Aktuelles

10/2018 – Informationelle Selbstbestimmung das Konzept der Dezentralisierung als Alternative zu mächtigen Datenkraken

Ein komplexes soziales Netzwerk aufrechterhalten, wenn es kaum einer nutzt und neulich sogar eine Sicherheitslücke entdeckt wurde? Für den Technik-Riesen Google steht das nicht mehr zur Diskussion. In zehn Monaten, im August kommenden Jahres, wird der Stecker also gezogen. Das hauseigene soziale Netzwerk von Google wird stillgelegt. Google+ - Nutzer haben bis dahin noch die Möglichkeit ihre gespeicherten Daten herunterzuladen und auf andere Plattformen zu migrieren.

Doch was sind die Alternativen? Ein Wechsel zu Facebook oder anderen Datenkraken, Plattformen, die mit unseren Daten Geld verdienen und – am Beispiel von Facebook – für unsere Daten nicht einmal eine sichere Verwahrung gewährleisten können? Die richtige Frage sollte vielmehr lauten, ob wir unsere Daten weiterhin privaten Firmen überlassen möchten. Wer auf diese Frage mit ‚Nein‘ antworten kann, wer wieder Kontrolle und Verantwortung über die eigenen Daten übernehmen und einer kulturellen Verengung entgegen wirken möchte, für den stellt sich aktuell nur eine konkrete Option: Open-Source basierte Netzwerke. Hier können die Daten zu Hause auf dem eigenen Rechner oder bei einem Provider, dem man vertraut, gespeichert werden. Die Vorteile liegen klar auf der Hand: Die Kontrolle über ein Video wird beispielsweise vollständig behalten – es kann jederzeit wieder entfernt werden. Und wer möchte, kann sogar steuern, wer es sehen darf. Das gilt natürlich für alle Arten von Daten – Texte, Infos und Fotos.

Wir stellen hier zwei Alternativen vor, die ein unkommerzielles Konzept entgegen der autoritär organisierten sozialen Netzwerke stellen.

diaspora* bietet seinen Nutzern seit 2010 die Option lokale Server überall auf der Welt aufzusetzen oder bereits bestehenden Servern beizutreten. Dezentralisierung lautet hier das Stichwort – es ist trotzdem möglich sich nahtlos mit der weltweiten Gemeinschaft zu verbinden. Außerdem bietet das Netzwerk seinen Nutzern die Freiheit den Quellcode und somit die Nutzungsmöglichkeiten zu verändern und dem eigenen Gebrauch anzupassen. Genauso, wie das Profil selbst. Hier kann der Kreativität freien Lauf gelassen werden, die echte Identität muss nicht verwendet werden. Die Daten werden bei diaspora* außerdem nicht genutzt, um Geld zu machen, indem sie Interaktion auswerten und darauf basierende Werbung einblenden, sondern nur für die Möglichkeit einer weltweiten Vernetzung und Interaktion der User. Aber auch hier kann der Nutzer gezielt erlauben, wer Beiträge sehen kann und wer nicht. Wie privat oder öffentlich ein Profil ist, über die Privatsphäre hat jeder User individuell Kontrolle. Auch wenn die eigenen Kontakte noch nicht auf diaspora* vertreten sind, kann das eigene Konto mit anderen sozialen Netzwerken verbunden werden und eine übergreifende Vernetzung stattfinden. Mehr Infos zu diaspora* gibt es unter https://diasporafoundation.org/.

Mastodon ist ebenfalls ein Open-Source-Netzwerk, das seit 2016 besteht. Wie bei diaspora* gibt es hier keinen zentralen Server, sondern eine Vielzahl privater, die zu einem großen Netzwerk zusammengeführt werden. Ähnlich zu Twitter gibt es für Texte ein Limit von 500 Zeichen. Auch hier steht der Nutzer im Vordergrund, es gibt keine Sammlung von Daten, keine kommerzielle Nutzung. Einen kleinen Einblick und weiterführende Infos gibt es auf https://mastodon.social/about.

