[datensicherheit.de, 06.12.2022] Vor 50 Jahren seien „Cookies“ noch mit einem liebenswerten blauen Monster verbunden gewesen – heute seien diese negativ konnotiert durch Websites vorgeschaltete Cookie-Banner. Nahezu jede setze auf diese Technik, um deren Nutzung unter anderem sicherer zu machen, beispielsweise beim Online-Banking. „Manche Website aber will einfach nur mehr erfahren als notwendig“, warnt die TÜV NORD GROUP in ihrer aktuellen Stellungnahme.

Mit PIMS könnten Nutzer ihre Cookie-Einstellungen zentral im eigenen Rechner oder in Online-Speichersystemen verwalten

Auf jeder Website den Cookie-Hinweis zu bearbeiten sei mühsam, insbesondere dann, „wenn man jeder Website die gleichen Dinge erlaubt – oder eben untersagt“. Da stelle sich die Frage nach einer Lösung, „beispielsweise ein Add-On im Browser, der die eigenen Präferenzen speichert und jeder besuchten Website mitteilt“. Tobias Mielke, Datenschutz-Experte bei TÜVIT, kommentiert: „Das soll kommen.“ Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sehe einen solchen „Dienst zur Einwilligungsverwaltung“ ausdrücklich vor – PIMS sei die Fachabkürzung: „Personal Information Management Services“.

Mit PIMS könnten Nutzer ihre Cookie-Einstellungen z.B. zentral im eigenen Rechner oder in Online-Speichersystemen verwalten. Ein Problem jedoch sei: „Was, wenn derartige PIMS selbst Cookies nutzen, Nutzerverhalten ausspionieren und diese Daten weitergeben?“ Mielke führt aus: „Aus unserer Sicht sollten PIMS bestenfalls in einem Treuhandmodell von unabhängigen Dritten wie den TÜV-Verbänden erstellt werden.“

Website-Betreiber haben kein ausgeprägtes Interesse daran, dass Cookies per se blockiert werden

Eine weitere Frage sei: „Werden Websites derartige Einstellungen eines Add-ons wirklich übernehmen also akzeptieren?“ Ein solches PIMS würde den meisten besuchten Webseiten die eigenen Präferenzen übermitteln, und diese Präferenzen müssten beachtet werden. Eine Ausnahme gelte für Telemedienanbieter, welche sich ganz oder teilweise durch Werbung finanzieren, also etwa für Newsportale. Diese sollten Nutzer auf kostenpflichtige, aber werbe- und cookiefreie Alternativen verweisen dürfen.

Betreiber von Internetseiten hätten natürlich kein besonders ausgeprägtes Interesse daran, dass Cookies per se blockiert werden. Diese erlaubten es, das Nutzerverhalten zu analysieren. „Also festzustellen, welche Inhalte wie häufig angeklickt wurden und wie lange Nutzende auf dieser Seite verharren, von welchen Seiten man kommt, wohin man entschwindet, welche Werbung man sich angesehen und nach welchen Begriffen man gesucht hat.“ Zu wissen, wie gut die eigene Website funktioniert, sei für Marketing- und Vertriebs-Abteilungen sehr wichtig.
Auf der anderen Seite stehe der Nutzer, „der beim Surfen im Internet persönliche Daten preisgibt“. Wer das nicht will, müsse Cookies ablehnen: „Mit meiner Ablehnung will ich unerwünschte Werbung vermeiden, mein Surfverhalten nicht ausspionieren lassen und auch nicht mit meinen Konten der Sozialen Netzwerke verbinden lassen“, erläutert Mielke.

Betreiber von Webseiten dürfen nicht ohne Einwilligung Cookies ausspielen und personenbezogenen Daten speichern

Auf die Frage, ob man sicher sein kann, dass die Einstellungen auf den Websites dann übernommen werden, erwidert Mielke: „Betreiber von Webseiten dürfen keine Cookies ausspielen und keine personenbezogenen Daten speichern, wenn dies explizit nicht gewünscht ist.“ Dies gelte sowohl für jedes einzelne Cookie-Banner als auch für ein PIMS. „Wer der Website hingegen alles erlaubt, gibt ihr einen Freibrief dafür, das eigene Surfverhalten auszuspionieren und personalisierte Werbung auszuspielen.“ Es gebe außerdem keine Sicherheit dafür, „dass nicht vielleicht irgendwo auf der Welt Daten gesammelt, zusammengeführt, ausgewertet und weiterverkauft werden“.

Mielke erläutert: „Eine PIMS-Lösung ist technisch jedenfalls umsetzbar, sowohl was die Speicherung eigener Präferenzen angeht als auch das Speichern und Verarbeiten von Daten.“ Jedoch müsse klar sein, „dass eine derartige Anwendung wirklich datenschutzrechtlich sauber und sicher arbeitet“. Die Anbieter eines entsprechenden Dienstes müssten sich laut Entwurf der Einwilligungsverwaltungs-Verordnung (EinwVO) vom Bundesdatenschutzbeauftragten anerkennen lassen und dabei unter anderem ihre Unabhängigkeit belegen. Außerdem sollten sie demnach ein Sicherheitskonzept sowie geeignete technische und organisatorische Maßnahmen des Dienstes vorweisen können.

[datensicherheit.de, 05.04.2016] Spätestens im Juni 2016 soll die neue Datenschutz-Grundverordnung vom EU-Parlament verabschiedet werden. Dann beginnt für alle privaten und öffentlichen Stellen, die personenbezogene Daten verarbeiten, die zweijährige Umsetzungsfrist.

Unternehmen sollten jetzt auf neue Datenschutzregeln umstellen

Die neue Datenschutz-Grundverordnung (EU-DSGVO) regelt EU-weit einheitlich, wie Unternehmen und öffentliche Stellen personenbezogene Daten verarbeiten dürfen. Unternehmen sollten sich bereits jetzt mit den neuen Anforderungen vertraut machen, denn sie müssten künftig ihre Informationen umfassender und verständlicher zur Verfügung stellen, erklärt Melanie Braunschweig, TÜV NORD Akademie. Spätestens im Juni 2ß16 solle die neue Datenschutz-Grundverordnung vom EU-Parlament verabschiedet werden. Dann beginne für alle privaten und öffentlichen Stellen, die personenbezogene Daten verarbeiten, die zweijährige Umsetzungsfrist.

Ablösung unterschiedlicher Regelungen in den EU-Ländern

Die neue Verordnung soll die vielen unterschiedlichen Regelungen in den 28 EU-Mitgliedstaaten ablösen. So ersetzt sie in Deutschland die bisherige EG-Datenschutzrichtlinie und weite Teile des Bundesdatenschutzgesetzes.
Für Unternehmen bedeute die Umstellung, dass sie ihren Kunden noch klarer darstellen müssten, welche Daten erhoben werden oder bereits vorhanden sind. Die Daten müssten künftig außerdem in einem gängigen Format gut lesbar zur Verfügung stehen – dies bedeute unter Umständen ein neues Design der datenverarbeitenden Systeme. Deshalb sei es sinnvoll, die Umstellung bereits jetzt anzugehen, so Braunschweig.

Datensparsamkeit geboten

Es dürften nur noch Daten erhoben werden, die für die Erbringung eines Dienstes wirklich benötigt werden. Kundendaten dürften nur verarbeitet und genutzt werden, wenn der Kunde das auf Grundlage der Geschäftsbeziehung zum Unternehmen erwarten kann, nicht aber durch ein „unbeteiligtes“ drittes Unternehmen. Die Datenschutzbehörden koordinieren sich laut TÜV NORD europaweit untereinander – die Unternehmen müssten sich dann nur noch mit der Aufsichtsbehörde im Land ihres Hauptsitzes auseinandersetzen.
Betroffenen Personen würden erweiterte Beschwerde- und Rechtsschutzmöglichkeiten über ihre nationalen Ansprechpartner zugesprochen. Unternehmen müssten einen strengeren Rahmen bei meldepflichtigen Vorfällen berücksichtigen, also schneller über Datenlecks informieren. Außerdem könnten künftig Strafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden. Neue Risiko- und Folgenabschätzungen lösten die bisherige Vorabkontrolle vor Beginn der Verarbeitung sensibler Daten ab. Für die Weitergabe von Daten an ausländische Behörden von Drittstaaten gälten strenge Vorschriften…

[datensicherheit.de, 13.10.2014] Die zentrale Registrierungsstelle und technische Betreibergesellschaft der deutschen Länderdomain .de, DENIC, geht einen weiteren konsequenten Schritt in Richtung nachhaltiger Sicherheit: Das Unternehmen hat am 10. Oktober 2014 sein Informations-Sicherheits-Management-System (ISMS) durch den TÜV Nord nach den normativen Vorgaben der ISO/IEC 27001:2013 in einem Full-Scope-Ansatz zertifizieren lassen. Dieser umfasst sämtliche Aufgaben, Infrastrukturen und Prozesse, die zur Erbringung der Dienstleistungen Domainregistrierung, Namensauflösung und Auskunftsdienste sowie von Infrastrukturdienstleistungen für Betreiber weiterer Namensräume benötigt werden.

„Für die DENIC eG ist Informationssicherheit seit jeher integraler Bestandteil aller Geschäftsprozesse und hat stets einen übergeordneten Stellenwert. Die Zertifizierung nach dem international anerkannten Standard ISO/IEC 27001:2013 unterstreicht nun das hohe Implementierungsniveau unseres ISMS, bei dem aus Sicht der Auditoren überdurchschnittlich viele ‚Good Practices‘ hervorzuheben sind“, stellt DENIC-CEO Dr. Jörg Schweiger fest. „Die regelmäßigen Überwachungsaudits liefern uns und den Mitgliedern der Genossenschaft sowie der Internet Community die Gewissheit, dass unsere Geschäftsprozesse und unsere Informationssicherheit kontinuierlich den hohen Standards entsprechen“, ergänzt Chief Information Security Officer Boban Krsic, der das Informations-Sicherheits-Management-System bei DENIC aufgebaut und mit seinem Team zur Zertifizierungsreife gebracht hat.

Das Zertifizierungsaudit wurde am 10. Oktober 2014 erfolgreich abgeschlossen. Damit attestiert TÜV Nord der DENIC eG ein systematisches und ganzheitliches Vorgehen hinsichtlich der unternehmensweiten Steuerung sicherheitsrelevanter Prozesse, Transparenz und Nachvollziehbarkeit in den Abläufen sowie ein normkonformes Risikomanagement der Informationssicherheit.