Top 5 Arten der Nutzung von Sprachassistenten in Autos

Wozu sind Sprachassistenten im Autos da?

Sprachassistenten in Autos sind allgegenwärtig. Sie helfen bei der Zielsuche, sie unterstützen bei Anrufen, assistieren bei der Musikauswahl und im Idealfall helfen sie Unfälle zu vermeiden, weil Fahrerinnen und Fahrer sich auf die Straße konzentrieren können.

Die Agentur RAIN hat sich die Nutzung genauer angesehen. Diese fünf Arten sind die häufigsten

  • Telefonieren 74 %
  • Navigieren 50 %
  • Komminizieren 41 %
  • Musik wiedergeben 29 %
  • Dinieren 18 %

Der ganze Artikel findet sich hier https://rain.agency/state-of-in-car-voice-assistants/

Warum sind Softwaretests nötig?

Als FkA* sage ich einfach: Weil Software besser werden kann. Diese zwei Grundsätze sind umreißen denTestprozess.

  • Was sind die Anforderungen?
  • Passen Software und Anforderungen zusammen?

Und diese Listen von Softwarefehlern motivieren.


(*) Freund kurzer Antworten und ohne den Redundanz-Schmus für die Suchmaschinenoptimierung.

Chancen, Risiken und Nebenwirkungen von BYOD

Und die 10 Gebote des BYOD


© Elvert Barnes – Flickr (CC BY SA 2.0)

Die gute Nachricht: BYOD funktioniert. Wer persönliche Geräte im Unternehmensnetz ermöglicht, hat mit geringeren Beschaffungs- und Kapitalkosten zu rechnen und bekommt höhere Produktivität. Die schlechte Nachricht: Die Probleme beginnen jetzt. Darf der Chef auf die privaten Geräte zugreifen? Wer haftet, wenn Firmendaten aus dem privaten Gerät ausgespäht werden?

Was ist BYOD?

Bring your own device, das eigene Gerät zum Arbeiten zu nutzen ist für etliche verlockend. Gleichwohl ist es in Deutschland kein Herzenswunsch der Mitarbeitenden, nur etwa 30 % wollen Berufliches und Privates verbinden. Der Rest – immerhin 70 % – wünschen sich eher eine Trennung von beruflich und privat genutzten Endgeräten und Anwendungen. Dies zeigt eine Studie von Computacenter und PAC aus dem Jahre 2014. Vgl. [10]. Zu den beruflich genutzten Geräten gehören sowohl der Computer zu Hause, der Laptop zu Hause, unterwegs oder im Büro, der Tablet-PC, das Smartphone. Jedes Gerät hat eigenen Herausforderungen und bringt unterschiedliche Betriebssysteme, Sicherheitsmechanismen, Benutzerverhalten mit. Auf diese Bedingungen müssen sich Unternehmen und Mitarbeitende einstellen. Dabei stehen für Unternehmen Sicherheitsaspekte stärker im Vordergrund als für die Mitarbeitenden, vgl. [12]. Für die lautet das Motto: „Mein Telefon, meine Regeln“. Das kollidiert in der Praxis mit Unternehmensregeln und auch mit den Anforderungen des Datenschutzes.

Welche Vorteile bringt BYOD?

Die Verwendung privater Geräte bringt natürlich beiden Seiten Vorteile. Susan Wojtkowski [8] nennt unter anderem die folgenden Aspekte, die durch Erfahrungen des Autors ergänzt wurden. Neben Vorteilen nennt sie auch Nachteile oder Risiken bei BYOD.

  • Kostenrduktion
    Die Kosten für die Technologie verringern sich. Aus Unternehmensicht ist dies ein wesentlicher Vorteil. Aus Sicht der Anwender kann es nachteilig sein, wenn sie für Anschaffung, Wartung, Reparatur und Ersatz selbst aufkommen müssen. Weiter stellt sich die Frage, wie und ob die Zeit für Updates – am privaten Gerät – als Arbeitszeit angerechnet wird. Eine Kostenreduktion kann sich auch durch erhöhte Energieefiizienz ergeben. Tragbare Geräte benötigen weniger Energie als feste Personalcomputer. Es ist zu kalkulieren, ob die Kostenrduktion bei Beschaffung und Wartung ggf. durch erhöhten Aufwand beim Benutzersupport relativiert wird.
  • Produktivitätssteigerung
    Das Empfinden der Anwender verbessert sich beim Einsatz persönlicher Geräte. Gleichzeitig damit steigt die Produktivität. Wenn die privaten Geräte jedoch weniger leistungsfähig sind als die Firmengeräte sinkt die Produktivität.  Das gilt auch, wenn unterschiedliche Versionen auf den Geräten die Funktionsfähigkeit beeinträchtigen.
  • Anwenderzufriedenheit
    Angestellte sind glücklicher, wenn sie die Geräte verwenden können, die sie lieben und besitzen. Das gilt nicht nur für Techniker, sondern auch für Mitarbeitende im Vertrieb, Einkauf, Marketing und  bis ins Management.
  • Sicherheitsrisiken
    Auf der anderen Seite sind Sicherheitsaspekte ein wesentlicher Punkt bei der Entscheidung gegen BYOD. Bei der Nutzung unsicherer WLAN-Zugänge, der Bluetooth-Verbindung oder anderer Übertragungsmöglichkeiten können Firmendaten, Betriebsgeheimnisse, personenbezogene Daten ausgespäht werden. Die Firmenregeln für Antivirussoftware, für Zugangsbeschränkungen gelten auf privaten Geräten nicht. Die IT-Abteilung ist dafür verwantwortlich, Vorkehrungen zur Abwehr einzurichten. Das wiederum erzeugt auf Unternehmensseite zusätzliche Kosten. Nicht nur Firmen sorgen sich um ihre Daten, auch Mitarbeitende sind besorgt über den Schutz ihrer personenbezogenen Daten
  • Unterstützung mehrerer Plattformen
    Mit dem konsequenten Einsatz von BYOD vervielfacht sich der Aufwand für die Unterstützung von Plattformen und Betriebssystemen. Die vorhandenen Apps im Unternehmen sind für alle Plattformen anzubieten. Damit steigt der Aufwand für die Erstellung enorm.
  • Endbenutzersupprt
    Plötzlich ist die Firmen-IT auch für Applikationen, Betriebssysteme und Plattformen zuständig, für die sie nicht ausreichend Know-How aufgebaut hat. Anwndender erwarten, dass der Helpdesk auch für ihre Geräte aussagefähig ist. Das erzeugt Irritation auf beiden Seiten.

Die Tabelle 1 zeigt die Vor- und Nachteile im Überblick.

Tabelle 1: Pro & Contra von Kriterien zur Bewertung von BYOD
Kriterium Vorteil Nachteil
Kostenreduktion
Produktivitätssteigerung
Anwenderzufriedenheit
Sicherheitsrisiken
Multi-Plattform-Support
Endbenutzersupport

Welche Datenarten liegen auf den Geräten?


© bengrey – Flickr (CC BY SA 2.0)

Je nach Unternehmensgegenstand wird die Geschäftsführung zu unterschiedlichen ERgebnissen gelangen,w as den Einsatz privater Geräte im Unternehmen (BYOD) betrifft. Darüber hinaus ist die Nutzung von eigenen Geräten je nach Abteilung sehr unterschiedlich verteilt.[15]

Tabelle 2: Verbreitung von BYOD in Abteilungen
Abteilung
BYOD [%]
Vorstand, Geschäftsführung 82
Verkauf, Vertrieb 70
ITK-Abteilungen 47
Marketing, Werbung 42
Forschung, Entwicklung 37
Kundendienst 18
andere 12
Finanzen, Rechnungswesen 11
Einkauf, Beschaffung 11
Persona 8
Produktion 7
Logistik, Lager, Transport 5

Datensicherheitskonzept gehören auch die persönlichen Geräte. Welche Daten sind auf einem persönlichen Gerät vorhanden?

Nebenbemerkung
Wie stark ist die Beißhemmung des Datensicherheitsbeauftragten oder des Datenschutzbeauftragten gegenüber dem Vorstand oder eloquenten Mitarbeitenden im Vertrieb?

Auf einem privaten Gerät sind zunächst folgende Datenarten zu erwarten

  • Private Kontaktdaten
    • Telefonnummern
    • Postadressen
    • Emailadressen
    • Kontonamen in sozialen Netzen
  • Private Fotos, Videos, Tonaufnahmen
  • Musikstücke idealerweise mit Lizenz
  • Private Dokumente

Es ist weiter davon auszugehen, dass Filesharing-Apps und Cloud-Dienste im Einsatz sind. Damit entziehen sich die Daten mitunter dem Einflussbereich deutscher oder europäischer (im Sinne der Europäischen Union) Rechtsprechung.

Zu diesen persönlichen und personenbezogenen Daten kommen nun Firmendaten. Das sind

  • geschäftliche Daten von Interessenten, Kunden, Lieferanten, Mitarbeitenden
  • Vertragsdokumente in unterschiedlichen Entwurfsstadien und unterschiedlichen Zwecken wie Arbeitsvergträge, Vertrge über freie Mitarbeit, Lieferverträge, Bestellungen, Auftragsbestätigungen, Vertragsbedingungen, Ausschreibungen
  • Strategiepapiere, Studien, Forschungsergebnisse
  • Details zu Ansprechpartnern, die auf dem Firmengerät nicht gespeichert werden dürfen

Die Herausforderung beginnt, wenn private und berufliche Daten auf einem Gerät verwenden werden. Das Trennungsgebot des Datenschutzes, s. u., fordert, dass Daten zur Nutzung unterschiedlicher Zwecke auch unterschiedlich gespeichert ewrden müssen. Wenn auf dem privaten Gerät nur eine Anwendung vorhanden ist, mit der Kontaktdaten verarbeitet werden, ist dieses Gebot bereits übertreten. Deshalb sind technische und organisatorische Maßnahmen vorzusehen, die die Mischung von persönlichen und beruflichen Daten verhindern. Das Katastrophenszenario schildert der Artikel „Die dunkle Seite von BYOD: Privatsphäre, Datenverlust und mehr (engl.) [16]

Welche Maßnahmen helfen weiter?

© chase_elliott – Flickr (CC BY SA 2.0″))

Welche Kontrollmechanismen sieht das Bundesdatenschutzgesetz vor?

Zunächst unternehme ich mit Ihnen einen kurzen Ausflug in Ebenen des Bundesdatenschutzgesetzes, ohne dessen Kenntnis es hier nicht geht. Denn zum Einen hat das Unternehmen Pfichten bei der Behandlung von personenbezogenen Daten, zum anderen auch die Nutzer der Endgeräte. Die technischen und organisatorischen Maßnahmen, die zur Einhaltung des Schutzes personenbezogener Daten beitragen, sind in der Anlage 1 zum § 9 des Bundesdatenschutzgesetzes erläutert.

Zutrittskontrolle
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
Zugangskontrolle
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
Zugriffskontrolle
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
Weitergabekontrolle
4. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
Eingabekontrolle
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
Auftragskontrolle
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
Verfügbarkeitskontrolle
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
Trennungsgebot
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Vgl. [18]

Wie sind diese Maßnahmen umzusetzen?

