Dokumente per USB Stick "rechtssicher" weitergeben: Was muss kann darf beachtet werden?

janer77

Rear Admiral
🎅 Nikolaus-Rätsel-Elite
Registriert
Juni 2010
Beiträge
5.326
Mir kam gerade folgende Frage, da bei uns in der Firma Dokumente per USB Stick an die Kunden weitergegeben werden sollen: Was muss kann darf beachtet werden, damit so etwas "rechtssicher" ist? Also z.B. der Kunde nachher nicht (ungerechtfertigt) sagen kann "hey, ihr habt mir einen Schädling eingeschleppt! Strafe, Anwalt, Donnerwetter!!!..."
Klar müssen wir entsprechende Sorgfalt walten lassen. Aber gibt es da spezielle Dinge zu beachten?
 
Rechtsabteilung befragen und wenn keine in der Firma vorhanden ist, dann einen Anwalt ansprechen und eine Beratung einholen.
Rechtsberatung darf nur eine dafür ausgebildete Fachkraft geben, diese wäre hier bspw. verboten.
Daher muss es den offiziellen Weg gehen.
Vor allem in solchen Fragen wo ja auch Datenschutz und ggf. Patenrechtliches etc. dazu kommen.
Das ist nichts für ein Computerbase Forum, sondern für eine Beratung durch die Rechtsabteilung oder eine bezahlte Beratung durch bspw. einen Anwalt.
 
  • Gefällt mir
Reaktionen: cartridge_case, Eletron, Restart001 und eine weitere Person
Ich würde die Frage ergänzen, ob die Kunden fremde Sticks überhaupt einlesen würden.
Bzw. von deren IT aus dürfen.
 
  • Gefällt mir
Reaktionen: janer77, Millkaa, h3@d1355_h0r53 und eine weitere Person
janer77 schrieb:
Was muss kann darf beachtet werden, damit so etwas "rechtssicher" ist?
janer77 schrieb:
Aber gibt es da spezielle Dinge zu beachten?
Das ist was für die hauseigene Rechtsabteilung, welche dann vollumfänglich alle relevanten Rechtsgebiete und juristischen Fragen im Blick hat, ggf. dann in Verbindung mit anderen Abteilungen/Fachleuten aus den involvierten Bereichen.

Wenn es keine eigene Rechtsabteilung gibt, dann muss eben ein/e Rechtsanwalt/Rechtsanwältin manadtiert werden, die sich um alle aufkommenden Fragestellungen kümmert und das "rechtssicher eintütet".

Das kann, soll und vor allem darf nicht hier im Forum geklärt werden.

Wieso sind immer wieder User der Ansicht, dass juristische Fragen "schnell und einfach" sowie mit einem Beitrag oder ein paar Beiträgen gelöst werden können?
 
  • Gefällt mir
Reaktionen: BeBur und Millkaa
naja, man kann auch erstmal die IHK oder betreffende sonstige Kammer um Rat fragen. Klar Rechtsanwalt wäre ein Ding aber aus den Kammern und dortigen Gruppen, kommen dann eher real umsetzbare und sehr wahrscheinlich bereits umgesetzte Lösungen.

Beim alten Arbeitgeber hatten wir eine ähnliche Aufgabenstellung -> Anfangs über USB Stick aber später via Cloud und Download Link
Ergänzung ()

midwed schrieb:
"schnell und einfach"
wo liest du das raus? Ich lese eine einfache Frage zur grundsätzlichen Orientierung
 
  • Gefällt mir
Reaktionen: User007 und janer77
Grundsätzlich würde ich keine sticks verschicken. Man weiss ja nie ob der Postbote Schabernack treibt. Oder wenn’s unbedingt sein muss, als Begleitbrief/beiblatt „für Schäden wird nicht gehaftet „ mitliefern
 
Das ist keine "einfache Frage zur grundsätzlichen Orientierung", hier soll der ganze Vorgang inklusive der Risiken "abgeklärt" werden, ja "rechtssicher" sein; der nachfolgende Satz impliziert das:
janer77 schrieb:
Was muss kann darf beachtet werden, damit so etwas "rechtssicher" ist?

Eine "einfache Frage zur grundsätzlichen Orientierung" wäre: "Sollen wir USB-Sticks von Firma A oder von Firma B nehmen, welche Vorteile bieten die jeweils?".

Eine juristische Frage ist nie "einfache Frage zur grundsätzlichen Orientierung", weil eine solche immer komplex ist und nie aus dem Stehgreif heraus mit den gegebenen Informationen aus einem Forenpost beantwortet werden kann. Das wollen viele Leute aber halt nicht so wahrhaben. So ist es aber im juristischen Umfeld.
 
  • Gefällt mir
Reaktionen: Restart001 und Millkaa
Ich arbeite bei einer Behörde und wir verschicken Akten nur auf CD gebrannt.
Die Dateien auf der CD sind verschlüsselt und die Passwörter zum entschlüsseln werden auf einem anderen Weg übermittelt.
Die CDs sind nach den Brennen finalisiert.
USB-Sticks sind in mehrfacher Hinsicht viel zu unsicher.
 
  • Gefällt mir
Reaktionen: Restart001, Tzk, QXARE und 2 andere
Da hab ich ja was losgetreten. Vllt. zur Präzisierung: Es geht speziell darum, dass Kunden ihre Anlage-Doku nach Auftragsbeendigung bekommen, was bisher in papier erfolgt. Es sind also keine Daten von Firma zu Firma und auch nur Kunden-eigene Daten in den Dateien vorhanden.
Arboster schrieb:
Die CDs sind nach den Brennen finalisiert.
USB-Sticks sind in mehrfacher Hinsicht viel zu unsicher.
Hört sich logisch an, aber es gibt schon viele Kunden die könnten das schon gar nicht mehr auslesen, fürchte ich.

midwed schrieb:
hauseigene Rechtsabteilung,
Nicht jeder arbeitet in einem Konzern mit einer solchen.. ;-)
ShutdownButton schrieb:
, man kann auch erstmal die IHK oder betreffende sonstige Kammer um Rat fragen.
danke für den Tipp!
chrigu schrieb:
Man weiss ja nie ob der Postbote Schabernack treibt.
Ob der nun den Leitz-Ordner oder den Stick klaut ist vermutlich zweitrangig...
 
  • Gefällt mir
Reaktionen: User007
janer77 schrieb:
Ob der nun den Leitz-Ordner oder den Stick klaut ist vermutlich zweitrangig...
Alle gängigen USB-Sticks können neu beschrieben werden oder auch manipuliert werden. Auch wenn der verschlüsselt ist: Kunde öffnet den Stick zuhause, Kunde hat Virus auf dem PC, Virus kopiert sich auf den USB-Stick, USB-Stick hat jetzt Virus, Kunde öffnet den Stick am Arbeitsplatz, Kunde denkt, ihr habt den Virus eingeschleppt.

Wenn ihr stattdessen einen Download anbietet, dann könnt ihr, wenn richtig umgesetzt, im Nachhinein genau nachweisen, welche Bits euer Server an den Kunden gesendet hat.
 
  • Gefällt mir
Reaktionen: janer77
Eine Rechtssicherheit wirst du nicht bekommen und die hauseigene Rechtsabteilung wird dir auch nicht weiterhelfen. Ich habe es bisher nur in einem Fall erlebt und ich mache so etwas beruflich.

Wie @Arboster schon schrieb ist ein Medium, welches nur ein Mal beschrieben werden kann, das beste Mittel. Entweder CD, spezielle Festplatten oder andere gleichartige Systeme (Stichwort: WORM - write once read many).

Es gibt USB-Sticks zu kaufen, kann aber zu der Qualität nichts sagen:
https://www.digikey.de/en/products/detail/flexxon-pte-ltd/FUUP008GME-XE00/16705751

https://estore.flexxon.com/products/worm-usb-drive

Die Daten sollten gepackt und mit einem Passwort versehen werden, damit sie beim Transport nicht versehentlich in Hände von Dritten gelangen und direkt eingesehen werden können.

Gerichte, Behörden oder Anwälte machen das über spezielle (digitale) Postfächer/Methodiken wie z.B. EGVP oder neuerdings BeBPo.
 
  • Gefällt mir
Reaktionen: janer77
janer77 schrieb:
Es geht speziell darum, dass Kunden ihre Anlage-Doku nach Auftragsbeendigung bekommen, was bisher in papier erfolgt. Es sind also keine Daten von Firma zu Firma und auch nur Kunden-eigene Daten in den Dateien vorhanden.
Je nach Umfang der Pläne könnte man die auch einfach verschlüsselt via Mail oder Cloud teilen. Warum den Aufriss machen und einen Stick verschicken? Oder sind es wirklich Gigabytes an Daten?
 
Tzk schrieb:
Warum den Aufriss machen und einen Stick verschicken? Oder sind es wirklich Gigabytes an Daten?
na gar nicht, ist eher total wenig. Das ist eher eine Idee der GL. Cöoud wäre auch potentiell möglich, die Frage ist da nur, wie lange man die Daten dann zur Verfügung stehen lassen muss.
 
Ich meinte die cloud rein für den Datenaustausch, nicht für dauerhafte Bereitstellung. Also quasi Email an den Kunden mit dem Link und „wird für 30 Tage bereitgestellt“. Und gut ist. Danach nehmt dir die Daten wieder runter.

Falls ein Kunde den Download verpennt halt nochmal hochladen und gut…
 
Tzk schrieb:
„wird für 30 Tage bereitgestellt“
da höre ich jetzt schon das Geschrei ab Tag 31: Ich habe meine Daten noch nicht, wie komme ich da ran? Das selbe auch nach 60 oder 90 Tagen. Das ist das Problem.. ;)
 
Ihr speichert die Daten ja sowieso.
Da würde ich sowas planen, dass man einen Link verschickt und die Datei (pdf bspw.) kann dann einmalig runtergeladen werden. Der Kunde speichert sich alles und gut ist.
Wenn die Datei doch noch einmal benötigt wird einen neuen Einmallink erstellen und gut ist.
Sowas sollte durchaus lösbar sein.
 
mit einem virenscanner, der dem Stand der Technik entspricht, scannen. (auch vor der verschlüsselung).

außerdem müssen die Daten grundsätzlich verschlüsselt sein, insbesondere wenn personenbezogene Daten enthalten sind.

und Dokumentation nicht vergessen.
 
Mickey Cohen schrieb:
mit einem virenscanner, der dem Stand der Technik entspricht, scannen.
Virenscanner. Stand der Technik. Jaja :-)

Mickey Cohen schrieb:
außerdem müssen die Daten grundsätzlich verschlüsselt sein, insbesondere wenn personenbezogene Daten enthalten sind.
Na dann hoffen wir mal, das der Virenscanner die Datei nicht zur Analyse in die Anbietercloud hoch lädt.
 
Zurück
Oben