Blog

Grundsatzfrage geklärt, Problem gelöst oder gar der Todesstoß? — Der EuGH zu Cookies und dem Datenschutz

von Sascha Kuhrau
14. März 2024

So oder so ähnlich wird das aktuelle EuGH-Urteil (Az. C‑604/22 IAB Europe) zum Thema Datenverarbeitung bei personalisierter Werbung in der hiesigen Presse kommentiert.

Die Verquickung von Cookies und Datenschutz ist oft ein Grund dafür, dass noch immer gebetsmühlenartig wiederholt wird, der Datenschutz trägt Schuld an diesen nervigen Cookie-Bannern. Doch dazu später mehr…

Um was geht’s bei dem Urteil genau?

Schon 2022 kam die belgische Datenschutzbehörde zu dem Schluss, dass das System des Transparency and Consent framework (TCF), mit dem der Werbeverband Interactive Advertising Bureau Europe (IAB), bzw. Werbetreibende im Internet Einwilligungen von Nutzer:innen für ihre personalisierte Werbung sammelt, gegen die Datenschutzgrundverordnung verstößt.

Ein Bestandteil der personalisierten Werbung im Internet ist das Real Time Bidding. Dazu werden in Echtzeit Gebote für Werbeplätze auf Websites oder Anwendungen von Werbetreibenden abgegeben. Diese Werbeplätze werden versteigert, um dort Werbung anzuzeigen, die genau auf die jeweiligen Nutzer:innen und deren Vorlieben zugeschnitten sind.

Damit dies funktionieren kann, müssen die Präferenzen der jeweiligen Nutzer:innen irgendwo hinterlegt werden. Hier kommt das oben erwähnte TCF, konkret der sogenannte TC-String ins Spiel. Das TC steht auch hier für „Transparency and Consent“. Eine Kombination aus Zahlen und Buchstaben in denen „gespeichert“ wird, in welche Datenverarbeitung ihrer spezifischen personenbezogenen Daten die Nutzer:innen eingewilligt haben und in welche nicht. Das IAB Europe teilt diesen TC-String mit seinen Partnern, damit diese auch wissen welche Werbung sie zielgerecht ausspielen können. Auf den Geräten der Nutzer:innen wird für diesen Zweck ein Cookie gespeichert, damit die Zuordnung erfolgen kann welcher TC-String zu welchen Nutzer:innen gehört.

Belgien verhängte Bußgeld gegen IAB Europe

Die belgische Datenschutzbehörde kam zu dem Schluss, dass dieser verwendete TC-String in Kombination mit dem Cookie der IP-Adresse der Nutzer:innen zugeordnet werden kann und somit ein personenbezogenes Datum darstellt. Des Weiteren befand die Behörde, dass das IAB Europe als Verantwortlicher auftritt, jedoch die DSGVO-Regelungen nicht vollständig einhält. Im Zuge dessen verhängte die Behörde diverse Maßnahmen und eine Geldbuße in Höhe von 250.000 Euro.

IAB Europe wehrt sich, der EuGH ist am Zug

Das IAB Europe wehrte sich natürlich dagegen, doch nun urteilte der Europäische Gerichtshof und bestätigte die Entscheidungen der belgischen Aufsichtsbehörde. Der TC-String ist als personenbezogenes Datum und das IAB Europe als gemeinsamer Verantwortlicher anzusehen, so die Pressemitteilung des EuGH.

Es bleibt also spannend, vor allem wie nun die Werbewirtschaft im Internet damit umgehen wird. Bisher wiegelt das IAB Europe das Urteil als technische Formalie ab, jedoch bedeutet die Einstufung als gemeinsamer Verantwortlicher eine Haftbarkeit für das IAB Europe, die empfindliche Strafen nach sich ziehen kann.

Der Datenschutz ist schuld, wie immer

Aber wie war das denn nun mit der Schuld des Datenschutzes an unleidlichen Cookie-Bannern? Wie so oft, wenn es heißt der Datenschutz ist schuld, liegt es nicht am Datenschutz. 😉

Die „Schuld“ liegt doch in erster Linie in der ePrivacy-Richtlinie, der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, diese wurde nicht umsonst mehr oder weniger liebevoll Cookie-Richtlinie genannt.

Do you like Cookies?

Und wer mehr über das Thema Cookies auf unserer Website erfahren möchte, hier entlang!

ISB Boot Camp 2024 — Weiterbildung für Informationssicherheitsbeauftragte

von Sascha Kuhrau
27. Februar 202427. Februar 2024

Weiterbildung für Informationssicherheitsbeauftragte

Das Boot Camp 2024 für kommunale Informationssicherheitsbeauftragte findet heuer am 09.04. und 10.04.2024 im wunderschönen Gunzenhausen statt. Mittlerweile ist diese Veranstaltung in der modernisierten Stadthalle in Gunzenhausen bereits eine feste Institution für kommunale Informationssicherheitsbeauftragte geworden. Neben fachlichen Informationen und Tipps aus der Praxis im Rahmen von Vorträgen und zumeist Workshops steht das Netzwerken und das “Fachsimpeln” unter den rund 100 Teilnehmern im Vordergrund. Dafür wird dieses Jahr noch mehr Raum sein als zuvor.

Die Teilnehmer erwartet ein abwechslungsreiches Programm, das sowohl technische als auch organisatorische Aspekte der Informationssicherheit und die Belange des Tagesgeschäfts eines Informationssicherheitsbeauftragten umfasst. Organisiert und koordiniert wird die zweitägige Veranstaltung durch die Bayerische Verwaltungsschule (BVS), das Landesamt für Sicherheit in der Informationstechnik Bayern (LSI), der Stadt Gunzenhausen und der a.s.k. Informationssicherheit Sascha Kuhrau.

