5 ‚Security-Ausreden’, die aus jeder E-Mail ein potentielles Datenleck machen

Es ist wichtig, dass Sie Personendaten immer sicher verschicken. Diese Erkenntnis gewinnt auf dem Arbeitsplatz an Bedeutung. Trotzdem hören ZIVVER-Geschäftsführer Rick Goud und Wouter Klinkhamer nach wie vor zahlreiche irrationale Argumente, nach denen von dieser Regel abgewichen werden sollte. Welche dieser ‚Security-Vorwände’ werden am häufigsten genannt? Herr Klinkhamer bespricht sie Stück für Stück.

 

Security-Vorwand 1: Solch eine kleine Datei benötigt doch keine Sicherung?

Der Umfang der Daten ist häufig ausschlaggebend. Je größer die abgerufene Datei, desto größer ist die Chance, dass die Daten sicher verschickt werden. An sich kein unlogischer Gang der Dinge. Es basiert auf einer raschen Einschätzung der Konsequenzen eines eventuellen Datenlecks. Nach Einschätzung des Absenders steigt das Risiko mit der Datenmenge.

Der Gesetzgeber sieht das jedoch anders: Ein Datenleck ist ein Datenleck, auch wenn nur eine Person dafür verantwortlich ist. Die neue General Data Protection Regulation (GDPR, in Deutschland auch die Datenschutz-Grundverordnung genannt) bringt außerdem die Möglichkeit, dass Interessenverbände sich für ein gemeinsames Gerichtsverfahren an andere Beteiligte wenden. Geht es bei einem Patienten schief, ist die Chance groß, dass andere Patienten - ohne es zu wissen - auch das Risiko laufen, Opfer zu werden.

Neben einer möglichen Schadensersatzforderung sind Reputationsschäden dann schon unvermeidlich. Schlussfolgernd: Wer Personendaten unsicher verschickt, weil es sich nur um eine geringe Datenmenge handelt, geht von einem Scheinargument aus - mit möglicherweise großen Konsequenzen.

 

Security-Vorwand 2: Der Empfänger hat selbst um die Informationen gebeten 

Neulich bat meine Mutter ihr Krankenhaus um eine Kopie des Behandlungsprotokolls ihres Augenarztes. Dieses wurde ihr sofort über E-Mail verschickt, das Dokument enthielt ihren Namen, ihre vollständige Adresse, Patienten-Nummer, Versicherungsnummer, kombinierte Sozialversicherungs- und Steuernummer (niederländische BSN) und das ganze Behandlungsprotokoll. Unten in der Überweisung stand aber eine Warnung: ‚Achtung, dieses Protokoll enthält möglicherweise eine kombinierte Sozialversicherungs- und Steuernummer.’ Wer diese E-Mail abfangen würde, weiß auf einmal ganz viel über meine Mutter. Es ist auch die Frage, was die Funktion der Warnung ganz unten in der Überweisung war. Darf diese ignoriert werden, wenn ein Empfänger selbst um Daten gebeten hat?

Ähnliche Situationen kommen auch bei Notaren und Anwälten vor. Auf Verlangen des Kunden verschicken Sie eine Kopie eines Testaments, einer Heiratsurkunde oder eines Kaufbriefes oft über E-Mail. Wenn der Kunde oder der Patient darum bittet, ist Sicherheit offenbar nicht wichtig. Oder denken wir vielleicht, dass das Risiko eines Datenlecks auf Rechnung des Kunden geht, wenn er selbst um Informationen gebeten hat? Das hört sich schöner an als es ist - bis die Informationen in falsche Hände fallen.

 

Security-Vorwand 3: für Kollegen ist keine Sicherheitsmaßnahme notwendig

Im Falle des Versands einer E-Mail an einen Kollegen wird oft nicht direkt an Sicherheit gedacht. Die Chance, dass sensible Informationen an die Öffentlichkeit geraten, ist bei der Verwendung interner E-Mail ja geringer. Leider gilt das nicht als ein gesetzmäßiges Kriterium: Eine E-Mail mit sensiblen Informationen ist immer sicher zu verschicken, auch wenn diese unter dem eigenen Dach bleibt. Sobald Personendaten einem unter die Augen kommen, der diese weder benötigte noch die Freigabe dafür hat, ist von einem Datenleck die Rede.