Strategie entwickeln

Wer ohne Strategie in das BYOD-Gefecht geht, wird am Ende den Kürzeren ziehen. Bevor die Pforten des Unternehmensnetzwerkes für private Geräte geöffnet werden, sollten also folgende Fragen klar beantwotet sein und mit den zustsändigen Abteilungen und Gremien eine Vereinbarung geschlossen sein, [17]

  • Welche Gerätetypen sollen generell eingesetzt werden dürfen bzw. vom Einsatz ausgeschlossen werden?
  • Welche Betriebssysteme sollen bzw. welche sollen nicht zum Einsatz kommen?
  • Welche Mitarbeiter dürfen zu welchen Zwecken Consumer-Endgeräte einsetzen?
  • Welche Informationen mit welchem Schutzbedarf dürfen mit diesen Geräten verarbeitet werden?
  • Welche dieser Informationen dürfen über welche Kanäle kommuniziert werden?

Konzepte ableiten

Ausgehend von der Strategie können dann die Konzepte innerhalb dieser Themenfelder erarbeitet werden.

  • Administration der Geräte
  • Diebstahlschutz und Vorbeugung
  • Sensibilisierung und Schulung der Mitarbeiter
  • Trennung privater und dienstlicher Daten

Maßnahmen definieren und realisieren

Die nächste Stufe der Verfeinerung des Vorgehens sind die folgenden konkreten Maßnahmen, dazu gehören: Netzwerksegmentierung, aktuelle Software und ein Maßnahmenkatalog für die Verwaltung mobiler Geräte (MDM, Mobile Device Management).

  • Verschlüsselte Verbindung nach innen
  • Richtlinien über Zulassung der Geräte
  • BYOD-Geräte sollen ein eigenens Netzsegment bekommen
  • Netzsegmentierung zwischen internen Diensten und Diensten mit Zugriff nach außen
  • Protokollierung der Zugriffszeiten
  • Zuganng nur, wenn Virenschutz und Betriebssystem aktuell sind

Win-Win-Situation

Das Verwenden von eigenen Geräten im beruflichen Umfeld ist so zu gestalten, dass es für beide Seiten einen Nutzen bringt. Das beinhaltet von Unternehmensseite den Verzicht auf den Zugriff auf private Daten und von der Seite der Mitarbeiter die Zustimmung, gewisse und abgestimmte Bereiche seines privaten Geräts für die Nutzung durch das Unternehmen freizugeben. Zur Vermeidung von Unstimmigkeiten empfiehlt sich der Abschluss einer Vereinbarung zwischen Unternehmen und Mitarbeitern. Diese Vereinbarung sollte folgende Punkte umfassen.

  • Regelungen zu technischen und organisatorischen Maßnahmen und wer für die Durchführung verantwortlich ist
  • Verhalten bei Verlust
  • Klärung zulässiger und unzulässiger Applikationen und Anwendungen
  • Synchronstionsmöglichkeiten mit Unternehmensdaten
  • Regelung über den Zugriff des Unternehmens auf die privaten Geräte
  • Regelungen für die Rückgabe von Daten

Exkurs: Wer ist für die Einhaltung des Datenschutzes auf privaten Geräten verantwortlich?

Sowohl für rein beruflich und rein privat genutzte Geräte ist die Frage nach der Verantwortlichkeit klar. Bei privat genutzten Geräten ist niemand veraantwortlich oder haftbar zu machen, denn das Bundesdatentschutzgesetz greift für die vom Eigentümer verwendeten Daten nicht. Dagegen ist es gültig für Daten, die von Unternehmen oder Ämtern und Behörden verwendet werden. Für rein beruflich genutzte Geräte ist somit klar, dass die Regelungen des Bundesdatenschutzgesetzes greifen. Verantwortlich ist damit die Geschäftsführung eines Unternehmens. Diese Verantworltichkeit umfasst auch die mögliche Haftbarmachung gemäß den Vorschriften des Bundesdatenschutzgesetzes zum Beispiel bei Verlust von Daten, bei unrechtmäßiger Verwendung personenbezogener Daten.

Wenn nun privat beschaffte Geräte für den beruflichen Einsatz verwendet werden, ist die Frage nicht mehr so klar und eindeutig zu beantworten. Im Zweifel ist davon auszugehen, dass die Persönlichkeitsrechte der Mitarbeitenden vor dem Interesse des Unternehmens rangieren.

Zusammenfassung

Lupe
© marin – FreeDigitalPhotos (CC BY 2.0)

Schlussendlich sind die Maßnahmen bei BYOD mit den folgenden Punkten zu beschreiben:

  1. Die anzustrebenden Lösungen sind unternehemensweit einzusetzen
  2. Es ist ein Sicherheitskonzept zu entwickeln
  3. Alle Nutzer sind zu sensisbilisieren und zu schulen
  4. Für alle Beteiligten sind Rechte und Pflilchten zu regeln
  5. Die 10 Gebote des BYOD sind einzuhalten

Unternehmensweite Lösungen

Der Einsatz von unternehmensweiten Lösungen ist vorzuziehen, Insellösungen ergeben zusätzliche Angriffsszenarien und erhöhen das Risiko für Datenverlust erheblich. Auf Unternehmensebene sind Mobile-Device-Management-Systeme (MDM) einzusetzen. Diese Lösungen umfassen folgende Funktionen

  • Verschlüsselungssoftware
  • Synchronisationssoftware
  • Vorbeugung vor Datenverlust
  • Wiederbeschaffung von Daten bei Diebstahl (Theft Recovery)
  • Löschen und Säubern des Gerätes aus der Ferne (Remote Wipe)
  • Zugang über ein VPN
  • Fernzugangssoftware (Remote Desktop)

Quelle [1]

Es stellt sich die Frage, ob die Anschaffung und Wartung eigener mobiler Geräte für das Unternehmen günstiger ist als der Rückgriff auf eine Vielzahl privater Geräte.

Sicherheitskonzept

Beim Einsatz von BVOD ist ein Sicherheitskonzept mit den folgenden zu erarbeiten, dass die folgenden Merkmale beinhaltet.

  • Es dürfen keine besonders schutzwürdigen Daten verarbeitet oder gespeichert werden.
  • Die Datensicherheitsstandards der Behörde / des Unternehmens müssen auch bei Smartphones und Tablet-PCs eingehalten werden.
  • Die Schnittstellen müssen kontrolliert werden.
  • Daten müssen verschlüsselt gespeichert werden.
  • Falls das Gerät verloren geht, muss es die Möglichkeit geben, die gespeicherten Daten aus der Ferne zu löschen.
  • Unternehmensdaten und private Daten dürfen nicht vermischt werden.
  • Der Softwarestand der Geräte ist aktuell zu halten.
  • Es ist für einen geeigneten und aktuellen Schutz vor Schadprogrammen zu sorgen.
  • Cloud-Dienste oder Filesharing-Apps dürfen nicht verwendet werden.
  • Die Installation von nicht lizensierter Software ist zu unterlassen.
  • Jailbreaks sind tabu.

Vgl. Quelle [2]

Schulung der Arbeitnehmer und Nutzer

Alle Nutzer von BYOD-Geräten müssen in den folgenden Punkten sensibilisiert und unterrichtet werden.

  • Arbeitnehmer ist alleiniger Nutzer des Geräts.
  • Es sind geeignete sichere Passwörter zu erzeugen.
  • Die Passwörter sind sicher zu verwalten.
  • Weitergabe der Geräte an dritte Personen, auch Familienangehörige, ist zu untersagen.
  • Der Verlust des Geräts oder der Daten sind dem Unternehmen anzuzeigen.

Quelle [1]

Rechte und Pflichten der Nutzer

Bei der Nutzung personenbezogener Daten ist die Geschäftsführung in der Pflicht. Ausgehend von den entstehenden Daten sind verschiedene Aspekte zu betrachten. Für die Geräte muss sich das Unternehmen weitgehende Rechte einräumen lassen. Sonst entsteht die Gefahr, dass das Unternehmen – die Geschäftsführung – haftbar gemacht wird. Für den Eigner der Geräte entstehen so möglicherweise Eingriffe in die Privatsphäre. Ist dies nicht geregelt, kann die Einsicht in das Gerät verweigert werden. Der Schutz der Privatsphäre hat hier größeres Gewicht als das Interesse des Unternehmens. Das dürfte regelmäßig Konfliktpotential erzeugen und ist so ein Grund mehr, die Nutzung privater Geräte im Unternehmen penibel zu regeln.

Eine Verpflichtung zur Nutzung privater Geräte für den betrieblichen Einsatz kann es nicht geben, denn die Betriebsmittel muss das Unternehmen stellen.

Die 10 Gebote von BYOD

Eine Zusammenfassung der Rechte und Pflichten beim Einsatz von privaten Geräten im Unternehmen stellen die 10 Gebote des BYOD dar.

  1. Erstelle die Regeln, bevor du die Technik beschaffst.
  2. Suche die Geräte der Menge
  3. Halte die Registrierung einfach
  4. Du sollst die Gerätekonfiguration drahtlos vornehmen
  5. Dene Anwender fordern Selbstbedienung
  6. Beachte die geheiligten persönlichen Informationen
  7. Teile das Meer der geschäftlichen und privaten Daten
  8. Verwalte deinen Datenverbrauch
  9. Behalte deine Herde im Auge, automatisch
  10. Trinke vom Brunnen des ROI

Quellen

[1.] Dr. iur. Lorenz Franck, Bring your own device – Rechtliche und tatsächliche Aspekte (GDD e.V.)

[2.] Handreichung zur Nutzung von Smartphones und Tablet-Computer in Behörden und Unternehmen (Der Hessische Datenschutzbeauftragte)

[3.] Pros and Cons of BYOD (Bring Your Own Device)

[4.] Bilanz: Die Vor- und Nachteil von BYOD (CIO)

[5.] Und bitte bringen Sie Ihr Tablet mit! (Die Welt)

[6.] Nutzung des privaten PCs im Job kann teuer werden (Die Welt)

[7.] http://smartfonearena.com/wp-content/uploads/2015/03/BYOD-benefits.jpg

[8.] BYOD Policies: The Pros and Cons (Susan Wojtkowski via Linkedin)

[9.] HP-Studie belegt: 70 Prozent der Unternehmen haben keine BYOD-Regeln

[10.] Studie: BYOD ist für die Mehrzahl der Mitarbeiter kein „Herzenswunsch“

[11.] BYOD-Studie: Mitarbeiter sorgen sich um ihre persönlichen Daten

[12.] Mobile Endgeräte und die Auswirkungen auf Firmennetze (TecChannel)

[13.] 10 Commandments of Bring Your Own Device (Rob Patey’s Comic Books & Corporate Communications Blog)

[14.] 9 Idiotic Office Rules That Drive Everyone Insane

[15.] Was aus CIO-Sicht für BYOD spricht (Computerwoche)

[16.] The Dark Side of BYOD: Privacy, personal data loss, and more

[17.] Überblickspapier BYOD (BSI)

[18.] Bundesdatenschutzgesetz . Anlage zu § 9 Satz 1 (dejure.org)

