DSGVO

Wieso DSGVO?

DSGVO – was bedeutet dies für Ihr Unternehmen?

Die DSGVO (Hier die Verordnung) tritt europaweit am 25.05.2018 in Kraft. Viele Unternehmen sind sich unsicher: was bedeutet dies konkret und hat diese neue Verordnung auch Auswirkungen auf mein Unternehmen? Was muss beachtet werden?
Herr H. ist Inhaber einer Firma für die Herstellung hochwertiger Möbel. Vor 30 Jahren hat er eine kleine Polsterei von seinem Vater übernommen und diese seitdem Schritt für Schritt weiter ausgebaut. Heute besitzt H. Niederlassungen in mehreren europäischen Ländern, auch Übersee in den USA wurde kürzlich eine Produktionsstätte eröffnet.
Der Vertrieb findet sowohl über Wiederverkäufer als auch im Direktverkauf direkt von der Fabrik aus statt.
Wichtigste Grundlage für den Erfolg des Unternehmens ist die Qualität. Noch heute hält sich Herr H. jeden Tag mehrere Stunden in der Produktion des Stammwerkes auf.
Und auch die Kundenbindung wird bei H. großgeschrieben. Regelmäßig werden Gewinnspiele veranstaltet, Kunden erhalten Geburtstagsgrüße oder eine Gratulation zu besonderen Ereignissen wie etwa zur Silbernen oder – wenn auch selten – Goldenen Hochzeit.
Kürzlich startete H. eine sehr erfolgreiche Aktion, in welcher Kinder selbstgemachte Fotos der von H. verkauften Einrichtungsgegenstände über eine spezielle Webseite hochladen und veröffentlichten konnten, die schönsten Fotos wurden prämiert.

Viele Fragen zur DSGVO…

Anfang Juni 2018 trifft in dem Stammwerk, welches zugleich die Hauptverwaltung ist, nun ein Schreiben mit einem für H. sehr ungewöhnlichen Inhalt ein.
Die Absenderin des Schreibens, Frau Petersen aus Hamburg, bezieht sich auf Art. 15 DSGVO (Datenschutzgrundverordnung) und bittet um Auskunft darüber,

  • Welche personenbezogenen Daten über sie gespeichert sind
  • Zu welchem Zweck diese Daten gespeichert sind
  • Welche Kategorien von Daten gespeichert sind
  • An welche Empfänger die Daten weitergegeben wurden bzw. weitergegeben werden sollen
  • Über welchen Zeitraum die Daten gespeichert werden sollen und welches die Kriterien für eine Löschung der Daten sind
  • Über die Herkunft der personenbezogenen Daten
  • Ob die vorhandenen personenbezogenen Daten zur Entscheidungsfindung („Profiling“) verwendet werden und nach welcher Logik dies geschieht
  • Ob die personenbezogenen Daten an ein Drittland übermittelt wurden und welche geeigneten Garantien es diesbezüglich auf Einhaltung des Datenschutzes gibt

Frau Petersen bittet um die kostenfreie Übermittlung der angefragten Informationen.
Ferner fordert Frau Petersen H. dazu auf, sämtliche ihrer personenbezogenen Daten zu löschen und ihr dieses zu bestätigen – wobei sie sich auf Art. 17 der DSGVO bezieht.

… welche beantwortet werden müssen: es drohen drastische Bußgelder

Der Firma H. ist es nun dringend geraten, entsprechende Anfrage ernst zu nehmen und die geforderte Antwort innerhalb von 4 Wochen (in Ausnahmefällen innerhalb von 3 Monaten) zu geben.
Die sich H. hieraus stellende Aufgabe kann, je nach der Struktur der Datenverarbeitung, von einfach zu erledigen bis „fast“ unmöglich erscheinen. Zudem drohen bei einer Nichteinhaltung der DSGVO drastische Bußgelder, welche bis zu 20 Millionen € bzw. 4% des weltweiten Jahresumsatzes gehen können.

Welche Daten sind betroffen?

