Haben Sie in letzter Zeit einen Einkommensnachweis an einen Immobilienmakler versendet? Oder Ihren gescannten Führerschein zur Eröffnung eines Benutzerkontos? Haben Sie einen Befund per E-Mail verschickt? Vielleicht einen Antrag auf Lebensversicherung an Ihren Versicherungsmakler? Persönliche Informationen via E-Mai zu verschicken ist nicht immer zulässig: Bei den beiden letztgenannten Beispielen handelt es sich laut Datenschutzgrundverordnung (DSGVO) um besondere Kategorien personenbezogener Daten, die als besonders schutzwürdig gelten.
Es gibt keinen Freibrief
Mein Makler hatte folgende Lösung parat: Er legte seinen Kunden einen Freibrief zur Unterschrift vor. Darin bat er um Zustimmung, Daten unverschlüsselt per E-Mail verschicken zu dürfen.
DSGVO-konform ist das aber nicht. Artikel 32 der DSGVO behandelt die Sicherheit der Verarbeitung und verlangt die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. An Verschlüsselung führt im ersten Schritt also kein Weg vorbei.
Die DSGVO verfolgt einen risikobasierten Ansatz. In diesem Fall geht es um das Risiko des Betroffenen. Also, um das Risiko des Endkunden, dessen Befunde in die falschen Hände geraten oder dessen Bonität gefährdet werden könnte.
Die Auswirkungen auf Sie als Einzelunternehmer, wenn etwas passiert, sind nicht zu unterschätzen:
- mögliche Schadenersatzklagen durch Endkunden oder Geschäftspartner,
- drohender Imageverlust,
- Shitstorms aufgrund Ihrer Nachlässigkeit.
Was E-Mails riskant macht
Risiko wird meist als Eintrittswahrscheinlichkeit multipliziert mit Auswirkung definiert. Geringe Eintrittswahrscheinlichkeit, aber große Auswirkung impliziert mittleres Risiko, usw.
Bei der Kommunikation via E-Mail ist die Eintrittswahrscheinlichkeit hoch: Das Medium E-Mail ist über 40 Jahre alt und folgt der Maxime Zustellung vor Sicherheit, die Übertragung erfolgt unverschlüsselt. Ein solches E-Mail ist mit einer Postkarte vergleichbar, die für jedermann auf dem Weg frei einsehbar ist.
Auf den ersten Blick wäre der Risikoeintritt mit wahrscheinlich einzustufen, aber es kommen noch weitere Risikofaktoren hinzu:
- der Faktor Mensch,
- der Faktor Zeit und
- in Zeiten von künstlicher Intelligenz auch noch die Motivation des Providers, automatisiert in E-Mails zu stöbern und dadurch personalisierte Werbung noch treffsicherer an Kunden auszuspielen und mehr Umsatz zu generieren.
Sicherheitsrisiko Mensch
Sabotage durch unzufriedene Mitarbeiter, unsichere oder unzureichend gesicherte Passwörter oder leicht zu hackende Social-Media-Plattformen führen regelmäßig zu Schlagzeilen wie Passwörter von Politikern frei im Netz oder 3,3 Millionen Österreicher betroffen. Zusammengefasst: Auch der beste Provider ist nicht vor dem Faktor Mensch geschützt.
Gelegenheit macht Diebe
Je länger Daten unverschlüsselt auf Servern liegen, desto größer ist die Wahrscheinlichkeit, dass diese Daten in der einen oder anderen Form missbraucht werden. Deswegen sind auch verschlüsselt verschickte Anhänge, die lange auf ausgelagerten Servern liegen, nicht empfehlenswert. Werden all diese Faktoren in die Risikobewertung mit einbezogen, ist die Eintrittswahrscheinlichkeit auf dem Höchstwert.
Und was ist mit verschlüsselten E-Mails?
Sie haben heute einen sicheren Messenger (z.B. Threema, Signal oder Teamwire) zur Verschlüsselung in Verwendung? Gut! Ihre Kunden auch? Zur Kommunikation gehören zumindest zwei. E-Mail kennt buchstäblich jede/r und nutzt auch jede/r. Beim Thema E-Mail-Verschlüsselung ist das schon anders. Laut einer deutschen Studie nutzen nur 13,5% aller User E-Mail-Verschlüsselung, aber mehr als 50% der E-Mails werden geschäftlich verschickt. Die Zahlen in Österreich dürften ähnlich hoch sein.
%MEDIUM-RECTANGLES%
Was können Sie also tun?
Auf die Auswirkung eines Daten-Leaks können Sie kaum Einfluss nehmen – sehr wohl aber auf die Eintrittswahrscheinlichkeit.
Generell:
- Verwenden Sie sichere Passwörter. Einen Online-Passwort-Generator finden Sie z.B. hier.
Wenn Sie per unverschlüsseltem E-Mail kommunizieren:
- Verschlüsseln Sie die Daten per ZIP- oder PDF-Verschlüsselung vor dem Versenden mit einem sicheren Passwort und
- nutzen Sie einen alternativen Weg zur Übertragung des Passwortes (Telefon, sicherer Messenger) an den Empfänger.
- Lassen Sie auch verschlüsselte Daten nicht lange auf externen Servern liegen. Speichern Sie E-Mails lokal auf Ihrer (verschlüsselten) Festplatte.
Wenn Sie zum Austausch personenbezogener Daten eine Cloud-Lösung (z.B. Dropbox, iCloud) verwenden:
- Nutzen Sie einen Anbieter, der innerhalb des Anwendungsbereichs der DSGVO agiert. Die WKO bietet einen guten Überblick über österreichische Cloud-Anbieter.
- Befristen Sie freigegebene Links zeitlich.
- Löschen Sie die Daten wieder von Ihrer Cloud, wenn sie nicht mehr benötigt werden. Services wie WeTransfer (Achtung: internationale Lösung) oder s-Transfer machen diesen Schritt nach sieben Tagen automatisch.
- Schützen Sie freigegebene Links mit einem sicheren Passwort, das Sie dem Empfänger auf sicherem Wege übermitteln.
- Beachten Sie bei internationalen Lösungen die AGBs hinsichtlich der DSGVO: Manche Anbieter weisen explizit darauf hin, dass die Daten weltweit auf Cloud-Speichern verteilt liegen. Hier könnte eine Verschlüsselung Abhilfe schaffen.
Weiterlesen: Datenschutz-Grundverordnung: So setzen Selbständige die DSGVO um
Weiterlesen: DSGVO und digitale Kommunikation: So sind Sie auf der sicheren Seite
Weiterlesen: Sieben Werkzeuge, die Selbständigen die virtuelle Teamwork erleichtern
Weiterlesen: Neun Musts für den sicheren Umgang mit Cloud-Speichern
Kommentare ( 0 )