Datenschutz Blog | BUSCON Business- & IT-Consulting

BSI veröffentlicht Bericht zur Lage der IT-Sicherheit in Deutschland 2016

9. November 2016/in Ereignisse/von Jürgen Schmidt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Bericht zur Lage der IT-Sicherheit in Deutschland 2016 veröffentlicht. Bundesinnenminister Dr. Thomas de Maizière und BSI-Präsident Arne Schönbohm stellten den Bericht in Berlin der Öffentlichkeit vor. Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden. Daraus abgeleitet zeigt der Lagebericht Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland auf.

Der Lagebericht des BSI verdeutlicht eine neue Qualität der Gefährdung: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Angreifer verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel und -methoden. So werden täglich rund 380.000 neue Schadprogrammvarianten entdeckt, die Anzahl von Spam-Nachrichten mit Schadsoftware im Anhang ist explosionsartig um 1.270 Prozent angestiegen. Gleichzeitig verlieren bisherige klassische Abwehrmaßnahmen weiter an Wirksamkeit. Im Fokus der Angriffe stehen Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger. Die Ransomware-Angriffe im Frühjahr 2016 haben deutlich gemacht, welche Konsequenzen diese Entwicklungen haben und wie verwundbar eine digitalisierte Gesellschaft ist.

Mobile Einsatzteams zur Abwehr von Cyber-Angriffen

Aus diesem Grund wird das BSI seine Unterstützungsangebote für Staat, Wirtschaft und Gesellschaft weiter ausbauen. Zur Verbesserung der Reaktionsfähigkeit des BSI bei besonderen IT-Sicherheitslagen werden beispielsweise Mobile Incident Response Teams (MIRT) eingerichtet, die betroffene Stellen vor Ort bei der Abwehr von Cyber-Angriffen unterstützen können. Zudem bringt sich das BSI verstärkt in den großen Digitalisierungsprojekten in Deutschland ein. Das BSI leistet seinen Beitrag zum Gelingen der Energiewende durch die Erarbeitung von Sicherheitskriterien für die Infrastruktur der intelligenten Stromzähler. Das BSI unterstützt bei der Erarbeitung der Sicherheitsaspekte einer Verkehrsinfrastruktur, die Grundlage für autonome oder hochautomatisierte Fahrzeuge ist. Darüber hinaus hat das BSI die wesentlichen Sicherheitsanker der elektronischen Gesundheitskarte und der dazu notwendigen Systeme mitgestaltet und zertiziert.

Cyber-Sicherheit ist Voraussetzung für erfolgreiche Digitalisierung

Hierzu erklärt Arne Schönbohm, Präsident des BSI: „“Die durch die Digitalisierung angestoßenen Entwicklungen sind durchgreifend und werden Deutschland verändern. Der Lagebericht des BSI macht deutlich, dass sich die Frage der Sicherheit der eingesetzten Informationstechnik nicht mehr nur nebenbei stellt. Sie stellt sich auch nicht länger nur einem eingeweihten Kreis der IT-Spezialisten. Vielmehr ist die Cyber-Sicherheit wesentliche Voraussetzung für das Gelingen der Digitalisierung in Deutschland. Wir arbeiten mit verschiedenen Akteuren aus Staat, Wirtschaft und Gesellschaft gemeinsam daran, den Risiken wirksame und umsetzbare Sicherheitsmaßnahmen entgegenzusetzen.““

So hat sich die 2012 vom BSI gegründete Allianz für Cyber-Sicherheit mit mehr als 2.000 Teilnehmern und über 100 Partnern zur größten nationalen Kooperationsplattform entwickelt, die IT-Anwendern in der Wirtschaft umfangreiche Informationen und Empfehlungen zur Prävention, Detektion und Reaktion auf Cyber-Angriffe zur Verfügung stellt und so in einem kooperativen Ansatz zur Verbesserung der Cyber-Sicherheit in Deutschland beiträgt.
Mehr Informationen sind im „Bericht zur Lage der IT-Sicherheit in Deutschland 2016“ verfügbar, der auf der Webseite des BSI zum Download zur Verfügung steht.