Zunächst einmal sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Im genannten Fall sind dies beispielsweise Name, Anschrift, Familienstand, Geburtstag, die Bestell- und Zahlungshistorie jedoch auch die von den Kindern hochgeladenen Fotos, wenn hierauf das Umfeld des Kindes erkennbar ist.
Relativ einfach ist die Anfrage zu beantworten, wenn es lediglich ein einziges zentrales IT-System gibt, welches zudem eine entsprechende Funktion zur Verfügung stellt. In der Praxis jedoch dürfte dieser Idealzustand eher die Ausnahme sein.
In den meisten Firmen dürften entsprechende Daten über mehrere Systeme verstreut sein, wozu noch zahlreiche, von den jeweiligen Mitarbeitern selber erstellte, Excel-Dateien oder Access-Datenbanken kommen.
Übrigens handelt es sich auch bei protokollierten IP-Adressen um personenbezogene Daten, da hiermit – zumindest während eines gewissen Zeitraums hinweg – eine Rückverfolgung bis hin zum Inhaber des zu der IP-Adresse gehörenden Anschlusses möglich ist.

DSGVO: Was muss getan werden

Alleinig hierüber eine Übersicht zu erhalten, dürfte vielen Firmen recht schwer fallen.
Nachdem die Daten identifiziert wurden, müssen diese nun in einer für die anfragende Person verständlichen Form dokumentiert werden gemeinsam mit der Angabe, wofür genannte Daten verwendet werden. Auch diese Aufbereitung der Informationen stellt einen nicht zu unterschätzenden Aufwand dar, da die wenigsten Programme über eine solche Funktion verfügen dürften. Zudem dürfen auf der erstellten Dokumentation keine personenbezogenen Daten von Drittpersonen oder Informationen über vertrauliche betriebliche Abläufe erscheinen.
Ein nächster wichtiger Punkt der Anfrage ist die Angabe, wie lange entsprechende Daten vorgehalten werden sollen und wovon die Aufbewahrungsdauer abhängig ist. Die Erstellung entsprechender Richtlinien und deren dokumentierte(!) Einhaltung dürfte hier für jede mit personenbezogenen Daten arbeitende Firma unumgänglich sein.
Auch die Nachfrage über die Herkunft der Daten dürfte in vielen Fällen schwierig zu beantworten sein, da dies nur selten dokumentiert bzw. elektronisch erfasst sein dürfte.
Ebenso muss über die Weitergabe personenbezogener Daten Auskunft erteilt werden. An wen genau wurden welche Daten geliefert? Dies kann beispielsweise ein Steuerberater, eine externe Marketingagentur, ein Abrechnungsbüro oder eine Niederlassung im Ausland sein.
Zusätzlich wird dies kompliziert, wenn die Weitergabe der Daten an Organisationen in Nicht-EU Ländern erfolgt – in diesem Beispiel eine Niederlassung in den USA. Wie stellt die für die Daten verantwortliche Firma sicher, dass auch in Nicht-EU Ländern mindestens das in der DSGVO geforderte Datenschutzniveau eingehalten wird? Im Zweifelsfall müssen hier als Nachweis entsprechende Verträge mit der Nicht-EU Niederlassung vorliegen.
Das „Recht auf Vergessen“ (= das Recht auf Löschen der Daten) ist eine weitere wichtige Anforderung der DSGVO. Bieten die von einem Unternehmen genutzte Sofwareanwendungen eine entsprechend Funktionalität oder zumindest eine Funktion zur Anonymisierung? Was ist mit in Papierform vorliegenden Dokumenten? Alleinig diese Anforderung stellt viele Firmen vor eine große Herausforderung.
Ein weiteres „Fragezeichen“ ergibt sich aus dem oben genanten Fotowettbewerb, in welchem Kinder selbstgemachte Fotos einreichen können. Auch bei diesen Fotos kann es sich um personenbezogene Daten handeln, wenn diese dem einreichenden Kind zugeordnet werden können. Gemäß §8 DSGVO liegt jedoch das Mindestalter für eine Zustimmung zur Verarbeitung personenbezogener Daten bei 16 Lebensjahren. Liegt bei sämtlichen von jüngeren Kindern eingereichten Fotos eine Einverständniserklärung der Erziehungsberechtigten vor? Ist dies nicht der Fall, dürfen die Bilder nicht veröffentlicht werden.

Wo gilt die DSGVO?

Der Geltungsbereich der DSGVO ist sehr weit gefasst. Die Verordnung gilt für alle Firmen, wenn

  • die Firma in einem Staat der EU liegt bzw. eine dortige Niederlassung besitzt (Niederlassungsprinzip) oder
  • Daten von sich in der EU aufhaltenden Personen vorhält oder innerhalb der EU Güter vertreibt oder innerhalb der EU Dienstleistungen anbietet (Marktortprinzip) oder
  • die Datenverarbeitung in einem Drittstaat stattfindet, welcher sich zu einer Anwendung der DSGVO verpflichtet hat (Völkerrechtsprinzip)

Welche Folgen hat die DSGVO konkret für meine Firma?