Agenda und Themen des ISB Boot Camp 2024

Nach den am ersten Tag obligatorischen Begrüßungsworten durch den 1. Bürgermeister der Stadt Gunzenhausen, Herrn Karl-Heinz Fitz und den Präsidenten des Landesamt für Sicherheit in der Informationstechnik (LSI), Herrn Bernd Geisler, geht es gleich in medias res.

Herr Reiner Schmidt (LSI) wird unter dem Titel “Neues aus dem LSI” nicht nur das aktuelle Bedrohungsrisiko für Kommunen skizzieren, sondern dazu das Beratungs- und Dienstleistungsangebot des LSI vorstellen, um diesen Risiken als Kommunalverwaltung besser begegnen zu können.

Der größte Teil des ersten Tages bleibt jedoch den Praxis-Workshops vorbehalten, die sich mehrmals wiederholend am ersten und zweiten Tag angeboten werden. Dadurch erhalten die Teilnehmer die Möglichkeit, so viele Themen zu besuchen, wie möglich. Auf der Agenda stehen:

Im Gespräch mit dem LSI, Reiner Schmidt (LSI)
KI: Chancen und Risiken aus Sicht von Informationssicherheit und Datenschutz, Sascha Kuhrau (a.s.k. Informationssicherheit)
Austausch-Plattformen /Cloud-Nutzung, Hartmut Löhmann (Stadt Kempten)
Phishing Simulation: Stärken Sie Ihre Verteidigung gegen Sicherheitsbedrohungen, Erich Weidinger (GKDS)
Praktische Anwendung Kommunalprofil im Rahmen der BSI IT-Grundschutz Basis-Absicherung, Gerd Olsowsky-Klein (Bayerischer Verwaltungsgerichtshof)
Konzept zur Abwehr von Schadprogrammen — ein Lösungsansatz aus der Praxis für die Praxis, Bernhard Wiedemann (Landkreis Landshut)
Sicheres Websurfen – Sand Boxing Verfahren, Marc Behl (Stadt Würzburg) und Richard Lippmann (Stadt Zirndorf)
Einsatz von Echtzeit Whitelist-DNS-Filtern, Michael Pentza (Stadt Gunzenhausen) und Heiki Lehner (keepbit IT-Solutions GmbH)
Penetration Tests bzw. Security Testing — Erfahrungen aus einem oft getesteten Unternehmens, Felix Struve (intive GmbH)
Tabletop-Übungen als integraler Bestandteil eines erfolgreichen Notfallmanagements, Lukas Schmid (LSI)
Deepfakes als neuer Angriffsvektor, Andrea Reichl-Streich (Stadt Ingolstadt)
“Betrug & Abwehr” — im spielerischen Umgang mit Cyberangriffen und deren Abwehr zum Held / zur Heldin der IT-Sicherheit!, Richard Lippmann (Stadt Zirndorf)
Von 0 auf 200–4: Business Continuity Management in einem Landratsamt, Matthias Rauschenberg (Landratsamt Miesbach)
Bewusstsein schaffen – Der Faktor Mensch in der IT-Sicherheit, Robert Lohmann (IMC AG)
Neues aus der BVS, Michaela Wintermayr-Greck (BVS)
Interaktiver Cyberangriff, N.N. (Bayerisches Landeskriminalamt)

Am zweiten Tag wird am Vormittag zur Podiumsdiskussion geladen. Titel: “Digitale Souveränität – Welche Qualifikation brauchen wir zukünftig in der Aus- und Fortbildung in Behörden?”

Auf dem Podium dürfen wir begrüßen und freuen uns auf eine spannende Diskussion mit

Hans-Christian Witthauer ‚Vorstand der Bayerischen Verwaltungsschule (BVS)
Bernd Geisler Präsident des Landesamts für Sicherheit in der Informationstechnik (LSI)
Dr. Wolfgang Denkhaus, Bayerisches Staatsministerium für Digitales (StMD)
Sascha Kuhrau, a.s.k. Informationssicherheit und Dozent der BVS
Dr. Oliver Brunner, Geschäftsstelle des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD)

Als Moderator führt der geschätzte Horst Schäfer (ehem. IT-Leiter der Stadt Gunzenhausen und Ausbilder bei der BVS) durch die Podiumsdiskussion.

Am ersten Veranstaltungstag erwartet die Teilnehmer ein interessantes, kurzweiliges Abendprogramm, bevor der Tag bei einem gemütlichen Abendessen ausklingt.

Erhalt der Fachkunde von Informationssicherheitsbeauftragten

Die Veranstaltung dient als Nachweis zum Erhalt der Fachkunde von ausgebildeten Informationssicherheitsbeauftragten.

Weitere Informationen und zur Anmeldung — siehe BVS.

BayLDA: Wie rechtskonform ist Ihr Cookie-Banner? Einwilligungsmanagement auf Webseiten auf dem Prüfstand

von Sascha Kuhrau
18. Februar 202419. Februar 2024

BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) startet Prüfaktion für Cookie-Banner und Consent-Management

Das eine oder andere Unternehmen mit Sitz in Bayern hat bereits Post vom BayLDA erhalten. Hintergrund: In einem ersten Durchlauf zur Prüfung der Rechtskonformität von Cookie-Bannern und dem Consent-Management hat das BayLDA im ersten Schwung bei 350 Unternehmen konkrete Gründe gefunden, deren Umsetzung zu beanstanden. Dem BayLDA mißfiel dabei unter anderen, dass

bereits Prozesse rund um Cookies und Datenübertragungen in Gang gesetzt werden, sobald die Webseite aufgerufen wird, noch bevor mit dem Besucher im Hinblick auf notwendige Einwilligungen (Consent-Management) interagiert wird (§ 25 TTDSG) und
es auf der ersten Ebene im Consent-Management selten eine einfache Option zur Ablehnung (Nicht-Einwilligung) für den Besucher zur Verfügung steht bzw. durch dessen Fehlen nach Sichtweise des BayLDA keine rechtswirksame Einwilligung im Sinne von 25 Abs. 1 S. 2 TTDSG wie auch Art. 6 Abs. 1 lit. a DSGVO vorliegt.

