:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Praxisfälle Datenschutz-Grundverordnung Häufige Datenschutzmängel bei E-Mail und Fax-Versand
Viele Unternehmen befürchten Datenschutzverstöße bei dem Einsatz neuer Technologien. Doch in Wirklichkeit gibt es bei klassischen Verfahren wie E-Mail und Fax immer noch viele Probleme. Die Aufsichtsbehörden berichten über entsprechende Versäumnisse im Datenschutz, die sie festgestellt haben. Wir geben einen Überblick, worauf man im Datenschutz bei Mail und Fax besser achten muss.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Neuigkeiten erhalten in der Regel mehr Aufmerksamkeit als Themen, die schon seit Jahren bekannt sind oder sein müssten. Das gilt für die Schlagzeilen in der Tagespresse genauso wie im Datenschutz. Viele Unternehmen denken zuerst an Cloud Computing, Künstliche Intelligenz (KI) oder das Internet der Dinge (IoT), wenn es um vergessene Datenrisiken geht. Tatsächlich bestehen in den eher noch unbekannten, neuen Technologien viele Risiken für den Datenschutz.
Trotzdem behandelt dieser Artikel Techniken und Verfahren, die eigentlich allen Unternehmen wohlvertraut sind, E-Mail und Fax-Versand. Nur weil Kommunikationsverfahren seit vielen Jahren benutzt werden, heißt es nicht, dass dort alles im Datenschutz zur Zufriedenheit verläuft. Das Gegenteil ist der Fall: Klassische Verfahren wie Mail sind sehr weit verbreitet, die Fax-Nutzung ist nicht ausgestorben, auch wenn es manchmal den Eindruck macht.
Es wäre deshalb riskant, nicht genau hinzuschauen, wie es denn im Datenschutz bei Mail und Fax aussieht. Mehrere Aufsichtsbehörden für den Datenschutz haben dies gemacht und sind auf viele Probleme und Versäumnisse gestoßen, die auch zu einer Einstufung als Datenschutzverletzung nach Datenschutz-Grundverordnung (DSGVO) führen können.
Unerlaubte E-Mail-Werbung ist nicht alles
E-Mail und Datenschutz führt (zu Recht) erst einmal zu der Assoziation unerlaubte Werbung per Mail. „Seit Geltung der Datenschutz-Grundverordnung erreichen uns viele Beschwerden zum Thema E-Mail-Werbung“, erklärt zum Beispiel das Landesamt für Datenschutzaufsicht in Bayern. Dabei ist es nicht so kompliziert zu ermitteln, ob eine E-Mail-Werbung zulässig ist oder nicht. Doch viele Unternehmen machen hierbei Fehler.
Werbung per E-Mail kann bei Bestandskunden auf der Basis des Artikel 6 Abs. 1 Buchst f DSGVO erfolgen, also die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Ansonsten geht E-Mail-Werbung nur mit Einwilligung der betroffenen Personen. Dies gilt sowohl für Verbraucher (B2C) als auch für Unternehmen (B2B), wie die Aufsichtsbehörde betont. Man kann und sollte sich also merken: E-Mail-Werbung ist grundsätzlich nur mit vorheriger, informierter Einwilligung des Betroffenen erlaubt, es sei denn, dass alle Voraussetzungen des § 7 Absatz 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) erfüllt sind.
Aber auch bei dem Versand von Mail und Fax zu anderen Zwecken als Werbung kann man Fehler im Datenschutz begehen und diese passieren auch häufig.
Verschlüsselung ja oder nein
Trotz aller Lösungen für die Verschlüsselung von E-Mails werden weiterhin die meisten Mails unverschlüsselt übertragen. Dazu sagt zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht (BayLDA): „Nach Art. 32 DSGVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden. Dieses wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Wir sehen es so, dass bei einem hohen Risiko neben einer (opportunistischen) Transportverschlüsselung (einfache Einstellung am Mail-Server) zusätzlich eine Inhaltsverschlüsselung (z. B. PGP, PDF mit Passphrase, ZIP-Datei mit Passwort, ...) umzusetzen ist. Bei keinem hohen Risiko sehen wir eine (opportunistische) Transportverschlüsselung als ausreichend an.“
Was aber macht man bei einer Fax-Sendung, zum Beispiel wenn ein Arzt einen medizinischen Befund als Fax verschickt? Hierzu sagt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit: „Eine Übermittlung medizinischer Befunde wie Diagnosen oder Arztbriefe per Fax an weiterbehandelnde Ärzte ist zulässig. Die Übermittlung dieser Daten und Informationen unterliegt gemäß §88 Telekommunikationsgesetz (TKG) dem Fernmeldegeheimnis und erfolgt insofern gesichert. Das Verschlüsseln eines Faxes ist technisch nicht möglich und aufgrund von §88 TKG auch nicht erforderlich.“
Trotzdem nennen Aufsichtsbehörden Maßnahmen, wenn vertrauliche Daten per Fax verschickt werden sollen: Um die datenschutzrechtlichen Bestimmungen bei einer Faxübersendung aus organisatorischer Sicht einzuhalten, rät die Aufsichtsbehörde, sich vom ärztlichen Empfänger des Faxes schriftlich bestätigen zu lassen, dass die übersandten Daten in seiner Arztpraxis bzw. seinem ärztlichen Verantwortungsbereich vor dem Zugriff Dritter (unbefugter Personen) geschützt sind und dass nur das medizinische Fachpersonal der jeweiligen Arztpraxis Zugriff auf diese Daten bzw. den per Fax übersandten Arztbrief hat.