Dies alles kann an dieser Stelle nicht mehr als einen kurzen Überblick darstellen.
Fakt ist jedoch, dass die DSGVO in der gesamten EU am 25.05.2018 in Kraft tritt und sich die Firmen ab diesem Zeitpunkt und ohne eine Übergangsfrist an die Verordnung zu halten haben.
Ein großer Fehler wäre es zu sagen „Schön und gut, mich selber betrifft dies jedoch nicht“ – dem ist nicht so. Personenbezogene Daten liegen in jeder Firma vor und seien es lediglich die Personaldaten und die Rechnungsadressen von Kunden. Falls noch nicht geschehen, sollte sich jede Firma, jeder Geschäftsführer und jede Geschäftsführerin einer Firma ein entsprechendes Konzept überlegen. Die Folgen bei Nichteinhaltung können drastisch sein und im schlimmsten Fall den Fortbestand der Firma in Frage stellen.

DSGVO speziell für kleine und mittlere Unternehmen

Falls Sie hierbei Unterstützung benötigen, wenden Sie sich gerne auch an uns – die Firma Laempe verfügt seit über 20 Jahren über große Erfahrungen in den Bereichen Datenschutz und Datensicherheit.

49% aller Unternehmen wurden bereits Opfer von erpresserischer Datenverschlüsselung (Ransomware).

Eine von Osterman Research neu veröffentlichte Studie befasst sich mit der immer weiter um sich greifenden Ramsomware-Problematik. Untersucht wurden Auftrittshäufigkeit, Folgen sowie Strategien zur Vermeidung in den 4 Ländern Großbritannien, Kanada, USA und Deutschland.

Nach wie vor wird in vielen deutschen Firmen die von Ramsomware ausgehende Gefahr unterschätzt. In lediglich 19% der befragten Unternehmen wurde Ramsomware als konkrete Gefahr erkannt und Strategien zur Vermeidung festgelegt. Zum Vergleich: in den anderen untersuchten Staaten liegt diese Quote bei jeweils über 50%.

Was ist Ramsomware?

Ramsomware verschlüsselt auf einem betroffenen Gerät vorhandene Dateien, je nach Typ der Ransomware werden auch im Netzwerk befindliche Dateien verschlüsselt. I.d.R. erfolgt die Verschlüsselung mit einem Algorithmus, welcher eine Entschlüsselung der Daten ohne Kenntnis des Verschlüsselungskennwortes nicht zulässt. Nach durchgeführter Verschlüsselung wird das Opfer dazu aufgefordert, ein bestimmtes Lösegeld zu zahlen, um das Entschlüsselungskennwort bzw. ein Werkzeug zur Entschlüsselung zu erhalten.
49 Prozent der in der Studie befragten Firmen waren in den vergangenen 12 Monaten mindestens 1mal Opfer eines diesbezüglichen Angriffs.

Welche Auswirkungen kann Ramsomware haben?

Hat das Opfer keine weiteren Vorkehrungen getroffen, so sind die verschlüsselten Daten verloren, solange nicht – mit ungewissen Ausgang – auf die Erpressung eingegangen wird. Ein vollständiger Verlust relevanter Daten kann bis zur Insolvenz der betroffenen Firma führen.
In der Realität kommt es zu einem totalen Datenverlust eher selten, da bestimmte Schutzmaßnahmen (z.B. Datensicherung) gegen Datenverlust i.d.R. vorhanden sind.
In 74% der deutschen Fälle waren Personen (z.B. Mitarbeiter des Unternehmens oder Kunden) untmittelbar (durch Datenverlust) betroffen.
In 13% der deutschen Fälle kam es zu einem Stillstand der Geschäftstätigkeit / der Produktion, 22% der Angriffe hatten eine negative Auswirkung auf das Betriebsergebnis. In 4% der betroffenen Firmen war der Fortbestand des Unternehmens bedroht.

Wie wird Ramsomware verbreitet?