“Trotz der nun gesetzlich klar festgeschriebenen Einwilligungspflicht für Zugriffe auf Endeinrichtungen, also beispielsweise das Setzen von Cookies oder das Auslesen von Werbe-IDs und anderen Identifiern, erhalten wir weiterhin eine sehr hohe Anzahl an Beschwerden und Kontrollanregungen in diesem Bereich”, so das BayLDA zur Motivation für diese anlasslos Prüfaktion.

Im Zuge dessen wurden auch Apps und deren Verhalten im og. Kontext geprüft. Im Gegenzug zur automatisierten Prüfung der Umsetzung auf Webseiten, gestaltet sich die App-Prüfung lt. BayLDA deutlich aufwendiger.

“Die Prüfung knüpft zunächst am Einsatz einer sehr verbreiteten Consent-Management-Plattform (CMP) an, soll in weiteren Durchläufen aber auf weitere CMP-Anbieter und damit eine noch größere Zahl von Webseiten ausgedehnt werden”, schreibt das BayLDA in seiner Pressemitteilung vom 09.02.2024. Wer also als Unternehmen, Freiberufler oder Verein mit Sitz in Bayern bei den bisher 350 Beanstandungen noch nicht dabei war, hat gute Chancen, zukünftig doch noch Post vom BayLDA zu erhalten.

Anforderungen an verantwortliche Stellen sowie Ergebnisse aus dieser Prüfaktion werden sukzessive im Abschnitt “Datenschutzprüfungen” auf der Webseite des BayLDA veröffentlicht. Reinschauen lohnt sich.

Wer übrigens etwas zum Thema Cookies auf unserer Webseite erfahren möchte, bitte hier entlang.

Das Finanzamt darf Deine personenbezogenen Daten verarbeiten — trotz DSGVO :-)

von Sascha Kuhrau
14. Dezember 2023

Etwas Kurioses zum Jahresende gefällig? Dann haben wir hier was für Dich. In unseren Webinaren und Grundschulungen zum Thema Datenschutz weisen wir im Kontext der Betroffenenrechte scherzhaft immer wieder darauf hin, dass diese nicht uneingeschränkt gelten. Ein Widerruf der Verarbeitung personenbezogener Daten gegenüber dem Finanzamt wird nicht dazu führen, keine Steuern mehr bezahlen zu müssen 🙂 Eigentlich logisch. Dachten wir.

Entscheidung des Bundesfinanzhofs, Urteil vom 05. September 2023, IX R 32/21

Gegenstand: Zulässigkeit der Verarbeitung personenbezogener Daten im Besteuerungsverfahren gemäß § 29b AO

Ein Finanzamt (FA) ordnete bei einem Rechtsanwalt eine Außenprüfung zur Einkommen- und Umsatzsteuer an. Zugleich forderte das FA den Kläger auf, bis zum Prüfungsbeginn die Auszüge seines betrieblichen Bankkontos zu übersenden. Nachdem der Anwalt dieser Aufforderung nicht nachgekommen war, ersuchte das FA unter Hinweis auf die Abgabenordnung (AO) die kontoführende Bank um Vorlage der Kontoauszüge. Diesem Ersuchen kam die Bank nach. Der Anwalt war damit nicht einverstanden und begründete dies mit der Aussage, die Regelungen der AO genügen seiner Meinung nach nicht den Anforderungen des Art. 6 Abs. 3 der Datenschutz-Grundverordnung (DSGVO). Es fehle daher an einer rechtmäßigen Verarbeitung seiner personenbezogenen Daten durch das Finanzamt. Es kam zur Abweisung des Löschbegehrens des Anwalts durch das Finanzamt. Begründung: Die Verarbeitung diene der Ermittlung der Besteuerungsgrundlagen im Rahmen einer Außenprüfung. Das daraufhin vom Anwalt angerufene Finanzgericht zwecks Durchsetzung seines Rechts auf Löschung seiner personenbezogenen Daten gemäß Art. 17 Abs. 1 Buchst. d DSGVO hatte keinen Erfolg. Das Finanzgericht wies die Klage ab. Dies führte zur Revision am Bundesfinanzhof (BFH).

Das kam jetzt überraschend, oder doch nicht?

Der Anwalt beantragte beim BFH, das angefochtene Urteil aufzuheben und alle seine im Zusammenhang mit den Kontoauszügen stehenden personenbezogenen Daten zu löschen. Behelfsweise solle das angefochtene Urteil aufgehoben werden und alle im Zusammenhang mit den Kontoauszügen stehenden personenbezogenen Daten des Anwalts sollten nicht mehr durch das Finanzamt verarbeitet werden dürfen. Der Bundesfinanzhof wies die Revision als unbegründet ab. “Nein” — “Doch” — “Oh”

Wer mehr über den genauen Ablauf und die Hintergründe erfahren möchte, hier geht es zur Entscheidung des BFH.

Mit diesem Schmankerl verabschieden wir uns in die Winterpause und wünschen allen Lesern und Empfängern sowie deren Lieben schöne Feiertage und einen guten Rutsch ins Jahr 2024. Wir lesen uns.

Rechtsausleger? Nein, Danke! Klare Kante gegen Rechts

von Sascha Kuhrau
2. Dezember 20232. Februar 2024
3 Kommentare

Man mag von unserer derzeitigen Bundesinnenministerin Nancy Faeser halten, was man will und man kann auch nicht mit allem einverstanden sein, was aus ihrem Haus vorangetrieben (Vorratsdatenspeicherung etc.). Aber in einem Punkt hat sie auf jeden Fall mehr als recht: Und zwar bei der geforderten Abgrenzung durch Unternehmer und Unternehmen gegen Rechtsextremimus. In einer Zeit, in der Apps vor Produkten warnen, die aus Israel stammen (“Kauft nicht bei Juden”) und Unternehmenslenker in Gesprächen mit Vorsitzenden von rechten Parteien keinerlei Nähe zum Nationalsozialimus (“Buttermilch auf den Augen?”) entdecken können, hat diese Forderung ein maximales Maß an Daseinsberechtigung.

Die 3 Marken der a.s.k. (a.s.k. Datenschutz, a.s.k. Informationssicherheit und a.s.k. Akademie) sind nicht systemrelevant. Unsere Mitarbeiterzahl ist überschaubar. Klein, aber fein und am Ende nur ein kleiner Tropfen im Ozean. Aber jede Stimme zählt und uns alle im Team eint der Gedanke und die Überzeugung, dass es Zeit ist, klare Kante gegen Rechts zu zeigen. Für nationalsozialistisches Gedankengut gibt es bei uns keinen Platz. Wer meint, Hetze gegen Juden oder Ausländer im Allgemeinen oder die Abschaffung der demokratischen Grundordnung löse seine persönlichen Probleme oder die Herausforderungen der Gesellschaft vor den großen (und oft hausgemachten) Problemen der Zukunft, der hat bei uns weder im Team noch als Kunde etwas verloren. Wir werden weiterhin (monetäre) Unterstützung leisten, um Organisationen im Kampf gegen Rechtsextremimus zu helfen. Wir bringen uns aber auch selbst ehrenamtlich gegen Rechts ein, wo es möglich ist z.B. auch bei der freiwilligen Meldung für Schöffenplätze, um dort keinen Platz für Rechts-Sympathisanten zu lassen.

“Du bist dolz, ein Steutscher zu sein?” — Dein Ding. Aber nicht unseres. #klarekantegegenrechts

Nachtrag vom 12.12.2023:

Uns haben interessante Rückmeldungen zu diesem Beitrag per Email erreicht. Darin fand sich die ganze Bandbreite des rechten Whataboutism und Rechtfertigungsgeschwurbels beginnend von “Man darf heute nicht mehr alles sagen” über “Links gibt es auch Extreme” bis hin zu wir wären Steigbügelhalter des kommenden Überwachungsstaats. Nun ja, lassen wir das mal einfach so stehen und wirken 🙂

Mittlerweile haben wir uns im Team abgestimmt und unsere jährliche Spende ging an die Jugendinitiative “Kein Bock auf Nazis”. Ein bemerkenswertes Projekt, das noch deutlich mehr Unterstützung und Aufmerksamkeit benötigt. Die rechten Demagogen fischen erfolgreich über soziale Netzwerke und vor Schulen und Jugendzentren nach unaufgeklärtem Nachwuchs, der noch anfällig für deren Parolen ist. Hier leistet “Kein Bock auf Nazis” wichtige Aufklärungsarbeit gegen Rechtsextremismus: “Kein Bock Auf Nazis (KBAN) ist Deutschlands größte unabhängige Jugend-Initiative gegen Rechtsextremismus und Rassismus. Seit 2006 unterstützen, vernetzen und informieren wir Jugendliche und junge Erwachsene zum Thema Rechtsruck, Rassismus und Neonazis. Wir sind laut. Wir machen Mut. Wir helfen aktiv zu werden.”

Outlook (mal wieder) neugieriger als notwendig

von Sascha Kuhrau
22. November 202322. November 2023

Der eine oder andere Leser wird ein kleines Aha-Erlebnis haben. Da war doch was? Genau. Im Zusammenhang mit den Outlook-Apps für Smartphones wurde Kritik an Microsoft laut, weil Zugangsdaten auch von Nicht-Microsoft-Mail-Konten zu Microsoft abgeflossen sind. Nun ist die neue Outlook for Desktop Version am Start und das Problem scheint sich zu wiederholen.

Datenschützer schlagen Alarm

Sobald die neue Version von Outlook installiert und konfiguriert bzw. in der bisherigen Version der Switch “Neue Version nutzen” aktiviert wird, fließen die Zugangsdaten aller eingerichteten Mailkonten zu Microsoft in die Cloud ab. Und das eben nicht nur für Mailkonten, die bei Microsoft gehostet werden, sondern auch die von allen anderen Anbietern. Die seitens Microsoft nur vage umrissenen Gründe für dieses Verhalten sind nicht sehr aufschlußreich, warum dies so sein muss bzw. welchen Zweck das haben soll. So moniert der frühere Landesdatenschutzbeauftragte Baden-Württemberg, Brink gegenüber Heise die mangelnde Transparenz.

Am 17.11.2023 veröffentlichte der Landesdatenschutzbeauftragte Thüringen eine Pressemeldung und warnte offiziell vor der Nutzung des neuen Outlook: “Momentan rät der TLfDI daher dringend dazu, sich die Genehmigung für diesen tiefgreifenden Eingriff in die Privatsphäre durch die App „Neues Outlook“ bestens zu überlegen.” Die Empfehlung lautet deutlich, weiterhin die bisherige (“klassische”) Version von Outlook zu nutzen bzw. sich der Folgen der Nutzung des neuen Outlook bewusst zu sein.

Da Microsoft nicht nur die Zugangsdaten abzieht, sondern auch die Inhalte der Postfächer in seine Cloud “spiegelt” warnt Brink vor möglichen Risiken im Hinblick auf unbeabsichtige Veröffentlichung von Geschäfts- / Dienstgeheimnissen.

ISMS-Fördermittelprogramm für bayerische Kommunen endet 31.12.2023

von Sascha Kuhrau
12. November 2023

Die aktuelle ISMS-Fördermittelrichtlinie zur finanziellen Untersützung der Einführung eines Informationssicherheitsmanagementsystems im Sinne von Art. 43 BayDiG läuft zum 31.12.2023 aus. Eine Verlängerung wurde vom zuständigen Staatsministerium verneint. Ebenso eine absehbare Neuauflage.

