Zum Hauptinhalt springen

Kasperskys Ansatz bei der Datenverarbeitung

Kasperskys Ansatz bei der Verarbeitung von Nutzerdaten basiert auf dem Respekt und dem Schutz der Privatsphäre der Menschen sowie auf der Verpflichtung zu Transparenz und Verantwortlichkeit.

Das Hauptziel der Datenverarbeitung in unserem Unternehmen ist es, unseren Kunden die besten Cybersicherheitslösungen anzubieten. Um dieses Ziel zu erreichen, verarbeiten wir Daten im Allgemeinen zu drei Hauptzwecken: (a) Unterstützung wichtiger Produktfunktionen, (b) Steigerung der Leistung und Wirksamkeit der Schutzkomponenten und (c) Angebot verbesserter, besser geeigneter Lösungen für Kunden und Bereitstellung geeigneter Inhalte für diese. Weitere Einzelheiten finden Sie in unserer Datenschutzrichtlinie für Produkte und Services.

Um diese Ziele zu erreichen, müssen Daten nicht immer mit einer bestimmten Person verknüpft sein und können, wo immer möglich, anonymisiert werden. Kasperskys Maßnahmen zu diesem Zweck umfassen u.a. das Löschen von Kontodaten aus übertragenen URLs, das Ermitteln von Hash-Summen von Bedrohungen anstelle der genauen Dateien, das Verschleiern von Benutzer-IP-Adressen.

In den meisten Fällen können Nutzer von Kaspersky-Produkten wählen, ob sie dem Unternehmen personenbezogene Daten zur Verfügung stellen möchten, oder sie können je nach Funktionalität der Produkte, Dienste und Websites entscheiden, wie viele Daten sie bereitstellen möchten. Sie können auch davon absehen, Informationen direkt an Kaspersky zu übermitteln. 

Kaspersky stellt stets eindeutige Informationen zur Datenverarbeitung bereit – insbesondere die vollständige Liste der Daten, die verarbeitet werden, damit Kunden fundierte Entscheidungen treffen können. Kaspersky überprüft ständig die Art der Daten, die von seinen Lösungen verarbeitet werden, um die Privatsphäre seiner Kunden zu schützen und die neuesten gesetzlichen Anforderungen zu erfüllen.

Alle verarbeiteten und/oder übertragenen Daten werden durch Verschlüsselung, digitale Zertifikate, separate Speicherung, strenge Zugriffsrichtlinien und weitere Methoden zuverlässig geschützt. Das Unternehmen wendet außerdem das Secure Software Development Framework (SSDF) an und führt Kontrollen des Risikomanagements in der Lieferkette ein, um seine Infrastruktur und Systeme für die Datenverarbeitung zu sichern.

Alle sechs Monate veröffentlichen wir in unserem Transparenzbericht Informationen darüber, wie viele Datenanfragen wir von unseren Nutzern erhalten und bearbeitet haben.




Verarbeiten Sie personenbezogene Daten?

Gemäß einigen rechtlichen Rahmenbedingungen (wie der DSGVO) können die von Kaspersky verarbeiteten Informationen Daten enthalten, die als personenbezogene oder personenbezogene Daten angesehen werden können. Kaspersky-Produkte verarbeiten niemals "sensible" personenbezogene Daten der Kunden wie Religion, politische Ansichten, sexuelle Vorlieben, Gesundheit oder andere besondere Kategorien personenbezogener Daten.

Wenn die Verarbeitung personenbezogener Daten zur Erreichung der Ziele der Produkte oder Dienstleistungen erforderlich ist, analysiert Kaspersky sorgfältig die Zwecke, die Zusammensetzung und die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten im Hinblick auf das geltende Recht. Die verarbeiteten personenbezogenen Daten entsprechen stets den Zwecken der Verarbeitung; unsere Produkte oder Dienstleistungen erheben oder verarbeiten keine übermäßigen personenbezogenen Daten. Darüber hinaus stellt Kaspersky stets alle relevanten Informationen zur Datenverarbeitung zur Verfügung – insbesondere die vollständige Liste der Daten, die verarbeitet werden, um sicherzustellen, dass die Kunden stets auf dem Laufenden sind und fundierte Entscheidungen treffen können. Einzelheiten zu den verarbeiteten Daten finden Sie in der Endbenutzer-Lizenzvereinbarung (EULA), der Erklärung zum Kaspersky Security Network (KSN), der Datenschutzerklärung von Kaspersky für Websites und Webdienste sowie in anderen bereitgestellten Dokumenten, die je nach Produkt oder Dienstleistung unterschiedlich sind. Die von uns erhobenen und verarbeiteten Daten werden in Form von zusammenfassenden Statistiken verwendet und sind nicht einer bestimmten Person zuzuordnen, da sie soweit möglich anonymisiert werden.

Welche Daten werden verarbeitet?

Jeder moderne IT-Dienst erfordert die Verarbeitung großer Datenmengen, um effizient zu funktionieren. Die Zusammensetzung der verarbeiteten Daten hängt vom jeweiligen Produkt oder der jeweiligen Dienstleistung ab. Als weltweit führendes Unternehmen im Bereich Cybersicherheit kann Kaspersky verschiedene Daten und Statistiken im Zusammenhang mit Cyberbedrohungen verarbeiten. Die Daten zu Cyberbedrohungen umfassen verdächtige und bösartige Dateien sowie Statistiken, anhand derer sowohl bereits bekannte IS-Bedrohungen als auch neue Malware und Angriffsmethoden identifiziert werden können. Diese Statistiken werden auch als Meta-Informationen bezeichnet – ergänzende technische Informationen zu Ereignissen, die auf dem Computer eines Benutzers aufgetreten sind und die unsere Produkte in Abhängigkeit von verschiedenen Faktoren senden können: z. B. Benutzeraktivitäten, Einstellungen von Kaspersky-Produkten, Konfiguration des Betriebssystems, auf dem ein Kaspersky-Produkt installiert ist, und andere auf dem System installierte Software. Einzelheiten zu allen verarbeiteten Daten finden Sie in der Endbenutzer-Lizenzvereinbarung (EULA), der Erklärung zum Kaspersky Security Network (KSN) und anderen Dokumentationen, die je nach Produkt oder Dienstleistung unterschiedlich sind.

Wie schützen Sie Nutzerdaten?

Die Sicherheit und der Schutz von Benutzerdaten haben für Kaspersky oberste Priorität. Das Unternehmen verfolgt einen vielschichtigen Ansatz, um potenzielle Risiken zu minimieren. Kaspersky verfügt über eine ausgereifte Richtlinie zur Sicherheitsverwaltung, die von einer speziellen Abteilung für Informationssicherheit umgesetzt wird. Diese Abteilung ist für die Umsetzung der Sicherheitsrichtlinie und -strategie des Unternehmens verantwortlich und führt eine kontinuierliche Überwachung der Sicherheitsleistung sowie eine Bewertung der Wirksamkeit der Sicherheitsprozesse durch.

Die Benutzerdaten werden durch moderne Schutzalgorithmen geschützt. Das Unternehmen gewährleistet die Netzwerk- und Zugriffssicherheit, um unbefugten Zugriff auf Benutzerdaten zu verhindern, und kontrolliert streng den physischen Zugriff auf seine Dateninfrastruktur, die durch Überwachungs- und Alarmsysteme gesichert ist. Die allgemeine Sicherheit der Netzwerke und Systeme des Unternehmens wird durch Maßnahmen wie kontinuierliches Asset-Management, einen ganzheitlichen Prozess für Risiko- und Schwachstellenmanagement, regelmäßige Konformitätsprüfungen und fortlaufende Mitarbeiterschulungen gewährleistet, ist jedoch nicht auf diese beschränkt. Weitere Informationen darüber, wie wir Ihre Privatsphäre und Ihre Daten schützen, finden Sie in der Datenschutzerklärung für Produkte und Dienstleistungen von Kaspersky.

Wie werden die verarbeiteten Daten anonymisiert?

Kaspersky nimmt den Datenschutz der Nutzer sehr ernst. Das Unternehmen ergreift die folgenden Maßnahmen zur Anonymisierung verarbeiteter Daten:

  • Ein mehrschichtiger Ansatz, der den Schutz verbessert und das Risiko einer erneuten Identifizierung verringert: Kombination von Techniken wie Generalisierung, Randomisierung und differentieller Privatsphäre.
  • Entfernen aller direkten Identifikatoren (z. B. Namen, ID-Nummern) aus verarbeiteten Daten (z. B. URLs, Dateien usw.);
  • Die Informationen werden in Form von anonymisierten und zusammenfassender Statistiken verarbeitet und nicht bestimmten Personen zugeordnet.
  • Um eine Verknüpfung anonymisierter Daten mit anderen Datensätzen zu verhindern, die eine erneute Identifizierung von Personen ermöglichen könnten, werden die Daten auf separaten Servern gespeichert, für die strenge Richtlinien hinsichtlich der Zugriffsrechte gelten.
  • Bei der Verarbeitung potenzieller Bedrohungsdaten verwenden wir Hash-Summen, bei denen es sich um mathematische Einwegfunktionen handelt, die eine eindeutige Dateikennung liefern.
  • Dokumentation und regelmäßige Überprüfung der Anonymisierungsprozesse.

Wo speichert Kaspersky Daten?

Kaspersky ist ein weltweit tätiges Unternehmen, und unsere Infrastruktur für die Datenverarbeitung ist über den gesamten Globus verteilt (z. B. in der Schweiz, in Deutschland, Russland, Kanada usw.). Dies ermöglicht eine schnellere Verarbeitung von Informationen und garantiert die Verfügbarkeit der Server, falls einer von ihnen aus irgendeinem Grund ausfallen sollte. Die detaillierte Liste der Länder, in denen personenbezogene Daten verarbeitet werden können, finden Sie in den offiziellen Richtlinien von Kaspersky, einschließlich der Datenschutzrichtlinie für Produkte und Dienstleistungen.

Im Rahmen unserer Global Transparency Initiative (GTI) hat Kaspersky einen Teil seiner Datenverarbeitungsinfrastruktur verlegt. Bösartige und verdächtige Dateien, die von Benutzern von Kaspersky-Produkten in Europa, Nord- und Lateinamerika, dem Nahen Osten und mehreren Ländern im asiatisch-pazifischen Raum freiwillig weitergegeben werden, werden in zwei Rechenzentren in Zürich, Schweiz, verarbeitet. Diese Zentren bieten erstklassige Einrichtungen, die den führenden Sicherheitsstandards entsprechen. Darüber hinaus gehört die Schweiz zu den wenigen Ländern, die einen Angemessenheitsbeschluss mit der EU getroffen haben, was bedeutet, dass das Land von der Europäischen Kommission für den angemessenen Schutz personenbezogener Daten anerkannt wurde.

Was ist das Kaspersky Security Network?

Das Kaspersky Security Network (KSN) ist eines der zentralen Cloud-Systeme von Kaspersky. Es wurde eingerichtet, um die Effektivität der Entdeckung neuer und unbekannter Cyberbedrohungen zu maximieren und damit Nutzern den schnellsten und wirksamsten Schutz zu gewährleisten. KSN verarbeitet automatisch Daten zu Cyberbedrohungen, die von Millionen von Geräten von Kaspersky-Nutzern empfangen werden, die sich für die Verwendung dieses Systems entschieden haben. Dieser Ansatz auf Basis eines Cloud-orientierten Systems ist mittlerweile Branchenstandard und wird von vielen Cybersicherheitsanbietern in aller Welt angewendet.

Was ist ein „Cloud“-basiertes System'?

Dies ist ein System, dass anstatt direkt auf dem Gerät eines Benutzers auf den Servern eines Unternehmens läuft und über das Internet von praktisch überall aus genutzt werden kann. Beispiele für Cloud-Systeme sind E-Mail, File-Sharing und File-Hosting. Die Dienste des Kaspersky Security Network befinden sich in verschiedenen Ländern weltweit (Kanada, Deutschland, Schweiz, Russland usw.), wodurch eine schnellere Verarbeitung von Informationen ermöglicht und die Serververfügbarkeit gewährleistet wird, falls einer der Server ausfallen sollte.

Warum Cloud-basierter Schutz?

Kaspersky hält ein hybrides Schutzmodell (Antiviren-Datenbanken + proaktive Abwehr + Cloud) für das effektivste.

Die hohe Leistungsfähigkeit der Sicherheits-Cloud ermöglicht es uns, Cyberbedrohungen schneller und genauer zu analysieren. Während der herkömmliche Aktualisierungszyklus von Antiviren- und Anti-Phishing-Datenbanken in der Regel mehrere Stunden dauert, kann die Cloud den Benutzern innerhalb von Minuten Schutz vor einer neuen Bedrohung bieten.

Durch die Nutzung der Cloud werden die Sicherheitsprodukte außerdem „schlanker“, weil sie nicht mehr so viel Arbeitsspeicher und Ressourcen auf dem Benutzergerät belegen.

Kann die Datenverarbeitung begrenzt werden?

Unsere Kunden können wählen, ob und wie viele Daten sie bereitstellen möchten, basierend auf der Funktionalität des Produkts oder der Dienstleistung, die sie nutzen möchten, und den jeweils akzeptierten Vereinbarungen. Kaspersky stellt stets Informationen zur Datenverarbeitung bereit – insbesondere die vollständige Liste der Daten, die verarbeitet werden, damit Kunden fundierte Entscheidungen treffen können. Außerdem veröffentlicht Kaspersky regelmäßig in seinem Transparenzbericht Informationen darüber, wie viele Datenanfragen von unseren Nutzern eingegangen sind und bearbeitet wurden. Den aktuellen Bericht finden Sie hier.

Bei einigen Unternehmensprodukten können unsere Kunden ihre Lösungen so konfigurieren, dass überhaupt keine Daten weitergegeben werden, und sie können ihr Recht auf Zugang zu ihren verarbeiteten personenbezogenen Daten ausüben, indem sie sich direkt an uns wenden unter https://support.kaspersky.com/general/privacy.

Geben Sie personenbezogene Daten, die von Kaspersky Solutions verarbeitet werden, an Dritte weiter?

Wir gewähren Dritten oder staatlichen Organisationen niemals Zugang zur Infrastruktur des Unternehmens, einschließlich der Infrastruktur für Benutzerdaten.

Kaspersky kann Daten im Rahmen von Datenverarbeitungsvereinbarungen mit seinen Lieferanten an diese weitergeben. Bei der Auswahl solcher Anbieter kontrollieren wir sorgfältig die Einhaltung der gesetzlichen Anforderungen und unsere Vorgehensweisen bei der Datenverarbeitung. Diese Anbieter stellen uns beispielsweise Cloud-Speicher und andere relevante Dienste zur Verfügung.

Kaspersky arbeitet auch mit internationalen Strafverfolgungsbehörden zusammen und gibt ihnen Informationen weiter, die für die Untersuchung von Cyberverbrechen erforderlich sind.  Das Unternehmen hat diese Kontakte offen kommuniziert und in seinen Transparenzberichten Daten zu eingehenden Anfragen von Strafverfolgungsbehörden nach Nutzerdaten und technischem Fachwissen veröffentlicht.

Diese Berichte beschreiben auch die Grundprinzipien des Unternehmens bei der Beantwortung von Anfragen globaler Regierungs- und Strafverfolgungsbehörden und erläutern unser mehrstufiges Verfahren zur Bewertung jeder eingegangenen Anfrage.  Daher durchlaufen alle eingehenden Anfragen nach Benutzerdaten eine obligatorische rechtliche Überprüfung, bei der wir sicherstellen, dass die Anfragen rechtlich gerechtfertigt sind, in Übereinstimmung mit den geltenden Gesetzen gestellt wurden und so umgesetzt werden können, dass die Sicherheit oder Privatsphäre der Kaspersky-Nutzer nicht beeinträchtigt wird. 

Haben Sie Ihre Datenverarbeitungsmethoden zertifiziert?

Um zu bestätigen, dass das Unternehmen die höchsten Sicherheitsstandards für unsere Nutzer anwendet, werden die Datendienste von Kaspersky regelmäßig Sicherheitsprüfungen und -bewertungen durch Dritte unterzogen. Insbesondere wurden die Datendienste des Unternehmens nach ISO 27001 zertifiziert und 2022 mit erweitertemGeltungsbereich rezertifiziert, sodass nun sowohl Datendienste zur Verarbeitung von Daten im Zusammenhang mit Cyberbedrohungen als auch von Statistiken von der Zertifizierung abgedeckt sind. Die Zertifizierung gilt für die Datendienste des Unternehmens in Rechenzentren in Zürich, Frankfurt, Toronto, Moskau und Peking. Die Konformität mit ISO/IEC 27001:2013 – international anerkannt als Best Practice der Branche und geltender Sicherheitsstandard – bildet den Kern des Ansatzes von Kaspersky zur Implementierung und Verwaltung der Informationssicherheit. Die Zertifizierung, die von einer unabhängigen akkreditierten Zertifizierungsstelle erteilt wurde, belegt unser Engagement für strenge Informationssicherheit und zeigt, dass der Datenservice von Kaspersky den branchenweit führenden Best Practices entspricht. Der Abschlussbericht zur Rezertifizierung wird unseren Firmenkunden und Partnern auf Anfrage zur Verfügung gestellt.