Unternehmen und Organisationen
Alle haben Daten, die sie nicht in der Öffentlichkeit verortet sehen wollen, Unternehmen ganz besonders. Diese stehen zudem gegenüber ihren Kund.innen und Angestellten in besonderer Verantwortung. Datenverluste können nicht nur peinlich sein, sondern ganz reale Profiteinbußen bedeuten. Und dann heißt es: »Ach, hätten wir doch...«
Politische Organisationen haben ein großes Interesse daran, dass ihre Pläne nicht vom „Feind“ mitgelesen werden können. Und wer will schon unfreiwillig eine Liste von potentiellen Querulanten veröffentlichen?
Inhalt:
Grundsätzliches
Facebook und Social Media
Cloud
E-Mail
Chat und Messenger
Browser
Smartphone befreien
Ihre eigene Website, Ihr Service
Softwareempfehlungen
Wichtige Punkte, die ein Datenschutzkonzept beachten sollte
Grundsätzliches
Immer dran denken: sie stehen in der Verantwortung gegenüber Angestellten, Kund.innen und Ehrenamtlichen.
- Verzichten Sie auf Google-Dienste und benutzen Sie Alternativen. Google verdient Geld mit den Daten, die Sie Google liefern und es gab wirklich viele Gründe, warum wir Google einen BigBrotherAward 2013 verliehen haben. Bedenken Sie auch: Wenn Sie etwas über Google machen, setzen Sie Ihre Angestellten unter Druck, sich von Google ausspähen zu lassen. Besonders NGOs sollten sich bei ihrer politischen Arbeit nicht so genau auf die Finger schauen lassen. Statt GoogleDocs können Sie z.B. Etherpad und EtherCalc nutzen. Mehr dazu
- Verwalten Sie Ihre Kunden- oder Unterstützerinnen-Daten eigenständig. Mehr dazu
- Es gibt nichts umsonst. Sie bezahlen immer – mit Ihren Daten. Bevor Sie ein kostenloses Tool auf Ihren Rechnern installieren, überlegen Sie sich gut, was der Anbieter sonst noch damit bezweckt. So wenig wie Sie es sich leisten können, Ihren Kunden kostenlos zu beliefern, so wenig kostenlos sind auch Dienste von Google, Skype oder Facebook. Sie bezahlen mit Ihren Daten. Erst wenn es weh tut und ihre Daten missbraucht werden (z.B. Industriespionage), wird Unternehmen klar, wo und wie sie besser auf Datenschutz Rücksicht genommen hätten. Mehr dazu
- Gefährlicher als Datenklau und Systemeinbrüche sind Gedankenlosigkeit, Ahnungslosigkeit und Bequemlichkeit. Nicht alle Tools, die so praktisch und bequem scheinen, nützen auch Ihrer Organisation. Darum gilt die Devise: Prüfen Sie, ob Sie messbaren Nutzen daraus ziehen und sie nicht nur verwenden, weil alle anderen das auch tun.
- Verschlüsseln – die Mühe lohnt. Machen Sie sich die Mühe, Ihre Daten zu verschlüsseln. Der kleine Aufwand bringt ein großes Mehr an Sicherheit. Es gibt inzwischen einfache, sichere Lösungen für wenig Geld. Bitte achten Sie darauf, dass das Unternehmen die privaten Schlüssel aller Mitarbeiter braucht, um Geschäftskorrespondenz gesetzeskonform vorhalten zu können. Mehr dazu.
- Sichere Passwörter: Trainieren Sie Angestellte darin, Passwörter sicher zu wählen und dann nicht mit einem Zettel an den Monitor zu kleben, sondern eine Passwortverwaltung zu nutzen. Mehr dazu
- Trainieren Sie Ihre Mitarbeiter.innen in Digitaler Mündigkeit
- Nutzen Sie Freie Software. Oft spart das nicht nur Geld, sondern gibt Ihnen zudem Freiheit (von Herstellern) und Sicherheit (weil Sie den Quellcode prüfen lassen können).
- Für NGOs: Freie Software ermöglicht es allen, mitzumachen - nicht nur denen, die Geld für teure Software wie Photoshop ausgeben können.
Facebook und Social Media
- Prüfen Sie, ob Sie auf Facebook ganz verzichten können. Falls nicht, gibt es einiges, was Sie beachten sollten.
- Viele Internetdienste haben sehr „böse" AGBs, die Ihr Surfverhalten auf anderen Seiten verfolgen, allen voran Facebook. Dabei ist noch nicht einmal abzusehen, wie weit Facebook es damit wirklich treibt. Stellen Sie gesonderte Rechner für Facebook zur Verfügung, wenn sie nicht darauf verzichten können.
- Übrigens: Facebook ist gar nicht so nützlich, wie viele denken. Um wirklich Wirkung damit zu erzeugen, müssen Sie 1. primär Witze und Katzenbilder posten (Inhalte werden bei Facebook diskriminiert) und 2. sehr viel Zeit dort investieren. Wir bei Digitalcourage haben nach einer internen Untersuchung entschieden, dass es sich für uns nicht lohnen würde, selbst wenn wir es wollten.
- Wenn Sie wirklich nicht ohne Facebook auskommen, beachten Sie unsere Grundregeln zur Nutzung von Facebook
- Alternative Kommunikationsplattformen anbieten
- Aus Facebook stets nur heraus linken, nicht hinein
- Mitarbeiter.innen vor AGB schützen
- Ablehnung von Facebook kundtun
- Social-Media-Buttons allenfalls als Zwei-Klick-Lösung
Cloud
- Eigene Infrastruktur aufbauen statt Cloud-Dienste nutzen: Ja, wir wissen, dass „Clouds" sehr bequem scheinen. Die gute Nachricht ist: Sie können auch einfach Ihre eigene Cloud aufsetzen. Behalten sie Ihre Daten bei sich oder einem vertrauenswürdigen lokalen Provider. Für den Datenaustausch gibt es z.B. ownCloud, für gemeinsames Arbeiten Etherpad (Lite) oder Open-Xchange.
- Verzichten Sie auf Google-Dienste und benutzen Sie Alternativen. Google verdient Geld mit den Daten, die Sie Google liefern und es gab wirklich viele Gründe für den BigBrotherAward, den wir 2013 verliehen haben Bedenken Sie auch: Wenn Sie etwas über Google machen, setzen Sie Ihre Angestellten unter Druck, sich von Google ausspähen zu lassen. Besonders NGOs sollten sich bei ihrer politischen Arbeit nicht so genau auf die Finger schauen lassen. Statt GoogleDocs können Sie z.B. Etherpad und EtherCalc nutzen. Mehr dazu
- Verwalten Sie Ihre Kunden- oder Unterstützerinnen-Daten eigenständig. Mehr dazu
- Auch zu Dropbox gibt es Alternativen. Mehr dazu
- Benutzen Sie einen sicheren E-Mail-Provider. Nutzen Sie kleine, europäische Anbieter wie etwa posteo.de, oder mailbox.org oder gehen Sie zu einem lokalen Provider. Wenn Sie eine eigene Domain haben, verwenden Sie diese auch als E-Mail-Adresse. @t-online oder gar@googlemail sind Zeichen von Unprofessionalität. Mehr dazu
- Mails nicht im Browser verwalten. Nutzen Sie für sich und die Rechner Ihrer Angestellten einen E-Mail-Client wie Thunderbird oder Outlook.
- Verschlüsseln Sie Ihre E-Mails. Mit „p≡p“ geht es auch in Outlook ganz einfach, für Thunderbird mit dem Add-on „Enigmail“ auch nicht viel schwerer. Von der PGP-Verschlüsselung im Browser, die web.de und GMX jetzt anbieten, halten wir nicht viel – das ist ja wieder im Browser. Mehr dazu
- Bieten Sie eine Möglichkeit an, Ihnen verschlüsselt zu mailen. Stellen Sie ihren public key online zur Verfügung, drucken Sie dessen „Fingerprint“ mit auf ihre Visitenkarten, etc.
- Wenn Ihre Mitarbeiterinnen oder Mitarbeiter E-Mails nach außen weiterleiten, richten Sie besser Outlook-Web-Access o.ä. ein. Oder geben Sie ihnen ein Smartphone mit Verbindung zur Firma – am besten über einen sogenannten VPN-Tunnel.
