Viren- und Datenschutz

Privacy by Design für Security

| Autor / Redakteur: Oliver Schonschek / Dr. Andreas Bergler

„Privacy“ ist auch ein „Security“-Thema.
„Privacy“ ist auch ein „Security“-Thema. (Bild: © Jakub Jirsk - Fotolia.com)

Der Datenschutz beflügelt das Security-Geschäft. Doch der Schuss kann nach hinten losgehen, wenn die Security-Lösungen selbst gegen den Datenschutz verstoßen.

Der strenge Datenschutz in Deutschland und in der EU ist ein zentrales Thema der IT-Sicherheit in 2017. Wer IT-Sicherheitslösungen verkauft, implementiert oder ­betreibt, kann den Datenschutz als Verkaufsargument nutzen. Es ist aber wichtig, dass die angebotenen Security-Lösungen selbst datenschutzgerecht sind. Automatisch gegeben ist dies nicht.

„Datenschutz oder Virenschutz?“ Eine scheinbar absurde Frage, die das Testinstitut AV-Test in einer Meldung stellte, nachdem die Tester die Datenschutzer­klärungen von 26 Anti-Viren-Lösungen untersucht hatten. Erwarten würde man etwas wie „Kein Datenschutz ohne Virenschutz“, denn der moderne Datenschutz ist ohne die Maßnahmen der IT-Sicherheit nicht durchführbar. Marktforscher erwarten nicht ohne Grund steigende Security-Investitionen in den kommenden Jahren, denn mit der Datenschutz-Grundverordnung (DSGVO) der EU und dem entsprechenden deutschen Ausführungsgesetz (ABDSG, Allgemeines Bundesdatenschutzgesetz) steigen die Anforderungen an die Datensicherheit.

Ergänzendes zum Thema
 
Von Beginn an datenschutzgerecht

Tatsächlich aber musste AV-Test feststellen, dass die rechtlich geforderten Datenschutz­erklärungen bei Anti-Viren-Lösungen keine Selbstverständlichkeit sind, sondern mitunter komplett fehlen oder aber unvollständig sind. Zudem ergab der Test, dass es so manche AV-Schutzlösung nicht so genau mit Datenschutz-Prinzipien wie Datenminimierung (bisher Datensparsamkeit genannt) und Zweckbindung nimmt. Unter den untersuchten Anti-Malware-­Lösungen gab es sehr neugierige, die Daten der Nutzer wissen und verarbeiten wollten, die mit dem eigentlichen Schutzzweck kaum oder gar nichts zu tun haben. So wichtig IT-Sicherheit auch für den Datenschutz ist, eine Freistellung hat die IT-­Sicherheit deshalb noch lange nicht. ­Bereits das bestehende Bundesdatenschutzgesetz (BDSG) verlangt von der IT-Sicherheit die sogenannte Besondere Zweckbindung (§ 31 BDSG): „Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.“

Somit dürfen Nutzerdaten, die im Zuge des Anti-Viren-Schutzes erhoben, gespeichert und verarbeitet werden, nicht ­einfach zu Werbezwecken verwendet ­werden. Eignen würden sich die den IT-Sicherheitslösungen bekannt werdenden Daten unter Umständen schon dafür, wenn man zum Beispiel an die Liste der besuchten Webseiten denkt, die die Vorlieben des Nutzers erkennen lassen. Erlaubt ist die Verwendung solcher Daten zu Werbezwecken dagegen nicht, wenn der Nutzer dem nicht auf Basis einer ausführlichen Information zustimmt (sogenannte informierte Einwilligung).

Verschiedene Security-Anbieter haben sich den Datenschutz explizit auf die Fahnen geschrieben und Funktionen oder Lösungen eingeführt, die den EU-Datenschutz besonders hervorheben. Zwei Beispiele sollen dies illustrieren: Palo Alto Networks betreibt eine europäische Cloud für WildFire in den Niederlanden. „Durch die Inbetriebnahme unserer WildFire EU Cloud stellen wir sicher, dass unsere Kunden auch von den hervorragenden Bedrohungsanalyse-Fähigkeiten profitieren können, während die Dateien innerhalb der EU verbleiben. So können wir ­Bedenken, Daten zu übertragen, aus dem Weg räumen“, so Lee Klarich, Networks Executive Vice President, Product Management, Palo Alto Networks.

Barracuda Networks hat die Verfügbarkeit einer Next-Generation Firewall für Microsoft Azure Deutschland ankündigt. Mit Azure Deutschland gibt Microsoft seinen Kunden eine Option, die Datenspeicherung auf deutsche Rechenzentren zu begrenzen, und erlaubt damit die zusätzliche Wahl, wie und wo ihre Daten ­liegen sollen. Wer sich bewusst für eine Cloud-Lösung unter deutschem Recht entscheidet, sollte sie nicht dadurch aushebeln, dass Teile der Firewall im Ausland liegen, so ein Statement zu der Ankündigung von Barracuda.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44603573 / Compliance und Datenschutz )