Datenschutz

Informationspflichten für Vereine nach Art. 13 DSGVO

Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO

Seit Mai 2018 kämpfen nicht nur Vereine mit den durch die Datenschutz-Grundverordnung neu hinzugekommenen Anforderungen. Aber gerade bei Vereinen mit oftmals vielen bzw. ausschließlich ehrenamtlich tätigen Mitgliedern macht sich hier nachvollziehbar schnell Unsicherheit im Umgang mit dem Datenschutz-Recht breit. Gerade die Informationspflichten für Vereine nach Art. 13 DSGVO gehören hier als Ursache oft dazu. Diesem Umstand trägt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (kurz LfDI BW) schon aus Zeiten vor der DSGVO Rechnung.

Seit Februar 2021 steht nun für Vereine ein Generator für „Datenschutzinformationen“ auf der Webseite des LfDI BW online. Eine begrüßenswerte Hilfestellung, wenn es um die Erfüllung der Informationspflichten für Vereine geht.

Nachdem einige Grundangaben in dem Online-Formular getätigt wurden, erhält der Nutzer einen Mustertext zum Kopieren und Einbinden in die Vereinswebseite.

Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen

So löblich dieser Generator ist, so gefährlich ist er auch. Daher warnt der LfDI BW selbst:

Bei DS-GVO.clever handelt es sich um eine Hilfestellung des LfDI Baden-Württemberg bei der Erstellung von Datenschutzinformationen für Vereine. Es werden nicht alle möglichen Datenverarbeitungen vollständig wiedergegeben. Prüfen Sie daher bitte vor der Veröffentlichung, an welchen Stellen Sie die Datenschutzinformationen noch ergänzen müssen.

Der erzeugte Mustertext stellt jedoch einen guten Einstieg für die spätere/n Datenschutzerklärung / Datenschutzhinweise der Vereinswebseite bzw. zur Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO dar.

Vor Veröffentlichung sollte man den Rat des LfDI BW jedoch wirklich beherzigen und den Text prüfen und ergänzen. So sind z.B. Login-Bereiche für Mitglieder nicht in der Musterbeschreibung enthalten, jedoch durchaus keine Seltenheit auf Vereinswebseiten.

Weitere Hilfestellungen für Vereine durch den LfDI BW

Bereits in der 2. Auflage ist der Praxisratgeber „Datenschutz im Verein nach der DS-GVO“ (Grüße an das Team Bindestrich) erschienen. Auf 29 Seiten sind die grundlegenden Anforderungen an Vereine aus der DSGVO nachvollziehbar und auch für Nicht-Datenschutzbeauftragte verständlich dargestellt, abgerundet mit pragmatischen Tipps zur Umsetzung. Im Ratgeber finden sich dazu auch weitere Ausführungen zu den Informationspflichten für Vereine nach Art. 13 DSGVO.

Für einen ersten Überblick lohnt aber auch ein Blick in die FAQ für Vereine. In dieser sind einige Kernfragen zusammengestellt und beantwortet, die häufiger an den LfDI BW seitens von Vereinen herangetragen wurden.

Wenn alle Stricke reißen

Es ist vollkommen normal, wenn Vereinsverantwortliche trotz dieser Hilfestellungen unsicher sind in Bezug auf Anforderungen und Umsetzung. In diesem Fall: Sprechen Sie mit dem Datenschutz-Berater Ihres Vertrauens.

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO geleakt

Auch wenn sich die meisten Betroffenen nicht für die Angaben zu den Informationspflichten nach Art. 13 und 14 DSGVO interessieren, ist es uns gelungen, diese Angaben dem Weihnachtsmann und seinem Team zu entlocken. Wie es scheint, gab es da oben aber schon einiges an Glühwein. Anders können wir uns dieses Dokument nicht erklären. Doch lesen Sie selbst oder laden das PDF im Anhang.

Wir wünschen allen LeserInnen unseres Blogs und Newsletters ein gesegnetes Weihnachtsfest und einen guten Rusch ins Neue Jahr. Bitte bleiben Sie gesund #flattenthecurve

Informationspflichten des Weihnachtsmanns zu Art. 13 und 14 DSGVO

Im Rahmen dieses Dokuments informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten in unserer Organisation, auch wenn das eigentlich niemanden interessiert. Alle wollen immer nur Geschenke.

Verantwortliche Stelle: Der Weihnachtsmann, Christbaumstraße, 99999 Wolkenschlosss. Wir sind ausschließlich per Wunschzettel erreichbar.

