Von Cloud-Diensten im Allgemeinen, aber auch von Microsoft im Speziellen, werden häufig Verschlüsselungsmöglichkeiten gefordert. Dabei muss bei Verschlüsselung, damit sie ihren Zweck erfüllt, einiges beachtet werden. In dieser Folge spricht Heiko Gossen mit Stephanus Schulte von Microsoft Deutschland über die datenschutzrelevanten Details.
Microsoft Teams besteht aus verschiedenen Anwendungen. Zum Beispiel wird für die Speicherung von Dokumenten u.a. Sharepoint online gesetzt.
Heiko Gossen klärt daher mit Friedhelm Peplowski, Technology Specialist bei Microsoft Deutschland, wichtige Details, die es unter Datenschutzaspekten zu wissen gilt.
Dieser Beitrag knüpft an unseren letzten Blog- Beitrag „Datenschutz im Online-Handel – Bonitätsprüfung“ an und ist Bestandteil der Reihe „Datenschutz im Online-Handel und Zahlungsverkehr“. Zum einen sollen einige der angesprochenen Themen etwas weiter vertieft werden, zum anderen soll deren Relevanz für Finanzinstitute in den Fokus gerückt werden. Letzteres erscheint angezeigt, da der bereits erschienene Beitrag seinen Fokus auf den Online-Handel legte, sich bei Finanzinstituten jedoch ein paar Besonderheiten daraus ergeben, da sie Bestandteil der „kritischen Infrastruktur“ sind.
Ein Online-Händler wird, soweit er das nicht ohnehin schon weiß, sehr schnell feststellen, dass nicht jede Bezahlform in jedem Fall eine optimale Einhaltung der Zahlungsverpflichtungen seitens des Bestellers/Kunden hervorruft. Vor diesem Hintergrund wird er alsbald beginnen, sich Gedanken darum zu machen, wie er sicherstellen kann, dass er auch die Bezahlung für seine Ware oder Dienstleistung erhält. Dazu gehört, dass er sich Informationen beschafft.
Indem er dies tut, führt er bei seinen Kunden eine Prüfung der Kreditwürdigkeit oder auch Bonitätsprüfung durch.
Wie bereits in dem Blogbeitrag von David Schmidt „Datenschutz im Online-Handel – Was müssen Webshop-Betreiber beachten?“ erwähnt, ist die Einbindung von Zahlungsdiensteanbietern auch im Bereich des Online-Handels mit datenschutzrechtlichen Anforderungen verbunden.
Für den Online-Händler ergibt sich daraus natürlich ein Risiko, dass der Kunde nach Erhalt der Lieferung die Rechnung nicht bezahlen wird oder der Händler einem Betrüger aufgesessen ist. Laut der ECC-Studie sind bereits 40 Prozent der Online-Händler Opfer von Betrügern geworden.
Um das Risiko zu minimieren, nutzen viele Betreiber von Web-Shops bereits die Unterstützung von Zahlungsdiensteanbietern. Das reicht von der einfachen Bonitätsprüfung oder das Inkasso bis zum kompletten Factoring.
Im Jahr 2021 erzielte das Onlinegeschäft in Deutschland einen Umsatz von rund 99,1 Milliarden Euro. Dies ist eine Steigerung von knapp 19 % im Vergleich zum Vorjahr.
In Anbetracht der fortschreitenden Digitalisierung und nur langsam abklingenden Pandemie, ist davon auszugehen, dass dieser Trend sich auch in den nächsten Jahren fortsetzen wird. Betreiber von Webshops müssen dabei jedoch zunehmenden gesetzlichen Anforderungen gerecht werden, dazu gehört auch die Umsetzung der datenschutzrechtlichen Vorgaben.
Durch die vielen Urteile, die deutsche und europäische Gerichte in den letzten Monaten zu den Themen Haftung und Schadensersatz erlassen haben, wird deutlich, dass hier für Unternehmen auch ein finanzielles Risiko liegt. Daneben fallen auch die Bußgelder, die durch Datenschutzaufsichts- behörden verhängt werden, zunehmend ins Gewicht.
Wir unterhalten uns mit Tim Wybitul von der Kanzlei Latham & Watkins zu den Artikeln 82 und 83 der Datenschutzgrundverordnung. Rechtsanwalt Tim Wybitul vermittelt uns seine Eindrücke und Erfahrungen, die er und seine Kollegen in Gerichtsverhandlungen gesammelt haben.
Eine kurzweilige Folge, die auch für Entscheider spannend sein kann.
Im zweiten Teil unserer Mini-Serie mit Dr. Ralf Stodt sprechen wir über die Vorbereitung auf den Ernstfall. Ausgehend von der Annahme, dass es keine Frage des „ob“, sondern nur des „wann“ man selbst betroffen ist, klären wir, wie man sich auf den Ernstfall vernünftig vorbereitet. Mit guter Vorbereitung vermeidet man Fehler, die den Schaden vergrößern und/oder eine Aufklärung verhindern könnten.
Dabei besprechen wir auch die Sinnhaftigkeit von Cybersecurity-Versicherungen, welchen Vorteil virtualisierte Systeme mit sich bringen und warum auch für Mitarbeitende eine Notfallkarte sehr wertvoll ist. Last but not least klären wir auch, wie die Wichtigkeit von Recovery-Tests (Wiederherstellungstests von erstellten Backups) einzustufen ist und worauf man sich dabei konzentrieren sollte.
Die Idee, dass die betroffene Person ein Recht auf Löschung ihrer Daten hat, ist fast so alt, wie die Gesetzgebung zum Datenschutz. Bereits im ersten Bundesdatenschutzgesetz von 1977 ist die Löschung von personenbezogenen Daten vorgesehen. Dabei gibt es hier bereits das Konzept der Zweiteilung: Zum einen ist es ein Recht, dass die betroffene Person ausüben kann (§ 4 Nr. 4 BDSG 1977) zum anderen ist es eine Verpflichtung, die der Verantwortliche hat (§ 14 Abs. 3 BDSG 1977). So war die Löschung von personenbezogenen Daten immer dann vorgesehen, wenn die Kenntnis der Daten für die Aufgabenerfüllung nicht mehr erforderlich war.
Die Verbesserung der Cybersicherheit ist auch in kleinen und mittelständischen Unternehmen zunehmend wichtiger. Viele Unternehmer mussten das in den letzten Jahren schmerzlich lernen, die meisten können aber noch vorsorgen. Heiko Gossen geht in dieser Episode gemeinsam mit seinem Gast Dr. Ralf Stodt – Head of Security Operations bei MAGELLAN Netzwerken – der Frage nach, wie können KMU ihre Cybersicherheit auch bei kleinem Budget sinnvoll verbessern.
Unternehmen aller Größenordnungen haben Schwachstellen. Gegenüber großen Unternehmen stehen IT-Verantwortliche in kleinen und mittelständischen Unternehmen oft vor der Herausforderung, vom ohnehin engen Budget auch einen angemessenen Security Betrieb sicherstellen zu können. Daher gehen Heiko Gossen und Dr. Ralf Stodt das Thema mal speziell für Betriebe mit limitiertem Security-Budget an. Neben der Frage, wie und wo man sich über die Bedrohungslage informieren kann, geht es auch um Aufgaben die man teilweise intern lösen kann und wie man Angriffe früh erkennen kann. Die Aufnahme erfolgte bereits im Dezember 2021.
Kapitel:
▪ 00:00:00.000 Willkommen
▪ 00:00:20.001 Begrüßung und Vorstellung Dr. Ralf Stodt
▪ 00:02:44.569 Herangehensweise zur Bewertung der Bedrohungslage
▪ 00:07:20.524 Informationsquellen
▪ 00:11:43.663 Laufende Überwachung – auch von smarten Komponenten
▪ 00:16:11.753 Zwischensumme
▪ 00:17:23.099 Operational Security
▪ 00:19:31.248 Zwei Komponenten des Sicherheitskonzepts
▪ 00:22:19.301 Alarme einstellen
▪ 00:28:17.895 Erste Schritte zur Umsetzung
▪ 00:37:53.863 Angriffsziele
▪ 00:41:37.034 Zusammenfassung
▪ 00:45:01.075 Externer Support
▪ 00:47:55.136 Kostenlose Tools
▪ 00:49:38.448 Verabschiedung
Anfang Februar folgt der zweite Teil dieser Reihe, in der die beiden sich auf eine Cybersecurity Krise vorbereiten.