Wenn Sie als bayerische Kommune die Neueinführung eines ISMS auf Basis

Arbeitshilfe
CISIS12
VDS 10000
BSI IT-Grundschutz (Kommunalprofil, Basis‑, Standard- oder Kernabsicherung)
ISO 27001

oder ein Upgrade eines kleineren vorhandenen Standards auf einen der höheren Standards planen, dann sollten Sie sich mit der Beantragung von Fördermitteln beeilen. (Achtung: Differenzförderung von ISIS12 zu CISIS12 ist nicht möglich.)

Laut Aussage der Fördermittelstelle auf der Webseite sollte Ihr Antrag spätestens am 15. November 2023 eingegangen sein. Das hat mehrere Gründe:

Bei späterem Eingang kann eine Förderzusage rechtzeitig vor Ablauf des Programms aufgrund des erhöhten Antragvolumens in der Schlußphase nicht mehr garantiert werden.
Der Fördermitteltopf war zwar groß, neigt sich aber dennoch dem Ende zu. Und wenn keine Fördermittel zur Vergabe frei sind, ist es egal, wann der Antrag eingeht.

Sie brauchen mit dem Projekt jedoch nicht mehr in 2023 beginnen. Lediglich der Antrag und die Bewilligung müssen in 2023 über die Bühne sein. Der Beginn der Umsetzung kann in 2024 liegen. Sie können sich daher dieses Jahr noch die Fördermittel für die Jahre 2024 ff. sichern.

Sie benötigen ein Angebot für die Unterstützung durch Beratung und Schulung von einem qualifizierten Dienstleister. Qualifiziert heißt, der Dienstleister muss seine Eignung gegenüber der Förderstelle belegen können. Das können je nach gewählter Norm sein:

Zertifikat CISIS12 Professional / Officer
Zertifikat BSI IT-Grundschutz Praktiker / Berater
Zertifikat ISO 27001 Officer

Das ist unabhängig davon, ob Sie das ISMS neu einführen oder ein bestehendes ISMS upgraden. Unsere Mitarbeiter sind selbstverständlich für alle Standards zugelassen. Bitte beachten Sie: Das neue ISMS oder Upgrade sollte zu Ihrer Organisation passen. Da wir in allen oben genannten Normen zuhause sind, können wir Sie hierzu organisationsindividuell beraten und müssen Ihnen nicht auf Gedeih und Verderb lediglich einen Standard als den einzig richtigen Weg “verkaufen”.

Zuständig ist die Regierung Oberfranken. Alle Details und das Online-Antragsformular finden Sie unter https://www.regierung.oberbayern.bayern.de/aufgaben/leistung/leistung_35004/index.html

Auch unsere Ressourcen sind endlich. Aber derzeit könnten wir noch gut organisierte ISMS-Projekte in 2024 im Laufe des Jahres unterbringen. Anfragen bitte an info@ask-informationssicherheit.de oder über unseren Zentralruf 09155–263 99 70. Alternativ direkt über unser Formular (externer Link).

Wir melden uns dann wegen weiterer Details zur Angebotserstellung bei Ihnen.

Wer “Do not track” (DNT) im Browser ignoriert, muss fühlen

von Sascha Kuhrau
30. Oktober 2023

Do-Not-Track ignorieren — Keine gute Idee

Das Business-Netzwerk LinkedIn hat nach dem Abstieg von X (ehemals Twitter) weiteren Zulauf zu verzeichnen, wie einige andere Alternativen (Mastodon, Bluesky) auch. Umso interessanter ist das durch die Bundesverbraucherzentrale vor dem Landgericht erstrittene Urteil gegen die Betreiberin des Netzwerks, die LinkedIn Ireland Unlimited Company.

LinkedIn weist auf seiner Webseite (dem Netzwerk) darauf hin, dass es die Voreinstellung Do-Not-Track (DNT) im Browser eines Besuchers ignorieren wird. DNT wurde vor Jahren als Konfigurationsmöglichkeit in den meisten gängigen Browsern eingeführt, um dem Betreiber einer Webseite von vornherein zu signalisieren, dass man nicht “getrackt” werden möchte, das Surfverhalten also nicht aufgezeichnet und analysiert werden soll. Der Webseitenbesucher widerspricht quasi per Browser-Voreinstellung dem Webtracking. Wenig verwunderlich, dass dieser Umstand dem einen oder anderen Webseitenbetreiber nicht in den Kram passt.

LinkedIn hatte auf seiner Internetseite mitgeteilt, dass es diese DNT-Einstellung bewußt ignoriert und somit gegen den Willen der Nutzer personenbezogene Daten wie die IP-Adresse und Informationen über die Nutzung der Webseite etwa für Analyse- und Marketingzwecke auswertet und auch an Drittanbieter weitergeben wird.

Das Landgericht Berlin entschied im Sinne der Verbraucherzentrale. Der Widerspruch gegen eine Verarbeitung personenbezogener Daten kann auch automatisiert (also durch Voreinstellung) ausgesprochen werden und muss vom verantwortlichen Webseitenbetreiber beachtet werden. Der Widerspruch sei wirksam.

Das Urteil mit dem Aktenzeichen 16 O 420/19 ist noch nicht rechtskräftig, hat aber Signalwirkung.

Sie betreiben eine Webseite mit Webtracking? Schauen Sie sicherheitshalber mal nach, ob die Option “DNT ignorieren” aktiviert ist. Wenn ja … siehe oben 🙂

Do-Not-Track im Browser aktivieren — wie geht das?

In den meisten Browsern hat diese Funktion ohne viel Tamtam Einzug gehalten. Oftmals gut versteckt in den Einstellungsmenüs und leider nicht immer voreingestellt aktiv. Hier erfahren Sie mehr über die Aktivierung und Einstellmöglichkeiten:

In der Suchmaschine Ihrer Wahl finden Sie mittels Angabe des Browsernamens und des Begriffs “do not track” auch die Einstellmöglichkeiten für Browser anderer Hersteller.

New work und der Datenschutz

von Sascha Kuhrau
29. August 202330. August 2023

Die Corona-Pandemie hat der Arbeitswelt gezeigt, dass es auch anders gehen kann beziehungsweise anders gehen muss. Die Lernkurve in Bezug auf mobiles Arbeiten, Arbeiten aus dem Home Office und der dazugehörigen Nutzung digitaler Tools wie Videokonferenzen war für zahlreiche Organisationen beachtlich steil. Und als netten Nebeneffekt haben sich die Hersteller von Headsets und Webcam darüber auch sehr gefreut. Weniger erfreut sind die Vermieter von Büroflächen, was auch nachvollziehbar ist. In der Folge mussten sich auch Führungskräfte zwangsläufig umstellen. Denn die anvertrauten Mitarbeiter waren nun nicht mehr von “9 to 5” (Grüße an Dolly Parton) im Büro anwesend und damit quasi ihrer Aufsicht entzogen. Und da gingen für die eine oder andere Führungskraft die Probleme und Sorgen los. 🙂

“Kontrolle von Beschäftigten im Homeoffice” (Kapitel 11.2)

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) — zuständig für nicht-öffentliche Stellen, also Unternehmen in Bayern hat dazu einen interessanten Artikel im 12. Tätigkeitsbericht 2022 (Seite 54) geschrieben. Und die behandelten Anfragen rund um das Thema Mitarbeiterüberwachung im Home Office halten wir für erschreckend. Eigentlich waren wir aber dann doch nicht wirklich überrascht, da uns selbst zu Beginn von Corona eine Anfrage einer kommunalen Führungskraft erreichte: “Dürfen wir unsere Mitarbeiter im Home Office dazu verpflichten, sich zu Dienstbeginn in einem Videokanal anzumelden, in dem alle Mitarbeiter im Home Office aufgeschaltet sind, und die Videokamera den ganzen Tag anzulassen? Nur so können wir feststellen, ob sich der Mitarbeiter während der vorgeschriebenen Arbeitszeit am Schreibtisch aufhält. Die fortlaufende Sichtkontrolle den Tag über würde ich als Führungskraft von meinem PC aus durchführen.” Und damit ist eigentlich auch schon viel zum Thema Führungskraft, aber auch der Akzeptanz von new work gesagt 🙂

Doch schauen wir mal in den Artikel des BayLDA. Kernthema der Anfragen war die datenschutzrechtliche Zulässigkeit einer Überwachung der Mitarbeiter im Home Office. Und hier wurden teilweise wirklich schwere Geschütze aufgefahren.

New work und GPS-Überwachung

Ein Arbeitgeber wollte die physikalische Anwesenheit des Mitarbeiter im Home Office mittels GPS-Ortung sicherstellen. Beim Lesen des Tätigkeitsberichts hatten wir bildlich einen Mitarbeiter mit angelegter elektronischer GPS-Fußfessel vor Augen. Aufgrund des erheblichen Mißbrauchpotentials dieser Technologie empfahl das BayLDA auf mildere Mittel wie z.B. einen Kontrollanruf per Telefon auszuweichen. Die Nutzung einer hierfür genutzten privaten Rufnummer des Mitarbeiters wäre über die Informationspflichten nach Art. 13 DSGVO zu beschreiben und — sofern schon in den Stammdaten vorhanden — eine nachträgliche Zweckänderung durchzuführen und zu dokumentieren. Das BayLDA schreibt im Zusammenhang mit diesen Anrufen zu Kontrollzwecken von Stichprobenanrufen. Eine Stichprobe definiert sich dadurch, dass nicht alle Mitarbeiter im Home Office angerufen werden und auch nicht alle 30 Minuten das Telefon klingelt 🙂 Oder wie es das BayLDA formuliert: “Die Häufigkeit der Stichprobenkontrollen muss sich dabei an der Erforderlichkeit und Verhältnismäßigkeit messen lassen.” Als Rechtsgrundlage kann sich das BayLDA Art. 6 Abs. 1 lit. b DSGVO vorstellen.

New work und Kontrolle (in) der Wohnung

Wie schreibt es das BayLDA: “…, kritisch zu sehen.” Stichwort: Unverletzlichkeit der Wohnung.

New work und Keylogger

Den Einsatz von Keyloggern (also das automatisierte und fortlaufende Aufzeichnen der gedrückten Tasten im Hintergrund) stuft das BayLDA als nicht zulässig ein. Ausnahme: Einen auf konkrete Tatsachen gegründeten Verdacht zumindest einer schwerwiegenden Pflichtverletzung oder Straftat. Gute Führungskräfte wissen, dass eine Überwachungsparanoia auf Verdacht damit nicht zu legitimieren ist.

Fazit

New work ist natürlich mehr als das Arbeiten im Home Office. Für viele Organisationen war durch Corona das Home Office jedoch ein erster Kontakt mit diesem wirklich spannenden und zukunftsträchtigen Thema. Das sich die Arbeitswelt und auch die Art, wie Arbeit geleistet wird, in einer umfassenden Phase der Veränderung sind, ist nicht zu bestreiten. Die Frage ist, wie geht man als Organisation und als Führungskraft damit um? Das der Datenschutz einem überbordenden Kontrollzwang einen Riegel vorschiebt, mag die eine oder andere Führungskraft negativ empfinden. Dazu sollte man sich aber, mit einem Augenzwinkern, vor Augen halten, dass die Leibeigenschaft dann doch schon vor einigen Jahren abgeschafft wurde. 🙂 Ob der Aufwand für diese zuvor skizzierten Beispiele innerlicher Kontrollzwänge im Verhältnis zu dem möglicherweise vermutlich festgestellten Arbeitszeitverlust besteht, darf man ruhig in Zweifel ziehen.

