IT-Dienstleistungen & die DSGVO

Die neue Datenschutz-Grundverordnung, kurz DSGVO, gilt in Österreich ab 25.5.2018. Betroffen sind alle Unternehmen, die in irgendeiner Weise personenbezogene Daten verarbeiten. Zahlreiche Änderungen sind auch bei IT-Diensten zu berücksichtigen. Für unsere Kunden haben wir die wichtigsten Punkte im Zusammenhang mit den von uns angebotenen Leistungen zusammengefasst.

Diese Aufstellung ersetzt keine spezifische Rechtsberatung sondern ist als Unterstützung bei der Umsetzung gedacht. Zum besseren Verständnis und als Informationsgrundlage für alle weiteren Verpflichtungen empfehlen wir die Erklärungen der WKO (Link: WKO DSGVO-Infoseite). In Bezug auf die DSGVO als solches können und dürfen wir aufgrund des Umfangs, der Komplexität und der vielen rechtlichen Aspekte leider keine Beratung anbieten.

DSGVO rund um unsere Dienstleistungen:
Domain, Email, Webhosting

Lt. DSGVO gelten natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden als Verantwortliche. Der Verantwortliche ist für den gesamten Datenverarbeitungsvorgang verantwortlich und muss auch den Nachweis erbringen können, dass er sämtliche Pflichten erfüllt. Siehe auch: Pflichten des Verantwortlichen

Natürlich führen Sie den Datenverarbeitungsprozess in der Regel nicht zur Gänze selbst durch, sondern beauftragen Dienstleister (sog. “Auftragsverarbeiter“) mit der Verarbeitung oder mit der Umsetzung von notwendigen Maßnahmen (beispielsweise Absicherung der Website). Die Auftragsverarbeiter haften dann wiederum selbst für die Einhaltung der DSGVO-Vorschriften.

Strafen:

Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Betroffenenrechte). In sonstigen Fällen beträgt die Strafhöhe bis zu EUR 10 Mio oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Datensicherheitsvorschriften).

Information: In Österreich soll derzeit statt einer Strafe bei einem erstmaligen Verstoß eine Verwarnung ausgesprochen werden. Wie lange das gilt und ob das überhaupt EU-konform ist, ist unklar.

Die meisten “Zwischenfälle” ereignen sich aufgrund schwacher Passwörter und der Verwendung der gleichen Passwörter bei verschiedenen Anwendungen.  Verwenden Sie tools wie z.B. den Passwort-Generator zur Generierung wirklich sicherer Passwörter und Passwortverwaltungssoftware wie z.B. Roboform.

1. Verwenden Sie nicht das gleiche Passwort, die gleiche Sicherheitsfrage und die gleiche Antwort für mehrere wichtige Konten.

2. Verwenden Sie ein Passwort mit mindestens 16 Zeichen, verwenden Sie mindestens eine Ziffer, einen Großbuchstaben, einen Kleinbuchstaben und ein Sonderzeichen.

3. Verwenden Sie nicht die Namen Ihrer Familien, Freunde oder Haustiere in Ihren Passwörtern.

4. Verwenden Sie keine Postleitzahlen, Hausnummern, Telefonnummern, Geburtsdaten, ID-Kartennummern, Sozialversicherungsnummern usw. in Ihren Kennwörtern.

5. Verwenden Sie kein Wörterbuchwort in Ihren Passwörtern. Beispiele für starke Passwörter: ePYHc ~ dS *) 8 $ + V- ‘, qzRtC {6rXN3N \ RgL, zbfUMZPE6`FC%) sZ. Beispiele für schwache Passwörter: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. Verwenden Sie nicht zwei oder mehr ähnliche Passwörter, die meisten ihrer Charaktere sind gleich, zum Beispiel iloufreshflowersMac, iloufreshflowersDropBox, denn wenn eines dieser Passwörter gestohlen wird, bedeutet dies, dass alle diese Passwörter gestohlen werden.