Hauptsächlicher Verbreitungsweg von Ramsomware sind Emails bzw. in Emails enthaltene Anlagen (zusammen 69%) oder infizierte Webseiten (23%).
In zahlreichen Fällen ist die Herkunft der Ramsomware nicht zu klären.
Ramsomware kann über Desktop PCs (49%), Notebooks (36%), Server (4%) oder auch Tablets/Smartphones (4%) in das Firmennetzwerk gelangen.
Besonders schädlich ist eine Verbreitung über einen Server, da dieser i.d.R. auf sämtliche Netzwerkressourcen / Netzlaufwerke zugreifen kann.
Hat eine Ramsomware das Firmennetzwerk befallen, so sind in >40% der Fälle mehrere Geräte (PCs, Notebooks, Server) betroffen

Welche Strategien gibt es gegen Ramsomware?
„Das eine“ Mittel gegen Ramsomware gibt es nicht, es ist eine mehrstufige Strategie erforderlich.
Grundlage für eine Strategie gegen Ramsomware ist, dass sich das Management des Unternehmens des Risikos bewusst und bereit ist, entsprechende Maßnahmen zu ergreifen. Wozu auch die Bereitstellung eines entsprechenden Budgets gehört.
Zunächst einmal ist es wichtig, die Mitarbeiter des Unternehmens entsprechend zu schulen – insbesondere im bedachten Gebrauch von Email und Internet. Nicht angeforderte Anlagen bzw. Anlagen unbekannter Herkunft sollten mit Vorsicht behandelt werden. Der Gebrauch des Internets ist möglichst sicher zu gestalten, Scriptblocker (z.B. NoScript) und Adblocker helfen, Quellen für Schadsoftware zu blockieren. Selbstverständlich sollte ein aktueller Virenscanner sein.

Auch organisatorisch / netzwerktechnisch kann die Verbreitung von Ramsomware verhindert werden.
Im Netzwerk angemeldete Benutzer sollten nach Möglichkeit nur eingeschränkte Schreibrechte auf das Netzwerk besitzen. Im vom Laempe Risk Management angebotenen Tool Y-TTT beispielsweise benötigt der Benutzer keine Schreibrechte auf das Netzwerk; entsprechende Verbindungen mit Schreibrechten werden softwareseitig ausschließlich aufgebaut und unmittelbar wieder getrennt, wenn auf eine Netzwerkdatei schreibend zugegriffen werden soll.
Über Y-TTT verwaltete Dokumente sind somit wirksam vor Ransomware geschützt.
Serverseitig sind bestimmte Vorkehrungen möglich, welche einen Befall von Ramsomware selbständig erkennen und die Netzwerkverbindung zum befallenen Gerät (z.B. PC oder Notebook) automatisch trennen. Auch hier bietet Laempe Risk Management eine erprobte Lösung.
Grundlage für die Datensicherheit ist eine Datensicherung. Doch auch hier gibt es einige Dinge zu beachten: die ideale Datensicherung ist ausgelagert (wird beispielsweise auf eine angeschlossene USB-Festplatte gesichert, so wird bei einem Befall auch diese verschlüsselt -> die „Datensicherung“ ist ebenfalls zerstört), läuft automatisiert ab und wird täglich kontrolliert. Auch hier bietet Laempe Risk Management mit SAVIA 3000 ein Rundumsorglos Paket.

Ich bin kein Terrorist

Nein, ich bin kein Terrorist. Ich bringe keine unschuldigen Menschen um, ich bestelle mir keine Waffen über das Internet, ich suche auch nicht nach Anleitungen zum Bau von Bomben. Auch stehe ich in keinerlei Kontakt zu irgendeiner Organisation mit diesen Zielen. Ich telefoniere nicht mit Terroristen, noch schreibe ich diesen Emails.
Auf die jüngsten Anschläge reagiere ich mit Abscheu und Entsetzen.
Warum ich dies schreibe?
Nun, weil ich trotzdem von meinem eigenen Staat bis ins Letzte ausgeschnüffelt werde.

Es geht den Staat schlicht nichts an,

  • welche Webseiten ich aufrufe
  • mit wem ich telefoniere
  • wem ich Emails schreibe
  • wo ich mich wann aufhalte

All diese Dinge werden nun jedoch für jeden einzelnen Bürger erfasst. Vollkommen unabhängig davon, ob die Person sich etwas hat zuschulden kommen lassen oder nicht. Jeder ist verdächtig, jeder wird ausgeschnüffelt. Die kürzlich eingeführte Vorratsdatenspeicherung macht es möglich.
Neben diesen „legalen“, jeden einzelnen Bürger betreffenden Überwachungsmöglichkeiten, ist es absolut unüberschaubar, was abseits dieser Möglichkeiten noch geschieht.

They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.
(„Wer wesentliche Freiheit aufgeben kann, um eine geringfügige bloß vorübergehende Sicherheit zu bewirken, verdient weder Freiheit noch Sicherheit.“)

(Benjamin Franklin)

Für all jene, welche sich nicht jener allumfassenden Überwachung unterziehen möchten, gibt es jedoch Möglichkeiten, die Überwachung zumindest wesentlich zu erschweren. Einfache Methoden, von jedermann ohne größeren Aufwand einsetzbar.

