Behörde

Artikel 32 DSGVO — Sicherheit der Verarbeitung

von Sascha Kuhrau
9. Februar 202310. Februar 2023

Es dürfte sich rumgesprochen haben: Personenbezogene Daten sind zu schützen. Das es dabei nur sekundär um die personenbezogenen Daten an sich geht, sondern primär die Person vor Schaden bewahrt werden soll, auf die sich diese Daten beziehen (der sog. “Betroffene”), wird den meisten Anwendern der DSGVO ebenfalls klar sein. Doch was will der Gesetzgeber hier eigentlich von den sog. “Verantwortlichen”, also all den Unternehmen, Vereinen, Bundes- und Landesbehörden sowie Kommunalverwaltungen? Werfen wir mal einen Blick auf Artikel 32 DSGVO.

So steht es in Artikel 32 DSGVO

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Was will Artikel 32 DSGVO in der Praxis?

Dreh- und Angelpunkt sind die technischen und organisatorischen Maßnahmen, auch kurz TOM genannt. Mittels einer geeigneten Auswahl und Anwendung dieser Schutzmaßnahmen (quasi eine Art Werkzeugkasten) sollen personenbezogene Daten vor den alltäglichen Risiken bei deren Verarbeitung (also Erhebung, Speicherung, Nutzung, aber auch beabsichtigter Löschung und Vernichtung) geschützt werden. Dabei soll nicht alles an Schutzmaßnahmen ergriffen werden, was irgendwie geht, sondern der Gesetzgeber spricht von einer Angemessenheit. Die Schutzmaßnahmen müssen also zum Schutzwert der betroffenen personenbezogenen Daten passen. Dabei sollen dann auch Faktoren wie die Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß für den Betroffenen — ganz wichtig: nicht für die eigene Organisation — berücksichtigt werden.

Interessanterweise erfindet “der Datenschutz” hier das Rad mal nicht neu. Wir finden Punkte wie

Vertraulichkeit,
Integrität und
Verfügbarkeit,
die Sicherstellung der Wiederherstellbarkeit von Daten z.B. im Rahmen von Business Continuity Management und Notfallmanagement, aber auch
Revisionszyklen (PDCA) zur Überprüfung der Wirksamkeit vorhandener Schutzmaßnahmen sowie zur
Identifikation von möglicherweise zusätzlichen oder anzupassenden Schutzmaßnahmen aufgrund neuer Risiken oder Veränderungen an bestehenden Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschreiben diese Punkte und Begrifflichkeiten ein klassisches Informationssicherheitsmanagementsystem, kurz ISMS. Wer sich mit dem Thema Informationssicherheit schon näher befasst hat, wird feststellen: Personenbezogene Daten sind eine Untermenge der schützenswerten Informationen einer Organisation. Na, schau mal einer an.

Schreibt Artikel 32 DSGVO nun ein ISMS vor?

Die Begriffe Informationssicherheit oder ISMS fallen zwar nicht wörtlich, aber gerade die in Artikel 32 Absatz 1 DSGVO genannten Punkte, beschreiben dem Sinn nach nichts anderes als ein Informationssicherheitskonzept bzw. ISMS. Das bedeutet nun nicht, dass man ein solches ISMS zur Einhaltung von Art. 32 DSGVO einführen muss, um rechtskonform unterwegs zu sein. Aber es wird halt mühselig. Gut, es gibt immer Menschen und Organisationen, die mögen es umständlich 🙂

Was liegt also näher, als sich diesen Anforderungen systematisch zu nähern, statt einfach wild ein paar möglicherweise geeignete Schutzmaßnahmen zusammenzuschustern? Und sobald man ein Informationssicherheitskonzept eingeführt hat, geht es ja nicht nur den personenbezogenen Daten gut. Auch alle anderen “Kronjuwelen” einer Organisation fühlen sich behütet und beschützt. Also gleich mehrere Fliegen mit einer Klappe erschlagen. Grüße vom tapferen Schneiderlein.

Dabei sollte man jedoch im Hinterkopf behalten, dass Informationssicherheit sich im Rahmen der sog. Risikoanalyse vorrangig mit den Auswirkungen auf die Organisation befasst. Die Fragestellung lautet zu Beginn: Was für Auswirkungen haben die Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von schützenswerten Informationen (und damit sind personenbezogene Daten eingeschlosen) für meine Organisation im Hinblick auf

mögliche Vertragsverletzungen und Rechtsverstöße,
finanzielle Schäden wie Vertragsstrafen, Bußgelder oder auch Schadenersatz,
negative Auswirkungen auf Reputation / Image,
mögliche Beeinträchtigung der Aufgabenerfüllung,
mögliche Beeinträchtigungen der informationellen Selbstbestimmung (Datenschutz) und
bei einem Sidekick in Richtung Notfallmanagement auch Gefahr für Leib und Leben.

Die Risiken im Bereich Datenschutz werden zwar schon grob erfasst, aber im Hinblick auf die Auswirkungen für die Organisation. Der Trick besteht darin, mögliche Risiken für den Betroffenen wie Identitätsdiebstahl oder Verlust seiner Betroffenenrechte und noch weiterer Punkte zu inkludieren. Kein Hexenwerk. Und vor allem muss man das Rad nicht neu erfinden.

Welche Systematik für ein Informationssicherheitskonzept darf es denn sein?

Das Schöne ist, es gibt auf dem Markt seit Jahrzehnten bewährte und kontinuierlich weiterentwickelte Standards für Informationssicherheit. Und selbst wenn diese die Auswirkungen im Datenschutz für den Betroffenen nicht bereits inkludiert haben, sind diese in der Risikobetrachtung mit wenigen Handgriffen integriert und berücksichtigt. “That’s no rocket science!”

Sicher kennen viele Leser eine ISO 27001 als weltweite Norm für Informationssicherheit oder auch den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI). Es hält sich das Gerücht hartnäckig, diese seien für kleine und kleinste Organisationen viel zu groß und aufwändig. Die Praxis zeigt, dem ist nicht so. Aber selbst, wenn man dieser Argumentation folgt, so gibt es Alternativen wie (Reihenfolge nicht wertend)

ISIS12 / CISIS12 — ein Informationssicherheitskonzept in 12 Schritten
SiKoSH — in 7 Schritten zu einem ISMS
VDS 10000 — ehemals 3473, ursprünglich ein Fragebogen für Risiken im Bereich Cybersicherheit
TISAX — im Kontext von Automobilzulieferern weit verbreitet oder
das unter dem Titel “Arbeitshilfe” bekannte Konzept zu Einführung und Betrieb eines ISMS der Innovationsstiftung Bayrische Kommune.

Darüberhinaus gibt es auch noch weitere Systematiken und Vorgehensweisen, aber wir beschränken uns mal auf die oben genannten Vertreter. Unsere Empfehlung lautet stets: Nutzen Sie eine der vorhandenen Vorgehensweisen und erfinden Sie das Rad bitte nicht neu. Warum? Diese Vorgehensweisen / Vertreter für ein ISMS

haben sich über lange Zeit in der Praxis bewährt,
sind für jede Art von Organisation anwendbar, da — welch’ Überraschung — Informationssicherheit universell ist,
decken allesamt stets die Mindestanforderungen an Informationssicherheit ab,
sind skalierbar im Hinblick auf Organisationsgrößen aber auch auf das zu erreichende Sicherheitsniveau,
sparen Ihnen Zeit und Nerven,
helfen, gern gemachte Fehler bei Einführung und Betrieb eines ISMS von vornherein zu vermeiden (RTFM).

Die “Arbeitshilfe” — der ideale Einstieg in Artikel 32 DSGVO für kleine und große Einrichtungen

Wessen Organisation noch so gar keine Erfahrung hat mit dem Thema Informationssicherheit oder die ISO 27001 und dem IT-Grundschutz für zu wuchtig hält, steigt idealerweise über die “Arbeitshilfe” in das Thema ein. Damit können größere Organisationen erste Erfahrungen sammeln, bevor es danach mit “größeren” Standards ans Eingemachte geht. Und bei kleineren Einrichtungen kommt man bei konsequenter Anwendung des Standards “Arbeitshilfe” bereits zu einem funktionierenden ISMS mit dazugehörigen PDCA-Zyklus.

Dieser Standard wurde 2016 im Auftrag der Bayrischen Kommunalen Spitzenverbände von uns für die Innovationsstiftung Bayrische Kommune entwickelt. Mittlerweile ist Version 4.0 aktuell. Ein Update auf Version 5.0 wird voraussichtlich in 2023 erscheinen. Ist der Standard dann überhaupt für Unternehmen und Vereine geeignet, wenn er doch aus dem kommunalen Bereich stammt? Ja klar. Wie zuvor schon geschrieben, ist Informationssicherheit eine universelle Angelegenheit, die vom anzustrebenden Schutzwert für schützenswerte Informationen ausgeht. Dabei ist es unerheblich, ob eine Firma oder eine Verwaltung Informationssicherheit betreibt. Der einzige Knackpunkt bei Nutzung der Arbeitshilfe: Gelegentlich muss man Begrifflichkeiten wie Bürgermeister, Landrat oder Verwaltung gegen die Pendants aus der freien Wirtschaft tauschen. Aber das bekommen Sie hin 🙂

In 9 Kapiteln führt die “Arbeitshilfe” eine Organisation in die notwendigen Anforderungen für ein ISMS ein und legt die Grundlagen für den späteren Betrieb im Hinblick auf “ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.” Gleichzeitig unterstützt die Systematik bei der Entdeckung möglicher Schwachstellen und zeigt Lösungswege auf, diese zeitnah zu beseitigen.

Die Systematik, Anleitung und Dokumente zur Bearbeitung der “Arbeitshilfe” stehen kostenfrei zum Download zur Verfügung. Im ersten Durchlauf werden auch keine Investitionen in eine ISMS-Software notwendig. Im laufenden Betrieb empfiehlt sich diese dann später jedoch, um die Dokumentation und regelmäßige Nachprüfung, aber auch das Berichtswesen zu erleichtern. Bei Interesse an einer solchen Lösung sprechen Sie uns bitte an.

Kleines Schmankerl: Je nach Bundesland können Fördermittel aus diversen Töpfen zur Erhöhung der Informationssicherheit oder IT-Sicherheit oder Digitalisierung angezapft werden. Wenn Sie sich also zur Unterstützung und Begleitung der Einführung oder auch für Mitarbeiterschulungen externe Hilfe heranholen, können die Ausgaben hierfür gefördert werden.

Weitere Infos zur Arbeitshilfe finden Sie hier auf unserem Blog.

Wenn man ein solches ISMS dann auch noch mit einem funktionierenden Datenschutzmanagementsystem (DSMS) verknüpft, dann hat man einige Sorgen weniger bzw. sich unnötige Umstände und Mühen aufgrund unsystematischer Vorgehensweisen erfasst. Gleichzeitig hat man, den aktiven Betrieb beider Systeme vorausgesetzt, auch nicht bange zu sein, sollte die Landesdatenschutzbehörde mal klingeln. Und das ist viel wert. Das wissen zumindest die Organisationen, bei denen das schon der Fall war 😉

Regelmäßiges Webinar “Einführung in die Grundlagen des Datenschutzes DSGVO”

von Sascha Kuhrau
2. Oktober 2022

Was liebt der Datenschutz?

Sensibilisierte Mitarbeiter.

Wieso liebt der Datenschutz sensibilisierte Mitarbeiter?

Unter anderem, weil sich damit die Risiken für eine Datenschutzverletzung minimieren lassen. Aber es hat noch viele weitere positive Aspekte (frühzeitige Einbindung des DSB, funktionierendes Datenschutzmanagement, verbesserte und vereinfachte Erfüllung der DSGVO Anforderungen, Senken von Bußgeldrisiken, und und und .…)

Wie bekommen wir das hin? Wir können ja nicht jeden neuen Mitarbeiter einzeln schulen.

Stimmt. Aber wie wäre es mit unserem Webinar “Einführung in die Grundlagen des Datenschutzes DSGVO”?

An wen wendet sich denn dieses Webinar “Einführung in die Grundlagen des Datenschutzes DSGVO”?

Bestens geeignet für neue Mitarbeiter in der Organisation, die eine grundlegende Einführung in das Thema zu Beginn erhalten sollen.

Nur für neue Mitarbeiter?

Né, gerne auch für Mitarbeiter, die schon lange nicht mehr mit dem Thema vertraut gemacht wurden. Etwas Auffrischung schadet nicht.

Wie lange dauert denn die Veranstaltung?

90 Minuten

Muss mein Mitarbeiter dafür etwas auf seinem Endgerät installieren?

Nö. Sie brauchen nur einen mit dem Internet verbundenen Webbrowser und Lautsprecher (besser Headset).

Bekommen Teilnehmer eine Bestätigung?

Wir machen im Laufe des Webinar ein paar Anwesenheitschecks in Form von Fragen / Begriffen. Diese Begriffe trägt der Teilnehmer am Ende in ein Formular ein und generiert sich damit seine Teilnahmebestätigung. Diese wird als PDF-Anhang per Email direkt an den Teilnehmer versendet. Jedes Webinar hat übrigens andere Begriffe 😉

Datenschutz als Thema, ist das nicht furztrocken?

Man sagt unseren Webinaren nach, dass diese humvorvoll, interessant und eben nicht trocken sind 🙂

Können im Webinar Fragen gestellt werden?

Aber sicher doch. Wir freuen uns über jede Frage, die im Chat gestellt wird. Ganz mutige Teilnehmer schalten wir nach Aufforderung auch gerne mit Webcam und Mikrofon dazu, wenn gewünscht.

Wie ist das denn mit dem Datenschutz bei unterschiedlichen Teilnehmern?

Chat und Teilnehmerliste stehen auf anonym. Keiner der Teilnehmer sieht Namen oder Fragen der anderen. Fragen werden von den Moderatoren ohne Namen des Fragestellers in einen für alle lesbaren Chat kopiert.

Wie oft findet das Webinar statt?

Üblicherweise monatlich. Die nächsten Termine finden Sie hier.

Können wir auch eine eigene Veranstaltung für unsere Organisation buchen?

Das lässt sich einrichten 🙂

Was kostet die Teilnahme?

Wir halten es ganz einfach. Meist nur ein einstelliger Euro-Betrag plus MwSt. pro Teilnehmer (Ausnahme: Organisationsindividuelle Webinare)

Gibt es Beschränkungen im Hinblick auf den Teilnehmerkreis?

Nö, das Webinar ist für alle Personen geeignet, die im Arbeitsalltag mit personenbezogenen Daten hantieren. Es gibt nur eine Einschränkung: Unser Webinar-Angebot richtet sich nicht an private Endverbraucher.

Müssen wir die a.s.k. Datenschutz als Datenschutzbeauftragte benannt haben, damit unsere Mitarbeiter teilnehmen können?

Um Himmels willen, nein. Unser Webinar-Angebot richtet sich explizit nicht nur an unsere Bestandskunden. Aber vielleicht werden Sie ja später einer 😉

Sind weitere Themen geplant?

Nicht nur geplant. Wir haben weitere Themen am Start wie “Email-Sicherheit” und “Einführung in die Grundlagen der Informationssicherheit”. Weitere Themen sind in Vorbereitung.

Wir hätten Interesse. Wie geht es jetzt weiter?

Dann schreiben Sie uns an.

Möglicher Datenschutzverstoß bei Nutzung von VirusTotal

von Sascha Kuhrau
31. März 202231. März 2022
2 Kommentare

Das BSI warnt aktuell vor einem möglichen Datenschutzverstoß bei Nutzung von VirusTotal. Neben dem Datenschutzrisiko sind aber auch andere schützenswerte Informationen der eigenen Organisation oder von Externen in Gefahr, Dritten gegenüber offengelegt zu werden.

Was ist VirusTotal?

VirusTotal ist ein Service von Google und unter https://www.virustotal.com erreichbar. Über den Dienst kann man beispielsweise verdächtige Webadressen (URL) überprüfen, bevor man diese selbst im Browser auf dem eigenen System aufruft. Eine Empfehlung, die wir beispielsweise im Rahmen unserer Schulungen und Webinare häufiger aussprechen.

Neben diesem URL-Check bietet VirusTotal jedoch auch an, Dateien zur Online-Überprüfung durch eine Vielzahl bekannter Virenscanner hochzuladen. Und da liegt auch der Hase im Pfeffer. Neben der Nutzung direkt im Browser bietet VirusTotal auch Business-Services an, bei denen kein manueller Upload erfolgen muss, sondern die Prüfung automatisiert im Hintergrund durchgeführt wird.

“Dieser Dienst wird von Privatpersonen und Unternehmen oftmals zur Prüfung von verdächtigen Dateien genutzt, um aufgrund der Vielzahl von Antivirenprogrammen verlässlichere Ergebnisse als mit nur einem Scanner zu erhalten.”, so das Bundesamt für Sicherheit in der Informationstechnik.

Wo ist das Problem bzw. der Datenschutzverstoß bei Nutzung von VirusTotal?

Werden Dateien mit personenbezogenen Daten hochgeladen bzw. geprüft, liegt für gewöhnlich eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Diese muss inkl. der TOM-Prüfung korrekt VOR Nutzung des Dienstes geregelt und vereinbart sein. Hinzu kommt, dass lt. BSI Datenweitergaben an zahlreiche AV-/Scan-Anbieter auch mit Sitz außerhalb der EU erfolgen. Vor dem Hintergrund der aktuellen Diskussion um Drittstaatenübermittlungen nicht ganz unproblematisch.

Und ganz nebenbei: Selbst dann, wenn Dateien ohne personenbezogene Daten hochgeladen werden, besteht ein nicht unerhebliches Risiko. Nämlich dann, wenn es sich um vertrauliche bzw. schützenswerte Informationen der Organisation (oder eines Kunden / Bürgers / Auftraggebers) handelt. Diese Datei wird munter mit allen angeschlossenen Anbietern geteilt. Will man das für Geschäfts- bzw. Organisationsgeheimnisse? Eher nicht.

Was kann helfen?

Mitarbeiter auf dieses grundlegende Sicherheitsproblem bei der Nutzung des Dienstes aufmerksam machen bzw. dafür ausreichend sensibilisieren (Nein, Papier alleine reicht nicht!)
Regelungen treffen, ob und wenn ja welche Dateien möglicherweise doch einem Check durch den Service unterzogen werden dürfen (z.B. bei Vertraulichkeitsstatus “Öffentlich”)
Oder wie das BSI rät, ausschließlich mit Hash-Werten der Dateien zu arbeiten (tricky, aber machbar)

Weitere Unterstützung bieten die Fragestellungen an Sicherheitsbeauftragte auf Seite 3 der Stellungnahme des BSI zum Thema, zu finden hier.

Whistleblower-Richtlinie / Hinweisgeberschutzgesetz pragmatisch umgesetzt mit Whistle Safe

von Sascha Kuhrau
10. Januar 20221. Februar 2022

Seit November 2019 steht die europäische Hinweisgeberschutz-Richtlinie im EU-Amtsblatt (Whistleblower-Richtlinie). Ihre Vorgaben sind nun in Kraft getreten und greifen seit dem 18.12.2021. Die Mitgliedstaaten hatten zuvor zwei Jahre Zeit, das EU-Gesetz in nationales Recht umzusetzen. Die Umsetzung im deutschen Hinweisgeberschutzgesetz wird für Quartal 1 2022 erwartet. Die Anforderungen können jedoch bereits gegen Organisationen geltend gemacht werden.

Juristische Personen wie Firmen, Behörden und andere Rechtsträger (mit mehr als 50 Mitarbeitern) sowie alle Unternehmen aus dem Bereich der Finanzdienstleistungen müssen gemäß den Vorgaben der Whistleblower-Richtlinie prinzipiell ein (internes) Hinweisgebersystem bereitstellen und einen speziellen Beauftragten als Ansprechpartner vorsehen. Geringfügige Ausnahmen können lediglich für Gemeinden mit weniger als 10.000 Einwohnern gemacht werden.

Anders als von der deutschen Rechtsprechung bislang vorgegeben, muss nach der Whistleblower-Richtlinie ein Hinweisgeber einen Missstand nicht mehr zunächst intern in der eigenen Firma oder Behörde melden. Er kann sich auch unmittelbar an übergeordnete Whistleblower-Stellen wenden oder bei irreversiblen Schäden, drohenden konkreten Repressalien und beim Ausbleiben einer zügigen Rückmeldung an die Medien. Damit entzieht sich eine solche Meldung der Kontrolle Ihrer Organisation und birgt entsprechende Risiken (Imageschaden, Bußgelder, Geldstrafen etc.)

Unser Partner Whistle Safe e.K. stellt Ihnen eine Lösung vor, wie Sie in Ihrer Firma oder Kommune die rechtlichen Anforderungen der Whistleblower-Richtlinie mittels der gesetzlich explizit vorgesehenen externen Unterstützung elegant und auch kostenschlank lösen können.

Die Webinare (ca. 30 Minuten) finden statt:

10. Februar 2022, 09:00 — 09:30 Uhr
18. Februar 2022, 11:00 — 11:30 Uhr
24. Februar 2022, 10:00 — 10:30 Uhr
15. März 2022, 11:00 — 11:30 Uhr

Bitte nutzen Sie den folgenden Link zur Registrierung für einen Termin Ihrer Wahl:
https://next.edudip.com/de/webinar/whistleblowing-richtlinie-hinweisgeberschutzgesetz-pragmatisch-umgesetzt-mit-whistle-safe/1768122

Hinweis: Diese kostenfreie Veranstaltung zur Whistleblower-Richtlinie wird von Whistle Safe e.K. Berlin durchgeführt, nicht von der a.s.k. Datenschutz. Fragen richten Sie daher bitte direkt an info@whistle-safe.com bzw. https://whistle-safe.com

Herzliche Grüße sowie ein frohes und vor allem gesundes Neues Jahr 2022
Das Team von a.s.k. Datenschutz

E‑Privacy und der gelebte Datenschutz

von Lin Henry Qiu
16. November 20209. Dezember 2020
2 Kommentare

Am 04.11.2020 wurde ein Entwurf für eine E‑Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von ‘visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig.

Ausnahmen dieser E-Privacy Aspekte

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E‑Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheit, fraud prevention, Direktwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels ‘präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit “Spiegel Online” an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne.

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E‑Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der ‘rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden.

E‑Privacy und das Nutzerverhalten

Hand aufs Herz — wer kennt die ‘do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E‑Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen.

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben.

Die vorgeschlagene E‑Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die ‘Funktionalitäten´ der hard- und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker — dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter.

a.s.k. Datenschutz erfolgreich Informationssicherheit (ISMS) nach ISIS12 zertifiziert

von Sascha Kuhrau
14. November 2020

Nach nur knapp 6 Monaten Einführung eines Informationssicherheitsmanagementsystems, kurz ISMS wurde das Team von a.s.k. Datenschutz für die investierte Zeit und Nerven belohnt. Nach einem erfolgreichen Vor-Ort-Audit Mitte Oktober durch die DQS GmbH haben wir zum 31.10.2020 das Zertifikat über die erfolgreiche Einführung und den nachweislichen Betrieb unseres ISMS auf Basis des Standards ISIS12 2.0 erhalten. Damit sind wir die erste Organisation, die im neuen Katalog 2.0 zertifiziert wurde. Das freut uns natürlich gleich noch etwas mehr.

Neben den rein formalen Anforderungen haben diese 6 Monate auch einige Veränderungen an Arbeitsprozessen und eingesetzten Softwarelösungen z.B. für den Bereich Mobile Device Management und Hardware-Verwaltung mit sich gebracht. So konnten wir bereits die Phase der Einführung zur weiteren Verbesserung der technischen und organisatorischen Schutzmaßnahmen nutzen. Weiterer Vorteil: Der Nachweis geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO wird durch die Zertifizierung deutlich erleichtert.

ISIS12 (Informationssicherheit in 12 Schritten) ist eine aus dem BSI IT-Grundschutz abgeleitete Vorgehensweise, welche es kleinen und mittleren Organisationen ermöglicht, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und zu betreiben. a.s.k. Datenschutz berät und unterstützt seit vielen Jahren zahlreiche Kommunen und Unternehmen bei Einführung und Betrieb eines ISMS auf Basis von ISIS12, aber auch anderer Standards wie dem BSI IT-Grundschutz selbst. Für uns war es daher ein logischer Schritt, unseren Kunden nicht nur gute Ratschläge zur Einführung und Betrieb von ISIS12 zu geben und sie dabei zu begleiten, sondern uns selbst diesen Regularien zu unterwerfen und das Ganze auch mit Zertifizierung abzuschließen.

Nachdem die ISIS12-Katalogreihe 1.x zu April 2022 abgekündigt wurde, war es für uns selbstverständlich, den Nachfolge-Katalog 2.0 einzuführen. Die überarbeitete Struktur sowie deutliche Aktualisierung der Bausteine und Maßnahmen im Katalog 2.0 gegenüber den früher aus dem IT-Grundschutz-Katalog entnommenen Elementen haben eine zügige, nachvollziehbare und transparente Einführung sehr unterstützt.

Wir können daher aus eigener Erfahrung nur empfehlen, neue Projekte generell nur noch im Katalog 2.0 zu starten bzw. vorhandene ISMS auf Basis der 1.x Kataloge bei nächster passender Gelegenheit umzustellen. Die Upgrade-Pfade sind gut dokumentiert und für unsere Kunden haben wir weitere Systematiken zur einfachen Konvertierung entwickelt.

Wie sagte unser Auditor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letzten Tage bereits genutzt, um uns weiterzuentwickeln. Denn in 12 Monaten müssen wir uns dem ersten Überwachungsaudit (Ü1) stellen und auch das wollen wir mit einem sehr guten Ergebnis abschließen.

Das ISIS12 Zertifikat hat eine Gültigkeit von 3 Jahren und kann hier eingesehen bzw. als PDF abgerufen werden. Wenn Sie mehr über den Standard ISIS12 erfahren wollen, können Sie hier in unserem Blog oder auf der Webseite des IT-Sicherheitsclusters Regensburg weitere Details nachlesen.

Patientendaten — neues Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

von Lin Henry Qiu
5. September 20209. Dezember 2020

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat.

Patientendaten als hochsensibles Schutzgut

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur ‘vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten ‘intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten

Es würden ‘aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) ‘ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien ‘weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA.

Patientendaten in Zeiten fragwürdiger ‘Digitalisierung´

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der ‘behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein.

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022 für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können — entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung.

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf.

Schutz vor allem für die Verursacher von Datenschutzverletzungen

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit ‘Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik ‘datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben ‘konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels ‘operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich.

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich — hinreichende Gesundheit vorausgesetzt — mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten.

Fazit und Statement

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter.

Das heißt also — verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

LfDI Baden-Württemberg — neues Bildungszentrum

von Lin Henry Qiu
20. Juli 20209. Dezember 2020

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit — LfDI Baden-Württemberg, Dr. Stefan Brink, hat in diesem Monat ein neues Bildungszentrum eröffnet. Das „Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg“ (BIDIB) informiert alle interessierten Bürger, zivilgesellschaftliche Gruppen, Vereine, Verbände, Unternehmen etc. unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ und bildet ein Forum für die modernen Grundrechte Datenschutz und Informationsfreiheit.

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Die offizielle Website des BIDIB können Sie hier aufrufen und die zugehörige Pressemitteilung hier. Die mit Mitteln des Landtags Baden-Württemberg etablierte Bildungseinrichtung gibt Bildungs- und Diskussionsveranstaltungen Raum, in denen politische, ethische, rechtliche und soziologische Aspekte des Datenschutzes und der Informationssicherheit behandelt werden. Die Darreichungsformen sind u.a. digitale Formate, Vorträge, Konferenzen, Workshops und Schulungen, die mit dem Know-how der LfDI Baden-Württemberg Mitarbeitenden gespeist werden. Dazu gehört auch eine Diskussionsreihe mit Dr. Stefan Brink zu verschiedenen gesellschaftsrelevanten Themen.

Zukunftsweisende Aspekte

Der LfDI Baden-Württemberg sieht „bedarfsgerechte Bildungsangebote, die diese Grundrechte aus möglichst vielen Perspektiven beleuchten und durchdringen [..] von grundlegender und gesamtgesellschaftlicher Bedeutung“. Neben dem stetigen Ausbau der Veranstaltungs- und Bildungsangebote ist auch die Erweiterung um / bestehender Kooperationen wie mit Handelskammern, Gewerkschaften, Parteien und weiteren Organisationen avisiert. Nach der Aufbauphase des BIDIB bis voraussichtlich Ende diesen Jahres wird das Bildungszentrum über eigene Räumlichkeiten verfügen.

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg

Zu den Gratulanten gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Kelber, die Gesellschaft für Freiheitsrechte und der CCC. Insbesondere in Zeiten, in denen vielerorts unausgereifte Digitalisierung mit zeitgleichem Rückgang der Transparenz vorangetrieben wird und der Bürger weit weniger rational auf das digitale Zeitalter eingestellt wird als er annimmt, sind Einrichtungen der Bildung, der zeitgemäßen Aufklärung und des Diskurses mehr als notwendig. Es wäre zu begrüßen, wenn noch weitere solcher Einrichtungen in den Bundesländern etabliert würden.

BfDI überreicht seine Berichte zu Datenschutz und Informationsfreiheit

von Lin Henry Qiu
19. Juni 20209. Dezember 2020

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind

Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.

Einige Zahlen zur Tätigkeit des BfDI

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.

Empfehlungen des BfDI für Einrichtungen und Bürger

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.

Gremienarbeit und Gesetzgebung

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein.

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.

Zusammenfassung

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.

Corona App — hoffentlich sicher zur nächsten Pandemie

von Lin Henry Qiu
14. Juni 20209. Dezember 2020

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind.

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf. Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen.

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung.

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren.

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt.

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar.

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren.

Datenschutz und Privatsphäre

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg.

Prüfauftrag der Corona App war limitiert

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen.

Fazit zum aktuellen Stand der Corona App

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln.

1
2
3
…
6
Weiter »

Behörde

So steht es in Arti­kel 32 DSGVO

Was will Arti­kel 32 DSGVO in der Praxis?

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

Was liebt der Datenschutz?

Wie­so liebt der Daten­schutz sen­si­bi­li­sier­te Mitarbeiter?

Wie bekom­men wir das hin? Wir kön­nen ja nicht jeden neu­en Mit­ar­bei­ter ein­zeln schulen.

An wen wen­det sich denn die­ses Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

Nur für neue Mitarbeiter?

Wie lan­ge dau­ert denn die Veranstaltung?

Muss mein Mit­ar­bei­ter dafür etwas auf sei­nem End­ge­rät installieren?

Bekom­men Teil­neh­mer eine Bestätigung?

Daten­schutz als The­ma, ist das nicht furztrocken?

Kön­nen im Web­i­nar Fra­gen gestellt werden?

Wie ist das denn mit dem Daten­schutz bei unter­schied­li­chen Teilnehmern?

Wie oft fin­det das Web­i­nar statt?

Kön­nen wir auch eine eige­ne Ver­an­stal­tung für unse­re Orga­ni­sa­ti­on buchen?

Was kos­tet die Teilnahme?

Gibt es Beschrän­kun­gen im Hin­blick auf den Teilnehmerkreis?

Müs­sen wir die a.s.k. Daten­schutz als Daten­schutz­be­auf­trag­te benannt haben, damit unse­re Mit­ar­bei­ter teil­neh­men können?

Sind wei­te­re The­men geplant?

Wir hät­ten Inter­es­se. Wie geht es jetzt weiter?