Datenschutzbeauftragter: Das Christkind. Kontakt via Notiz auf dem Wunschzettel.

Sie wollen doch was von uns, nämlich Geschenke. Also her mit Vornamen (bei Kindern unter 18 Jahren ausreichend) und / oder Nachname, Adresse (wäre toll, wenn Sie ausnahmsweise mal nicht verschlüsselt, sondern leserlich schreiben), dem Weihnachtswunsch (Dezenter Hinweis: Das sind Wünsche, keine Bestellungen!). Wir ergänzen unsererseits Ihr Betragen im letzten Jahr.

Die Rechtsgrundlagen unserer Verarbeitung sind ganz einfach: Sie bekommen Geschenke, wir Ihre Daten.

Falls Rudi und seine Kollegen mal wieder zu viele Weihnachtskekse gefressen haben, geben wir Ihre Daten ungefragt an Versanddienstleister zwecks Zustellung der Geschenke weiter. Da wir auch in Deutschland tätig sind, erhält die Buchhaltung noch über alles einen Beleg. Sie kennen das ja mit diesem Finanzamt, die verstehen keinen Spaß.

Wir erbringen unsere Leistungen zwar aus einem Wolkenschloss, nutzen aber ansonsten keinerlei Cloud-Services. Zur Sicherstellung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO stehen uns jedoch ausreichend Schutzmaßnahmen in Form von

zur Verfügung. Lassen Sie sich vom niedlichen Äußeren nicht täuschen.

Ihre Daten löschen wir direkt bei Wegfall des Verwendungszwecks mit der Zustellung des Geschenks. Reklamationen direkt bei uns sind daher ausgeschlossen. Wir wissen von nichts! Nachfragen zwecklos.

Für gewöhnlich erhalten wir Ihre Daten direkt von Ihnen. Ausnahmen sind Wünsche, die von Verwandten in direkter bzw. indirekter Linie für Sie übermittelt werden. Ok, manchmal auch von Freunden. Aber nur von wirklich guten Freunden … „Engel!! Wer hat jetzt schon wieder das Wasser gegen diesen Anisschnaps ausgetauscht?“

Wir selbst recherchieren keine personenbezogenen Daten z.B. in sozialen Netzwerken. Das würde uns zwar einiges an Arbeit sparen, da zahlreiche Geschenke entfallen könnten, aber wir wollen mal nicht so sein. Ist ja schließlich Weihnachten. Aber: „Maik und Ingrid, löscht doch bitte mal die Bilder von eurem letzten Party-Absturz. Die will wirklich keiner sehen!“

Sie haben zwar das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO), nur was wollen Sie fragen, was Sie nicht selbst schon alles über sich wissen? Nein, unser Auskunftsservice steht nicht zur Verfügung, um die Lücken Ihres letzten Hang Over zu schließen.

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO). Dann gibt es aber auch keine Geschenke – ganz einfach. Allabätsch!

Weiterhin besteht ein Beschwerderecht bei einer Datenschutzaufsicht Ihrer Wahl. Auswirkungen einer solchen Beschwerde auf zukünftige Geschenke sind Zufall und keinesfalls in Verbindung mit Ihrer Beschwerde zu sehen.

Und jetzt: Gesegnete Feiertage! Wir haben zu arbeiten, also sehen Sie bitte von Nachfragen ab.

Weihnachtsmann und Team

PS: Bitte schwärzen Sie im Zuge der DSGVO weder Namen und Anschrift auf Ihrem Wunschzettel. DANKE!

291 Downloads

Tipps aus der Informationssicherheit: Technische und organisatorische Maßnahmen für Heimarbeit und mobiles Arbeiten

Datenschutz und Informationssicherheit gefordert

Seit März 2020 beschäftigen sich die meisten Organisationen aufgrund der Corona-Pandemie mit den Themen Heimarbeit und Mobiles Arbeiten. Doch dabei wurde bzw. wird sich oftmals auf die technische Zurverfügungstellung sowie Zusätze zum Arbeitsvertrag fokussiert. Das ist auch kein Wunder. Denn es galt ja vorrangig, schnell arbeitsfähig zu werden und zu bleiben. Und dann war ja noch das Problem mit dem Klopapier zu lösen.

