Blog-Layout

Was sind Metadaten und was gehen sie den Datenschutz an?

Team Datenschutz • 11. Mai 2021

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Aufgeklappter Laptop

Metadaten in E-Mails und Dateien


Sie suchen eine bestimmte E-Mail in Outlook oder eine bestimmte Datei im Explorer. Sie wissen noch ungefähr, um was es dabei ging. Je mehr Daten Sie auf ihrem Rechner gespeichert haben, desto länger kann es dauern, bis Sie die Mail oder Datei finden. Wenn Sie mittels Informationen suchen, die Sie oder die Software zu den Dateien oder Mails in Kurzform eingegeben haben, nutzen Sie Metadaten.




Was sind Metadaten?


Metadaten sind Informationen über Daten. Alle Datensammlungen benötigen Metadaten zur Strukturierung. Eigentlich praktisch, denn so kann eine lange Datei mit wenigen Worten beschrieben und rasch wiedergefunden werden. Stellen Sie sich vor, Sie suchen eine Mail, in der Ihnen die Kollegin die Projektpartner für ein bestimmtes Projekt geschickt hat. Aus der Erfahrung heraus nutzt man die Betreff-Zeile oder den Dokumententitel für wichtige Informationen zum Inhalt, die die Zuordnung und das Wiederfinden erleichtern. Ein Dateititel lautet beispielsweise: „Projektbeteiligte im Projekt Werner Schulze für Kunden Müllerschön“.


Wenn es sich bei Werner Schulze und Kunde Müllerschön um Personen handelt, dann sind das personenbezogene Daten. Das kommt häufiger vor, als man vermutet. Und wir alle haben gelernt: Je genauer wir es schaffen, den wesentlichen Inhalt des Dokuments in den Metadaten, also in die Betreffzeile, den Dokumententitel usw. in aller Kürze einzutragen, desto rascher sind diese Dokumente später auffindbar.




Vorteile von Metadaten


Metadaten zeichnet aus, dass sie nicht Bestandteil der verarbeiteten Datei sind und daher getrennt von den eigentlichen Daten aufbewahrt werden können. So ist es beispielsweise beim Stichwortkatalog einer Bibliothek. Dort kann man suchen, erfährt Titel und Verfasser eines Buches und kann es sich aus dem Regal holen. Ähnlich klappt das bei elektronischen Daten. Die meisten Dateisysteme arbeiten mit festgelegten Metadaten, wie etwa die Meta-Information des Dateityps, der Teil des Dateinamens ist, beispielsweise bei Word-Dokumenten die Erweiterung .docx oder bei Word-Vorlagen .dotx. Man sieht: Viele Metadaten sind hinsichtlich Datenschutz und Informationssicherheit unkritisch. Aber: Manche können auch kritisch sein.




Nachteile von Metadaten


So praktisch sie sind, Metadaten haben nicht nur Vorteile. Sie sind einer der wesentlichen Kritikpunkte von Aufsichtsbehörden beispielsweise an Videokonferenzsystemen. Wenn diese in US-amerikanischen Rechenzentren verarbeitet werden, haben darauf US-amerikanische Behörden Zugriff, und das ist spätestens seit dem EuGH-Urteil zu Schrems II kritisch. Im Umkehrschluss gilt: Je allgemeiner man Metadaten formuliert, desto geringer sind die Gefahren für den Datenschutz.
Allerdings gehören zu den Metadaten auch die an der Kommunikation beteiligten Personen, das lässt sich nicht vermeiden. Aber diese Informationen lassen sich pseudonymisieren. So kann beispielsweise eine Mail-Adresse statt mit vollem Vornamen und Nachnamen so angelegt werden, dass nur befugte Personen den Namen zuordnen können.
Das Gemeine an Metadaten ist: Selbst wenn das Dokument vorbildlich verschlüsselt ist, seine Metadaten bleiben für gewöhnlich unverschlüsselt. So wird etwa die Betreff-Zeile einer E-Mail im Regelfall nicht chiffriert. Und selbst wenn sie, beispielsweise bei TLS-Verschlüsselung, auf dem Weg zwischen zwei Servern unkenntlich gemacht wird, so wird sie „nur“ auf dem Weg verschlüsselt und liegt auf den Servern jeweils offen. Metadaten werden also nicht konsequent geschützt, bleiben grundsätzlich einsehbar und können von Unbefugten genutzt werden.




Metadaten als kaum bekanntes Risiko


Metadaten sind unverzichtbar und fallen bei allen elektronischen Dokumenten an. Neben Mails und Dokumenten auch bei Fotos, Tondateien, Videos, Webseiten usw. Sie unterstützen die Verwaltung, Archivierung und insgesamt das Management der verarbeiteten Daten und informieren unter anderem über die Datenstruktur, die Dateigröße, das Dateiformat oder den Speicherort. Wenn die beteiligten beschäftigten Personen nicht vorsichtig damit umgehen, werden diese Informationen unkontrolliert weiterverbreitet.
Wissen das die beschäftigten Personen, die mit den Daten arbeiten? Angenommen, sie wissen es nicht, und davon kann man in der Regel ausgehen – wird das Thema in Schulungen angesprochen, reagieren jedenfalls die allermeisten überrascht, auch jene, die in Sachen Datenschutz alles richtig machen möchten. Für die Informationssicherheit bedeutet das, dass in vielen Fällen niemand genau weiß, welche Informationen da eigentlich an wen weitergegeben werden. Damit handelt es sich um ein zwar spezifizierbares, aber nicht spezifiziertes Risiko – also ein mutmaßlich unbestimmtes Risiko.




Metadaten und Datenschutz


In der Datenschutz-Grundverordnung verlangt der europäische Gesetzgeber angemessene technische und organisatorische Maßnahmen, um Schutzverletzungen personenbezogener Daten zu vermeiden.


„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Art. 32 Abs. 2 DSGVO



Wenn Metadaten in unbefugte Hände gelangen, sind mindestens die Schutzverletzungen Verlust, unbefugte Offenlegung und unbefugter Zugang zu personenbezogenen Daten betroffen. Außer wenn kein Risiko für Rechte und Freiheiten betroffener Personen zu erwarten ist, wird bei Schutzverletzungen eine Meldung der Datenpanne an die Aufsichtsbehörde fällig.

Zur Beruhigung: Ganz so schnell schießen die Preußen nicht. Es käme auf einen Versuch an, einmal bei der Aufsichtsbehörde eine Meldepflicht wegen einer versendeten Schutzstufe-D-Information in einer Betreffzeile abzugeben. Und das möglicherweise am 1. April. Wer traut sich?
Aber Aprilscherze beiseite. Bei Metadaten heißt es aufpassen. Kompromittierende Angaben in offenen Metadaten wie der Betreffzeile oder dem Titel einer Videokonferenz sind ratsamerweise zu vermeiden.





Tipps und Maßnahmen für sicheren Umgang mit Metadaten im Unternehmen


  • eine Zusammenstellung der wichtigsten Metadaten aus Programmen und elektronischen Dateien vornehmen
  • vermerken, welche Metadaten in den wichtigsten Anwendungen Nutzer beeinflussen können und wo Verletzungen von Datenschutz und Informationssicherheit drohen
  • sicherstellen, dass Nutzer erstens wissen, was Metadaten sind, und zweitens deren Risiken für Datenschutz und Informationssicherheit kennen
  • sicherstellen, dass Nutzer wissen, auf welche Metadaten von Dateien sie Einfluss haben
  • sicherstellen, dass Nutzer mit beeinflussbaren Metadaten verantwortungsvoll umgehen


Und die Kernfrage: Kennen beschäftigte Personen die Risiken von Metadaten und verwenden sie in angemessener Weise?

Wir wünschen sichere Metadaten!

Bei Datenschutz-Fragen Team Datenschutz fragen.



Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Mehr zum Thema

Serverraum
von Eberhard Häcker 7. Juni 2024
Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!
von Eberhard Häcker 27. März 2024
Ja, auch im Kalender kann es zu Datenlecks kommen. Viele Unternehmen nutzen Kalender wie Outlook, um Termine zu organisieren. Die Schattenseite: Heikle Infos wie Namen von Bewerbenden sind schnell für Unbefugte sichtbar - wenn die Einträge nicht geschützt sind. Schnell entstehen Vertraulichkeitsprobleme und Datenschutzverletzungen. Vorkehrungen helfen gegen Zwischenfälle. Wir geben Tipps.
Hände an der Tastatur eines Laptops
von Eberhard Häcker 30. Januar 2024
Wer eine E-Mail schreibt, kann aus Sicht der DSGVO Fehler machen. Ja, mit einer einzigen Mail kann sogar gleich eine ganze Reihe an Datenschutz-Verstößen passieren. Welche das sind, zeigt der aktuelle Datentipp – zusammen mit Hintergrundinfos und Tipps, um Datenpannen in geschäftlichen E-Mails zu verhindern.
Hand mit Smartphone und Apps
von Eberhard Häcker 17. Mai 2023
Mobile Apps auf Smartphones, Tablets & Co. sind in Unternehmen Alltag. Haben Sie den Umgang damit geregelt? Wenn Mitarbeitende beliebige Apps herunterladen und installieren können, wird es heikel für Datenschutz, Informationssicherheit und Compliance. Was hilft, ist ein Mobile Device Management mit klaren Regeln. Datenschutz-Experte Eberhard Häcker gibt Tipps.
von Eberhard Häcker 25. April 2023
Endlich die E-Mail-Flut bewältigen! 4 einfache Tipps schaffen Ordnung im Postfach, sorgen für mehr Datenschutz und sparen CO2. Jetzt im neuen Datentipp.
Laptop mit eingestecktem USB-Stick
von Eberhard Häcker 13. April 2023
Daten von USB-Sticks zu löschen, ist leicht. Oder nicht? „Löschen“ klicken oder „Entfernen“ drücken geht natürlich schnell und einfach. Nur gelöscht sind die Daten damit noch lange nicht. Datenschutz-Profi Eberhard Häcker hat Tipps, wie man Daten zuverlässig und DSGVO-gerecht von Speichersticks löscht.
von Team Datenschutz 24. März 2023
Kaum mehr ein Unternehmen arbeitet ohne Cloud-Anwendungen. Microsoft OneDrive, Google Drive, Amazon Web Services sind nur wenige Beispiele. Was sollten Unternehmen im Umgang mit Cloud-Computing wissen? Welche technischen Herausforderungen bringt es mit sich und was ist in Sachen Datenschutz zu beachten?
Mitarbeiter mit Tablet, Smartphone und Kaffeetasse
von Eberhard Häcker 20. Januar 2023
In der modernen Arbeitswelt ist es völlig normal, dass mobile Geräte wie Smartphone und Tablet auch geschäftlich zum Einsatz kommen. Das bringt Risiken mit sich, die sich mit den richtigen Regelungen erheblich mindern lassen. Datenschutz-Profi Eberhard Häcker erklärt die Hintergründe und gibt Tipps.
Smartphone mit Social-Media-Apps wie YouTube, Twitter, WhatsApp, Instagram und mehr
von Team Datenschutz 8. November 2021
Die neue Rechtslage nach dem TTDSG jetzt im Webinar! Speaker Eberhard Häcker mit Lösungsansätzen und vielen Praxisbeispielen und Erfahrungen aus dem Datenschutzalltag. Anmelden!
Erde mit verknüpften Daten
von Team Datenschutz 19. August 2021
Sind in PowerPoint-Dateien dynamisch Excel-Daten verknüpft, kann es bei der Weitergabe zu Datenpannen kommen. Tipps, wie man sich wappnet.
von Team Datenschutz 22. Dezember 2024
