By: Comments off 15. April 2021

Home-Office und Videokonferenzen

  1. Sicheres Arbeiten auch von zuhause

Auch 2021 steht ganz im Zeichen von Corona und damit verbunden die Arbeit von zuhause. Mit den steigenden Zahlen von Home-Office Arbeitsplätzen, stieg auch die Zahlen der Hackerangriffe, Phishing E-Mails oder Dokumente mit Schadsoftware. Auch im Unternehmen ist man nicht zu 100 % von den Cyber-Attacken geschützt, aber die Wahrscheinlichkeit ist geringer als bei Heimarbeitsplätzen.

Weiterhin gelten die Regeln der Sicherheit und Vorsicht bei Links, Websites, E-Mails und Anhängen.

Die Administratoren haben bei einem Home-Office Platz dafür zu sorgen, dass die IT und Datensicherheit mittels Firewall und VPN Tunnel vergewissert ist.

Was können Sie tun, um einen sicheren Home-Office Arbeitsplatz zu gewährleisten?

  • Vertrauliche Dokumente werden eingeschlossen bzw. zumindest geschützt vor fremden Zugriff
  • Firmenrechner werden mit dem Firmen-Netzwerk über eine VPN verbunden
  • Kommunikation erfolgt ausschließlich über den VPN-Tunnel
  • Anschluss privater Endgeräte an Firmenrechner sind verboten
  • Alle Geräte bleiben in zentraler Verwaltung
  • Nichts in einem Cloud Service speichern
  1. Verwendung von Microsoft 365

Microsoft 365 ist eine cloudbasierte Version des Office Anwendungspakets (Outlook, Word, Excel, Power point, Access, OneDrive). Damit hat Microsoft Office einen unschätzbaren Stellenwert in den meisten Büros. Gerade weil es sich dort um eine Software mit Cloud Funktion handelt und die Daten auf den Servern bei Microsoft liegen, muss der Datenschutz besonders gewährleistet sein.

Wichtig ist zunächst die Verschlüsselung der Daten. Zwar sind die Daten bei Microsoft auf Dateisystemebene verschlüsselt, jedoch könnte Microsoft im Notfall immer darauf zugreifen.

Um das zu unterbinden, bedarf es einem eigenen Schlüssel, sodass der Datentransfer zwischen dem Endbenutzer und der Cloud transportverschlüsselt ist, und ein Dritter nicht mitlesen kann, welche Daten gesendet werden.

Für Microsoft Teams wird das Secure Real Time Protocol (SRTP) verwendet. Jedoch erfolgt dadurch keine End-to-End Verschlüsselung zwischen zwei Teilnehmer, die Teams nutzen. An sich ist es bei Teams gut, dass jeder Benutzer erstmal nur Zugriff auf seine eigenen Daten hat, die er mit anderen teilen. IT-Administratoren können die Kommunikation nicht live mitverfolgen.(mehr dazu in Videokonferenz Tools)

Und am Ende bleibt Microsoft 365, in Verbindung mit OneDrive, ein umstrittenes Thema im Datenschutz.

  1. Videokonferenz Tools in Verbindung mit dem Datenschutz

Video- und Telefonkonferenzen sind die Kommunikationsmittel der Stunde. Doch nur wenige weisen ein ausreichend gerechtes Datenschutzniveau vor. Hier stellen wir Ihnen einige mit ihren Vor- und Nachteilen vor.

Jitsi Meet:

Hier handelt es sich um ein Open-Source Projekt, welches erstens kostenlos verwendet werden kann und DSGVO-konform einsetzbar ist. Um die Datensicherheit voll und ganz zu gewährleisten, sollte man Jitsi auf einem eigenen Server verwenden. Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Der Nachteil ist das aufwendige Integrieren und Implementieren.

Nextcloud Talk:

Bei dieser Software handelt es sich auch um ein Open-Source Projekt, wie bei Jitsi. Dieses Tool ist datenschutzrechtlich unbedenklich. Allerdings soll es einige Schwierigkeiten bei Videokonferenzen mit hohen Teilnehmerzahlen geben.

Teams:

Teams ist privat, sowie geschäftlich eines der am weitesten verbreiteten Videokonferenz-Tools. Deswegen wiegt die Kritik der Aufsichtsbehörde für Datenschutz von Juli 2020 sehr schwer. Der geprüfte Auftragsverarbeitungsvertrag weist gewisse Mängel auf, die eine rechtskonforme Anwendung für die Behörde nicht möglich machen, darunter fällt auch die von Microsoft veränderte deutsche Vertragsversion von Januar 2020.

Die deutschen Aufsichtsbehörden sind nicht überzeugt von den neuen vertraglichen Maßnahmen von Microsoft aufgrund des Schrems EuGH Urteils.

Eine weitergehende Prüfung der datenschutzrechtlich relevanten und rechtlichen Zwecke wurde aber nicht vorgenommen. Am Ende sind dies Einzelentscheidungen einer Aufsichtsbehörde. Auch eine höchstrichterliche Rechtsprechung existiert momentan noch nicht. Es bleibt abzuwarten, ob weitere Vertragsanpassungen auf Seiten von Microsoft anstehen.