Pixabay: Alexas_Fotos

Und selbst wenn bereits bei der ersten Einführung bzw. Umsetzung die Themen Datenschutz und Informationssicherheit berücksichtigt wurden, ist es nun ein guter Zeitpunkt an dem Thema dran zu bleiben. So gilt es, vorhandene technische und organisatorische Maßnahmen auf den Prüfstand zu stellen. Art. 32 DSGVO fordert in Absatz 1 Buchstabe d vorhandene Schutzmaßnahmen einer „regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit […] zur Gewährleistung der Sicherheit der Verarbeitung“ zu unterziehen. Wer sich neben Datenschutz mit der Informationssicherheit auseinandergesetzt hat, wird dieses Prinzip schon länger kennen. Wirksamkeitskontrolle und kontinuierliche Verbesserung für vorhandene Schutzmaßnahmen sind Tagesgeschäft in der Informationssicherheit.

Das Rad nicht neu erfinden: Tools der Informationssicherheit nutzen

Glücklicherweise müssen Datenschutzbeauftragte das Rad hierfür nicht neu erfinden. Denn jahrzehntelang bewährte Standards wie der BSI IT-Grundschutz (in aktueller Fassung des Kompendiums 2020) bieten konkrete Maßnahmen und Empfehlungen zu Heimarbeit und mobilem Arbeiten an. Diese können wunderbar mit den eigenen getroffenen technischen und organisatorischen Schutzmaßnahmen abgeglichen werden. Daraufhin mögliche Lücken zu schließen und vorhandene Maßnahmen zu optimieren, fällt im Nachgang umso leichter. Sicher mit ein Grund, warum Datenschutzgesetze und Kommentare immer häufiger diese Prinzipien und Hilfestellungen der Informationssicherheit einbinden und erwähnen.

Pixabay: Peggy_Marco

Wir haben Ihnen in diesem Beitrag die unserer Meinung nach wichtigsten Bausteine aus dem aktuellen BSI IT-Grundschutz Kompendium zusammengestellt. Diese befassen sich entweder direkt mit Heimarbeit und mobilem Arbeiten oder sind zumindest damit eng verknüpft. Darüber hinaus haben wir noch einige weitere Empfehlungen für Sie herausgesucht. Themen wie Email-Sicherheit, Mitarbeitersensibilisierung, Umgang mit Sicherheitsvorfällen und Notfallmanagement werden gerne vernachlässigt. Gerade, wenn es wie im März 2020 schnell gehen muss.

Exkurs zum Grundverständnis und Aufbau des BSI IT-Grundschutz

Der IT-Grundschutz beschreibt in seinem Komepdium „standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in einzelnen Bausteinen“. Diese Aufzählung zeigt deutlich, der IT-Grundschutz befasst sich entgegen seines Namens nicht nur mit IT-Sicherheit. Das wäre auch grob fahrlässig, denn schließlich passiert ein Großteil der Sicherheitsvorfälle (quantitativ) im organisatorischen Bereich. Der Faktor Mensch stellt uns gerne und oft ein Bein in der Informationssicherheit und damit am Ende auch im Datenschutz. Diese zuvor erwähnten Bausteine sind nach Schichten (Themenbereiche) unterteilt:

So gibt es in der Schicht ISMS beispielsweise einen Baustein mit der Bezeichnung „ISMS.1 Sicherheitsmanagement“. Dieser beschreibt sehr konkret, welche Anforderungen an Informationssicherheit und das Management von Informationssicherheit in einer Organisation gestellt werden, wenn man den Standard BSI IT-Grundschutz als Grundlage heranzieht. Mit konkreten Umsetzungsempfehlungen werden diese Anforderungen weiter detailliert und unterstützen mit wertvollen Details zu möglichen technischen und organisatorischen Schutzmaßnahmen. Damit man auch weiß, woher diese Empfehlungen rühren, enthält jeder Baustein üblicherweise eine sehr konkrete Beschreibung der Gefahrenlage. Darin werden mögliche Risiken beschrieben, welche für das Thema des Bausteins relevant sind und denen man mit den Schutzmaßnahmen im weiteren Verlauf des Bausteins begegnen will.

In der Schicht INF finden sich als weiteres Beispiel Bausteine zur Absicherung von Gebäuden und diversen Räumen innerhalb von Gebäuden, je nach deren Nutzungsart. Wer sich für den Umgang mit Smartphones und Tablets interessiert oder gar mit einer MDM-Lösung (Mobile Device Management) liebäugelt, der wird in der Schicht SYS fündig.

Der IT-Grundschutz ist vergleichbar mit einem Werkzeugkasten im Alltag eines Heimwerkers. Will unser Bob einen Nagel in die Wand schlagen, findet er den passenden Hammer in seinem Kasten. Benötigt er dagegen einen Schlagbohrer samt Dübel und Schraube zur Befestigung, so kann er diese einzelnen Tools aus seinem Werkzeugkasten zum Erreichen seines Ziels ebenfalls auswählen und miteinander kombinieren.

Pixabay: picjumbo_com

Umsetzungsempfehlungen zu technischen und organisatorischen Maßnahmen – MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT

Um die Anforderungen des BSI IT-Grundschutz zu erfüllen, sollte man wissen, was es mit diesen in der Überschrift genannten Modalverben MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT auf sich hat. Generell sind die Umsetzungsempfehlungen erstmal nur reine Empfehlungen an eine Organisation, wie das Schutzniveau durch geeignete technische und organisatorische Schutzmaßnahmen erreicht oder verbessert werden kann. Geht es jedoch um eine nachweisliche Umsetzung oder Zertifizierung, gilt es bestimmte Empfehlungen zwingend umzusetzen oder zumindest konkret geprüft zu haben, ob und wie man diese zukünftig umgesetzt haben könnte. Es gibt also dann klassische Muss- und Kann-Anforderungen. Ebenso gibt es auch Sachverhalte, die definitiv ausgeschlossen werden müssen. Für die weiter unten angeführten Bausteine zu Heimarbeit und mobilem Arbeiten soll es erst mal ausreichen, MUSS und SOLLTE näher zu betrachten. Weitere Details zu den Modalverben finden Sie hier.

MUSS

„Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).“

SOLLTE

„Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden, bestenfalls schriftlich.“

Die Unterscheidungen innerhalb des IT-Grundschutzes in Basis-, Standard- und Kern-Absicherung lassen wir an dieser Stelle zur Vereinfachung außer Acht. Es geht ja hier nicht um die Einführung eines ISMS auf Basis des IT-Grundschutzes. Normalerweise macht es Sinn und reicht aus, sich mit den sog. Basis- und Standard-Anforderungen in den unten angeführten Bausteinen zu befassen. Sollte Ihre Organisation jedoch einer kritischen Geschäftstätigkeit nachgehen oder Informationen mit sehr hohem Schutzbedarf verarbeiten, lohnt durchaus auch ein Blick in den Abschnitt „Anforderungen bei erhöhtem Schutzbedarf“ des jeweiligen Bausteins.

Pixabay: Peggy_Marco

Konkrete IT-Grundschutz Bausteine für Ihre technischen und organisatorischen Maßnahmen

OPS.1.2.4 Telearbeit – Themen sind hier u.a. Regelungen zur Telearbeit generell, Regelungen zur Privat-Nutzung von Equipement und Anwendungen, Schulung der Mitarbeiter für die in den Richtlinien skizzierten Anforderungen im Telearbeit-Einsatz, Erreichbarkeit und Einbindung von Mitarbeitern am Telearbeitsplatz sowie das Treffen geeigneter Sicherheitsmaßnahmen (IT-Betrieb und organisatorisch).

INF.8 Häuslicher Arbeitsplatz – Schwerpunkt: Einrichtung und Betrieb eines häuslichen Arbeitsplatzes. Themen u.a.: Regelungen für den Arbeitsplatz, Zutritts- und Zugriffsbeschränkungen, IT-Nutzung und deren Absicherung, Transport sowie Vernichtung / Entsorgung von Papierakten und digitalen Datenträgern, Manipulations- und Diebstahlrisiken am häuslichen Arbeitsplatz, sowie Gefährdungen durch Familienmitglieder / Besucher. Gerne wird hier in dem Kontext auf den separat abschließbaren Arbeitsraum zu Hause verwiesen. Wohl dem, der diesen Luxus hat und über ausreichend Platz und Zimmer verfügt. Aber auch für alle anderen Fälle hält dieser Baustein sinnvolle Empfehlungen bereit.

INF.9 Mobiler Arbeitsplatz – Nicht immer wird ein fester häuslicher Arbeitsplatz eingerichtet. Dank Laptop und anderer mobiler Geräte dann aber dennoch aus dem Home-Office gearbeitet. Um diese Aspekte kümmert sich dieser Baustein: Regelungen und Anweisungen zum Arbeiten am mobilen Arbeitsplatz, technische Absicherung der Geräte (Verschlüsselung, Sichtschutzfilter etc.), Akten- und Datenträgertransport, Entsorgung von analogen und digitalen Datenträgern, Diebstahl und Verlust der Geräte (Meldung, Sofortreaktionen), Sicherheit unterwegs (Einsehbarkeit, Verhalten bei Telefonaten etc.)