Chat und Messenger
- Chatten Sie nicht über Facebook oder WhatsApp oder Threema, sondern benutzen Sie freie dezentrale Dienste, wie Jabber, Xabber, ChatSecure – auf Ihrem PC und auch auf Ihrem Mobilgerät. Dienste wie Threema und TextSecure wollen wir nicht empfehlen, können aber eine erste Alternative sein. Mehr dazu
Browser
- Hindern Sie andere Websites daran, Ihren Mitarbeiter.innen hinterherzuschnüffeln. Installieren Sie auf allen Rechnern uBlock Origin, Privacy Badger oder einen anderen Werbeblocker in Ihrem Browser. Ohne Werbung gibt‘s mehr Konzentration und weniger Ablenkung. Da sich Viren häufig über Werbung in Webseiten verbreiten, schließen Sie zudem noch dieses Einfallstor. Mehr zu Werbeblockern und mehr zu Anti-Tracking-Tools (Kosten: keine; Aufwand: 10 Minuten; Schulung: 10 Minuten)
- Achten Sie beim Surfen darauf, dass hinter dem „http“ in der Adresszeile immer ein „s“ steht. Mehr dazu
- Deaktivieren Sie Cookies. Mehr dazu
- Probieren Sie andere Suchmaschinen: z.B. Startpage.com, Metager.de, DuckDuckGo.com, ixquick.com. Oder wechseln Sie die voreingestellte Suchmaschine in regelmäßigen Abständen. Sie können auch Ihre eigene Suchmaschine betreiben, um Suchen geheim zu halten, z.B. mit YaCr. Mehr dazu (Kosten: nix; Aufwand: 1 Minute)
- Konfigurieren Sie die Arbeitsrechner so vor, dass alternative Suchmaschinen und Werbeblocker bereits installiert sind. Das ist besonders wichtig unter Windows, da hier Browsererweiterungen als .exe installiert werden müssen. (Kosten: keine; Aufwand: 1–2 Stunden; Schulung: 30 Minuten)
Smartphone befreien
- Schalten Sie Synchronisation aus und löschen Sie unbenutzte Konten. Mehr dazu
- Deinstallieren Sie unnötige Apps. Mehr dazu
- Play-Store raus, F-Droid rein. Mehr dazu
- Kein WhatsApp und Facebook auf dem Smartphone: Beide sammeln im Minutentakt Ihre Aufenthaltsorte und Ihre Kontakte. Die Konkurrenz würde sich freuen! Verwenden Sie stattdessen dezentrale Dienste wie Jabber (XMPP). (Kosten: keine; Aufwand: 5—20 Minuten; Schulung: 30 Minuten)
Ihre eigene Website, ihr Service
- Verschenken Sie keine Daten. Grundsätzlich sollten Sie nur Daten erheben, die Sie auch wirklich brauchen. Nur ein fähiges Marketing- und Vertriebsteam kann die Menge an Daten, die beispielsweise Google Analytics liefert, auch auswerten und in Kampagnen umsetzen, die messbar Umsatzzuwächse bringen. Haben Sie keins, liefern Sie Google gratis wertvolles Datenmaterial, das Ihnen am Ende noch zum Verhängnis werden kann. Und die Zeit Ihrer Mitarbeitenden wird auch verschwendet. Auch Daten, die Sie wirklich brauchen, sollten Sie nicht ohne Notwendigkeit an andere Unternehmen weitergeben.
- Kein Facebook-Buttons o.ä. auf Ihrer Website. Sonst verfolgen die Datenkraken alle Ihre Besucher. Nutzen Sie stattdessen „2-click“-Lösungen oder einen datenschutzkonformen Button wie Shariff
- Piwik statt Google Analytics: Google Analytics brauchen Sie nur, wenn Sie auch Google-Adwords-Kampagnen fahren. Alles andere kann Piwik auch, und das sammelt die Daten auf Ihrem eigenen Server. Aber auch Piwik sollte mit Bedacht konfiguriert sein. Am besten lassen Sie es gleich ganz sein, da Ihre Marketingabteilung ohnehin aus den gesammelten Daten nur bunte Folien macht ;) (Kosten: keine; Aufwand: ½ —1 Stunde)
- Alle Websites mit SSL verschlüsseln: Es geht niemanden etwas an, was die Besucher Ihrer Website bei Ihnen ansehen – auch nicht Ihre oder deren Provider. Außerdem vereinfacht es das Setup. Einfachste und preiswerteste Lösung: Let's encrypt (Kosten: ab 0 € (mit Let's encrypt ); Aufwand: ½ —1 Stunde)
- Keine externen Inhalte: Holen Sie alles, was Ihre Website braucht, auf Ihren Server: Schriften, Scripte, CSS, etc. Sonst sammeln Google & Co. bei Ihren Besucherinnen fleißig weiter. Einfach die Dateien auf den eigenen Webserver kopieren.