Neugierig geworden? Auf https://the-federation.info/ gibt es zurzeit 23 Projekte, unter anderem auch diaspora* und mastodon, deren Basis eine dezentralisierte Open-Source-Software darstellt. Durch Knotenpunkte werden diese einzelnen Projekte verbunden und können so miteinander kommunizieren. Wer sein Recht auf informelle Selbstbestimmung neu erfinden und gestalten möchte, ist hier genau richtig.

09/2018 – Nextcloud: Kontrolle ist der Schlüssel zur Sicherheit

Nextcloud ist eine der coolsten Private-Cloud-Lösungen, die derzeit verfügbar sind. Die Besonderheit liegt in der Kombination von Komfort und Benutzerfreundlichkeit mit den höchsten Anforderungen an Sicherheit, Datenschutz und Kontrolle. Somit eignet sich Nextcloud gleichermaßen für den Privatgebrauch als auch für Unternehmen. aixzellent bietet speziell für KMU einen eigenen Server in einem deutschen Rechenzentrum, der maximale Sicherheit und Kontrolle über alle Unternehmensdaten garantiert (https://www.aixzellent.com/r/ppc). Die meisten Lösungen wie Dropbox oder Office 365 wurden nicht unter Berücksichtigung von Datenschutzbestimmungen entwickelt, da sie Daten von Verbrauchern und Unternehmen mischen, die in Rechenzentren auf der ganzen Welt verteilt sind. Um dies zu lösen, ermöglicht Nextcloud dem Besitzer die vollständige Kontrolle über die Standort- und Zugriffsrichtlinien seiner Daten mit einer hybriden oder privaten Cloud-Lösung. Dies ist ein erheblicher Vorteil gegenüber Public Clouds. Ob privat oder geschäftlich, niemand möchte, dass persönliche oder interne Daten, Dokumente, Fotos, Videos usw. unkontrolliert auf unzähligen Servern gespeichert und mit Dritten geteilt werden.

Darüber hinaus ist Nextcloud leicht integrierbar, da alle existierenden Storage-Lösungen und branchenüblichen SQL-Datenbanken zur Speicherung von Benutzer- und Metadaten unterstützt werden. Außerdem können mehrere kommerzielle und/oder private Nextclouds miteinander verbunden werden. Besonders praktisch ist auch, dass Nextcloud für alle Geräte verfügbar und mit jeder Hardware synchronisierbar ist. Darüber hinaus können mehrere Benutzer angelegt und verwaltet werden, so dass zum Beispiel jedes Familienmitglied oder jeder Mitarbeiter einen eigenen Speicher bekommen kann. Zur optischen Unterscheidung und für die persönliche Note kann jedes Profil individuell gestaltet werden. Da Authentifizierung der erste Schritt zur Datensicherung ist unterstützt Nextcloud die Zwei-Faktor-Authentifizierung und gerätespezifische Passwörter, einschließlich einer Liste der angeschlossenen Browser und Geräte. Darüber hinaus können Administratoren mit integrierten Überwachungs- und Protokollierungs-Tools gezielt Berechtigungen für die Freigabe und den Zugriff auf Dateien für einzelne Personen oder Gruppen festlegen und überwachen.

Zur Datenübertragung wird grundsätzlich die branchenübliche SSL/TLS-Verschlüsselung verwendet. Ordner können mit anderen Benutzern geteilt und zwischen Geräten synchronisiert werden, sind aber vom Server nie lesbar. Diese Lösung ist einfach zu bedienen und dank des Zero-Knowledge Server-Designs und des kryptographischen Identitätsschutzes dennoch extrem sicher. Mit einem flexiblem Schlüsselhandling können Wiederherstellungsschlüssel für verschlüsselte Dateien festgelegt werden. So ist sichergestellt, dass auch beim Verlust des Passworts alle Dateien immer entschlüsselt werden können. Mit definierbaren Regelungen für die Vorratsdatenspeicherung können Dateien regelmäßig bereinigt werden und so nur für einen zuvor festgelegten Zeitraum aufbewahrt werden. Der Brute-Force-Schutz protokolliert ungültige Anmeldeversuche und bremst mehrere Anmeldeversuche von derselben IP-Adresse aus. Um vor Phishing-Angriffen zu schützen werden Passwort-Reset-Token ungültig, wenn kritische Informationen wie E-Mail Adressen geändert wurden.

Der modulare Aufbau und das umfangreiche Plug-In-System von Nextcloud stellt eine Vielzahl an Funktionen zur Verfügung. Nextcloud Files (Datei-Synchronisation und Sharing) ermöglicht beispielsweise eine Echtzeit-Zusammenarbeit unter Schülern, Studenten oder Mitarbeitern und den sofortigen Zugriff auf alle Daten von jedem Gerät und jedem Ort aus. Nextcloud Talk (Telefonie, Chat und Web-Meetings) ermöglicht selbst gehostete private und geschäftliche Peer-To-Peer (Gruppen-) Audio-/Videoanrufe und -konferenzen sowie Text-Chats für persönliche Gespräche mit Familie und Freunden oder vertrauliche Besprechungen mit Mitarbeitern, Partnern und Kunden. Auch wenn Lösungen wie Whatsapp oder Telegram Inhalte verschlüsseln können, kann jeder, der sie beobachtet, immer noch sehen wann mit wem kommuniziert wird. Mit Nextcloud Talk verlassen Metadaten nie den Server, so dass man die komplette Kontrolle über seine Kommunikation behält. Nextcloud Groupware integriert Kalender, Kontakte und Mails mit denen vor allem Mitarbeiter und Teams ihre Arbeit effizienter und schneller erledigen können. Nextcloud Mail ermöglicht die Nutzung mehrerer Konten über POP/IMAP und unterstützt die Ende-zu-Ende-Verschlüsselung mit OpenPGP. Mit dem Nextcloud-Kalender können Unternehmungen und Besprechungen online geplant und mit Mitarbeitern, Familienmitgliedern oder Freunden geteilt werden. Zusätzlich können mit Nextcloud-Kontakte private und geschäftliche Beziehungen organisiert, Geburtstagserinnerungen gespeichert sowie Adress- und Telefondaten geteilt und synchronisiert werden.

Fazit: Nextcloud ist unserer Ansicht nach aus vielerlei Hinsicht absolut empfehlenswert. Auf der Maxime basierend, dass Kontrolle der Schlüssel zur Sicherheit ist, haben Verbraucher ihre Daten und IT wieder selbst im Griff. Darauf aufbauend können leistungsstarke Funktionen zur Steuerung und Überwachung des Datenaustauschs und der Kommunikation integriert werden. Dabei gilt stets: Sicherheit geht vor! Die Vielzahl einzigartiger Sicherheitstechnologien garantiert, dass persönliche Daten auch privat bleiben, dass man immer weiß, wo sie sich befinden, wer Zugang dazu hat und dass auch Metadaten nicht ungeschützt sind! Dennoch hat man jederzeit und von überall aus Zugriff. [Quelle: https://nextcloud.com/]

08/2018 – DSGVO für Verbraucher: Power to the People

Die DSGVO kann für Unternehmen, die sich bisher noch nicht intensiv mit dem Thema Datenschutz beschäftigt haben, viel Arbeit bedeuten und deswegen als nachteilig empfunden werden. Das sollte jedoch nicht so sein, denn wer mit personenbezogenen Daten arbeitet trägt eine gewisse Verantwortung diese zu schützen. Wir empfehlen Webseitenbetreibern möglichst sparsam mit dem Erheben, Speichern und Verarbeiten solcher Daten zu sein. Sehen Sie hierzu auch die Zusammenfassung der wichtigsten Punkte für den Umgang mit persönlichen Daten (07/2018).

Für Verbraucher ist die Vereinheitlichung der europäischen Datenschutzrichtlinien in jedem Fall ein großer Gewinn. Eines steht dabei besonders im Vordergrund: Sie müssen genauer darüber informiert werden, wie ihre personenbezogenen Daten genutzt werden und haben jederzeit das Recht dieser Nutzung zu widersprechen. Damit Sie genau wissen, welche Rechte Verbraucher künftig haben und wie Sie von der DSGVO profitieren können, finden Sie hier eine Zusammenfassung der wichtigsten Neuerungen und was diese für Sie bedeuten.

Geltungsbereich: Die DSGVO gilt für alle EU-Bürger, deren Rechte sie stärkt. Unternehmen sind nunmehr verpflichtet Auskunft darüber zu geben welche persönlichen Daten es zu welchem Zweck erhebt, verarbeitet und speichert. Dies gilt auch für alle Unternehmen, deren Sitz sich nicht innerhalb der EU befindet, wenn Sie ihr Angebot an europäische Verbraucher richten. Somit gilt sie auch für US-Großkonzerne wie Google, Facebook und Co.

Privacy by default: Grundsätzlich gilt, dass nur personenbezogene Daten erhoben und verarbeitet werden sollen, die unbedingt nötig sind! Dazu gehört auch, dass Unternehmen dazu angehalten sind datenschutzfreundliche Voreinstellungen zu treffen. Bei einer Bestellung über einen Webshop sind Name und Lieferadresse beispielsweise eine zwingend notwendige Angabe. Die Telefonnummer ist dagegen zum Beispiel nicht nötig, um den Auftrag zu bearbeiten und sollte deswegen keine Pflichtangabe sein. Darüber hinaus können Unternehmen selbstverständlich Ihren Kunden anbieten über das Aktivieren einer entsprechenden Op-In Box Ihren Newsletter zu abonnieren. Dieses Kästchen sollte allerdings nicht voraktiviert sein. Auch bei Apps dürfen beispielsweise nicht das Mikrofon oder der Zugriff auf Fotos etc. automatisch erlaubt sein.

Informationspflicht/Klartext: Unternehmen müssen mit Inkrafttreten der DSGVO Ihre Kunden zwar ausführlich über den Zweck, den Umfang die Dauer der Speicherung und Verarbeitung personenbezogener Daten informieren, dies muss jedoch auch für jeden leicht verständlich und auf das Nötigste beschränkte sein. Eine klar formulierte Datenschutzerklärung sollte direkt auf der Homepage jeder Webseite verfügbar sein. Falls Daten an Dritte weitergeben werden, muss der Verbraucher genau darüber aufgeklärt werden wer Zugang zu seinen persönlichen Daten erhält. Außerdem muss er dieser Datenweitergabe ausdrücklich zustimmen. Sollte eine Datenschutzpanne auftreten, sind Unternehmen verpflichtet den Kunden hierüber unverzüglich in Kenntnis zu setzen.

Antwort-/Auskunftspflicht: Unternehmen sind dazu verpflichtet Verbraucher auf Anfrage über Ihre Rechte zu informieren. Außerdem müssen sie Auskunft darüber geben, welche Daten sie derzeit gespeichert haben, wozu diese benötigt werden, wann sie gelöscht werden und ob bzw. an wen Sie weitergegeben werden. Solche Anfragen müssen unentgeltlich innerhalb von vier Wochen bearbeitet werden.

Datenlöschung & Recht auf Vergessenwerden: Verbraucher haben jederzeit das Recht, um die unverzügliche und vollständige Löschung gespeicherter Daten zu bitten. Vom Recht auf Löschung ausgeschlossen sind beispielsweise Rechnungsdaten, die gesetzlich 10 Jahre lang gespeichert werden müssen. Ebenso sind Unternehmen dazu verpflichtet personenbezogene Daten nach Ablauf solcher Fristen oder, falls der Zweck der Erhebung entfallen sollte, unverzüglich zu vernichten.

Datenkopie & Datenübertragbarkeit: Unternehmen müssen Ihren Kunden auf Anfrage eine elektronische Kopie, z.B. als PDF, ihrer persönlichen Daten zur Verfügung stellen. Außerdem sollten sie z.B. im Falle einer Vertragskündigung dem Kunden diese Daten in einem gängigen elektronischen Format übermitteln, um ihm beispielsweise den Umzug zu einem anderen Anbieter zu erleichtern.

Aufsichtsbehörden: Verbraucher haben grundsätzlich das Recht sich bei jeglichen datenschutzrechtlichen Anliegen, Bedenken oder Zweifeln an die zuständige Aufsichtsbehörde zu wenden.

Obwohl einige Regelungen und Formulierungen der neuen EU-Datenschutzrichtlinien noch nicht vollständig ausdefiniert sind, ist die DSGVO alles in allem ein großer Schritt in die richtige Richtung, der Verbrauchern endlich umfangende Rechte zugesteht, die absolut gerechtfertigt sind. Zögern Sie nicht uns im Falle von Fragen jederzeit zu kontaktieren, wir helfen Ihnen gerne weiter. [Quellle: Kompac’t 1/2018]

07/2018 – Fit für die DSGVO aus der Sicht von Webseitenbetreibern

Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 ist die Angst vor Abmahnungen und Bußgeldern besonders bei kleinen und mittelständischen Unternehmen (KMU) deutlich gestiegen. Die tatsächlichen Auswirkungen auf Webseitenbetreiber und KMU wird jedoch erst die Zeit zeigen. Risiken lassen sich allerdings minimieren, wenn man die neue Rechtsgrundlage kennt und gegebenenfalls auch kurzfristig darauf reagieren kann.

Am wichtigsten zu wissen ist: Die DSGVO betrifft jeden, also auch Sie! Ob privat oder beruflich, jeder hat in irgendeiner Art mit personenbezogenen Daten zu tun und sollte deswegen die europaweit nahezu einheitlichen Datenschutzregeln zumindest in groben Zügen kennen. Die gute Nachricht ist: Da große Teile der DSGVO auf dem strengen deutschen Datenschutzrecht basieren, sind Ihnen einige Regelungen sicherlich schon bekannt.

Unsere Empfehlung an Webseitenbetreiber ist, sich das Prinzip der Datensparsamkeit sehr zu Herzen zu nehmen. In diesem Zuge haben auch wir den Umfang der Erhebung und Verarbeitung personenbezogener Daten auf ein absolutes Minimum reduziert. Zusätzlich verzichten wir vollständig auf die Verwendung von externen Analysetools. Sollten Sie nicht auf das Erfassen bestimmter Daten und die Einbindung externer Dienste verzichten können, sollten Sie folgendes beachten:

Datenminimierung: Es dürfen nur personenbezogene Daten erhoben werden, die für den Zweck unbedingt notwendig sind. Zur Anmeldung eines Newsletters ist beispielsweise nur eine gültige Mailadresse zwingend nötig, also weder Name, noch Geburtsdatum oder ähnliches.

Zweckbindung: Der Zweck für das Erheben, Speichern und Verarbeiten von personenbezogenen Daten muss zuvor eindeutig festgelegt worden sein und darf ohne gesonderte Einwilligung nicht verändert oder erweitert werden.

Verbot mit Erlaubnisvorbehalt: Personenbezogene Daten dürfen nicht erhoben, gespeichert und verarbeitet werden, wenn hierfür nicht eine eindeutige Rechtsgrundlage oder die Zustimmung der betroffenen Person vorliegt.

Datenweitergabe: Persönliche Daten dürfen ohne ausdrückliche Einwilligung niemals mit Dritten geteilt oder an diese weitergegeben werden. Eine besondere Herausforderung in dieser Hinsicht ist für Webseitenbetreiber die Einbindung von außereuropäischen Diensten wie Google Analytics.

Auftragsverarbeitung: Sie sollten mit jeglichen externen Dienstleistern, die mit den von Ihnen erhobenen persönlichen Daten in Kontakt kommen, einen „Vertrag zur Auftragsdatenverarbeitung“ abschließen in dem diese sich verpflichten diese Daten ebenfalls DSGVO-konform zu behandeln.

