Zeit bis zur DSGVO

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

DSGVO & Co – wer blickt da noch durch?

Seit fast einem Jahr befinden wir uns in der Übergangsfrist für die Umsetzung der DSGVO, doch erst jetzt kocht das Thema so richtig hoch, weil es nur noch wenige Tage bis zum 25. Mai 2018 sind.

u

Doch was steckt eigentlich hinter dem Thema und was muss ich beachten?

Zum 25.05.2018 tritt die Datenschutzgrundverordnung für alle in Kraft und wird bei Nichtbeachtung mit hohen Strafen belegt.

Die DSGVO hat nur gutes im Sinn

erfordert jedoch sehr viel Arbeit und Vorbereitung.

Der Grundgedanke ist eine Europaweit einheitliche Datenschutzregelung zum Schutz der persönlichen Daten. Es sollen nur noch die Daten erfasst werden, welche zur Ausführung der definierten Tätigkeit relevant und erforderlich sind und jedem soll bewusst sein, welche Daten er zu welchem Zeitpunkt wo hinterlassen hat.

Früher ging man in den „Tante Emma Laden“ um die Ecke und kaufte seinen Bedarf, legte das Geld auf den Tresen und ging wieder. Abgesehen von den persönlichen Gesprächen über das Rückenleiden von Oma Gudrun und die Gicht von Onkel Karl war der Geschäftsprozess und die Datenverarbeitung auf das Minimum begrenzt. Es gab – zumindest offiziell – keine Aufzeichnungen darüber, wer wann was gekauft hat, bis auf das phänomenale Gedächtnis von Emma hinter der Theke.

Die Zeiten haben sich seit dem jedoch sehr stark gewandelt. „Tante Emma Läden“ gibt es nicht mehr. Wir kaufen heute im Discounter mit Punktekarten und Online. Dabei hinterlassen wir viele Datenspuren und es gibt einen großen Markt an Datensammlern, die auswerten, wer, wann, wo, was gekauft hat. Den Grund kennen die Datensammler heute nicht mehr – Tante Emma wusste es noch. Der Grund ist auch nicht relevant. Wichtig ist nur die Werbung und die Produktpalette an die Bedürfnisse der Käufer anzupassen oder Bedürfnisse zu wecken um den maximalen Gewinn zu erwirtschaften. Tante Emma wusste noch was Ihre Kunden brauchen, aber in der großen weiten Internetwelt werden digitale Daten benötigt um die Kunden glücklich zu machen.

Kaum jemand erstellt heute einfach nur noch eine Internetseite und hofft auf Besucher. Die „Nebenbaustellen“ zum Erfolg sind meistens größer als die eigentliche Seite. So werden Daten zur Analyse über Piwik (jetzt Matomo), Google Analytics, facebook und andere Stellen gesammelt und ausgewertet. Auf all diese Stellen muss in der Datenschutzerklärung hingewiesen werden und der Seitenbesucher muss aktiv zustimmen, dass er damit einverstanden ist.

kleine Übersicht:

  • Minimalismus: nur die Daten erfassen, die auch erforderlich sind
  • Transparenz: ersichtlich machen, welche Daten erfasst werden
  • Zustimmung: Datenerfassung nur mit ausdrücklicher Zustimmung erfassen
  • Sicherheit: Manipulationen und Fremdzugreife verhindern
  • Nachweisbarkeit: Verzeichnis der Verarbeitungstätigkeit vorhalten

SSL (Secure Sockets Layer)

ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

Gemeint ist hiermit eine Verschlüsselung der Daten zwischen Ihrem Rechner und der Webseite, welche Sie gerade aufrufen um das Abfangen der Daten für Dritte zu erschweren. Sie rufen eine Internetseite per https (das „s“ steht hier für den „sicheren“ Seitenaufruf durch die Verschlüsselung. Dabei werden Daten, welche Sie zum Beispiel in ein Kontaktformular, Onlineshop oder bei Bankgeschäften eingeben, verschlüsselt und können vom neugierigen Nachbar nicht mitgelesen werden.

