Praxistipps zur DSGVO

Seit dem 25.5.2018 gilt in Deutschland die "Datenschutzgrundverordnung" (DSGVO, engl. GDPR). Wie so oft in der Politik waren die Schöpfer des Gesetzes nicht unbedingt Freunde der Realität. Deshalb trifft es gerade die kleinen Betriebe eher hart und verwirrt mehr als es hilft.

Dieser Text ist eine Sammlung von Praxishinweisen, die aus der DSGVO resultieren und für den Datenschutz essentiell sind. Es ist dennoch kein Ersatz für Rechtsberatung, konsultieren Sie auch Ihren Rechtsbeistand.

Aus gutem Grunde habe ich viele der Aspekte schon seit unserer Gründung 2012 versucht konsequent durchzusetzen: Keine Angriffsstellen für Hacker, sichere Passworte, möglichst deutsche Router-Hardware etc. Die folgende Zusammenfassung bezieht sich deshalb nur auf die Technik. Zu Themen wie Impressum, Mail-Signatur, Vertragstexte, Urheberrechte etc. konsultieren Sie bitte Ihren Rechtsberater. Dies kann je nach Branche sehr unterschiedlich aussehen.

Was bedeutet Datenschutz?

Es geht dabei um einen besseren Schutz von "personenbezogenen Daten". Also alle digitalen Informationen, die eindeutig identifizierbar einer Person zugeordnet werden können. Das können u.a. Adressdaten, Kontostände, med. Befunde und sogar Beziehungen untereinander (z.B. bei "Social Media") sein. Selbst automatisch oder über externe Dienstleister erhobene Daten zählen dazu, wie Google Analytics oder Protokolldaten eines Webservers beim Provider.

Unsere IT betreffend besagt die DSGVO, dass wir verantwortungsvoll mit solchen Daten umzugehen haben: Kein unbefugter Dritter darf diese Daten lesen können, selbst wenn er unerlaubt oder zufällig in das System eingedrungen ist. Wir haben für einen ausreichenden Schutz der Systeme zu sorgen und kritische Daten entsprechend zu verschlüsseln, sobald sie über das Internet versendet werden. Das Nervigste bei dem Ganzen ist, dass wir auf noch alle Beteiligten darüber unterrichten müssen, wie wir mit den Daten umgehen. Und dann noch all die unterbeschäftigten Abmahnanwälte…

Wen interessieren schon meine Daten?!?

Sichere Passworte sind das A und O! Und dennoch fokussiert die GSDVO sie nicht deutlich. Nutzen Sie sichere Passworte! Es sollte so sicher sein, dass keine Person, die Ihnen nahe steht oder gelegentlich mit Ihnen direkt oder indirekt zu tun hat, diese erraten kann. Tabu sind Vornamen, Kinder, Ehepartner, Haustiere, Geburtstage etc. Benutzen Sie auch Zahlen und Satzzeichen. Tipp: Nehmen Sie z.B. ein Fantasiewort aus Ihrer Kindheit oder ein Dialektwort und kombinieren Sie es mit einem Kürzel, das auf die Verwendung des Passworts hinweist. Benutzen Sie niemals das gleiche Passwort für verschiedene Dienste! Die meisten Hacker versuchen zuerst einen sog. Wörterbuchangriff. Sie probieren zufällige Kombinationen aus Wörterbüchern als Passwort. Solange, bis sie Glück haben. (Und Sie Pech haben!)

Auch wenn Sie meinen, dass Ihre Daten, die durch das jeweilige Passwort geschützt werden sollen, für andere uninteressant sind – mag sein. Immerhin enthalten sie sicher auch Informationen über Ihre Kunden. Oder stellen Sie sich vor, jemand hackt Ihr Postfach und verbreitet verbotenes Material (Viren, Naziparolen, Kinderpornos etc.). Nicht immer ist eine Manipulation technisch einwandfrei nachweisbar!

Welche Details kommen auf die Homepage?

