ADMIN Magazin Gestapelt - Schneller und sicherer mit RAID (Vorschau)

Login
Sicher löschen
Smartphone oder USB-Stick verloren
Angenommen ein externer Datenträger, wie
USB-Stick oder Smartphone oder Laptop mit
unverschlüsselten Daten geht verloren, weil
man diesen etwa im Taxi oder der Bahn vergessen
hat.
n Anzeigepflicht bei Datenschutzpannen:.
Das Unternehmen oder die Person, die ein
Speichermedium mit personenbezogenen
fremden Daten verloren hat, ist je nach den
darauf befindlichen Daten verpflichtet, diese
Datenpanne nach dem BDSG zu melden. Andernfalls
drohen empfindliche Bußgelder.
n Als Finder muss man dies nach § 965 BGB
melden, es gilt die „Anzeigepflicht des Finders“:
(1) Wer eine verlorene Sache findet
und an sich nimmt, hat dem Verlierer oder
dem Eigentümer oder einem sonstigen Empfangsberechtigten
unverzüglich Anzeige zu
machen.
(2) Kennt der Finder die Empfangsberechtigten
nicht, oder ist ihm ihr Aufenthalt unbekannt,
so hat er den Fund und die Umstände,
welche für die Ermittelung der Empfangsberechtigten
erheblich sein können, unverzüglich
der zuständigen Behörde anzuzeigen. Ist
die Sache nicht mehr als zehn Euro wert, so
bedarf es der Anzeige nicht.
Die weiteren Pflichten und Rechte ergeben
sich aus den §§ 966 ff BGB, insbesondere
nach welcher Frist man das Eigentum an
Fundsachen erwirbt.
n Fernlöschung Es gibt spezielle Software, die
per Fernzugriff die Daten auf einem gestohlenen
Smartphone oder Laptop löschen kann,
vorausgesetzt es besteht eine Internetverbindung.
Oder man lässt sich ein Sicherheitskonzept
vorlegen, aus dem sich ergibt, welche
technischen und organisatorischen
Maßnahmen der Anbieter getroffen hat,
um den Schutz der personenbezogenen
Daten zu gewährleisten.
Ein Kriterium bei der Auswahl des Dienstleisters
sollte auch sein, wie sehr das Unternehmen
dagegen abgesichert ist, dass
Fremde die Räume betreten können, in
denen die externen Datenträger gelöscht
werden. Eine weitere Frage könnte sein,
ob der Dienstleister auch vor Ort im Unternehmen
oder in einem mobilen Datenvernichter
löschen kann oder aber
wie der Transportweg der Datenträger
abgesichert ist.
Wichtig ist zudem, welche konkrete technische
Methode der Anbieter verwendet,
und ob diese die richtige für den eigenen
Schutzbedarf ist. Man sollte technische
Details bezüglich des Löschverfahrens
erfragen. Der Auftrag ist schriftlich zu
erteilen, und im Vertrag müssen eine
ganze Reihe konkreter Fragen geregelt
sein, die sich im Detail aus § 11 Absatz 2
© Andrea Danti, 123RF
BDSG ergeben. Eine Orientierung findet
man hier [5].
Wichtig ist außerdem, dass man auf ein
vollständiges Löschprotokoll achtet, das
je nach verwandter Technik genau bestätigt,
welcher Datenträger mit identifizierender
Seriennummer gelöscht oder vernichtet
wurde und ausweist, ob es bei der
Datenlöschung Fehler gab oder nicht.
Wird ein Dienstleister eingesetzt, und erteilt
man ihm einen Auftrag entgegen den
Vorgaben der Auftragsdatenverarbeitung
nicht richtig, nicht vollständig oder nicht
in vorgeschriebener Weise oder versäumt
man es, sich von den technischen und
organisatorischen Maßnahmen beim
Dienstleister im Vorfeld zu informieren,
kann dies mit einem Bußgeld bis zu
50 000 Euro sanktioniert werden, § 43 I
Nr. 2 b BDSG.
Verschlüsseln statt
shreddern
Abbildung 3: Verschlüsseln ist eine Alternative zur Zerstörung des Datenträgers.
Sicher gelöscht werden braucht jetzt nur noch der Schlüssel.
Ein Mitarbeiter eines Landesbeauftragten
für Datenschutz empfiehlt: „Idealerweise
sollten Daten
überhaupt nicht
unverschlüsselt
auf den Medien
abgelegt werden.
Mit einer Grundverschlüsselung
braucht man zum
sicheren Löschen
nur noch den (vergleichsweise
sehr
kurzen) Schlüssel
sicher zu löschen.
Wenn die Zerstörung
des Mediums
eine Option ist,
sollte dennoch zuvor
eine Löschung durch (mehrfaches)
Überschreiben erfolgen.“
Der Tipp Daten zu verschlüsseln schlägt
gleich mehrere Fliegen mit einer Klappe:
Er hilft bei der Frage der Gewährleistung
weiter und ist nützlich für versehentlich
liegengelassene Datenträger.
n
Infos
[1] BSI-Grundschutzkatalog: [https:// www.​
bsi. bund. de/ ContentBSI/ grundschutz/​
kataloge/ kataloge. html]
[2] DIN 66399: [http:// www. beuth. de/ de/​
norm/ din‐66399‐1/ 155420083]
[3] DIN-Spec zur Datenträgervernichtung:
[http:// www. nia. din. de/ cmd?​
artid=148899740& bcrumblevel=1&​
contextid=nia& subcommitteeid=54771182&​
level=tpl‐art‐detailansicht&​
committeeid=54738935& languageid=de]
[4] BSI-Merkblatt: [https:// www. bsi. bund.​
de/ ContentBSI/ Themen/ ProdukteTools/​
VSclean/ VS_Clean. html]
[5] Muster-Auftrag: [https:// www. gdd. de/​
nachrichten/ news/ neues‐gdd‐muster‐zur‐au
ftragsdatenverarbeitung‐gemas‐a7‐11‐bdsg]
Die Autorin
Die Autorin ist Rechtsanwältin & Fachjournalistin
für IT-Recht in Berlin und veröffentlicht seit 1997
in zahlreichen anderen Medien zu Fragen des IT-
Rechtes. Darüber hinaus referiert sie regelmäßig
zu aktuellen Fragen des Internetrechtes, der IT-
Sicherheit und unterrichtet als Lehrbeauftragte
für IT-Recht an der Beuth Hochschule für Technik
in Berlin. Ihre Beratungsschwerpunkte sind: IT-
& Internetrecht, Urheber-,
Foto-, Softwarelizenz-,
Vertrags- und Markenrecht,
Werberecht, Datenschutzfragen
sowie internationales
Privat- und Europarecht.
24 Ausgabe 06-2012 Admin www.admin-magazin.de