SSL war früher nur bei Banken und Onlineshops typisch. Auch hier hat sich die Technik weiterentwickelt. Heute ist SSL für alle Seiten Standard und üblich. Wer heute eine Seite ohne Verschlüsselung betreibt wird bereits von Browsern abgestraft, weil auf die gefährliche und unsichere Seite hingewiesen wird und man ohne https einfach nicht mehr bei den Suchmaschinen auftaucht.

Glücklicherweise gibt es zwischenzeitlich kostenlose SSL-Zertifkate, sodass zumindest der Kostenfaktor für ein Zertifikat keine Rolle mehr spielen sollte ein solches auch zu verwenden. Ob die kostenlose Lösung jedoch die richtige für die eigene Seite ist muss individuell je Seite entschieden werden.


HSTS (HTTP Strict Transport Security)

ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll.

Voraussetzung für HSTS ist natürlich ein SSL-Zertifikat und die korrekte Einrichtung um eine Seite per https zu erreichen anstatt nur per http. Klassich kann man die Notwendigkeit bei freien WLNA-Netzen oder auch in Hotels festmachen.

Nehmen wir das Beispiel im Hotel:

Sie erhalten – wie alle anderen Gäste auch – einen Netzwerkschlüssel um das kostenlose WLAN nutzen zu können. Der verschlüsselte Seitenaufruf findet jedoch nur zwischen dem Router des Hotels und der Internetseite statt. Wer sich also im gleichen WLAN befindet wie Sie und die entsprechenden Kentnisse hat, kann Ihre Daten zwischen Ihrem Smartphone oder Notebook und dem Router des Hotels abfangen, mitlesen und manipulieren. In einem freien WLAN, wie zum Beispiel im Café um die Ecke, macht es „Lauschern“ noch einfacher, weil noch nicht mal ein Netzwerkschlüssel benötigt wird.

Genau dieses Problem soll HSTS verhindern, weil eine verschlüsselte Verbindung direkt zwischen Ihrem Browser und der Internetseite erzwungen wird. Um eine Seite HSTS-fähig zu machen sind diverse Einstellungen am Webserver erforderlich sowie der Eintrag in eine zentralen Liste. Jeder aktuelle Browser ruft als erstes diese zentrale Liste auf und ruft die gewünschte Internetseite direkt per https auf ohne erst noch die Protokollart auszuhandeln und schließt somit diese Sicherheitslücke. Versucht jemand mit einem veralteten Browser, der noch nicht HSTS-fähig ist, Ihre Seite aufzurufen, wird er scheitern und erhält eine Fehlermeldung. Dies sollte jedoch kein Grund sein auf HSTS zu verzichten, nur weil es eventuell noch Benutzer gibt, die mit veralteten und unsicheren Techniken arbeiten.

Weitere Infos zu HSTS finden Sie auch in unserem Beitrag zu HSTS.


ADV (Auftragsdatenverarbeitung)

ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle.

Sobald also Dritte mit personenbeziehbaren Daten von Ihrer Internetseite in Verbindung kommen, benötigen Sie mir diesem Anbieter einen ADV-Vertrag. Klassische Beispiele hierzu sind an erster Stelle Ihr Hoster auf dessen Server Ihre Daten (Internetseite) liegt oder auch Newsletterdienstleister. Kümmern Sie sich daher zeitnah um Ihren Vertrag zur Auftragsdatenverarbeitung in Hinsicht auf die DSGVO.

 


SLA (Service-Level-Agreement)

bezeichnet eine Vereinbarung bzw. die Schnittstelle zwischen Auftraggeber und Dienstleister für wiederkehrende Dienstleistungen.

Eine SLA ist zwar nach aktuellem Stand noch nicht Bestandteil der DSGVO, dennoch sollten Sie Ihre Ansprüche kennen, in denen ein Dienstleister den Sie beauftragen reagiert. Ein SLA kann natürlich auch Tarif- oder eben kosten abhängig sein. So kostet eine „Rund-um-die-Uhr Erreichbarkeit“ (24/7) in der Regel zusätzlich, da der Anbieter auch die Ressourcen zur Verfügung stellen muss um erreichbar zu sein.

 

RoundAboutWEB

Die Waren und Dienstleistungen von RoundAboutWEB stehen ausschließlich Unternehmern im Sinne von § 14 BGB zur Verfügung.
Ein Vertragsschluss mit Verbrauchern im Sinne von §13 BGB ist ausgeschlossen.