Klären Sie den Besucher auf, welche Daten von ihm erfasst werden und wie das geschieht, ohne allzu viel Fachjargon. Bitte führen Sie keine technischen Details in Ihrer Datenschutzerklärung oder im Impressum auf! Jeder konkrete Hinweis auf verwendete Produkte kann eine Hilfestellung für Hacker sein. Z.B. kann die Erwähnung einer verwendeten Firewall-Software in dem Moment riskant sein, wenn eine darin enthaltene Sicherheitslücke öffentlich bekannt wird.

iCloud

Gibt man bei der Einrichtung oder bei einem System-Update eine Apple ID ein, so werden automatisch einige Daten über den zugehörigen iCloud-Account synchronisiert. Die Daten landen z.Zt. noch auf einem Server von Apple in den USA. (EU-Standorte sind in Planung.) Je nachdem, welche Vereinbarungen mit Ihren Kunden getroffen wurden, kann das problematisch werden. Prüfen Sie deshalb gründlich die Verwendung der iCloud in solch einem Fall.

Unabhängig davon birgt der Komfort der iCloud noch ein geringes, aber u.U. gravierendes Sicherheitsproblem: Seit iOS 11 und MacOS Sierra (10.12) wird die Zwischenablage über die iCloud synchronisiert! Nehmen wir an, Sie kopieren ein Passwort am Mac vom Passwort-Programm in das Passwortfeld im Browser und Ihr Mitarbeiter benutzt im gleichem Moment ein Firmen-iPad, das mit der selben Apple ID angemeldet wurde. Fügt Ihr Mitarbeiter nun die Zwischenablage im selben Moment in einen Text ein, so wird das von IHNEN kopierte Passwort beim Mitarbeiter eingefügt! Dies lässt sich derzeit nur verhindern, indem man "Handsoff" deaktiviert.

Apps, Social Media und andere Gratis-Dienste

Warum ist Facebook kostenlos, wo es doch enorm aufwendig gemacht ist? Ganz einfach: Ihre Daten sind bares Geld wert! Viele Smartphone-Apps übermitteln unbemerkt große Datenmengen an Dritte. Allem voran WhatsApp und Facebook Messenger. Diese Apps übermitteln das gesamte Adressbuch des Geräts an Facebook, also personenbezogene Daten! Damit könnte allein schon die Installation der Apps laut DSGVO ab sofort strafbar sein. Warum? Nehmen wir an, Sie haben die private Mobilnummer eines ranghohen Geschäftspartners im Adressbuch gespeichert und durch ein "Datenleck" beim App-Anbieter gelangt diese Information in die Öffentlichkeit. Ihr Adressbuch wird als Quelle dessen leicht auszumachen sein.

Grundsätzlich zu überdenken sind auch viele Gratis-Dienste, wie Web Analytics, kostenlose Mail-Anbieter, Online-Speicher, Online-Portale etc. Es wird seinen Grund haben, warum vieles so enorm günstig ist: Ihre Daten!

Internet of Things (IoT)

In den letzten Jahren sind elektronische Helfer immer kleiner und kompakter geworden. Aber: Jedes Gerät mit Netzwerkanschluss kann unter der Haube intime Daten nach aussen tragen. Wir raten dringend davon ab, Geräte die Aufzeichnen könnten oder weiteren Zugriff auf andere Geräte erlangen könnten, dauerhaft am Strom zu lassen. Es gab in der Vergangenheit mehrfach Fälle, in denen Smart-TVs, Sprachassistenten, Kinderspielzeug etc. Gespräche mitgeschnitten haben und an den Hersteller übermittelt haben. Auch eine Firewall schützt davor nicht! Erst recht nicht, wenn solche Geräte Sicherheitslücken aufweisen und gehackt werden.

Mobile Datenträger vermeiden

Das sind u.a. USB-Sticks, selbst gebrannte CDs und DVDs, Speicherkarten (SD-Karten), tragbare Festplatten. Werden hierauf o.g. personenbezogene oder anderweitig sensible Daten gespeichert und gehen diese Datenträger einmal verloren, ist der Schaden meist immens, wenn diese in falsche Hände gelangen. Einzige Ausnahme: Sind die Datenträger verschlüsselt (Passwortgeschützt), ist es überhaupt kein Problem. Aber Vorsicht: bereits gelöschte Daten können oft ohne großen Aufwand wiederhergestellt werden. Also Vorsicht beim "Wegschmeissen"!

Verschlüsselte Datenträger

Die DSGVO schreibt an verschiedenen Stellen verschlüsselte Datenträger vor. Das kann die interne Festplatte eines Rechners sein, eine USB-Platte, ein Server-Speicher etc. Wirklich Sinn macht dies für alle Geräte, die verloren gehen oder geklaut werden könnten. iPhones und iPads sind seit einigen Jahren von Haus aus verschlüsselt, Sie müssen nichts tun. Auf den Macs kann in den Systemeinstellungen unter "Sicherheit" die interne Festplatte mit einem Klick verschlüsselt werden. Bewahren Sie den erzeugten Schlüssel-Code unbedingt sicher auf. Für andere Hardware gibt es Dritthersteller-Software oder ähnliche Mechanismen in deren Systemen. USB-Medien können mit dem Festplattendienstprogramm verschlüsselt werden.

Betrugsversuche durch Mails – Herkunft prüfen!

Leider gibt es inzwischen viele Arten von Mails, die Ihnen Schaden zufügen möchten. Viren, Trojaner, gefälschte Banking-Seiten u.s.w. Egal welches Ziel sie haben, der Trick ist immer der Gleiche: Sie werden durch Zwang oder Zeitdruck zu vorschnellem Handeln verleitet. Sie sollen unbedingt ein Update installieren! Sie müssen sofort Ihre Bankdaten überprüfen! Sie haben eine offene Rechnung sofort zu zahlen! Entweder die angehängte Rechnung ist virenverseucht oder der Link führt auf eine gefälschte Login-Seite. Und schon läuten die GSDVO-Alarmglocken!

Prüfen Sie stets genau die Absenderadresse solcher Mails. Aber ACHTUNG: Die angezeigte Adresse kann täuschen! Bleiben Sie mit der Maus über der Adresse und warten Sie, bis Ihnen die wirkliche Adresse angezeigt wird. Gleiches gilt für Links in solchen Mails. Achten Sie auf versteckte Tippfehler in den Domains! "www.sparkase.de" ist nicht "www.sparkasse.de"! Wichtig ist hierbei der "hintere" Teil der Adresse, also "sparkasse.de" oder "adobe.com". Er steht für den Inhaber. Ein "www." oder "portal." oder "payments." ist unkritisch.

Virenschutz und Apple

Unter Windows ist Virenschutz Pflicht, da hier mit einem einfachen Klick auf "JA" sicherheitskritische Programme installiert werden können. Bei Apples MacOS ist das nicht möglich. Hier muss stets ein Administratorkennwort eingegeben werden. Wenn Sie also eine PDF aus einer Mail öffnen und plötzlich dieses Administratorkennwort verlangt wird, sollten alle Alarmglocken läuten. Es wird Schadsoftware installiert!

Meines Erachtens ist somit eine Virenschutz-Software irrelevant. Denn selbst wenn sie läuft, können Sie mit der Eingabe des Administratorkennworts den Schutz umgehen. Und eine Firewall hilft hier im Übrigen auch nur selten.

Auf iPhone und iPad gibt es übrigens keinen echten Virenschutz, da Apple es den Apps nicht erlaubt, andere Apps zu überwachen. Sofern man seine Apps nur aus dem App Store installiert, sind diese aber ausreichend auf Schad-Code geprüft.

Leichtsinn im CC strafbar?

