehmen seine Meldepflicht gegenüber der Datenschutzaufsicht erfüllen.


Kontakt

Wir freuen uns über Ihre Kontaktaufnahme. Sie erreichen uns über das Kontaktformular oder unter der Telefonnummer 0163 - 70 53 684 sowie 040 - 69 70 26 50.

Mitgliedschaft

GDD Mitglied

Zertifizierung

Tüv Zertifikat