Datenarten und Datenschutz im Internet der Dinge

Datenarten und Datenschutz im Internet der Dinge

Was Ihr Sexleben mit Android (oder iOS) zu tun hat

Apps sind oft sehr nützlich, sie lösen manchmal auch Probleme, die wir ohne sie nicht gehabt hätten. Die größte Lüge des Internets ist wohl: „Ich habe die Geschäftsbedingungen gelesen und akzeptiere sie.“  Wie sicher sind Anwendungen auf Smartphones, Tablets, Wearables? Welche Daten erfassen sie und wohin gelangen diese Daten? Das Internet der Dinge bringt die gewöhnlichen Dinge des täglichen Lebens mit dem Internet zusammen. Ob eine Türklingel, die sich mit dem Smartphone der Mieter oder Eigentümer verbindet, ob eine Babyphone-App, die Geräusche in einem Raum – nicht nur von Babies – überwacht, ob die Windel, die den Eltern mitteilt, warum der Sprössling so quengelig sein könnte und welche Einlage bei der bevorstehenden Inspektion zu erwarten ist. Es scheint nichts zu geben, was es nicht gibt. Die Fitnessarmbänder oder Jogging-Apps und selbst Facebook erscheinen da schon fast Olld-School. Andere Anwendungen gehen in den Bereich der Medizin und des Gesundheitswesen, der Steuerung von Industrieanlagen oder der Speicherung persönlicher Informationen, wie Performance beim Sex oder das Kaufverhalten.Dabei ist zwischen privatem Gebrauch und dem Einsatz in Unternehmen nur bedingt zu unterscheiden. Der sorglose Umgang mit Daten im privaten Bereich weckt möglicherweise Begehrlichkeiten der Big Player im Big-Data-Business. Im unternehmerischen Einsatz ist die Verwendung von Sicherheitsmaßnahmen oft besser gegeben.

Welche 8-12 Startups im IoT sind besonders bemerkenswert?

Zurzeit existieren viele Anwendungen im Internet der Dinge. Diese Infografik zeigt die wahrscheinlich 5 ausgefallensten. CIO hat im September 2014 eine weitere Liste aufgestellt, in der die 10 bemerkenswertesten zusammengefasst sind. Dabei ist das Internet der Dinge eine lohnende Spielwiese für Hacker, wie die Elektronikpraxis feststellt. Das kann nur dann ein lohnendes Ziel sein, wenn übliche Sicherheitsmaßnahmen missachtet werden. Bei der Brisanz der Daten, die durch Wearables, Sensoren in Haus, Handel, Handwerk und Industrie erfasst werden ist das sträfliches Verhalten.

    1. AdhereTech: Online-Pillendose, damit Patienten ihre Medikamente regelmäßig einnehmen.
    2. Chui: Gesichtserkennung mit Maschinenlernen verbinden und so das Gesicht zum universellen Zugangsschlüssel machen.
    3. Enlighted: Anbieten intelligenter Beleuchtungssysteme
    4. Heapsylon: Bekleidung in Computer verwandeln
    5. Humavox: Drahtloses Laden von IoT-Geräten, so dass auf Kabel verzichtet werden kann
    6. Neura: Sie wollen der Klebstoff sein, der das Internet der Dinge mit Gegenständen, Orten, Personen und dem Web verbindet
    7. PubNub: Ein globales Echtzeitnetzwerk anbieten, damit große IT-Anbieter sich auf ihr Kerngeschäft konzentrieren können
    8. Revolv: Vereinheitlichung der Bedienung von Smarthome-Anwendungen in einer App auf dem Smartphone oder Tablet
    9. TempoDB: Cloud-gestützte Datenbank für die Analyse von Sensordaten
    10. Theatro: Kleine WLAN-Geräte zur Kommunikation innerhalb eines Unternehmens

      Welche Datenarten sind zu unterscheiden?

      Für den Fall, dass bestimmte Datenarten unrechtmäßig verwendet werden, zum Beispiep bei einem Datenleck, beschreibt das Bundesdatenschutzgesetz in § 42a eine Informationspflicht an die Aufsichtsbehörde und die Betroffenen selbst. Dies umfasst diese Datenarten

      1. besondere Arten personenbezogener Daten (§ 3 Absatz 9 BDSG),
      2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
      3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
      4. personenbezogene Daten zu Bank- oder Kreditkartenkonten

      Daten zu Punkt 1 umfassen „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oderSexualleben.“ Vor diesem Hintergrund müssen Anbieter derartiger Lösungen, die derzeit (Juni 2015) auf Apps zurückgreifen besondere Vorsichtsmaßnahmen vorsehen. Das ist jedoch eher die Ausnahme als die Regel, wie heise berichtet. Die Schlamperei bei der Passwort-Verwendung ist oft groß.

      Welche Daten werden von den Lösungen verwendet?

      Zunächst ist festzuhalten, dass Menschen über die Verwendung ihrer Daten selbst bestimmen wollen. Bring your own Privacy – Security Insider. Dem stehen die Geschäftsbedingungen, das Geschäftsgebaren und die skurrilen Methoden der Datenerhebung entgegen. Hackerangriffe und anschließendes ausspähen von Daten auf Kassensysteme zeigen, dass in der Architektur dringender Handlungsbedarf besteht. Beim Einsatz von Systemen kann durch Organisation und externe Sicherheitsmaßnahmen der Sicherheitsstandard verbessert werden. Oft beginnt es damit, nicht allein der Technik zu trauen.