7. Verwenden Sie nicht etwas, das geklont werden kann (aber Sie können es nicht ändern), als Ihr Passwort, z. B. Ihre Fingerabdrücke.

8. Lassen Sie Ihre Webbrowser (FireFox, Chrome, Safari, Opera, IE) Ihre Passwörter nicht speichern, da alle in Webbrowsern gespeicherten Passwörter einfach angezeigt werden können.

9. Melden Sie sich nicht bei wichtigen Konten auf den Computern anderer Benutzer an, oder wenn Sie mit einem öffentlichen WLAN-Hotspot, Tor, einem kostenlosen VPN oder einem Web-Proxy verbunden sind.

10. Senden Sie sensible Informationen nicht über unverschlüsselte (z. B. HTTP oder FTP) Verbindungen online, da Nachrichten in diesen Verbindungen mit sehr geringem Aufwand erfasst werden können. Sie sollten wann immer möglich verschlüsselte Verbindungen wie HTTPS, SFTP, FTPS, SMTPS, IPSec verwenden.

11. Auf Reisen können Sie Ihre Internetverbindungen verschlüsseln, bevor Sie Ihren Laptop, Ihr Tablet, Ihr Mobiltelefon oder Ihren Router verlassen. Beispielsweise können Sie ein privates VPN (mit MS-CHAP v2 oder stärkeren Protokollen) auf Ihrem eigenen Server (Heimcomputer, dedizierter Server oder VPS) einrichten und eine Verbindung herstellen. Alternativ können Sie mit PuTTY einen verschlüsselten SSH-Tunnel zwischen Ihrem Router und Ihrem Heimcomputer (oder einem eigenen Remote-Server) einrichten und Ihre Programme (zB FireFox) mit PuTTY verbinden. Selbst wenn jemand Ihre Daten erfasst, während sie zwischen Ihrem Gerät (z. B. Laptop, iPhone, iPad) und Ihrem Server mit einem Paket-Sniffer übertragen werden, können Ihre Daten und Passwörter nicht aus den verschlüsselten Streaming-Daten gestohlen werden.

12. Wie sicher ist mein Passwort? Vielleicht glauben Sie, dass Ihre Passwörter sehr stark und schwer zu hacken sind. Wenn jedoch ein Hacker Ihren Benutzernamen und den MD5-Hash-Wert Ihres Passworts vom Server eines Unternehmens gestohlen hat und die Rainbow-Tabelle des Hackers diesen MD5-Hash enthält, wird Ihr Passwort schnell geknackt.

Um die Stärke Ihrer Kennwörter zu überprüfen und zu ermitteln, ob sie in den beliebten Rainbow-Tabellen enthalten sind, können Sie Ihre Kennwörter in MD5-Hashes in einem MD5-Hash-Generator konvertieren. Entschlüsseln Sie dann Ihre Kennwörter, indem Sie diese Hashes an einen Online-MD5-Entschlüsselungsdienst senden. Zum Beispiel ist Ihr Passwort “0123456789A”, mit der Brute-Force-Methode, kann ein Computer fast ein Jahr dauern, um Ihr Passwort zu knacken, aber wenn Sie entschlüsseln, indem Sie seine MD5-Hash (C8E7279CD035B23BB9C0F1F954DFF5B3) an eine MD5-Entschlüsselungs-Website, wie lange dauert es, um es zu knacken? Sie können den Test selbst durchführen.

13. Es wird empfohlen, alle 10 Wochen Ihre Passwörter zu ändern.

14. Es wird empfohlen, dass Sie sich einige Masterkennwörter merken, andere Kennwörter in einer Nur-Text-Datei speichern und diese Datei mit 7-Zip, GPG oder einer Festplattenverschlüsselungssoftware wie BitLocker verschlüsseln oder Ihre Kennwörter mit einer Kennwortverwaltungssoftware verwalten.

15. Verschlüsseln und sichern Sie Ihre Passwörter an verschiedenen Orten. Wenn Sie dann den Zugriff auf Ihren Computer oder Ihr Konto verloren haben, können Sie Ihre Passwörter schnell wiederherstellen.