New work definiert unter dem Begriff new leadership: “Eine Vertrauenskultur und Empathie ersetzen streng hierarchische Führungsstile. Hauptaufgabe der neuen Führungskräfte ist es, die Mitarbeiterzur Eigenverantwortung zu befähigen und ihre Stärken zu fördern.” Und dem steht der Datenschutz mit Sicherheit nicht im Weg 😉

WiBA — Weg in die Basis-Absicherung — WiBA BSI

von Sascha Kuhrau
27. August 202327. August 2023

Nicht erst seit dem Ausfall der Landkreisverwaltungen Anhalt-Bitterfeld oder Rheinpfalz ist bekannt, dass auch Kommunalverwaltungen durchaus Nachholbedarf beim Thema Informationssicherheit haben. Auch kleinere Kommunen sind betroffen und haben nicht weniger mit den Folgen zu kämpfen. Der geschätzte Jens Lange, seines Zeichens ITSiBe der Stadt Kassel betreibt hierzu ein schönes Informationsportal (Vielen Dank an dieser Stelle, Jens, für Deine Arbeit!) unter https://kommunaler-notbetrieb.de

Doch auch Firmen, ebenfalls ganz unabhängig von Branche und Größe bleiben von diesem Problem nicht verschont. Einen groben Eindruck, wie oft es knallt, kann man sich sehr gut unter https://konbriefing.com/de-topics/hackerangriff-deutschland.html verschaffen.

Beide Portale können nur einen Teil der Misere zeigen, denn nicht jedes “Missgeschick” in der Informationssicherheit bei Kommunen und Firmen gelangt an die Öffentlichkeit. Das bedeutet, die Dunkelziffer des Versagens der Informationssicherheit (oder auch des Nichtvorhandenseins) ist daher im Zweifel noch um einiges höher.

Normen für Informationssicherheit

Standards für Informationssicherheit gibt es einige auf dem Markt. Da gibt es z.B.

ISO 27001 (native oder auf Basis IT-Grundschutz)
Den IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) in den 3 Absicherungsstufen Basis, Kern und Standard
TISAX (gerade im Automotive-Bereich ein sehr bekannter Vertreter)
CISIS12 (ehemalis ISIS12)
ISMS4KMO (als Standard als Weiterentwicklung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
“Arbeitshilfe” (eine Absicherung in der Breite einer Organisation, entwickelt von a.s.k. Datenschutz im Auftrag der Innovationsstiftung Bayerische Kommune)
SiKoSH (Sicherheitskonzept Schleswig-Holstein) oder auch
VDS 10.000 ehemals 3473.

Es gibt noch weitere Vertreter, doch wir haben uns auf die Standards mit einer bekannten breiten Installationsbasis beschränkt. Daneben gibt es noch div. Schwachstellen-Tools, die jedoch zumeist einmalige Stärken-Schwächen-Analysen darstellen und keinen Fokus auf den Betrieb eines Informationssicherheitskonzepts legen. Dazu zählen z.B. ISA+ und andere.

Alle Normen haben eins gemeinsam: Informationssicherheit bedeutet Arbeit in fast allen Teilen einer Organisation und kostet Zeit, Geld und Personalressourcen. Dazu haften einigen Standards nahezu sagenhafte Aussagen an wie “Der IT-Grundschutz dauert mindestens 5 Jahre in der Einführung, egal wie groß die Organisation ist” oder “Für Standard XYZ sind mindestens 50–60 externe Beratertage notwendig”. Nun ja … In der Tat war der alte 100‑x Standard des IT-Grundschutz ein dickes, zu bohrendes Brett. Aber 5 Jahre haben selbst Großorganisationen dafür nie gebraucht. Und durch das sog. Kompendium (200‑x) und die 3 Absicherungsstufen von unten nach oben wurde ein zeitgemäßer und niedrigschwelliger Einstieg in den IT-Grundschutz vom BSI geschaffen. Der frühere Schrecken hat seine Daseinsberechtigung verloren. Und immens hohe Zahlen an externen Beratertagen können — unabhängig vom gewählten Standard — auch nur dann zustandekommen, wenn die eigene Organisation so gut wie keinen Selbsteinsatz bei der Einführung des Informationssicherheitsmanagementsystems leistet. Das mag bequem erscheinen, auch wenn es teuer ist, aber geht am Ziel und Zweck vorbei. Schließlich wird Informationssicherheit durch die eigene Organisation betrieben und da hilft es wenig, wenn die ganze Arbeit durch Externe geleistet wird (fehlendes internes Know-How, “Berater-Treppe”).

WiBA — Weg in die Basis-Absicherung

Um den Einstieg in den IT-Grundschutz nun noch niedrigschwelliger anzusetzen als bereits mit der sog. Basis-Absicherung geschehen, hat das BSI einen 18 Dokumente umfassenden Fragenkatalog entwickelt. Dieser soll bei konsequenter Bearbeitung aktuelle Schwachstellen in der Informationssicherheit (organisatorisch, infrastrukturell, technisch, prozessual) auffinden helfen, damit diese im Anschluss beseitigt werden können. Ein löblicher Ansatz und gerade für Organisationen geeignet, die bisher noch jeden Kontakt mit dem Thema gescheut haben.

Folgende Themen werden zur Zeit abgedeckt:

Arbeit außerhalb der Institution
Arbeit innerhalb der Institution / Haustechnik
Backup
Bürosoftware
Client
Drucker und Multifunktionsgeräte
IT-Administration
Mobile Endgeräte
Netze
Organisation und Personal
Outsourcing und Cloud
Rollen / Berechtigungen / Authentisierung
Serverraum
Serversysteme
Sicherheitsmechanismen
Telefonie und Fax
Umgang mit Informationen
Vorbereitung für Sicherheitsvorfälle

Umfangreich sind die Prüffragen selten. So finden sich im Kapitel 6 Outsourcing und Cloud beispielsweise 6 Prüffragen. Daraus wird auch die Intention des niedrigschwelligen Einstiegs u.a. durch einen reduzierten Umfang sehr deutlich.