      Anwendung Erfasste Datenarten
      Türklingel Identifikation
      Verhalten
      Gesichtserkennung Identifikation
      Pillendose Identifikation
      Gesundheit
      Verhalten
      Smarthome Identifikation
      Verhalten
      Clouddienste Identifikation
      Gesundheit
      Meinungen
      Verhalten
      Vertragsdaten
      Vernetzung von Sensoren Identifikation
      Verhalten
      Vertragsdaten
      ‚Intelligente Kleidung (Gesundheit)
      Meinungen
      Verhalten
      Monitoring von Pflegebedürftigen Identifikation
      Gesundheit
      Verhalten
      Netzwerke in Echtzeit Identifikation
      Gesundheit
      Meinungen
      Verhalten
      Vertragsdaten
      Gesundheitskarte Identifikation
      Gesundheit
      Vertragsdaten
      Kassensysteme Identifikation
      (Gesundheit)
      Verhalten
      Vertragsdaten

      Fazit

      Anwendungen im Internet der Dinge (IoT. Internet of things) verwenden Daten von zum Teil persönlicher Art. Die Daten sind geeignet, Personen zu identifizieren, persönliche Vorlieben, Verhaltensmuster oder Meinungsbilder zu entwerfen. Gleichzeitig geben die Bedingungen, mit denen diese Daten erhoben werden nicht völlige Klarheit darüber, wozu die Daten erhoben werden, wer sie verarbeitet und wohin die Daten gegeben werden. Dies widerspricht dem Willen der meisten Personen, die wissen wollen, was mit ihren Daten geschieht. Anwendungen der neusten Generation, Apps, sind oft nicht auf Sicherheit ausgelegt. Es ist vor Einsatz einer App erforderlich, Risiken und Nutzen gegeneinander abzuwägen. Der soziale Druck, eine bestimmte App anzuwenden oder auch nicht, muss dabei gegebenenfalls ausgehalten werden.


      © Joseph Wright of Derby – Wikimedia (CC0 Public Domain)


      Tags: IoT, Internet der Dinge, Datenschutz, Datensicherheit, App

      Internet of Things – 5 Anwendungen, auf die ich nie gekommen wäre

      Internet of Things – 5 Anwendungen, auf die ich nie gekommen wäre


      Gadgetomanie im Internet der Dinge

      Das ist sie also, meine persönliche Favoritenliste der Anwendungen aus dem Internet der Dinge:

      • Das Fieberthermometer, das ständig die Körpertemperatur an das Smartphone der Eltern funkt.
      • Kassensysteme, die nicht nur Daten im Web speichern, sondern auch bargeldloses Bezahlen ermöglichen.
      • Infusionspumpen, die an das Netzwerk der Klinik angeschlossen werden können.
      • Windeln, die Verschmutzungsgrad und Verschmutzungsart an das Smartphone schicken.
      • Die Türklingel, die sich an das Smartphone koppeln lässt.

      BigData will leben

      Wer denkt an die Daten, die dabei entstehen? Wo werden sie gespeichert? Wessen Daten werden verwendet? Sind die Geräte an sich sicher? Oder sind sie – wie im Falle bestimmter Infusionspumpen anfällig für Angriffe und können so Leib und Leben der Patienten gefährden. Welche Risiken können beim Einsatz der Anwendungen auftreten?


      Fotos:
      Flickr (Thomas Leuthard), FreeDigitalPhotos (artemisphoto, photostock, winnond, Meiklejohn)

      Diese 2 Fragen muss Ihr Kundenservice im Schlaf beantworten können

      Kundenbeziehungsmanagement

      Diese 2 Fragen muss Ihr Kundenservice im Schlaf beantworten können

      Einige Kunden wollen es genauer wissen als andere. Diese beiden Fragen können nach eigener Studie Servicemitarbeiter in den Wahnsinn treiben: Welche Daten haben Sie über mich gespeichert? und Woher stammen diese Daten? Eine schleppende Antwort zeigt auf jeden Fall, dass die Prozesse im Unternehmen nicht funktionieren.

      Potentiell ungewünschte Emails?

      Manche Emails, die ich erhalte, sind sonderbar. Zurzeit – Februar 2015 – kursieren seltsame Werbeaktionen, die es durch die Spamfilter der Emailprovider schaffen. Meist ignoriere ich sie, manchmal lese ich, was mir alles an Segnungen entgeht. Meist aber sind diese Nachrichten nicht einmal die Zeit wert, die man fürs Lesen benötigt. Eine Antwort allerdings sind sie nicht wert. Andere Zusendungen an meiner Privatadresse aber lassen mich aufhorchen und machen mich stutzig.

      • Ein Versandhändler möchte, dass ich seinen Service, sein Produkt oder beides bewerte.
      • Eine Bank, die ich nicht kenne, schickt mir unaufgefordert Finanzierungsangebote.la
      • Ein Zeitungsverlag, bei dem ich eine Tageszeitung abonniert habe, schickt mir Werbemails und wird zunehmend dringlicher.
      • Ein Hersteller, bei dem ich online bestellt habe, sendet mir Produkthinweise per Email
      • Ein Unternehmen, mit dem ich bislang keinen Kontakt hatte, schickt mir eine Werbemail

      Die Aufzählung ist sicher nicht vollständig, doch die meisten Fälle dürften abgedeckt sein. In den Anfangsjahren habe ich mich über derartige Emails oder Briefe geärgert. Briefe landen meist ungelesen im Altpapier, Emails werden – sofern der Absender unbekannt ist – ungelesen gelöscht, sobald sich der Verdacht auf Werbung ergibt. Dadurch spare ich zwar Zeit fürs Lesen, aber es geht in der Summe auch viel zusätzliche Zeit verloren.

      Mit welchen Fragen muss Ihr Kundenservice rechnen?

      Ein Bekannter von mir hat eine ganz eigene Art mit diesen Emails und Werbenachrichten umzugehen. Er schickt Emails an die Absender, was nicht immer leicht ist, denn die Adressen lassen nicht immer eine Antwort zu, da ist Rechercheaufwand erforderlich.

      • Wann habe ich die Zustimmung zum Empfang von Werbenachrichten gegeben?
      • Welche Daten über mich verwenden Sie?
        • Woher stammen diese Daten?
        • An wen wurden die Daten weitergegeben?

