Zum Inhalt springen

Blog

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?

In den letz­ten Mona­ten und Jah­ren neh­men erfolg­rei­che Angrif­fe, unab­hän­gig ob ziel­ge­rich­tet oder Kate­go­rie “Mit­ar­bei­ter zu wenig sen­si­bi­li­siert” oder bei­des, auf Unter­neh­men und Ver­wal­tun­gen ste­tig zu. Sind dabei (zwangs­läu­fig) per­so­nen­be­zo­ge­ne Daten betrof­fen, kom­men ganz schnell die Arti­kel 32, 33 und 34 der Daten­schutz­grund­ver­ord­nung (DSGVO) ins Spiel.

Wäh­rend Arti­kel 33 DSGVO für den Fall des Fal­les die zeit­na­he Ein­bin­dung der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de bin­nen einer Frist von 72 Stun­den vor­sieht, schreibt Arti­kel 34 DSGVO die unver­züg­li­che Infor­ma­ti­on der sog. Betrof­fe­nen bei einem vor­aus­sicht­lich hohen Risi­ko vor. Die bei­den Arti­kel befas­sen sich u.a. also mit der REAKTION auf einen Sicher­heits­vor­fall mit per­so­nen­be­zo­ge­nen Daten.

Aus der Infor­ma­ti­ons­si­cher­heit und dem Busi­ness Con­ti­nui­ty Manage­ment wis­sen wir aber nun, dass VORBEUGEN deut­lich effi­zi­en­ter und effek­ti­ver ist, als hin­ter­her den Schla­mas­sel auf­räu­men und aus­ba­den zu müs­sen. Das hat auch der Gesetz­ge­ber erkannt und schreibt in Arti­kel 32 DSGVO etwas zur sog. “Sicher­heit der Ver­ar­bei­tung”:

Abs. 1: Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:

a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

Abs. 2: Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit bereits näher befasst hat, wird in Absatz 1 b, c und d alte Bekann­te wie­der­tref­fen. Dort wer­den die Grund­wer­te der Infor­ma­ti­ons­si­cher­heit vor­ge­schrie­ben, sowie die rasche Wie­der­her­stell­bar­keit von Daten und Sys­te­men und ein kon­ti­nu­ier­li­ches Ver­bes­se­rungs­ma­nage­ment der Schutz­maß­nah­men gefor­dert. Also alles das, was moder­ne Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (ISMS) wie die ISO 27001, der BSI IT-Grund­schutz mit sei­nen 3 Absi­che­rungs­stu­fen, ein CISIS12 oder auch klei­ne­re Sys­te­me wie die sog. Arbeits­hil­fe mit sich bringen.

Schnell kommt natür­lich dann die Fra­ge auf “Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) schreibt der Gesetz­ge­ber vor?”. Kon­kret? Meist gar kei­ne. Und das hat auch einen trif­ti­gen Grund.

Wie­so Geset­ze zumeist kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Detail vorschreiben?

Ganz ein­fach: Weil es für gewöhn­lich kei­nen Sinn macht. Bedro­hun­gen tech­ni­scher und orga­ni­sa­to­ri­scher Natur ver­än­dern sich im Lau­fe der Zeit, mal schnel­ler, mal lang­sa­mer. Die­se Ver­än­de­run­gen erfor­dern zumeist auch eine Anpas­sung vor­han­de­ner Schutz­maß­nah­men bzw. deren Weg­fall und Ersatz durch ande­re, bes­ser wir­ken­de Schutz­maß­nah­men. Und da Geset­ze für gewöhn­lich eine lang­fris­ti­ge Gül­tig­keit haben, eine Ände­rung bzw. Anpas­sung einen nicht uner­heb­li­chen Auf­wand mit sich bringt, ver­zich­tet man auf die kon­kre­te Nen­nung von Schutz­maß­nah­men. Erst recht auf die Nen­nung kon­kre­ter Pro­duk­te oder Her­stel­ler. Eigent­lich logisch.

Statt­des­sen gibt der Gesetz­ge­ber hier im Arti­kel 32 DSGVO einen Ange­mes­sen­heits­rah­men vor mit “Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Personen .…”

Die­sen Rah­men gilt es nun für die eige­nen Ver­ar­bei­tun­gen oder auch Dienst­leis­tun­gen, die für ande­re erbracht wer­den (Auf­trags­ver­ar­bei­tung), zu prü­fen und zu bewer­ten. Erst mal sei vor­an­ge­stellt, es muss nicht alles an Schutz­maß­nah­men ein­ge­führt oder imple­men­tiert wer­den, was tech­nisch oder orga­ni­sa­to­risch maxi­mal mög­lich ist. Das sind schon mal gute Nach­rich­ten. Ande­rer­seits kann man aller­dings auch nicht unter Ver­weis auf “Kein Geld”, “Kei­ne Mit­ar­bei­ter”, “Kei­ne Lust” oder “Wir haben Wich­ti­ge­res zu tun” das Ange­mes­sen­heits­prin­zip unter den Tisch fal­len las­sen und sich tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men spa­ren. Immer­hin muss man ja laut Gesetz fol­gen­de Din­ge berücksichtigen:

  • Das not­wen­di­ge Schutz­ni­veau der zu schüt­zen­den Daten.
  • Den sog. Stand der Technik.
  • Die Ein­tritts­wahr­schein­lich­keit von Risi­ken für schüt­zens­wer­te Daten (die eige­nen oder die von Kunden).
  • Das Scha­dens­aus­maß, soll­te den schüt­zens­wer­ten Daten doch etwas “zusto­ßen”.

Wür­de der Gesetz­ge­ber nun kon­kret eine Video­über­wa­chung per Gesetz vor­schrei­ben, wäre das sicher eine gute Schutz­maß­nah­me zur Absi­che­rung der Außen­haut eines Rechen­zen­trums. Ist man jedoch ein Dienst­leis­ter, der War­tungs­ar­bei­ten remo­te bei einem Kun­den durch­führt, wür­de eine Video­über­wa­chung nicht spür­bar zu einer Erhö­hung des Schutz­ni­veaus sei­tens des Dienst­leis­ters für die­se Ver­ar­bei­tung bei­tra­gen. Die zu tref­fen­den Schutz­maß­nah­men müs­sen also geeig­net sein, die Ein­tritts­wahr­schein­lich­keit und das Scha­dens­aus­maß eines Risi­kos für die jewei­li­ge Ver­ar­bei­tung zu begren­zen. Tun sie das nicht, sind die­se Schut­zß­nah­me nicht zwin­gend obso­let, tra­gen aber zur Absi­che­rung der kon­kre­ten Ver­ar­bei­tung nichts oder nur sehr wenig bei.

Dem Gesetz­ge­ber kommt es also auf die Aus­wahl von Schutz­maß­nah­men an, die geeig­net sind, das Risi­ko für die jewei­li­gen Ver­ar­bei­tun­gen zu begren­zen UND dem sog. Stand der Tech­nik ent­spre­chen. In Spe­zi­al­ge­set­zen kann es zu Aus­nah­men von die­ser Vor­ge­hens­wei­se kom­men. Die­se gel­ten dann jedoch zumeist nur für ganz spe­zi­el­le Bran­chen und Tätigkeiten.

Was hat es mit die­sem “Stand der Tech­nik” auf sich?

Stand der Tech­nik ist ein unbe­stimm­ter Rechts­be­griff, der eine inhalt­li­che und zeit­li­che Dehn­bar­keit mit sich bringt. Wer sich die Mühe macht und sich im Rah­men einer Web­re­cher­che zu dem Begriff schlau­er machen will, wird am Ende auch kei­ne kon­kre­ten Schut­zß­nah­men zur Absi­che­run­gen sei­ner eige­nen Ver­ar­bei­tung emp­foh­len bekom­men. Ver­su­chen wir es mal mit ein paar Beispielen.

