Aufrufe
vor 3 Monaten

Netzwoche 02/2021

  • Text
  • Mitteilung
  • Microsoft
  • Zudem
  • Datenschutz
  • Digital
  • Huawei
  • Netzmedien
  • Schweiz
  • Schweizer
  • Unternehmen

14 Business Focus

14 Business Focus Clubhouse – was Sie darüber in Sachen Datenschutz wissen sollten Vorgestern Snapchat, gestern Tiktok, heute Clubhouse: Apps, die den Zeitgeist treffen, werden zum Hype. Wenn dann noch wie bei der Audio-only-App Clubhouse der Zutritt zu den Chaträumen nur auf Einladung möglich ist, wird die App zum exklusiven Must-have. Mögliche negative Begleiterscheinungen werden dabei vor lauter «Dabei sein ist alles» nur zu gerne ausgeblendet. DIE AUTOREN Michèle Balthasar Rechtsanwältin, Data Privacy and Legal Consulting Eugen Roesle Rechtsanwalt, Data Privacy and Legal Consulting Aus datenschutzrechtlicher Sicht fallen zumindest vier Punkte ins Gewicht, denen sich die Nutzer bewusst sein müssen. 1. Persönliche Kontakte müssen freigegeben werden Die Clubhouse-App ist wie viele andere nicht kostenlos, auch wenn sie so daherkommt. Bezahlt wird mit Kontaktdaten. Einladungen können nämlich nur versendet werden, wenn das Adressbuch des Smartphones freigegeben ist. Sind die Kontakte freigegeben, werden Namen und Telefonnummern auf Server in den USA (siehe Punkt 2) hochgeladen und abgeglichen. Clubhouse erkennt so, wer mit wem verbunden ist und verbindet die User auf der Plattform. 2. Die Daten werden in den USA verarbeitet Namen und Telefonnummern sind personenbezogene Daten, für deren Verarbeitung strenge Regeln gelten. So dürfen personenbezogene Daten nur in datenschutzrechtlich sichere Länder übermittelt werden. Die USA, wo sich der Standort des Servers (mutmasslich) befindet, gehören nicht dazu. Eine berechtigte Forderung ist deshalb, dass die durch den Datenabgleich betroffenen Personen in den Abgleich von Namen und Telefonnummern einwilligen müssten. 3. Die Gespräche werden aufgezeichnet Clubhouse zeichnet die Gespräche in den Chaträumen auf und speichert sie gemäss Anbieter in verschlüsselter Form, solange der Chatraum aktiv ist. Nur wenn in diesem Zeitraum eine Beschwerde über Nutzer eingeht, werden die Aufzeichnungen aufbewahrt und als Beweismittel hinzugezogen. Die Speicherung der Audiodaten erfolgt dabei auf Grundlage einer Einwilligung, die bereits auf dem Anmeldeformular eingeholt werden müsste. Sie befindet sich jedoch in den AGB und ist damit zumindest nach Europäischem Datenschutzrecht (DSGVO) unwirksam (Stichwort: eindeutiges Opt-in). 4. Die Daten werden für Werbezwecke benutzt Clubhouse weist in seiner Datenschutzerklärung immerhin darauf hin, dass die Daten der Nutzer auch zu Werbeund Marketingzwecken an Dritte weitergegeben werden können. Nur: Auch dies ist nach DSGVO nicht zulässig, weil eine solche Datenweitergabe einer spezifischen Einwilligung (wieder Opt-in) des Nutzers bedarf. Problematisch nach DSGVO. Und in der Schweiz? Die erwähnten Punkte bleiben grundsätzlich kritisch, obwohl das Schweizer Datenschutzgesetz (DSG) keine so eindeutige Einwilligung im Sinne eines Opt-in verlangt. Der Hinweis auf die Ablehnungsmöglichkeit (Opt-out) mag bei Punkt 3 und 4 reichen, ist bei der Einwilligung zum Abgleich der Kontaktdaten hingegen kaum praktikabel. Unser Tipp: Clubhouse sollte nur auf Geräten installiert werden, auf denen entweder keine Kontakte gespeichert sind oder nur solche, die mit dem Abgleich einverstanden sind, was zugegebenermassen nicht einfach zu bewerkstelligen ist. Den Beitrag finden Sie auch online www.netzwoche.ch 02 / 2021 www.netzwoche.ch © netzmedien ag

Business Focus 15 Effizientes Cyber Risk Management minimiert das Geschäftsrisiko Nummer eins Ransomware- und Cyberangriffe stellen eine ernstzunehmende Bedrohung für die Wirtschaft dar: Eine einzige erfolgreiche Attacke kann einen Schaden von Millionen Franken verursachen. Wie können Unternehmen ihre Sicherheitslücken schliessen und sich dauerhaft vor Cyberkriminalität schützen? Laut dem «Allianz Risk Barometer 2020» sind Cyberangriffe erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit. Das gilt auch hierzulande: Allein im vergangenen Jahr meldete das Schweizer Nationale Zentrum für Cybersicherheit über 10 000 Vorfälle von Cyberattacken; die Dunkelziffer ist noch um einiges höher. Getrieben wird diese Entwicklung von der fortschreitenden Digitalisierung, die sich Hacker zunutze machen, um Unternehmen mit immer raffinierteren Methoden und Technologien zu schaden. Die Anzahl der potenziellen Angriffsvektoren steigt durch den vermehrten Einsatz von mobilen Geräten sowie durch hybride Cloud-Umgebungen. Diese erschweren den Schutz von IT-Infrastruktur und Daten. Unternehmen sind folglich gezwungen, Kompromisse zu machen zwischen Benutzerfreundlichkeit und Sicherheit auf der einen und Wirtschaftlichkeit auf der anderen Seite. Angesichts der Relevanz einer funktionierenden IT-Sicherheit für die Kontinuität des Geschäftsbetriebs gehört das Thema Cybersecurity auf die Agenda der Unternehmensleitung. Das Management sollte eine aktive Rolle dabei einnehmen, Cyberbedrohungen im Kontext des Gesamtrisikos zu verstehen und in Bezug auf die individuellen Anforderungen des Unternehmens zu bewerten. Ein regelmässiger Informationsaustausch sollte nicht nur Praxis sein, sondern kann auch dazu beitragen, den Vorstand vor persönlicher Haftung zu schützen. Entsprechend sollte die Cybersicherheitsstrategie vom Management bestimmt und auf das gesamte Unternehmen verteilt werden. Darüber hinaus hat sich die Rolle des Chief Information Security Officer (CISO) als Verantwortlicher für die Informationssicherheit dynamisch weiterentwickelt. Ein CISO kümmert sich nicht mehr nur um IT-Security, Compliance sowie die Informations- und Datensicherheit, sondern um das gesamte Risikomanagement der Informationswerte eines Unternehmens. Ein CISO muss einen Weg finden, um Sicherheitsprogramme mittels Automatisierung in Services umzuwandeln, die sich ganzheitlich in die Technologie- Auswahl und -Implementierung integrieren lassen. Bei der Cybersicherheit gilt es, die Lücken zwischen tatsächlichem Schutz und potenziellem Geschäftsrisiko zu identifizieren und dann zu entscheiden, ob diese Lücken akzeptabel sind, geschlossen werden müssen oder durch eine Cyber-Versicherung abgedeckt sein sollten. Zudem ist es essenziell zu wissen, welche Fähigkeiten ein Unternehmen besitzt, sich erfolgreich von einer Cyberattacke zu erholen: Wie schnell kann beispielsweise der Geschäftsbetrieb wiederhergestellt werden, wenn Produktionsdaten und Sicherheitskopien gelöscht oder verschlüsselt wurden? Um einen umfassenden Ansatz zur Eindämmung von Cyberrisiken zu entwickeln, sollten Unternehmen ihre Recovery- und Business-Continuity-Strategien weiterentwickeln und sich auf das Erkennen und Beheben von Bedrohungen konzentrieren. Dabei empfiehlt sich neben einem modernen Back-up-Konzept eine intelligente, einfach zu implementierende Cyber-Recovery-Lösung, um regelbasierte, automatisierte Workflows als letzte Verteidigungslinie gegen Cyberangriffe einzuführen. Damit stellen Unternehmen sicher, dass im Fall der Fälle ihre geschäftskritischen Daten und Applikationen zur Verfügung stehen und sie den Geschäftsbetrieb weiterführen können. DER AUTOR Georges Faddoul Regional Director Alps – Data Protection Solutions bei Dell Technologies Den Beitrag finden Sie auch online www.netzwoche.ch Cyberbedrohungen: Angriffsvektoren und Akteure Diebstahl und Erpressung zur finanziellen Bereicherung «Vertrauenswürdige» Insider stehlen oder erpressen aus persönlichen, finanziellen und ideologischen Gründen Unternehmen oder nationalstaatliche Akteure stehlen wertvolle und sensible Daten Förderung von politischen und sozialen Interessen Sabotage und Zerstörung, um Angst zu verbreiten Nationalstaatliche Akteure mit destruktiven Cyber waffen (Notpetya) Quelle: Dell Technologies www.netzwoche.ch © netzmedien ag 02 / 2021

Archiv