Verwenden Sie den TOR-Browser

Nach der Installation ist nicht mehr nachvollziehbar, wann Sie welche Seite aufgerufen haben; Sie surfen weitestgehend anonym. Sie surfen ab sofort über das TOR-Netzwerk, nur mit einem äußerst hohen Aufwand wäre es für einen Dritten nachvollziehbar, welche Daten Sie im Internet aufgerufen haben.

Verschlüsseln Sie Ihre Kommunikation

Zum verschlüsselten Versenden Ihrer Emails bietet sich beispielsweise die PGP Verschlüsselung an.. Auch diese ist einfach einzurichten und bietet ein hohes Maß an Sicherheit, der Aufwand zur Entschlüsselung wäre auch hier sehr hoch.

Auf beide Methoden werde ich in separaten Artikeln eingehen.

Leider gibt es für das Smartphone keine einfache Möglichkeit einer anonymen Verwendung. Führen Sie ein Smartphone mit sich, werden ihre Standortdaten registriert und gemäß der Vorratsdatenspeicherung aufbewahrt. Auch eine anonyme SIM-Karte dürfte hier nicht weiterhelfen, da über Ihre Gesprächspartner Ihre Identität nachvollziehbar ist. Die sicherste Methode lautet hier wohl: Verzicht. Keinesfalls sollten Sie irgendwelche schützenswerten Daten auf Ihrem Smartphone oder in der „Cloud“ ablegen.

Über die Grenzen der Technik

Der Herbst ist da

Der mit Rekordtemperaturen protzende Sommer 2015 gehört endgültig der Vergangenheit an. Zum Herbst gehört Nebel, so auch in Offenburg. Bei der heutigen Fahrt zur Arbeit fiel mir auf: bei zahlreichen, vorwiegend hochpreisigen KFZ war trotz starken Nebels das Licht nicht eingeschaltet. Waren die Autofahrer etwa noch am schlafen?
Nein, sie haben sich lediglich vollständig auf die Technik verlassen, in diesem Fall auf die Lichtautomatik ihres Fahrzeugs. Diese funktioniert über einen Sensor, welcher bei Dunkelheit das Licht einschaltet und es am Tage wieder ausschaltet. Bei Nebel jedoch funktioniert dieser Sensor nicht, die Grenze der Technik ist erreicht. Sogar im Verkehrsfunk kam eine Meldung, doch bitte das Licht einzuschalten.

Seien Sie nicht sorglos…

Ähnliches lässt sich auch im Umgang mit der IT beobachten: Sorglosigkeit, vollständiges Vertrauen auf die vorhandene Technik, welche bisher ja so wunderbar funktioniert hat. Dass hier auch mal etwas schief gehen könnte, dass keine Technik 100% gegen Fehler sicher ist, wird nicht bedacht.
Im oben genannten Beispiel kommt es im „schlimmsten Fall“ zu einem Unfall, da das entsprechende Fahrzeug ohne Licht im dichten Nebel nicht gesehen wird.
Im Falle der IT sind die Auswirkungen in den meisten Fällen zwar nicht lebensbedrohend, können jedoch fatale wirtschaftliche Folgen haben. Was passiert, wenn eine Festplatte ausfällt und die dort gespeicherten Daten verloren gehen? Was geschieht, wenn trotz aller Vorkehrungen ein Virus das System befällt und wichtige Daten löscht oder unwiederherstellbar verschlüsselt?

… sondern sorgen Sie vor.

Die Antwort ist: ohne eine verlässliche, professionell durchgeführte und überwachte Datensicherung kann dies die Existenz der Firma bedrohen.
Verlassen Sie sich nicht blind auf die Funktionalität Ihrer vorhandenen Hard- und Software. Kein Virenscanner bietet 100% Sicherheit, keine Festplatte hält ewig. Halten Sie die Augen auf beim Surfen im Internet, rufen Sie „zwielichtige“ Seiten am besten gar nicht erst auf. Installieren Sie entsprechende Erweiterungen (beispielsweise NoScript) im Browser, welche die Ausführung automatischer Skripte verhindern.
Falls doch einmal etwas passieren sollte: sorgen Sie dafür, dass Ihre Datensicherung professionell durchgeführt und überwacht wird.
Nur so können Sie Ihre Firma vor diesen Risiken schützen. Fahren Sie nicht blind im Nebel, schalten Sie das Licht an.