BayLDA prüft grenzüberschreitende Datenübermittlungen

1. November 2016/in Ereignisse/von Jürgen Schmidt

In einer koordinierten schriftlichen Prüfungsaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Die Prüfung soll dabei auch der Sensibilisierung von Unternehmen für gerade die Verarbeitungsprozesse dienen, bei denen personenbezogene Daten in Nicht-EU-Länder übermittelt werden – wie es bspw. bei Cloud Computing häufig der Fall ist.

In den letzten Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft weiter massiv zugenommen. Zu den Ursachen dieser Entwicklung zählen die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des sog. Cloud Computing. Selbst viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z.B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen jedoch von US-Unternehmen und setzen deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten voraus. Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeigt, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln, so muss es zuerst prüfen, ob überhaupt sicher gestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls muss die Übermittlung unterbleiben. Entscheidend ist daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt. Finden solche Übermittlungen statt, so muss sich das Unternehmen zwingend Gedanken machen, inwieweit diese auf eine datenschutzrechtliche Grundlage gestützt werden können oder nicht.

Vor diesem Hintergrund werden zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d. h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen. Im Rahmen der Prüfung werden rund 500 Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind. Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing – Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement. Die Unternehmen werden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen.“ betont Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. „Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Thomas Kranig
Präsident

Link PR-Mitteilung

Irische Datenschützer klagen gegen Privacy Shield

30. Oktober 2016/in Ereignisse/von Jürgen Schmidt

Von Anfang an stand Privacy Shield, das Datenschutzabkommen zwischen der EU und den USA, in der Kritik. Nun hat Digital Rights Ireland beim Gericht der Europäischen Union eine Klage eingereicht.

Nachdem der Europäische Gerichtshof vor einem Jahr das Safe Harbor-Abkommen gekippt hatte, das den Schutz personenbezogener Daten bei der Übermittlung von der EU in die USA regelte, wurde mit Privacy Shield schnell ein Nachfolger aufgesetzt. Zu schnell, hatten Kritiker bemängelt – im Prinzip sei es nur ein neuer Name, am unzureichenden Datenschutz habe sich nichts geändert. Diese Auffassung vertritt auch Digital Rights Ireland, das Reuters zufolge eine Nichtigkeitsklage beim Gericht der Europäischen Union (EuG) eingereicht hat, um das Abkommen zu kippen. Die irischen Datenschützer zweifeln an, dass mit Privacy Shield tatsächlich adäquate Mechanismen implementiert wurden, die eine Speicherung und Verarbeitung der Daten von EU-Bürgern in den USA nach europäischen Normen sicherstellen.

Reuters zufolge kann es ein Jahr oder länger dauern, bis das Gericht über die Klage entschieden hat. Zudem sei noch gar nicht sicher, ob sie überhaupt zulässig ist. Insidern zufolge muss zunächst geklärt werden, ob Digital Rights Ireland überhaupt von Privacy Shield betroffen ist und gegen das Abkommen vorgehen kann. Allerdings mussten die Datenschützer rasch handeln, da mit der Veröffentlichung im Amtsblatte am 1. August dieses Jahres die zweimonatige Frist für solche Nichtigkeitsklagen zu laufen begann.

Mehr als 500 Unternehmen haben sich bereits für Privacy Shield registriert, darunter praktisch alle wichtigen Cloud-Anbieter und Internet-Konzerne wie Amazon, Facebook, Google, Microsoft und Salesforce.

Dell: Firmen schlecht vorbereitet auf EU-Datenschutzgrundverordnung

27. Oktober 2016/in Ereignisse/von Jürgen Schmidt

Die meisten Unternehmen sind nicht mit den Details der EU-Datenschutzgrundverordnung vertraut und haben auch keinen Plan, wie sie neuen Anforderungen gerecht werden sollen. Zudem unterschätzen sie die möglichen Strafen.