      Die letzten drei Punkte sind eine Auskunft nach §34a Bundesdatenschutzgesetz, die jedem Verbraucher einmal jährlich kostenlos zusteht. Manche Leute glauben, dass mein Bekannter keine anderen Hobbies hat. Aber ich glaube doch, er hat nämlich einen Garten und mehrere Kinder.

      Welche Reaktionsmöglichkeiten hat Ihr Kundenservice?

      Auf diese Fragen reagieren Unternehmen sehr unterschiedlich. Mein Bekannter sagt, es sei ihm bisher nur sehr selten vorgekommen, dass die Fragen zeitnah und ohne weitere Nachfrage umfassend beantwortet wurde.

      • Umfassende und plausible Antwort
      • Angabe, dass Daten gelöscht wurden
      • Unvollständige oder keine Antwort
      • Falsche Antworten

      Es liegt auf der Hand, dass falsche Antworten einer gedeihlichen Kundenbeziehung unzuträglich sind.

      Es war 2013, als mein Bekannter eine Einladung zu einer Umfrage eines Prüfunternehmens bekam. Auf Nachfrage war zu erfahren, dass die Daten von seinem Energieversorger stammten. Dieser allerdings hatte geantwortet, dass seine Daten an niemanden weitergegeben worden waren. Dazu gibt es wohl nur 2 Antwortmöglichkeiten. Eine der beiden Antworten ist unrichtig.

      Unvollständige Antworten sind in der Praxis am häufigsten anzutreffen, wenn die Antwort überhaupt kommt. Vergleichen Sie einmal folgende beiden Antworten auf die Frage: Welche Daten von mir sind bei Ihnen gespeichert?

      • anbei senden wir Ihnen die gewünschte Datenauskunft. Hiermit bestätigen wir, dass wir alle Ihre Daten gelöscht haben.

      • Sie sind bei uns als Interessent in der Datenbank registriert gewesen. Wir haben Ihre E-Mail-Adresse, in unserer Interessenten-Datei gelöscht. Ihre Daten wurden nicht weitergegeben.

      Die erste Antwort ist offenkundig unrichtig, denn wenn alle Daten gelöscht wären, könnte die Email gar nicht zugestellt werden. Die zweite Antwort ist präziser, sie gibt an, dass die Daten in der Interessente-Datei gelöscht wurden. Beide Antworten geben nicht an, woher die Daten stammen, wann die Zustimmung zum Empfang von Emails gegeben worden ist.

      Der Kundenservice wird die erforderlichen Angaben für eine Auskunft nach § 34a Bundesdatenschutzgesetz nicht verfügbar haben. Gleichzeitig muss die Abteilung darüber informiert sein, welche Abteilung oder Person derartige Anfragen bearbeitet.

      Wie gehen Sie bei einer Auskunft nach § 34a BDSG vor?

      Wenn eine Anfrage nach Auskunft gemäß § 34a Bundesdatenschutzgesetz [WWW] stellt, gehen Sie folgendermaßen vor

      • Prüfen Sie, ob die anfragende Person mit Ihren Kunden, Interessenten oder sonstigen Person identisch ist. Es muss vermieden werden, dass Sie Daten an unberechtigte Personen weitergeben. Beachten Sie hierbei die Angemessenheit der Prüfung. Eine Erschwerung der Auskunft darf nicht vorkommen.
        • Sollten Sie mit der anfragenden Person bisher nur per Email kommuniziert haben, ist es nicht möglich bei der Auskunft auf der Schriftform zu bestehen.
        • Erteilen Sie einen Zwischenbescheid, wenn sich die Erstellung der Auskunft verzögern sollte.
      • Die Antwort muss folgende Angaben enthalten
        • Herkunft der Daten
        • Zweck sämtlicher verwendeter Daten über die betroffene Person 
        • Die gespeicherten Daten selbst auf beigefügten Blättern
        • Kategorien der interner und externer Empfänger von Daten und die Angabe, ob eine Auftragsdatenverarbeitung vorliegt
      • Das Löschen von Daten sollte nicht vorschnell erfolgen, möglicherweise stehen der Löschung rechtliche Vorschriften entgegen. Merksatz: Wer vorschnell löscht, hat ein schlechtes Gewissen. Beachten Sie gleichzeitig, dass unzulässig gewonnene Daten nach Bundesdatenschutzgesetz § 35 (2) Ziffer 1 zu löschen sind.
      • Eine falsche, unvollständige oder keine Antwort empfiehlt sich in keinem Fall. Es ist davon auszugehen, dass Anfragende den zuständigen Landesdatenschutzbeauftragten informieren.
      • Bleiben Sie beim Thema. Immer wieder kommt es vor, dass ein Hinweis auf die Robinson-Liste in eine Antwort eingearbeitet wird. Das ist vom Anfragenden nicht gewünscht. Wenn eine Auskunft erwünscht ist, geben Sie eine Auskunft.

      Abgrenzungen

      Ausnahmen von unzumutbarer Belästigung nach UWG

      Bei dem reinen Auskunftsersuchen sind folgende Umstände gleichzeitig zu beachten.

      Im Gesetzes gegen den unlauteren Wettbewerb (UWG) werden im Absatz 3 des § 7 (Unzumutbare Belästigungen) einige Ausnahmen definiert, wann ein bestehender Kunde Emailwerbung erhalten darf, in diesen Fällen ist die Speicherung zulässig.

        (3) Abweichend von Absatz 2 Nummer 3 ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn

        1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
        2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
        3. der Kunde der Verwendung nicht widersprochen hat und
        4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

        Rechtsgeschäftsähnliche und rechtsgeschäftliche Schuldverhältnisse

        Das Bundesdatenschutzgesetz nennt in § 28 Absatz 1 wesentliche Umstände, unter denen die Verwendung personenbezogener Daten zulässig ist. In den weiteren Absätzen werden andere Fälle genannt. Es handelt sich um diese drei Anwendungsfälle, in denen die Verwendung personenbezogener Daten zulässig ist

        1. Es existiert ein rechtsgeschäftliches oder ein rechtsgeschäftsähnliches Schuldverhältnis mit dem Betroffenen 
        2. Die Wahrung berechtigter Interessen der verantwortlichen Stelle wiegt mehr als das schutzwürdige Interesse des Betroffenen
        3. Es handelt sich um öffentlich zugängliche Daten oder sie dürften veröffentlicht werden, ohne das schutzwürdige Interesse des Betroffenen zu verletzen

        Quellenangaben


        Bild: © hin255 – FreeDigitalImages (CC BY 2.0)

        Datenkategorien im Kundenbeziehungsmanagement (CRM)

        Welche Datenkategorien sind im Kundenbeziehungsmanagement (CRM) ausreichend?

        Stammdaten und Kontaktdaten

        Folgende Daten werden regelmäßig in CRM-Systemen erfasst

        • Stammdaten
        • Kontaktdaten
        • qualifizierte Informationen zum Kunden

        Stammdaten sind

        • Name, Vorname
        • Adressen
        • Geburtsdatum

        Diese Daten sind zum Aufbau und zur Pflege von bei Kundenbeziehungen erforderlich. Das Bundesdatenschutzgesetz nennt dies in § 28 Absatz 1 Satz 1 Ziffer 1 „Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses“. Somit ist die Verwendung dieser Daten zulässig. Kontaktdaten umfassen

        • Telefonnummer für Mobil- und Festnetz
        • Telefaxnummern
        • Emailadressen
        • Weitere Kontaktmöglichkeiten für soziale Netzwerke

        Es ist im Einzelfall zu entscheiden, welche Kontaktangaben zur Begründung, Durchführung oder Beendigung eines Rechtsgeschäfts erforderlich sind. Das wahllose Sammeln dieser Kontaktangaben ist gemäß den Bestimmungen des Bundesdatenschutzgesetzes falsch. Das Bundesdatenschutzgesetz sieht in jedem Fall eine Zweckgebundenheit der verwendeten personenbezogenen Daten vor.

        Qualifizierte Informationen zum Kunden in CRM-Systemen

        Darüber hinaus sind für CRM-Systemen Daten zur Kundenhistorie gespeichert oder werden verfügbar gemacht. Dazu zählen

        • Bestellungen
        • Rechnungshistorie
        • Zahlungen, Ratenpläne und Stundungen
        • Bankdaten
        • Adresshistorien
        • Kontakthistorie

        Für diese Daten ist ein Rollenkonzept vorzusehen, damit nicht jede Person im Kontaktcenter alle Daten sehen, bearbeiten und löschen kann und darf. Dazu kommen Daten von Marktforschungsunternehmen, Adresshändlern oder Scoringunternehmen, die die Güte eins Kunden oder einer Kundenadresse beschreiben. In seriösen Unternehmen werden die Daten darüber hinaus mit der Robinsonliste des Dialogmarketingverbands abgeglichen, damit Kunden nicht Werbung erhalten, die keine wünschen.

        Datenkategorien in CRM-Systemen

        Für die Dokumentation der im Kundenbeziehungsmanagement (CRM) eingesetzten Verfahren sind somit folgende Datenkategorien anzusetzen. Dabei erhebt diese Aufstellung keinen Anspruch auf Vollständigkeit, sie ist den individuellen Gegebenheiten vor Ort anzupassen.

        • An- und Abmeldedaten
        • Anfragedaten
        • Antwortdaten
        • Bestelldaten
        • Identifikationsdaten
        • Kontaktdaten
        • Maildaten
        • Rechnungsdaten
        • Versanddaten
        • Zahlungsdaten

        Nicht personenbezogene Daten in CRM-Systemen

        Im Kundenbeziehungsmanagement sind zunächst alle verwendeten Daten personenbezogen. Bei der weiteren Verwendung der Daten für das Marketing muss dieser Bezug zu einer Person aufgelöst werden. Hier endet die Zweckbezogenheit. Zur Auflösung des Bezugs zu einer Person sind folgende Methoden verwendbar.

        • Anonymisierung durch Bildung von Merkmalsaggregaten
        • Anonymisierung durch Zufallsfehler
        • Pseudonymisierung durch Ersetzen von Identifikationsmerkmalen durch Kennzeichen

        Zur genaueren Beschreibung empfiehlt sich ein Blick in diesen Artikel des Virtuellen Datenschutzbüros.


        Foto: © bloomsburys – Flickr (CC BY 2.0)

        Datenlecks im Jahresvergleich 2008-2013

        Datenleck trifft die Sache ja schon recht gut, denn die Daten sind ja nicht weg, es hat sie nur jemand anderes. Symantec hat die Ursachen für Datenlecks aus den Jahren 2008, 2010, 2012 und 2013 verglichen. Hier ist das Ergebnis.

        Statistik: Anteil der häufigsten Ursachen von Datenlecks im Jahresvergleich 2008 bis 2013 | Statista
        Mehr Statistiken finden Sie bei Statista

        Tipp des Datenschutzbeauftragten

        • Schulen Sie Ihre Mitarbeiter im Umgang mit Daten, besonders wenn sensible Daten verwendet werden wie personenbezogene Daten oder Firmeninterna.
        • Prüfen Sie den Einsatz von Data Loos Prevention-Lösungen, Programme, die sensible Daten aufspüren und vor deren Verlust schützen
        • Setzen Sie starke Verschlüsselungs- und Authentifizierungsverfahren ein.
        • Erstellen Sie einen Plan für den Fall der Fälle, damit jeder im Unternehmen weiß, was zu tun ist.

        Foto: Statista, Symantec