Wenn Sie eine Mail an mehrere Kollegen schicken möchten, fügen Sie diese ins "CC" ein. Ergebnis: Jeder sieht, wer dabei ist. Schicken Sie eine Einladung zum Firmenfest an Ihre Kunden raus und setzen alle ins CC, ist das fatal und auf Ihrer Party könnte ein Abmahnanwalt eine Runde auf's Haus ausgeben. Fügen sie deshalb unbedingt alle Kunden ins BCC (Blindkopie) ein und sich selbst als normaler Empfänger. So sehen die Teilnehmer sich nicht gegenseitig, sondern nur Ihre Adresse als Absender und Empfänger.

Externe Backups

Datensicherheit heisst auch Sicherheit im Schadensfall. Seit Jahren raten wir zu einem Backup der wichtigsten Daten ausser Haus, falls ein Brand oder Diebstahl stattfindet. Für den Brandfall genügt ein Backup in einem anderen "Brandschutzabschnitt". Das kann im Nachbargebäude oder zuhause sein. Gegen Diebstahl hilft ein geographisch genügend entferntes Ziel oder ein guter Tresor. Backups können entweder per Festplatte verwahrt werden oder automatisch übers Internet. Wir bieten hier günstige Lösungen per NAS an. In einzelnen Fällen können auch Cloud-Dienste verwendet werden, sofern diese DSGVO-konform handeln. Deren Server sollten in Deutschland stehen, um dem deutschen Recht zu entsprechen.

Gelöschte Daten – ein Leben nach dem Tod?

Nehmen wir an, Sie haben ein Backup auf einer USB-Platte von Ihrer Buchhaltung erstellt. Die Platte wird Ihnen zu klein, sie löschen diese und geben sie im Recyclinghof zur Entsorgung ab. Ein anderer findet die Platte noch gut genug, um sie weiterzuverwenden. Mit einer einfachen Software zum "Wiederherstellen gelöschter Dateien" (meist für Speicherkarten von Kameras erhältlich) findet er Ihr Backup mit sämtlichen Kundendaten und freut sich wie ein Schnitzel.

Hier gilt: Wäre die Platte verschlüsselt gewesen, käme niemand mehr an die Daten heran ohne den Schlüssel zu kennen. Möchte man wirklich sicher gehen, kann man alle Datenträger "sicher löschen". Dazu einfach das Festplattendienstprogramm auf Ihrem Mac öffnen, die Platte auswählen und unter "Löschen" diese Option anwählen.

Bei Smartphones und Tablets gibt es diese Möglichkeit meist nicht. Hier kann man sich mit einem einfachen Trick behelfen: Nehmen Sie so lange Video(s) bei verdeckter Kamera und Mikro auf, bis der Speicher voll ist und löschen Sie danach einfach das Video.

Weitere branchenspezifische Hilfe

Da viele Branchen lt. GSDVO unterschiedlich hohe Anforderungen an die Technik haben, bieten oftmals Verbände, Kammern, Gewerkschaften etc. weitere Hilfestellung an. Fragen Sie einfach dort nach oder besuchen Sie einen der angebotenen Kurse. Man wird Sie vielleicht erschlagen mit Vorschriften und Sie wünschen sich die Steintafeln zurück. Keine Angst, zeigen Ihnen, wie Sie die GSDVO beherrschen, nicht umgekehrt.

Übrigens…

Wir MACANIKER erfassen auf unserer Website keinerlei personenbezogene Daten. Keine Cookies, kein Tracking, kein Google Analytics, kein Facebook! Ihre Daten werden ausschliesslich auf unserer eigenen Hardware gespeichert und niemals auf fremden Systemen. Lediglich zur Versandabwicklung werden ggf. an Hersteller oder Lieferanten Adressdaten weitergegeben, sofern Sie dem ausdrücklich zugestimmt haben. Alle unsere digitalen Ressourcen sind mit fiesen Passworten gesichert und von aussen nur gut geschützt erreichbar. Wir halten dies nicht erst seit dem 25.5.2018 so. Wir sind der Meinung, dass man erfolgreiche Geschäfte auch ohne "digitales Stalking" abwickeln kann.