NET.3.3 VPN – Anforderungen zu Planung und Einrichtung sicherer Virtueller Privater Netzwerke (VPN) zur Sicherstellung der Vertraulichkeit und Integrität. Dabei geht es nicht nur um technische Aspekte, sondern auch um organisatorische Maßnahmen. So ist das Verbot zur Abspeicherung von VPN Zugangsdaten im Client mehr als sinnvoll und angebracht. Macht ja auch Sinn, ansonsten ist die Standleitung in das interne Netz fest eingerichtet 🙂 Ist uns eh ein Rätsel, wieso Anbieter von VPN Software eine solche Option zur Abspeicherung von Zugangsdaten überhaupt als Funktion programmieren.

NET.2.2 WLAN-Nutzung – Unabhängig, ob Nutzung des privaten WLAN oder von WLAN Hot Spots unterwegs, sind technische und organisatorische Maßnahmen zu ergreifen wie Sicherstellen eines ausreichenden Verschlüsselungsstandards WPA2 und höher) oder auch Sensibilisierung der Mitarbeiter im Hinblick auf sog. Rogue Access Points. Letzteres kennen Sie nicht? Nehmen Sie einfach mal einen beliebigen LTE WLAN Router mit Akku, benennen das WLAN nach „Telekom“ oder „WifionICE“, gehen in ein Café Ihrer Wahl und staunen Sie: Innerhalb weniger Sekunden haben sich zahlreiche WLAN Geräte in Ihren Router eingeloggt. Besser und einfacher kann man keine Man-in-the-Middle-Attacken starten.

OPS.1.2.5 Fernwartung – Kommt es am häuslichen Arbeitsplatz oder mit dem Mobilgerät zu technischen Problemen, wird schnell eine Fernwartung durch die eigene IT-Abteilung oder den externen Dienstleister z.B. für Anwendungssupport notwendig. Regelungen zur Vorgehensweise, aber auch zur technischen Absicherung sind unabdingbar. Die entsprechenden Empfehlungen zu Softwareauswahl, Protokollierung der Wartungstätigkeiten etc. finden Sie in diesem Baustein.

OPS.2.2 Cloud-Nutzung – Gerade jetzt werden häufiger Cloud-Services eingesetzt als noch in 2019. Sei es zum reinen Datenaustausch oder Verlagerung ganzer Verarbeitungstätigkeiten im Zuge von SaaS (Software as a Service). Denken Sie einfach nur an die Zunahme bei der Nutzung von Webkonferenz-Diensten oder auch anderer Kommunikationsplattformen, um die Zusammenarbeit zwischen Intern und Extern oder auch gegenüber Kunden zu erleichtern. Neben der technischen Sicherheit wie verschlüsselte Übertragung und verschlüsselte Datenhaltung stehen auch organisatorische Aspekte im Fokus. Welche Daten dürfen überhaupt in die Cloud? Wie sind die Cloud-Services zu nutzen, was ist erlaubt, was nicht? Migriert in die Cloud ist schnell. Aber hat sich auch jemand Gedanken gemacht, was bei einem möglichen Ende der Service-Nutzung geschehen muss? Gibt es vertragliche Regelungen hierzu? Wie kommen Daten wieder zurück? Möglichst kompatibel für eine andere Anwendung.

OPS.1.1.4 Schutz vor Schadprogrammen – Veränderter oder neuer Technologie-Einsatz bringt neue Einfallstüren für Schadprogramme mit sich. Sind die Anforderungen an einen konsequenten Schutz vor Schadprogrammen technisch und organisatorisch berücksichtigt? Klassiker: Laptops, die sich Signatur-Updates für den Virenscanner ausschließlich über einen Update-Server im internen Netz besorgen. Nun sind diese Geräte aber im längeren Außeneinsatz und vielleicht auch ohne VPN Verbindung ins interne Netz im unterwegs. Woher kommen jetzt die Aktualisierungen, wenn zuvor ausschließlich der interne Update-Server als Bezugsquelle zugelassen wurde? Ganz schnell ist der Virenscanner out of date und eine weitere Sicherheitslücke geschaffen. Das ist aber natürlich nicht der einzige Aspekt dieses Bausteins.

ORP.4 Identitäts- und Berechtigungsmanagement – Wie werden Benutzerrechte vergeben für die notwendigen Zugriffe von außen? Auf welche Dateien / Anwendungen muss von außen zugegriffen werden können? Die selbe Fragestellung jedoch auch zu den Cloud-Services: Wer darf / muss auf was zugreifen können? Wie sieht der Rechtevergabe-Prozess dazu aus? Werden überall wo möglich weitere Sicherheitsmaßnahmen ergriffen wie Zwei-Faktor-Authentifizierung (2FA)? Sind die dazu notwendigen Applikationen (Apps) installiert und die Nutzer in deren Handhabung eingewiesen? Auch an die Backup-Codes für die 2FA gedacht und diese gesichert, sollte das Gerät mit der 2FA-App nicht mehr einsatzfähig sein? Nein? Dann viel Spaß. Denn ohne den eigentlichen 2FA-Token oder einen Backup-Code kommen Sie so schnell nicht mehr an Ihren Account – wenn überhaupt.

ORP.3 Sensibilisierung und Schulung – Mitarbeiter sind ein großer (Un-) Sicherheitsfaktor in einer Organisation. Das sind sie jedoch selten mit Absicht. Hauptursachen sind fehlende Kenntnis von Regelungen und Vorgehensweisen sowie fehlende Sensibilisierung. Ist ja auch kein Wunder, denn Schulungen und Sensibilisierungen bringen keinen Umsatz und halten noch dazu die Mitarbeiter von deren Kerntätigkeiten ab. Paart sich das noch mit gesteigertem Selbstbewußtsein – „Ich weiß eh alles (besser)“, dann ist der Boden für den nächsten Sicherheitsvorfall bestens bereitet. Von daher ist auch dieses Thema im Kontext Heimarbeit und mobiles Arbeiten von großer Bedeutung.

Wenn dann doch mal was schiefgeht: „Hallo, ich bin’s. Der Sicherheitsvorfall“

Unsere Empfehlungen:

  • Sorgen Sie für klare Prozesse, was im Fall von Sicherheitsvorfällen und Datenpannen durch Mitarbeiter und alle weiteren notwendigen Beteiligten (DSB, ISB, IT, Organisationsleitung) zu tun.
  • Machen Sie diese Prozesse bekannt und leicht zugänglich, egal ob Papierformulare, Ticket-System oder anderweitige Lösung.
  • Nehmen Sie Ihren Mitarbeitern die Angst, einen (möglicherweise selbst verursachten) Sicherheitsvorfall sofort zu melden. Es geht nicht darum, einen möglichen Schuldigen zu bestrafen, sondern das eingetretene Risiko in den Begriff zu bekommen.
  • Fokussieren Sie sich auf das „Wie konnte das passieren?“ statt „Wer hat das verursacht?“. Ausnahme: Wenn ein und der selbe Mitarbeiter trotz guter Sensibilisierung zum Thema Kryptotrojaner in einer Woche bereits zum fünften Mal „Makros aktivieren“ anklickt und das Drama seinen Lauf nimmt. 🙂

Ein guter Einstieg könnte die sog. IT-Notfallkarte „Verhalten bei IT-Notfällen“ der Allianz für Cybersicherheit sein. Bitte daran denken, die Hinweise und Abläufe mit dem internen Meldeprozess von Datenpannen him Hinblick auf Art. 33 und 34 DSGVO zu verzahnen.

Aber auch ein Blick zurück in den IT-Grundschutz kann nicht schaden, speziell in die Schicht DER: Detektion und Reaktion und deren Bausteine.

Wenn sensibilisieren nicht ausreicht: weiter sensibilisieren

Ebenfalls von der Allianz für Cybersicherheit gibt es in deren Informationspool, aber auch vom Bürger-CERT praktische und anschauliche Tipps, Muster und Vorlagen zur Sensibilisierung von Mitarbeitern. Auch gut anzuwenden im Kontext Heimarbeitsplatz und mobiles Arbeiten. Reinschnuppern lohnt auf jeden Fall -> Link zu Awareness.

Die VBG hat zum Thema Mobiles Arbeiten einen leicht verständlichen Flyer veröffentlicht, der nicht nur die Aspekte Arbeitsschutz beleuchtet, sondern auch auf Sicherheitsprobleme und mögliche Lösungen eingeht.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ein Faltblatt „Telearbeit und Mobiles Arbeiten“ und deren datenschutzgerechte Ausgestaltung veröffentlicht.

Ja, es kann nerven. Aber sowohl der Datenschutz als auch die Informationssicherheit lieben geschulte und sensibilisierte Mitarbeiter. Deren Arbeitgeber sollten das auch so halten. Wer sich mal mit den Nachwirkungen und Aufwänden von größeren Datenpannen und Sicherheitsvorfällen beschäftigt hat bzw. diese selbst ausbaden musste, der weiß: „Vorbeugen ist besser als Nachsorgen.“ – Haben Sie jetzt etwa mit einem anderen Spruch gerechnet?

Und es muss ja nicht immer die klassische Face-2-Face-Veranstaltung sein. Bestenfalls noch 100 Mitarbeiter oder mehr in einem Raum. Abgesehen davon, dass dies aktuell aufgrund der Abstandsregeln eh kaum geht. Außer Sie mieten eine Messehalle. In der Praxis laufen solche Groß-Schulungsveranstaltungen nach einem bekannten Schema ab. Einer steht vorne und spricht. Das Auditorium schläft zu 50%, die andere Hälfte spielt (natürlich vollkommen unbemerkt unter dem Tisch) mit dem Smartphone.

Pixabay: Geralt

Nutzen Sie andere Möglichkeiten und bilden Sie einen Mix, einen bunten Blumenstrauß aus verschiedenen Wegen, Ihre Zielgruppe Mitarbeiter zu erreichen. Online-Schulungen, Webinare, Rundmails, witzige Flyer und Plakate. Witzig? Wie sind die bei a.s.k. Datenschutz denn drauf? Das Thema ist viel zu ernst. Genau. Und deswegen witzige Kommunikation. Eine positive Emotion wie ein freundliches Lachen, die Sie mit Ihrer Aktion ausgelöst haben, sorgt dafür, dass die übermittelte Botschaft viel tiefer in die Zielgruppe einsickert als Vorträge bei Kerzenschein mit erhobenem Zeigefinger. Wobei auch das, einen abgedunkelten Raum vorausgesetzt, der Referent in Kutte und mit Begleitung von Choral-Musik seinen Platz vorne einnehmend, durchaus ein bewußtes Stilmittel zum Erzeugen der notwendigen Aufmerksamkeit sein kann. Nur nicht jede Veranstaltung so durchführen, nutzt sich ab 🙂

Hand in Hand: Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit sind nicht identisch, was jetzt keine neue Erkenntnis darstellt (hoffentlich!). Es gibt aber durchaus Schnittmengen bzw. Werkzeuge, die in beiden Themen zur Anwendung kommen können. Eines dieser Instrumente sind die technischen und organisatorischen Maßnahmen. Und hierzu bietet gerade der BSI IT-Grundschutz (aber auch der früher daraus abgeleitete Standard ISIS12) in großem Umfang praktische Unterstützung. So hilft dieser nicht nur bei der Identifikation möglicher Risiken (Gefährdungen), sondern bringt zugleich recht umfangreich Handlungsempfehlungen / Maßnahmen ein, mittels derer man Eintrittswahrscheinlichkeit und / oder Schadensausmaß begrenzen kann. Von daher bietet es sich aus Sicht des Datenschutzes an, einen weiten Blick über den Tellerrand in das Feld der Informationssicherheit zu werfen. Die Mühe lohnt sich ganz schnell.

Wir hoffen, Sie haben einen guten ersten Eindruck gewinnen können, wie man am Beispiel Telearbeitsplatz / Mobiles Arbeiten den Werkzeugkoffer der Informationssicherheit auch im Datenschutz bestens einsetzen kann. Die Details zu Risiken und Handlungsempfehlungen aus dem IT-Grundschutz haben wir hier im Beitrag nicht angeführt. Wenn Sie die oben genannten und verlinkten Bausteine des BSI IT-Grundschutz anklicken, kommen Sie direkt zu den weiterführenden Informationen auf der Webseite des BSI. Und hoffen wir mal, dass die Links für eine Weile von Bestand sein. Das war in der Vergangenheit leider nicht immer der Fall. Gell, liebes BSI Team? Aber danke für eure Mühe und diesen tollen Standard. Der IT-Grundschutz hat leider oft einen schlechten Ruf. Nach unserem Dafürhalten zu Unrecht. Gerade im deutschsprachigen Raum, aber nicht nur da, der „heiße Scheiß“ der Informationssicherheit 😉

E-Privacy und der gelebte Datenschutz

Am 04.11.2020 wurde ein Entwurf für eine E-Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von `visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig. 

Ausnahmen dieser E-Privacy Aspekte 

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E-Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheitfraud preventionDirektwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels `präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit „Spiegel Online“ an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne. 

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E-Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der `rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden. 

E-Privacy und das Nutzerverhalten 

Hand aufs Herz – wer kennt die `do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E-Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen. 

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben. 

Die vorgeschlagene E-Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die `Funktionalitäten´ der hard– und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker – dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter. 

Datenschutzaufsicht: Zentral oder dezentral?

Unser Berufsverband der Datenschutzbeauftragten Deutschland (BvD) e.V. richtet heute, am 17.09.2020 eine sehr interessante Veranstaltung aus mit dem Titel „Föderal oder zentral – Wie sieht die Zukunft der Datenschutzaufsicht aus?“. Aufgrund der aktuellen Gegebenheiten rund um Corona kann die Veranstaltung mittels Live-Stream mitverfolgt werden und zwar unter der URL https://www.bvdnet.de/aufsicht-live/

Vor dem Hintergrund der Evaluierung des Bundesdatenschutzgesetzes steht der Vorschlag im Raum, die Datenschutzaufsicht für Unternehmen zukünftig in eine zentrale Hand zu legen statt auf 17 Aufsichtsbehörden (16 Land, 1 Bund) weiter verteilt zu lassen.

Start ist um 15 Uhr und besonders interessant wird es bei den Beiträgen ab 15:25 Uhr. „Standpunkte: Pro und Kontra Zentralisierung“ und „Erfahrungen aus der Datenschutzpraxis“. Reinschauen bzw. Reinhören lohnt sich auf jeden Fall, wenn Vertreter der Landesdatenschutzbehörden auf Datenschutz-Anwälte und Praktiker aus der Wirtschaft treffen, um die Vor- und Nachteile der aktuell facettenreichen DSGVO Auslegungen und Meinungen in den verschiedenen Bundesländern zu diskutieren.

Vor- und Nachteile

Wer wie wir aufgrund der Kundenstruktur mit eigentlich allen Landesdatenschutzbehörden zu tun hat, kann den Wunsch nach einer Zentralisierung bzw. Vereinheitlichung durchaus nachvollziehen. Die nicht seltene weit gefächerte und divergierende Auslegung der DSGVO macht es nicht unbedingt leichter. Und selbst wenn es gemeinsame Stellungnahmen z.B. im Zuge der DSK (Datenschutzkonferenz) gibt, sind diese gelegentlich so vage, dass die Bedeutung für die Umsetzungspraxis durchaus gegen Null streben kann. Eine einheitliche Sichtweise wäre hier durchaus auch gegenüber Kunden sehr hilfreich. Es ist nicht immer leicht zu argumentieren, warum etwas in einem Bundesland ok ist, in einem anderen Bundesland von der Aufsicht nicht gerne gesehen wird. Ein prominentes Beispiel sind die doch sehr abweichenden Sichtweisen zur Art und Weise der Durchführung einer Datenschutzfolgenabschätzung (DSFA). Mittlerweile haben sich hier gefühlt zwei Lager gebildet, SDM vs. PIA. Ob man mit einer anderen Vorgehensweise aus Sicht der zuständigen Landesdatenschutzbehörde alles richtig macht, wird die Zeit zeigen.

Andererseits hat und kennt man durch die dezentrale Struktur seine Ansprechpartner, die bei Anfragen oft zeitnah und kompetent reagieren. Im Zuge einer Zentralisierung müsste durch ausreichende personelle Besetzung diese Beratungsfunktion auch zukünftig sichergestellt sein. Was einerseits ein Nachteil sein kann (unterschiedliche bis gegensätzliche Meinungen der Landesdatenschutzbehörden), stellt im Hinblick auf Meinungsvielfalt und Ideen für Umsetzungsmöglichkeiten andererseits durchaus auch einen Vorteil dar. Im Zuge einer Zentralisierung würde dies entfallen. Dann gibt es nur noch die eine Sichtweise der zentralen Instanz. Auch dies wäre dann erst mal eine Meinung, die andere Vorgehensweisen nicht zwingend ausschließen würde, aber der Pool zur Auswahl oder Entwicklung anderer Umsetzungsmöglichkeiten wäre stark reduziert bzw. nicht mehr vorhanden.

So haben beide Lösungen ein Für und Wider. Man darf auf die heutigen Diskussionen im Rahmen der Veranstaltung und im Hinblick auf die weitere Entwicklung sehr gespannt sein. Schauen Sie rein: https://www.bvdnet.de/aufsicht-live/ Start 15 Uhr.