- Mit Privacy Badger können Sie selbst ausprobieren, ob ihre Seite Tracker hat oder externe Inhalte enthält, die Ihnen gar nicht bewusst sind. (Kosten: keine; Aufwand: 1–2 Stunden)
- Verwenden Sie Karten von OpenStreetMap statt Google Maps. Diese Karten können Sie frei veröffentlichen, ohne gegen Urheberrechte zu verstoßen oder eine Abmahnung durch Google befürchten zu müssen. OpenStreetmap kann auch Routenplanung. Wie Sie die Karten einbinden, erfahren Sie hier. Eigene Karten mit Punkten, Strecken, Flächen erstellen Sie unter http://umap.openstreetmap.fr/de/ -- auch diese Software können Sie auf Ihrem eigenen Server installieren. Mehr dazu
- Zwingen bzw. animieren Sie Menschen nicht, schnüffelnde Dienste zu nutzen. z.B. indem Sie ihre App nur über Google Play Store zur Verfügung stellen (es gibt ja auch den F-Droid), oder Dienste nutzen, die man nur mit einem bestimmten Betriebssystem nutzen kann (selbstverständlich gibt es Ausnahmefälle, in denen es einfach nicht anders geht).
Softwareempfehlungen
- statt Internet Explorer, Edge oder Chrome: Firefox – auch mobil
- statt Windows oder Mac OS: GNU/Linux (z.B. Ubuntu, Mageia)
- statt SmallBusiness Server: Univention Corporate Server oder Zentyal
- statt MicrosoftOffice, Office 365 oder ähnlichem: LibreOffice
- sehr gutes Contact Management System ist z.B. die freie Software „CiviCRM“. Der Verein „Software für Engagierte“ kümmert sich darum, dass diese gut gepflegt und auf Ihre Bedürfnisse angepasst wird.
Wichtige Punkte, die ein Datenschutzkonzept beachten sollte
- Gesetzliche Bestimmungen einhalten. Da steckt schon viel Wichtiges drin.
- Opt-in: Das bedeutet, dass die Kund.innen explizit einen Haken setzen müssen, oder ihren Willen z.B. per Mail bekunden müssen, wenn sie den Datenschutzbestimmungen zustimmen oder einem zusätzlichen Service (z.B. Newsletter) erhalten möchten.
- Nur Daten erheben, die man auch zum Erbringen der Dienstleistung (und zur Abrechnung) braucht. (Datensparsamkeit) Und diese Daten danach auch wieder löschen.
- Verfahrensverzeichnis erstellen: Eine Art Bestandsaufnahme über „die laufenden Verarbeitungen von personenbezogenen Daten“ mehr dazu z.B. bei den Datenschutzbeauftragten.
- Wir können hier keine Rechtsberatung leisten. Fragen Sie daher Ihre.n Datenschutzbeauftragte.n oder informieren Sie sich z.B. bei Ihrer IHK.
- Datenschutzfreundliche Voreinstellungen.
- Anonyme Bezahlmöglichkeiten anbieten. Nicht nur Kreditkarte, Bankeinzug oder Paypal. Der alte Grundsatz „Erst die Ware, dann das Geld" sollte auch heute noch gelten.
- Vertrauliche Kommunikation darf Geld kosten. Es muss ja nicht gleich ein eigener Server sein. Vertrauenswürdige E-Mail-Dienstanbieter sind nicht teuer. Mehr dazu
- Achtung mit kostenlosen Diensten: Speichern Sie z.B. Keine Kund.innendaten oder Angestellteninformationen in einer Google-Tabelle oder Ähnliches.
- Mitarbeiter.innen respektieren
- z.B. nicht verlangen, dass sie Lizenzbestimmungen akzeptieren (aka. sich einen Account anlegen) z.B. spioniert Facebook unseren Browser vollständig aus. Somit könnte es auch nach Feierabend den Angestellten hinterherschnüffeln. Auch wenn diese „nur“ den Firmenaccount nutzen.
- Keine Videoüberwachung von Angestellten
- Schulungen zum sensiblen Umgang mit Daten und Passwörtern
- Kund.innen respektieren
- Keine Daten weitergeben, auch nicht versehentlich z.B. durch den Mailprovider oder Websitehoster
- kurze, verständliche Datenschutzerklärung. Was genau darin stehen muss, erfahren Sie z.B. bei den Datenschutzbeauftragten. Als Positivbeispiel für vorbildliche Datenschutzbestimmungen schauen Sie sich doch mal bei Posteo deren Datenschutzerklärung an ....
Dieses Datenschutzkonzept können Sie auch als PDF herunterladen. Spätestens jetzt sollten Sie sich übrigens überlegen, ob Sie uns nicht zum Dank für unseren Service eine Spende zukommen lassen wollen. Denn die Recherche und Aktualisierung für diese Artikel ist viel Aufwand und wir sind ein gemeinnütziger Verein.
Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.
Hinweis:
Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 14.12.2016. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.
Bild: CC0 Public Domain