16. Aktivieren Sie nach Möglichkeit die zweistufige Authentifizierung.

17. Speichern Sie Ihre kritischen Passwörter nicht in der Cloud.

18. Greifen Sie auf wichtige Websites (z. B. Paypal) direkt über Lesezeichen zu, überprüfen Sie andernfalls den Domainnamen sorgfältig. Es empfiehlt sich, die Beliebtheit einer Website mit der Alexa-Symbolleiste zu überprüfen, um sicherzustellen, dass es sich nicht um eine Phishing-Website handelt.

19. Schützen Sie Ihren Computer mit Firewall und Antivirus-Software, blockieren Sie alle eingehenden Verbindungen und alle nicht benötigten ausgehenden Verbindungen mit der Firewall. Laden Sie Software nur von seriösen Websites herunter und überprüfen Sie nach Möglichkeit die MD5 / SHA1 / SHA256-Prüfsummen- oder GPG-Signatur des Installationspakets.

20. Halten Sie die Betriebssysteme (z. B. Windows 7, Windows 10, Mac OS X, iOS, Linux) und Webbrowser (z. B. Firefox, Chrome, IE, Microsoft Edge) Ihrer Geräte (z. B. Windows PC, Mac, iPhone, iPad) , Android-Tablet), indem Sie das neueste Sicherheitsupdate installieren.

21. Wenn sich wichtige Dateien auf Ihrem Computer befinden und von anderen darauf zugegriffen werden kann, prüfen Sie, ob Hardware-Keylogger (z. B. kabellose Tastatur-Sniffer), Software-Keylogger und versteckte Kameras vorhanden sind, wenn Sie dies für erforderlich halten.

22. Wenn in Ihrem Haus WIFI-Router vorhanden sind, können Sie die Kennwörter (im Haus Ihres Nachbarn) erkennen, indem Sie die Gesten Ihrer Finger und Hände erkennen, da sich das empfangene WLAN-Signal ändert, wenn Sie Ihre Finger bewegen und Hände. Sie können in solchen Fällen eine Bildschirmtastatur verwenden, um Ihre Kennwörter einzugeben. Es wäre sicherer, wenn diese virtuelle Tastatur (oder die Soft-Tastatur) die Layouts jedes Mal ändert.

23. Sperren Sie Ihren Computer und Ihr Mobiltelefon, wenn Sie sie verlassen.

24. Verschlüsseln Sie die gesamte Festplatte mit LUKS oder ähnlichen Tools, bevor Sie wichtige Dateien darauf legen, und zerstören Sie die Festplatte Ihrer alten Geräte, falls erforderlich.

25. Greifen Sie auf wichtige Websites im privaten oder Inkognito-Modus zu, oder verwenden Sie einen Webbrowser, um auf wichtige Websites zuzugreifen, verwenden Sie einen anderen, um auf andere Websites zuzugreifen. Oder greifen Sie auf unwichtige Websites zu und installieren Sie neue Software in einer virtuellen Maschine, die mit VMware, VirtualBox oder Parallels erstellt wurde.

26. Verwenden Sie mindestens 3 verschiedene E-Mail-Adressen, verwenden Sie die erste, um E-Mails von wichtigen Websites und Apps wie Paypal und Amazon zu erhalten, die zweite, um E-Mails von unwichtigen Websites und Apps zu erhalten, die dritte (von einer anderen) E-Mail-Anbieter wie Outlook und Google Mail), um Ihre E-Mail zur Zurücksetzung des Kennworts zu erhalten, wenn die erste (z. B. Yahoo Mail) gehackt wurde.

27. Verwenden Sie mindestens 2 verschiedene Telefonnummern, teilen Sie anderen NICHT die Telefonnummer mit, die Sie zum Empfangen von Textnachrichten der Bestätigungscodes verwenden.

28. Klicken Sie nicht auf den Link in einer E-Mail- oder SMS-Nachricht, setzen Sie Ihre Passwörter nicht zurück, indem Sie darauf klicken, außer dass Sie wissen, dass diese Nachrichten nicht gefälscht sind.

29. Erzählen Sie Ihre Passwörter niemandem in der E-Mail.

30. Es ist möglich, dass eine der heruntergeladenen oder aktualisierten Software oder App von Hackern geändert wurde. Sie können dieses Problem vermeiden, indem Sie diese Software oder App nicht zum ersten Mal installieren, außer dass sie veröffentlicht wurde, um Sicherheitslücken zu schließen. Sie können stattdessen webbasierte Apps verwenden, die sicherer und portabler sind.

31. Seien Sie vorsichtig, wenn Sie Online-Einfügewerkzeuge und Screen Capture-Tools verwenden. Lassen Sie sie Ihre Passwörter nicht in die Cloud hochladen.

32. Wenn Sie ein Webmaster sind, speichern Sie die Passwörter, Sicherheitsfragen und Antworten der Benutzer nicht als Klartext in der Datenbank. Stattdessen sollten Sie die gesalzenen (SHA1, SHA256 oder SHA512) Hashwerte dieser Strings speichern. Es wird empfohlen, für jeden Benutzer eine eindeutige Zufalls-Saite zu generieren. Darüber hinaus ist es eine gute Idee, die Geräteinformationen des Benutzers (z. B. Betriebssystemversion, Bildschirmauflösung usw.) zu protokollieren und die gesalzenen Hashwerte zu speichern, wenn er versucht, sich mit dem richtigen Kennwort, aber mit seinem Gerät anzumelden Informationen stimmen NICHT mit den zuvor gespeicherten überein. Lassen Sie diesen Benutzer seine Identität verifizieren, indem Sie einen anderen Bestätigungscode eingeben, der per SMS oder E-Mail gesendet wird.

33. Wenn Sie ein Softwareentwickler sind, sollten Sie das mit einem privaten Schlüssel signierte Aktualisierungspaket mit GnuPG veröffentlichen und die Signatur mit dem zuvor veröffentlichten öffentlichen Schlüssel verifizieren.

34. Um Ihr Online-Geschäft sicher zu halten, sollten Sie einen eigenen Domainnamen registrieren und einen E-Mail-Account mit diesem Domainnamen einrichten, damit Sie Ihr E-Mail-Konto und alle Ihre Kontakte nicht verlieren, da Sie Ihre E-Mails hosten können Server überall, Ihr E-Mail-Konto kann nicht vom E-Mail-Anbieter deaktiviert werden.

35. Wenn eine Online-Shopping-Site nur Zahlungen mit Kreditkarten erlaubt, sollten Sie stattdessen eine virtuelle Kreditkarte verwenden.

36. Schließen Sie Ihren Webbrowser, wenn Sie Ihren Computer verlassen. Andernfalls können die Cookies leicht mit einem kleinen USB-Gerät abgefangen werden. So können Sie die Bestätigung in zwei Schritten umgehen und sich mit gestohlenen Cookies auf anderen Computern bei Ihrem Konto anmelden.

37. Misstrauen und entfernen Sie schlechte SSL-Zertifikate von Ihrem Web-Browser, sonst werden Sie NICHT in der Lage sein, die Vertraulichkeit und Integrität der HTTPS-Verbindungen zu gewährleisten, die diese Zertifikate verwenden.

38. Verschlüsseln Sie die gesamte Systempartition, andernfalls deaktivieren Sie bitte die Funktionen pagefile und Hibernation, da Sie Ihre wichtigen Dokumente in den Dateien pagefile.sys und hiberfil.sys finden können.

39. Um Brute-Force-Login-Angriffe auf dedizierte Server, VPS-Server oder Cloud-Server zu verhindern, können Sie eine Intrusion Detection- und Prevention-Software wie LFD (Login Failure Daemon) oder Fail2Ban installieren.