Weihnachtszeit ist eine ganz besondere Zeit voller Vorfreude auf die Feiertage. Aber leider ist sie für viele auch eine sehr hektische Zeit, Projekte müssen abgeschlossen werden und es gibt so viel vorzubereiten. Schnell kommt sogar der nette Austausch mit den Kollegen zu kurz. Darum erzählt Eberhard wieder eine weihnachtliche Geschichte über ein Unternehmen im größten Weihnachtsstress und was die Mitarbeitenden daraus gemacht haben …
von Team Datenschutz 21. Dezember 2024
In vielen Unternehmen gibt es „Lost places“ – diese ominösen Orte, die oft ein bisschen vernachlässigt werden und wo sich im Lauf der Zeit allerlei ansammelt. Was sagt der Datenschutz dazu? DATSIPrUse wünscht sich eine Geschichte und Eberhard hat natürlich eine – und zwar darüber, dass Anstrengung in Sachen Datenschutz manchmal tatsächlich Früchte trägt …
von Team Datenschutz 20. Dezember 2024
In Unternehmen gibt es ja allerhand Regeln, an die sich die Mitarbeitenden halten sollen. DATSIPrUse interessiert sich für Richtlinien, Arbeitsanweisungen und andere Dokumente, damit alles reibungslos läuft. Wie regelt man das und wie findet man heraus, ob das alles auch klappt? Eberhard erklärt, was ein Qualitätsmanagementbeauftragter tut – und was sich die Kollegen so ausdenken, wenn der die Frau fürs Leben findet …
von Team Datenschutz 19. Dezember 2024
Heute schlüpfen Eberhard und DATSIPrUse in die Rolle von Detektiven. Ja, auch das zählt manchmal zum Job von Datenschutzbeauftragten. Denn wer Daten schützen will, sollte die Unterlagen im Unternehmen im Blick haben – auch, wenn sie aus unerfindlichen Gründen herrenlos geworden sind …
von Team Datenschutz 18. Dezember 2024
Drucker als unschuldig aussehende Datenspione? Unter manchen Umständen schon. DATSIPrUse denkt über moderne Drucker nach, vor allem die in der Produktion, und erfährt mehr über die Herausforderungen mit OT-Geräten. Aber Eberhard wäre nicht Eberhard, wenn er nicht gleich ein paar Tipps auf Lager hätte und natürlich die passende Geschichte …
von Team Datenschutz 17. Dezember 2024
Heute unterhalten sich Eberhard und DATSIPrUse über Drucker. Bei Druckern kann doch aus Datenschutzsicht nun wirklich nicht viel schiefgehen, oder? Leider doch. Eberhard erklärt, warum man auch bei Druckern aufpassen muss und wie man das am besten anfängt. Und dazu gibt’s natürlich eine weitere weihnachtliche Geschichte aus dem Datenschutzalltag!
von Team Datenschutz 16. Dezember 2024
Heute geht es um Besucher, die überhaupt nicht da sein dürften. Klappt das mit der Zutrittskontrolle? Wie gehen die Mitarbeitenden um mit jemandem, der sich unauffällig Zutritt verschaffen will? Hoffentlich sind alle aufmerksam und wissen, was zu tun ist. Eberhard macht das Ganze gleich mit einem praktischen Beispiel deutlich und DATSIPrUse lernt wieder etwas dazu!
von Team Datenschutz 15. Dezember 2024
In Unternehmen kann es zu Situationen kommen, in denen man den Strom komplett abschalten muss. Umgekehrt muss unter normalen Umständen die Stromversorgung gesichert sein, um dem Datenschutz gerecht zu werden. Da DATSIPrUse wieder mal neugierig ist und immer gerne Geschichten hört, erzählt Eberhard von einem Unternehmen, wo das mit der zentralen Stromversorgung so eine Sache war …
von Team Datenschutz 14. Dezember 2024
DATSIPrUse interessiert sich für die Zutrittskontrolle. Es darf ja schließlich nicht jeder einfach überall hinlaufen, oder? Darum gibt es Closed Shops, erklärt Eberhard, wo nur die hineinkommen, denen das erlaubt ist. Und dazu hat er gleich eine besonders spannende Geschichte. Denn in geschützte Bereiche zu kommen, ist vielleicht gar nicht so schwer, wie man sich das vorstellt …
Mehr anzeigen
Share by: