Home

Computer, Netzwerke, Service
für Firmen

NetDesign wurde 2006 gegründet
und ist im Klein- und Mittelständischen Umfeld tätig.

Unser Schwerpunkt liegt im Bereich Vernetzung, Routing, VPN, Netzwerkadministration, Softwareadministration, Virtuelle Umgebungen und Dienstleistungen wie IT-Sicherheitskonzept und externer Datenschutzbeauftragter.

Wir beraten Sie individuell und finden Ihre passende Lösung.
Unsere Kunden sind unsere Partner.

 

Immer mehr Menschen kommunizieren im privaten und zunehmend auch im geschäftlichen Umfeld mit Messengern.
Die Kommunikation ist unkompliziert, schnell und ergänzt oder verdrängt häufig klassische Kommunikationswege wie Brief oder E-Mail.
Als Datenschutzbeauftragter wurde ich nach meiner Einschätzung zur Nutzung gefragt.
Dabei stehen die Datenschutz-Bedenken gar nicht im Vordergrund.

1. Lizenzrecht
Nicht jeder Messenger ist für die kommerzielle Nutzung frei gegeben.
Die Nutzung ohne Genehmigung einer kommerziellen Nutzung führt zu einer Vertrags- und zu einer Urheberrechtsverletzung, die entsprechende Unterlassungs- und Schadenersatzansprüche des Betreibers nach sich ziehen kann; darüber hinaus können Urheberrechtsverletzungen sogar strafrechtlich relevant sein (§ 106 UrhG).

Die kommerzielle Nutzung ist beispielsweise nicht erlaubt bei WhatsApp, Viber oder SIMSme.

2. Datenschutz
Wenn ein Messenger-Dienst nach Anmeldung auf einem Firmen-Smartphone auf das gesamte Kontaktverzeichnis des Anmelders zugreift, um zu überprüfen, welche Kontakte des Anmelders bereits bei dem entsprechenden Dienst registriert sind, würden regelmäßig auch die Kontaktdaten von Personen, die nicht als Nutzer bei dem jeweiligen Dienst registriert sind, an diesen übermittelt.
Für diese Übermittlung fehlt es jedoch datenschutzrechtlich an der notwendigen Legitimation (DSGVO Art. 6).
Die Nutzung stellt einen bußgeldbewährten Verstoß gegen die DSGVO dar.

Die Nutzung von WhatsApp oder WhatsApp Business ist datenschutzrechtlich daher nicht oder nur eingeschränkt mit speziellen Maßnahmen möglich.

3. Datensicherheit
In Chats werden oft sensible Firmendaten und Personendaten übermittelt.
Ein Messenger-Dienst muss hier ähnlich wie ein E-Mail-Dienst betrachtet werden.
Eine durchgehende Ende-zu-Ende Verschlüsselung ist notwendig zum Schutz der o.g. Daten. Sie ist andererseits auch notwendig, um den datenschutzrechtlichen Verpflichtungen zum Ergreifen technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten, die im Rahmen der Chat-Verläufe ausgetauscht werden könnten, vor unbefugtem Zugriff gerecht zu werden.

Die Vorgabe der Verschlüsselung erfüllen die meisten gängigen Messenger.

4. Unternehmerische Form-Pflichten
Wird ein Messenger-Dienst betrieblich genutzt, sind unternehmerische Pflichten auch im Rahmen der Form dieser Kommunikation gegenüber Kunden einzuhalten.
Ein Geschäftsbrief ist jede nach außen gerichtete Mitteilung des Unternehmens, die inhaltlich deren geschäftliche Betätigung betrifft, und muß bestimmte Mindestangaben wie Rechtsform, Sitz der Gesellschaft, das Registergericht etc. beinhalten.

Die Form-Pflichten erfüllen nur die kostenpflichtigen kommerziellen Messenger-Dienste wie WhatsApp-Business, TeamWire usw. (siehe unten).

5. Aufbewahrungspflichten nach HGB und AO
So wie bei E-Mails besteht auch bei Chat-Nachrichten eine Archivierungspflicht.
Alle gängigen kostenfreien Messenger wie WhatsApp, Threema, Signal, Wire erfüllen diese Forderung nicht.

Fazit
Die dargestellten Handlungspflichten der Unternehmen machen es notwendig, Nutzungsregelungen zum Umgang mit den Messenger-Diensten aufzustellen, die die jeweiligen Pflichten widerspiegeln.

Nur ausgewählte Business-Lösungen erfüllen alle genannten Anforderungen.

Meiden Sie WhatsApp im geschäftlichen Bereich und begrenzen Sie die Nutzung auf den Privatbereich.
» Die gewerbliche Nutzung ist unrechtmäßig.

