2018: Die neue Datenschutz-Grundverordnung (DSGVO od. GDPR)
Im Mai 2018 wird die neue Datenschutzverordnung (DSGVO) für Europa und damit auch in Deutschland in Kraft treten. Die EU-Richtlinien (auf Englisch: General Data Protection Regulation, kurz GDPR) können von den Mitgliedsländern angepasst werden und entsprechend lang und umfangreich ist der Inhalt geworden!
Es ist jedoch im Rahmen der “informellen Selbstbestimmung” notwendig, jetzt ein möglichst sinnvolles und passenden Regelwerk in Europa zu etablieren.
Als Anbieter von Verschlüsselungssoftware müssen auch wir uns mit dem Thema auseinandersetzen und sehen sogar eine Chance für unsere Software mehr Interesse zu wecken:
Datenschutzverordnung für Unternehmen (Zusammenfassung)
Die DSGVO soll zunächst für Privatpersonen 5 grundsätzliche Voraussetzungen schaffen und Unternehmen verpflichten, gewisse Regeln einzuhalten:
- Besserer Schutz durch Verschlüsselungspflicht
- Informationspflicht bei Datendiebstahl (leaks)
- Zustimmungsregelungen einhalten (Verpflichtung für deutliche Zustimmung)
- Datenportabilität (falls mal ein Anbieterwechsel nötig ist)
- Löschung der persönlichen Daten (Recht auf Vergessen)
und die Verordnung sieht vor, Zuwiderhandeln mit hohen Strafen zu ahnden! Hier ist vor Allem Punkt 1 ein wichtiges Argument, eine einfache Verschlüsselungsmethode für eMails zu etablieren.
Diese EU Datenschutzrichtlinie und die Modifikationen der Bundesrepublik summieren sich zu einem komplexen Sachverhalt mit versteckten Risiken, die es noch von Experten auszuloten gilt. Wir werden Anfang 2018 dazu weiter schreiben.
Datenschutz für Anwälte und Steuerberater
Nicht umsonst hören wir von unseren Kunden (insbesondere Anwälte und Steuerberater) immer wieder: wir verschlüsseln nur, wenn es der Mandant will.
Verschlüsseln, wenn der Mandant es nicht will? Nein. Woraus soll sich das ergeben?
— Stephan Schmidt (@stephanschmidt) October 26, 2017
Die Frage ist hier jedoch: “Warum will der Mandant es nicht unbedingt?” und ist die Willenserklärung ausreichend, wenn es sich um persönliche Daten auch von Mitarbeitern handelt?
Wissen die Mitarbeiter, daß ihre Geburtsdaten (persönlich) oder Lohndaten (so ein PDF ist schnell mal unverschlüsselt versendet) überhaupt unverschlüsselt versendet werden?
Unserer Meinung nach, liegt es hauptsächlich an der schwierigen Integration von vernünftigen Verschlüsselungsmethoden.
Dazu eine kurze Zusammenfassung, die jeder, der mit Verschlüsselung zu tun hat, verstehen sollte. Es gibt 2 grundsätzliche Verschlüsselungen:
- Symmetrisch: Einfach ein Passwort und gut
- Asymmetrisch: Public/Privat Key-Verfahren, bei dem erst ein komplettes Schlüsselpaar ein valides Passwort ergibt
(siehe https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem)
dabei ist anzumerken “asymmetrisch” wird generell als “besser” angesehen, was aber nicht unbedingt stimmen muß. Mehr zu diesem doch umfangreichen Thema kann man bei Wikipedia und den einschlägigen Suchmaschinen weiter recherchieren. Nur soweit: je länger der Schlüssel, desto besser der Schutz:
xkcd.com trifft den Nagel auf den Kopf
Wir vertreten die Meinung: es muß so einfach wie möglich sein, selbst wenn es technisch nicht die Beste Lösung ist.
Technischer Ansatz: einfach ist besser als gar nicht!
Seit der ersten eMail ist das Thema “Verschlüsselung” extrem komplex angegangen worden und findet nicht die massenhafte Verbreitung, die es haben sollte. Wir haben uns mit unserem Plugin danach gerichtet – streng nach dem Motto “lieber einfach als gar nicht”.
Ein Großteil der sensiblen Daten in eMail werden entweder im Text, als Microsoft-Office Dokument oder als PDF versendet. Diese Lösungen haben eingebaute (symmetrische) Verschlüsselungsmethoden. Das nutzen wir, damit der Empfänger keine zusätzliche Software braucht.
- Verschlüsselung auf Knopfdruck
- Keine Software beim Empfänger
sind unsere Argumente!
Privatsphäre ist persönlich
Am Ende ist der Schutz unserer persönlichen Daten nur möglich, wenn wir (die Anwender) darauf bestehen und zumindest etwas Aufwand betreiben. Dies verstehen viele erst, wenn es zu spät ist und die Kreditkarte geklaut oder das Girokonto geräumt wurde.
Auch mir wurde die Kreditkarte schon (online) geklaut und nur weil bei jeder Buchung eine SMS an mich geht, habe ich es gleich gemerkt und den Schaden (auf 0 EUR und 15 Minuten Zeitaufwand) begrenzen können.
Ich habe keine Angst vor “dem Überwachungsstaat” oder “außergewöhnliche Steuermodelle” zu besprechen, ich verschlüssele meine Anhänge aus Schutz vor Identitätsdiebstahl – ein Problem, das heute Geld und Zeit kostet.
Und wir (als Unternehmen und als Unternehmer) erwarten auch von unseren Dienstleistern den Schutz der Daten (z.B. Geburtsdatum, Kontostand, Steuerzahlung oder Rechtsberatungen), die hilfreich sind, wenn Kriminelle einfach etwas Geld stehlen wollen.
- http://www.sueddeutsche.de/geld/neue-betrugsmasche-der-boss-der-keiner-ist-1.2204233
- https://www.kartensicherheit.de/oeffentlich/meine-kartensicherheit/tricks-der-betrueger/phishing.html
sind Ansätze, die deutlich machen, wo die Probleme liegen. Aber natürlich sind auch ganz profan die personenbezogenen Daten von PRIVATleuten betroffen!
Testversion runterladen
Wer Outlook auf Windows verwendet, kann unsere Testversion kostenlos 2 Wochen lang ausprobieren. Das Gute: es wird zum Entschlüsseln keine Software gebraucht. Also, wer keine Lust auf das Plugin hat, kann nach 6 Wochen trotzdem die Dateien noch öffnen. Ist doch einen Versuch wert, oder?
Pingback: File encryption, HIPAA and GDPR | Encrypted eMail
Pingback: Fotos verschlüsseln, kurze Frage? – Akorv