Ranking: Die zehn größten Bedrohungen für die IT-Sicherheit

30. März 2015

Informationssicherheit bedeutet die Gewährleistung sowohl des Datenschutzes hinsichtlich personenbezogener Daten als auch des Schutzes von Geschäfts- und Unternehmensgeheimissen. Nahezu jegliche sensible Daten – seien sie privater oder geschäftlicher Natur – werden heutzutage digital erhoben, verarbeitet und genutzt. Entscheidend für den Schutz von Informationen sind daher mehr denn je Maßnahmen und Eigenschaften der IT-Sicherheit. Doch wovon gehen die größten Gefahren für die IT-Sicherheit aus?
Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) hat unter Bezugnahme auf einen entsprechenden Report der European Network and Information Security Agency gerade ein Ranking der zehn größten Gefahren für die IT-Sicherheit erstellt:

1. Demnach sind es Trojaner und Würmer, die der IT-Sicherheit am gefährlichsten werden. Malware also, die sich in Computersystemen bewegt, indem sie sich entweder selbst verbreitet oder an eine scheinbar nützliche Datei versteckt anhängt, um von dort aus sensible Daten zu übertragen oder infizierte E-Mails zu verschicken. 350.000 solcher IT-Schädlinge tauchen im Internet auf – pro Tag! Der BITKOM empfiehlt als Schutz nicht nur aktuelle Versionen von Anti-Viren-Programmen, sondern gibt den Expertenratschlag (insbesondere für Unternehmen und Organisationen) weiter, Abwehrmaßnahmen über Endgeräte hinaus auch in der Netzwerkarchitektur zu implementieren.
2. Platz zwei der Liste macht webbasierte Schadsoftware aus, die sich beim Aufrufen manipulierter Websites über veraltete Versionen von Plug-Ins wie Java, Flash oder den Acrobate Reader herunterlädt (sog. Drive-by-Downloads), um dann im infiltrierten System Viren und Co. alle Pforten zu öffnen. Allein im Jahr 2014 ließen sich 145 Millionen solcher Websites identifizieren. Schützen kann man sich laut BITKOM, indem man von solchen Plug-Ins stets nur die aktuellste Version verwendet.
3. Bronze geht an infizierte Websites und mobile Apps für Smartphones oder Tablets. Solchen werden Codes eingefügt, die u.a. sensible Login-Daten ausspähen können (sog. SQL-Injection). Man kann dem vorbeugen, indem im Browser Plug-Ins wie Java oder Flash deaktiviert werden, und man nur Schadsoftware-geprüfte Apps aus offiziellen App-Stores bezieht.
4. Platz 4: Botnetze – aus mehreren Computern bestehende Netzwerke, die der sog. Botmaster kontrolliert. Dieser kann Passwörter oder persönliche Daten ausspähen, über das Netzwerk Spam- oder Phishing-Mails versenden u.a. BITKOM rät Nutzern, aktuelle Software und die neueste Virenscanner inklusive Firewall zu verwenden. Informationen dazu unter http://www.botfrei.de.
5. Es folgen Denial-of-Service-Attacken (Angriffe zur Blockierung eines Dienstes). Dabei werden Webserver oder Internetdienste mit Datenpaketen überflutet, bis diese schließlich nicht mehr erreichbar sind. Ausgeführt werden solche Angriffe von einzelnen Computern oder auch Botnetzen (s. 4.).
6. Zwar insgesamt rückläufig, aber immer noch gefährlich: Spam. Diese unerwünschten E-Mails machen immerhin Dreiviertel des gesamten E-Mail-Verkehrs aus. E-Mails mit gefälschten Absendern werden dabei häufig infizierte Dateien oder ein Download-Link für Schadsoftware angehängt. Trotz Spam-Filtern der jeweiligen Provider, die potenziell gefährliche E-Mails aussortieren, ist Vorsicht geboten. Mails unbekannter Herkunft sollten nie geöffnet werden.
7. Ebenfalls um gefälschte E-Mails dreht sich auch das Phishing. Solche enthalten Links zu bekannten Websites, mit der Aufforderung, sich dort einzuloggen. U.a. mittels unbekannten Trojanern können Kriminelle dann die Identität der Opfer samt zugehörigen Zugangsdaten beispielsweise zum Online-Banking ermitteln. BITKOM hält die Nutzer an, E-Mails stets kritisch zu hinterfragen. So bitten Banken und andere Unternehmen ihre Kunden niemals per E-Mail, vertrauliche Daten im Netz einzugeben. Diese E-Mails oder solche mit unbekanntem Dateianhang sollten umgehend gelöscht werden.
8. Auch für technische Laien zu benutzen, und nicht zuletzt daher gefährlich sind Viren-Baukästen (sog. Exploit-Kits), mit denen sich verschiedenste Schadsoftware individuell entwickeln lässt.
9. Ausnahmsweise keine Gefahr aus dem Internet, sondern so analog wie vermeidbar ist der physische Verlust von Daten. Immer mehr mobile Endgeräte wie Notebooks, Tablets und Smartphones werden gestohlen oder gehen verloren. Vor allem sensible Daten sollten unbedingt so gesichert werden, dass in einem solchen Falle Dritte auf diese keinen Zugriff bekommen. Passwortgesicherter Zugang zu den Geräten und Datenverschlüsselung sind dabei unersetzbar. Geräte im Online-Modus können zudem auch per Remote-Zugriff bedient oder gesperrt werden, was vor allem für dienstlich genutzte Geräte vorab eingerichtet werden sollte.
10. Noch in die Top-Ten sortiert der BITKOM den Datenverlust als solchen ein. Beschreibt dieser wohl eher die Folge einer Cyber-Attacke oder des physichen Abhandenkommens von Daten, dürfte jedem Nutzer dennoch klar sein, was Datenverlust bedeuten kann: Verlust vertraulicher persönlich oder geschäftlich sensibler Informationen, Missbrauch von Kreditkartendaten, Konto-Abbuchungen im Online-Banking, Schädigung der individuellen oder Unternehmensreputation usw. usf.

