Auch über ein Jahr nach dem Inkrafttreten der Datenschutz-Grundverordnung gehört der Umgang mit sensiblen Daten noch immer nicht zum Alltag vieler Unternehmen – beziehungsweise stellt sie vor Herausforderungen. „Beispielsweise wenn es um gesetzeskonforme Websites, die Verwendung von Cookies oder auch die Nutzung von Diensthandys geht, besteht zum Teil weiterhin Handlungsbedarf. Zumal einige Begrifflichkeiten rund um das Thema Datenschutz erklärungsbedürftig sind. Ausdrücke wie Cookies oder Cloud kennen die meisten Menschen, doch bei Bezeichnungen wie Clickjacking oder Honeypot handelt es sich für viele um Fremdwörter, die sie noch nie gehört haben“, berichtet Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG. Er erklärt wichtige Begriffe rund um das Thema Datenschutz.

Auftragsverarbeitung

Bei der Auftragsverarbeitung handelt es sich um einen Prozess, bei dem Unternehmen als Auftraggeber personenbezogene Daten an Dritte, beispielsweise externe Dienstleister wie Druckereien, weitergeben, damit diese die Daten verarbeiten können oder andere, zum Beispiel IT-Systemhäuser, Zugriff auf sie bekommen. Der Auftraggeber muss den Datenschutz durch seine Auftragnehmer sicherstellen. Hierzu muss ein Vertrag zur Auftragsverarbeitung geschlossen werden.

Clickjacking

Clickjacking bezeichnet eine Technik, die Hacker einsetzen, um Systeme zu manipulieren. Bei diesem Vorgang legen Hacker für den Benutzer unsichtbare Schaltflächen hinter Links auf Webseiten. Klicken Anwender auf diese Flächen, wird im Hintergrund ein Programm installiert, um beispielsweise das Mikrofon des Nutzers einzuschalten oder Daten auszulesen. Da das eigentliche Problem in dem Aufbau von JavaScript liegt und Schutzmaßnahmen sich nur von Fachleuten umsetzen lassen, bleibt nur die Empfehlung für Nutzer, stets einen aktuellen Webbrowser zu verwenden.

Datenschutz-Folgeabschätzung

Im Grunde handelt es sich bei der Datenschutz-Folgeabschätzung, kurz DSFA, um eine erweiterte Vorabkontrolle. Die Vorabkontrolle war nach dem deutschen Bundesdatenschutzgesetz, kurz BDSG, immer dann durchzuführen, wenn besonders sensible Daten verarbeitet wurden. Im Vergleich zum BDSG umfasst die DSFA einen größeren Anwendungsbereich: Sie ist immer dann notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, es sich um die weiträumige Überwachung öffentlicher Bereiche handelt, es um die Verarbeitung von Daten besonderer Kategorien oder Daten über strafrechtliche Verurteilungen und Straftaten geht.

Drittlandtransfer

Erfolgt eine Datenübermittlung in ein Land außerhalb Deutschlands, der EU und des Europäischen Wirtschaftsraums, spricht man vom Drittlandtransfer. Grundsätzlich ist ein Datentransfer in Drittländer untersagt. Ist solch ein Transfer jedoch nötig, erfolgt eine Prüfung, ob das Drittland das Schutzniveau – Rechtsstaatlichkeit, Achtung der Menschenrechte und Grundfreiheiten sowie öffentliche und nationale Sicherheit – einhält.

Honeypot

In der IT leitet sich der Begriff Honeypot von der Anlockfunktion des Honigtopfes ab – die süße Speise zieht Insekten an, die eventuell am Gefäß kleben bleiben. Techniker setzen ein System ein, das für Hacker wie ein attraktives Angriffsziel aussieht. Doch in diesem Honeypot befinden sich keine interessanten Daten, er stellt nur eine Falle dar. Dadurch lassen sich die Vorgehensweisen von Hackern analysieren und eventuell Spuren für die Identitätsermittlung der Angreifer finden.

Informationelle Selbstbestimmung

Bei der informationellen Selbstbestimmung handelt es sich um das Recht jedes Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. In Deutschland gilt diese Selbstbestimmung nach der Rechtsprechung des Bundesgerichtshofes als Grundrecht.

Ransomware

Das englische Wort „ransom“ bedeutet im Deutschen „Lösegeld“, Ransomware steht hingegen für Verschlüsselungs-, Krypto- oder Erpressungstrojaner. Es handelt sich um eine spezielle Art der Schadsoftware, die sich häufig über Dateianhänge von E-Mails verbreitet. Nach dem Öffnen dieser Dateien aktiviert sich die Ransomware und verschlüsselt alle Dateien auf dem betroffenen Rechner. Im Anschluss öffnet sich eine Maske mit der Aufforderung zur Zahlung eines „Lösegeldes“, damit die Dateien wieder entschlüsselt werden. Um sich zu schützen, gilt es auffällige Anhänge nicht zu öffnen, tägliche Datensicherungen vorzunehmen und die Schutzsoftware auf dem eigenen Rechner mindestens täglich zu aktualisieren.

TOM

Diese Abkürzung bezeichnet die „Technischen und organisatorischen Maßnahmen“, die Verantwortliche zum Schutz der personenbezogenen Daten ergreifen. Zu den Maßnahmen, die sowohl das Unternehmen als Ganzes als auch einzelne Abteilungen und jeden einzelnen Mitarbeiter betreffen, gehören beispielsweise der Schutz des Geländes und des Gebäudes sowie der Rechner, die Datensicherung beziehungsweise die Datenwiederherstellung oder die Durchführung von Schulungen.

Zweckbindung

Im Vorfeld der Verarbeitung personenbezogener Daten gilt es den Zweck festzulegen. Die Zweckbindung soll sicherstellen, dass die entsprechenden Informationen nur für dieses Anliegen Verwendung finden. Soll eine Datenverarbeitung aus einem anderen als dem ursprünglich festgelegten Grund erfolgen, lässt sich dies nur auf gesetzlicher Grundlage oder mit Einwilligung des Betroffenen durchführen.

Weitere Informationen unter www.hubit.de