Doch was bedeutet das für die Nutzer von Teams? Solange man ein Unternehmen hat, für welches die Berliner Aufsichtsbehörde zuständig ist, ist die Verwendung von Microsoft Teams abzuraten und auf ein datenschutzfreundlicheres Videokonferenz-Tool zurückzugreifen.

Andere Aufsichtsbehörden könnten die Ansichten der Berliner Aufsichtsbehörden differenzierter betrachten.

Websites

Datenschutzgerechte Einbindung von Tools

  1. Google Maps

Die Verwendung von Google Maps wird seit dem Schrems Urteil zum US-Privacy Shield vom 16.07.2020 zu einem datenschutzrechtlichen Risiko. Jedoch können Sie auf viele Websites nicht hinweg gedacht werden.

Demnach ist es umso wichtiger, das Maps Tool von Google datenschutzkonform in die Website einzubinden.

Wichtig ist zunächst, dass in der Datenschutzerklärung ein Hinweis hinsichtlich der Nutzung von Google Maps erfolgt. Auch gilt es zu erwähnen, dass es sich bei der USA, wo die Server von Google sind, um ein unsicheres Drittland handelt und dass beim Anklicken der Karte bereits personenbezogene Daten des Nutzers an Google übertragen werden.

Weiterhin erstreckt sich mit dem EuGH Urteil eine Einwilligungswelle bei Cookies. Mithin bedarf es immer dann einer Einwilligung des Nutzers, wenn der Betreiber der Websites Cookies verwendet, die nicht zwingend notwendig sind.

Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 (f) DSGVO gewährleistet kein Setzen dieser Cookies mehr.

Problem -> Lösung (Shariff und Co.)

Mit dem auftretenden Problem der Unsicherheit, ob man Google Maps nun datenschutzkonform einbindet kommt auch eine sogenannte 2-Klick Lösung, die sicherstellt, dass erst dann Daten übertragen werden, wenn der Nutzer die Karte anklickt.

Der Bereich, der für die Maps Karte gedacht ist, wird durch eine Grafik überspielt, die als Platzhalter dient. Auf dieser Grafik kann der Betreiber entweder einen Link zur Datenschutzerklärung oder einen Hinweis einbauen.

Shariff Wrapper, Embetty zum Beispiel sind Projekte, die diese datenschutzgerechte 2-Klick Lösung voranbringen.

  1. reCaptcha

Und wieder sind wir bei einem Risikotool von Google. (Hier bedarf es wieder einer Einwilligung der Besuchers über den Cookie Banner)

reCaptcha soll verhindern, dass Bots gewisse Interaktionen auf den Websites missbrauchen (Umfragen, Kommentare, Registrierung usw.)

Für Webseiten Betreiber ist der Algorithmus eine Erleichterung.

reCpatcha wird mittels eines JavaScript-Elements in den Quelltext eingebunden und befindet sich somit ständig im Hintergrund. Dadurch wird das Nutzerverhalten analysiert und an Google weitergeleitet. Diese Analyse kann zu einem unrechtmäßigem Profiling führen. Darunter fallen unter anderem personenbezogene Daten wie IP-Adresse, Referrer URL, das Betriebssystem des Nutzers, Cookies, sogar die Mausbewegungen und Tastaturanschläge.

Google hält sich mit den Hinweisen bedeckt, welche der Daten gesammelt werden und wie sie verwendet werden.

Problem -> Lösung

Honigtöpfe/Honeypots als Alternativen, um Bots reinzulegen. Dabei werden beispielsweise Kontaktformulare erweitert, die für menschliche Nutzer nicht sichtbar sind. Bots, die nur den Quellcode lesen und auf die Erweiterungen eingehen, werden somit einfach rausgefiltert.

Auch schadet es nicht, sich Anbieter von Captchas anzugucken, die etwas datenschutzfreundlicher als Google arbeiten (hcaptcha, friendly captcha)

  1. Mailchimp

Achtung für die Nutzer des Newsletter Dienstes Mailchimp. Dieser wurde erst kürzlich von dem Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) für unzulässig erklärt. Zwar ist dies eine Einzelfallentscheidung, jedoch zeigt sie von zukünftiger Relevanz in Verbindung mit unzureichenden Standardvertragsklauseln in ein unsicheres Drittland wie die USA. Mailchimp nutzt als Rechtsgrundlage für die Übermittlung der Daten in die USA Standardvertragsklauseln, die kein ausreichendes Datenschutzniveau gewährleisten.

Das betroffene Unternehme verwendete den Newsletter Dienst ungeprüft. Zur Vergewisserung sind hier nochmal die Punkte aufgelistet, die vor einer Datenübermittlung in ein Drittland geprüft werden müssen.

  • Welche personenbezogenen Daten sind betroffen und welche Gefahr besteht für diese?
  • Welche Maßnahmen trifft der Anbieter, um die Daten zu schützen? Und welche weiteren Maßnahmen müssen ggf. noch ergriffen werden?
  • Welche alternativen Anbieter in der EU können eingesetzt werden? Und welchen Aufwand würde eine Umstellung auf einen anderen Anbieter bedeuten?
Author: Total Post: 31