Sie sind hier: Home » Markt » Hinweise & Tipps

Missbrauch der Daten verhindern

Eigentlich eine Selbstverständlichkeit, aber gar nicht so einfach: E-Mails an den Richtigen versenden
Wer mit sensiblen Daten hantiert, muss besondere Sorgfalt walten lassen

Wichtige Schreiben per E-Mail zu versenden, ist praktisch: Es geht schnell, und die Empfänger können die Daten im digitalen Format gleich weiterverarbeiten. Aber ist es auch sicher? Werden E-Mails über das Internet versandt, sind sie nicht gegen ein Mitlesen geschützt. Um die Vertraulichkeit der Nachrichten zu gewährleisten, muss man sie verschlüsseln. Zumindest für Berufsgruppen, die besonderen Verschwiegenheitsverpflichtungen unterliegen, sollte dies selbstverständlich sein. Achtung: Der Betreff der E-Mail und die Informationen über Sender und Empfänger sind trotzdem sichtbar.

Marit Hansen, die Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), nennt Beispiele: "Die Schweigepflicht verbietet es, zum persönlichen Lebensbereich gehörende Geheimnisse anderer Personen zu offenbaren. Dies gilt beispielsweise für Ärztinnen und Ärzte, für Beraterinnen und Berater im psychologischen oder sozialen Bereich, für Anwältinnen und Anwälte und allgemein für Amtsträger im öffentlichen Dienst. Sie dürfen keine fremden Geheimnisse offenbaren, die ihnen in ihrer beruflichen Eigenschaft anvertraut oder sonst bekannt werden. Daher bitte keine E-Mails mit einem Betreff wie "Ermittlungsverfahren gegen Mia Mustersen" oder "Psychiatrisches Gutachten über Max Mustersdotter" versenden."

Für E-Mails, die nicht über das Internet, sondern innerhalb von abgeschotteten Netzen versandt werden, ist ebenfalls zu prüfen, inwieweit als zusätzliche Sicherheitsmaßnahme verschlüsselt werden muss, um vor unberechtigter Kenntnisnahme zu schützen. Weiterhin muss gewährleistet sein, dass die Nachrichten bei der Zustellung den abgeschotteten Bereich nicht verlassen können. Wenn das Risiko zu hoch ist, dürfen die E-Mails nicht ungesichert verschickt werden.

Ein Problem, das in der Vergangenheit häufiger an das ULD herangetragen wurde, ist der Umstand, dass ein Sender einen falschen Empfänger eingegeben hat. Die meisten E-Mail-Programme unterstützen den Sender dabei, den Namen des Empfängers auszuwählen, indem sie die Eingabe der Anfangsbuchstaben des Namens automatisch vervollständigen oder eine Liste von infrage kommenden Empfängern anbieten. Hier hat schon mancher Sender zu schnell geklickt und die Nachricht an die falschen Empfänger geschickt. Besonders schwierig sind die Fälle von Namensgleichheit, wenn sich verschiedene Personen mit demselben Vor- und Nachnamen im Adressbuch finden. Hier ist besondere Aufmerksamkeit vonnöten: Am besten blendet man zusätzlich zum Anzeigenamen stets die zugehörige E-Mail-Adresse ein, um auf einen Blick den prüft vor dem Absenden, ob man alles richtig gemacht hat.

Weiterhin können die Doppelgänger im Adressbuch etwa durch Angabe der Organisation ergänzt werden, um die Einträge auf einen Blick unterscheiden zu können. Jeder, der ein Adressbuch pflegt, sollte solche gleichen oder ähnlichen Mehrfacheinträge im Blick haben. Oft lassen sich die Adressbücher nach Kategorien aufteilen, beispielsweise um die Adressen im abgeschotteten internen Netz nicht mit solchen Adressen zu verwechseln, bei denen eine Zusendung über das Internet erfolgt.

Marit Hansen dazu: "Wer mit sensiblen Daten hantiert, muss besondere Sorgfalt walten lassen. Ein Flugzeug darf auch erst starten, wenn sich die Piloten davon überzeugt haben, dass alles richtig konfiguriert ist. Die Beschäftigten müssen daher geschult werden, wie sie erkennen können, dass alles korrekt ist, und wo mögliche Fehlerquellen lauern. In diesem Zusammenhang sollte auch die Nutzerführung der E-Mail-Software oder die Adressbuch-Funktionalität überprüft werden: Wenn leicht Fehler bei der Empfängerauswahl geschehen können, müssen Systemadministration oder Dienstleister beauftragt werden, um die Konfiguration zu ändern. Lieber die E-Mail-Adresse vollständig neu eintippen, als schützenswerte Daten an falsche Adressaten zu senden."

Und wenn es passiert ist
Gerät eine E-Mail, die man nur für den berechtigten Empfänger verschlüsselt hat, an die falsche Adresse, ist es halb so schlimm: Immerhin kann der Fehladressat den Inhalt nicht entschlüsseln, sondern lediglich Betrefftext und die Kommunikationsabsicht feststellen. Aber auch dies kann schon eine Verletzung der Schweigepflicht bedeuten, wenn sich daraus Rückschlüsse über die betroffene Person ergeben.

Gelangen sensible Daten über eine Person in falsche Hände und drohen schwerwiegende Beeinträchtigungen für deren Rechte oder schutzwürdige Interessen, ist dies ein meldepflichtiger Verstoß gegen das Datenschutzrecht: Sowohl Firmen als auch öffentliche Stellen müssen dies unverzüglich der Aufsichtsbehörde (in Schleswig-Holstein: dem ULD) und üblicherweise auch dem Betroffenen mitteilen (§ 42a Bundesdatenschutzgesetz bzw. § 27a Landesdatenschutzgesetz Schleswig-Holstein).

Außerdem muss der Sender Maßnahmen treffen, um einen Missbrauch der Daten zu verhindern, z. B. durch Kontaktaufnahme mit dem falschen Empfänger. Klar ist: Ein simpler Verweis im Abspann, nur berechtigte Adressaten sollten die E-Mail lesen und verwenden, reicht dafür nicht aus. Jede verantwortliche Stelle sollte daher organisatorische Prozesse für den Fall einer Fehladressierung und generell zum Umsetzen der Informationspflicht bei Datenpannen definieren. (ULD: ra)

eingetragen: 29.06.16
Home & Newsletterlauf: 27.07.16

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Meldungen: Markt / Hinweise & Tipps

Ethik für KI-Technologien ein Muss
Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.
Prüfungsangst kommt nicht von ungefähr
Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.
Bausteine für ein erfolgreiches ESG-Reporting
Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.
Chaos bei der Umsetzung von NIS-2 droht
Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.
Die Uhr für DORA-Compliance tickt
Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Änderung des Telemediengesetzes Wie vererbt man Auslandsimmobilien?