Das Internet ist der schnellste Postbote der Welt. E-Mails erlauben es, Text-Nachrichten ebenso wie digitale Dokumente (z. B. Grafiken oder Office-Dokumente) in wenigen Sekunden an jeden Ort der Erde zuzustellen. Im Jahr 2012 verfügten bereits 3,375 Milliarden Menschen auf der ganzen Welt über einen aktiven E-Mail Account.

Wo sich die Menschen derart ballen, ist auch die Kriminalität nicht weit. Die Datei-Anhänge von E-Mail-Nachrichten sind einer der häufigsten Verbreitungswege von Trojanern und anderer Malware. Grundsätzlich sollte man niemals den Dateianhang eines unbekannten Absenders öffnen. Kunden von b.r.m. werden in solchen Fällen eigens vorgewarnt: Ein Header der Mail weist sie darauf hin, dass es sich hier um eine höchst zweifelhafte Mail handelt.

EcoStep wurde zusam­men mit Unter­neh­men ent­wi­ckelt und ist ein Ange­bot an alle klei­nen und mitt­le­ren Unter­neh­men (KMU) bis zu 250 Mit­ar­bei­tern, die ihre Betriebs­ab­läufe opti­mie­ren und dabei Umwelt– sowie Arbeits­schutz­as­pekte berück­sich­ti­gen wol­len. EcoStep 5.1 ist eine pra­xis­ori­en­tierte Alter­na­tive zu den her­kömm­li­chen ISO-Normen. Es bedient sich der aus KMU Sicht wich­tigs­ten Norm­for­de­run­gen der fol­gen­den drei Stan­dards und ver­eint sie in einem System:

•     ISO 9.001 Qualitätsmanagement
•     ISO 14.001 Umweltmanagement
•     ISO 45001 Arbeits- und Gesundheitsschutz

Jedes Unter­neh­men ist indi­vi­du­ell. Des­we­gen ist EcoStep 5.1 kein star­res Sys­tem, son­dern ori­en­tiert sich an den tat­säch­li­chen Pro­zess­ab­läu­fen im Unter­neh­men. D.h. also an den tat­säch­li­chen Tätig­kei­ten, die nach­ein­an­der oder par­al­lel ablau­fen und dazu die­nen, das­selbe Ziel (z.B. Her­stel­lung eines Pro­dukts oder Ver­kauf einer Dienst­leis­tung) zu erreichen.

Je nach Bran­che und Tätig­keits­feld des Unter­neh­mens haben die Qualitäts-, Umwelt– und Arbeits­schutz­as­pekte eine mehr oder min­der große Bedeu­tung. Je nach­dem wer­den sie auch im Rah­men von EcoStep 5.1 unter­schied­lich gewich­tet. Nichts­des­to­trotz sind sie alle drei Aspekte von Bedeu­tung und nie wird ein Aspekt ganz wegfallen.

Die regelmäßige Re-Zertifizierung garantiert die bestehende und verbesserte Qualität des IT-Service Unternehmens in Bremen. Die letzte erfolgreiche Re-Zertifizierung des EDV-Dienstleisters zu EcoStep 5.0 hat im Dezember 2019 stattgefunden. b.r.m. ist nunmehr seit über 10 Jahren nach EcoStep zertifiziert.

Die neue Europäische Datenschutz-Grundverordnung (DSGVO) hatten viele Unternehmen und Netznutzer zu lange nicht auf dem Radar. Der erste Entwurf stammt aus dem Jahr 2012, beschlossen wurden die neuen Paragraphen im April 2016, am 25. Mai 2018 tritt die DSGVO jetzt in Kraft. Viel Zeit ging seither also ins Land. Das Ziel der Verordnung ist es, europaweit den Datenschutz auf eine einheitliche Grundlage zu stellen. Das Unterlaufen von Standards durch einzelne Mitgliedsstaaten soll mit ihr wirksam unterbunden werden.

Neu für den Nutzer von Online-Diensten ist sein ‚Recht auf Vergessenwerden‘. Er erhält die Möglichkeit, Auskunft über persönliche Daten zu erhalten, und er kann das Löschen von Daten verlangen, wenn eine Speicherung überfällig, unnötig oder unrechtmäßig ist. Weiterhin müssen alle Daten von nun an ‚portabel‘ sein: Auf Wunsch kann der Kunde eines Dienstes die Herausgabe seiner Daten in strukturierter Form verlangen, so dass er sie einem anderen Anbieter übergeben kann. Generell gelten für alle Datenverarbeitungsvorgänge im Internet und auch in Unternehmen zwei Prinzipien: ‚Privacy by Design‘ und ‚Privacy by Default‘ – d.h.: Der Schutz der Privatsphäre muss bereits beim Aufbau eines Datenverarbeitungsvorgangs berücksichtigt werden, und die Voreinstellungen müssen privatsphäreschützend eingerichtet sein.

Wer bei der Datenverarbeitung mit einem externen Dienstleister kooperiert, der darf bei b.r.m. heute schon sicher sein, dass unsererseits bei der Auftragsverarbeitung (AV) keine Verstöße gegen die neue Verordnung erfolgen, auch, dass die genannten Privacy-Prinzipien eingehalten werden. Das Anlegen eines ‚Verzeichnisses der Verarbeitungstätigkeiten‘, welches die DSGVO fordert, ist bei uns längst implementiert. Ferner sind alle Verarbeitungstätigkeiten lückenlos dokumentiert. In allen Fragen rings um die DSGVO sind wir damit Ihr kompetenter Ansprechpartner, allein schon deshalb, weil Harald Rossol, unser Geschäftsführer, zugleich als anerkannter Datenschutzbeauftragter arbeitet. Beratung und Betreuung in allen Fragen der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) liegen damit bei uns in besten Händen – von den Technischen und Organisatorischen Maßnahmen (TOM) über die Sicherheitsanalyse und das Verzeichnis der Verarbeitungstätigkeiten bis hin zur Risikobewertung.

Betroffen von der DSGVO ist übrigens jeder, der personenbezogene Daten im Netz verarbeitet, vom kleinen Blogger bis hin zu globalen Giganten wie Facebook. Als ‚personenbezogen‘ gelten alle Merkmale wie Name, Geschlecht, Hautfarbe, politische Einstellung, aber auch Autokennzeichen oder Kleidergrößen. Sobald Daten u.a. erhoben, gespeichert, verändert, ausgelesen oder übertragen werden, gilt dies als eine ‚Verarbeitung‘. Wer eine Webseite betreibt, der muss künftig jeden Besucher darüber aufklären, welche Daten er zu welchem Zweck erhebt und speichert. Ausgenommen hiervon sind allein Justiz und Strafverfolgung. Kontrolliert wird die Einhaltung der DSGVO von den Datenschutzbehörden. Maßgeblich für die Zuständigkeit ist die Hauptniederlassung eines Betreibers oder Unternehmens.

Ändern wird sich für die Betreiber kleiner Webseiten zunächst wenig, weil die DSGVO in vieler Hinsicht den bisher gültigen Datenschutzgesetzen gleicht. Es genügt hier in den meisten Fällen, die Datenschutzerklärungen und Allgemeinen Geschäftsbedingungen (AGB) anzupassen. Vor allem sollen die Online-Datenschutzerklärungen künftig ‚allgemeinverständlich‘ sein, was natürlich einen weiten Interpretationsspielraum öffnet. Neu ist auch die ‚datenschutzrechtliche Selbstauskunft‘: Jedes Unternehmen muss innerhalb eines Monats einem Bürger Auskunft darüber geben, welche Informationen über ihn dort zu welchem Zweck und wie lange gespeichert sind.
Die Grenze zwischen ‚privat‘ und ‚kommerziell‘ wird allerdings trennschärfer. Poste ich Bilder meines heimischen Gartens, dann bleibt dies unkritisch. Verkaufe ich aber beispielsweise dort gezeigte Gartenmöbel, dann fällt die Webseite künftig unter die DSGVO. Das gilt auch für ‚Affiliate-Angebote‘, also dort, wo der Betreiber einer Webseite auf einen anderen Anbieter verlinkt. Derartige Plug-Ins, ob nun unter WordPress oder Firefox, sollten private Betreiber besser eliminieren, bis rechtliche Klarheit herrscht.

Wesentlich ist auf alle Fälle eine Anpassung der Datenschutzerklärung und der Geschäftsbedingungen auf jeder Webseite, sonst öffnet man bloß den ‚Abmahnwälten‘ Tür und Tor. Im Netz finden sich hierzu eine Fülle rechtskonformer Textvorlagen.

Für viel Alarm sorgten vor allem die angedrohten finanziellen Sanktionen bei Verstößen. Lag das Bußgeld bisher maximal bei 300.000 Euro, können jetzt – abhängig von der Schwere des Verstoßes – bis zu 20 Mio. Euro fällig werden (Art. 83). Eine Extra-Regel, die sich vor allem gegen die Tech-Giganten richtet, macht auch eine Strafe bis zu vier Prozent des weltweiten Umsatzes möglich, und letztlich auch den Zugriff aufs Privatvermögen.

Die erste Folge der DSGVO dürfte zunächst aber eine anhaltende Rechtsunsicherheit sein. Was sind bspw. ‚berechtigte Interessen‘ eines Unternehmens? Die Verordnung enthält eine Fülle von solchen schwammigen Formulierungen, die erst durch Gerichtsentscheidungen zu klären sind, vermutlich nach Jahren vor dem Europäischen Gerichtshof. Auch musste das nationale Datenschutzrecht durch ein neues Bundesdatenschutzgesetz an die DSGVO angepasst werden. Andererseits gibt es keine Fluchtmöglichkeit vor dieser Verordnung mehr, zum Beispiel nach Übersee. Die Verordnung gilt für alle, die innerhalb der EU Daten erheben oder auswerten wollen – sie gilt also auch für Google oder Facebook.

Bei Fragen zur neuen DSGVO und IT Service in Bremen wenden Sie sich einfach an uns …

Das ‚Domain Name System‘ (DNS) ist im Kern ein Auskunftsdienst, der im ‚Namensraum‘ des Internet Adressen verwaltet, und damit die Anfragen von Nutzern ans richtige Ziel leitet. Der Nutzer gibt eine noch halbwegs verständliche Anfrage ein – wie z.B. die URL ‚brm.de‘ – und das DNS wandelt in einem von hunderttausenden ‚Name-Servern‘ diesen Text dann in eine lange Zahlenkombination um, die exakt der ‚Anschlussnummer‘ (IP-Adresse) des gewünschten Teilnehmers entspricht.

Ohne eindeutige Adresse träfe auch im Internet keine Nachricht beim Empfänger ein. Eine ‚Domain‘ ist ein zusammenhängender Teilbereich innerhalb der Internet-Hierarchie, der eine solche exakte Adressierung erlaubt. Die Namen der Domains sind – sofern nicht bereits vergeben – von Netzkunden frei wählbar. Die zuständige Vergabestelle ist das NIC (Network Information Center) der jeweiligen Top-Level-Domain, auf welche die Endungen ganz rechts in der Internet-Adresse verweisen (z.B.: .de, .com oder .org). In Deutschland registriert die ‚DENIC eG‘ alle Internet-Adressen, die auf .de enden.

Das Domain-System ähnelt einem weitverzweigten Wurzelwerk. Ganz oben in der Hierarchie steht zunächst das Root-Level, dann folgen die Top-Level-Domains, daraufhin die untergeordneten Second- und Third-Level-Domains. So ist in der Adresse www.brm.de das ‚www‘ jenes Root-Level, das auf das ‚World Wide Web‘ verweist, das ‚.de‘ bestimmt die deutsche Top-Level Domain, ein ‚brm‘ verweist im Second Level auf unsere hauseigene Domain, mögliche weitere Ergänzungen erlauben in dritter und vierter Ebene den Ansprung genau definierter Seiten auf unserer Homepage.

Auswahl und Registrierung von Domains gehört bei uns zu den Standardaufgaben im IT-Service.

Von einer Domäne – nicht zu verwechseln mit der ‚Domain‘ – spricht man im IT-Bereich, wenn man es mit einem geschlossenen (Firmen-)Netzwerk zu tun hat. In den meisten Fällen handelt es sich hierbei um eine ‚Windows-Domäne‘, die dann natürlich auch auf diesem Betriebssystem basiert. Der System-Administrator vergibt die Zugangsdaten und wacht auch über den Beitritt eines neuen ‚Client‘ (eines neuen Windows-Rechners). Er richtet ein Dynamic Host Configuration Protocol (DHCP) und das Domain Name System (DNS) ein, das die Teilnahme am lokalen Netz sicherstellt.

Die Methodik der ‚Domain Name System Security Extensions‘ (DNSSEC) wurde eingeführt, um einen vermehrten Schutz vor ‚Cache Poisoning‘ (‚Temporärspeichervergiftung‘) zu bieten. Ein Angriff auf das Domain Name System (DNS) sollte nicht mehr so leicht möglich sein, ein Missbrauch, durch den der Datenverkehr oft genug auf einen fremden Rechner umgeleitet wurde. Denial-of-Service-Attacken (DoS), das IP-Spoofing wie auch das DNS-Hijacking hatten in dieser Sicherheitslücke ihren Ursprung.
Das DNSSEC sichert den Datenverkehr durch ein Verschlüsselungsverfahren ab. Der Besitzer einer Information unterzeichnet – verkürzt dargestellt – auf dem Master-Server jeden Datenverkehr mit einem geheimen Schlüssel (‚private key‘), den nur der Empfänger mit seinem ‚public key‘ auflösen kann. Die verwendeten Schlüssel haben eine begrenzte zeitliche Gültigkeit. Zur Teilnahme an dem Verfahren ist die EDNS-Fähigkeit eines Rechners erforderlich. Diese ‚extended DNS‘ gestattet Protokoll-Erweiterungen beim Domain Name System (DNS).
Zu beachten ist, dass beim DNSSEC-Verfahren nur die ‚Verkehrswege‘ über die beteiligten Server verschlüsselt sind. Die Daten bzw. die ‚Inhalte‘ einer Nachricht bleiben weiterhin unverschlüsselt.

Bestünde die Welt nur aus digitalen Daten, könnte kein Mensch diese langen Ketten aus Nullen und Einsen lesen. Die ‚digitale Welt‘ ist jener geheimnisvolle Ort, wo sich nur noch Computer zurechtfinden. Dies ist – streng genommen – die Kernbedeutung des Wortes ‚digital‘, es bezeichnet jene binäre Welt, wo die Sprache der Transistoren regiert.

Umgangssprachlich fassen wir das Wort ‚digital‘ längst sehr viel weiter. Wir verwenden es, um die ‚digitale Technik‘ insgesamt zu benennen, also jene Maschinen und Rechenknechte, die mit Hilfe von Gattern, Zählern und Flipflops aus Nullen und Einsen verständliche und logische Ergebnisse erzeugen, welche wir dann auf dem Monitor bewundern.

Als Dienstleistung bezeichnet man jede Unterstützung, die nicht auf einem Austausch von Waren oder Gütern beruht. Der Nutzer kauft bei Dienstleistern keine ‚anfassbaren Dinge‘, sondern vor allem Kompetenz und Erfahrung ein. Solche Dienstleistungen sind folglich im Kern ‚immateriell‘, auch wenn am Ende Konzepte oder Trägermedien übergeben werden.

Zu den klassischen Dienstleistungen zählen bspw. Aufgaben wie ‚Beratung‘, ‚Planung‘ oder auch ‚Umsetzung‘. Unser IT-Service ist ein solch klassischer Dienstleistungsbereich. Das Entgelt wird hierbei über einen Werk- oder Dienstvertrag geregelt. Er verpflichtet den Auftragnehmer zu den darin definierten Diensten, entweder einmalig oder dauerhaft.

Im Kern ist b.r.m. ein klassischer Dienstleister: Wir garantieren unseren Kunden mit unserem IT-Service einen problemfreien und zuverlässigen Aufbau und Betrieb ihrer elektronischen Datenverarbeitung und IT-Kommunikation.

Aufgaben und Tätigkeiten eines internen oder externen Datenschutzbeauftragten regeln in Deutschland die §§ 4f und 4g des Bundesdatenschutzgesetzes (BDSG). Hinzu kommen landesrechtliche Vorschriften. Der Beauftragte für Datenschutz soll die Einhaltung des BDSG und anderer Gesetze kontrollieren (Telemedien-Gesetz (TMG) oder Telekommunikations-Gesetz (TKG)). Der Datenschutzbeauftragte handelt stets unabhängig und weisungsfrei.

Alle Behörden, Unternehmen und Vereine müssen einen Datenschutzbeauftragten benennen, sobald bei ihnen personenbezogene Daten automatisiert verarbeitet werden. ‚Automatisiert‘ ist jede Verarbeitung, die elektronische Datenverarbeitungsgeräte (z. B. PCs) für den Geschäftsablauf verwendet. Spätestens einen Monat nach Tätigkeitsbeginn muss jede Organisation einen Datenschutzbeauftragten bestellen, ansonsten liegt eine Ordnungswidrigkeit vor, die mit Strafen bis zu 50.000 Euro geahndet werden kann. Der Datenschutzbeauftragte entstammt entweder ‚intern‘ der Organisation, oder er muss ‚extern‘ benannt werden.

Wer die Funktion eines Datenschutzbeauftragten nicht ‚aus Bordmitteln‘ erfüllen kann, darf gern uns und unsere Erfahrung ‚extern‘ nutzen.