Sie sind hier: Home » Markt » Hinweise & Tipps

Missbrauch der Daten verhindern


Eigentlich eine Selbstverständlichkeit, aber gar nicht so einfach: E-Mails an den Richtigen versenden
Wer mit sensiblen Daten hantiert, muss besondere Sorgfalt walten lassen



Wichtige Schreiben per E-Mail zu versenden, ist praktisch: Es geht schnell, und die Empfänger können die Daten im digitalen Format gleich weiterverarbeiten. Aber ist es auch sicher? Werden E-Mails über das Internet versandt, sind sie nicht gegen ein Mitlesen geschützt. Um die Vertraulichkeit der Nachrichten zu gewährleisten, muss man sie verschlüsseln. Zumindest für Berufsgruppen, die besonderen Verschwiegenheitsverpflichtungen unterliegen, sollte dies selbstverständlich sein. Achtung: Der Betreff der E-Mail und die Informationen über Sender und Empfänger sind trotzdem sichtbar.

Marit Hansen, die Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), nennt Beispiele: "Die Schweigepflicht verbietet es, zum persönlichen Lebensbereich gehörende Geheimnisse anderer Personen zu offenbaren. Dies gilt beispielsweise für Ärztinnen und Ärzte, für Beraterinnen und Berater im psychologischen oder sozialen Bereich, für Anwältinnen und Anwälte und allgemein für Amtsträger im öffentlichen Dienst. Sie dürfen keine fremden Geheimnisse offenbaren, die ihnen in ihrer beruflichen Eigenschaft anvertraut oder sonst bekannt werden. Daher bitte keine E-Mails mit einem Betreff wie "Ermittlungsverfahren gegen Mia Mustersen" oder "Psychiatrisches Gutachten über Max Mustersdotter" versenden."

Für E-Mails, die nicht über das Internet, sondern innerhalb von abgeschotteten Netzen versandt werden, ist ebenfalls zu prüfen, inwieweit als zusätzliche Sicherheitsmaßnahme verschlüsselt werden muss, um vor unberechtigter Kenntnisnahme zu schützen. Weiterhin muss gewährleistet sein, dass die Nachrichten bei der Zustellung den abgeschotteten Bereich nicht verlassen können. Wenn das Risiko zu hoch ist, dürfen die E-Mails nicht ungesichert verschickt werden.

Ein Problem, das in der Vergangenheit häufiger an das ULD herangetragen wurde, ist der Umstand, dass ein Sender einen falschen Empfänger eingegeben hat. Die meisten E-Mail-Programme unterstützen den Sender dabei, den Namen des Empfängers auszuwählen, indem sie die Eingabe der Anfangsbuchstaben des Namens automatisch vervollständigen oder eine Liste von infrage kommenden Empfängern anbieten. Hier hat schon mancher Sender zu schnell geklickt und die Nachricht an die falschen Empfänger geschickt. Besonders schwierig sind die Fälle von Namensgleichheit, wenn sich verschiedene Personen mit demselben Vor- und Nachnamen im Adressbuch finden. Hier ist besondere Aufmerksamkeit vonnöten: Am besten blendet man zusätzlich zum Anzeigenamen stets die zugehörige E-Mail-Adresse ein, um auf einen Blick den prüft vor dem Absenden, ob man alles richtig gemacht hat.

Weiterhin können die Doppelgänger im Adressbuch etwa durch Angabe der Organisation ergänzt werden, um die Einträge auf einen Blick unterscheiden zu können. Jeder, der ein Adressbuch pflegt, sollte solche gleichen oder ähnlichen Mehrfacheinträge im Blick haben. Oft lassen sich die Adressbücher nach Kategorien aufteilen, beispielsweise um die Adressen im abgeschotteten internen Netz nicht mit solchen Adressen zu verwechseln, bei denen eine Zusendung über das Internet erfolgt.