Derzeit sind die Fragebögen im Word-Format als sog. Community Drafts online gestellt. Das BSI fordert explizit dazu auf, diese zu nutzen, zu prüfen und Anregungen und Ergänzungen zurückzuspielen. Diese Rückmeldungen sollen dann in die finale Version von WiBA — Weg in die Basisabsicherung einfließen.

In der Hoffnung, dass demnächst nicht wieder alle Links auf den BSI Webseiten umgestellt werden, hier der direkte Einsprung in das Thema: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/WIBA/Weg_in_die_Basis_Absicherung_WiBA.html

Überlegungen zur aktuellen Gestaltung / Umsetzung von WiBA — Weg in die Basis-Absicherung

WiBA kann durchaus ein geeigneter Einstieg in das Thema Informationssicherheit für Organisationen sein, die bisher noch gar keinen Kontakt mit dem Thema hatten und erst mal “schnuppern” wollen. Dabei sollte man im Hinterkopf haben, dass es sich hierbei nur um eine Schwachstellenanalyse anhand von Fragestellungen handelt. Der zu einem ISMS gehörende PDCA-Zyklus inkl. der notwendigen Verantwortlichkeiten, Aufgaben und Prozessen ist nicht enthalten. Wie das BSI in der Management Summary selbst schreibt, kann WiBA — Weg in die Basis-Absicherung nur der erste Schritt in das Thema Informationssicherheit sein. Denn mit einer Schwachstellenanalyse alleine ist es nicht getan.

Positiv fällt die Verknüpfung der Prüffragen zu den Bausteinen des IT-Grundschutzes auf. Das sollte ein späteres Upgrade in die Basis-Absicherung erleichtern, da sich ein Wiedererkennungseffekt einstellen wird. Doch das leisten auch andere Systematiken.

Wieso man ausgerechnet mit Word-Tabellen gearbeitet hat, wird wohl ein Rätsel bleiben. Demjenigen, der mittels dieser Dokumente die Ergebnisse dokumentieren und nachhalten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂

WiBA liegt nun als Community Draft vor, ist also noch nicht final fertig. Demgegenüber haben andere Konzepte, die ebenfalls einen niedrigschwelligen Einstieg in das Thema Informationssicherheit garantieren und dabei auch gleich den Grundstein für den späteren Betrieb des ISMS legen, bereits mehrjährige Weiterentwicklungen erfahren. Allen voran sei hier exemplarisch die Arbeitshilfe der Innovationsstiftung Bayerische Kommune genannt, die erstmalig 2016 erschienen ist und mittlerweile in Version 5 vorliegt. Wieso nun eine Eigenentwicklung aufgelegt wird, statt auf vorhandene Systematiken zurückzugreifen oder diese zu empfehlen, bleibt unklar. Ok, der Aufwand für die Arbeitshilfe wäre höher. Aber man hätte sich auch mit der Systematik ISA+ des IT-Sicherheitsclusters Regensburg oder mit dem Reifegrad-Modell “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik Bayern, kurz LSI zusammentun können. Übrigens: Auch wenn die Arbeitshilfe ursprünglich für Kommunen entwickelt wurde, kann diese auch von Firmen genutzt werden. Ob die Organisationsleitung am Ende Bürgermeister oder Geschäftsführer heißt, ändert nichts an den Sicherheitsanforderungen, höchstens am Risiko einer persönlichen Haftung 😉 Wer es professionell haben möchte: Sprechen Sie uns wegen einer Software-Umsetzung der Arbeitshilfe gerne an. Die damals vom Auftraggeber vorgegebenen Word-Dokumente sind im laufenden Betrieb des ISMS alles andere als handlich.

Hinzu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeitshilfe oder VDS ausgestattet ist und diese erfolgreich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absicherung nicht glücklich. Hier wäre zu empfehlen, gleich den folgerichtigen Schritt in die BSI IT-Grundschutz Basis-Absicherung oder für Kommunen das sog. Kommunalprofil im Rahmen der Basis-Absicherung zu gehen.

Und nicht vergesesen — wie schreibt es das BSI (nicht nur im Kontext von WiBA — Weg in die Basis-Absicherung) so treffend: Informationssicherheit ist Chefinnen- und Chefsache! Und jeder Schritt hin zu mehr Informationssicherheit zählt. Von daher, well done, BSI!

Übrigens freut sich auch der Datenschutzbeauftragte, wenn das Thema Informationssicherheit konsequent und systematisch in der Organisation umgesetzt wird. Das nimmt einiges an Druck aus dem Kessel im Hinblick auf Art. 32 DSGVO Sicherheit der Verarbeitung.

1
2
3
…
45
Weiter »

Blog

Um was geht’s bei dem Urteil genau?

Bel­gi­en ver­häng­te Buß­geld gegen IAB Europe

IAB Euro­pe wehrt sich, der EuGH ist am Zug

Der Daten­schutz ist schuld, wie immer

Do you like Cookies?

Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Agen­da und The­men des ISB Boot Camp 2024

Erhalt der Fach­kun­de von Informationssicherheitsbeauftragten

BayL­DA (Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht) star­tet Prüf­ak­ti­on für Coo­kie-Ban­ner und Consent-Management

Ent­schei­dung des Bun­des­fi­nanz­hofs, Urteil vom 05. Sep­tem­ber 2023, IX R 32/​21

Das kam jetzt über­ra­schend, oder doch nicht?

Daten­schüt­zer schla­gen Alarm

Do-Not-Track igno­rie­ren — Kei­ne gute Idee

Do-Not-Track im Brow­ser akti­vie­ren — wie geht das?

“Kon­trol­le von Beschäf­tig­ten im Home­of­fice” (Kapi­tel 11.2)