Nicht alle Aufsichtsbehörden sehen FAX-Nachrichten als geeignet an: Unverschlüsselte E-Mails und Fax-Dienste sind nicht für die Übertragung personenbezogener Daten geeignet, sagt zum Beispiel die Datenschutzaufsicht in Bremen.
Fax-Historie als Datenrisiko
Müssen in Multifunktionsgeräten (Drucker, Scanner, Fax) gespeicherte Faxprotokolle gelöscht werden, wenn diese weiterverkauft werden? Dieser Frage hat sich der Sächsische Datenschutzbeauftragte angenommen. Die Antwort: Sollten sich Zielfaxrufnummern in der Sendehistorie der zum Verkauf stehenden Geräte befinden, die einer natürlichen Person als Anschlussinhaber zugeordnet sind, handelt es sich bei den insoweit gespeicherten Informationen stets um personenbezogene Daten. Da für diese keine Übermittlungsbefugnis besteht, wären diese Daten also vor einer Weiterveräußerung zu löschen. Eine geräteseitig fehlende – einfache – Löschroutine bzw. der zur Löschung notwendige (wirtschaftliche) Aufwand befreien nicht von dieser Verpflichtung.
Die Aufsichtsbehörde hat einen Tipp zur Umsetzung: Die Erfahrung lehrt, dass sich in vielen Geräten zumindest verborgene Löschroutinen verbergen, die eine schnelle und damit vertretbare Bereinigung der Sendehistorie erlauben. Nachfragen beim Hersteller oder im Fachhandel werden empfohlen.
Weitergabe der Mail-Adresse an Dritte
Auch wenn Kunden gerne wissen wollen, wann ihre bestellte Ware bei ihnen ankommt: Die Übermittlung von E-Mail-Adressen durch Onlinehändler an Postdienstleister ist nur bei Vorliegen einer Einwilligung der Kunden in eben diese Übermittlung rechtmäßig.
Die Praxis hat gezeigt, dass es vielen Onlinehändlern möglich ist, die Zustellinformationen selbst an den Kunden weiterzugeben bzw. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung einzubinden.
Besonders häufig kommt es zum Fehlversand und Offenlegung
Bei den bei der Datenschutzaufsicht für NRW vorliegenden Meldungen nach Art. 33 DSGVO (Datenschutzverletzung) handelt es sich häufig um Fehladressierungen von Postsendungen, nicht verschlossene Briefumschläge, Fehladressierungen von E-Mails oder auch den Versand von E-Mails mit offenen Verteilerlisten. Das ist auch in anderen Bundesländern ein Problem.
So berichtet der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Die Gründe für „Datenlecks“ sind vielfältig, allerdings dominiert mit 275 Meldungen der Versand von Postsendungen oder E-Mails an den falschen Adressaten.
Eine Vielzahl der 2019 an die zuständige Datenschutzaufsicht gesandten Datenpannenmeldungen betraf Arztpraxen aus Baden-Württemberg. Eine interne Auswertung der Aufsicht ergab, dass in einer Top 7-Liste der häufigsten Ursachen gemeldeter Pannen der Postfehlversand auf Platz 1 rangierte, der E-Mail-Fehlversand auf Platz 3, die Versendung einer E-Mail mit offenem Adressverteiler auf Platz 5 und der Fax-Fehlversand auf Platz 7.
Ein Beispiel dafür aus Bremen für eine andere Branche: Ein Notariat versandte aufgrund eines Tippfehlers in der E-Mail-Adresse einen Kaufvertragsentwurf an eine falsche, völlig unbeteiligte fremde Person und meldete diese Verletzung des Schutzes personenbezogener Daten an die Aufsicht. Der richtige Empfänger wurde über diese Verletzung nach Artikel 34 Datenschutzgrundverordnung unterrichtet.
Ein anderes, typisches Problem wird dagegen hier sichtbar: Gleich drei Mal hintereinander hatten Mitarbeiterinnen und Mitarbeiter eines Kreditinstituts beim Versand eines Veranstaltungs-Newsletters die personifizierten E-Mail-Adressen der Privat- und Geschäftskunden nicht im verdeckten Sendefeld "BCC" eingetragen, sondern das offene Sendefeld "CC" genutzt. Damit wurden jeder einzelnen Empfängerin beziehungsweise jedem einzelnen Empfänger des Newsletters die personifizierten E-Mail-Adressen aller angeschriebenen weiteren Empfängerinnen und Empfänger offengelegt.
Offensichtlich geht es hier um Benutzerfehler und um Probleme bei der Umsetzung einer datenschutzgerechten Organisation für die Nutzung von Mail und Fax. Hier sind Mitarbeiterschulungen und klare Benutzerrichtlinien entscheidend, je nach Bereich können technischen Lösungen helfen (wie die Klassifizierung der Daten und eine Zwangsverschlüsselung).
Wer also Themen für die Mitarbeitersensibilisierung im Datenschutz sucht, sollte nicht nur an den richtigen Cloud-Datenschutz denken, sondern auch an so alltägliche Dinge wie Fax und Mail, bei denen immer noch viele Datenpannen auftreten.
(ID:46687266)
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954391/original.jpg "Direktwerbung ist nach DSGVO nicht grundsätzlich verboten, auch wenn man in der Datenschutz-Grundverordnung keine spezifischen Vorgaben zum Thema Werbung findet. (Production Perig - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1915600/1915626/original.jpg "Entscheider in Politik und Wirtschaft sollten nicht der Versuchung erliegen, den Datenschutz pauschal für Fehlentwicklungen und Probleme verantwortlich zu machen. (mixmagic - stock.adobe.com)")