Marit Hansen dazu: "Wer mit sensiblen Daten hantiert, muss besondere Sorgfalt walten lassen. Ein Flugzeug darf auch erst starten, wenn sich die Piloten davon überzeugt haben, dass alles richtig konfiguriert ist. Die Beschäftigten müssen daher geschult werden, wie sie erkennen können, dass alles korrekt ist, und wo mögliche Fehlerquellen lauern. In diesem Zusammenhang sollte auch die Nutzerführung der E-Mail-Software oder die Adressbuch-Funktionalität überprüft werden: Wenn leicht Fehler bei der Empfängerauswahl geschehen können, müssen Systemadministration oder Dienstleister beauftragt werden, um die Konfiguration zu ändern. Lieber die E-Mail-Adresse vollständig neu eintippen, als schützenswerte Daten an falsche Adressaten zu senden."

Und wenn es passiert ist
Gerät eine E-Mail, die man nur für den berechtigten Empfänger verschlüsselt hat, an die falsche Adresse, ist es halb so schlimm: Immerhin kann der Fehladressat den Inhalt nicht entschlüsseln, sondern lediglich Betrefftext und die Kommunikationsabsicht feststellen. Aber auch dies kann schon eine Verletzung der Schweigepflicht bedeuten, wenn sich daraus Rückschlüsse über die betroffene Person ergeben.

Gelangen sensible Daten über eine Person in falsche Hände und drohen schwerwiegende Beeinträchtigungen für deren Rechte oder schutzwürdige Interessen, ist dies ein meldepflichtiger Verstoß gegen das Datenschutzrecht: Sowohl Firmen als auch öffentliche Stellen müssen dies unverzüglich der Aufsichtsbehörde (in Schleswig-Holstein: dem ULD) und üblicherweise auch dem Betroffenen mitteilen (§ 42a Bundesdatenschutzgesetz bzw. § 27a Landesdatenschutzgesetz Schleswig-Holstein).

Außerdem muss der Sender Maßnahmen treffen, um einen Missbrauch der Daten zu verhindern, z. B. durch Kontaktaufnahme mit dem falschen Empfänger. Klar ist: Ein simpler Verweis im Abspann, nur berechtigte Adressaten sollten die E-Mail lesen und verwenden, reicht dafür nicht aus. Jede verantwortliche Stelle sollte daher organisatorische Prozesse für den Fall einer Fehladressierung und generell zum Umsetzen der Informationspflicht bei Datenpannen definieren. (ULD: ra)

eingetragen: 29.06.16
Home & Newsletterlauf: 27.07.16

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Stresstest der Europäischen Zentralbank

    Am 2. Januar 2024 hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Insgesamt sind mehr als 100 Banken betroffen, ein tiefer gehender Test steht im Nachgang für über 20 dieser Banken an. Mit der "Trockenübung" eines Cyberangriffs möchte die EZB Melde- und Wiederherstellungsprozesse der Banken prüfen. Welche größeren Schwachstellen wird die EZB dabei identifizieren?

  • Compliance, Regulierung und betriebliche Risiken

    Betriebsleiter jonglieren täglich mit unterschiedlichen Risiken. Es ist ihre Aufgabe, bestehende Risiken zu bewerten und abzuschwächen sowie Strategien zur Vermeidung künftiger Risiken zu entwickeln. Dabei steht viel auf dem Spiel: Risikofolgen reichen von Produktivitätsverlusten - während die Mitarbeiter mit der Behebung von Fehlern beschäftigt sind - bis hin zu Geldverschwendung, wenn Fristen und Fortschritte nicht eingehalten werden.

  • An der Quelle der Informationen beginnen

    Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen.

  • DORA-Compliance komplex

    Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein.

  • Umsetzung der ESG-Verordnung

    Im Sommer 2021 wurde von der EU das "Europäische Klimagesetz" verabschiedet. Es soll helfen, den Klimaschutz spürbar voranzutreiben. Eine der beschlossenen Maßnahmen ist das sogenannte ESG-Reporting, das viele Unternehmen erst einmal vor Herausforderungen stellt.

Änderung des Telemediengesetzes Wie vererbt man Auslandsimmobilien?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen