Datenschutz und -sicherheit (Transskript)
Jügen Toss sagte: „Datenschutz ist im Zeitalter der Informationsgesellschaft eine unverzichtbare Bedingung für das Funktionieren jeglichen demokratischen Gemeinwesens.“
Hallo,
wir stellen euch Datenschutz und Datensicherheit im E-Commerce vor. Zwei Bereiche die eng mit einander verbunden sind. Zum Aufbau des Vortrags:
Da das Thema recht umfangreich ist, konzentrieren wir uns auf die Grundlagen, um genauer zu sein, die Arten von Daten, Grundsätze des Datenschutzes sowie die Konsequenzen von Missverhalten und allgemeinen Rechte der Verbraucher. Wir beleuchten also nur einen kleinen Teil der jeweiligen Bereiche. Datenschutz rund um Mitarbeiter könnte sicherlich eine ganze Präsentation füllen und auch die einzelnen Artikel bzw. Paragraphen lassen wir außen vor.
Im Feld der Datensicherheit beleuchtet Johann die technischen und organisatorischen Maßnahmen, | und zum Schluss noch ein paar Handlungsempfehlungen für den optimalen Schutz.
Datenschutz
Beim Datenschutz sollen, wie schon im Wort enthalten, unsere Daten vor Missbrauch aller Art geschützt werden. Daten haben eine ungeheure Macht und mit ihnen lässt sich viel Geld verdienen.
Mit dem Recht auf Selbstbestimmung bzw. Würde des Menschen müssen daher unsere personenbezogenen Daten geschützt werden, um einen Missbrauch, eine Diskriminierung etc. zu verhindern. Regelungen dazu waren im Bundesdatenschutzgesetz (BDSG-alt) festgehalten und wurden mit dem in Krafttreten der Datenschutzgrundverordnung am 25 Mai 2018 ersetzt, bzw. wurden in nationale Gesetze im BDSG-neu umgewandelt und ergänzt. In ihr ist auch geregelt, dass über jede Art der Erfassung, ihren Umfang und Zweck informiert werden muss (Telemediengesetz §13) und dass der Nutzer jederzeit Zugriff auf die Datenschutzerklärung haben muss. Sie darf sich also nicht im Impressum verstecken und muss klar als Datenschutz oder Datenschutzerklärung gekennzeichnet sein (Negativbeispiel: bbs-lingen-wirtschaft.de).
Der Datenschutz setzt, bevor die Informationen überhaupt vorliegen, an.
Arten von Daten
Wir hatten sie gerade schon angesprochen. Die personenbezogenen Daten. Sie sind Daten, die eine natürliche Person beschreiben bzw. identifizierbar machen und sind besonders zu schützen. Dazu gehören unter anderem:
- Name, Geburtsdatum, Adresse, Staatsangehörigkeit,
- Versicherungsnummern,
- Bankdaten,
- IP-Adressen, Cookies, GPS-Standortdaten,
- Geschlecht, Haut-, Haar-, Augenfarbe,
- Besitztümer,
- Online-Kundendaten,
- Bildungs- und Berufszeugnisse.
Besonders personenbezogene und damit extrem sensible Daten sind:
- die ethnische und kulturelle Herkunft
- alle politischen, religiösen und philosophischen Ansichten
- sowie genetische und biometrische Daten wie Fingerabdruck, Venen oder Iris.
Die Erhebung vollständig anonymisierter Daten ist also kein Problem. Ein Beispiel ist die Aufstellung eines allgemeinen Nutzerprofils der Website. Das Geschlecht, die Altersspanne, die Region, die Interessen etc.
Hingegen befinden sich pseudoanonymisierte Daten, also ein Datensatz, dem anstatt eines klar zuweisbaren Namens oder einer ID, ein Pseudonym zugewiesen wird, in einer Grauzone, da die Zusammensetzung aus Geschlecht, Region, Alter etc. evtl. auf eine Person schließen lässt. Deswegen muss auf die Erhebung und das Recht des Widerspruches hingewiesen werden.
Grundsätze
Verbot mit Erlaubnisvorbehalt
Generell ist es verboten irgendwelche Daten zu speichern, allerdings mit geregelten Ausnahmen. Zudem müssen alle gespeicherten Daten nach Ablauf der Notwendigkeit direkt gelöscht werden. Außerdem sind Daten ausgenommen, für die eine Aufbewahrungspflicht gilt, wie zum Beispiel bei Belegen für die Buchhaltung.
Zweckbindung
Die Erhebung von Daten ist ausschließlich für die vertraglich festgehaltenen Bedingungen oder die mit der Nutzung eines Mediums einhergehenden Daten zulässig. Die Daten sind also an ihren Zweck gebunden und müssen somit, wie gerade erwähnt, unmittelbar danach gelöscht werden. Auch die Weitergabe an Dritte ist untersagt. Ausgenommen sind Polizeibehörden für die Strafverfolgung, und auch für die Abrechnung dürfen notwendigerweise Daten weitergegeben werden.
Datenminimierung
Nach den Grundsätzen der Datenvermeidung und -sparsamkeit dürfen nur Pflichtangaben wie eine E-Mailadresse oder Versandadresse, aber nicht die Telefonnummer, verlangt werden.
Transparenz und Hinweispflicht
Auch diese Punkte sprachen wir vorhin schon an. In der Datenschutzerklärung muss in leicht verständlicher Sprache jede Protokollierung von Daten beschrieben werden, und je nach Art muss auch eine Einwilligung (Datenschuzteinwilligung [4]) der Nutzer erhoben werden und ihnen die Möglichkeit gegeben werden, dieser jederzeit zu widersprechen. Außerdem müssen Datenschutzmaßnahmen im Verarbeitungsverzeichnis dokumentiert werden.
Vertraulichkeit
Die Daten müssen vor Verarbeitung, Veränderung, Vernichtung oder Diebstahl anderer, technisch und organisatorisch geschützt werden. Dies ist ein Bereich der Datensicherheit, auf den wir gleich zu sprechen kommen. Hierzu bietet die DSGVO keine klaren Handlungsempfehlungen, es lässt sich aber festhalten, dass umso vertraulicher die Daten sind, umso größeren Schutz sie brauchen. Generell brauchen sie auch mehr und sicherere Schutz- und verschlüsselungsmaßnahmen. Im Zweifel entscheidet nämlich ein Gericht, ob die ergriffenen Maßnahmen ausreichend waren oder ob eine Strafe verhängt wird. Zu denen kommen wir nämlich jetzt.
Meldepflicht
Datenpannen müssen innerhalb von 72 Stunden nachdem sie dem Unternehmen auffallen an die Betroffenen und die zuständige Behörde gemeldet werden.
Kopplungsverbot
Unternehmen dürfen Leistungen nicht mit der Einwilligung zur Abgabe von Daten, die für die Leistung nicht erforderlich sind, verpflichten.
Strafen
Nach dem Artikel 83 des DSGVOs, sind hohe Geldstrafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes zu verhängen, wenn die Datenschutzregeln missachtet werden.
Ordnungswidrige Handlungen sind insbesondere solche, die absichtlich, vorsätzlich oder fahrlässig …:
- den Absender oder den kommerziellen Charakter einer Nachricht verschleiern oder verheimlichen,
- den Nutzer nur unvollständig oder gar nicht über die Art der Datenerfassung informieren,
- gegen die gesetzlichen Bestimmungen personenbezogene Daten erheben, verarbeiten, speichern oder nicht rechtzeitig löschen,
- ein Nutzungsprofil mit Daten über den Träger des Pseudonyms zusammenführen.
Rechte der Nutzer
Neben dem Schadensersatzanspruch gelten auch die sogenannten Betroffenenrechte
- Auskunftsrecht über Herkunft, Speicherzweck und Empfänger
- Recht auf Vergessenwerden (Löschungsrecht)
- Berichtigungsrecht (falsche Angaben müssen berichtigt werden)
- Recht auf Datenübertragbarkeit (Die Daten müssen mit zu einem anderen Dienst mitgenommen werden können)
- Widerspruchsrecht, gegen die Nutzung der Daten für Direktwerbung kann ohne Grund Widerspruch eingelegt werden, der auch umgesetzt werden muss. Für andere Fälle muss ein plausibler Grund angeführt werden.
- Recht auf Einschränkung der Verarbeitung, wenn der Nutzer damit rechnet, den Dienst später wieder nutzen zu wollen, kann er für den Zeitraum die Einschränkung der Verarbeitung beantragen oder auch wenn eine Löschung der Daten nicht möglich ist, weil der Anbieter diese Aufbewahren muss, kann der Nutzer die Verarbeitung einschränken.
Auftragsverarbeitung
Ein externes Unternehmen wie ein Zahlungsanbieter wie Paypal, verarbeitet Daten des Nutzers und die Verantwortung liegt noch beim beauftragten Unternehmen, dem Webseitenbetreiber. Über die Verarbeitung und Übertragung der benötigten Daten muss ein Vertrag mit dem externen Unternehmen geschlossen werden, wobei sich das externe Unternehmen natürlich verpflichtet sich die DSGVO zu halten. Genaueres ist im Art. 28 geregelt und hier einmal aufgelistet:
- Gegenstand und Dauer der Verarbeitung.
- Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten. Art der Daten und Kreis der Betroffenen.
- Garantierung der technischen und organisatorischen Maßnahmen.
- Berichtigung, Löschung und Sperrung von Daten.
- Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
- Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers.
- Verpflichtung der Mitarbeiter des Auftragnehmers zur Vertraulichkeit.
- Mitwirken bei Datenschutz-Folgenabschätzungen und Meldepflichten.
- Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
- Zusammenwirken bei Anfragen und Ansprüchen von betroffenen Personen
- Ausmaß der Weisungsbefugnisse, welche sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
- Rückgabe von Datenträgern sowie Löschung gespeicherter Daten nach Auftragsbeendigung.
Fazit
Zusammenfassend lässt sich sagen, dass neben einer jederzeit zugänglichen Datenschutzerklärung man auch eine Einwilligung des Nutzers braucht, um DSVGO konform Verkaufsvorgänge abzuwickeln. Dabei sind viele Regelungen zum Schutz der Verbraucher zu beachten und alles ist gut zu dokumentieren, um hohen Bußgeldern aus dem Weg zu gehen. Wie die Datensicherheit, die ja auch teilweise Inhalt des Datenschutzes ist, zum Datenschutz beiträgt und was das ist erklärt euch jetzt Johann.
Datensicherheit
Bei der Datensicherheit liegt das Augenmerk auf der technischen Seite, also wie die Daten geschützt werden. Im Gegensatz zum Datenschutz werden hier alle Daten betrachtet. Sie werden vor Unbefugten, u. a. auch Serveradmins, geschützt (Vertraulichkeit). Des Weiteren wird ihre Richtigkeit in Hinblick auf Manipulationen (Integrität) sichergestellt und vor Datenverlust unter dem Stichwort „Data Loss Prevention (DLP)“[9] gesichert, sodass der allzeit mögliche Abruf gegeben ist (Verfügbarkeit).
Prinzipien
„Privacy by Design“
- Datenschutz von Anfang an mit einbauen
- Mit möglichst wenig Daten auskommen können
„Privacy by Default“
- Datenschutz freundlichste Einstellung als Standard
Datenschutz-Folgeabschätzung (DSFA)
Um das Risiko zu minimieren, müssen Schutzmaßnahmen gegen die möglichen Szenarien aus der Risiko-Abschätzung getroffen werden. Vor allem beim Cloud-Computing, also dem Nutzen fremder Infrastruktur wie AWS, Google Cloud oder Google Firebase sowie medizinischen Daten. Dies ist gleichzeitig auch ein Teil des Datenschutzes, es lässt sich nicht ganz trennen.
TOM
Unterschied
Technische Maßnahmen sind alle Schutzversuche ⇒ 1. bauliche Maßnahmen wie
- Umzäunung des Geländes
- Sicherung von Türen und Fenstern
- Alarmanlagen
Oder 2. Soft- und hardware-Maßnahmen wie
- Benutzerkonto
- Passworterzwingung
- Logging (Protokolldateien)
- biometrische Benutzeridentifikation
Zu den organisatorischen Maßnahmen gehören Schutzversuche, die durch Handlungsanweisungen und Verfahrens- und Vorgehensweisen umgesetzt werden. Beispiele hierfür sind:
- Besucheranmeldung
- Arbeitsanweisung zum Umgang mit fehlerhaften Druckerzeugnissen
- Vier-Augen-Prinzip
- festgelegte Intervalle zur Stichprobenprüfungen
Schutzmaßnahmenkategorien
- Zutrittskontrolle (Verhindern, des Betretens des Geländes)
- Zugangskontrolle (durch Authentifizierung an den Geräten)
- Zugriffskontrolle (Berechtigungen der Mitarbeiter und Schutz vor Kopie der Daten)
- Weitergabekontrolle (Bei der Weitergabe der Daten darf nicht mitgelesen werden)
- Eingabekontrolle (Nachvollziehung der Eingabe, Änderung der Daten: Protokolle, Versionsverlauf)
- Auftragskontrolle (dass sich an die Verträge gehalten wird: z. B. Stichproben)
- Verfügsbarkeitskontrolle (Backups, Schutz vor Zerfall, Zerstörung)
- Trennungsgebot (Trennung nach unterschiedlichen Zwecken)
Handlungsempfehlungen
Zum Schluss wollen wir noch auf grobe Handlungsempfehlungen eingehen. Zuerst die der Clients, also Nutzer einer Website.
Clients
Als erstes sollte sich auf nichts und niemanden verlassen werden, denn es gibt keine garantierte Sicherheit. Früher oder später wird man von einer Datenpanne betroffen sein. Deswegen sollten auch so wenig persönliche Daten wie möglich preisgegeben werden. Das fängt bei den zusätzlichen optionalen Feldern wie der Telefonnummer an und geht über den echten Namen, das Geburtsdatum oder auch die E-Mailadresse. Es empfiehlt sich eine E-Mail-Adresse für Bewerbungen, Kontakte und Bankingdienste wie Paypal und Onlinebanking zu haben sowie eine mit Pseudonym für Spiele, Apps oder ähnliches. Als nächstes gilt, um bei Datenleaks oder gezielten Hackerangriffen größeren Schaden zu vermeiden, die Wahl eines zufälligen, anderem, mindestens 12 Zeichen langen Passwortes für jeden Dienst und der Aktivierung der 2FA. Da das Merken bei so vielen zusammengewürfelten Kombinationen unmöglich ist, kann ein Passwortmanager Abhilfe verschaffen. Auch bei der Verbindung ist aufzupassen. So hilft das sicherste Passwort nichts, wenn es einfach über eine unverschlüsselte Verbindung mitgelesen werden kann. Deswegen sollte man sich nicht in öffentlichen W-Lans einloggen und auf das kleine Schloss neben der URL achten, dass die Nutzung eines sicheren SSL-Zertifikates bescheinigt.
Bei der Programmierung unserer heutigen komplexen Anwendungen, kommt es immer mal wieder zu Sicherheitslücken, die mit Updates geschlossen werden. Deswegen ist das Updaten des Betriebssystems und des Browsers genauso wichtig. So hat Microsoft zum Beispiel eine kritische Sicherheitslücke im Internet Explorer zugegeben, die es den Angreifern ermöglicht, die volle Kontrolle über den Rechner durch das Ausnutzen der Speicherverwaltung des IEs zu gelangen. Zusätzlich kann ein Trackingblocker wie UBlockOrigin, die Verfolgung durchs ganze Netz, und damit die Erstellung eines genauen Nutzerprofils der Werbepartner verhindern.
Server
Die Maßnahmen, die man selbst ergreifen kann, sind sicherlich sinnvoll, bauen aber auch auf die der Serveradmins auf. Auch für sie gilt es, Updates einzuspielen und damit ein Mindestmaß an Datensicherheit zu gewähren. Das gilt natürlich auch für das Betriebssystem, den Webserver, die Programmiersprachen, den Datenbankserver und alle weiteren Anwendungen. Nebenbei sorgen sie auch für einen Performanceboost. Beim Programmieren sollte sorgfältig und klar strukturiert gecodet werden. Das macht die Instanthaltung einfacher und ermöglicht es Fehler schneller zu finden. Dabei kann eine IDE (integrated development environment) helfen. Sie weist einen auch auf veraltete Techniken hin. Dazu müssen natürlich auch die einfachsten Angriffe, wie die SQL-Injection, bedacht und verhindert werden, denn bei solchen Fahrlässigen Fehlern sind hohe Bußgelder zu erwarten. Auch sollten ungenutzte Ports geschlossen werden, da sie ein weiteres Sicherheitsrisiko darstellen.