Sie sind hier: Home » Markt » Hinweise & Tipps

Missbrauch der Daten verhindern


Eigentlich eine Selbstverständlichkeit, aber gar nicht so einfach: E-Mails an den Richtigen versenden
Wer mit sensiblen Daten hantiert, muss besondere Sorgfalt walten lassen



Wichtige Schreiben per E-Mail zu versenden, ist praktisch: Es geht schnell, und die Empfänger können die Daten im digitalen Format gleich weiterverarbeiten. Aber ist es auch sicher? Werden E-Mails über das Internet versandt, sind sie nicht gegen ein Mitlesen geschützt. Um die Vertraulichkeit der Nachrichten zu gewährleisten, muss man sie verschlüsseln. Zumindest für Berufsgruppen, die besonderen Verschwiegenheitsverpflichtungen unterliegen, sollte dies selbstverständlich sein. Achtung: Der Betreff der E-Mail und die Informationen über Sender und Empfänger sind trotzdem sichtbar.

Marit Hansen, die Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), nennt Beispiele: "Die Schweigepflicht verbietet es, zum persönlichen Lebensbereich gehörende Geheimnisse anderer Personen zu offenbaren. Dies gilt beispielsweise für Ärztinnen und Ärzte, für Beraterinnen und Berater im psychologischen oder sozialen Bereich, für Anwältinnen und Anwälte und allgemein für Amtsträger im öffentlichen Dienst. Sie dürfen keine fremden Geheimnisse offenbaren, die ihnen in ihrer beruflichen Eigenschaft anvertraut oder sonst bekannt werden. Daher bitte keine E-Mails mit einem Betreff wie "Ermittlungsverfahren gegen Mia Mustersen" oder "Psychiatrisches Gutachten über Max Mustersdotter" versenden."

Für E-Mails, die nicht über das Internet, sondern innerhalb von abgeschotteten Netzen versandt werden, ist ebenfalls zu prüfen, inwieweit als zusätzliche Sicherheitsmaßnahme verschlüsselt werden muss, um vor unberechtigter Kenntnisnahme zu schützen. Weiterhin muss gewährleistet sein, dass die Nachrichten bei der Zustellung den abgeschotteten Bereich nicht verlassen können. Wenn das Risiko zu hoch ist, dürfen die E-Mails nicht ungesichert verschickt werden.

Ein Problem, das in der Vergangenheit häufiger an das ULD herangetragen wurde, ist der Umstand, dass ein Sender einen falschen Empfänger eingegeben hat. Die meisten E-Mail-Programme unterstützen den Sender dabei, den Namen des Empfängers auszuwählen, indem sie die Eingabe der Anfangsbuchstaben des Namens automatisch vervollständigen oder eine Liste von infrage kommenden Empfängern anbieten. Hier hat schon mancher Sender zu schnell geklickt und die Nachricht an die falschen Empfänger geschickt. Besonders schwierig sind die Fälle von Namensgleichheit, wenn sich verschiedene Personen mit demselben Vor- und Nachnamen im Adressbuch finden. Hier ist besondere Aufmerksamkeit vonnöten: Am besten blendet man zusätzlich zum Anzeigenamen stets die zugehörige E-Mail-Adresse ein, um auf einen Blick den prüft vor dem Absenden, ob man alles richtig gemacht hat.

Weiterhin können die Doppelgänger im Adressbuch etwa durch Angabe der Organisation ergänzt werden, um die Einträge auf einen Blick unterscheiden zu können. Jeder, der ein Adressbuch pflegt, sollte solche gleichen oder ähnlichen Mehrfacheinträge im Blick haben. Oft lassen sich die Adressbücher nach Kategorien aufteilen, beispielsweise um die Adressen im abgeschotteten internen Netz nicht mit solchen Adressen zu verwechseln, bei denen eine Zusendung über das Internet erfolgt.

Marit Hansen dazu: "Wer mit sensiblen Daten hantiert, muss besondere Sorgfalt walten lassen. Ein Flugzeug darf auch erst starten, wenn sich die Piloten davon überzeugt haben, dass alles richtig konfiguriert ist. Die Beschäftigten müssen daher geschult werden, wie sie erkennen können, dass alles korrekt ist, und wo mögliche Fehlerquellen lauern. In diesem Zusammenhang sollte auch die Nutzerführung der E-Mail-Software oder die Adressbuch-Funktionalität überprüft werden: Wenn leicht Fehler bei der Empfängerauswahl geschehen können, müssen Systemadministration oder Dienstleister beauftragt werden, um die Konfiguration zu ändern. Lieber die E-Mail-Adresse vollständig neu eintippen, als schützenswerte Daten an falsche Adressaten zu senden."

Und wenn es passiert ist
Gerät eine E-Mail, die man nur für den berechtigten Empfänger verschlüsselt hat, an die falsche Adresse, ist es halb so schlimm: Immerhin kann der Fehladressat den Inhalt nicht entschlüsseln, sondern lediglich Betrefftext und die Kommunikationsabsicht feststellen. Aber auch dies kann schon eine Verletzung der Schweigepflicht bedeuten, wenn sich daraus Rückschlüsse über die betroffene Person ergeben.

Gelangen sensible Daten über eine Person in falsche Hände und drohen schwerwiegende Beeinträchtigungen für deren Rechte oder schutzwürdige Interessen, ist dies ein meldepflichtiger Verstoß gegen das Datenschutzrecht: Sowohl Firmen als auch öffentliche Stellen müssen dies unverzüglich der Aufsichtsbehörde (in Schleswig-Holstein: dem ULD) und üblicherweise auch dem Betroffenen mitteilen (§ 42a Bundesdatenschutzgesetz bzw. § 27a Landesdatenschutzgesetz Schleswig-Holstein).

Außerdem muss der Sender Maßnahmen treffen, um einen Missbrauch der Daten zu verhindern, z. B. durch Kontaktaufnahme mit dem falschen Empfänger. Klar ist: Ein simpler Verweis im Abspann, nur berechtigte Adressaten sollten die E-Mail lesen und verwenden, reicht dafür nicht aus. Jede verantwortliche Stelle sollte daher organisatorische Prozesse für den Fall einer Fehladressierung und generell zum Umsetzen der Informationspflicht bei Datenpannen definieren. (ULD: ra)

eingetragen: 29.06.16
Home & Newsletterlauf: 27.07.16

ULD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

  • NIS-2-Umsetzung in Deutschland

    Mit dem neuen für NIS-2-Gesetz kommen auf viele Unternehmen strengere Cybersicherheitsanforderungen zu - doch es gibt noch offene Fragen und neue Entwicklungen, die bisher wenig Beachtung gefunden haben. Jetzt ist die Zeit zum Handeln. Seit der Verabschiedung der NIS-2-Richtlinie durch die EU im Jahr 2022 war die Umsetzung in den Mitgliedstaaten ein komplexer Prozess.

  • Dem Fiskus drei Schritte voraus

    Teure Materialien sowie steigende Energie- und Transportpreise sind nur zwei Gründe, warum in zahlreichen Unternehmen der Sparzwang wächst. "Unvorhergesehene und potenziell kostspielige Steuernachzahlungen können in einer ohnehin angespannten Situation den Druck auf die finanziellen Ressourcen empfindlich erhöhen", weiß Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld.

  • Gesetze über Gesetze

    Der Countdown läuft: Die NIS2-Richtlinie steht praktisch schon vor der Tür und Betreiber kritischer Infrastrukturen (KRITIS) arbeiten auf Hochtouren daran, bis Oktober alle notwendigen Maßnahmen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen