In zirka einem Jahr, am 25. Mai 2018, tritt die Datenschutzgrundverordnung (DSGVO) der EU in Kraft. Damit werden die Regeln für die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Stellen in der ganzen EU auf ein einheitliches Niveau gebracht. Doch was sind personenbezogene Daten? Wer ist von der Verordnung betroffen? Und wie können die neuen Regeln konkret umgesetzt werden? Wir klären auf …

Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Angaben über eine bestimmte Person oder Daten, die einer bestimmten Person zugeordnet werden können. Hier spielt es keine Rolle, ob es sich um natürliche Personen (zum Beispiel Privatpersonen) oder juristische Personen (zum Beispiel Vereine oder GmbH) handelt.

Wer ist betroffen?
Von der neuen EU-Datenschutzgrundverordnung ist jeder betroffen, der personenbezogene Daten speichert oder in irgendeiner Form verarbeitet. Ihr Unternehmen hat Kunden oder Mitarbeiter? Dann sind Sie betroffen. Ihr Verein hat Mitglieder? Dann sind Sie betroffen. Im Prinzip also jeder. Ab Mai 2018 müssen laut Artikel 25 der neuen DSGVO unter „Berücksichtigung des Stands der Technik“ „geeignete technische und organisatorische Maßnahmen“ getroffen werden, um die Datenschutzgrundsätze wirksam umzusetzen und den Anforderungen der EU-Datenschutzgrundverordnung zu genügen.

Was bedeutet das für Unternehmen und Vereine?
Das bedeutet, dass Daten, die ausschließlich gespeichert werden, wirksam vor dem Zugriff von außen geschützt werden müssen. Werden diese Daten jedoch per E-Mail versendet, heißt das grundsätzlich: verschlüsseln! Und das ist auch gut so, denn eine unverschlüsselte E-Mail ist in etwa so sicher vor fremden Blicken geschützt wie eine Postkarte. Allerdings hat sich die E-Mail-Verschlüsselung bisher nicht flächendeckend durchgesetzt. Das setzt Unternehmer, die regelmäßig sensible Daten per E-Mail versenden (müssen), unter Druck, denn viele Privatpersonen und leider auch noch immer viele Organisationen setzen keine technischen Mittel zur E-Mail-Verschlüsselung ein, obwohl diese Mittel am Markt zum Teil frei verfügbar sind.

E-Mail-Verschlüsselung – was ist zu beachten?
Unternehmen sind gut beraten, bereits jetzt ihren E-Mail-Verkehr so umzustellen, dass eine sichere Spontankommunikation möglich ist. Das bedeutet, sie sollten verschlüsselte E-Mails an Kunden senden können und diese in die Lage versetzen, ohne großen Aufwand verschlüsselt zu antworten. Das ist möglich, wenn der Empfänger der E-Mail ein Initialpasswort auf einem zweiten, sicheren Übertragungsweg erhält und die verwendete Lösung einfach zu bedienen ist.

So machen wir es zum Beispiel bei der GINA-Technologie: Bei unserer Lösung wird die komplette, verschlüsselte Nachricht in einen HTML-Container verschoben, dieser wird dann per Mail versendet. Öffnet der Empfänger den Container, muss er sich im Web-Browser mit seinem Passwort am Gateway des Absenders anmelden. Danach wird die Nachricht kurzzeitig dorthin zurückhochgeladen, entschlüsselt und dann im Web-Browser dargestellt. Über den Web-Browser kann sofort gesichert geantwortet werden.

Die Vorteile dieser Lösung: Der Nutzer braucht immer nur ein Passwort und kann dieses auch selbst ändern oder zurücksetzen. Die Weboberfläche ist übersichtlich gestaltet und kann von jedem Nutzer ohne Vorkenntnisse bedient werden. Selbst wenn ein Passwort gestohlen wird, nutzt das dem Angreifer nichts, denn er ist nicht im Besitz der Nachricht. Eine abgefangene Nachricht nutzt dem Angreifer ebenfalls nichts, denn er hat das Passwort nicht. Ein mehrmaliges Ausprobieren eines Passwortes führt zur Sperrung des Accounts. Sollte einmal der unwahrscheinliche Fall eintreten, dass Nachricht UND Passwort in die falschen Hände geraten, kann nur auf diese eine gestohlene Nachricht zugegriffen werden. Der restliche Mailverlauf bleibt weiterhin geschützt.

Share →