Natürlich ist diese Liste nicht abschließend. Aber Anlass zur Frage bietet sie allemal: Wie sicher ist die IT-gestützte Verarbeitung von Daten in Ihrem Unternehmen vor Gefahren von außen?

Telekom/VAG: „Handyschwarm hilft Straßenbahn“

Der öffentliche Nahverkehr in Nürnberg soll mit Hilfe von Schwarmdaten smarter und noch attraktiver für die Fahrgäste werden, teilte die Deutsche Telekom mit. In einem Pilotprojekt nutze die VAG Verkehrs-Aktiengesellschaft Nürnberg als erstes Verkehrsunternehmen Deutschlands anonymisierte Mobilfunkdaten der Deutschen Telekom, um eine bessere Datenbasis zur Optimierung ihres Verkehrsangebots zu erhalten. Die anonymisierten Mobilfunkdaten würden als aggregierte Schwarm- und Massendaten für die Verkehrsstatistik verwendet. Die Kenntnis über die Verkehrsströme sei eine wesentliche Grundlage für die Streckennetz- und Kapazitätsplanung sowie die Gestaltung von Fahrplänen.

Das zugrundeliegende Verfahren zur Anonymisierung der Mobilfunkdaten sei von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Voßhoff geprüft und als datenschutzkonform und rechtlich einwandfrei bewertet worden, so das Unternehmen. Der Anonymisierungsprozess laufe in einem Hochsicherheits-Rechenzentrum der Deutschen Telekom ab. Eine Weitergabe von personenbezogenen Daten an Dritte finde nicht statt. Die anonymisierten und aggregierten Daten würden ausschließlich an Motionlogic, ein Tochterunternehmen der Deutschen Telekom, übergeben. Motionlogic sei auf Datenanalysen spezialisiert und verfüge über das nötige Know-how, um auf der Basis großer Mengen anonymer Daten belastbare Aussagen über Verkehrs- und Bewegungsströme zu erstellen.

Die Datenanalysen könnten mit drei zusätzlichen, ebenfalls anonymisierten Informationen zu Kunden (sog. CRM-Daten) ergänzt werden: Geschlecht, Altersgruppe in 10-Jahresschritten und Heimatregion. Für Verkehrsunternehmen könne diese Datenkombination z.B. hilfreich sein, um besser zu verstehen, welche Kundengruppen wann und wo am Verkehr teilnehmen und darauf basierend neue Angebote zu entwickeln. In enger Abstimmung mit den Datenschutzbehörden habe man eine Lösung entwickelt, die zukünftig anonymisierte Mobilfunkdaten mit anonymisierten CRM-Daten ergänzen kann, ohne dass dadurch Rückschlüsse auf einzelne Mobilfunknutzer möglich sind.

Trotz der vollständig datenschutzkonformen Verarbeitung werde die Deutsche Telekom keine persönlichen Daten von Kunden in das Verfahren einbringen, wenn Kunden dies grundsätzlich nicht möchten. Dazu habe die Telekom freiwillig die Möglichkeit eines sogenannten „Opt-Out“ geschaffen: Kunden können die Nutzung ihrer persönlichen Daten für diesen Zweck jederzeit unterbinden.

Kunden der Deutschen Telekom stehe bis zum 01.06.2015 online und telefonisch (0800/0005608) ein „Ausschaltknopf“ zur Verfügung, um die Verwendung der drei persönlichen Daten im Modell der Deutschen Telekom in Form von Geschlecht, Altersgruppe und Postleitzahl abzustellen.

UN-Sonderberichterstatter für den Datenschutz

Der UN-Menschenrechtsrat hat sich in seiner 28. Sitzung am vergangenen Freitag zu der Etablierung eines Sonderberichterstatters für das Recht auf Privatsphäre entschlossen. Er wird das Recht auf Vertraulichkeit und Datenschutz repräsentieren und in der Welt sichern. Die Entschließung wurde von Deutschland und Brasilien initiiert, die damit vor allem das nach der Aufdeckung der NSA-Affäre ausgesprochene Ziel weiter verfolgen, vertrauliche Kommunikation im Besonderen und Datenschutz im Allgemeinen zu einem der Kernthemen des UN-Menschenrechtsrates zu machen.

Voraussichtlich ab Juni und zunächst für drei Jahre soll der Berichterstatter seine Arbeit aufnehmen, die u. a. darin bestehen wird, einen Bericht über die Lage des Rechts auf Privatsphäre in den Mitgliedstaaten anzufertigen und sodann auch Empfehlungen dahingehend auszusprechen, wie dieses Recht in der digitalen, vernetzten Welt effektiv durchgesetzt werden kann. Dabei soll er auch die staatlichen Überwachungspraktiken beobachten.

Einige Staaten, darunter auch die USA, äußerten sich teilweise kritisch gegenüber der Entschließung. Es bleibt zu hoffen, dass sie die Arbeit des Sonderberichterstatters nicht zu behindern versuchen werden.

 

Veröffentlichung des Tätigkeitsberichts des Bayerischen Landesamtes für Datenschutzaufsicht

26. März 2015

In dieser Woche hat das Bayerische Landesamt für Datenschutzaufsicht seinen Tätigkeitsbericht für die Jahre 2013 und 2014 veröffentlicht. Neben einem Überblick über die allgemeine Tätigkeit der 17 Personen umfassenden Behörde werden hier zahlreiche Einzelfälle zu Datenschutzthemen der letzten Jahre dargestellt. So schildert der Bericht unter anderem die Bemühungen der Behörde, zu prüfen, welche Daten Smart TVs über ihre Nutzer an Hersteller und Dritte melden. Zu diesem Thema, welches auch medial in den letzten Monaten Beachtung fand, führte die Behörde eigene Tests durch, deren Ergebnisse letzten Monat veröffentlicht wurden. In diesen konnte dargelegt werden, dass bereits beim Einschalten des Fernsehers Daten an verschiedene Server verschickt wurden und letztlich eine komplette Ausforschung des TV-Verhaltens möglich ist. Auch zu weiteren Themen wie Fahrzeugdaten, Videoüberwachung und Beschäftigtendatenschutz gibt die Behörde einen interessanten Einblick in ihre Tätigkeit. Insgesamt zeigt sich, dass Bürger immer öfter den Kontakt zu den Aufsichtsbehörden suchen und diese dann auch eigene Ermittlungen durchführen und in vielen Fällen auch Bußgelder verhängen. Die staatliche Aufsicht über die Einhaltung des Datenschutzes, dieser Eindruck entsteht, wurde in den letzten Jahren immer engmaschiger und effektiver.

Auskunftei Infoscore nimmt nach Kritik Online-Selbstauskunft vom Netz

25. März 2015

Nachdem zuletzt mehrere Medien wie NDR Info oder Spiegel Online darüber berichtet hatten, dass die Auskunftei  Infoscore Consumer Data GmbH (ICD) datenschutzrechtliche Mängel bei der Erteilung von Selbstauskünften erkennen ließ, hat diese reagiert und die Online-Mieterselbstauskunft vorerst vom Netz genommen.

NDR Info, die der Sicherheitslücke zuerst auf die Spur gekommen waren, monierten konkret, dass es zur Auskunft über personenenbezogene Daten keiner Vorlage einer Kopie eines Personalausweises bedurfte. Die Risiken dieses Vorgehens sind offensichtlich: Weitestgehend problemlos bestand somit die Möglichkeit für unbeteiligte Dritte sich Auskünfte über Negativdaten von betroffenen Personen zu organisieren. Hierzu mussten lediglich Name, Geburtsdatum und Anschrift einer Person angegeben werden. Eine zusätzlich abgefragte Handynummer konnte problemlos auch auf eine andere Person gemeldet sein und bot so keine Kontrollfunktion.

Kategorien: Allgemein
Schlagwörter:

Datenpanne bei Infoscore

Wie der NDR berichtete, kam es jüngst zu einer Datenpanne bei der Infoscore Consumer Data GmbH (Infoscore).

Die Bertelsmann-Tocher Infoscore unterhält eine Datenbank mit circa 40 Millionen Informationen zu negativen Zahlungsverhalten von über 7,8 Millionen Verbrauchern.

In datenschutzrechtlich unzulässiger Weise hat Infoscore das Auskunftsverfahren für Mieter gestaltet. Mit einer Auskunft von Infoscore können Mietinteressenten ihren potentiellen Vermietern ihre Liquidität nachweisen. Wie der NDR recherchierte, genügte es zum Erhalt einer Auskunft über eine Person, dass lediglich deren Name, Adresse und Geburtsdatum zur Identifizierung angegeben wurden.

Informationen über das negative Zahlungsverhalten von Verbrauchern stellen personenbezogene Daten dar, die besonders geschützt werden müssen. Können unbefugte Dritte Kenntnis von diesen Informationen erlangen, sind die Betroffenen nicht nur in ihrem Recht auf informationelle Selbstbestimmung sondern auch an ihrer Reputation geschädigt. Deswegen obliegt es der datenverarbeitenden Stelle geeignete technische und organisatorische Maßnahmen zu treffen, durch welche die Daten vor dem Zugriff Unbefugter geschützt sind. Allein die Angaben von Name, Adresse und Geburtsdatum stellen jedoch keine ausreichenden Schutzmaßnahmen dar. Ohne großen Aufwand können diese Informationen über eine Person von Dritten in Telefonbüchern oder sozialen Netzwerken ermittelt werden. Vielmehr muss  von der Auskunftei sichergestellt werden, dass der Auskunftsantragsteller identisch mit der Person ist, deren Daten betroffen sind. Die Authentifizierung kann beispielsweise mittels der online Identifizierungsfunktion des Personalausweises oder durch Übermittllung einer Kopie des Personalausweises der betroffenen Person vorgenommen werden.

Aufgrund der Aufdeckungen des NDR hat nach dessen Bericht zufolge Infoscore die betroffene Datenbank vorerst offline geschaltet.

 

Kategorien: Allgemein
Schlagwörter:

UN-Sonderberichterstatter für Datenschutz

23. März 2015

Die Bundesrepublik Deutschland setzt sich im Menschenrechtsrat der Vereinten Nationen in Genf für die Schaffung einer neuen Stelle eines Sonderberichterstatters für Datenschutz ein. Zum Abschluss der 28. Tagung des Gremiums brachte eine breite Koalition aus europäischen und südamerikanischen Ländern einen entsprechenden Entwurf ein. Wie heise.de berichtet, wird dieser begründet mit der „tiefen Besorgnis über die negativen Effekte der Überwachung und Ausspähung der Kommunikation„. Die im Zuge der NSA-Affäre wieder aufgeflammte Diskussion über Massenüberwachung und Vorratsdatenspeicherung führte zu einer breiten Unterstützung von 65 NGOs, die die Schaffung einer solchen Stelle fordern. Aufgabe des Sonderbeauftragten soll in erster Linie die Beobachtung und Dokumentation von Datenschutzproblemen in allen UN-Mitgliedsländern sowie die Erstellung von Berichten hierzu sein. Ob eine solche Stelle tatsächlich geschaffen wird, dürfte entscheidend von der Haltung der so genannten „Five Eyes“, also der Geheimdienstallianz von USA, Großbritannien, Kanada, Neuseeland und Australien, abhängen. Im Rahmen der Diskussion wurde auch die Frage aufgeworfen, inwieweit die massenhafte Speicherung von Metadaten datenschutzrechtlich zu bewerten ist. Diese Frage dürfte auch in der momentanen Planung zur Vorratsdatensspeicherung in Deutschland bald wieder heiß diskutiert werden.

Barbie meets Datenschutz

19. März 2015

Die Barbie-Puppe – der Spielzeugklassiker der Firma Matell. Seit 1959 geht Barbie stets mit der Zeit und orientiert sich an aktuellen (Mode-) Trends. Das gilt auch für das digitale Zeitalter. So hat es die beliebte Puppe zu ansehnlichem Erfolg bei Konsolenspielen und in Animationsfilmen gebracht. Medienberichten zufolge soll Barbie in diesem Jahr auch interaktiv und vernetzt in – zunächst US amerikanische – Kinderzimmer einziehen. Ganz im Stile von Siri soll die Puppe mit einer Spracherkennung und Internetkonnektivität ausgestattet werden. Eltern sollen über das Smartphone die Bedienung der Puppe nicht nur steuern, sondern auch auf die auf einem Server gespeicherten Sprachdaten zugreifen und diese löschen können. Die Gespräche sollen mit einer Spracherkennungssoftware ausgewertet werden, damit die Puppe möglichst genaue Antworten erwidern kann, berichtet heise online.

So amüsant es zunächst klingen mag, das Thema ist von außerordentlicher datenschutzrechtlicher Brisanz. Die kritischen Fragen sind seit Siri bekannt: Auf welchen Servern liegen die Sprachdateien? Wer hat Zugriff? Liegt eine Ermächtigung zugrunde, um die Daten zu sammeln und zu verarbeiten? Werden sie eventuell sogar an Dritte weitergegeben, um gezielte Werbung zu versenden, um Persönlichkeitsprofile zu erstellen? Was geschieht mit Umgebungsgeräuschen und Informationen, die nur zufällig aufgenommen werden? Alles bekannte Risiken, die jeder vollmündige Nutzer selber abwiegt, wenn er ein entsprechendes Spracherkennungsprogramm verwendet. Doch Barbie ist ein Spielzeug, naturgemäß – abgesehen von ein paar Liebhabern und Sammlern – somit ein Gebrauchsgegenstand für Kinder. Oder anders gesagt: Ein (nicht nur) datenschutzrechtlicher Risikococktail getarnt in einem harmlosen Kinderspielzeug. Deshalb schlagen bereits besorgte Eltern und Jugendschutzorganisationen Alarm, bevor es zu einer Serienproduktion der Puppe kommt. Die Campaign for a Commercial Free Childhood (CCFC) sieht in dem Spielzeug eine Gefährdung der Privatsphäre. Die Puppe ist in der Lage, sensible Informationen über das soziale Umfeld des Kindes, deren Entwicklung und Vorlieben zu sammeln. Eine Auswertung solcher Daten ist zum Beispiel für die Werbeindustrie von unsagbarem Wert. Soziologisch und psychologisch betrachtet, besteht hierin sogar ein hohes Manipulations- uns Missbrauchspotential an den Daten. Die „Opfer“: Kinder. Und diese sind bekanntlich besonders schutzbedürftig.

Natürlich stehen mit dem Einzug internetfähigen Spielzeugs in Kinderzimmern die Eltern in der Verantwortung und in der Pflicht, ihre Schützlinge zu schützen. Wie schwierig jedoch die Umsetzung im Alltag ist und wie oft Eltern und Pädagogen sich ob der digitalen Gefahren überfordert fühlen, ist schon von Smartphone, Apps, Social Media & Co. bekannt. Es geht also auch und vor allem um die Internetkompetenz der Eltern. Brisanz gewinnt das Thema nun dadurch, dass es sich um einen Gebrauchsgegenstand gezielt für Kinder handelt, die Gefahr also nicht unbedingt bewusst wahrgenommen wird, sondern als Begleiterscheinung eines pädagogischen Werkzeugs (Puppe) in Erscheinung tritt.

Kategorien: Online-Datenschutz · Social Media · Tracking
Schlagwörter: , ,

Yahoo: On-Demand-Passwörter für einen einfachen Log-In

16. März 2015

Der Internet-Konzern Yahoo bietet künftig seinen US-amerikanischen Nutzern ein neues Anmeldekonzept an, das ohne die Eingabe eines konventionellen Passworts auskommt und lediglich die Eingabe eines automatisch generierten Einmal-Passworts (On-Demand-Passwort) erfordert, welches vor dem Log-In per SMS auf das Mobiltelefon des jeweiligen Nutzers gesendet wird. Ein zusätzlich- es Hauptpasswort ist nicht erforderlich. Dem Nutzer wird so das Ausdenken und das Merken eines (weiteren) Passworts erspart – zugleich wird sichergestellt, dass das Passwort hinreichend sicher ist. Dies soll der erste Schritt auf dem Weg, Passwörter endgültig abzuschaffen, sein.

Kategorien: Allgemein
Schlagwörter: ,

Rechtsrisiken für Cloud User

Die Cloud ist Realität – rechtlich aber im Detail umstritten. Was also ist für die Zukunft in Hinblick auf Haftungsfragen zu beachten, wenn in absehbarer Zeit kaum praktische Alternativen zur Datenhaltung in der Cloud existieren und schon heute die Cloud wirtschaftlich betrachtet für viele konkurrenzlos günstig erscheint?

Immer wieder, so etwa auch auf den MS Cloud Events in diversen deutschen Städten im Herbst 2014, wird auf die datenschutzrechtliche Problematik der Internationalität der Cloud verwiesen. Jedenfalls in Bezug auf „sensitive Daten“, also z.B. Gesundheitsdaten, sei die Internationalität ein rechtliches Problem bei der Datenhaltung in der Cloud. Diese Problematik wird jedoch nicht einmal von allen Aufsichtsbehörden für Datenschutz so gesehen.

Mitunter unterschätzt hingegen wird der in der Natur der Cloud begründete rechtliche Kritikpunkt an der fehlenden Datenherrschaft des Cloudnutzers und an den fehlenden Kontrollmöglichkeiten gegenüber dem Cloud-Provider. Wo sind die Daten genau jetzt? Werden technisch erforderliche Vervielfältigungen, wie es das Gesetz erfordert, gelöscht? Kann sich der Cloudnutzer von der Datensicherheit bei seinem Provider höchstpersönlich ein Bild machen? Dieses Problemfeld ist klar zu benennen und wenig hilfreich erscheint es, wenn festgehalten wird, dass „klassische Datenschutz-Sichtweisen im Datenschutz in der Cloud nicht funktionieren“. Umgekehrt kommt man der Wahrheit näher: die der Cloud eigenen Funktionsweisen werden vom Gesetz, was die erwähnten Kontrollmöglichkeiten betrifft, jedenfalls in Europa bisher nicht anerkannt. Denn der Gesetzgeber verlangt nun einmal Kontrolle über den Dienstleister, dem man eigene oder fremde Daten anvertraut. Diese Kontrolle funktioniert nur mithilfe von Transparenz in Bezug auf wichtige Fragen: Wer kann auf die Daten aktuell zugreifen? Kann ich diese Punkte vom Cloudanbieter in Erfahrung bringen, wenn mein eigener Kunde dies von mir wissen möchte? Kurz: Bin ich noch Herr der Daten? Kann ich die für die Daten übernommene Verantwortung überhaupt noch übernehmen oder scheitere ich an der faktischen Macht des Cloudanbieters und der technischen Funktionsweise der Cloud?

Bei der Frage der Kontrollmöglichkeiten sollte man Farbe bekennen und den Europäischen Gesetzgeber dazu auffordern, eigene Regelungen für die Cloud zu fordern, die die fehlende Kontrollmöglichkeiten als Kollateralschäden der Cloud anerkennen. Es erscheint denkbar, Cloudanbieter im Gegenzug besonderen Pflichten zu unterwerfen, damit die mit den Kontrollrechten verfolgten Grundkonzepte des Datenschutzes auf alternativem Wege erreicht werden. Sollte eine etablierte Rechtsauffassung – die Notwendigkeit des Kontrollprinzips – aufgegeben werden, um einer modernen Art der Datenhaltung aus der juristischen Problemzone zu verhelfen? Oder wird der Datenschutz seinem Auftrag, den Bürger zu schützen, nur dann gerecht, wenn eine lückenlose Transparenz und Kontrolle weiterhin festgeschrieben ist?

Gelegentlich wird juristisch vertreten, dass man das aktuelle Datenschutzrecht einfach uminterpretieren müsse: Eine technische Auslegung des Datenschutzrechts würde das Problem lösen. Sinngemäß dürfe einer sinnvollen technischen Lösung kein unmodernes, nicht IT-ausgerichtetes Gesetz entgegen stehen. Das klingt verlockend. Eine Revision des Datenschutzgesetzes wäre damit gar nicht nötig. Doch hier ist Vorsicht geboten: Anders als etwas das Urheberrecht ist Datenschutzrecht kein Wirtschaftsrecht. Datenschutzrecht ist Persönlichkeitsrecht. Damit stehen die Interessen des Bürgers am Datenschutz grundsätzlich hinter einer technischen und damit wirtschaftsfreundlichen Interpretation des Gesetzes zurück. Im Ergebnis bleibt das Thema Kontrolle und Datenherrschaft in der Cloud daher aktuell ungelöst.

Das ist der Grund, warum gelegentlich behauptet wird, die Cloud sei „rechtswidrig“. Das trifft so sicherlich nicht zu. Doch haftungsrechtlich sind die Pflichten in Bezug auf eine Datenherrschaft des Cloud-Kunden nicht zu unterschätzen. Als solcher haftet man unter Umständen für eventuelle Mängel des Cloud-Anbieters, obwohl man die Dienstleistung Cloud nur einkauft. Dies betrifft immer die Kette: Cloud Anbieter – Cloud Kunde – Kunde des Cloud Kunden. Als Cloud Kunde steht man in der Mitte und muss ein ordnungsgemäßes Datenschutz-Level gegenüber seinem eigenen Kunden sicher stellen, was aktuell wie dargestellt einfach nicht angeboten wird und was die Kontrolle angeht auch nicht realisierbar erscheint, eben weil die Daten in der Cloud ubiqitär sind und z.B. keine sichere Auskunft über den Datenaufenthaltsort gegeben werden kann.

Selbst, wenn man diese Haftungsproblematik akzeptiert und das Risiko einer Datenschutz-Incompliance eingeht: Weitere Aspekte der Cloud sind datenschutzrechtlich problematisch. Dies betrifft zum Beispiel die Datenqualität. Gerade die bereits erwähnten sensiblen Daten dürfen, wenn überhaupt, nur in die Cloud gebracht werden, wenn eine detaillierte Prüfung des Einzelfalles dies als zulässig erscheinen lässt. Dies hängt von technischen Rahmenbedingungen ab, aber auch von den AGBs der Anbieter.

Weitere Diskussionen betreffend die Rechtmäßigkeit der Cloud sind vor allem:
• Datenzugriff durch Dritte, insbesondere Behörden (Nicht nur Datenschutz, sondern auch Know How Schutz)
• Technisch – organisatorische Maßnahmen (nicht nur vorhanden, sondern auch dokumentiert und kontrollierbar)
• Subdienstleister (Fehlende Transparenz bezüglich deren Einbindung, Technisch Organisatorische Maßnahmen umgesetzt?
• AGB

Dabei gilt immer (wie schon oben): Wenn ich selbst die Cloud „einkaufe“ und für Services Dritten gegenüber benutze, kann ich mich i.d.R. schlecht exkulpieren, muss ggf. für die o.g. „eingekauften“ Mängel gegenüber meinem Auftragnehmer, meinem Arbeitnehmer etc. haften.

Natürlich lockt die Cloud mit vielen Vorteilen. Haben Sie Ihre Haftung analysiert und gehen Sie Risiken bewusst ein?

Kategorien: Allgemein
Schlagwörter: ,
1 28 29 30 31 32 134