Der Europäische Gerichtshof hat mit Urteil vom 16.07.2020, Az. C-311/18) das sogenannte „Privacy-Shield“ Abkommen zwischen der EU und den USA für unwirksam erklärt. Damit ist dem Datentransfer in die USA die Grundlage entzogen und der Datenverkehr zwischen den USA und den EU in den meisten Fällen rechtswidrig. Das stellt auch Anbieter wie Google oder Facebook vor Probleme, wenn Sie personenbezogene Daten von EU-Bürgern in den USA verarbeiten wollen. Die Datenverarbeitung in sogenannten Drittländern außerhalb der EU ist nur dann rechtmäßig, wenn in diesen Ländern ein angemessenes Datenschutzniveau herrscht. Für die USA wurde dieses Datenschutzniveau bisher durch das sogenannte Privacy-Shield oder den Abschluss sogenannter Standardschutzklauseln (SCCs) gewährleistet. Wenn US-Unternehmen sich verpflichteten, die Regeln des „Privacy-Shield“ Abkommens zu beachten oder eben die Standardschutzklauseln nutzten, wurde die Datenverarbeitung als rechtmäßig angesehen. Dies hat der EuGH nunmehr als nicht ausreichend angesehen, denn laut EuGH wird in den USA kein ausreichendes Datenschutzniveau gewährleistet. Die US-Behörden hätten zu weitgehende Prüfungsrechte, die Datenzugriffe bei Nicht-US-Bürgern auch ohne richterlichen Beschluss und ohne Rechtsschutz erlaubten. Deshalb liegen die Voraussetzungen des „Privacy-Shield“ Abkommens nicht vor.
Was bedeutet das für Ihr Unternehmen? Folgende Empfehlungen können wir Ihnen momentan dazu geben:
- Wenn Sie Sie Dienstleister aus den USA oder einem anderen Drittland einsetzen, wechseln Sie sofern möglich, den Anbieter für Datenverarbeitungen, falls dieser aktuell in den USA seinen Sitz hat bzw. die Daten dort verarbeitet.
- Achten Sie auch darauf, dass Ihr Dienstleister keine Subunternehmen aus den USA oder einem Drittland einsetzt, die Daten in den USA verarbeiten. Lassen Sie sich das am besten schriftlich bestätigen.
- Wenn Sie weiter Anbieter aus den USA (oder einem anderen Drittland) nutzen möchten, dann fragen Sie nach Servern innerhalb des räumlichen Geltungsbereiches der EU bzw. des EWR, auf denen Ihre Daten verarbeitet werden. Dies ist bei den meisten Anbietern möglich. Hier besteht zwar eine Rechtsunsicherheit, aber es ist momentan eine sicherere Variante, als den Datentransfer in den USA oder ein Drittland zuzulassen.
- Passen Sie Ihre Datenschutzerklärungen und Verträge an und entfernen Sie dabei beispielsweise Hinweise auf das Privacy-Shield. Prüfen Sie, ob Ihre Internetseiten Google Analytics oder Facebook Connect nutzen. Wenn ja, empfehlen wir diese Funktionen vorübergehend zu deaktivieren. Gleichermaßen gilt zu prüfen, dass genutzte Social Media Plugins wie z.B. Share-Buttons, Google-Web Fonts oder You-Tube Videos datenschutzkonform in die Internetseite eingebunden sind. Regelmäßig werden bei der Nutzung solcher Tools personenbezogene Daten der Webseitenbesucher in die USA übermittelt. Die Einbindung solcher Tools wurde von den Aufsichtsbehörden bereits in der Vergangenheit kritisiert. Seit dem EuGH Urteil ist jedoch bis auf weiteres davon auszugehen, dass viele dieser Tools gegen die DSGVO verstoßen. Weiterhin sollte Sie prüfen, ob in der Datenschutzerklärung der Webseite die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war. Sollte dies der Fall sein, sind die Formulierungen der Datenschutzerklärung anzupassen. Die größeren Anbieter (bspw. Google sowie facebook) haben zwischenzeitlich reagiert und ihr Regelwerk an die geänderte Rechtslage angepasst.
Insbesondere bei der Verwendung unserer Datenschutzerklärung ist darauf zu achten, dass die Datenverarbeitung innerhalb des EWR stattfindet. Für unsere Kunden werden wir diese entsprechend anpassen. Im Anhang finden Sie eine Liste mit den inzwischen geänderten Unternehmenssitzen der Verantwortlichen. Sollten Sie andere Anwendungen nutzen bzw. zukünftig vorsehen, sprechen Sie uns hinsichtlich der datenschutzkonformen Nutzung gerne an.
- Zur weiteren Risikominimierung können Sie auch die (transparente) Einwilligungfür den Einsatz von Dienstleistern außerhalb der EU einholen, wobei Sie dann allerdings auf die Risiken einer Datenübermittlung in ein unsicheres Drittland außerhalb der EU hinweisen müssen.
- Keine Erstattung von Abmahnkosten bei Verstößen gegen Informations- und Kennzeichnungspflichten im Internet oder DSGVO bei Unternehmen bis 250 Mitarbeitern
Nach jahrelangem parlamentarischem Ringen wurde vor wenigen Wochen das Gesetz zur Stärkung des fairen Wettbewerbs verabschiedet. Darin finden sich zahlreiche Neuregelungen, die dem Geschäft mit Massenabmahnungen wegen Bagatellverstößen die Grundlage entziehen.
Abmahnungen sollen nicht zur Generierung von Anwaltsgebühren und Vertragsstrafen missbraucht werden. Zu diesem Zweck sollen Mitbewerber bei Verstößen gegen Informations- und Kennzeichnungspflichten im Internet oder bei Verstößen von Unternehmen mit weniger als 250 Mitarbeitern gegen Datenschutz keinen Anspruch auf Kostenerstattung für die Abmahnung erhalten. In diesen Fällen wird bei einer erstmaligen Abmahnung auch die Höhe einer Vertragsstrafe begrenzt und entfällt bei Unternehmen mit weniger als 100 Mitarbeitern ganz.
Mitbewerber können Unterlassungsansprüche daher in Zukunft nur noch geltend machen, wenn sie in nicht unerheblichem Maße und nicht nur gelegentlich Waren oder Dienstleistungen vertreiben oder nachfragen. Online-Shops mit Fantasieangeboten werden damit ebenso ausgeschlossen wie Mitbewerber, die bereits insolvent sind und gar nicht mehr am Wettbewerb teilnehmen.
Auch unseriösen Wirtschaftsverbänden, die zur Erzielung von Einnahmen aus Abmahnungen gegründet werden, wird die Geschäftsgrundlage entzogen. Anspruchsberechtigt sind nur noch Wirtschaftsverbände, die sich – nach Erfüllung bestimmter Anforderungen – auf einer Liste qualifizierter Wirtschaftsverbände eintragen lassen. Die Erfüllung der Anforderungen durch die Wirtschaftsverbände wird durch das Bundesamt für Justiz regelmäßig überprüft.
Abgemahnte können missbräuchliche Abmahnungen in Zukunft durch die Schaffung mehrerer Regelbeispiele für missbräuchliche Abmahnungen leichter darlegen. Eine missbräuchliche Geltendmachung liegt danach insbesondere vor, wenn
- die Geltendmachung der Ansprüche vorwiegend dazu dient, gegen den Zuwiderhandelnden einen Anspruch auf Ersatz von Aufwendungen oder von Kosten der Rechtsverfolgung oder die Zahlung einer Vertragsstrafe entstehen zu lassen,
- ein Mitbewerber eine erhebliche Anzahl von Verstößen gegen die gleiche Rechtsvorschrift durch Abmahnungen geltend macht, wenn die Anzahl der geltend gemachten Verstöße außer Verhältnis zum Umfang der eigenen Geschäftstätigkeit steht oder wenn anzunehmen ist, dass der Mitbewerber das wirtschaftliche Risiko des außergerichtlichen und gerichtlichen Vorgehens nicht selbst trägt,
- ein Mitbewerber den Gegenstandswert für eine Abmahnung unangemessen hoch ansetzt,
- erheblich überhöhte Vertragsstrafen vereinbart oder gefordert werden oder
- eine vorgeschlagene Unterlassungsverpflichtung erheblich über die abgemahnte Rechtsverletzung hinausgeht.
Wer zu Unrecht abgemahnt wird, erhält außerdem einen Gegenanspruch auf Ersatz der Kosten für die erforderliche Rechtsverteidigung. Abmahner müssen die Berechtigung ihrer Abmahnung sorgfältig prüfen, um selbst finanzielle Risiken zu vermeiden.