Die persönlichen Daten des Domaininhabers waren in öffentlichen Verzeichnissen abrufbar. Bei den meisten Domains werden ab 25.05.2018 nur noch sehr wenige personenbezogene Informationen öffentlich verfügbar sein. Diese Änderungen sind für Domaininhaber ausschließlich von Vorteil und erfordern kein Handeln.
Verwenden Sie für die sichere Übertragung Ihrer Emails ausschließlich das sog. verschlüsselte Protokoll, um das unfreiwillige Mitlesen durch “Dritte” zu verhindern. Aktivieren Sie dazu bitte die vorhandene SSL-Option in Ihrem Email-Client (=Abrufprogramm wie z.B. Outlook, Thunderbird etc.): bei den Servereinstellungen ändern Sie den Port auf 993 bei Abruf mit IMAP und 995 bei Abruf mit POP3 – beim Postausgangsserver bitte den Port 465 verwenden. Falls Sie uns mit einem Email-Hosting beauftragt haben, und Sie Probleme bei der Umstellung haben, kontaktieren Sie uns bitte.

Falls Sie besonders sensible Daten verarbeiten (Gesundheitsdaten, Strafrechtlich relevante Daten, etc.) sollten Sie Ihre Emailkommunikation mit Verschlüsselungssoftware wie z.B. PGP schützen.

Verbindungssicherheit

Die Nutzung von https ist für alle Websites empfehlenswert. Sobald eine Übermittlung von Daten erfolgt (z.B. über ein Kontaktformular), ist die Verwendung im Hinblick auf die Konformität mit der DSGVO beinahe zwingend geboten. SSL/TLS-Verschlüsselung ist im Rahmen der DSGVO zwar nicht wörtlich gefordert, ohne lässt sich eine “sichere Datenübertragung” in der Praxis allerdings nicht realisieren. Hinweis: auch IP-Adressen sind personenbezogene Daten

Wir bieten die Implementierung eines SSL-Zertifikats an (siehe “Unsere Dienstleistungen für DSGVO-konforme Websites”).

Backups

Im Rahmen des Website-Hostings haben Sie Zugang zu Ihrer persönlichen Steuerungskonsole (“control panel”), auf der Sie backups und Wiederherstellungen vornehmen können. Die Zugangsdaten haben Sie bereits von uns erhalten bzw. können Sie gerne anfordern.

Serverseitiges Logging von IP-Adressen 

Um Verantwortlichen die Einholung einer Einwilligung in Verarbeitung von jedem Website-Besucher zu ersparen, werden Änderung der serverseitigen Log-Aufzeichnungen umgesetzt:
Bei den Aufzeichnungen wird das letzte Oktett nicht mehr erfasst. Anstatt der vollständigen IP-Adresse (z.B. 192.168.0.77) wird nur noch ein Teil (z.B. 192.168.0.0) protokolliert. Dies führt zwar zu einem Verlust an der Detailschärfe der Statistik, gewährleistet jedoch, dass es sich bei der verbleibenden Rumpf-IP-Adresse um keine personenbezogenen Daten mehr handelt und daher keine Behandlung im Sinne der DSGVO erforderlich ist.

Aktuelle Software

Sofern personenbezogene Daten verarbeitet werden, sollte geprüft werden, ob aktuelle Datenbanktechnologien (MySQL min. 5.5, besser 5.7) und Skriptsprachen (PHP min 5.6, besser 7.0) verwendet werden. Diese serverseitigen Einstellungen können wir für Sie prüfen bzw. prinzipiell aktualisieren. Dies betrifft weiters auch die am Webspace installierte Software (siehe “Unsere Dienstleistungen für DSGVO-konforme Websites”).

Wenn Sie uns mit einer der folgenden Leistungen beauftragt haben, sind Sie und wir verpflichtet, einen Vertrag zur Auftragsdatenverarbeitung zu schliessen:

  • Domainregistrierung/Verlängerung
  • Email-Hosting
  • Website-Hosting
  • Support wie z.B. Textänderungen auf der Website

Lt. DSGVO sind wir als Auftragsdatenverarbeiter verpflichtet, Sie als Verantwortlichen bei der Erfüllung Ihrer Pflichten nach der DSGVO zu unterstützen. Das betrifft insbesondere auch die Übermittlung und Verarbeitung auf angemessenem Datenschutzniveau. Wir können daher nur eine Auftragsdatenverarbeitung durchführen, wenn Sie bereits im Vorfeld die notwendigen Maßnahmen treffen.

