Zum Inhalt springen

Sascha Kuhrau

Ja, is’ denn heut’ schon Weihnachten

Lie­be Lese­rIn­nen unse­res Blogs!

Noch nicht ganz, aber die Fei­er­ta­ge ste­hen prak­tisch vor der Tür. Die Abwe­sen­heits­no­ti­zen in den Post­fä­chern kün­di­gen bereits an, dass vie­le erst im neu­en Jahr wie­der erreich­bar sind. Und das ist auch gut so.

Wenn wir auf das fast ver­gan­ge­ne Jahr zurück­bli­cken, mag es nicht unbe­dingt als High­light in die Geschichts­bü­cher ein­ge­hen: Der Krieg in der Ukrai­ne geht wei­ter. In den USA deu­tet sich ein poli­tisch bri­san­tes Sze­na­rio an. In Deutsch­land gibt es poli­ti­sche und wirt­schaft­li­che Her­aus­for­de­run­gen, und vie­le Men­schen sor­gen sich um ihre Zukunft. Die Nach­rich­ten­la­ge scheint oft erdrü­ckend, und schlech­te Nach­rich­ten wir­ken manch­mal wie ein nicht enden wol­len­der Strom.

Doch ist die Welt wirk­lich schlech­ter gewor­den? Oder erscheint sie uns durch die all­ge­gen­wär­ti­ge Bericht­erstat­tung und den Fokus auf nega­ti­ve Schlag­zei­len nur so? Moder­ne Medi­en, sozia­le Netz­wer­ke und Algo­rith­men ver­stär­ken die­se Wahr­neh­mung zusätz­lich. Aber was wäre, wenn wir uns bewusst für einen ande­ren Blick­win­kel entscheiden?

Eine kur­ze Suche bei Bing ergab Inter­es­san­tes: „Schlech­te Nach­rich­ten 2024“ lie­fer­te etwa 306.000 Ergeb­nis­se, „Gute Nach­rich­ten 2024“ sogar 440.000. Natür­lich ist das kein wis­sen­schaft­li­cher Beleg, aber es zeigt, dass posi­ti­ve Ent­wick­lun­gen durch­aus exis­tie­ren – sie fin­den nur oft weni­ger Beachtung.

Fried­rich Schil­ler soll gesagt haben: „Die wah­ren Opti­mis­ten sind nicht über­zeugt, dass alles gut­ge­hen wird. Aber sie sind über­zeugt, dass nicht alles schief­ge­hen wird.“ Viel­leicht liegt hier­in ein Schlüs­sel: Das Nega­ti­ve nicht aus­zu­blen­den, ihm aber auch nicht die allei­ni­ge Büh­ne zu über­las­sen. War­um nicht bewusst das Posi­ti­ve würdigen?

Im geschäft­li­chen wie pri­va­ten Umfeld nei­gen wir oft dazu, Pro­ble­me oder Miss­ge­schi­cke in den Mit­tel­punkt zu stel­len. Erfolg und Fort­schritt blei­ben dabei manch­mal uner­wähnt. Wann haben wir zuletzt jeman­den für etwas gelobt? Oder uns über die klei­nen Freu­den des Lebens aus­ge­tauscht? Viel­leicht ist jetzt genau die rich­ti­ge Zeit dafür.

Die kom­men­den Fei­er­ta­ge bie­ten eine beson­de­re Gele­gen­heit: Zeit, um mit den Men­schen, die uns wich­tig sind, posi­ti­ve Erleb­nis­se des Jah­res zu tei­len und Ener­gie für die Her­aus­for­de­run­gen des neu­en Jah­res zu sammeln.

Wir wün­schen Ihnen und Ihren Lie­ben eine besinn­li­che Zeit vol­ler schö­ner Momen­te und High­lights – in den Fei­er­ta­gen, „zwi­schen den Jah­ren“ und beim Start ins neue Jahr. Herz­li­chen Dank für Ihre Lese­zeit unse­res Blogs in die­sem Jahr. Wir freu­en uns dar­auf, 2025 gemein­sam mit Ihnen neue posi­ti­ve Schrit­te in Sachen Daten­schutz und Infor­ma­ti­ons­si­cher­heit zu gestal­ten bzw. dar­über zu berichten.

Herz­li­che und weih­nacht­li­che Grüße
vom gan­zen a.s.k. Team

PS: Statt in papier­haf­te Weih­nachts­kar­ten zu inves­tie­ren, haben wir für das Pro­jekt “Essen für Vie­le — Mahl­zei­ten für die Ukrai­ne” gespendet.

Ver­weis auf § 5 Tele­me­di­en­ge­setz im Impressum

Schau­en Sie mal auf Ihre Web­sei­te und dort genau­er ins Impres­sum. Steht da noch was von “Pflicht­an­ga­ben gemäß § 5 Tele­me­di­en­ge­setz (TMG)” oder ähn­li­ches? Dann hur­tig weg damit bezie­hungs­wei­se geän­dert. Warum?

Das Tele­me­di­en­ge­setz ist seit dem 14.05.2024 Geschichte

An Stel­le des § 5 TMG ist nun der § 5 DDG (Digi­ta­le-Diens­te-Gesetz) getre­ten. Inhalt­lich hat sich nichts geän­dert. Aber der Bezug in Ihrem Impres­sum stimmt halt nicht mehr seit Mai 2024. Das ist erst mal kein Dra­ma, sofern die Pflicht­an­ga­ben kor­rekt benannt sind. Es zeigt aber jedem Besu­cher, auch den Auf­sichts­be­hör­den, dass es mit der Pfle­ge der Inhal­te und Rechts­an­for­de­run­gen auf Ihrer Web­sei­te nicht zum Bes­ten bestellt ist. Das bedeu­tet, die Visi­ten­kar­te bzw. das Aus­hän­ge­schild Ihrer Orga­ni­sa­ti­on ist schon feh­ler­haft. Kein guter ers­ter Eindruck.

Gesetz nen­nen oder nicht?

Nir­gend­wo steht, dass das Gesetz kon­kret benannt wird, aus dem her­aus Sie auf Ihrer Web­sei­te die­se Pflicht­an­ga­ben täti­gen. Die Pflicht­an­ga­ben ste­hen im Vor­der­grund, nicht das Gesetz. Von daher kön­nen Sie die Anga­be “… gemäß § 5 DDG” auch ein­fach weg­las­sen. Das spart bei der nächs­ten Geset­zes­än­de­rung die Zeit für die Über­ar­bei­tung. Und die nächs­te Ände­rung wird kom­men. Irgendwann 🙂

Daten­schutz: Büro­kra­ti­sches Mons­ter oder Ihr neu­er bes­ter Freund?

Ach, der Daten­schutz – von vie­len als büro­kra­ti­sches Unge­tüm ver­schrien, das nur dazu dient, uns mit end­lo­sen For­mu­la­ren und läs­ti­gen Vor­schrif­ten zu quä­len. Aber was wäre, wenn wir Ihnen sagen, dass Daten­schutz nicht Ihr Feind, son­dern Ihr Ver­bün­de­ter ist? Ja, rich­tig gehört! Daten­schutz kann Ihrer Orga­ni­sa­ti­on nicht nur hel­fen, son­dern sie sogar stärken.

Doch Vor­sicht: Wer glaubt, sich den Daten­schutz ein­fach spa­ren zu kön­nen, weil er kei­nen Daten­schutz­be­auf­trag­ten benen­nen muss, soll­te noch­mal tief durch­at­men. Denn der Auf­wand ver­schwin­det damit nicht – er wird oft sogar grö­ßer. War­um? Das erklä­ren wir Ihnen gleich.

War­um Daten­schutz immer hilft – mit oder ohne Beauftragten

1. Ver­trau­en ist die hal­be Miete

Stel­len Sie sich vor, Ihre Kun­den, Bür­ger und Geschäfts­part­ner wis­sen, dass ihre Daten bei Ihnen sicher sind. Sie behan­deln sie mit der Sorg­falt eines Biblio­the­kars, der sei­ne wert­volls­ten Bücher hütet. Die­ses Ver­trau­en führt zu treu­en Kun­den und einer Repu­ta­ti­on, die glänzt wie frisch polier­tes Sil­ber. Aber ohne Daten­schutz­pro­fi an Bord? Nun, das Ver­trau­en könn­te lei­den, wenn nie­mand da ist, der den Über­blick behält oder weiß, was zu tun ist.

2. Cyber­kri­mi­nel­le? Nicht mit uns!

Soli­de Daten­schutz­maß­nah­men schüt­zen vor den fins­te­ren Machen­schaf­ten der Cyber­kri­mi­nel­len. Daten­pan­nen sind teu­er und pein­lich – ein Daten­schutz­be­auf­trag­ter sorgt dafür, dass Ihre tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men auf dem neu­es­ten Stand blei­ben. Ohne ihn? Viel Glück, die Cyber­an­grif­fe kom­men trotz­dem. Von inter­nen orga­ni­sa­to­ri­schen Daten­schutz­ver­let­zun­gen — ganz ohne exter­nes Zutun — ganz zu schweigen.

3. Ein Schritt vor­aus im Wettbewerb

Orga­ni­sa­tio­nen mit vor­bild­li­chen Daten­schutz­maß­nah­men heben sich von der Kon­kur­renz ab. Ein Daten­schutz­be­auf­trag­ter bringt das Know-how, das Sie brau­chen, um den Daten­schutz stra­te­gisch als Wett­be­werbs­vor­teil zu nut­zen. Ohne die­se Exper­ti­se bleibt oft nur das Prin­zip Hoff­nung. Hof­fen, dass kei­ne Daten­schutz­ver­let­zung oder Mel­dung eines Betrof­fe­nen die eige­ne Orga­ni­sa­ti­on in den Fokus der Daten­schutz­auf­sicht rückt,

4. Effi­zi­enz durch Ordnung

Daten­schutz ver­langt kla­re Struk­tu­ren – und genau hier spielt ein Daten­schutz­be­auf­trag­ter oder exter­ner Daten­schutz­be­ra­ter eine ent­schei­den­de Rol­le. Er kennt die Pro­zes­se, hilft bei der Opti­mie­rung und sorgt dafür, dass Sie nicht im Cha­os ver­sin­ken. Fehlt die­se zen­tra­le Figur, müs­sen sich ande­re Mit­ar­bei­ten­de dar­um küm­mern – oft ohne die nöti­ge Exper­ti­se und neben­bei. Wo ja eh alle schon über zu viel Leer­lauf im Job klagen.

5. Gut geschul­te Mitarbeiter

Daten­schutz­schu­lun­gen? Die orga­ni­siert nor­ma­ler­wei­se der Daten­schutz­be­auf­trag­te. Wenn er fehlt, wer über­nimmt das? Genau – wahr­schein­lich nie­mand, oder jemand ohne Erfah­rung. Das Ergeb­nis: Unsi­cher­heit, mehr Feh­ler, und der Daten­schutz wird schnell zum Spiel mit der hei­ßen Kartoffel.

6. Buß­gel­der? Nein, danke!

Die Ein­hal­tung von Daten­schutz­ge­set­zen schützt vor Stra­fen. Ein Daten­schutz­be­auf­trag­ter sorgt dafür, dass die Vor­ga­ben nicht nur bekannt, son­dern auch umge­setzt wer­den. Ohne ihn bleibt die Ver­ant­wor­tung bei Ihnen – und das Risi­ko, etwas zu über­se­hen, steigt erheb­lich. Nicht unser Lieb­lings­ar­gu­ment, aber den­noch ein nicht unbe­deu­ten­der Aspekt.

Ohne Daten­schutz­be­auf­trag­ten? Der Auf­wand steigt!

Vie­le Orga­ni­sa­tio­nen freu­en sich, wenn sie kei­nen Daten­schutz­be­auf­trag­ten benen­nen müs­sen – ver­meint­lich weni­ger Büro­kra­tie, weni­ger Auf­wand, weni­ger Kos­ten. Diver­se Inter­es­sens­ver­bän­de und die Stamm­tisch­po­li­tik gie­ßen die­ser Fehl­an­sicht auch noch Öl ins Feu­er. Aber die Rea­li­tät sieht anders aus:

  • Feh­len­de Exper­ti­se: Ein Daten­schutz­be­auf­trag­ter kennt die Geset­ze, weiß, wie sie anzu­wen­den sind, und behält den Über­blick. Ohne ihn müs­sen sich Mit­ar­bei­ten­de ohne Spe­zi­al­wis­sen durch die Vor­ga­ben kämp­fen – ein deut­lich grö­ße­rer Zeit- und Ressourcenaufwand.
  • Unkla­re Ver­ant­wort­lich­kei­ten: Daten­schutz bleibt eine Pflicht, auch ohne Beauf­trag­ten. Doch wer küm­mert sich dann? Oft wird die Ver­ant­wor­tung auf meh­re­re Schul­tern ver­teilt, was die Abstim­mung erschwert und Feh­ler wahr­schein­li­cher macht.
  • Teu­re Nach­bes­se­run­gen: Wenn Daten­schutz nicht von Anfang an rich­tig umge­setzt wird, dro­hen spä­ter hohe Kos­ten für Kor­rek­tu­ren — sei es durch Buß­gel­der, Kun­den­ver­lust oder Image­schä­den. Ein Beauf­trag­ter sorgt dafür, dass es gar nicht erst soweit kommt. Sofern man ihn — wie vom Gesetz­ge­ber gefor­dert und gewünscht — früh­zei­tig in geplan­te Ände­run­gen und Neue­run­gen einbindet.

Fazit: Ein Daten­schutz­be­auf­trag­ter ist kein Luxus – aber er ist Gold wert!

Daten­schutz ist kein büro­kra­ti­sches Mons­ter, son­dern ein stra­te­gi­sches Instru­ment, das Ihr Unter­neh­men und Ihre Kom­mu­ne schützt und stärkt. Doch ohne Daten­schutz­be­auf­trag­ten feh­len oft die Exper­ti­se und die Struk­tur, die nötig sind, um die­se Vor­tei­le zu rea­li­sie­ren. Der Auf­wand ver­schwin­det nicht, wenn man den Beauf­trag­ten weg­lässt – er wird nur inef­fi­zi­en­ter ver­teilt. Und glau­ben Sie uns: Nie­mand spart lang­fris­tig, indem er die zen­tra­le Per­son aus der Glei­chung streicht. Klei­ner mathe­ma­ti­scher Beweis: Streicht man den Daten­schutz­be­auf­trag­ten im Gesetz, wür­den in der DSGVO 3 von 99 Arti­kel und im BDSG 1 von 86 Para­gra­phen ent­fal­len. Unter Strich blei­ben also noch 96 + 85 Arti­kel und Para­gra­phen, die den­noch durch Orga­ni­sa­tio­nen zu beach­ten sind. Und da steckt die eigent­li­che “Musik” (popu­lis­tisch ger­ne als Büro­kra­tie bezeich­net) drin. Mit Weg­fall des Daten­schutz­be­auf­trag­ten schickt man ledig­lich den Lot­sen von Bord, der den siche­ren Weg — selbst im dich­tes­ten Büro­kra­tie-Nebel — noch kennt.

Also: Daten­schutz­be­auf­trag­ter oder nicht – der Daten­schutz bleibt, und mit ihm die Chan­cen, die er bie­tet. Nut­zen Sie sie! Alter­na­tiv kön­nen Sie uns auch als exter­ne Daten­schutz Bera­ter beauf­tra­gen, wenn kei­ne Pflicht zur Benen­nung eines Daten­schutz­be­auf­trag­ten für Ihre Orga­ni­sa­ti­on besteht. Man­gels Inter­es­sens­kon­flik­ten, denen der DSB oft unter­liegt, kön­nen wir Sie und Ihre Orga­ni­sa­ti­on sogar noch umfas­sen­der mit Rat und Tat betreu­en und unterstützen.

„1+1+1=1“ — Stimmt nicht! — Doch!

Natür­lich haben die Mathe­ma­ti­ker unter den Lesern Recht. Aller­dings geht es hier nicht um Mathe, son­dern um Pro­zess­ma­nage­ment. Was das nun wie­der mit Daten­schutz oder Infor­ma­ti­ons­si­cher­heit zu tun hat? Ein­fach weiterlesen.

Seit unge­fähr 3 Jah­ren machen wir regel­mä­ßig stets die sel­be Erfah­rung bzw. erhal­ten stets die sel­ben Ant­wor­ten auf eine bestimm­te Fra­ge. Wie die­se lau­tet? Eigent­lich ganz tri­vi­al. „Wie­so gibt es eigent­lich bei Ihnen im Haus 3 Pro­zes­se für die Mel­dung von IT-Stö­run­gen, von Daten­schutz­ver­let­zun­gen und von Sicher­heits­vor­fäl­len?“ Der geneig­te Leser erkennt sofort, hier tref­fen die drei The­men IT-Betrieb (bzw. IT-Ser­vice­ma­nage­ment), Daten­schutz und Infor­ma­ti­ons­si­cher­heit zusam­men. Doch wer­fen wir erst mal einen Blick auf die übli­chen Antworten.

Die IT durch­aus so (nicht immer, aber durch­aus anzu­tref­fen): „Wir haben dafür gar kei­nen Pro­zess. Bei uns kann jeder eine Stö­rung mel­den, wie er oder sie will. Per Tele­fon, per Email, per Ticket­sys­tem (sofern vor­han­den) oder per Turn­schuh (also vor der Tür zur Abtei­lung ste­hen und anklopfen).“

Der oder die Daten­schutz­be­auf­trag­te so: „Ich brau­che einen eige­nen Pro­zess wegen DSGVO.“ Selt­sa­mer­wei­se fin­det sich dazu gar nix im Geset­zes­text, aber was wis­sen wir schon.

Und dann bleibt dem oder der ISB nur noch das Ach­sel­zu­cken. Denn noch ein drit­ter Mel­de­weg ist meist nicht gewünscht.

Ab in den Helikopter

Was jetzt die­ses Flug­ge­rät mit Pro­zes­sen zu tun hat? Ganz ein­fach. Wir wech­seln mal in die sog. Heli­ko­pter- oder Vogel-Per­spek­ti­ve. Sprich wir ver­las­sen kurz die Wid­rig­kei­ten des All­tags, genie­ßen die Höhen­luft samt Aus­blick und rich­ten nach einer Wei­le des Kopf­frei­be­kom­mens den Blick nach unten auf unse­re Orga­ni­sa­ti­on. Aber nicht nur nach unten, son­dern auf die idea­ler­wei­se vor­han­de­nen Pro­zes­se der IT und des Datenschutzbeauftragten.

Der IT-Ser­vice­ma­nage­ment-Pro­zess Störung

Irgend­was geht nicht mit der Tech­nik am Arbeits­platz eines Mit­ar­bei­ters. Sei es Hard­ware oder Soft­ware, irgend­was zickt rum. Im Ide­al­fall gibt es Abhil­fe für die­sen ver­zwei­fel­ten Mit­ar­bei­ter über ein vor­han­de­nes Ticket-Sys­tem, eine Tele­fon-Hot­line oder ähn­li­ches. Dort nimmt sich eine vor­ge­la­ger­te Stel­le (der sog. 1st level sup­port) des Pro­blems an, führt eine Bewer­tung der Stö­rung durch z.B. im Hin­blick auf Dring­lich­keit und Kom­ple­xi­tät. Danach wird das „Ticket“ in den wei­te­ren Bear­bei­tungs­lauf in der IT gege­ben. Soll­te es sich um einen Sicher­heits­vor­fall mit schüt­zens­wer­ten Infor­ma­tio­nen han­deln, ist es eher Glück, wenn auch der zustän­di­ge Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) invol­viert /​ infor­miert wird. Die­ses Schick­sal teilt zumeist auch der Daten­schutz­be­auf­trag­te (DSB), wenn es sich um einen Sicher­heits­vor­fall mit per­so­nen­be­zo­ge­nen Daten (einer Unter­men­ge der schüt­zens­wer­ten Infor­ma­tio­nen in einer Orga­ni­sa­ti­on) han­delt. In bei­den Fäl­len wäre aber nicht nur auf­grund von Art. 33, 34 DSGVO ein zeit­na­he Ein­bin­dung der bei­den Rol­len angeraten.

Der Mel­de­pro­zess für Datenschutzverletzungen

In vie­len Orga­ni­sa­tio­nen ist ein sol­cher Pro­zess durch­aus schon eta­bliert — und wird sogar genutzt. Meist hapert es beim Trig­gern (Anstoß des Pro­zes­ses) dar­an, dass der ursäch­li­che Aus­lö­ser nicht als mög­li­che Daten­schutz­ver­let­zung auf dem Schirm der Mel­den­den, also der Mit­ar­bei­ten­den ist. Aber das ist eine ande­re Bau­stel­le im Kon­text „Erken­nen und Mel­den von Daten­schutz­ver­let­zun­gen“. Dazu haben wir übri­gens für unse­re Daten­schutz-Kun­den eine Online-Schu­lung auf unse­rer eLear­ning-Platt­form am Start.
Im Pro­zess­ab­lauf wird die gemel­de­te Daten­schutz­ver­let­zung vom DSB im Hin­blick auf Schwe­re des Risi­kos (für den Betrof­fe­nen, nicht die Orga­ni­sa­ti­on) bewer­tet. Auf­grund die­ser Bewer­tung spricht der DSB an den Ver­ant­wort­li­chen (= die Orga­ni­sa­ti­on) eine Emp­feh­lung aus, die­se Daten­schutz­ver­let­zung nach Art. 33 DSGVO an die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de evtl. in Ver­bin­dung mit Art. 34 DSGVO an die von der Pan­ne betrof­fe­nen Per­so­nen zu melden.
Par­al­lel dazu ist durch geeig­ne­te Maß­nah­men eine Aus­wei­tung des mög­li­chen Scha­dens zu mini­mie­ren. In der Nach­be­ar­bei­tung gilt es, tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men zu pla­nen und umzu­set­zen. Damit soll eine Wie­der­ho­lung einer sol­chen Daten­schutz­ver­let­zung ver­mie­den werden.

Und dann war da noch der sog. Sicherheitsvorfall

In der Infor­ma­ti­ons­si­cher­heit gibt es eben­falls die Anfor­de­rung, und auch der gesun­de Men­schen­ver­stand gebie­tet die Not­wen­dig­keit, Sicher­heits­vor­fäl­le mit schüt­zens­wer­ten Infor­ma­tio­nen — egal wel­cher Art und Form — früh­zei­tig zu erken­nen. Und  dann an die not­wen­di­gen Stel­len intern zur Bewäl­ti­gung /​ Besei­ti­gung zu kom­mu­ni­zie­ren. Dabei ist es sehr wich­tig, nicht nur an die Unter­men­ge der IT-Sicher­heits­vor­fäl­le zu den­ken oder sich auf per­so­nen­be­zo­ge­ne Daten zu beschrän­ken. Die inter­nen Ansprech­part­ner soll­ten nun zeit­nah eine wei­te­re Eska­la­ti­on des Scha­dens so gut wie mög­lich unter­bin­den. Damit wer­den die Fol­gen für die Orga­ni­sa­ti­on mini­miert, wie Ruf­scha­den, Buß­gel­der, Scha­den­er­satz, mög­li­che Rechts- und Ver­trags­ver­stö­ße. Im Anschluß gilt es auch hier, in der Ana­ly­se und Nach­be­ar­bei­tung geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu pla­nen und ein­zu­füh­ren. Ziel: Die­se Art von Sicher­heits­vor­fall zukünf­tig mög­lichst unter­bin­den. Oft­mals wird hier­zu ein wei­te­rer Mel­de­pro­zess in der Orga­ni­sa­ti­on eta­bliert. Durch­aus unter Zuhil­fe­nah­me der sog. IT-Not­fall-Mel­de­kar­te des BSI.

Pro­ble­ma­tik in der Praxis

Aber ist ein Sicher­heits­vor­fall auto­ma­tisch ein IT-Not­fall? Kön­nen Stö­run­gen nicht in einen Not­fall eska­lie­ren? Sind Daten­schutz­ver­let­zun­gen nicht auch ein Sicher­heits­vor­fall oder Not­fall (je nach Ausprägung)?

Und noch viel schwerwiegender:

  • Wel­chen Pro­zess sol­len denn nun die in den Begriff­lich­kei­ten Stö­rung, Daten­schutz­ver­let­zung, Sicher­heits­vor­fall und Not­fall unbe­darf­ten Mit­ar­bei­ten­den eigent­lich nutzen?
  • Und was ist, wenn Mit­ar­bei­ten­de aus Ver­se­hen bzw. aus Unwis­sen­heit im fal­schen Mel­de­pro­zess lan­den? Heißt es dann „Nicht mein Tisch. Bit­te nut­zen Sie den für Ihren Vor­gang vor­ge­se­he­nen Meldeweg!“
  • Und wer sich mit Pro­zess­ma­nage­ment und /​ oder Qua­li­täts­ma­nage­ment befasst, der ist eh kein Freund von drei mehr oder weni­ger iden­ti­schen Arbeits­ab­läu­fen für ähn­li­che Vorgänge.

Es geht auf jeden Fall wich­ti­ge Zeit ver­lo­ren, die im Fal­le eines eska­lie­ren­den Sicher­heits­vor­falls drin­gend benö­tigt wird, um das poten­ti­el­le Aus­maß für die Orga­ni­sa­ti­on ein­zu­däm­men. Von den gan­zen Doku­men­ta­ti­ons- und Pfle­ge­ar­bei­ten für drei Pro­zes­se ganz zu schweigen.

Ein mög­li­cher Lösungsansatz

Ja, jetzt for­miert sich Wider­stand! „Haben wir ja noch nie so gemacht“, „Haben wir schon immer anders gemacht“, “Bis zu mei­ner Ren­te in 5 Jah­ren füh­re ich nichts Neu­es mehr ein”, “Wo steht, dass wir das so machen müs­sen?” und was es alles für Grün­de gibt, Ver­än­de­run­gen mög­lichst zu ver­mei­den. Mensch­lich. Und ver­ständ­lich. Es heißt nicht umsonst, der Mensch ist ein Gewohn­heits­tier. Aber spie­len wir es doch ein­fach mal gedank­lich durch.

Allen drei zuvor genann­ten Pro­zes­sen ist gemein: Es kommt eine Mel­dung rein. Die­se wird bewer­tet. Dann wird eine ent­spre­chen­de Akti­vi­tät aus­ge­löst. Bei Bedarf erfolgt eine Ana­ly­se und Nach­be­ar­bei­tung, damit sich der Vor­fall mög­lichst nicht so oft wie­der­holt. Damit haben wir den gro­ben gemein­sa­men Nen­ner hin­ter allen drei Pro­zes­sen schon gefun­den. Gar nicht so schwierig.

Betrach­ten wir das mal (erst ohne dann mit Ablauf­ver­bin­der) als gra­fi­schen Pro­zess­ab­lauf. Den Punkt Nach­be­ar­bei­tung haben wir an der Stel­le der Über­sicht­lich­keit hal­ber aus­ge­spart. Aber das ändert nix an der Sache.

1. Pro­zess ITSM Störung

2. Pro­zess Datenschutzverletzung


3. Pro­zess Sicherheitsvorfall

Ui, die sind ja alle­samt (fast) deckungs­gleich. Na sowas aber auch. 🙂 Jetzt ver­schmel­zen wir die 3 Pro­zes­se mal zu einem neu­en Prozess.

 

Und fügen nun noch die Ablauf­ver­bin­der dazu.

 

Huch, 1+1+1 ergibt auf ein Mal doch 1 und nicht 3. Quod erat demonstrandum. 🙂

Was es dafür benötigt?

  1. Blick über den Tel­ler­rand bei den Betei­lig­ten (IT, DSB, ISB und wer sonst noch so benö­tigt wird)
  2. Über Bord mit ein­ge­fah­re­nen Sicht- und Denkweisen
  3. Die Ein­sicht. dass es auch anders und bes­ser gehen kann
  4. Den Wil­len zur Veränderung
  5. Am Ende einen gut geschul­ten 1st level sup­port, der die not­wen­di­gen Play­er (ISB /​ DSB) bei Bedarf zeit­nah mit einbindet

Vor­tei­le

  1. Ein zen­tra­ler Mel­de­punkt für die Mitarbeitenden
  2. Ver­mei­dung von Irr­läu­fern bzw. zeit­lich im Hin­blick auf Mel­de­fris­ten rele­van­ten Verlusten
  3. Eine zen­tra­le Stel­le der Doku­men­ta­ti­on (z.B. Ticketsystem)
  4. 1 statt 3 Pro­zes­se = ver­rin­ger­ter Pfle­ge- und Doku­men­ta­ti­ons­auf­wand (2/​3 gespart), weni­ger Schu­lungs­be­darf bei den Mitarbeitenden

Nach­tei­le

  1. Man muss was ändern
  2. Es benö­tigt einen geschul­ten 1st level sup­port für die Erst­be­wer­tung und mög­li­che Ein­bin­dung von ISB /​ DSB
  3. Ein Ticket­sys­tem zur Bear­bei­tung und Dokumentation
  4. Daten­schutz braucht halt doch kei­nen eige­nen Pro­zess 🙂 (Stich­wort “Tanz um das gol­de­ne Kalb”)

Schau­en wir kon­kre­ter auf die Nach­tei­le, so stel­len wir fest: 1 und 4 sind mehr emo­tio­na­le Befind­lich­kei­ten. 2 ist kein Nach­teil, son­dern soll­te eigent­lich Stan­dard sein. Und 3, ja, gegen 3 wird oft sei­tens der IT gewet­tert. Braucht man nicht. Zu umständ­lich. Wir wer­den trans­pa­rent. Hal­lo? Es muss nicht der Rolls Roy­ce sein. Selbst die ein­fachs­ten, auf einem Raspber­ry Pi lauf­fä­hi­gen open source Ticket-Sys­te­me sind ein­fach in der Instal­la­ti­on sowie im Betrieb und leis­ten schon Erheb­li­ches. Und was ist schlecht an Trans­pa­renz? Wird nicht dau­ernd ange­zwei­felt, dass der Per­so­nal­be­darf der IT not­wen­dig ist? “Was machen die da eigent­lich den gan­zen Tag?” Dabei sind vie­le IT-Abtei­lun­gen nur noch als Turn­schuh-Admins unter­wegs. Stra­te­gi­sches Den­ken, Arbei­ten und Han­deln, da bleibt gar kei­ne Zeit für. Über ein gut gepfleg­tes Ticket-Sys­tem kann die IT das sehr gut bele­gen und bei Bedarf wei­te­re Per­so­nal­res­sour­cen ein­for­dern. Hat doch alles sein Gutes. Außer man hat sich und der Orga­ni­sa­ti­on die gan­ze Zeit im Hin­blick auf die Arbeits­be­las­tung in der IT etwas vor­ge­macht. Aber das sind eher sehr sel­te­ne Aus­nah­men als die Regel.

Think about it — Gutes Gelingen!

Ger­ne unter­stüt­zen wir Sie im Rah­men unse­rer Bera­tungs­leis­tun­gen rund um Daten­schutz und Infor­ma­ti­ons­si­cher­heit bei sol­chen Vor­ha­ben. Spre­chen Sie uns ein­fach an.

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

In den letz­ten Mona­ten und Jah­ren neh­men erfolg­rei­che Angrif­fe, unab­hän­gig ob ziel­ge­rich­tet oder Kate­go­rie “Mit­ar­bei­ter zu wenig sen­si­bi­li­siert” oder bei­des, auf Unter­neh­men und Ver­wal­tun­gen ste­tig zu. Sind dabei (zwangs­läu­fig) per­so­nen­be­zo­ge­ne Daten betrof­fen, kom­men ganz schnell die Arti­kel 32, 33 und 34 der Daten­schutz­grund­ver­ord­nung (DSGVO) ins Spiel.

Wäh­rend Arti­kel 33 DSGVO für den Fall des Fal­les die zeit­na­he Ein­bin­dung der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de bin­nen einer Frist von 72 Stun­den vor­sieht, schreibt Arti­kel 34 DSGVO die unver­züg­li­che Infor­ma­ti­on der sog. Betrof­fe­nen bei einem vor­aus­sicht­lich hohen Risi­ko vor. Die bei­den Arti­kel befas­sen sich u.a. also mit der REAKTION auf einen Sicher­heits­vor­fall mit per­so­nen­be­zo­ge­nen Daten.

Aus der Infor­ma­ti­ons­si­cher­heit und dem Busi­ness Con­ti­nui­ty Manage­ment wis­sen wir aber nun, dass VORBEUGEN deut­lich effi­zi­en­ter und effek­ti­ver ist, als hin­ter­her den Schla­mas­sel auf­räu­men und aus­ba­den zu müs­sen. Das hat auch der Gesetz­ge­ber erkannt und schreibt in Arti­kel 32 DSGVO etwas zur sog. “Sicher­heit der Ver­ar­bei­tung”:

Abs. 1: Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Abs. 2: Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit bereits näher befasst hat, wird in Absatz 1 b, c und d alte Bekann­te wie­der­tref­fen. Dort wer­den die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit vor­ge­schrie­ben, sowie die rasche Wie­der­her­stell­bar­keit von Daten und Sys­te­men und ein kon­ti­nu­ier­li­ches Ver­bes­se­rungs­ma­nage­ment der Schutz­maß­nah­men gefor­dert. Also alles das, was moder­ne Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (ISMS) wie die ISO 27001, der BSI IT-Grund­schutz mit sei­nen 3 Absi­che­rungs­stu­fen, ein CISIS12 oder auch klei­ne­re Sys­te­me wie die sog. Arbeits­hil­fe mit sich bringen.

Schnell kommt natür­lich dann die Fra­ge auf “Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?”. Kon­kret? Meist gar kei­ne. Und das hat auch einen trif­ti­gen Grund.

Wie­so Geset­ze zumeist kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Detail vorschreiben?

Ganz ein­fach: Weil es für gewöhn­lich kei­nen Sinn macht. Bedro­hun­gen tech­ni­scher und orga­ni­sa­to­ri­scher Natur ver­än­dern sich im Lau­fe der Zeit, mal schnel­ler, mal lang­sa­mer. Die­se Ver­än­de­run­gen erfor­dern zumeist auch eine Anpas­sung vor­han­de­ner Schutz­maß­nah­men bzw. deren Weg­fall und Ersatz durch ande­re, bes­ser wir­ken­de Schutz­maß­nah­men. Und da Geset­ze für gewöhn­lich eine lang­fris­ti­ge Gül­tig­keit haben, eine Ände­rung bzw. Anpas­sung einen nicht uner­heb­li­chen Auf­wand mit sich bringt, ver­zich­tet man auf die kon­kre­te Nen­nung von Schutz­maß­nah­men. Erst recht auf die Nen­nung kon­kre­ter Pro­duk­te oder Her­stel­ler. Eigent­lich logisch.

Statt­des­sen gibt der Gesetz­ge­ber hier im Arti­kel 32 DSGVO einen Ange­mes­sen­heits­rah­men vor mit “Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Personen .…”

Die­sen Rah­men gilt es nun für die eige­nen Ver­ar­bei­tun­gen oder auch Dienst­leis­tun­gen, die für ande­re erbracht wer­den (Auf­trags­ver­ar­bei­tung), zu prü­fen und zu bewer­ten. Erst mal sei vor­an­ge­stellt, es muss nicht alles an Schutz­maß­nah­men ein­ge­führt oder imple­men­tiert wer­den, was tech­nisch oder orga­ni­sa­to­risch maxi­mal mög­lich ist. Das sind schon mal gute Nach­rich­ten. Ande­rer­seits kann man aller­dings auch nicht unter Ver­weis auf “Kein Geld”, “Kei­ne Mit­ar­bei­ter”, “Kei­ne Lust” oder “Wir haben Wich­ti­ge­res zu tun” das Ange­mes­sen­heits­prin­zip unter den Tisch fal­len las­sen und sich tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men spa­ren. Immer­hin muss man ja laut Gesetz fol­gen­de Din­ge berücksichtigen:

  • Das not­wen­di­ge Schutz­ni­veau der zu schüt­zen­den Daten.
  • Den sog. Stand der Technik.
  • Die Ein­tritts­wahr­schein­lich­keit von Risi­ken für schüt­zens­wer­te Daten (die eige­nen oder die von Kunden).
  • Das Scha­dens­aus­maß, soll­te den schüt­zens­wer­ten Daten doch etwas “zusto­ßen”.

Wür­de der Gesetz­ge­ber nun kon­kret eine Video­über­wa­chung per Gesetz vor­schrei­ben, wäre das sicher eine gute Schutz­maß­nah­me zur Absi­che­rung der Außen­haut eines Rechen­zen­trums. Ist man jedoch ein Dienst­leis­ter, der War­tungs­ar­bei­ten remo­te bei einem Kun­den durch­führt, wür­de eine Video­über­wa­chung nicht spür­bar zu einer Erhö­hung des Schutz­ni­veaus sei­tens des Dienst­leis­ters für die­se Ver­ar­bei­tung bei­tra­gen. Die zu tref­fen­den Schutz­maß­nah­men müs­sen also geeig­net sein, die Ein­tritts­wahr­schein­lich­keit und das Scha­dens­aus­maß eines Risi­kos für die jewei­li­ge Ver­ar­bei­tung zu begren­zen. Tun sie das nicht, sind die­se Schut­zß­nah­me nicht zwin­gend obso­let, tra­gen aber zur Absi­che­rung der kon­kre­ten Ver­ar­bei­tung nichts oder nur sehr wenig bei.

Dem Gesetz­ge­ber kommt es also auf die Aus­wahl von Schutz­maß­nah­men an, die geeig­net sind, das Risi­ko für die jewei­li­gen Ver­ar­bei­tun­gen zu begren­zen UND dem sog. Stand der Tech­nik ent­spre­chen. In Spe­zi­al­ge­set­zen kann es zu Aus­nah­men von die­ser Vor­ge­hens­wei­se kom­men. Die­se gel­ten dann jedoch zumeist nur für ganz spe­zi­el­le Bran­chen und Tätigkeiten.

Was hat es mit die­sem “Stand der Tech­nik” auf sich?

Stand der Tech­nik ist ein unbe­stimm­ter Rechts­be­griff, der eine inhalt­li­che und zeit­li­che Dehn­bar­keit mit sich bringt. Wer sich die Mühe macht und sich im Rah­men einer Web­re­cher­che zu dem Begriff schlau­er machen will, wird am Ende auch kei­ne kon­kre­ten Schut­zß­nah­men zur Absi­che­run­gen sei­ner eige­nen Ver­ar­bei­tung emp­foh­len bekom­men. Ver­su­chen wir es mal mit ein paar Beispielen.

Seit Jah­ren gibt es einen Trend zu Online-Back­ups, sei es auf gro­ße Sto­rages im eige­nen Netz­werk oder sogar ganz raus aus dem eige­nen Netz­werk zu Cloud-Anbie­tern. Eine sol­che Art der Daten­si­che­rung kann sicher als Stand der Tech­nik ein­ge­ord­net wer­den. Ersetzt die­se jetzt jedoch auto­ma­tisch die klas­si­sche Band­si­che­rung? Und ent­spricht die Band­si­che­rung damit nicht mehr dem Stand der Tech­nik? Um das zu bewer­ten, muss man sich die Bedro­hungs­la­ge für Daten­si­che­run­gen anschau­en. Ein Back­up, das im eige­nen Netz­werk oder bei einem exter­nen Cloud-Anbie­ter gene­rell zugreif­bar ist, kann jeder­zeit zer­stört oder kom­pro­mit­tiert wer­den. Hier besteht also ein Risi­ko, im Fal­le des Fal­les not­wen­di­ge Daten nicht mehr wie­der­her­stel­len zu kön­nen. Ande­rer­seits sind die­se Daten­si­che­run­gen zumeist sehr schnell wie­der­her­zu­stel­len, was ein Vor­teil ist. Und aus die­sen Grund ergänzt eine Band­si­che­rung bzw. jede Art von Off­line-Back­up eine gute Daten­si­che­rungs­stra­te­gie, um genau die­ses ver­blei­ben­de Risi­ko beherrsch­bar zu machen. Band­si­che­rung mag daher old school erschei­nen, ist aber nach Stand der Tech­nik wei­ter­hin eine geeig­ne­te Schutzmaßnahme.

Der klas­si­sche Log­in bei inter­nen und exter­nen Diens­ten geschieht zumeist mit­tels Benut­zer­na­me und Kenn­wort. Für die Gestal­tung von Kenn­wör­tern gibt es ergän­zend mehr oder weni­ge sinn­vol­le Rege­lun­gen zu Län­ge und Kom­ple­xi­tät und Wech­sel­in­ter­val­len. Feh­len wei­te­re Schutz­maß­nah­men wie die Begren­zung der Anmel­de­ver­su­che, so wird die Luft schnell dünn. Dazu gibt es das nicht uner­heb­li­che Risi­ko des erfolg­rei­chen Phis­hings, also des Abgriffs und Aus­nut­zens von gül­ti­gen Zugangs­da­ten. Somit ist eine Beschrän­kung auf Benut­zer­na­me und Kenn­wort zur Absi­che­rung von Zugän­gen in vie­len Fäl­len allei­ne nicht mehr aus­rei­chend. Die­se ist je nach Ein­satz­si­tua­ti­on nicht mehr zeit­ge­mäß und ent­spricht daher wohl nur noch sel­ten dem sog. Stand der Tech­nik. Ergänzt man jedoch den Log­in mit Benut­zer­na­me und Pass­wort bei­spiels­wei­se um eine Mul­ti- oder Zwei-Fak­tor-Authen­ti­sie­rung (MFA /​ 2FA), hebt man das Schutz­ni­veau mit einer aktu­el­len tech­ni­schen Schutz­maß­nah­me wie­der auf ein ange­mes­se­nes Level an und ent­spricht damit der­zeit wie­der dem sog. Stand der Tech­nik. Dies gilt auch für neue­re Absi­che­rungs­me­tho­den wie Pass­keys etc. 2FA ist also kei­ne Rake­ten­wis­sen­schaft, son­dern der­zeit aner­kann­ter Stand der Technik.

Oft hilft auch ein Blick in die ver­schie­de­nen Nor­men für Infor­ma­ti­ons­si­cher­heit. Wer­den dort kon­kre­te­re Schutz­maß­nah­men genannt, kann man davon aus­ge­hen, dass die­se dem sog. Stand der Tech­nik ent­spre­chen. Sie hät­ten sonst kei­ne Auf­nah­me in die­se Nor­men gefun­den. So fin­det sich 2FA /​ MFA bei­spiels­wei­se unter ande­rem im Kapi­tel 8.5 Siche­re Authen­ti­fi­zie­rung der ISO 27002, aber auch im Grund­schutz-Bau­stein ORP.4 Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment in der Anfor­de­rung A.10. Auch wenn der Grund­schutz-Bau­stein CON.3 Daten­si­che­rungs­kon­zept die Band­si­che­rung nicht nament­lich erwähnt, so sind die Anfor­de­run­gen aus A.14 und A.12 mit einer sol­chen rela­tiv ein­fach zu erfüllen.

Hil­fe­stel­lung zum Stand der Technik

Eine sehr hilf­rei­che Über­sicht über gän­gi­ge tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die dem sog. Stand der Tech­nik ent­spre­chen, stellt der Bun­des­ver­band IT-Sicher­heit e.V. (Tele­TrusT) regel­mä­ßig zur Ver­fü­gung. Die­se ist in aktu­el­ler Ver­si­on jeweils hier zu fin­den. Zum Zeit­punkt die­ses Bei­trags ist dies die Ver­si­on 2023-05. In die­ser Über­sicht fin­det sich bei­spiels­wei­se dann auch die MFA /​ 2FA unter Punkt 3.2.3 auf Sei­te 22.

Die dar­in ange­führ­ten Schutz­maß­nah­men sind nicht abschlie­ßend. Es gibt dar­über­hin­aus vie­le wei­te­re Maß­nah­men, die als Stand der Tech­nik ein­ge­ord­net wer­den kön­nen. Anhand die­ser Über­sicht kann man jedoch gut prü­fen, ob die eige­ne Orga­ni­sa­ti­on zumin­dest ansatz­wei­se auf einem aktu­el­len Stand der Schutz­maß­nah­men unter­wegs ist. Wenn nicht, heißt es handeln.

Auch die von uns unse­ren Kun­den zur Ver­fü­gung gestell­ten Check­lis­ten für die sog. TOM-Checks berück­sich­ti­gen übli­cher­wei­se den sog. Stand der Tech­nik. Abwei­chun­gen oder Lücken soll­ten durch­aus als Risi­ko­fak­to­ren begrif­fen und ide­al­wei­se unter Berück­sich­ti­gung von Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß besei­tigt werden.

Fazit

Der Gesetz­ge­ber schreibt für gewöhn­lich kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men für Unter­neh­men und Ver­wal­tung vor. Schutz­maß­nah­men kön­nen einer­seits schnell altern und ande­rer­seits pas­sen bestimm­te Schutz­maß­nah­men nicht auf jede Orga­ni­sa­ti­on und deren Risi­ken bei der Ver­ar­bei­tung. Von daher gilt es, sich der Risi­ken für die eige­nen Ver­ar­bei­tun­gen im Hin­blick auf Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß (für die eige­ne Orga­ni­sa­ti­on, aber auch für die Betrof­fe­nen) bewußt zu wer­den bzw. die­se zu iden­ti­fi­zie­ren und zu bewer­ten. Dann sind im Rah­men der Ange­mes­sen­heit geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ein­zu­füh­ren bzw. wei­ter­zu­ent­wi­ckeln, die dem sog. Stand der Tech­nik ent­spre­chend und dabei hel­fen, die zuvor iden­ti­fi­zier­ten Risi­ken beherrsch­bar zu machen. Dies ist kei­ne ein­ma­li­ge Tätig­keit, son­dern ein wie­der­keh­ren­der Pro­zess, der idea­ler­wei­se — je nach Risi­ko — min­des­tens jähr­lich zu durch­lau­fen ist. Dann klappt es auch mit Arti­kel 32 DSGVO. Und vor den Arti­keln 33 und 34 DSGVO muss man sich weni­ger fürch­ten bzw. wird die­se sel­te­ner durch­füh­ren müssen.

Gutes Gelin­gen. Sie wün­schen Unter­stüt­zung? Spre­chen Sie uns an.

 

Grund­satz­fra­ge geklärt, Pro­blem gelöst oder gar der Todes­stoß? — Der EuGH zu Coo­kies und dem Datenschutz

So oder so ähn­lich wird das aktu­el­le EuGH-Urteil (Az. C‑604/​22 IAB Euro­pe) zum The­ma Daten­ver­ar­bei­tung bei per­so­na­li­sier­ter Wer­bung in der hie­si­gen Pres­se kommentiert.

Die Ver­qui­ckung von Coo­kies und Daten­schutz ist oft ein Grund dafür, dass noch immer gebets­müh­len­ar­tig wie­der­holt wird, der Daten­schutz trägt Schuld an die­sen ner­vi­gen Coo­kie-Ban­nern. Doch dazu spä­ter mehr…

Um was geht’s bei dem Urteil genau?

Schon 2022 kam die bel­gi­sche Daten­schutz­be­hör­de zu dem Schluss, dass das Sys­tem des Trans­pa­ren­cy and Con­sent frame­work (TCF), mit dem der Wer­be­ver­band Inter­ac­ti­ve Adver­ti­sing Bureau Euro­pe (IAB), bzw. Wer­be­trei­ben­de im Inter­net Ein­wil­li­gun­gen von Nutzer:innen für ihre per­so­na­li­sier­te Wer­bung sam­melt, gegen die Daten­schutz­grund­ver­ord­nung verstößt.

Ein Bestand­teil der per­so­na­li­sier­ten Wer­bung im Inter­net ist das Real Time Bid­ding. Dazu wer­den in Echt­zeit Gebo­te für Wer­be­plät­ze auf Web­sites oder Anwen­dun­gen von Wer­be­trei­ben­den abge­ge­ben. Die­se Wer­be­plät­ze wer­den ver­stei­gert, um dort Wer­bung anzu­zei­gen, die genau auf die jewei­li­gen Nutzer:innen und deren Vor­lie­ben zuge­schnit­ten sind.

Damit dies funk­tio­nie­ren kann, müs­sen die Prä­fe­ren­zen der jewei­li­gen Nutzer:innen irgend­wo hin­ter­legt wer­den. Hier kommt das oben erwähn­te TCF, kon­kret der soge­nann­te TC-String ins Spiel. Das TC steht auch hier für „Trans­pa­ren­cy and Con­sent“. Eine Kom­bi­na­ti­on aus Zah­len und Buch­sta­ben in denen „gespei­chert“ wird, in wel­che Daten­ver­ar­bei­tung ihrer spe­zi­fi­schen per­so­nen­be­zo­ge­nen Daten die Nutzer:innen ein­ge­wil­ligt haben und in wel­che nicht. Das IAB Euro­pe teilt die­sen TC-String mit sei­nen Part­nern, damit die­se auch wis­sen wel­che Wer­bung sie ziel­ge­recht aus­spie­len kön­nen. Auf den Gerä­ten der Nutzer:innen wird für die­sen Zweck ein Coo­kie gespei­chert, damit die Zuord­nung erfol­gen kann wel­cher TC-String zu wel­chen Nutzer:innen gehört.

Bel­gi­en ver­häng­te Buß­geld gegen IAB Europe

Die bel­gi­sche Daten­schutz­be­hör­de kam zu dem Schluss, dass die­ser ver­wen­de­te TC-String in Kom­bi­na­ti­on mit dem Coo­kie der IP-Adres­se der Nutzer:innen zuge­ord­net wer­den kann und somit ein per­so­nen­be­zo­ge­nes Datum dar­stellt. Des Wei­te­ren befand die Behör­de, dass das IAB Euro­pe als Ver­ant­wort­li­cher auf­tritt, jedoch die DSGVO-Rege­lun­gen nicht voll­stän­dig ein­hält. Im Zuge des­sen ver­häng­te die Behör­de diver­se Maß­nah­men und eine Geld­bu­ße in Höhe von 250.000 Euro.

IAB Euro­pe wehrt sich, der EuGH ist am Zug

Das IAB Euro­pe wehr­te sich natür­lich dage­gen, doch nun urteil­te der Euro­päi­sche Gerichts­hof und bestä­tig­te die Ent­schei­dun­gen der bel­gi­schen Auf­sichts­be­hör­de. Der TC-String ist als per­so­nen­be­zo­ge­nes Datum und das IAB Euro­pe als gemein­sa­mer Ver­ant­wort­li­cher anzu­se­hen, so die Pres­se­mit­tei­lung des EuGH.

Es bleibt also span­nend, vor allem wie nun die Wer­be­wirt­schaft im Inter­net damit umge­hen wird. Bis­her wie­gelt das IAB Euro­pe das Urteil als tech­ni­sche For­ma­lie ab, jedoch bedeu­tet die Ein­stu­fung als gemein­sa­mer Ver­ant­wort­li­cher eine Haft­bar­keit für das IAB Euro­pe, die emp­find­li­che Stra­fen nach sich zie­hen kann.

Der Daten­schutz ist schuld, wie immer

Aber wie war das denn nun mit der Schuld des Daten­schut­zes an unleid­li­chen Coo­kie-Ban­nern? Wie so oft, wenn es heißt der Daten­schutz ist schuld, liegt es nicht am Datenschutz. 😉

Die „Schuld“ liegt doch in ers­ter Linie in der ePri­va­cy-Richt­li­nie, der Richt­li­nie 2002/​58/​EG des Euro­päi­schen Par­la­ments und des Rates vom 12. Juli 2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und den Schutz der Pri­vat­sphä­re in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on, die­se wur­de nicht umsonst mehr oder weni­ger lie­be­voll Coo­kie-Richt­li­nie genannt.

Do you like Cookies?

Und wer mehr über das The­ma Coo­kies auf unse­rer Web­site erfah­ren möch­te, hier ent­lang!

ISB Boot Camp 2024 — Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Das Boot Camp 2024 für kom­mu­na­le Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te fin­det heu­er am 09.04. und 10.04.2024 im wun­der­schö­nen Gun­zen­hau­sen statt. Mitt­ler­wei­le ist die­se Ver­an­stal­tung in der moder­ni­sier­ten Stadt­hal­le in Gun­zen­hau­sen bereits eine fes­te Insti­tu­ti­on für kom­mu­na­le Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te gewor­den. Neben fach­li­chen Infor­ma­tio­nen und Tipps aus der Pra­xis im Rah­men von Vor­trä­gen und zumeist Work­shops steht das Netz­wer­ken und das “Fach­sim­peln” unter den rund 100 Teil­neh­mern im Vor­der­grund. Dafür wird die­ses Jahr noch mehr Raum sein als zuvor.

Die Teil­neh­mer erwar­tet ein abwechs­lungs­rei­ches Pro­gramm, das sowohl tech­ni­sche als auch orga­ni­sa­to­ri­sche Aspek­te der Infor­ma­ti­ons­si­cher­heit und die Belan­ge des Tages­ge­schäfts eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten umfasst. Orga­ni­siert und koor­di­niert wird die zwei­tä­gi­ge Ver­an­stal­tung durch die Baye­ri­sche Ver­wal­tungs­schu­le (BVS), das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern (LSI), der Stadt Gun­zen­hau­sen und der a.s.k. Infor­ma­ti­ons­si­cher­heit Sascha Kuhrau.

Agen­da und The­men des ISB Boot Camp 2024

Nach den am ers­ten Tag obli­ga­to­ri­schen Begrü­ßungs­wor­ten durch den 1. Bür­ger­meis­ter der Stadt Gun­zen­hau­sen, Herrn Karl-Heinz Fitz und den Prä­si­den­ten des Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (LSI), Herrn Bernd Geis­ler, geht es gleich in medi­as res.

Herr Rei­ner Schmidt (LSI) wird unter dem Titel “Neu­es aus dem LSI” nicht nur das aktu­el­le Bedro­hungs­ri­si­ko für Kom­mu­nen skiz­zie­ren, son­dern dazu das Bera­tungs- und Dienst­leis­tungs­an­ge­bot des LSI vor­stel­len, um die­sen Risi­ken als Kom­mu­nal­ver­wal­tung bes­ser begeg­nen zu können.

Der größ­te Teil des ers­ten Tages bleibt jedoch den Pra­xis-Work­shops vor­be­hal­ten, die sich mehr­mals wie­der­ho­lend am ers­ten und zwei­ten Tag ange­bo­ten wer­den. Dadurch erhal­ten die Teil­neh­mer die Mög­lich­keit, so vie­le The­men zu besu­chen, wie mög­lich. Auf der Agen­da stehen:

  • Im Gespräch mit dem LSI, Rei­ner Schmidt (LSI)
  • KI: Chan­cen und Risi­ken aus Sicht von Infor­ma­ti­ons­si­cher­heit und Daten­schutz, Sascha Kuhr­au (a.s.k. Informationssicherheit)
  • Aus­tausch-Platt­for­men /Cloud-Nut­zung, Hart­mut Löh­mann (Stadt Kempten)
  • Phis­hing Simu­la­ti­on: Stär­ken Sie Ihre Ver­tei­di­gung gegen Sicher­heits­be­dro­hun­gen, Erich Wei­din­ger (GKDS)
  • Prak­ti­sche Anwen­dung Kom­mu­nal­pro­fil im Rah­men der BSI IT-Grund­schutz Basis-Absi­che­rung, Gerd Olsow­sky-Klein (Baye­ri­scher Verwaltungsgerichtshof)
  • Kon­zept zur Abwehr von Schad­pro­gram­men — ein Lösungs­an­satz aus der Pra­xis für die Pra­xis, Bern­hard Wie­demann (Land­kreis Landshut)
  • Siche­res Web­sur­fen – Sand Boxing Ver­fah­ren, Marc Behl (Stadt Würz­burg) und Richard Lipp­mann (Stadt Zirndorf)
  • Ein­satz von Echt­zeit White­list-DNS-Fil­tern, Micha­el Pent­za (Stadt Gun­zen­hau­sen) und Hei­ki Leh­ner (keep­bit IT-Solu­ti­ons GmbH)
  • Pene­tra­ti­on Tests bzw. Secu­ri­ty Test­ing — Erfah­run­gen aus einem oft getes­te­ten Unter­neh­mens, Felix Struve (inti­ve GmbH)
  • Table­top-Übun­gen als inte­gra­ler Bestand­teil eines erfolg­rei­chen Not­fall­ma­nage­ments, Lukas Schmid (LSI)
  • Deepf­akes als neu­er Angriffs­vek­tor, Andrea Reichl-Streich (Stadt Ingolstadt)
  • “Betrug & Abwehr” — im spie­le­ri­schen Umgang mit Cyber­an­grif­fen und deren Abwehr zum Held /​ zur Hel­din der IT-Sicher­heit!, Richard Lipp­mann (Stadt Zirndorf)
  • Von 0 auf 200–4: Busi­ness Con­ti­nui­ty Manage­ment in einem Land­rats­amt, Mat­thi­as Rau­schen­berg (Land­rats­amt Miesbach)
  • Bewusst­sein schaf­fen – Der Fak­tor Mensch in der IT-Sicher­heit, Robert Loh­mann (IMC AG)
  • Neu­es aus der BVS, Michae­la Win­ter­mayr-Greck (BVS)
  • Inter­ak­ti­ver Cyber­an­griff, N.N. (Baye­ri­sches Landeskriminalamt)

Am zwei­ten Tag wird am Vor­mit­tag zur Podi­ums­dis­kus­si­on gela­den. Titel: “Digi­ta­le Sou­ve­rä­ni­tät – Wel­che Qua­li­fi­ka­ti­on brau­chen wir zukünf­tig in der Aus- und Fort­bil­dung in Behörden?”

Auf dem Podi­um dür­fen wir begrü­ßen und freu­en uns auf eine span­nen­de Dis­kus­si­on mit

  • Hans-Chris­ti­an Witt­hau­er ‚Vor­stand der Baye­ri­schen Ver­wal­tungs­schu­le (BVS)
  • Bernd Geis­ler Prä­si­dent des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (LSI)
  • Dr. Wolf­gang Denk­haus, Baye­ri­sches Staats­mi­nis­te­ri­um für Digi­ta­les (StMD)
  • Sascha Kuhr­au, a.s.k. Infor­ma­ti­ons­si­cher­heit und Dozent der BVS
  • Dr. Oli­ver Brun­ner, Geschäfts­stel­le des Baye­ri­schen Lan­des­be­auf­trag­ten für den Daten­schutz (BayLfD)

Als Mode­ra­tor führt der geschätz­te Horst Schä­fer (ehem. IT-Lei­ter der Stadt Gun­zen­hau­sen und Aus­bil­der bei der BVS)  durch die Podiumsdiskussion.

Am ers­ten Ver­an­stal­tungs­tag erwar­tet die Teil­neh­mer ein inter­es­san­tes, kurz­wei­li­ges Abend­pro­gramm, bevor der Tag bei einem gemüt­li­chen Abend­essen ausklingt.

Erhalt der Fach­kun­de von Informationssicherheitsbeauftragten

Die Ver­an­stal­tung dient als Nach­weis zum Erhalt der Fach­kun­de von aus­ge­bil­de­ten Informationssicherheitsbeauftragten.

Wei­te­re Infor­ma­tio­nen und zur Anmel­dung — sie­he BVS.

BayL­DA: Wie rechts­kon­form ist Ihr Coo­kie-Ban­ner? Ein­wil­li­gungs­ma­nage­ment auf Web­sei­ten auf dem Prüfstand

BayL­DA (Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht) star­tet Prüf­ak­ti­on für Coo­kie-Ban­ner und Consent-Management

Das eine oder ande­re Unter­neh­men mit Sitz in Bay­ern hat bereits Post vom BayL­DA erhal­ten. Hin­ter­grund: In einem ers­ten Durch­lauf zur Prü­fung der Rechts­kon­for­mi­tät von Coo­kie-Ban­nern und dem Con­sent-Manage­ment hat das BayL­DA im ers­ten Schwung bei 350 Unter­neh­men kon­kre­te Grün­de gefun­den, deren Umset­zung zu bean­stan­den. Dem BayL­DA miß­fiel dabei unter ande­ren, dass

  • bereits Pro­zes­se rund um Coo­kies und Daten­über­tra­gun­gen in Gang gesetzt wer­den, sobald die Web­sei­te auf­ge­ru­fen wird, noch bevor mit dem Besu­cher im Hin­blick auf not­wen­di­ge Ein­wil­li­gun­gen (Con­sent-Manage­ment) inter­agiert wird (§ 25 TTDSG) und
  • es auf der ers­ten Ebe­ne im Con­sent-Manage­ment sel­ten eine ein­fa­che Opti­on zur Ableh­nung (Nicht-Ein­wil­li­gung) für den Besu­cher zur Ver­fü­gung steht bzw. durch des­sen Feh­len nach Sicht­wei­se des BayL­DA kei­ne rechts­wirk­sa­me Ein­wil­li­gung im Sin­ne von 25 Abs. 1 S. 2 TTDSG wie auch Art. 6 Abs. 1 lit. a DSGVO vorliegt.

“Trotz der nun gesetz­lich klar fest­ge­schrie­be­nen Ein­wil­li­gungs­pflicht für Zugrif­fe auf End­ein­rich­tun­gen, also bei­spiels­wei­se das Set­zen von Coo­kies oder das Aus­le­sen von Wer­be-IDs und ande­ren Iden­ti­fi­ern, erhal­ten wir wei­ter­hin eine sehr hohe Anzahl an Beschwer­den und Kon­troll­an­re­gun­gen in die­sem Bereich”, so das BayL­DA zur Moti­va­ti­on für die­se anlass­los Prüfaktion.

Im Zuge des­sen wur­den auch Apps und deren Ver­hal­ten im og. Kon­text geprüft. Im Gegen­zug zur auto­ma­ti­sier­ten Prü­fung der Umset­zung auf Web­sei­ten, gestal­tet sich die App-Prü­fung lt. BayL­DA deut­lich aufwendiger.

“Die Prü­fung knüpft zunächst am Ein­satz einer sehr ver­brei­te­ten Con­sent-Manage­ment-Platt­form (CMP) an, soll in wei­te­ren Durch­läu­fen aber auf wei­te­re CMP-Anbie­ter und damit eine noch grö­ße­re Zahl von Web­sei­ten aus­ge­dehnt wer­den”, schreibt das BayL­DA in sei­ner Pres­se­mit­tei­lung vom 09.02.2024. Wer also als Unter­neh­men, Frei­be­ruf­ler oder Ver­ein mit Sitz in Bay­ern bei den bis­her 350 Bean­stan­dun­gen noch nicht dabei war, hat gute Chan­cen, zukünf­tig doch noch Post vom BayL­DA zu erhalten.

Anfor­de­run­gen an ver­ant­wort­li­che Stel­len sowie Ergeb­nis­se aus die­ser Prüf­ak­ti­on wer­den suk­zes­si­ve im Abschnitt “Daten­schutz­prü­fun­gen” auf der Web­sei­te des BayL­DA ver­öf­fent­licht. Rein­schau­en lohnt sich.

Wer übri­gens etwas zum The­ma Coo­kies auf unse­rer Web­sei­te erfah­ren möch­te, bit­te hier ent­lang.

Das Finanz­amt darf Dei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten — trotz DSGVO :-)

Etwas Kurio­ses zum Jah­res­en­de gefäl­lig? Dann haben wir hier was für Dich. In unse­ren Web­i­na­ren und Grund­schu­lun­gen zum The­ma Daten­schutz wei­sen wir im Kon­text der Betrof­fe­nen­rech­te scherz­haft immer wie­der dar­auf hin, dass die­se nicht unein­ge­schränkt gel­ten. Ein Wider­ruf der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gegen­über dem Finanz­amt wird nicht dazu füh­ren, kei­ne Steu­ern mehr bezah­len zu müs­sen 🙂 Eigent­lich logisch. Dach­ten wir.

Ent­schei­dung des Bun­des­fi­nanz­hofs, Urteil vom 05. Sep­tem­ber 2023, IX R 32/​21

Gegen­stand: Zuläs­sig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Besteue­rungs­ver­fah­ren gemäß § 29b AO

Ein Finanz­amt (FA) ord­ne­te bei einem Rechts­an­walt eine Außen­prü­fung zur Ein­kom­men- und Umsatz­steu­er an. Zugleich for­der­te das FA den Klä­ger auf, bis zum Prü­fungs­be­ginn die Aus­zü­ge sei­nes betrieb­li­chen Bank­kon­tos zu über­sen­den. Nach­dem der Anwalt die­ser Auf­for­de­rung nicht nach­ge­kom­men war, ersuch­te das FA unter Hin­weis auf die Abga­ben­ord­nung (AO) die kon­to­füh­ren­de Bank um Vor­la­ge der Kon­to­aus­zü­ge. Die­sem Ersu­chen kam die Bank nach. Der Anwalt war damit nicht ein­ver­stan­den und begrün­de­te dies mit der Aus­sa­ge, die Rege­lun­gen der AO genü­gen sei­ner Mei­nung nach nicht den Anfor­de­run­gen des Art. 6 Abs. 3 der Daten­schutz-Grund­ver­ord­nung (DSGVO). Es feh­le daher an einer recht­mä­ßi­gen Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten durch das Finanz­amt. Es kam zur Abwei­sung des Lösch­be­geh­rens des Anwalts durch das Finanz­amt. Begrün­dung: Die Ver­ar­bei­tung die­ne der Ermitt­lung der Besteue­rungs­grund­la­gen im Rah­men einer Außen­prü­fung. Das dar­auf­hin vom Anwalt ange­ru­fe­ne Finanz­ge­richt zwecks Durch­set­zung sei­nes Rechts auf Löschung sei­ner per­so­nen­be­zo­ge­nen Daten gemäß Art. 17 Abs. 1 Buchst. d DSGVO hat­te kei­nen Erfolg. Das Finanz­ge­richt wies die Kla­ge ab. Dies führ­te zur Revi­si­on am Bun­des­fi­nanz­hof (BFH).

Das kam jetzt über­ra­schend, oder doch nicht?

Der Anwalt bean­trag­te beim BFH, das ange­foch­te­ne Urteil auf­zu­he­ben und alle sei­ne im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten zu löschen. Behelfs­wei­se sol­le das ange­foch­te­ne Urteil auf­ge­ho­ben wer­den und alle im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten des Anwalts soll­ten nicht mehr durch das Finanz­amt ver­ar­bei­tet wer­den dür­fen. Der Bun­des­fi­nanz­hof wies die Revi­si­on als unbe­grün­det ab. “Nein” — “Doch” — “Oh”

Wer mehr über den genau­en Ablauf und die Hin­ter­grün­de erfah­ren möch­te, hier geht es zur Ent­schei­dung des BFH.

Mit die­sem Schman­kerl ver­ab­schie­den wir uns in die Win­ter­pau­se und wün­schen allen Lesern und Emp­fän­gern sowie deren Lie­ben schö­ne Fei­er­ta­ge und einen guten Rutsch ins Jahr 2024. Wir lesen uns.

Rechts­aus­le­ger? Nein, Dan­ke! Kla­re Kan­te gegen Rechts

Man mag von unse­rer der­zei­ti­gen Bun­des­in­nen­mi­nis­te­rin Nan­cy Fae­ser hal­ten, was man will und man kann auch nicht mit allem ein­ver­stan­den sein, was aus ihrem Haus vor­an­ge­trie­ben (Vor­rats­da­ten­spei­che­rung etc.). Aber in einem Punkt hat sie auf jeden Fall mehr als recht: Und zwar bei der gefor­der­ten Abgren­zung durch Unter­neh­mer und Unter­neh­men gegen Rechts­extre­mi­mus. In einer Zeit, in der Apps vor Pro­duk­ten war­nen, die aus Isra­el stam­men (“Kauft nicht bei Juden”) und Unter­neh­mens­len­ker in Gesprä­chen mit Vor­sit­zen­den von rech­ten Par­tei­en kei­ner­lei Nähe zum Natio­nal­so­zi­a­li­mus (“But­ter­milch auf den Augen?”) ent­de­cken kön­nen, hat die­se For­de­rung ein maxi­ma­les Maß an Daseinsberechtigung.

Die 3 Mar­ken der a.s.k. (a.s.k. Daten­schutz, a.s.k. Infor­ma­ti­ons­si­cher­heit und a.s.k. Aka­de­mie) sind nicht sys­tem­re­le­vant. Unse­re Mit­ar­bei­ter­zahl ist über­schau­bar. Klein, aber fein und am Ende nur ein klei­ner Trop­fen im Oze­an. Aber jede Stim­me zählt und uns alle im Team eint der Gedan­ke und die Über­zeu­gung, dass es Zeit ist, kla­re Kan­te gegen Rechts zu zei­gen. Für natio­nal­so­zia­lis­ti­sches Gedan­ken­gut gibt es bei uns kei­nen Platz. Wer meint, Het­ze gegen Juden oder Aus­län­der im All­ge­mei­nen oder die Abschaf­fung der demo­kra­ti­schen Grund­ord­nung löse sei­ne per­sön­li­chen Pro­ble­me oder die Her­aus­for­de­run­gen der Gesell­schaft vor den gro­ßen (und oft haus­ge­mach­ten) Pro­ble­men der Zukunft, der hat bei uns weder im Team noch als Kun­de etwas ver­lo­ren. Wir wer­den wei­ter­hin (mone­tä­re) Unter­stüt­zung leis­ten, um Orga­ni­sa­tio­nen im Kampf gegen Rechts­extre­mi­mus zu hel­fen. Wir brin­gen uns aber auch selbst ehren­amt­lich gegen Rechts ein, wo es mög­lich ist z.B. auch bei der frei­wil­li­gen Mel­dung für Schöf­fen­plät­ze, um dort kei­nen Platz für Rechts-Sym­pa­thi­san­ten zu lassen.

“Du bist dolz, ein Steut­scher zu sein?” — Dein Ding. Aber nicht unse­res. #kla­re­kan­te­ge­gen­rechts

Nach­trag vom 12.12.2023:

Uns haben inter­es­san­te Rück­mel­dun­gen zu die­sem Bei­trag per Email erreicht. Dar­in fand sich die gan­ze Band­brei­te des rech­ten What­a­bou­tism und Recht­fer­ti­gungs­ge­schwur­bels begin­nend von “Man darf heu­te nicht mehr alles sagen” über “Links gibt es auch Extre­me” bis hin zu wir wären Steig­bü­gel­hal­ter des kom­men­den Über­wa­chungs­staats. Nun ja, las­sen wir das mal ein­fach so ste­hen und wirken 🙂

Mitt­ler­wei­le haben wir uns im Team abge­stimmt und unse­re jähr­li­che Spen­de ging an die Jugend­in­itia­ti­ve “Kein Bock auf Nazis”. Ein bemer­kens­wer­tes Pro­jekt, das noch deut­lich mehr Unter­stüt­zung und Auf­merk­sam­keit benö­tigt. Die rech­ten Dem­ago­gen fischen erfolg­reich über sozia­le Netz­wer­ke und vor Schu­len und Jugend­zen­tren nach unauf­ge­klär­tem Nach­wuchs, der noch anfäl­lig für deren Paro­len ist. Hier leis­tet “Kein Bock auf Nazis” wich­ti­ge Auf­klä­rungs­ar­beit gegen Rechts­extre­mis­mus: “Kein Bock Auf Nazis (KBAN) ist Deutsch­lands größ­te unab­hän­gi­ge Jugend-Initia­ti­ve gegen Rechts­extre­mis­mus und Ras­sis­mus. Seit 2006 unter­stüt­zen, ver­net­zen und infor­mie­ren wir Jugend­li­che und jun­ge Erwach­se­ne zum The­ma Rechts­ruck, Ras­sis­mus und Neo­na­zis. Wir sind laut. Wir machen Mut. Wir hel­fen aktiv zu werden.”

Die mobile Version verlassen