Der Gerichtsstand der unerlaubten Handlung (sog. fliegender Gerichtsstand) ermöglichte dem Kläger bisher bei nicht ortsgebundenen Rechtsverletzungen, sich das für sie passende Gericht auszusuchen. In Zukunft gilt bei Rechtsverletzungen im Internet und im elektronischen Geschäftsverkehr einheitlich der allgemeine Gerichtsstand des Beklagten (bzw. des zuvor Abgemahnten). Nur in Ausnahmefällen, wenn ein besonderer Bezug zu einem örtlichen Markt vorliegt, kann auch ein Gericht dort und damit außerhalb des örtlich am Sitz des Beklagten zuständigen Gerichts angerufen werden
- CORONA und (wieder) das Homeoffice
Im Moment geht die große Sorge um, dass die zweite Welle zu einem noch größeren Anstieg von Infektionen sorgt. Aus diesem Grund soll hier noch einmal verstärkt das Thema Homeoffice aufgegriffen werden. Nicht nur, weil vielleicht aktuell noch mehr Mitarbeiter als früher im Homeoffice arbeiten, sondern weil es schon in Kürze noch mehr werden könnten. So sollen die Mitarbeiter vor dem Virus geschützt werden. In Zeiten des Coronavirus ist das Arbeiten von zu Hause aus immer mehr in den Mittelpunkt gerückt – auch viele Unternehmen, die sich zuvor in Sachen Homeoffice eher zurückhaltend gezeigt haben und auf die physische Anwesenheit der Mitarbeiter am Arbeitsplatz Wert gelegt haben, haben zwischenzeitlich umgedacht. Normalerweise ist dabei eine langwierige Vorbereitung notwendig. Dank der mobilen Technologien ist das Arbeiten in den eigenen vier Wänden zwar grundsätzlich kein Problem mehr, aber der Schutz personenbezogener Daten und anderer schutzwürdiger Informationen im Homeoffice erfordert besondere Maßnahmen.
Mit den nachfolgenden Empfehlungen möchten wir nochmals darauf hinweisen die Mitarbeiter zu sensibilisieren und klare Regelungen im Umgang mit personenbezogenen Daten im Homeoffice zu schaffen.
Aus der Datenschutzperspektive bedeutet Arbeiten im Homeoffice in erster Linie, dass schutzwürdige Informationen die sichere Umgebung des Arbeitsplatzes im Unternehmen verlassen und somit ggf. die Gefahr steigt, dass sie in die Hände Unbefugter gelangen. Um das zu verhindern, sollten folgende Regelungen für das Arbeiten im Homeoffice eingeführt werden. Dabei sollte dem Arbeitgeber (bzw. seinen Beauftragten) auch das Recht eingeräumt werden, die Umsetzung der Regelungen zu überprüfen. Das heißt, dass Sie sich bei den Mitarbeitern zum Besuch ankündigen, um sich vor Ort davon zu überzeugen, dass diese die Regelungen einhalten:
| • | Nutzung der Arbeitsmittel: Sämtliche Arbeitsgeräte wie Notebook, Tablet, Smartphone und mobile Speicher wie z. B. USB-Sticks dürfen die Mitarbeiter nur für die Erfüllung der dienstlichen Aufgaben verwenden. Eine Nutzung für andere Zwecke ist nicht erlaubt. Die Geräte dürfen auch unter keinen Umständen anderen Personen, innerhalb und außerhalb des Haushalts, zur Verfügung gestellt werden. | |
| • | Sichere Aufbewahrung: Schützenswerte personenbezogene Daten und Geschäftsgeheimnisse sind wie im Unternehmen auch beim Arbeiten im Homeoffice so aufzubewahren und sicher wegzuschließen, dass keine Unbefugten Zugriff auf diese Informationen erlangen können. Dazu gehört auch, Arbeitsmittel wie Notebook, Smartphone oder USB-Sticks sowie Dokumente und Unterlagen, die schützenswerte Informationen enthalten, nicht nur bei längerfristiger Abwesenheit (z. B. nach Feierabend), sondern auch bei vorübergehender Abwesenheit gegen unbefugten Zugriff zu sichern, beispielsweise durch Wegschließen. | |
| • | Keine Weitergabe von Passwörtern & Co.: Anmeldeinformationen wie Benutzernamen und Passwörter dürfen anderen Personen nicht zur Verfügung gestellt werden, zudem dürfen nach erfolgter Anmeldung durch Sie Gerätschaften und Datenübertragungswege nicht zur Nutzung überlassen werden. Passwörter sind jederzeit vor der Kenntnis Unbefugter sicher aufzubewahren. Passwörter sollten nicht auf Zetteln notiert werden. Stattdessen empfiehlt sich der Einsatz eines Passwortmanagers, der beispielsweise auf dem Notebook oder Smartphone installiert wird. | |
| • | Datenübertragung: Sobald Daten übertragen werden (beispielsweise per E-Mail oder in virtuellen Meetings), sind dafür ausschließlich die vom Unternehmen vorgegebenen Datenübertragungsverfahren zu nutzen. Um zu vermeiden, dass schutzwürdige Informationen auf dem Übertragungsweg ausgespäht werden, sind vorhandene Schutzmechanismen wie VPN-Tunnel, Firewall, Virenschutz und WLAN-Verschlüsselung zu nutzen und dürfen nicht deaktiviert oder auf sonstige Weise umgangen werden. | |
| • | Updates: Um Sicherheitslücken zu vermeiden, ist jegliche Software, die zum Einsatz kommt, durch regelmäßige Updates immer auf dem aktuellen Stand zu halten. | |
| • | Verschlüsselung: Um Daten und sensible Informationen zu schützen, sind alle Geräte dem neuesten Stand der Technik entsprechend zu verschlüsseln. Sprechen Sie im Bedarfsfall und bei Unklarheiten die IT-Abteilung an. | |
| • | Telefonieren: Vertrauliches muss immer vertraulich bleiben. Das bedeutet: Auch geschäftliche Telefongespräche sind ausschließlich an Orten zu führen, die vor Mithörern wie beispielsweise Ehepartnern, Freunden oder Familienmitgliedern sicher sind. | |
| • | Verlust von Daten: Werden Unregelmäßigkeiten an Arbeitsmitteln oder bezüglich personenbezogener Daten bzw. Geschäftsgeheimnissen festgestellt, müssen diese unverzüglich an die zuständigen Stellen im Unternehmen gemeldet werden. Dies gilt insbesondere für das Abhandenkommen von Informationen und betrieblichen Arbeitsmitteln sowie die Nutzung von Anmeldeinformationen durch Unbefugte. |
Wenn Sie noch keine Verpflichtungserklärung Ihrer Mitarbeiter fürs Homeoffice erstellt haben, können Sie das nachfolgende Muster nutzen.
„ Verpflichtungserklärung für „Homeoffice“ Tätigkeiten
Name, Vorname, Abteilung: ________________, ________________, _____________________
Personalnummer: ______________________
Vorgesetzter: ___________________________
Aufgrund der aktuellen Entwicklungen bezüglich des Coronavirus und der Lungenkrankheit Covid-19 hat die Geschäftsleitung entschieden, dass Sie Ihrer Arbeitstätigkeit auch außerhalb Ihres betrieblichen Arbeitsplatzes nachkommen können. Dabei gilt: Auch wenn Sie Ihre Aufgaben im Homeoffice erledigen, müssen Sie dafür Sorge tragen, dass personenbezogene Daten sowie Betriebs- und Geschäftsgeheimnisse unseres Unternehmens zu jeder Zeit angemessen geschützt sind. Lesen Sie sich deshalb die folgenden Voraussetzungen, die für die Ausübung Ihrer Tätigkeit am außerbetrieblichen Arbeitsplatz (Homeoffice) gelten, aufmerksam durch und bestätigen Sie mit Ihrer Unterschrift, dass Sie die geltenden Rahmenbedingungen akzeptieren und einhalten.
Ich verpflichte mich dazu, während meiner Tätigkeit im Homeoffice folgende Regeln umzusetzen und stets einzuhalten:
1. Verwendung von Arbeitsmitteln nur für geschäftliche Zwecke
Die mir zur Verfügung gestellten Arbeitsmittel wie z. B. Notebook, Smartphone, Tablet verwende ich ausschließlich für die Erfüllung meiner Arbeitsaufgaben. Ich stelle sicher, dass keine Nutzung für andere Zwecke oder eine Weitergabe an andere Personen zur Nutzung erfolgt.
2. Sorgfältiger Umgang mit schutzwürdigen Informationen
Betriebs- oder Geschäftsgeheimnisse sowie personenbezogene Daten, mit denen ich im Rahmen meiner dienstlichen Tätigkeit am heimischen Arbeitsplatz arbeite, bewahre ich so auf und schütze ich, dass Unbefugte keinen Zugriff darauf haben und keine Kenntnis davon erhalten können.
3. Schutz vor Zugriff durch Unbefugte
Auch bei vorübergehender Abwesenheit werde ich alle Arbeitsmittel und schützenswerte Informationen gegen unbefugten Zugriff schützen und meine Arbeitsunterlagen und technische Arbeitsmittel durch Wegschließen sichern.
4. Jederzeit sichere Datenübertragung
Für die Datenübertragung nutze ich ausschließlich die vom Unternehmen zur Verfügung gestellten Verfahren (z. B. VPN). Vorhandene Schutzmechanismen wie z. B. Firewall, Virenschutz, WLAN-Verschlüsselung sind stets aktuell zu halten, dürfen nicht deaktiviert oder auf andere Art umgangen werden.
5. Durchführen von regelmäßigen Updates
Ich bin dazu verpflichtet und trage dafür die Verantwortung, dass die zur Verfügung gestellten Arbeitsmittel wie Notebook, Smartphone, Tablet regelmäßig in den Räumlichkeiten des Unternehmens an das Netzwerk angeschlossen werden, um Sicherheitsupdates und Programmaktualisierungen durchzuführen.
6. Überprüfung vor Ort
Dem Unternehmen sowie ausdrücklich auch dem betrieblichen Datenschutzbeauftragten des Unternehmens räume ich das Recht ein, sich während der üblichen Arbeitszeiten von der Einhaltung dieser Regelungen in den von mir genutzten privaten Räumlichkeiten zu überzeugen.
7. Verstoß
Ich bin mir bewusst, dass ein Verstoß gegen die hier aufgeführten Regeln arbeitsrechtliche Konsequenzen und Schadensersatzforderungen nach sich ziehen kann.
Die Berechtigung zur Ausübung der Tätigkeit außerhalb des betrieblichen Arbeitsplatzes, sprich das Arbeiten im Homeoffice, erfolgt auf freiwilliger Basis.
Sie kann jederzeit ohne Angabe von Gründen durch das Unternehmen eingeschränkt oder widerrufen werden.
Ort, Datum: ______________ Unterschrift: _________________________“
Mit diesen Maßnahmen haben Sie Ihr Unternehmen und die Mitarbeiter in datenschutzrechtlicher Hinsicht gut auf das Thema Homeoffice eingestellt.
- WINDOWS 7 und Altgeräte
Bereits am 14.Januar 2020 lief der Support für das Betriebssystem Windows 7 aus. Seitdem werden keine Sicherheitsupdates mehr für das Betriebssystem Windows 7 ausgeliefert. Sofern es in Ihrem Unternehmen noch Windows-7-Installationen gibt, sollten Geräte mit dem veralteten Betriebssystem unverzüglich ausgemustert werden, denn ein Betriebssystem ohne neue Sicherheitsupdates birgt große Risiken. Sofern Geräte mit veraltetem Betriebssystem und/oder Hardware noch funktionstüchtig sind, könnte auf die Idee kommen, diese Geräte an soziale Einrichtungen, an Schulen oder Kindergärten zu spenden – und zu Bildungszwecken herrscht bekanntermaßen ein Mangel an IT-Geräten. Hier gilt jedoch unbedingt zu beachten: Vor Abgabe der Geräte müssen die enthaltenen Speichermedien (z. B. Festplatten) sicher gelöscht werden. Beispielsweise durch mehrfaches Überschreiben. Die Löschung der Daten sollte in Ihrem Unternehmen stattfinden. Nur so besteht die Kontrolle des Verantwortlichen darüber, dass eine sichere Löschung wirklich erfolgt. Ansonsten können böse Überraschungen und negative Folgen für das Unternehmen drohen. Nämlich dann, wenn ein mit der Löschung beauftragter Dienstleister seinen Job nicht sorgfältig genug erledigt und im Nachhinein schutzwürdige Informationen in die falschen Hände geraten. Aber auch dann, wenn die Geräte weiter im Unternehmen zum Einsatz kommen sollen, ist es unbedingt erforderlich, dass die darauf gespeicherten Daten sicher gelöscht werden. Damit die Geräte funktionstüchtig bleiben, darf durch den Löschvorgang die Speichertechnik nicht beschädigt oder zerstört werden. Hier bietet sich der Einsatz spezieller Löschprogramme an. Es gibt verschiedene kostenpflichtige Programme, die für eine sichere Löschung sorgen, aber auch Freeware wie z. B. Dariks Boot and Nuke, kurz DBAN, die sich dafür nutzen lässt. Kaufsoftware wie Blancco Drive Eraser oder Miray HD Schredder bietet umfassendere Möglichkeiten (z. B. Löschprotokoll). Die Anschaffungskosten sind dabei überschaubar. Wie viele Male eine Festplatte überschrieben werden muss, ist selbst bei Experten umstritten. Minimum ist einmal. Im Regelfall reicht dreimal, um auf Nummer sicher zu gehen. Bei „harmlosen“ Daten, wie etwa einer Datenbank mit Katalogempfängern, kann das einmalige Überschreiben vollkommen ausreichen. Geht es allerdings um das Notebook des Personalleiters, kann nur das mehrfache Überschreiben der Festplatte die richtige Wahl sein.
Für eine sichere Löschung nicht ausreichend ist, nur bestimmte Ordner wie z. B. „Eigene Dateien“ mehrfach zu überschreiben, denn möglicherweise sind auch an anderen Orten schützenswerte Daten zu finden, wie bspw. in Programmordnern oder sogenannten Temp-Ordnern finden sich beispielsweise Zwischenspeicherungen, Speicherabbilder oder Dateibruchstücke. Wenn der Speicherort und das Dateiformat unbekannt sind, werden diese Daten auch bei intensiver Suche übersehen. Deshalb sollte die Festplatte immer komplett gelöscht werden.
In jedem Unternehmen gibt es auch besonders schützenswerte Daten, die keinen Personenbezug haben. So z. B. Informationen, die sich auf Geräten befinden, die in der Entwicklungsabteilung zum Einsatz kommen – oder die Smartphones oder Notebooks der Geschäftsführung. Bei diesen Geräten ist auf jeden Fall auf Nummer sicher zu gehen: Die Löschung sollte ggf. zusätzlich durch mechanische Zerstörung sichergestellt werden. Dadurch schließen Sie die Nutzbarkeit des Geräts und damit auch die Datenwiederherstellungen physisch aus.
Einfach die Daten zu löschen reicht jedoch nicht aus. Seit Anwendung der DSGVO gilt, dass die Dokumentation nicht fehlen darf. Auch beim Thema Löschen heißt es deshalb: Wenn Daten gelöscht werden, ist dies zu dokumentieren. Idealerweise erstellt ein verwendetes Programm automatisch ein Löschprotokoll. Aber auch andere Möglichkeiten sind denkbar, beispielsweise ein Foto- oder Videoprotokoll. Wichtig ist, dass die Seriennummer der gelöschten Festplatte gut erkennbar ist. Das reicht aus, um im Fall der Fälle eine erfolgte Löschung nachweisen zu können.
Schließlich darauf hinzuweisen, dass die Löschung von Daten eine gesetzliche Pflicht darstellt – die entsprechende Regelung ist z. B. in Art. 17 Abs. 1 DSGVO zu finden.
4. Passwörter – Neues vom BSI
Eine der goldenen Regeln für sichere Passwörter gehört der Vergangenheit an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine zentrale Empfehlung für Passwörter angepasst: Passwörter sollen nun nicht mehr regelmäßig geändert werden. Bislang lautet die Devise für sichere Passwörter: Bloß nicht zu lange dasselbe Passwort benutzen – je häufiger gewechselt wird, desto besser. Diese Auffassung wurde von IT-Experten in letzter Zeit nicht mehr geteilt. So hat die US-Standardisierungsbehörde National Institute of Standards and Technology (NIST) bereits 2017 darauf hingewiesen, dass das häufige Aktualisieren von Passwörtern sogar das Risiko von Hackerangriffen erhöht, weil es beim Ausdenken immer neuer Passwörter dazu führen kann, dass einfachere und damit unsichere Passwörter verwendet werden – und desto leichter haben es die Hacker, das Passwort zu knacken. Das BSI hat nun seine Empfehlung, Passwörter regelmäßig zu ändern, aus seinem IT-Grundschutz-Kompendium gestrichen (Stand: Februar 2020). Die neue Empfehlung des BSI lautet, das Passwort nur dann zu ändern, wenn die Vermutung besteht, dass das Passwort in die Hände Unbefugter gelangt ist.
Um die Anforderungen zu Sicherheit der Verarbeitung aus Art. 32 DSGVO zu erfüllen, die besagen, dass technische und organisatorische Maßnahmen unter Berücksichtigung des Stands der Technik zu ergreifen sind, eine Umsetzung dieser Empfehlung des BSI anzuraten.
Auch vor dem Hintergrund der neuen Empfehlung gibt es einige Punkte, die nach wie vor für sichere Passwörter gelten. Dabei ist auf die nachfolgenden Aspekte zu achten:
Unterschiedliche Passwörter für unterschiedliche Zwecke
Viele Menschen neigen dazu, ein und dasselbe Passwort zur Anmeldung für verschiedene Internet-Plattformen und -Konten zu nutzen. Doch das ist riskant. Denn kommt das Passwort in die falschen Hände, kann sich der Hacker gleich zu mehreren Konten Zugang verschaffen und einen weitaus höheren Schaden anrichten, als wenn für jeden Zweck ein anderes Passwort eingesetzt wird.
Die Länge ist entscheidend
Die Sicherheit eines Passworts hängt vor allem von seiner Länge ab. Je länger das Passwort, desto zeitintensiver ist es für Angreifer, es zu knacken. Mindestens acht Zeichen gelten als Faustregel. Aber: Besser ist mehr! Denn schon bei zwölf Zeichen erhöht sich der effektive Schutz um ein Vielfaches. Ein Passwort bzw. eine Passphrase, die 20 oder mehr Zeichen enthält, ist nur mit einem jahrelangen Zeitaufwand zu entschlüsseln. Das gilt jedenfalls dann, wenn der Nutzer keine gängigen Phrasen wie „DasIstMeinPasswort“ als Passwort nutzt. Die NIST rät zudem, alle Sonderzeichen inklusive Leerzeichen zur Gestaltung von Passwörtern zu erlauben. Das würde Nutzer am ehesten dazu motivieren, keine einzelnen Wörter, sondern ganze Sätze als Passwort zu verwenden. Klar ist: Ganze Sätze oder Reime kann sich jeder viel leichter merken. Ein Aufschreiben ist meist nicht notwendig. Auch besteht kaum ein Risiko, dass sie wie bei komplexen Passwörtern nach längerer Abwesenheit vergessen werden.
Passwörter sind geheim zu halten und vor der Kenntnisnahme Unbefugter zu schützen
Das beste Passwort nützt nichts, wenn es auf einen Zettel notiert am Bildschirm klebt oder unter der Tastatur aufbewahrt wird. Eine Lösung können Passwortmanager -bzw. tresor sein. Hier können verschiedene komplexe Passwörter aufbewahrt werden, und man muss sich nur ein starkes Passwort merken. Dank Verschlüsselung kann kein Unberechtigter darauf zugreifen, sodass Passwörter auch bei Verlust des Geräts nicht in unbefugte Hände geraten.
5. Die Bußgeld Top 10 der EU – und ein neuer Fall
1. 204 Millionen € Strafe gegen British Airways
Datenpanne: Hacker-Attacke auf die Website, Diebstahl von 500.000 Anschriften und Kreditkartendaten der Kunden
Ursache: mangelnde Sicherheitsvorkehrungen, Verstoß gegen Art. 32 DSGVO
2. 110 Millionen € Strafe gegen Marriott International
Datenpanne: Datenleck bei der Marriott-Tochter Starwood, Missbrauch von 339 Millionen Nutzerdaten
Ursache: mangelnde Sicherheitsvorkehrungen, Verstoß gegen Art. 32 DSGVO
3. 50 Millionen € Strafe gegen Google
Datenpanne: mangelnde Transparenz bei der Verarbeitung personenbezogener Nutzerdaten
Ursache: Verstoß gegen Art. 12 DSGVO
4. 18 Millionen € gegen die Post in Österreich
Datenpanne: Sammeln von Daten zu Parteiaffinitäten
Ursache: Datenverarbeitung ohne Erlaubnistatbestand, Verstoß gegen Art. 5 und 6 DSGVO
5. 14,5 Millionen € gegen Immobiliengesellschaft Deutsche Wohnen SE
Datenpanne: Speichern personenbezogener Daten, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist
Ursache: Datenverarbeitung ohne Erlaubnistatbestand, Verstoß gegen Art. 5 und 6 DSGVO
6. 9,5 Millionen € gegen 1&1 Telecom GmbH
Datenpanne: keine hinreichenden technischen und organisatorischen Maßnahmen, um telefonische Anrufer sicher zu authentifizieren
Ursache: mangelnde Sicherheitsvorkehrungen, Verstoß gegen Art. 32 DSGVO
7. 2,6 Millionen € gegen die National Revenue Agency, Bulgarien
Datenpanne: Hacker erhielten Zugang zu der Datenbank des bulgarischen Finanzverwalters, Diebstahl von Millionen personenbezogener Daten von Kunden und sensibler Unternehmensdaten
Ursache: mangelnde Sicherheitsvorkehrungen, Verstoß gegen Art. 32 DSGVO
8. 900.000 € gegen die niederländische Regierungsbehörde UWV
Datenpanne: möglicher Datenmissbrauch wegen fehlender Multi-Faktor-Authentifizierung
Ursache: mangelnde Sicherheitsvorkehrungen, Verstoß gegen Art. 32 DSGVO
9. 645.000 € gegen den polnischen Onlinehändler morele.net
Datenpanne: Datenpanne durch Hackerangriff
Ursache: mangelnde Sicherheitsvorkehrungen, Verstoß gegen Art. 32 DSGVO und fehlende Nachweisbarkeit von einzuholenden Einwilligungen zur Datenverarbeitung
10. 11.000 € gegen die bulgarische DSK Bank
Datenpanne: Missbrauch personenbezogener Daten von über 330.000 Bankkunden, unter anderem auch biometrischer Daten
Ursache: mangelnde Sicherheitsvorkehrungen, Verstoß gegen Art. 32 DSGVO
Darüber hinaus hat auch die Modekette H&M eine Rekordbußgeldaufforderung von 35,3 Millionen € vom Hamburgischen Datenschutzbeauftragte erhalten. Der Grund dafür sind eklatante datenschutzrechtliche Verstöße im Nürnberger Servicecenter des Unternehmens. Über Jahre hinweg haben Vorgesetzte im Privatleben der Beschäftigten herumgeschnüffelt und die dabei gewonnenen Daten systematisch erfasst. So war es beispielsweise Usus, Mitarbeiter nach jeder noch so kurzen Abwesenheit aufgrund von Krankheit oder Urlaub zu einem sogenannten Welcome-back-Gespräch einzuladen. Dabei wurden detailliert Einzelheiten zur Erkrankung, zur Diagnose, zu Reiseerlebnissen und Ähnlichem erfragt. Auch private Details, die zum Beispiel in Flurgesprächen oder in der Kaffeeküche preisgegeben wurden, wurden erfasst und auf einem Netzlaufwerk gespeichert.
Außerdem wurden hier akribisch die Leistungen der Angestellten ausgewertet. So entstanden über die Jahre umfangreiche Profile über das Privat- und Arbeitsleben der Angestellten, die auch bei Entscheidungen über das berufliche Fortkommen eine Rolle spielten.
Teilweise bis zu 50 Führungspersonen hatten Zugriff auf die gespeicherten Daten. Das wäre womöglich endlos so weiter gegangen, wenn es nicht im Oktober 2019 einen Konfigurationsfehler auf dem Server gegeben hätte. Der führte dazu, dass die Daten mehrere Stunden lang im gesamten Unternehmen abrufbar waren. Die Mitarbeiter waren zu Recht empört, viele unterrichteten die Presse. Der Hamburgische Beauftragte für Datenschutz leitete kurz darauf ein Bußgeldverfahren ein. H&M verhielt sich dabei kooperativ und stellte rund 60 GB an Daten zur Verfügung.
Außerdem entschuldigte sich das Unternehmen bei den betroffenen Angestellten und zahlte ihnen einen Schadensersatz in – wie es intern heißt – beachtlicher Höhe. Das Unternehmen hat zudem ein umfassendes Datenschutz-Konzept für den Standort Nürnberg vorgelegt. Ob H&M den Bußgeldbescheid über ganz genau 35.258.707,95 Euro widerspruchslos hinnimmt, ist allerdings noch nicht bekannt.
Am Beispiel H&M wird jedoch deutlich, wie teuer es werden kann, wenn Mitarbeiter den Datenschutz im Unternehmen nicht ernst genug nehmen. Damit meine ich keine kleineren Datenschutzverstöße, zu denen es fast zwangsläufig in jedem Betrieb einmal kommt. Die sind oft einfach menschlich und kaum zu verhindern, werden aber niemals solch drastische Folgen nach sich ziehen. Wenn sich aber einzelne Mitarbeiter oder einzelne Bereiche des Unternehmens eklatant „daneben benehmen“, dann kann das eben wirklich drastische Folgen haben. Achten Sie deshalb auch in Filialen oder anderen Außenposten Ihres Unternehmens darauf, dass auch dort der Datenschutz beachtet wird.
Anhang: Änderung der Verantwortlichkeiten
Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, Irland
https:// https://policies.google.com/?hl=de
Facebook Ireland Ltd., 4 Grand Canal Square Grand Canal Harbour, Dublin 2, Ireland
Instagram (bereitgestellt von facebook Ireland Ltd).
Facebook Ireland Ltd. 4 Grand Canal Square, Grand Canal Harbour, Dublin, 2 Irland
https://help.instagram.com/519522125107875?helpref=page_content
LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland
Pinterest Europe Ltd., Palmerston House, 2nd Floor, Fenian Street, Dublin 2, Irland.
Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2, Irland