Seit Jah­ren gibt es einen Trend zu Online-Back­ups, sei es auf gro­ße Sto­rages im eige­nen Netz­werk oder sogar ganz raus aus dem eige­nen Netz­werk zu Cloud-Anbie­tern. Eine sol­che Art der Daten­si­che­rung kann sicher als Stand der Tech­nik ein­ge­ord­net wer­den. Ersetzt die­se jetzt jedoch auto­ma­tisch die klas­si­sche Band­si­che­rung? Und ent­spricht die Band­si­che­rung damit nicht mehr dem Stand der Tech­nik? Um das zu bewer­ten, muss man sich die Bedro­hungs­la­ge für Daten­si­che­run­gen anschau­en. Ein Back­up, das im eige­nen Netz­werk oder bei einem exter­nen Cloud-Anbie­ter gene­rell zugreif­bar ist, kann jeder­zeit zer­stört oder kom­pro­mit­tiert wer­den. Hier besteht also ein Risi­ko, im Fal­le des Fal­les not­wen­di­ge Daten nicht mehr wie­der­her­stel­len zu kön­nen. Ande­rer­seits sind die­se Daten­si­che­run­gen zumeist sehr schnell wie­der­her­zu­stel­len, was ein Vor­teil ist. Und aus die­sen Grund ergänzt eine Band­si­che­rung bzw. jede Art von Off­line-Back­up eine gute Daten­si­che­rungs­stra­te­gie, um genau die­ses ver­blei­ben­de Risi­ko beherrsch­bar zu machen. Band­si­che­rung mag daher old school erschei­nen, ist aber nach Stand der Tech­nik wei­ter­hin eine geeig­ne­te Schutzmaßnahme.

Der klas­si­sche Log­in bei inter­nen und exter­nen Diens­ten geschieht zumeist mit­tels Benut­zer­na­me und Kenn­wort. Für die Gestal­tung von Kenn­wör­tern gibt es ergän­zend mehr oder weni­ge sinn­vol­le Rege­lun­gen zu Län­ge und Kom­ple­xi­tät und Wech­sel­in­ter­val­len. Feh­len wei­te­re Schutz­maß­nah­men wie die Begren­zung der Anmel­de­ver­su­che, so wird die Luft schnell dünn. Dazu gibt es das nicht uner­heb­li­che Risi­ko des erfolg­rei­chen Phis­hings, also des Abgriffs und Aus­nut­zens von gül­ti­gen Zugangs­da­ten. Somit ist eine Beschrän­kung auf Benut­zer­na­me und Kenn­wort zur Absi­che­rung von Zugän­gen in vie­len Fäl­len allei­ne nicht mehr aus­rei­chend. Die­se ist je nach Ein­satz­si­tua­ti­on nicht mehr zeit­ge­mäß und ent­spricht daher wohl nur noch sel­ten dem sog. Stand der Tech­nik. Ergänzt man jedoch den Log­in mit Benut­zer­na­me und Pass­wort bei­spiels­wei­se um eine Mul­ti- oder Zwei-Fak­tor-Authen­ti­sie­rung (MFA /​ 2FA), hebt man das Schutz­ni­veau mit einer aktu­el­len tech­ni­schen Schutz­maß­nah­me wie­der auf ein ange­mes­se­nes Level an und ent­spricht damit der­zeit wie­der dem sog. Stand der Tech­nik. Dies gilt auch für neue­re Absi­che­rungs­me­tho­den wie Pass­keys etc. 2FA ist also kei­ne Rake­ten­wis­sen­schaft, son­dern der­zeit aner­kann­ter Stand der Technik.

Oft hilft auch ein Blick in die ver­schie­de­nen Nor­men für Infor­ma­ti­ons­si­cher­heit. Wer­den dort kon­kre­te­re Schutz­maß­nah­men genannt, kann man davon aus­ge­hen, dass die­se dem sog. Stand der Tech­nik ent­spre­chen. Sie hät­ten sonst kei­ne Auf­nah­me in die­se Nor­men gefun­den. So fin­det sich 2FA /​ MFA bei­spiels­wei­se unter ande­rem im Kapi­tel 8.5 Siche­re Authen­ti­fi­zie­rung der ISO 27002, aber auch im Grund­schutz-Bau­stein ORP.4 Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment in der Anfor­de­rung A.10. Auch wenn der Grund­schutz-Bau­stein CON.3 Daten­si­che­rungs­kon­zept die Band­si­che­rung nicht nament­lich erwähnt, so sind die Anfor­de­run­gen aus A.14 und A.12 mit einer sol­chen rela­tiv ein­fach zu erfüllen.

Hil­fe­stel­lung zum Stand der Technik

Eine sehr hilf­rei­che Über­sicht über gän­gi­ge tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die dem sog. Stand der Tech­nik ent­spre­chen, stellt der Bun­des­ver­band IT-Sicher­heit e.V. (Tele­TrusT) regel­mä­ßig zur Ver­fü­gung. Die­se ist in aktu­el­ler Ver­si­on jeweils hier zu fin­den. Zum Zeit­punkt die­ses Bei­trags ist dies die Ver­si­on 2023-05. In die­ser Über­sicht fin­det sich bei­spiels­wei­se dann auch die MFA /​ 2FA unter Punkt 3.2.3 auf Sei­te 22.

Die dar­in ange­führ­ten Schutz­maß­nah­men sind nicht abschlie­ßend. Es gibt dar­über­hin­aus vie­le wei­te­re Maß­nah­men, die als Stand der Tech­nik ein­ge­ord­net wer­den kön­nen. Anhand die­ser Über­sicht kann man jedoch gut prü­fen, ob die eige­ne Orga­ni­sa­ti­on zumin­dest ansatz­wei­se auf einem aktu­el­len Stand der Schutz­maß­nah­men unter­wegs ist. Wenn nicht, heißt es handeln.

Auch die von uns unse­ren Kun­den zur Ver­fü­gung gestell­ten Check­lis­ten für die sog. TOM-Checks berück­sich­ti­gen übli­cher­wei­se den sog. Stand der Tech­nik. Abwei­chun­gen oder Lücken soll­ten durch­aus als Risi­ko­fak­to­ren begrif­fen und ide­al­wei­se unter Berück­sich­ti­gung von Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß besei­tigt werden.

Fazit

Der Gesetz­ge­ber schreibt für gewöhn­lich kei­ne kon­kre­ten tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men für Unter­neh­men und Ver­wal­tung vor. Schutz­maß­nah­men kön­nen einer­seits schnell altern und ande­rer­seits pas­sen bestimm­te Schutz­maß­nah­men nicht auf jede Orga­ni­sa­ti­on und deren Risi­ken bei der Ver­ar­bei­tung. Von daher gilt es, sich der Risi­ken für die eige­nen Ver­ar­bei­tun­gen im Hin­blick auf Ein­tritts­wahr­schein­lich­keit und Scha­dens­aus­maß (für die eige­ne Orga­ni­sa­ti­on, aber auch für die Betrof­fe­nen) bewußt zu wer­den bzw. die­se zu iden­ti­fi­zie­ren und zu bewer­ten. Dann sind im Rah­men der Ange­mes­sen­heit geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ein­zu­füh­ren bzw. wei­ter­zu­ent­wi­ckeln, die dem sog. Stand der Tech­nik ent­spre­chend und dabei hel­fen, die zuvor iden­ti­fi­zier­ten Risi­ken beherrsch­bar zu machen. Dies ist kei­ne ein­ma­li­ge Tätig­keit, son­dern ein wie­der­keh­ren­der Pro­zess, der idea­ler­wei­se — je nach Risi­ko — min­des­tens jähr­lich zu durch­lau­fen ist. Dann klappt es auch mit Arti­kel 32 DSGVO. Und vor den Arti­keln 33 und 34 DSGVO muss man sich weni­ger fürch­ten bzw. wird die­se sel­te­ner durch­füh­ren müssen.

Gutes Gelin­gen. Sie wün­schen Unter­stüt­zung? Spre­chen Sie uns an.

 

Grund­satz­fra­ge geklärt, Pro­blem gelöst oder gar der Todes­stoß? — Der EuGH zu Coo­kies und dem Datenschutz

So oder so ähn­lich wird das aktu­el­le EuGH-Urteil (Az. C‑604/​22 IAB Euro­pe) zum The­ma Daten­ver­ar­bei­tung bei per­so­na­li­sier­ter Wer­bung in der hie­si­gen Pres­se kommentiert.

Die Ver­qui­ckung von Coo­kies und Daten­schutz ist oft ein Grund dafür, dass noch immer gebets­müh­len­ar­tig wie­der­holt wird, der Daten­schutz trägt Schuld an die­sen ner­vi­gen Coo­kie-Ban­nern. Doch dazu spä­ter mehr…

Um was geht’s bei dem Urteil genau?

Schon 2022 kam die bel­gi­sche Daten­schutz­be­hör­de zu dem Schluss, dass das Sys­tem des Trans­pa­ren­cy and Con­sent frame­work (TCF), mit dem der Wer­be­ver­band Inter­ac­ti­ve Adver­ti­sing Bureau Euro­pe (IAB), bzw. Wer­be­trei­ben­de im Inter­net Ein­wil­li­gun­gen von Nutzer:innen für ihre per­so­na­li­sier­te Wer­bung sam­melt, gegen die Daten­schutz­grund­ver­ord­nung verstößt.

Ein Bestand­teil der per­so­na­li­sier­ten Wer­bung im Inter­net ist das Real Time Bid­ding. Dazu wer­den in Echt­zeit Gebo­te für Wer­be­plät­ze auf Web­sites oder Anwen­dun­gen von Wer­be­trei­ben­den abge­ge­ben. Die­se Wer­be­plät­ze wer­den ver­stei­gert, um dort Wer­bung anzu­zei­gen, die genau auf die jewei­li­gen Nutzer:innen und deren Vor­lie­ben zuge­schnit­ten sind.

Damit dies funk­tio­nie­ren kann, müs­sen die Prä­fe­ren­zen der jewei­li­gen Nutzer:innen irgend­wo hin­ter­legt wer­den. Hier kommt das oben erwähn­te TCF, kon­kret der soge­nann­te TC-String ins Spiel. Das TC steht auch hier für „Trans­pa­ren­cy and Con­sent“. Eine Kom­bi­na­ti­on aus Zah­len und Buch­sta­ben in denen „gespei­chert“ wird, in wel­che Daten­ver­ar­bei­tung ihrer spe­zi­fi­schen per­so­nen­be­zo­ge­nen Daten die Nutzer:innen ein­ge­wil­ligt haben und in wel­che nicht. Das IAB Euro­pe teilt die­sen TC-String mit sei­nen Part­nern, damit die­se auch wis­sen wel­che Wer­bung sie ziel­ge­recht aus­spie­len kön­nen. Auf den Gerä­ten der Nutzer:innen wird für die­sen Zweck ein Coo­kie gespei­chert, damit die Zuord­nung erfol­gen kann wel­cher TC-String zu wel­chen Nutzer:innen gehört.

Bel­gi­en ver­häng­te Buß­geld gegen IAB Europe

Die bel­gi­sche Daten­schutz­be­hör­de kam zu dem Schluss, dass die­ser ver­wen­de­te TC-String in Kom­bi­na­ti­on mit dem Coo­kie der IP-Adres­se der Nutzer:innen zuge­ord­net wer­den kann und somit ein per­so­nen­be­zo­ge­nes Datum dar­stellt. Des Wei­te­ren befand die Behör­de, dass das IAB Euro­pe als Ver­ant­wort­li­cher auf­tritt, jedoch die DSGVO-Rege­lun­gen nicht voll­stän­dig ein­hält. Im Zuge des­sen ver­häng­te die Behör­de diver­se Maß­nah­men und eine Geld­bu­ße in Höhe von 250.000 Euro.

IAB Euro­pe wehrt sich, der EuGH ist am Zug

Das IAB Euro­pe wehr­te sich natür­lich dage­gen, doch nun urteil­te der Euro­päi­sche Gerichts­hof und bestä­tig­te die Ent­schei­dun­gen der bel­gi­schen Auf­sichts­be­hör­de. Der TC-String ist als per­so­nen­be­zo­ge­nes Datum und das IAB Euro­pe als gemein­sa­mer Ver­ant­wort­li­cher anzu­se­hen, so die Pres­se­mit­tei­lung des EuGH.

Es bleibt also span­nend, vor allem wie nun die Wer­be­wirt­schaft im Inter­net damit umge­hen wird. Bis­her wie­gelt das IAB Euro­pe das Urteil als tech­ni­sche For­ma­lie ab, jedoch bedeu­tet die Ein­stu­fung als gemein­sa­mer Ver­ant­wort­li­cher eine Haft­bar­keit für das IAB Euro­pe, die emp­find­li­che Stra­fen nach sich zie­hen kann.

Der Daten­schutz ist schuld, wie immer

Aber wie war das denn nun mit der Schuld des Daten­schut­zes an unleid­li­chen Coo­kie-Ban­nern? Wie so oft, wenn es heißt der Daten­schutz ist schuld, liegt es nicht am Datenschutz. 😉

Die „Schuld“ liegt doch in ers­ter Linie in der ePri­va­cy-Richt­li­nie, der Richt­li­nie 2002/​58/​EG des Euro­päi­schen Par­la­ments und des Rates vom 12. Juli 2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und den Schutz der Pri­vat­sphä­re in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on, die­se wur­de nicht umsonst mehr oder weni­ger lie­be­voll Coo­kie-Richt­li­nie genannt.

Do you like Cookies?

Und wer mehr über das The­ma Coo­kies auf unse­rer Web­site erfah­ren möch­te, hier ent­lang!

ISB Boot Camp 2024 — Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Das Boot Camp 2024 für kom­mu­na­le Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te fin­det heu­er am 09.04. und 10.04.2024 im wun­der­schö­nen Gun­zen­hau­sen statt. Mitt­ler­wei­le ist die­se Ver­an­stal­tung in der moder­ni­sier­ten Stadt­hal­le in Gun­zen­hau­sen bereits eine fes­te Insti­tu­ti­on für kom­mu­na­le Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te gewor­den. Neben fach­li­chen Infor­ma­tio­nen und Tipps aus der Pra­xis im Rah­men von Vor­trä­gen und zumeist Work­shops steht das Netz­wer­ken und das “Fach­sim­peln” unter den rund 100 Teil­neh­mern im Vor­der­grund. Dafür wird die­ses Jahr noch mehr Raum sein als zuvor.

Die Teil­neh­mer erwar­tet ein abwechs­lungs­rei­ches Pro­gramm, das sowohl tech­ni­sche als auch orga­ni­sa­to­ri­sche Aspek­te der Infor­ma­ti­ons­si­cher­heit und die Belan­ge des Tages­ge­schäfts eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten umfasst. Orga­ni­siert und koor­di­niert wird die zwei­tä­gi­ge Ver­an­stal­tung durch die Baye­ri­sche Ver­wal­tungs­schu­le (BVS), das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern (LSI), der Stadt Gun­zen­hau­sen und der a.s.k. Infor­ma­ti­ons­si­cher­heit Sascha Kuhrau.

Agen­da und The­men des ISB Boot Camp 2024

Nach den am ers­ten Tag obli­ga­to­ri­schen Begrü­ßungs­wor­ten durch den 1. Bür­ger­meis­ter der Stadt Gun­zen­hau­sen, Herrn Karl-Heinz Fitz und den Prä­si­den­ten des Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (LSI), Herrn Bernd Geis­ler, geht es gleich in medi­as res.

Herr Rei­ner Schmidt (LSI) wird unter dem Titel “Neu­es aus dem LSI” nicht nur das aktu­el­le Bedro­hungs­ri­si­ko für Kom­mu­nen skiz­zie­ren, son­dern dazu das Bera­tungs- und Dienst­leis­tungs­an­ge­bot des LSI vor­stel­len, um die­sen Risi­ken als Kom­mu­nal­ver­wal­tung bes­ser begeg­nen zu können.

Der größ­te Teil des ers­ten Tages bleibt jedoch den Pra­xis-Work­shops vor­be­hal­ten, die sich mehr­mals wie­der­ho­lend am ers­ten und zwei­ten Tag ange­bo­ten wer­den. Dadurch erhal­ten die Teil­neh­mer die Mög­lich­keit, so vie­le The­men zu besu­chen, wie mög­lich. Auf der Agen­da stehen:

  • Im Gespräch mit dem LSI, Rei­ner Schmidt (LSI)
  • KI: Chan­cen und Risi­ken aus Sicht von Infor­ma­ti­ons­si­cher­heit und Daten­schutz, Sascha Kuhr­au (a.s.k. Informationssicherheit)
  • Aus­tausch-Platt­for­men /Cloud-Nut­zung, Hart­mut Löh­mann (Stadt Kempten)
  • Phis­hing Simu­la­ti­on: Stär­ken Sie Ihre Ver­tei­di­gung gegen Sicher­heits­be­dro­hun­gen, Erich Wei­din­ger (GKDS)
  • Prak­ti­sche Anwen­dung Kom­mu­nal­pro­fil im Rah­men der BSI IT-Grund­schutz Basis-Absi­che­rung, Gerd Olsow­sky-Klein (Baye­ri­scher Verwaltungsgerichtshof)
  • Kon­zept zur Abwehr von Schad­pro­gram­men — ein Lösungs­an­satz aus der Pra­xis für die Pra­xis, Bern­hard Wie­demann (Land­kreis Landshut)
  • Siche­res Web­sur­fen – Sand Boxing Ver­fah­ren, Marc Behl (Stadt Würz­burg) und Richard Lipp­mann (Stadt Zirndorf)
  • Ein­satz von Echt­zeit White­list-DNS-Fil­tern, Micha­el Pent­za (Stadt Gun­zen­hau­sen) und Hei­ki Leh­ner (keep­bit IT-Solu­ti­ons GmbH)
  • Pene­tra­ti­on Tests bzw. Secu­ri­ty Test­ing — Erfah­run­gen aus einem oft getes­te­ten Unter­neh­mens, Felix Struve (inti­ve GmbH)
  • Table­top-Übun­gen als inte­gra­ler Bestand­teil eines erfolg­rei­chen Not­fall­ma­nage­ments, Lukas Schmid (LSI)
  • Deepf­akes als neu­er Angriffs­vek­tor, Andrea Reichl-Streich (Stadt Ingolstadt)
  • “Betrug & Abwehr” — im spie­le­ri­schen Umgang mit Cyber­an­grif­fen und deren Abwehr zum Held /​ zur Hel­din der IT-Sicher­heit!, Richard Lipp­mann (Stadt Zirndorf)
  • Von 0 auf 200–4: Busi­ness Con­ti­nui­ty Manage­ment in einem Land­rats­amt, Mat­thi­as Rau­schen­berg (Land­rats­amt Miesbach)
  • Bewusst­sein schaf­fen – Der Fak­tor Mensch in der IT-Sicher­heit, Robert Loh­mann (IMC AG)
  • Neu­es aus der BVS, Michae­la Win­ter­mayr-Greck (BVS)
  • Inter­ak­ti­ver Cyber­an­griff, N.N. (Baye­ri­sches Landeskriminalamt)

Am zwei­ten Tag wird am Vor­mit­tag zur Podi­ums­dis­kus­si­on gela­den. Titel: “Digi­ta­le Sou­ve­rä­ni­tät – Wel­che Qua­li­fi­ka­ti­on brau­chen wir zukünf­tig in der Aus- und Fort­bil­dung in Behörden?”

Auf dem Podi­um dür­fen wir begrü­ßen und freu­en uns auf eine span­nen­de Dis­kus­si­on mit

  • Hans-Chris­ti­an Witt­hau­er ‚Vor­stand der Baye­ri­schen Ver­wal­tungs­schu­le (BVS)
  • Bernd Geis­ler Prä­si­dent des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (LSI)
  • Dr. Wolf­gang Denk­haus, Baye­ri­sches Staats­mi­nis­te­ri­um für Digi­ta­les (StMD)
  • Sascha Kuhr­au, a.s.k. Infor­ma­ti­ons­si­cher­heit und Dozent der BVS
  • Dr. Oli­ver Brun­ner, Geschäfts­stel­le des Baye­ri­schen Lan­des­be­auf­trag­ten für den Daten­schutz (BayLfD)

Als Mode­ra­tor führt der geschätz­te Horst Schä­fer (ehem. IT-Lei­ter der Stadt Gun­zen­hau­sen und Aus­bil­der bei der BVS)  durch die Podiumsdiskussion.

Am ers­ten Ver­an­stal­tungs­tag erwar­tet die Teil­neh­mer ein inter­es­san­tes, kurz­wei­li­ges Abend­pro­gramm, bevor der Tag bei einem gemüt­li­chen Abend­essen ausklingt.

Erhalt der Fach­kun­de von Informationssicherheitsbeauftragten

Die Ver­an­stal­tung dient als Nach­weis zum Erhalt der Fach­kun­de von aus­ge­bil­de­ten Informationssicherheitsbeauftragten.

Wei­te­re Infor­ma­tio­nen und zur Anmel­dung — sie­he BVS.

BayL­DA: Wie rechts­kon­form ist Ihr Coo­kie-Ban­ner? Ein­wil­li­gungs­ma­nage­ment auf Web­sei­ten auf dem Prüfstand

BayL­DA (Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht) star­tet Prüf­ak­ti­on für Coo­kie-Ban­ner und Consent-Management

Das eine oder ande­re Unter­neh­men mit Sitz in Bay­ern hat bereits Post vom BayL­DA erhal­ten. Hin­ter­grund: In einem ers­ten Durch­lauf zur Prü­fung der Rechts­kon­for­mi­tät von Coo­kie-Ban­nern und dem Con­sent-Manage­ment hat das BayL­DA im ers­ten Schwung bei 350 Unter­neh­men kon­kre­te Grün­de gefun­den, deren Umset­zung zu bean­stan­den. Dem BayL­DA miß­fiel dabei unter ande­ren, dass

  • bereits Pro­zes­se rund um Coo­kies und Daten­über­tra­gun­gen in Gang gesetzt wer­den, sobald die Web­sei­te auf­ge­ru­fen wird, noch bevor mit dem Besu­cher im Hin­blick auf not­wen­di­ge Ein­wil­li­gun­gen (Con­sent-Manage­ment) inter­agiert wird (§ 25 TTDSG) und
  • es auf der ers­ten Ebe­ne im Con­sent-Manage­ment sel­ten eine ein­fa­che Opti­on zur Ableh­nung (Nicht-Ein­wil­li­gung) für den Besu­cher zur Ver­fü­gung steht bzw. durch des­sen Feh­len nach Sicht­wei­se des BayL­DA kei­ne rechts­wirk­sa­me Ein­wil­li­gung im Sin­ne von 25 Abs. 1 S. 2 TTDSG wie auch Art. 6 Abs. 1 lit. a DSGVO vorliegt.

“Trotz der nun gesetz­lich klar fest­ge­schrie­be­nen Ein­wil­li­gungs­pflicht für Zugrif­fe auf End­ein­rich­tun­gen, also bei­spiels­wei­se das Set­zen von Coo­kies oder das Aus­le­sen von Wer­be-IDs und ande­ren Iden­ti­fi­ern, erhal­ten wir wei­ter­hin eine sehr hohe Anzahl an Beschwer­den und Kon­troll­an­re­gun­gen in die­sem Bereich”, so das BayL­DA zur Moti­va­ti­on für die­se anlass­los Prüfaktion.

Im Zuge des­sen wur­den auch Apps und deren Ver­hal­ten im og. Kon­text geprüft. Im Gegen­zug zur auto­ma­ti­sier­ten Prü­fung der Umset­zung auf Web­sei­ten, gestal­tet sich die App-Prü­fung lt. BayL­DA deut­lich aufwendiger.

“Die Prü­fung knüpft zunächst am Ein­satz einer sehr ver­brei­te­ten Con­sent-Manage­ment-Platt­form (CMP) an, soll in wei­te­ren Durch­läu­fen aber auf wei­te­re CMP-Anbie­ter und damit eine noch grö­ße­re Zahl von Web­sei­ten aus­ge­dehnt wer­den”, schreibt das BayL­DA in sei­ner Pres­se­mit­tei­lung vom 09.02.2024. Wer also als Unter­neh­men, Frei­be­ruf­ler oder Ver­ein mit Sitz in Bay­ern bei den bis­her 350 Bean­stan­dun­gen noch nicht dabei war, hat gute Chan­cen, zukünf­tig doch noch Post vom BayL­DA zu erhalten.

Anfor­de­run­gen an ver­ant­wort­li­che Stel­len sowie Ergeb­nis­se aus die­ser Prüf­ak­ti­on wer­den suk­zes­si­ve im Abschnitt “Daten­schutz­prü­fun­gen” auf der Web­sei­te des BayL­DA ver­öf­fent­licht. Rein­schau­en lohnt sich.

Wer übri­gens etwas zum The­ma Coo­kies auf unse­rer Web­sei­te erfah­ren möch­te, bit­te hier ent­lang.

Das Finanz­amt darf Dei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten — trotz DSGVO :-)

Etwas Kurio­ses zum Jah­res­en­de gefäl­lig? Dann haben wir hier was für Dich. In unse­ren Web­i­na­ren und Grund­schu­lun­gen zum The­ma Daten­schutz wei­sen wir im Kon­text der Betrof­fe­nen­rech­te scherz­haft immer wie­der dar­auf hin, dass die­se nicht unein­ge­schränkt gel­ten. Ein Wider­ruf der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gegen­über dem Finanz­amt wird nicht dazu füh­ren, kei­ne Steu­ern mehr bezah­len zu müs­sen 🙂 Eigent­lich logisch. Dach­ten wir.

Ent­schei­dung des Bun­des­fi­nanz­hofs, Urteil vom 05. Sep­tem­ber 2023, IX R 32/​21

Gegen­stand: Zuläs­sig­keit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Besteue­rungs­ver­fah­ren gemäß § 29b AO

Ein Finanz­amt (FA) ord­ne­te bei einem Rechts­an­walt eine Außen­prü­fung zur Ein­kom­men- und Umsatz­steu­er an. Zugleich for­der­te das FA den Klä­ger auf, bis zum Prü­fungs­be­ginn die Aus­zü­ge sei­nes betrieb­li­chen Bank­kon­tos zu über­sen­den. Nach­dem der Anwalt die­ser Auf­for­de­rung nicht nach­ge­kom­men war, ersuch­te das FA unter Hin­weis auf die Abga­ben­ord­nung (AO) die kon­to­füh­ren­de Bank um Vor­la­ge der Kon­to­aus­zü­ge. Die­sem Ersu­chen kam die Bank nach. Der Anwalt war damit nicht ein­ver­stan­den und begrün­de­te dies mit der Aus­sa­ge, die Rege­lun­gen der AO genü­gen sei­ner Mei­nung nach nicht den Anfor­de­run­gen des Art. 6 Abs. 3 der Daten­schutz-Grund­ver­ord­nung (DSGVO). Es feh­le daher an einer recht­mä­ßi­gen Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten durch das Finanz­amt. Es kam zur Abwei­sung des Lösch­be­geh­rens des Anwalts durch das Finanz­amt. Begrün­dung: Die Ver­ar­bei­tung die­ne der Ermitt­lung der Besteue­rungs­grund­la­gen im Rah­men einer Außen­prü­fung. Das dar­auf­hin vom Anwalt ange­ru­fe­ne Finanz­ge­richt zwecks Durch­set­zung sei­nes Rechts auf Löschung sei­ner per­so­nen­be­zo­ge­nen Daten gemäß Art. 17 Abs. 1 Buchst. d DSGVO hat­te kei­nen Erfolg. Das Finanz­ge­richt wies die Kla­ge ab. Dies führ­te zur Revi­si­on am Bun­des­fi­nanz­hof (BFH).

Das kam jetzt über­ra­schend, oder doch nicht?

Der Anwalt bean­trag­te beim BFH, das ange­foch­te­ne Urteil auf­zu­he­ben und alle sei­ne im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten zu löschen. Behelfs­wei­se sol­le das ange­foch­te­ne Urteil auf­ge­ho­ben wer­den und alle im Zusam­men­hang mit den Kon­to­aus­zü­gen ste­hen­den per­so­nen­be­zo­ge­nen Daten des Anwalts soll­ten nicht mehr durch das Finanz­amt ver­ar­bei­tet wer­den dür­fen. Der Bun­des­fi­nanz­hof wies die Revi­si­on als unbe­grün­det ab. “Nein” — “Doch” — “Oh”

Wer mehr über den genau­en Ablauf und die Hin­ter­grün­de erfah­ren möch­te, hier geht es zur Ent­schei­dung des BFH.

Mit die­sem Schman­kerl ver­ab­schie­den wir uns in die Win­ter­pau­se und wün­schen allen Lesern und Emp­fän­gern sowie deren Lie­ben schö­ne Fei­er­ta­ge und einen guten Rutsch ins Jahr 2024. Wir lesen uns.

Rechts­aus­le­ger? Nein, Dan­ke! Kla­re Kan­te gegen Rechts

Man mag von unse­rer der­zei­ti­gen Bun­des­in­nen­mi­nis­te­rin Nan­cy Fae­ser hal­ten, was man will und man kann auch nicht mit allem ein­ver­stan­den sein, was aus ihrem Haus vor­an­ge­trie­ben (Vor­rats­da­ten­spei­che­rung etc.). Aber in einem Punkt hat sie auf jeden Fall mehr als recht: Und zwar bei der gefor­der­ten Abgren­zung durch Unter­neh­mer und Unter­neh­men gegen Rechts­extre­mi­mus. In einer Zeit, in der Apps vor Pro­duk­ten war­nen, die aus Isra­el stam­men (“Kauft nicht bei Juden”) und Unter­neh­mens­len­ker in Gesprä­chen mit Vor­sit­zen­den von rech­ten Par­tei­en kei­ner­lei Nähe zum Natio­nal­so­zi­a­li­mus (“But­ter­milch auf den Augen?”) ent­de­cken kön­nen, hat die­se For­de­rung ein maxi­ma­les Maß an Daseinsberechtigung.

Die 3 Mar­ken der a.s.k. (a.s.k. Daten­schutz, a.s.k. Infor­ma­ti­ons­si­cher­heit und a.s.k. Aka­de­mie) sind nicht sys­tem­re­le­vant. Unse­re Mit­ar­bei­ter­zahl ist über­schau­bar. Klein, aber fein und am Ende nur ein klei­ner Trop­fen im Oze­an. Aber jede Stim­me zählt und uns alle im Team eint der Gedan­ke und die Über­zeu­gung, dass es Zeit ist, kla­re Kan­te gegen Rechts zu zei­gen. Für natio­nal­so­zia­lis­ti­sches Gedan­ken­gut gibt es bei uns kei­nen Platz. Wer meint, Het­ze gegen Juden oder Aus­län­der im All­ge­mei­nen oder die Abschaf­fung der demo­kra­ti­schen Grund­ord­nung löse sei­ne per­sön­li­chen Pro­ble­me oder die Her­aus­for­de­run­gen der Gesell­schaft vor den gro­ßen (und oft haus­ge­mach­ten) Pro­ble­men der Zukunft, der hat bei uns weder im Team noch als Kun­de etwas ver­lo­ren. Wir wer­den wei­ter­hin (mone­tä­re) Unter­stüt­zung leis­ten, um Orga­ni­sa­tio­nen im Kampf gegen Rechts­extre­mi­mus zu hel­fen. Wir brin­gen uns aber auch selbst ehren­amt­lich gegen Rechts ein, wo es mög­lich ist z.B. auch bei der frei­wil­li­gen Mel­dung für Schöf­fen­plät­ze, um dort kei­nen Platz für Rechts-Sym­pa­thi­san­ten zu lassen.

“Du bist dolz, ein Steut­scher zu sein?” — Dein Ding. Aber nicht unse­res. #kla­re­kan­te­ge­gen­rechts

Nach­trag vom 12.12.2023:

Uns haben inter­es­san­te Rück­mel­dun­gen zu die­sem Bei­trag per Email erreicht. Dar­in fand sich die gan­ze Band­brei­te des rech­ten What­a­bou­tism und Recht­fer­ti­gungs­ge­schwur­bels begin­nend von “Man darf heu­te nicht mehr alles sagen” über “Links gibt es auch Extre­me” bis hin zu wir wären Steig­bü­gel­hal­ter des kom­men­den Über­wa­chungs­staats. Nun ja, las­sen wir das mal ein­fach so ste­hen und wirken 🙂

Mitt­ler­wei­le haben wir uns im Team abge­stimmt und unse­re jähr­li­che Spen­de ging an die Jugend­in­itia­ti­ve “Kein Bock auf Nazis”. Ein bemer­kens­wer­tes Pro­jekt, das noch deut­lich mehr Unter­stüt­zung und Auf­merk­sam­keit benö­tigt. Die rech­ten Dem­ago­gen fischen erfolg­reich über sozia­le Netz­wer­ke und vor Schu­len und Jugend­zen­tren nach unauf­ge­klär­tem Nach­wuchs, der noch anfäl­lig für deren Paro­len ist. Hier leis­tet “Kein Bock auf Nazis” wich­ti­ge Auf­klä­rungs­ar­beit gegen Rechts­extre­mis­mus: “Kein Bock Auf Nazis (KBAN) ist Deutsch­lands größ­te unab­hän­gi­ge Jugend-Initia­ti­ve gegen Rechts­extre­mis­mus und Ras­sis­mus. Seit 2006 unter­stüt­zen, ver­net­zen und infor­mie­ren wir Jugend­li­che und jun­ge Erwach­se­ne zum The­ma Rechts­ruck, Ras­sis­mus und Neo­na­zis. Wir sind laut. Wir machen Mut. Wir hel­fen aktiv zu werden.”

Out­look (mal wie­der) neu­gie­ri­ger als notwendig

Der eine oder ande­re Leser wird ein klei­nes Aha-Erleb­nis haben. Da war doch was? Genau. Im Zusam­men­hang mit den Out­look-Apps für Smart­phones wur­de Kri­tik an Micro­soft laut, weil Zugangs­da­ten auch von Nicht-Micro­soft-Mail-Kon­ten zu Micro­soft abge­flos­sen sind. Nun ist die neue Out­look for Desk­top Ver­si­on am Start und das Pro­blem scheint sich zu wiederholen.

Daten­schüt­zer schla­gen Alarm

Sobald die neue Ver­si­on von Out­look instal­liert und kon­fi­gu­riert bzw. in der bis­he­ri­gen Ver­si­on der Switch “Neue Ver­si­on nut­zen” akti­viert wird, flie­ßen die Zugangs­da­ten aller ein­ge­rich­te­ten Mail­kon­ten zu Micro­soft in die Cloud ab. Und das eben nicht nur für Mail­kon­ten, die bei Micro­soft gehos­tet wer­den, son­dern auch die von allen ande­ren Anbie­tern. Die sei­tens Micro­soft nur vage umris­se­nen Grün­de für die­ses Ver­hal­ten sind nicht sehr auf­schluß­reich, war­um dies so sein muss bzw. wel­chen Zweck das haben soll. So moniert der frü­he­re Lan­des­da­ten­schutz­be­auf­trag­te Baden-Würt­tem­berg, Brink gegen­über Hei­se die man­geln­de Transparenz.

Am 17.11.2023 ver­öf­fent­lich­te der Lan­des­da­ten­schutz­be­auf­trag­te Thü­rin­gen eine Pres­se­mel­dung und warn­te offi­zi­ell vor der Nut­zung des neu­en Out­look: “Momen­tan rät der TLf­DI daher drin­gend dazu, sich die Geneh­mi­gung für die­sen tief­grei­fen­den Ein­griff in die Pri­vat­sphä­re durch die App „Neu­es Out­look“ bes­tens zu über­le­gen.” Die Emp­feh­lung lau­tet deut­lich, wei­ter­hin die bis­he­ri­ge (“klas­si­sche”) Ver­si­on von Out­look zu nut­zen bzw. sich der Fol­gen der Nut­zung des neu­en Out­look bewusst zu sein.

Da Micro­soft nicht nur die Zugangs­da­ten abzieht, son­dern auch die Inhal­te der Post­fä­cher in sei­ne Cloud “spie­gelt” warnt Brink vor mög­li­chen Risi­ken im Hin­blick auf unbe­ab­sich­ti­ge Ver­öf­fent­li­chung von Geschäfts- /​ Dienst­ge­heim­nis­sen.

ISMS-För­der­mit­tel­pro­gramm für baye­ri­sche Kom­mu­nen endet 31.12.2023

Die aktu­el­le ISMS-För­der­mit­tel­richt­li­nie zur finan­zi­el­len Unter­süt­zung der Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems im Sin­ne von Art. 43 Bay­DiG läuft zum 31.12.2023 aus. Eine Ver­län­ge­rung wur­de vom zustän­di­gen Staats­mi­nis­te­ri­um ver­neint. Eben­so eine abseh­ba­re Neuauflage.

Wenn Sie als baye­ri­sche Kom­mu­ne die Neu­ein­füh­rung eines ISMS auf Basis

  • Arbeits­hil­fe
  • CISIS12
  • VDS 10000
  • BSI IT-Grund­schutz (Kom­mu­nal­pro­fil, Basis‑, Stan­dard- oder Kernabsicherung)
  • ISO 27001

oder ein Upgrade eines klei­ne­ren vor­han­de­nen Stan­dards auf einen der höhe­ren Stan­dards pla­nen, dann soll­ten Sie sich mit der Bean­tra­gung von För­der­mit­teln beei­len. (Ach­tung: Dif­fe­renz­för­de­rung von ISIS12 zu CISIS12 ist nicht möglich.)

Laut Aus­sa­ge der För­der­mit­tel­stel­le auf der Web­sei­te soll­te Ihr Antrag spä­tes­tens am 15. Novem­ber 2023 ein­ge­gan­gen sein. Das hat meh­re­re Gründe:

  • Bei spä­te­rem Ein­gang kann eine För­der­zu­sa­ge recht­zei­tig vor Ablauf des Pro­gramms auf­grund des erhöh­ten Antrag­vo­lu­mens in der Schluß­pha­se nicht mehr garan­tiert werden.
  • Der För­der­mit­tel­topf war zwar groß, neigt sich aber den­noch dem Ende zu. Und wenn kei­ne För­der­mit­tel zur Ver­ga­be frei sind, ist es egal, wann der Antrag eingeht.

Sie brau­chen mit dem Pro­jekt jedoch nicht mehr in 2023 begin­nen. Ledig­lich der Antrag und die Bewil­li­gung müs­sen in 2023 über die Büh­ne sein. Der Beginn der Umset­zung kann in 2024 lie­gen. Sie kön­nen sich daher die­ses Jahr noch die För­der­mit­tel für die Jah­re 2024 ff. sichern.

Sie benö­ti­gen ein Ange­bot für die Unter­stüt­zung durch Bera­tung und Schu­lung von einem qua­li­fi­zier­ten Dienst­leis­ter. Qua­li­fi­ziert heißt, der Dienst­leis­ter muss sei­ne Eig­nung gegen­über der För­der­stel­le bele­gen kön­nen. Das kön­nen je nach gewähl­ter Norm sein:

  • Zer­ti­fi­kat CISIS12 Pro­fes­sio­nal /​ Offi­cer
  • Zer­ti­fi­kat BSI IT-Grund­schutz Prak­ti­ker /​ Bera­ter
  • Zer­ti­fi­kat ISO 27001 Officer

Das ist unab­hän­gig davon, ob Sie das ISMS neu ein­füh­ren oder ein bestehen­des ISMS upgraden. Unse­re Mit­ar­bei­ter sind selbst­ver­ständ­lich für alle Stan­dards zuge­las­sen. Bit­te beach­ten Sie: Das neue ISMS oder Upgrade soll­te zu Ihrer Orga­ni­sa­ti­on pas­sen. Da wir in allen oben genann­ten Nor­men zuhau­se sind, kön­nen wir Sie hier­zu orga­ni­sa­ti­ons­in­di­vi­du­ell bera­ten und müs­sen Ihnen nicht auf Gedeih und Ver­derb ledig­lich einen Stan­dard als den ein­zig rich­ti­gen Weg “ver­kau­fen”.

Zustän­dig ist die Regie­rung Ober­fran­ken. Alle Details und das Online-Antrags­for­mu­lar fin­den Sie unter https://​www​.regie​rung​.ober​bay​ern​.bay​ern​.de/​a​u​f​g​a​b​e​n​/​l​e​i​s​t​u​n​g​/​l​e​i​s​t​u​n​g​_​3​5​0​0​4​/​i​n​d​e​x​.​h​tml

Auch unse­re Res­sour­cen sind end­lich. Aber der­zeit könn­ten wir noch gut orga­ni­sier­te ISMS-Pro­jek­te in 2024 im Lau­fe des Jah­res unter­brin­gen. Anfra­gen bit­te an info@​ask-​informationssicherheit.​de oder über unse­ren Zen­tral­ruf 09155–263 99 70. Alter­na­tiv direkt über unser For­mu­lar (exter­ner Link).

Wir mel­den uns dann wegen wei­te­rer Details zur Ange­bots­er­stel­lung bei Ihnen.

Wer “Do not track” (DNT) im Brow­ser igno­riert, muss fühlen

Do-Not-Track igno­rie­ren — Kei­ne gute Idee

Das Busi­ness-Netz­werk Lin­ke­dIn hat nach dem Abstieg von X (ehe­mals Twit­ter) wei­te­ren Zulauf zu ver­zeich­nen, wie eini­ge ande­re Alter­na­ti­ven (Mast­o­don, Blues­ky) auch. Umso inter­es­san­ter ist das durch die Bun­des­ver­brau­cher­zen­tra­le vor dem Land­ge­richt erstrit­te­ne Urteil gegen die Betrei­be­rin des Netz­werks, die Lin­ke­dIn Ire­land Unli­mi­t­ed Company.

Lin­ke­dIn weist auf sei­ner Web­sei­te (dem Netz­werk) dar­auf hin, dass es die Vor­ein­stel­lung Do-Not-Track (DNT) im Brow­ser eines Besu­chers igno­rie­ren wird. DNT wur­de vor Jah­ren als Kon­fi­gu­ra­ti­ons­mög­lich­keit in den meis­ten gän­gi­gen Brow­sern ein­ge­führt, um dem Betrei­ber einer Web­sei­te von vorn­her­ein zu signa­li­sie­ren, dass man nicht “getrackt” wer­den möch­te, das Surf­ver­hal­ten also nicht auf­ge­zeich­net und ana­ly­siert wer­den soll. Der Web­sei­ten­be­su­cher wider­spricht qua­si per Brow­ser-Vor­ein­stel­lung dem Web­track­ing. Wenig ver­wun­der­lich, dass die­ser Umstand dem einen oder ande­ren Web­sei­ten­be­trei­ber nicht in den Kram passt.

Lin­ke­dIn hat­te auf sei­ner Inter­net­sei­te mit­ge­teilt, dass es die­se DNT-Ein­stel­lung bewußt igno­riert und somit  gegen den Wil­len der Nut­zer per­so­nen­be­zo­ge­ne Daten wie die IP-Adres­se und Infor­ma­tio­nen über die Nut­zung der Web­sei­te etwa für Ana­ly­se- und Mar­ke­ting­zwe­cke aus­wer­tet und auch an Dritt­an­bie­ter wei­ter­ge­ben wird.

Das Land­ge­richt Ber­lin ent­schied im Sin­ne der Ver­brau­cher­zen­tra­le. Der Wider­spruch gegen eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten kann auch auto­ma­ti­siert (also durch Vor­ein­stel­lung) aus­ge­spro­chen wer­den und muss vom ver­ant­wort­li­chen Web­sei­ten­be­trei­ber beach­tet wer­den. Der Wider­spruch sei wirksam.

Das Urteil mit dem Akten­zei­chen 16 O 420/​19 ist noch nicht rechts­kräf­tig, hat aber Signalwirkung.

Sie betrei­ben eine Web­sei­te mit Web­track­ing? Schau­en Sie sicher­heits­hal­ber mal nach, ob die Opti­on “DNT igno­rie­ren” akti­viert ist. Wenn ja … sie­he oben 🙂

Do-Not-Track im Brow­ser akti­vie­ren — wie geht das?

In den meis­ten Brow­sern hat die­se Funk­ti­on ohne viel Tam­tam Ein­zug gehal­ten. Oft­mals gut ver­steckt in den Ein­stel­lungs­me­nüs und lei­der nicht immer vor­ein­ge­stellt aktiv. Hier erfah­ren Sie mehr über die Akti­vie­rung und Einstellmöglichkeiten:

In der Such­ma­schi­ne Ihrer Wahl fin­den Sie mit­tels Anga­be des Brow­ser­na­mens und des Begriffs “do not track” auch die Ein­stell­mög­lich­kei­ten für Brow­ser ande­rer Hersteller.

New work und der Datenschutz

Die Coro­na-Pan­de­mie hat der Arbeits­welt gezeigt, dass es auch anders gehen kann bezie­hungs­wei­se anders gehen muss. Die Lern­kur­ve in Bezug auf mobi­les Arbei­ten, Arbei­ten aus dem Home Office und der dazu­ge­hö­ri­gen Nut­zung digi­ta­ler Tools wie Video­kon­fe­ren­zen war für zahl­rei­che Orga­ni­sa­tio­nen beacht­lich steil. Und als net­ten Neben­ef­fekt haben sich die Her­stel­ler von Head­sets und Web­cam dar­über auch sehr gefreut. Weni­ger erfreut sind die Ver­mie­ter von Büro­flä­chen, was auch nach­voll­zieh­bar ist. In der Fol­ge muss­ten sich auch Füh­rungs­kräf­te zwangs­läu­fig umstel­len. Denn die anver­trau­ten Mit­ar­bei­ter waren nun nicht mehr von “9 to 5” (Grü­ße an Dol­ly Par­ton) im Büro anwe­send und damit qua­si ihrer Auf­sicht ent­zo­gen. Und da gin­gen für die eine oder ande­re Füh­rungs­kraft die Pro­ble­me und Sor­gen los. 🙂

“Kon­trol­le von Beschäf­tig­ten im Home­of­fice” (Kapi­tel 11.2)

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) — zustän­dig für nicht-öffent­li­che Stel­len, also Unter­neh­men in Bay­ern hat dazu einen inter­es­san­ten Arti­kel im 12. Tätig­keits­be­richt 2022 (Sei­te 54) geschrie­ben. Und die behan­del­ten Anfra­gen rund um das The­ma Mit­ar­bei­ter­über­wa­chung im Home Office hal­ten wir für erschre­ckend. Eigent­lich waren wir aber dann doch nicht wirk­lich über­rascht, da uns selbst zu Beginn von Coro­na eine Anfra­ge einer kom­mu­na­len Füh­rungs­kraft erreich­te: “Dür­fen wir unse­re Mit­ar­bei­ter im Home Office dazu ver­pflich­ten, sich zu Dienst­be­ginn in einem Video­ka­nal anzu­mel­den, in dem alle Mit­ar­bei­ter im Home Office auf­ge­schal­tet sind, und die Video­ka­me­ra den gan­zen Tag anzu­las­sen? Nur so kön­nen wir fest­stel­len, ob sich der Mit­ar­bei­ter wäh­rend der vor­ge­schrie­be­nen Arbeits­zeit am Schreib­tisch auf­hält. Die fort­lau­fen­de Sicht­kon­trol­le den Tag über wür­de ich als Füh­rungs­kraft von mei­nem PC aus durch­füh­ren.” Und damit ist eigent­lich auch schon viel zum The­ma Füh­rungs­kraft, aber auch der Akzep­tanz von new work gesagt 🙂

Doch schau­en wir mal in den Arti­kel des BayL­DA. Kern­the­ma der Anfra­gen war die daten­schutz­recht­li­che Zuläs­sig­keit einer Über­wa­chung der Mit­ar­bei­ter im Home Office. Und hier wur­den teil­wei­se wirk­lich schwe­re Geschüt­ze aufgefahren.

New work und GPS-Überwachung

Ein Arbeit­ge­ber woll­te die phy­si­ka­li­sche Anwe­sen­heit des Mit­ar­bei­ter im Home Office mit­tels GPS-Ortung sicher­stel­len. Beim Lesen des Tätig­keits­be­richts hat­ten wir bild­lich einen Mit­ar­bei­ter mit ange­leg­ter elek­tro­ni­scher GPS-Fuß­fes­sel vor Augen. Auf­grund des erheb­li­chen Miß­brauch­po­ten­ti­als die­ser Tech­no­lo­gie emp­fahl das BayL­DA auf mil­de­re Mit­tel wie z.B. einen Kon­troll­an­ruf per Tele­fon aus­zu­wei­chen. Die Nut­zung einer hier­für genutz­ten pri­va­ten Ruf­num­mer des Mit­ar­bei­ters wäre über die Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO zu beschrei­ben und — sofern schon in den Stamm­da­ten vor­han­den — eine nach­träg­li­che Zweck­än­de­rung durch­zu­füh­ren und zu doku­men­tie­ren. Das BayL­DA schreibt im Zusam­men­hang mit die­sen Anru­fen zu Kon­troll­zwe­cken von Stich­pro­ben­an­ru­fen. Eine Stich­pro­be defi­niert sich dadurch, dass nicht alle Mit­ar­bei­ter im Home Office ange­ru­fen wer­den und auch nicht alle 30 Minu­ten das Tele­fon klin­gelt 🙂 Oder wie es das BayL­DA for­mu­liert: “Die Häu­fig­keit der Stich­pro­ben­kon­trol­len muss sich dabei an der Erfor­der­lich­keit und Ver­hält­nis­mä­ßig­keit mes­sen las­sen.” Als Rechts­grund­la­ge kann sich das BayL­DA Art. 6 Abs. 1 lit. b DSGVO vorstellen.

New work und Kon­trol­le (in) der Wohnung

Wie schreibt es das BayL­DA: “…, kri­tisch zu sehen.” Stich­wort: Unver­letz­lich­keit der Wohnung.

New work und Keylogger

Den Ein­satz von Key­log­gern (also das auto­ma­ti­sier­te und fort­lau­fen­de Auf­zeich­nen der gedrück­ten Tas­ten im Hin­ter­grund) stuft das BayL­DA als nicht zuläs­sig ein. Aus­nah­me: Einen auf kon­kre­te Tat­sa­chen gegrün­de­ten Ver­dacht zumin­dest einer schwer­wie­gen­den Pflicht­ver­let­zung oder Straf­tat. Gute Füh­rungs­kräf­te wis­sen, dass eine Über­wa­chungs­pa­ra­noia auf Ver­dacht damit nicht zu legi­ti­mie­ren ist.

Fazit

New work ist natür­lich mehr als das Arbei­ten im Home Office. Für vie­le Orga­ni­sa­tio­nen war durch Coro­na das Home Office jedoch ein ers­ter Kon­takt mit die­sem wirk­lich span­nen­den und zukunfts­träch­ti­gen The­ma. Das sich die Arbeits­welt und auch die Art, wie Arbeit geleis­tet wird, in einer umfas­sen­den Pha­se der Ver­än­de­rung sind, ist nicht zu bestrei­ten. Die Fra­ge ist, wie geht man als Orga­ni­sa­ti­on und als Füh­rungs­kraft damit um? Das der Daten­schutz einem über­bor­den­den Kon­troll­zwang einen Rie­gel vor­schiebt, mag die eine oder ande­re Füh­rungs­kraft nega­tiv emp­fin­den. Dazu soll­te man sich aber, mit einem Augen­zwin­kern, vor Augen hal­ten, dass die Leib­ei­gen­schaft dann doch schon vor eini­gen Jah­ren abge­schafft wur­de. 🙂 Ob der Auf­wand für die­se zuvor skiz­zier­ten Bei­spie­le inner­li­cher Kon­troll­zwän­ge im Ver­hält­nis zu dem mög­li­cher­wei­se ver­mut­lich fest­ge­stell­ten Arbeits­zeit­ver­lust besteht, darf man ruhig in Zwei­fel ziehen.

New work defi­niert unter dem Begriff new lea­der­ship: “Eine Ver­trau­ens­kul­tur und Empa­thie erset­zen streng hier­ar­chi­sche Füh­rungs­sti­le. Haupt­auf­ga­be der neu­en Füh­rungs­kräf­te ist es, die Mit­ar­bei­ter­zur Eigen­ver­ant­wor­tung zu befä­hi­gen und ihre Stär­ken zu för­dern.” Und dem steht der Daten­schutz mit Sicher­heit nicht im Weg 😉

 

 

 

 

Die mobile Version verlassen