Außerdem gibt es genug denkbare peinliche Szenarien, bei denen interne Informationen im Mittelpunkt stehen. Kein einziger Mitarbeiter sieht gerne Informationen über beispielsweise das Gehalt, Reorganisationen, Behandlungspläne oder Testergebnisse in den Besitz des falschen Kollegen geraten. Vorbeugen ist einfacher als heilen. Uns sind Fälle eines internen Lecks über Gehaltsdaten bekannt. Die beteiligten Manager mussten mehrmals Vertraulichkeitserklärungen unterzeichnen und nachweisen, dass die Daten nirgendwo gespeichert worden sind. Die erste Aufgabe ist ärgerlich, aber stellen Sie sich mal vor, wie kompliziert es ist, wenn Sie nachweisen sollen, dass Sie etwas nicht gemacht haben.

 

Security-Vorwand 4: Der Empfänger sorgt für die entsprechende Sicherheit

Städte, Gemeinde und andere Einrichtungen müssen regelmäßig Informationen mit der Polizei teilen. Das findet bemerkenswert häufig über ungesicherte E-Mail statt. Eine wichtige Treibfeder ist die Überzeugung, dass die Polizei ihre Sicherheitsfragen zweifellos richtig in Ordnung gebracht hat’. Derselbe Gedanke gilt für andere Seiten, von denen Sie als Absender vermuten würden, dass das Sicherheitsniveau solide wäre. Das ist eine tückische Argumentation, abgesehen von der Frage, ob Sie sicher wissen können, ob alles wirklich in Ordnung ist. Auch wenn Sie eine E-Mail an einen extrem gut gesicherten Empfänger schicken, kann jemand die Informationen unterwegs abfangen - mit allen dazugehörigen unerwünschten Konsequenzen. Kommt es zu dem Versehen, dass Sie die E-Mail an den falschen Empfänger (der gar nicht bei der Polizei arbeitet) senden, haben Sie es wirklich mit einem Datenleck zu tun.

 

Security-Vorwand 5: Der Empfänger hat bestimmt keinen Bedarf an zusätzlichen Maßnahmen

Fachkräfte im Gesundheitswesen, Beamte und Anwälte finden es oft schwierig, ihren Kunden ‚zusätzliche Aufgaben’ aufzuhalsen. Oft treffen sie Einschätzungen wie: Wie viele Kunden oder Patienten ärgern sich hierüber oder öffnen die E-Mail gar nicht erst, weil sie einen zusätzlichen Schritt machen müssen? Diese Einschätzung ist irrational. Wenn sich einer der hundert Empfänger in der Vergangenheit darüber beschwert hat, legen viele diese Erfahrung zu Unrecht auf die 99 anderen Empfänger, die damit überhaupt kein Problem haben. Einfacher gesagt: Die vielen Empfänger, die den sicheren Umgang mit ihren sensiblen Daten wohl schätzen, werden hierdurch erheblich benachteiligt!

Ebenso wie bei den vorigen Erwägungen haben der Gesetzgeber, Journalisten, Kunden und Geschäftspartner hierfür wenig Verständnis. Wer Personendaten verschickt, muss immer die Risiken kennen und selbst Maßnahmen ergreifen. Ausreden tragen nie zur Beschränkung von Reputationsschäden oder zur Vermeidung einer hohen Geldbuße bei.

Ähnliche Blogs

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Probefahrt mit neuer Software

Wenn man ein Produkt zur langfristigen Anwendung einkauft, erprobt man es am besten vorab und in der tatsächlichen Nutzung. Dieses Prinzip gilt nicht nur beim Autokauf, sondern auch beim Einführen einer neuen Software. In diesem Kontext bezeichnet man die Probefahrt - wie üblich im IT-Englisch - als „Proof of Concept”. Dieser vorangestellte Probelauf in der eigenen […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen