Ihr verlässlicher Partner rund um den Datenschutz

Die WindinX GmbH ist ihr kompetenter Partner beim Thema Datenschutz, DSGVO und Informationssicherheit.

Ich berate Sie bei allen Themen rund um die Datenschutzgrundverordnung (kurz: DSGVO) und erstelle Ihnen die notwendigen Dokumente wie beispielsweise eine Datenschutzerklärung, einen Datenspeicherungsplan oder Vereinbarungen über die Datenverarbeitung mit Lieferanten. Zudem können Sie mich als Ihren Datenschutzbeauftragten bestellen und dies auch auf Ihrer Webseite veröffentlichen. Gemeinsam schaffen wir es Licht in das Dunkel der DSGVO zu bringen.

Neben dem Datenschutz ist auch das Thema Informationssicherheit sehr wichtig. Schnell werden Informationen im beruflichen und im privaten Kontext preisgegeben – oftmals ohne es zu merken. Die Methoden derer, die Informationen abgreifen wollen, werden immer besser und raffinierter. Dabei ist der Faktor Mensch nicht zu vergessen. Daher schule ich Sie und Ihre Mitarbeiter beim Umgang mit sensiblen Daten und Informationen.

Im folgenden finden Sie einige häufig gestellte Fragen und Antworten. Kontaktieren Sie mich, wenn Sie Fragen haben oder Hilfe benötigen.

Seien Sie jederzeit achtsam! Nehmen Sie den Datenschutz ernst.

FAQ - KURZE ANTWORTEN AUF HÄUFIGE FRAGEN

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Als Ergänzung lesen Sie bitte § 38 BDSG: 

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
 

Auf Geschäftsreisen oder beim mobilen Arbeiten sind nicht nur Sie unterwegs sondern auch Ihre Daten. Beachten Sie daher unter anderem die folgenden Hinweise:

  • Telefonate: Jeder hat es schon erlebt: Sitzt man im Zug erfährt man sehr viel über seinen telefonierenden Gegenüber. Passen Sie auf wer Ihre Gespräche mithört. Führen Sie keine Telefonate in öffentlichen Verkehrsmitteln und in engen Räumen.
  • Laptop: Sie arbeiten im Zug? Verwenden Sie eine Schutzfolie, die Sie auf Ihrem Laptop Bildschirm anbringen. Damit sieht man das Bild nur wenn man frontal darauf schaut. Von der Seite sieht man nur einen schwarzen Bildschirm. Es gibt Schutzfolien, die fest angebracht werden und auch solche die Sie flexibel anbringen und entfernen können.  
  • Vertrauliche Dokumente: Lassen Sie diese Dokumente nirgends liegen. Beachten Sie bitte: Für Hotelsafes gibt es immer auch Zweitschlüssel an der Rezeption, d.h. meist können nicht nur Sie diesen Safe öffnen.
  • WLAN: Schalten Sie das automatische einwählen in ein beliebiges WLAN ab. Wenn Sie einem WLAN vertrauen, so wählen Sie sich explizit dort ein.

Befolgen Sie hierzu folgende Hinweise:

  • Sperren Sie Ihren PC, wann immer Sie ihn verlassen.
  • Lassen Sie keine vertraulichen Dokumente auf Ihrem Schreibtisch liegen.
  • Schließen Sie Schränke mit vertraulichen Dokumenten ab. Platzieren Sie den Schlüssel aber nicht in der Schublade Ihres Rollcontainers oder in der Stiftebox!
  • Schließen Sie Ihr Büro ab, wenn Sie es verlassen.
  • Werfen Sie keine vertraulichen Dokumente in den Papierkorb Ihres Büros oder in den Papierkorb neben dem Kopierer. Vernichten Sie vertrauliche Dokumente in einem geeigneten Papiervernichter oder werfen Sie diese in die dafür aufgestellten Container zur Aktenvernichtung.

Vergessen Sie keine vertraulichen Dokumente im Scanner oder im Drucker.

Dies alles sind zwar nur kleine Schritte. Diese führen aber insgesamt dazu, dass es Fremden erschwert wird an vertrauliche Daten zu kommen.

Wir empfehlen zur Erstellung eines sicheren Passworts die Nutzung eines Passwort-Managers.

Aber warum ist es notwendig so komplizierte Passwörter zu haben?

Passwort-Entschlüsselungsprogramme testen zuerst mit allen Wörtern, die im Wörterbuch zu finden sind. Für die Wörterbücher aus mehreren Ländern benötigt ein PC nach heutigem Standard nur Sekunden. Steht ihr Passwort nicht im Wörterbuch, so muss das Passwort-Entschlüsselungsprogramm alle möglichen Kombinationen testen. Das dauert länger. In einer Sekunde sind ca. 12 Millionen Versuche möglich. Moderne Passwort-Entschlüssler nutzen aber mehrere PCs oder Server.

Wie viele Kombinationen gibt es?