Die im Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung dürfte eines der dominierenden Themen des kommenden Jahres werden. Einerseits weil die Anforderungen an Datensicherheit und Datenschutz für Unternehmen noch einmal stark erhöht werden, andererseits weil viele Unternehmen noch gar nicht wissen, was überhaupt auf sie zukommt. So gaben etwa in einer Umfrage von Dimensional Research im Auftrag von Dell mehr als 80 Prozent von über 800 Managern an, nur wenige oder keine Details der Verordnung zu kennen. Nur 30 Prozent waren der Meinung, ihr Unternehmen sei gut auf die neuen Anforderungen vorbereitet. Immerhin: In Deutschland liegt dieser Anteil bei 44 Prozent.

Allerdings haben die meisten Firmen, die sich bislang nicht gut für die Datenschutzgrundverordnung aufgestellt sehen, meist keinen Plan, wie sie das ändern (97 Prozent). Dabei spielt womöglich auch eine Rolle, dass die Konsequenzen, die Verstöße mit sich bringen, unterschätzt werden. So sind 21 Prozent der Befragten sicher, sie hätten mit einer Strafe zu rechnen, wenn die Verordnung bereits gelten würde. Allerdings geht gut ein Drittel von diesen davon aus, einfache Nachbesserungen im Unternehmen würden reichen. Knapp 50 Prozent glauben, mit einer moderaten Geldstrafe und überschaubaren Anpassungen davonzukommen.

»Die Umfrage zeigt deutlich den globalen Mangel an Verständnis für die GDPR und was getan werden muss, um die strengen Strafen zu vermeiden«, sagt John Milburn, Vice President und General Manager für die Dell One Identity Solution. Viele Unternehmen glaubten zwar, den Anforderungen gerecht zu werden, »doch es wird ein böses Erwachen geben, wenn sie einen Verstoß begehen, überprüft werden und die Folgen tragen müssen«. Denn in der EU-Datenschutzgrundverordnung sind Strafen von bis zu 4 Prozent des Jahresumsatzes vorgesehen.

EU-Kommission veröffentlicht Leitfaden zum Privacy Shield

27. Oktober 2016/in Ereignisse/von Jürgen Schmidt

Die Europäische Kommission hat einen Leitfaden zum Privacy-Shield veröffentlicht. Diesen können Interessierte auch in der deutschen Übersetzung abrufen.

Der Leitfaden gibt nicht nur Antworten auf die Frage „Was ist der EU-US-Datenschutzschild und warum brauchen wir ihn?“, sondern gibt auch eine Erklärung zu der Frage, wie genau denn der Schutzschild überhaupt funktioniert.

Für Betroffene besonders interessant dürften die Ausführungen sein, welche Verpflichtungen, die dem Datenschutzschild angeschlossenen Unternehmen haben und welche Rechte im Zusammenhang mit der Verwendung personenbezogenen Daten der Betroffenen bestehen.

Quelle: Europäische Kommission

BayLDA: Auftragsverarbeitung nach der DS-GVO

26. Oktober 2016/in Ereignisse/von Jürgen Schmidt

Auch in der DS-GVO findet sich eine Regelung zur Auftragsdatenverarbeitung – jetzt Auftragsverarbeitung genannt – wieder. Allerdings legt die DS-GVO den Auftragsverarbeitern künftig mehr Verantwortung und Pflichten auf als bislang. Welche Rahmenbedingungen besonders im Fokus stehen hat das BayLDA in einem kurzem Papier zusammengefasst, das nachfolgend heruntergeladen werden kann.

https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf

BayLDA: Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen – Bußgeld

20. Oktober 2016/in Ereignisse/von Jürgen Schmidt

Zum Datenschutzbeauftragten können jedoch nicht Personen bestellt werden, die daneben im Unternehmen noch solche Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einem solchen Fall eine Geldbuße gegen ein Unternehmen ausgesprochen.

Unternehmen und andere Stellen müssen einen Datenschutzbeauftragten bestellen, wenn bei ihnen mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Zahlreiche Unternehmen erfüllen diese Voraussetzungen. Das Gesetz stellt es Unternehmen und anderen Stellen frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht noch für solche Aufgaben zuständig sein, die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können.

Eine solche Interessenkollision lag nach Auffassung des BayLDA im Falle eines Datenschutzbeauftragten eines bayerischen Unternehmens vor, der die Position des „IT-Managers“ des Unternehmens bekleidete. Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten. Dies liefe letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt. Diese Aufgabe kann der Datenschutzbeauftragte nicht erfüllen, wenn er gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.

Das BayLDA hatte das Unternehmen auf diesen Umstand hingewiesen und zur Bestellung eines Datenschutzbeauftragten aufgefordert, der keiner derartigen Interessenkollision unterliegt. Das Unternehmen kündigte zwar wiederholt an, im Zuge von Umstrukturierungen auch die Funktion des Datenschutzbeauftragten neu zu bekleiden. Es versäumte es jedoch über Monate, dem BayLDA den Nachweis für die Bestellung eines geeigneten Datenschutzbeauftragten vorzulegen. Vor diesem Hintergrund hat das BayLDA gegen das Unternehmen eine Geldbuße festgesetzt, die inzwischen bestandskräftig ist.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Quelle: https://www.lda.bayern.de/media/pm2016_08.pdf

BvD stellt aktualisiertes Berufsbild für Datenschutzbeauftragte vor

16. Oktober 2016/in Ereignisse/von Jürgen Schmidt

Die neue EU-Datenschutz-Grundverordnung (DS-GVO) und die dadurch erforderliche Anpassung des nationalen Datenschutzrechts stellen Unternehmen und Behörden vor große Herausforderungen. Um die Sicherheit von Kunden-, Mitarbeiter- und Geschäftsdaten zu gewährleisten, müssen bestehende Managementsysteme an die neuen Anforderungen angepasst und regelmäßig überprüft werden. Hilfe durch den Dschungel der neuen Regelungen bietet der betriebliche Datenschutzbeauftragte. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. stellt jetzt hierzu ein aktualisiertes Berufsbild vor.

Darin beschreibt der BvD die Anforderungen und Aufgaben für Datenschutzbeauftragte durch die neue DS-GVO, die ab 25. Mai 2018 von Firmen und Behörden angewendet werden muss. Die Selbstverpflichtung der Datenschutzbeauftragten auf das aktualisierte Leitbild sichert Unternehmen und Behörden ein Datenschutz-Knowhow auf höchstem Niveau und sorgt für Reputation, Glaubwürdigkeit und Kundenbindung.

Im Kern obliegt dem Datenschutzbeauftragten die Aufgabe, ein funktionierendes Datenschutzmanagement zu entwickeln und Unternehmen zu unterstützen, bestehende Systeme an die neuen Anforderungen anzupassen. Er berät die Unternehmensleitung und unterstützt bei der rechtlich einwandfreien Datenverarbeitung sowie der Dokumentation von Datenschutzmaßnahmen und Datenverarbeitungsprozessen. Zudem schult er Mitarbeiter und Betriebsräte, um sie für den sicheren Umgang mit Daten zu sensibilisieren.

Interessierte können das neue Berufsbild auf den Internetseiten des BvD unter https://www.bvdnet.de/berufsbild.html downloaden.

BSI: „Sicher online bezahlen“: Empfehlungen zum Interneteinkauf

6. Oktober 2016/in Ereignisse/von Jürgen Schmidt

Bürgerinnen und Bürger europaweit durch unterschiedliche Aktionen für einen sicherheitsbewussten Umgang mit dem Internet zu sensibilisieren, ist das Ziel des European Cyber Security Month (ECSM). Aus diesem Anlass informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Oktober zu vier verschiedenen Themenschwerpunkten aus dem Bereich der IT- und Internetsicherheit. Den Auftakt macht die Aktionswoche „Sicher online bezahlen“.

Mit dem orts- und zeitunabhängigen Einkauf im Internet ist das Leben von Millionen von Menschen einfacher und bequemer geworden. Ein sicherheitsrelevanter Aspekt dabei ist die Bezahlung. Viele gängige Methoden zur Bezahlung in Online-Shops erfordern die Übermittlung sensibler Informationen wie Kreditkarten- oder Kontodaten. Diese sollten stets verschlüsselt übertragen werden. Verbraucherinnen und Verbraucher erkennen dies an dem Kürzel „https“ und einem kleinen Vorhängeschloss-Symbol in der Adresszeile des Browsers. Es bedeutet, dass der Anbieter der Internetseite nach der Überprüfung durch eine unabhängige Stelle ein gültiges Zertifikat vorweisen kann, das seine Identität bestätigt. Ein besonders hohes Maß an Verlässlichkeit bieten sogenannte Extended-Validation-Zertifikate (EV-Zertifikat), da Antragsteller dafür erweiterte Sicherheitskriterien erfüllen müssen. Zu erkennen ist ein EV-Zertifikat meist an einer grün gefärbten Adresszeile im Browser.

Alternativ können Online-Shopper auf Online-Bezahldienste zurückgreifen. Dort werden die Kontodaten einmalig hinterlegt. Beim Bezahlvorgang wird der Kunde dann vom Internet-Shop auf die gesicherte Seite des Dienstleisters oder die Umgebung der kontoführenden Bank weitergeleitet, wo die Zahlung ausgeführt wird. Eine Weitergabe von sensiblen Kontodaten über das Internet an Dritte ist dadurch nicht notwendig.

Doppelter Nachweis beim Bezahlen

Um dem Missbrauch gestohlener Konto- oder Kreditkartendaten vorzubeugen, existieren Verfahren mit Zwei-Faktor-Authentifizierung. Dabei genügt es nicht, beim Bezahlvorgang lediglich die notwendigen Konto- oder Karteninformationen einzugeben. Vielmehr muss der Nutzer in einer der Kategorien Wissen, Besitz oder Inhärenz den Nachweis erbringen, dass er tatsächlich der rechtmäßige Besitzer des Kontos oder der Bezahlkarte ist. Zu den möglichen Authentifizierungswegen gehören ein Passwort (Wissen), eine beim Bezahlvorgang an das Handy geschickte TAN (Besitz) oder die Übertragung des gescannten Fingerabdrucks (Inhärenz). Dieser Nachweis macht die Kreditkarten- und EC-Karten-Zahlung im Internet sicherer und hilft dabei, Schäden durch Betrugsfälle zu reduzieren.

Weitere Informationen zum Thema sowie ein passendes Video sind abrufbar unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/sicher_online_bezahlen_05102016.html

Über den ECSM

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt und koordiniert im Oktober den European Cyber Security Month (ECSM) in Deutschland. Unter dem Motto „Ins Internet – mit Sicherheit“ informiert das BSI während des Aktionsmonats über die alltäglichen Gefährdungen in der Cyber-Welt und sensibilisiert Bürgerinnen und Bürger sowie Organisationen für einen umsichtigen und verantwortungsbewussten Umgang mit dem Internet. Neben dem BSI mit seinen Aktivitäten beteiligen sich über 50 weitere Partner mit eigenen Aktionen am ECSM.

Quelle: BSI Pressemitteilung

Düsseldorfer Kreis: Beschluss zur Fortgeltung bisher erteilter Einwilligungen

27. September 2016/in Ereignisse/von Jürgen Schmidt

Der Düsseldorfer Kreis hat in einem Beschluss vom 13./14. September 2016 mitgeteilt, dass bisher erteilte Einwilligungen unter der Datenschutz-Grundverordnung fortgelten, sofern sie der Art nach den Bedingungen der DS-GVO entsprechen. Somit erfüllen bisher rechtswirksame Einwilligungen grundsätzlich diese Bedingungen. Der Beschluss kann hier heruntergeladen werden.