Informationen zum Datenschutz

Wie funktioniert der Versand von E-Mails?

Vereinfachter Ablauf:

1. Absender:in schickt Anfrage an den Mailserver

2. Der Mailserver erfragt genaue Zustelladresse beim DNS-Server (Domain Name System)

3. DNS-Server liefert Liste von Zielservern

4. Mailserver schickt E-Mail in Einzelpaketen an Ziel-Mailserver

5. Ziel-Mailserver speichert E-Mail bis der/die Empfänger:in sie abruft

Der Versand einer E-Mail läuft über eine unbekannte Anzahl an Zwischenkonten. Wichtig ist zu bedenken, dass jede Nachricht, in jeder Übertragungsstrecke bzw. in jedem der beteiligten Knoten angegriffen und ausspioniert werden kann. Eine geeignete Abwehrmaßnahme ist es, E-Mails zu verschlüsseln. Das Johanniter-Mailsystem verschlüsselt die Nachrichten automatisch, daher verwendet bitte für alle dienstlichen E-Mails immer die Johanniter Adressen „name@johanniter.at“ oder „name@am.johanniter.at“. Die Verschlüsselung ist vor allem wichtig, wenn personenbezogene Daten übermittelt werden!

Verwendung von Passwörtern

Eine der einfachsten Maßnahmen zur Erhöhung der Sicherheit in der IT ist die Verwendung guter Passwörter.

Was die Angriffsarten auf Unternehmen innerhalb der letzten zwölf Monate angeht, berichten 33 Prozent von Ransomware/Erpressung, 57 Prozent von Social Engineering und 39 Prozent von einem Angriff auf die Lieferkette.

Phishing ist ganz klar gekommen, um zu bleiben: 100 Prozent haben in den letzten zwölf Monaten Attacken dieser Art erlebt. Unternehmen berichten, dass 69 Prozent Opfer von Phishing wurden, 79 Prozent von Malware und 59 Prozent von Passwortdiebstahl. Diese Zahlen verdeutlichen, dass Unternehmen alle Hände voll zu tun haben, um die Vielfalt der gegen sie gerichteten Angriffe abzuwehren bzw. deren negative Auswirkungen möglichst gering zu halten.

(Aus „Cybersecurity in Österreich“, Sicherheitsforum Digitale Wirtschaft Österreich, Mai 2023)

Als starke Passwörter setzen sich immer mehr sogenannte „Passphrasen“ durch. So ist etwa „IgidB,8!,dmPwb“ ein ganz gutes Passwort, das dadurch entsteht, dass man sich vorsagt. „Ich gehe in den Birkenwald, Achtung, denn meine Pillen wirken bald“. Keinesfalls zuletzt dient ein Passwortsafe wie etwa „KeePass“ der Sicherheit, weil dort alle meine Passwörter verschlüsselt gespeichert werden. Ich kann also sehr komplexe Passwörter vergeben, da ich sie mir ohnedies nicht merken muss. Ich muss nur einmal täglich den Passwortsafe entsperren – und dafür kann ich sehr wohl eine komplexe Passphrase verwenden.

Spannende Entscheidungen bezüglich DSGVO

Großbritannien

Die britische Datenschutzaufsicht verhängte gegen einen Baukonzern eine Geldbuße gemäß DSGVO in Höhe von 4.440.000 £. Das entspricht ungefähr 5 Millionen €. Nach Auffassung der Datenschutzaufsicht ist das Unternehmen selbst schuld daran, dass eine Ransomware-Attacke erfolgreich war. Es begann mit einer Phishing-Mail, die eine dringende Zahlungsangelegenheit zu betreffen schien. Ein Mitarbeiter öffnete die Mail und entpackte die ZIP-Datei im Anhang. Das führte zur Installation einer Schadsoftware. Da der Mitarbeiter eine Verbindung über das Internet und nicht über den besonders geschützten Firmenzugang herstellte, gelang der Angriff und es wurden umfangreiche Datenbestände verschlüsselt.

Also: Nicht jede Mail sofort öffnen! Vorher überlegen und kritisch prüfen. Und es genügt nicht, Sicherheitssysteme zu installieren, sie müssen auch verwendet werden!

Österreich

D124.0820/22 Weiterverarbeitung von Gesundheitsdaten für postalischen Spendenaufruf

Die Datenschutzbehörde hatte die Rechtmäßigkeit der Weiterverarbeitung von personenbezogenen Daten zu prüfen, die im Rahmen eines Rettungseinsatzes erhoben und in der Folge für den Versand eines postalischen Spendenaufrufs weiterverarbeitet wurden.

Die Datenschutzbehörde stellte fest, dass eine derartige Weiterverarbeitung der personenbezogenen Daten nicht rechtens ist, da es nach der ständigen Rechtsprechung des EuGH nicht ausreicht, dass ein Rechtmäßigkeitsgrund vorliegt; es müssen vielmehr alle Grundsätze nach Art. 5 DSGVO eingehalten werden. Und in diesem Fall widersprach die Verarbeitung dem Grundsatz nach Treu und Glauben sowie dem Grundsatz der Transparenz. Wenn ich also personenbezogene Daten erhebe, darf ich sie nur für diesen einen Zweck verwenden, zu dem ich sie jetzt erhebe (also dieser Transport, diese Betreuungstätigkeit oder auch die Teilnahme an dieser speziellen Werbeaktion). Treu und Glauben bedeutet, dass sich jeder darauf verlassen kann, dass ich mich daran halte und Transparenz verlangt, dass ich diesen einen Zweck genau angebe.

Strafverfügung gegen Arzt Dr. P K

Weil der Arzt mehrere Monate auf der persönlichen Facebook-Seite Ausschnitte aus Patientenbriefen, Befunden und sonstigen ärztlichen Aufzeichnungen/Protokollen veröffentlicht waren (im Detail u.a. Patientennamen, Befunddaten, medizinische Diagnosen, Medikationsdaten, etc.) ohne ausdrückliche Einwilligung sämtlicher von der Verarbeitung Betroffener und ohne einen von der DSGVO normierten Ausnahmetatbestand.

Also: IMMER Einwilligung der Betroffenen einholen, da die Ausnahmetatbestände im Allgemeinen auf unsere Arbeit nicht zutreffen.

Straferkenntnis gegen den Zulassungsbesitzer

Der Zulassungsbesitzer des Kraftfahrzeuges mit dem amtlichen Kennzeichen *R**2*4 war verantwortlich für eine Videoüberwachung in Form zweier im Innenraum des Kraftfahrzeuges installierter Dash-Cams. Die gegenständlichen Videokameras (Dash-Cams) erfassen jeweils sowohl den vor als auch den hinter dem Kraftfahrzeug befindlichen öffentlichen Raum und damit den öffentlichen Straßenverkehr und eine geeignete Kennzeichnung am Kraftfahrzeug, welche auf die beiden Dash-Cams hinweist, fehlt.

Also: Vorsicht bei der Installation und Verwendung von Dashcams, da diese den öffentlichen Raum erfassen und damit die Privatsphäre anderer verletzen können.