  • 6-stelliges Passwort, nur Großbuchstaben: 26 hoch 6 Kombinationen = 309 Millionen Kombinationen
  • 8-stelliges Passwort, Großbuchstaben, Kleinbuchstaben = 52 hoch 8 Kombinationen  

Wichtig hierbei ist aber, dass es sich nicht um ein Wort aus dem Wörterbuch in Kombination mit einer Zahl oder einem Sonderzeichen handelt und auch nicht nur ein e durch eine 3 ersetzt wird etc.

Es gilt als sinnvoll, nie die gleichen Passwörter zu verwenden. Zudem sollte ein sicheres Passwort auch komplex sein und regelmäßig geändert werden. Aber keiner kann sich diese ganzen Passwörter merken.

Nutzen Sie hierfür einen Passwort-Manager. Viele Passwort-Manager können sowohl auf dem Smartphone als auf dem Computer genutzt werden. Bei manchen liegen die Passwörter auch in einer Cloud.

In einem Passwort-Manager können Sie die Benutzernamen und Passwörter speichern. Zudem können Sie oft auch den Link der Anwendung speichern und der Passwort-Manager meldet Sie dort fast automatisch an. Ihre Daten liegen dabei in einer verschlüsselten Datenbankdatei. Um den Passwort-Manager mit dieser Datenbankdatei zu öffnen, brauchen Sie ein Passwort oder Ihren Fingerabdruck. Bitte nutzen Sie hierfür unbedingt ein starkes Passwort.

Zudem hilft der Passwort-Manager beim Erstellen von Passwörtern. So ist meist ein Passwort-Generator dabei. D.h. wenn Sie sich bei einer neuen Webseite anmelden, erzeugen Sie zuerst einen Eintrag im Passwort-Manager und generieren dort ein neues Passwort. Dieses geben Sie bei der Anmeldung als Passwort an.

Passwort-Manager oder zumindest deren Basisfunktionen können oft kostenlos genutzt werden. Beispielsweise gibt es keepass oder lastpass. Durch die Nutzung eines Passwort-Managers, der die Daten in der Cloud speichert, haben Sie von allen Ihren Endgeräten (PC, Laptop, Tablet, Smartphone, etc.) aus Zugriff.

Sicher haben Sie viele verschiedene Benutzerkonten und diverse Passwörter. Was passiert aber, wenn jemand an diese Daten kommt? Dann kann er sich in dem jeweiligen Benutzerkonto einloggen und so tun als sei er Sie. Erst wenn Sie das Passwort ändern ist die Gefahr wieder gebannt. Aber wie oft ändern Sie Ihre Passwörter? So kann die andere Person unter Umständen sehr lange auf Ihre Daten zugreifen. Sie werden jetzt sagen: “Aber ich erzähle keinem wie mein Passwort lautet.” Das ist auch gar nicht nötig, ein Virus auf Ihrem PC kann das Passwort abgreifen oder jemand greift alle Passwörter und Benutzernamen einer Webseite ab. 

Mit Hilfe der Zwei-Faktoren oder Multi-Faktoren-Authentifizierung können Sie Ihre Benutzerkonten besser schützen. Für einen Login benötigen Sie dann neben dem Benutzernamen und dem Passwort einen weiteren Faktor. Dafür können Sie zum Beispiel Ihre Handynummer hinterlegen. Bei Banken gibt es hierzu auch oft eine App, die Sie auf Ihrem Handy installieren müssen. Denkbar ist beispielsweise, dass Sie sich mit Benutzernamen und Passwort einloggen und dann noch mit dem Handy oder in der App den Login bestätigen. Zudem kann es auch möglich sein als weiteren Faktor einen Fingerabdruck zu nutzen, einen Anruf zu bestätigen oder eine SMS an eine definierte Nummer zu senden. Auch wenn nun jemand Ihr Passwort und Ihren Benutzernamen hat, kann er sich in dem Konto nicht einloggen.

Natürlich ist der Login dadurch aufwändiger.  Bei manchen Benutzerkonten ist es auch möglich sichere Geräte zu hinterlegen, d.h. Sie melden beispielsweise, dass ihr Handy oder ihr PC daheim vertrauenswürdig sind. Damit sind Logins von diesen Geräten immer ohne den zweiten Faktor möglich. Wollen Sie sich von einem anderen Gerät aus einloggen, so ist der zweite Faktor notwendig. 

Ob eine Zwei-Faktor-Authentifizierung möglich ist und auch ob vertrauenswürdige Geräte definiert werden können, hängt vom Anbieter des jeweiligen Benutzerkontos ab. Wenn es diese Möglichkeit gibt, so raten wir dazu es auch zu nutzen.

In sozialen Netzwerken wie Facebook, Xing und LinkedIn gibt man sehr viele Informationen über sich preis. Diese Daten werden genutzt, um passgenaue Mails an Sie zu adressieren.

So erhalten Sie beispielsweise eine Mail, die für Sie interessant erscheint. Das kann der Gewinn einer Reise sein oder der Test eines neuen Hörbuchs oder auch etwas über Ihr Hobby oder ihre Haustiere. In der Mail wird Druck aufgebaut, zum Beispiel durch die Aussage, dass Sie schnell sein müssen, sonst ist der Gewinn verloren oder Ihr Tier wird krank wenn Sie die Hinweise in der Mail nicht beachten.

Phising Mails enthalten in der Regel die Aufforderung etwas zu tun zum Beispiel:

  • Loggen Sie sich ein
  • Klicken Sie auf den Link
  • Geben Sie Daten ein
  • Laden Sie sich das Programm herunter

Generell gilt: Seien Sie aufmerksam und achtsam. Folgende Hinweise können Ihnen helfen:

Der Absender einer Mail muss nicht der wahre Absender sein. Einzelne Buchstaben oder die Endung können beispielsweise abweichen. Schauen Sie sich die Absenderadresse genau an.

Klicken Sie nicht auf Links in Mails, wenn Sie diese nicht erwartet haben.  Wenn Sie auf den Link geklickt haben und sich eine Webseite öffnet in der Sie Ihren Benutzernamen und Ihr Passwort eingeben sollen, dann unterlassen Sie das. Auch dann wenn die Webseite einer Ihnen bekannten Webseite ähnlich sieht. Öffnen Sie diese Webseite einfach über den üblichen Weg, beispielsweise über Ihre Favoriten oder eine Suchmaschine. 

Wenn Sie doch auf den Link klicken wollen, dann prüfen Sie den Link. Fahren Sie mit der Maus darüber und kontrollieren, was dort als Adresse steht. Fängt der Link mit „https“ an oder mit „http“? Für „https“ ist ein offizielles Zertifikat notwendig. Die meisten Phishing Links beginnen mit „http“. Wie geht der Link weiter, folgt dann die Zieladresse oder steht noch etwas dazwischen? Es sollte direkt die Zieladresse folgen und darauf ein Schrägstrich. Sicherer ist es den Link auf dem gewohnten Weg zu öffnen.

Öffnen Sie keine unerwarteten Anhänge. Dahinter könnte sich Schadsoftware verbergen. Wenn Sie unsicher sind, ob Sie diese Mail benötigen oder nicht, so senden Sie diese an Ihre IT und bitten dort um Hilfe oder rufen Sie den Absender an.

Schauen Sie, ob Sie direkt mit Namen angesprochen werden oder ob es sich um eine Sammelanrede handelt.

Unter social Engineering versteht man den Versuch eines Angreifers an vertrauliche Informationen zu gelangen unter Einsatz psychologischer Tricks. Oft ist die Infrastruktur eines Unternehmens so gut, dass es zielführender ist über den Faktor Mensch an vertrauliche Informationen zu gelangen. Daher ist es notwendig auch die Mitarbeiter eines Unternehmens zu sensibilisieren und zu schulen. 

So werden beispielsweise Personen aus dem Unternehmen angerufen, dabei täuscht der Angreifer Hilfsbedürftigkeit vor oder baut Druck auf. So erzählt er Ihnen beispielsweise, dass er aus der IT ist und etwas testen muss, Sie sollen Ihr Passwort und Ihren Benutzernamen auf einer Webseite eingeben. Jedoch ist die Webseite nicht die echte, sondern nur eine täuschend ähnliche und der Angreifer greift von dort Ihre Login-Daten ab. D.h. achten Sie darauf wo Sie Login-Daten eingeben, d.h. im Zweifel rufen Sie die Webseite selbst auf und geben die Login-Daten dort ein und nicht auf einer Webseite, die Ihnen gesagt oder gemailt wird. Auch wenn Sie direkt nach dem Passwort gefragt werden, sollten Sie dieses nicht herausgeben. Sie werden niemals von IT-Mitarbeitern oder im privaten Umfeld beispielsweise von Ihrer Bank nach Ihren Logindaten gefragt werden.

Wenn Sie einen derartigen Anruf erhalten, so informieren Sie am besten Ihre IT-Abteilung. Wer weiß ob auch andere solche Anrufe erhalten haben und diese nicht als social Engineering erkannt haben.

Eine andere Art an vertrauliche Daten zu kommen ist das Platzieren eines USB-Sticks auf dem Boden oder an einer anderen gut sichtbaren Stelle. Findet jemand diesen USB-Stick, so wird er sich darüber wundern und er wird herausbekommen wollen, wem dieser Stick gehört. Er steckt ihn also in seinen PC. Befindet sich ein Trojaner auf dem USB-Stick, so ist nun das Firmennetzwerk oder der PC infiltriert und der Angreifer kann an Daten kommen. Daraus lernen wird: Stecken Sie niemals einen fremden USB-Stick einfach an Ihrem Rechner ein. Bringen Sie gefundene USB-Sticks zu Ihrer IT.