Messenger wie Threema und Signal
» erfüllen die Punkte 1-3,
» scheitern aber an Punkt 4-5.
Gegenüber WhatsApp sind sie aber die bessere Wahl.

WhatsApp Business könnte eine interessante Alternative werden.
Der Privatbereich wird durch unterschiedliche Rufnummern vom geschäftlichen Bereich getrennt, läßt sich aber trotzdem auf dem selben Gerät nutzen.
Die Chat-Gegenseite ist über das verbreitete (normale) WhatsApp gut erreichbar.
» Punkte 1, 3 und 4 sind erfüllt.
» Punkt 2 ist lösbar,
» Punkt 5 muß durch entsprechende Regelungen gelöst werden.
Wirklich professionell ist die Lösung bisher nicht.
Die Nutzung am PC geht nur eingeschränkt, die Nutzung am iPhone wird noch nicht unterstützt.
Betrieb auf mehreren Geräten, Nutzerverwaltung, Archivierung fehlen.
Die Kosten sind noch unklar.
Zudem will WhatsApp ab 2019 Werbung schalten.

Auf der sicheren Seite sind Sie mit kostenpflichtigen Business-Messengern wie TeamWire, Threema Work, SIMSme Business oder Ginlo (ohne Vollständigkeit und Gewähr von Funktionen).
Sie erfüllen die oben genannten Forderungen und können außerdem zentral administriert werden, hosten innerhalb der EU und können auf mehreren Geräten genutzt werden
Problem: Ihre Chat-Partner benötigen das selbe Programm.

Das niederländische Ministerium für Sicherheit und Rechtbeauftragte Spezialisten mit der Prüfung, ob die eingesetzte Software die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllen.
Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation.

Hier einige Punkte:

  • Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist.
  • Ähnlich wie bei Windows 10 hat Microsoft in die Office-Software eine separate Software integriert, die regelmäßig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, wenn Sie die Rücktaste mehrmals hintereinander verwenden, was wahrscheinlich bedeutet, dass Sie die korrekte Schreibweise nicht kennen. Aber auch der Satz vor und nach einem Wort, den Sie im Online-Rechtschreibprüfung oder Übersetzungsdienst nachschlagen.
  • Microsoft sammelt nicht nur Nutzungsdaten über den eingebauten Telemetrie-Client, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise über die Office-Software auf einen Connected Service wie den Übersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten über diese Nutzung in sogenannten systemseitig generierten Ereignisprotokollen speichern.
Microsoft bietet zudem Dienste über das Internet an, die in Office 365 (und auch Office 2016 und 2019) prominent beworben und heraus gestellt werden. Aus technischer Sicht ist es aber unvermeidlich, dass Nutzer Microsoft Daten wie den Header ihrer E-Mail und ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Das alleine sind aber schon persönliche Informationen, die nach DSGVO ohne explizite Zustimmung des Benutzers nicht verarbeitet und gespeichert werden. Wer also Office 2016 in Firmen einsetzt, verstößt als DSGVO-Verantwortlicher gegen die DSGVO.

Am 7.11.2018 häuften sich Meldungen, dass die Microsoft-Aktivierungsserver nicht erreichbar sind.
Microsoft bestätigt die Panne und spricht von voraussichtlich 1-2 Tagen Ausfallzeit.
OK, es kann überall mal ein Server ausfallen.
Aber eine so kritische Infrastruktur wie der MS Aktivierungsserver?
Und so lange??
Peinlich.

Am 8.11.2018 häuften sich Meldungen, dass Windows 10 -Installationen ihre Lizenz verlieren und auf Home-Edition zurück fallen.
Ich hatte auch am 9.11.2018 noch reihenweise Win10 Prof -Installationen ohne gültiger Lizenz.
Das ist schon mehr als peinlich.

Nun mache ich mir Gedanken:
• So einfach ist es möglich, dass Microsoft alle laufenden Windows 10- Installationen deaktiviert?
• Windows 10 fragt praktisch täglich seine Lizenz online ab?
• Was passiert mit den Lizenzen bei PCs in kritischer Infrastruktur, die keinen Kontakt zum Internet haben?

Noch in diesem Jahr würden Bußgelder „in erheblichem Umfang anfallen“, sagte der Chef der Behörde in Baden-Württemberg, Stefan Brink, dem Handelsblatt.
Als Beispiele für DSGVO-Verstöße nannte Brink rechtswidrige Videoüberwachungen sowie Verletzungen des Schutzes personenbezogener Daten.
Auch die anderen Bundesländer haben bereits Verwarnungen ausgesprochen und Bußgeldverfahren laufen.

Microsofts Server merken sich auch ohne Microsoft-Konto, welche Apps man unter Windows 10 installiert – offenbar anhand einer Hardware-Kennung.
Besucht man unter Windows 10 den MS Store, kommt man ins Staunen.
Auch ohne ein MS-Konto werden hier alle installierten Apps und Verläufe aufgelistet (siehe Screen von Borncity).

Ich war erstaunt, wie viel Mist dort läuft, ohne dass ich jemals den AppStore mit diesem PC betreten hatte.
Hier aktualisieren sich munter die unsinnigsten Programme und belegen die oft knappe Internet-Bandbreite.
Die Identifizierung erfolgt offensichtlich über eine Hardware-ID, wahrscheinlich ist das auch die ID für die Aktivierung des Betriebssystems.
Man bekommt einen kleinen Einblick, wie "gläsern" der PC gegenüber MS ist, auch wenn man denkt, dass man alles richtig macht.
Das Betriebssystem soll seine Daten lokal auf dem PC behalten und ohne ständigen Onlineaustausch arbeiten.
Diese Voraussetzungen erfüllt Windows 10 nicht.


Unser Angebot - Ihr externer Datenschutzbeauftragter.

Im Unterschied zu den vielen Online-Angeboten wollen wir den Ablauf in Ihrem Unternehmen wirklich sehen und arbeiten mit diesem Angebot nur regional.

Sie haben Interesse? Bitte sprechen Sie uns an.
E-Mail: dsb@bianka-kernchen.de
Telefon: +49 / 3 44 66 / 71 242

Zunächst fallen Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend auf Stundenbasis.

Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht als Ansprechpartner zur Verfügung. Die Abrechnung erfolgt monatsbezogen pauschal oder auf Basis der erbrachten Einzelleistungen.


Windows lebt.
Dieser Satz galt nie so sehr wie bei Windows 10.
Die fortlaufende automatische Aktualisierung des Betriebssystems ist Segen und Fluch zugleich.

Ein Bericht der kleinen täglichen Ärgernisse.

• 11/2018 - Netzlaufwerke werden beim Start oder im Betrieb nicht sauber eingebunden (rotes "X").

• 11/2018 - die MS Aktivierungsserver fallen aus. Plötzlich melden bestehende Installationen, dass sie nicht aktiviert sind, und fallen zurück auf Windows 10 Home oder N.

• 11/2018 - die Dateizuordnung zu Applikationen ist nach einem Update in allen Windows 10 -Versionen fehlerhaft.

• 10/2018 - Funktionsupdate 1809 löscht Userdateien und hat so viele Bugs, dass das Update für mehr als 4 Wochen zurück gezogen wird.

• 05/2018 - Funktionsupdate 1803 deaktiviert den Comuterschutz (Systemwiederherstellung). Der Schnellstart (Hybridmode) wird automatisch beim Update aktiviert.

• 05/2018 - Funktionsupdate 1803 für Maschinen mit verschiedenen Intel- und SAMSUNG-SSD wird vorerst gestoppt. Lange Liste anfänglicher Fehler.

• 11/2017 automatisches Treiber-Update killt AMD Grafiktreiber.

• 11/2017 - Build 1511 hat nun als zweite Built das Supportende erreicht und MUSS aktualisiert werden.

• 10/2017 - Fall Creators Update 1709 legt Installationen lahm, weil der (fremde) Antivirus läuft. TEMP-Variablen werden auf Default zurück gesetzt.

• 04/2017 - Das Creators-Update 1706 setzt Standard-Apps zurück und fragt Datenschutzeinstellungen neu ab.

.... und vieles mehr ....


S/MIME Verschlüsselung läßt sich zentral im Gateway für ganze Domänen oder lokal im Client für jede einzelne Mailadresse anwenden.

Dieser Artikel klärt die Unterschiede sowie Vor- und Nachteile.

Die DS-GVO fordert "Datenschutz durch Technikgestaltung".
Es steht an keiner Stelle eine klare Vorschrift zur Verschlüsselung, aber naheliegend ist diese Auslegung schon.
Verschlüsselung sichert die Integrität und die Vertraulichkeit der Daten.

E-Mail Verschlüsselung ist nichts Neues, hat es aber bisher nicht aus der Freak-Ecke heraus geschafft.Das hat mehrere Gründe. Die gängige Mailsoftware macht es den Nutzern nicht leicht.
Aber versuchen wir es trotzdem.

Dieser Beitrag erklärt Transportverschlüsselung und Inhaltsverschlüsselung.
Die Unterschiede von S/MIME, PGP und Anlagenverschlüsselung werden besprochen.
Die oft vergessenen Probleme der Archivierung und Verfügbarkeit bei Verschlüsselung werden geklärt.