Konkret bedeutet das beispielsweise, dass Ihre Website DSGVO-konform sein muss, bevor wir einen Vertrag zur Auftragsdatenverarbeitung schliessen können. Dies können Sie entweder selbst durchführen oder einen Dienstleister damit beauftragen. Wir können für fast alle unsere Website-Kunden diese Unterstützung anbieten (grundsätzlich für alle von uns erstellten WordPress-Websites)     

Unsere Dienstleistungen für DSGVO-konforme Websites

Je nach Technologie, Funktionalität und Art der Datenverarbeitung sind unterschiedliche Maßnahmen notwendig, um Ihre Website DSGVO-konform zu gestalten.  Auch hier müssen wir darauf hinweisen, dass diese Aufstellung keine spezifische Rechtsberatung ersetzt sondern als Unterstützung bei der Umsetzung gedacht ist. Wir können diese Maßnahmen für unsere Webvisitenkarten (html-Seite mit Bild) und Websites anbieten, die auf dem System WordPress erstellt wurde.

Diese Maßnahmen können, müssen aber nicht für Ihre Website relevant sein. Hinsichtlich der Verwendung und Vorschriften in Bezug auf  den Versand von Newslettern verweisen wir auf die sehr praxisorientierte Infoseite der WKO: Link Newsletterversand 

Eine regelmäßige Wartung von Websites bieten wir grundsätzlich nicht an, da dies mit sehr hohem Aufwand und entsprechend hohen Kosten verbunden ist. Ein permanentes updaten der zahlreichen Komponenten kann auch zu technischen Inkompatibilitäten führen, desweiteren sind neuere Versionen oft fehleranfällig. Wir setzen daher auf den Einsatz von Sicherheitssystemen, die funktionierende Websites gegen Hacks absichern.

Die Kosten sind stark von den notwendigen Maßnahmen und der individuellen Komplexität abhängig. Als Richtwerte für die Umsetzung können wir nachstehende Preise (zzgl. 20% USt.) nennen (Laufende Kosten, die pro Monat angegeben sind, werden für einen Zeitraum von 12 Monaten im Vorhinein verrechnet.)

Leistung Kosten
individuelle DSGVO-konforme Datenschutzerklärung (Erstellung, Empfehlung ohne Rechtsverbindlichkeit) einmalig € 179,-
SSL Zertifikat für eine sichere Datenübertragung (Installation am Server und Anpassung der Website) einmalig € 89,-
Einverständniserklärung für die Verarbeitung von Daten (zB in Kontaktformularen),
Wechsel Formularsystem tw. notwendig.
einmalig € 89,-
Information über die Verwendung von Cookies (Informationsleiste beim Aufrufen der Seite) einmalig € 35,-
Double opt-in Verfahren für Newsletter-Anmeldung (möglich je nach Newsletter-System) einmalig ca. € 129,-
Anonymisierung der IP-Adresse bei Verwendung von Google Analytics einmalig € 35,-
Absicherung Ihrer Website durch internes Plugin (gute Absicherung) einmalig € 109,-
Absicherung Ihrer Website durch internes Premium-Plugin (sehr gute Absicherung) einmalig € 109,-
laufend € 8,99 p.M.
Absicherung Ihrer Website durch externe firewall (extrem gute Absicherung)
inkl. SSL-Zertifikat (Kosten s.o. entfallen)
einmalig € 129,-
laufend € 24,99 p.M.
Server-update auf mind. PHP 5.6 einmalig € 35,-
sonstige Leistungen nach Aufwand € 59,-/h

Stand: 11.06.2018

 

 

OBEN