Tracking: Sie müssen die Besucher Ihrer Webseite über jegliche Art des User-Trackings informieren. Hierzu zählt beispielsweise bereits das anonymisierte Speichern von IP-Adressen. Ebenfalls sollten Sie schon beim ersten Besuch Ihrer Webseite auf die Verwendung von Cookies aufmerksam machen und eine Opt-Out-Möglichkeit implementieren durch die der Nutzung von Cookies widersprochen werden kann.

Verschlüsselung: Persönliche Daten müssen bei Webformularen, Logins, Kontaktformularen oder Shop-Bestellungen verpflichtend mit einer SSL-Verschlüsselung (https://) übermittelt werden.

Klarheit und Transparenz: Sie müssen eine klar formulierte Datenschutzerklärung direkt auf der Homepage Ihrer Webseite bereitstellen, die Ihre Besucher über den Umgang mit ihren Daten aufklärt und für jeden verständlich ist. Außerdem müssen Sie Einwilligungstexte für das Erheben von Daten erstellen und deutlich darauf aufmerksam machen, dass Einwilligungen jederzeit widerrufen werden können.

Dokumentation und Rechenschaftspflicht: Als Webseitenbetreiber sind Sie dazu verpflichtet Vorgänge, die im Zusammenhang mit persönlichen Daten stehen, in Verzeichnissen zu dokumentieren und diese auf Anfrage von Aufsichtsbehörden bereitzustellen.

Auskunftspflicht und Meldepflicht: Als Webseitenbetreiber sind Sie grundsätzlich dazu verpflichtet unentgeltlich Auskunft über gespeicherte personenbezogenen Daten zu erteilen. Außerdem müssen Sie den Verlust personenbezogener Daten sofort den Aufsichtsbehörden melden, um Bußgelder zu minimieren oder zu vermeiden. Auch für die Nichteinhaltung der neuen Datenschutzregeln wird mit empfindlichen Geldbußen geahndet.

Datenschutzbeauftragter: Sollten in Ihrem Unternehmen mindestens zehn Mitarbeiter dauerhaft in die Verarbeitung personenbezogener Daten involviert sein, müssen Sie einen Datenschutzbeauftragten benennen, der alle Vorgänge überwacht und als Bindeglied zwischen Betreiber und Aufsichtsbehörde fungiert.

Mit diesen kurz zusammengefassten wichtigsten Regelungen möchten wir Sie bei deren Umsetzung unterstützen und hoffen, dass wir Ihnen einen guten Ein- und Überblick geben konnten. Für Fragen und Anregungen stehen wir Ihnen jederzeit gern zur Verfügung und wünschen Ihnen gutes Gelingen! [Quellle: Kompac’t 1/2018]

04/2018 – Unser Vorschlag zur DSGVO: Datensparsamkeit ist Trumpf!

Der Schutz Ihrer Daten hat bei uns die allerhöchste Priorität. Aufgrund dessen und anlässlich des Inkrafttretens der neuen EU-Datenschutzverordnung (DSGVO) am 25. Mai 2018, möchten wir Ihnen unseren Vorschlag zu einer Datenschutzerklärung vorstellen, der das Prinzip der Datensparsamkeit (Artikel 25) ganz groß schreibt. Um den Umfang der Erhebung und Verarbeitung personenbezogener Daten so weit wie möglich zu minimieren, verzichtet aixzellent vollständig auf die Verwendung von externen Analysetools wie Google Analytics.

Stattdessen wird das Nutzerverhalten beim Besuch unserer Webseite ausschließlich intern durch uns und außerdem vollständig anonymisiert mit dem Open-Source-Webtracking-Tool Piwik analysiert. Das heißt, dass erfasste Daten, im Gegensatz zur Nutzung von Google Analytics, nicht an Dritte weitergegeben und von Dritten verwendet werden. So können wir außerdem garantieren, dass alle Daten ausschließlich auf Servern in Deutschland gespeichert werden und somit niemals in Länder mit unter Umständen fragwürdigen Datenschutzbestimmungen übertragen werden.

Die vollständige Datenschutzerklärung zur Nutzung unserer Webseite finden Sie hier. Bei Fragen können Sie uns gerne jederzeit eine Nachricht an sales@aixzellent.de schicken!