BfDI legt Berichte vor

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­fil­ing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Dark­net Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Brexit, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

1st world corona measures

In unse­rem Bei­trag vom 23.03.2020 zum Ein­satz von mobil­ge­rä­te­ba­sier­ter Gesund­heits­prä­ven­ti­on haben wir berich­tet, dass eine Coro­na App auch hier­zu­lan­de geplant ist, sowie über Aspek­te, die aus Daten­schutz­sicht sorg­fäl­tig zu prü­fen und zu pla­nen sind. 

Mitt­ler­wei­le wur­de kurz vor der geplan­ten Ver­öf­fent­li­chung eine lauf­fä­hi­ge Ver­si­on der Coro­na App von TÜVit geprüft und es gibt Nach­hol­be­darf.  Gegen­über hei​se​.de äußern die Prü­fer u.a. Kri­tik an dem kurz­fris­ti­gen Start­ter­min. Ins­ge­samt habe man laut TÜVit wie­der­holt die (sogar kos­ten­freie) Prü­fung ange­bo­ten und letzt­lich unter Zeit­druck durch­füh­ren müssen. 

Ange­sichts des­sen, dass inzwi­schen eine Locke­rung und Anti-„Maulkorb“-Demo die ande­re jagt und seit mehr als 7 Jah­ren die dro­hen­de SARS-Pan­de­mie und deren Bekämp­fungs­me­tho­dik bekannt ist (Bun­des­tags­druck­sa­che 17/​12051 aus 2012 /​ 2013, Sei­ten 5, 55 ff. ), kann man hier nicht unbe­dingt von einem agi­len Kri­sen­ma­nage­ment sprechen.

Sicher­heitsaspek­te der neu­en Coro­na App 

Die Prü­fung der Coro­na App erfolg­te im Auf­trag des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in Bezug auf Sicher­heits­maß­ga­ben und Ein­hal­tung der ange­kün­dig­ten Pri­vat­sphä­re­stan­dards wie z.B. der Standortermittlung. 

Eine Schwach­stel­le bestün­de laut TÜVit dar­in, dass Pati­en­ten zwar ver­schlüs­selt abspei­chern kön­nen, posi­tiv auf Coro­na getes­tet wor­den zu sein, um etwa­ige Kon­tak­te mit Infi­zier­ten zu prü­fen, die genutz­te Ver­schlüs­se­lungs­lo­gik jedoch feh­ler­haft ist. So bestehe die Mög­lich­keit, einen Teil der Logik ohne grö­ße­re Schwie­rig­kei­ten aus­zu­le­sen, um belie­big Falsch­mel­dun­gen infi­zier­ter Per­so­nen zu generieren. 

Damit könn­te die gesam­te Daten­hal­tung und somit auch der ange­dach­te Nut­zen der App ad absur­dum geführt wer­den und bewusst pro­vo­zier­te Fehl­alar­me noch grö­ße­re Ver­un­si­che­rung bei den Bür­gern ver­ur­sa­chen. Die­ser Angriffs­punkt ist in Fach­krei­sen seit gerau­mer Zeit bekannt. 

Dass man bei der­lei Umset­zun­gen gegen destruk­tiv moti­vier­te IT-Exper­ti­se nicht hin­rei­chend auf­rüs­tet, son­dern IT-Exper­ten wie etwa Daten­schutz­auf­sichts­be­hör­den als Brem­ser hin­stellt, wenn die­se begrün­de­te Sicher­heits­be­den­ken anmel­den, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prü­fung wur­de der Quell­code ver­öf­fent­licht. Hier besteht insb. bei einem Mul­ti­mil­lio­nen-Pro­jekt kei­ne Not­wen­dig­keit. Dafür kann sich die Hacker­sze­ne schon ein­mal im Vor­feld ein­le­sen. Ande­rer­seits woll­te man gera­de in Bezug auf die herr­schen­den Daten­schutz­be­den­ken mit größt­mög­li­cher Trans­pa­renz reagieren. 

Daten­schutz und Pri­vat­sphä­re 

In Bezug auf die Pri­vat­sphä­re lässt TÜVit Posi­ti­ves ver­lau­ten. Bei dem geprüf­ten Ent­wick­lungs­stand der Coro­na App sei von Leaks nicht aus­zu­ge­hen und uner­war­te­te Track­ing­lo­gik habe man in der Ver­si­on nicht fest­stel­len können.

Die Ent­wick­lung und Sicher­heits­do­ku­men­ta­ti­on der Coro­na App wur­de vom BSI u.a. durch Pene­tra­ti­ons­tests (Pen­tests) und Über­prü­fun­gen von Pro­gramm­code beglei­tet. Dabei konn­ten Schwach­stel­len gesich­tet und sei­tens der Ent­wick­lung beho­ben wer­den. Die Sicher­heits­do­ku­men­ta­ti­on kommt zu dem Schluss, dass die Coro­na App “alle für die­se App zutref­fen­den Anfor­de­run­gen aus der tech­ni­schen Richt­li­nie TR 03161 – Sicher­heits­an­for­de­run­gen an Digi­ta­le Gesund­heits­an­wen­dun­gen” des BSI erfüllt. Und auch zukünf­tig wird die Wei­ter­ent­wick­lung der App vom BSI beglei­tet. Die zuge­hö­ri­ge Pres­se­mit­tei­lung fin­den Sie hier.

Wei­te­re Infor­ma­tio­nen zu Daten­schutz- /​ tech­ni­schen Aspek­ten lie­fert eine Stu­die aus die­ser Woche (09.06.2020) der Unis Darm­stadt, Mar­burg und Würzburg. 

Prüf­auf­trag der Coro­na App war limi­tiert 

Laut TÜVit wur­de der Auf­trag zur Durch­leuch­tung der Ent­wick­lung auf bestimm­te Berei­che begrenzt. Aus­ge­nom­men von der Prü­fung waren Sys­tem­fea­tures von Apple /​ Goog­le und das Backend des eigent­li­chen Daten­ser­vers. Fer­ner sei die Ver­schlüs­se­lungs­lo­gik für die auf dem Mobil­ge­rät gespei­cher­ten Daten nicht Gegen­stand der Prü­fung gewesen. 

Fazit zum aktu­el­len Stand der Coro­na App 

Das Vor­ge­hen bei der Sicher­heit der Coro­na App steht in Wider­spruch zu dem Bestre­ben, Ver­trau­en in die­sen Lösungs­an­satz zu stär­ken. Es stellt sich die Fra­ge, ob nicht die­je­ni­gen, wel­che die Coro­na App ger­ne instal­lie­ren, um sich und Mit­bür­ger zu schüt­zen, ohne­hin mit gesun­dem Men­schen­ver­stand an Prä­ven­ti­ons­maß­nah­men her­an­ge­hen, wäh­rend ande­ren Anwen­dern ein wei­te­rer Schritt in die Unmün­dig­keit vor­ge­legt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit und mäßi­gem Mar­ke­ting las­sen an einem posi­ti­ven Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit en Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

gesundheitsdaten gehen an die polizei

Nun auch Sach­sen-Anhalt — das Innen­mi­nis­te­ri­um wies die Gesund­heits­äm­ter an, per­so­nen­be­zo­ge­ne /​ Gesund­heits­da­ten aller Per­so­nen in Qua­ran­tä­ne den Poli­zei­be­hör­den zur Ver­fü­gung zu stel­len. Die Poli­zei erhielt somit per­so­nen­be­zo­ge­ne Daten über Coro­na-Infi­zier­te und Kontaktpersonen. 

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge 

Aus den Rei­hen des Land­tags wur­de am 22.04.2020 die Ent­hül­lung bekannt, dass der Lan­des­in­nen­mi­nis­ter vom 27. bis 31.03.2020 eine Ver­pflich­tung zur Bereit­stel­lung der Daten für alle Per­so­nen in Qua­ran­tä­ne des Bun­des­lan­des ver­fügt habe. Seit­dem wür­den Gesund­heits­äm­ter „nach eige­nem Ermes­sen und im Ein­zel­fall“ Daten von Per­so­nen in Qua­ran­tä­ne an die Poli­zei über­mit­teln. Bis 09.04.2020 über 800 Fäl­le in Sach­sen-Anhalt — heißt es wei­ter in den zuge­hö­ri­gen Posts auf Twit­ter. Eine öffent­li­che Infor­ma­ti­on über die Maß­nah­me durch das Innen­mi­nis­te­ri­um zur Erfül­lung der DSGVO-gesetz­li­chen Trans­pa­renz­pflicht war lan­ge Zeit nicht erfolgt. Die kom­mu­ni­zier­ten Daten hät­ten Namen, Anschrif­ten, Geburts­da­ten, Wohn­or­te, Natio­na­li­tä­ten, Geschlech­ter sowie Beginn und Ende der behörd­lich defi­nier­ten Qua­ran­tä­ne umfasst. Die Über­mitt­lung, Ver­ar­bei­tung und Spei­che­rung auf Poli­zei­da­ten­ban­ken von Gesund­heits­da­ten sei „recht­lich pro­ble­ma­tisch“ und der Lan­des­be­auf­trag­te für den Daten­schutz sei the­ma­tisch zu invol­vie­ren. Wei­te­re ~130 sol­cher Über­mitt­lun­gen in Hal­le wur­den zunächst laut Anga­be der Stadt­ver­wal­tung wohl gar nicht erst gezählt. 

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten 

Auf Anfra­ge hat­te das Lan­des­in­nen­mi­nis­te­ri­um gegen­über netz​po​li​tik​.org geleug­net, dass es der­lei Gesund­heits­da­ten­über­mitt­lun­gen an die Poli­zei gege­ben hat­te. Spä­ter wur­de bekannt, dass Gesund­heits- /​ per­so­nen­be­zo­ge­ne Daten auf der Fahn­dungs­da­ten­bank des Lan­des­kri­mi­nal­amts gespei­chert wur­den. Zu direk­ten Anfra­gen von netz​po​li​tik​.org sei sei­tens der Poli­zei nicht Stel­lung genom­men wor­den. Der Erlass sei dem Lan­des­da­ten­schutz­be­auf­trag­tes Sach­sen-Anhalts erst auf Nach­fra­ge zur Ver­fü­gung gestellt wor­den, den die­ser am 31.03.2020 für rechts­wid­rig erklärt habe. In sei­ner Haut möch­te man jetzt eher nicht ste­cken. Aus DSB-Sicht stellt sich aller­dings die Fra­ge, aus wel­chem Grund kei­ne Vor­ab­in­for­ma­ti­on erfolg­te und kei­ne Daten­schutz­fol­ge­ab­schät­zung in fach­li­cher Abstim­mung mit dem Lan­des-DSB durch­ge­führt wor­den ist. l 

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern 

Auch in ande­ren Bun­des­län­dern wur­den Daten­über­mitt­lun­gen von Infi­zier­ten und Kon­takt­per­so­nen ein­ge­führt. Offi­zi­ell sei Ziel der Maß­nah­me die Über­wa­chung der Ein­hal­tung der Qua­ran­tä­ne und Schutz der Polizeibeamten. 

Nach uns vor­lie­gen­den Infor­ma­tio­nen erklär­te auch die nie­der­säch­si­sche Daten­schutz­be­auf­trag­te Bar­ba­ra Thiel die Maß­nah­me für ihr Bun­des­land als rechts­wid­rig. Aller­dings hielt die Lan­des­re­gie­rung an den Daten­über­mitt­lun­gen fest. 

Die umstrit­te­ne Pra­xis wur­de auch in wei­te­ren Bun­des­län­dern ein­ge­führt. In Fol­ge vehe­men­ter Pro­tes­te wur­de die­se in Bre­men auf­ge­ho­ben. In Baden-Würt­tem­berg wird eine DSGVO kon­for­me Ver­ord­nung zur Daten­über­mitt­lung posi­tiv erwar­tet. In Meck­len­burg-Vor­pom­mern wur­de das Pro­ce­de­re modi­fi­ziert. Hier wird bei der Über­mitt­lung der Gesund­heits­da­ten nun auf den Bedarfs­fall abge­stellt. Fer­ner soll nun die Vor­ga­be sein, die Daten anony­mi­siert und ver­schlüs­selt an einen defi­nier­ten Per­so­nen­kreis im Poli­zei­dienst zu über­mit­teln. Es ist begrü­ßens­wert, dass die tra­gen­den Stan­dards in der Infor­ma­ti­ons­si­cher­heit neben den Daten­schutz­an­for­de­run­gen auch bei die­sem The­ma suk­zes­si­ve Berück­sich­ti­gung finden. 

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten 

Es besteht ein gro­ßes Span­nungs­feld zwi­schen Daten­schutz /​ Grund­rech­ten und einer effek­ti­ven Pan­de­mie­be­kämp­fung. Dass Men­schen und Pfle­ge­per­so­nal, der öffent­li­che Dienst und ande­re Arbeits­kräf­te mit not­wen­di­gem Publi­kums­kon­takt des Schut­zes bedür­fen, steht völ­lig außer Fra­ge. Aller­dings kann als auf­fäl­lig bezeich­net wer­den, dass gera­de in sol­chen grenz­wer­ti­gen Maß­nah­men der Dia­log mit den Daten­schutz­be­hör­den und auch den behörd­li­chen Daten­schutz­be­auf­trag­ten aktiv ver­mie­den wird. Gera­de in sol­chen Zei­ten darf erwar­tet wer­den, dass man sich zwecks ganz­heit­li­cher Kri­sen­be­wäl­ti­gung bereichs­über­grei­fend abstimmt. So kann dafür Sor­ge getra­gen wer­den, dass die Ver­ar­bei­tun­gen und Über­mitt­lun­gen der Behör­den den zwin­gend erfor­der­li­chen, zeit­ge­mä­ßen Vor­ga­ben des Daten­schut­zes sowie der Infor­ma­ti­ons­si­cher­heit /​ IT-Sicher­heit genügen. 

corona app - flag europe

Vor allem ande­ren möch­ten wir Sie lie­be Leu­te, lie­be Leser, lie­be Kun­den herz­lich grü­ßen. Wir hof­fen, dass es Ihnen und den Ihri­gen gut geht und dass Ihr Ein­stieg in das Home-Office bzw. in die  Coro­na beding­ten Son­der­si­tua­tio­nen ok bis gut war. Abge­se­hen von den inter­na­tio­nal schwie­ri­gen Zustän­den in Pfle­ge und Logis­tik — wie etwa das kol­lek­ti­ve Mas­ken­bas­teln in Indus­trie­län­dern — kön­nen ins­be­son­de­re Unge­wiss­hei­ten, sub­jek­ti­ve Inter­pre­ta­tio­nen und Unge­nau­ig­kei­ten in Bericht­erstat­tun­gen die­ser Tage schon ziem­lich ner­ven. Wenn Sie also zu Coro­na, Coro­na App, Daten­schutz oder Home-Office im All­ge­mei­nen etwas schrei­ben möch­ten, nut­zen Sie ger­ne das Kom­men­tar­feld zu die­sem Post. 

Ihr Team von a.s.k. Datenschutz. 

P.S. Wir sind gesund und mun­ter und hal­ten unse­re Por­sche Design Pyja­mas mode­ge­mäß 😉 Wir freu­en uns, Sie bald wie­der zu sehen. Und wenn Sie sich zu Daten­schutz etc. kurz­fris­tig bespre­chen möch­ten, las­sen Sie uns ein­fach ger­ne per Video Call in Ver­bin­dung treten. 

App Lösun­gen gegen Coro­na 

Um der Coro­na Pan­de­mie bes­ser Herr zu wer­den, sind ver­schie­de­ne Ansät­ze für soft­ware­ba­sier­te Lösun­gen ent­wi­ckelt wor­den, wie zum Bei­spiel die Kon­zep­te DP-3T und PEPP-PT, die auf per­so­nen­be­zo­ge­ne Daten zurück­grei­fen. Eine der­zeit beson­ders pro­mi­nen­te Vari­an­te ist das Cont­act Tra­cing, bei der man als Nut­zer der zuge­hö­ri­gen App gewarnt wird, wel­che ande­ren App Nut­zer im Umkreis x infi­ziert sein kön­nen. Die EU-Kom­mis­si­on befasst sich mit dem Thema. 

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App 

Der Daten­schutz­aus­schuss der EU-Kom­mis­si­on (EDPB) ist bestrebt, den Ent­wick­lungs­pro­zess von Apps und Soft­ware zur Coro­na Bekämp­fung nach daten­schutz­ge­rech­ten Maß­ga­ben zu för­dern. In die­sem Kon­text hat der Aus­schuss am Diens­tag, den 21.04.2020 eine Richt­li­nie zum Ein­satz von Ortungs­da­ten und Soft­ware­lö­sun­gen /​ Apps, wie etwa zur per­so­nen­be­zo­ge­nen Kon­takt­nach­ver­fol­gung, her­aus­ge­ge­ben, wel­che die natio­na­len Behör­den und die Deve­lo­per Ein­rich­tun­gen adressiert. 

Inhaltli­che Anfor­de­run­gen 

Bei der Aus­wer­tung sen­si­bler Daten und dem Ein­satz von Coro­na Apps sei­en Zweck­bin­dung, Trans­pa­renz und Daten­spar­sam­keit uner­läss­lich — alles zen­tra­le Pos­tu­la­te der DSGVO. In der auf Mas­se ange­leg­ten Ana­ly­se von Bewe­gungs­da­ten sei ein erheb­li­cher Ein­griff in die Frei­heits­rech­te zu sehen, daher sei hier das Prin­zip der Frei­wil­lig­keit (Abschnitt zu 2020-02) zu wahren. 

Stand­ort­da­ten sei­en grund­sätz­lich nicht zu erfas­sen, da sie für Mit­tei­lun­gen über mög­li­che Infek­ti­ons­ket­ten nicht benö­tigt wür­den und fer­ner die Auf­he­bung der Anony­mi­sie­rung erleich­ter­ten. Fer­ner sei eine Daten­schutz­fol­ge­ab­schät­zung für den Ein­satz sol­cher Apps durch­zu­füh­ren und zu veröffentlichen. 

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App  

Die App könn­te über ein zen­tra­les Ser­ver­sys­tem betrie­ben wer­den mit restrik­ti­ven Zugriffs­be­rech­ti­gun­gen und gerä­te­ori­en­tier­ten, nati­ven Sicher­heits­maß­ga­ben. Es bestand gro­ße Unei­nig­keit betref­fend die Fra­ge des zen­tra­len oder dezen­tra­len App-Betriebs. Der Schwer­punkt sol­le dar­auf gelegt wer­den, dass Daten eher lokal gespei­chert werden. 

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten  

Die Richt­li­nie defi­niert auch Aus­nah­men für den Ermes­sens­spiel­raum der natio­na­len Behör­den, im Rah­men der Gesetz­ge­bung Aus­nah­men von DSGVO-Grund­sät­zen zu machen. So kann etwa das Erfor­der­nis der Ein­wil­li­gung für die Ver­ar­bei­tung von Gesund­heits­da­ten ent­fal­len, bzw. die Rechts­grund­la­ge durch Wahr­neh­mung einer Auf­ga­be des öffent­li­chen Inter­es­ses oder die Aus­übung öffent­li­cher Gewalt gege­ben sein. 

Eine Coro­na App in der Pra­xis 

Bril­lan­te Ent­wick­lun­gen wie das Cont­act Tra­cing und die KI-basier­te Aus­wer­tung von Daten zur intel­li­gen­ten Gesund­heits­vor­sor­ge sind als wah­rer Fort­schritt in der not­wen­di­gen Digi­ta­li­sie­rung zu sehen. Dass der kon­struk­ti­ve Erfolg indes mit der effek­ti­ven Aus­füh­rung in allen orga­ni­sa­to­ri­schen Ebe­nen steht und fällt, beschäf­tigt die Daten­schutz­ex­per­ten weltweit. 

Fach­leu­te wie die des EU-Aus­schus­ses und der Daten­schutz­be­hör­de Schles­wig-Hol­stein sehen den Erfolg die­ses kon­kre­ten Pro­jekts auch ins­be­son­de­re vom Ver­trau­en des Anwen­ders in die pro­fes­sio­nel­le Ver­ar­bei­tung sei­ner Daten abhängig 

Oft wird in die­sem Kon­text aus­drück­lich dar­auf hin­ge­wie­sen, dass der Daten­schutz weder der Pan­de­mie­be­kämp­fung noch der For­schung im Wege steht. 

Informationssicherheit und Datenschutz -Pannen 2019 2020

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­einter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­phone-Her­stel­ler One­Plus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­phones über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Hacking und Datenpannen 2019 2020

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hack­ing und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­erfol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hack­ing und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hack­ing wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hack­ing — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hack­ing nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebs­scree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Social Distancing

In Zei­ten von Not­la­gen muss man auch manch­mal zu krea­ti­ven Maß­nah­men grei­fen. Doch ein kurz­fris­tig geplan­ter Geset­zes­ent­wurf ruft teils kri­ti­sche Reak­tio­nen her­vor, wie die der­zeit geplan­te Han­dyor­tung zur Corona-Bekämpfung.

… zurecht oder nicht? Las­sen Sie es uns wis­sen — in der Kommentarbox.

Han­dyor­tung über Provider

Genauigkeit der Handyortung über Funkmasten bestenfalls 100 Meter im Radius
Han­dyor­tung über Funk­mas­ten

Laut Geset­zes­ent­wurf des Bun­des­ge­sund­heits­mi­nis­te­ri­ums soll den Gesund­heits­be­hör­den das Recht ein­ge­räumt wer­den, Kon­takt­per­so­nen von Infi­zier­ten mit­tels Han­dyor­tung nach­voll­zie­hen und zeit­spa­rend kon­tak­tie­ren zu kön­nen. Infor­ma­ti­ons­quel­le sol­len hier­für die diver­sen Mobil­funk­an­bie­ter sein. Stand­ort­da­ten der Kon­takt­per­so­nen sol­len Auf­schluss über den Auf­ent­halts­ort geben.

Bun­des­da­ten­schutz­be­auf­trag­ter äußert Skepsis

Vor weni­gen Stun­den äußer­te der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber in einem  Twit­ter Bei­trag Beden­ken zur Wirk­sam­keit der geplan­ten Maß­nah­me. „Alle Maß­nah­men der Daten­ver­ar­bei­tung“ hät­ten laut Kel­ber die öffent­lich-recht­li­chen Schlüs­sel­kri­te­ri­en der Erfor­der­lich­keit, Geeig­ne­t­heit und Ver­hält­nis­mä­ßig­keit zu erfül­len. „Bis­her“ feh­le „jeder Nach­weis, dass die indi­vi­du­el­len Stand­ort­da­ten der Mobil­funk­an­bie­ter einen Bei­trag leis­ten könn­ten, Kon­takt­per­so­nen zu ermit­teln, dafür sind die­se viel zu unge­nau.“ Anders stel­le sich dies bei ent­spre­chen­der Ana­ly­se von Bewe­gungs­strö­men in anony­mi­sier­ter Form dar. Auf der Basis von Funk­zel­len Han­dyor­tung ist ledig­lich ein Radi­us von allen­falls 100 Metern erfass­bar. In länd­li­chen Regio­nen kön­nen es durch­aus meh­re­re Kilo­me­ter sein. Also alles viel zu unge­nau, um poten­ti­el­le Kon­tak­te mög­li­cher Infi­zier­ter aus­rei­chend kon­kret aus der Daten­men­ge her­aus­fil­tern zu kön­nen. Im Rah­men der Res­sort­be­tei­li­gung war die obers­te Bun­des­be­hör­de für Daten­schutz und die Infor­ma­ti­ons­frei­heit BfDI beim Ent­wurf des Infek­ti­ons­schutz­ge­set­zes involviert.

Alter­na­ti­ve der frei­wil­li­gen Nutzung

Gemeinsam gegen das Coronavirus per freiwilliger App möglich
Frei­wil­li­ge Han­dyor­tung mit­tels App

In Ita­li­en ist sie bereits im Ein­satz — die App-Lösung zur Ortung poten­zi­ell Infi­zier­ter Kon­takt­per­so­nen. Für Deutsch­land befin­det sich das hier bekann­tes­te Pro­jekt der­zeit noch in der crowd­fun­ding Pha­se. Die Akti­vie­rung der Gerä­te von frei­wil­li­gen Test­per­so­nen in der Beta-Pha­se soll Ende die­sen /​ Anfang kom­men­den Monats erfolgen.

Auf anony­mi­sier­ter und frei­wil­li­ger Basis soll es den Han­dy­nut­zern mög­lich sein, prä­zi­ser geor­tet und kon­tak­tiert zu wer­den als dies durch die rei­ne Aus­wer­tung von Ver­kehrs­da­ten zur Ermitt­lung vom Stand­ort mög­lich erscheint.

In Süd­ko­rea sind sol­che Model­le bereits im Kampf der Ein­däm­mung ein­ge­setzt wor­den. Dort sta­bi­li­siert sich die einst mas­siv eska­lie­ren­de Lage. In einem Bei­trag der BBC unter­streicht die Außen­mi­nis­te­rin im Kampf gegen das Virus und mit panik­be­ding­ten Pro­ble­men die Not­wen­dig­keit schnel­ler behörd­li­cher Ent­schei­dun­gen und zugleich, die­sen wis­sen­schaft­li­che Erkennt­nis­se und Beweis­ba­res zu Grun­de zu legen.

Aller­dings ist der Erfolg von frei­wil­li­gen Prä­ven­ti­ons­maß­nah­men auch stets von der indi­vi­du­el­len Ein­sichts­be­reit­schaft abhän­gig, die im Rah­men der Coro­na­pan­de­mie man­cher­orts täg­lich Anlass zur Besorg­nis zu geben scheint. Dies wur­de gera­de durch die Not­wen­dig­keit zur Ver­schär­fung bzw. Ein­füh­rung einer bun­des­wei­ten Aus­geh­be­schrän­kung (wohl­ge­merkt nicht Aus­gangs­sper­re) am 22.03.2020 erneut deutlich.

Stand Sonn­tag­abend 22.03.2020

Infol­ge deut­li­cher Kri­tik wur­de davon abge­rückt, den Gesetz­ent­wurf bereits am 23.03.2020 ins Bun­des­ka­bi­nett zu geben. So lau­ten über­ein­stim­men­de Agen­tur­mel­dun­gen. Man wol­le vor­erst auf Han­dyor­tung ver­zich­ten und einen betref­fen­den Gesetz­ent­wurf nun bis Ostern über­ar­bei­ten. Nähe­res dazu in einem Tages­schau Bei­trag vom Sonntagabend.

Fazit und Hin­wei­se zur geplan­ten Handyortung

Die Risi­ken ein­grei­fen­der Nor­men wie etwa der geplan­ten Han­dyor­tung ent­ste­hen nicht per se aus dem Rechts­ein­griffs als sol­chem, son­dern aus dem Miss­brauchs­po­ten­zi­al in der täg­li­chen Anwen­dung. Im Eifer des Gefechts kann erfah­rungs­ge­mäß nicht gänz­lich aus­ge­schlos­sen wer­den, dass Feh­ler pas­sie­ren, die Neu­gier bei dem einen oder ande­ren sich durch­setzt oder u.U. sogar ver­ein­zelt gezielt mani­pu­liert wird.

Umso wich­ti­ger sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) auch bei Erlass sol­cher Geset­ze, wie

  • das Per­so­nal bei der Aus­wer­tung von und dem Umfang mit den aus­zu­wer­ten­den Stand­ort Daten lücken­los und fach­lich fun­diert zu schulen,
  • auf die­se Wei­se sicher­zu­stel­len, dass die Daten aus­schließ­lich in dem Kon­text der bezweck­ten Ver­ar­bei­tung ver­blei­ben und nicht auf Zuruf offen­ge­legt wer­den, wie dies immer wie­der — etwa in Tele­fo­na­ten anfra­gen­der, ver­meint­lich auto­ri­sier­ter Stel­len — vorkommt,
  • detail­lier­te und tech­nisch ver­bind­lich umge­setz­te Berech­ti­gungs­kon­zep­te zu etablieren,
  • auf die­se Wei­se den Per­so­nen­kreis, die Zugriff auf die Daten haben, in einem kon­kre­ten und stets über­schau­ba­ren Rah­men zu hal­ten und dies auch zu pro­to­kol­lie­ren /​ zu prüfen,
  • den Anwen­der trans­pa­rent zu infor­mie­ren, ohne die ord­nungs­ge­mä­ße Ver­fol­gung der Ein­satz­zwe­cke zu untergraben.

01.03.2020: Damit ging es los

Am 01.03.2020 haben wir nach ein­ge­hen­der inter­ner Bera­tung im Team unse­re Kun­den dahin­ge­hend infor­miert, ab sofort bis auf Wei­te­res kei­ne Außen­dienst-Akti­vi­tä­ten bzw. Vor-Ort-Besu­che mehr durch­zu­füh­ren. Als Viel­rei­sen­de wäre das Risi­ko recht hoch gewe­sen, uns selbst zu infi­zie­ren und mög­li­cher­wei­se bis zur Fest­stel­lung der Infek­ti­on noch vie­le wei­te­re Men­schen mit anzu­ste­cken. Die­se Ent­schei­dung hat uns vor nun­mehr 2 Wochen eini­ge grenz­wer­ti­ge Kom­men­ta­re und teil­wei­se auch ein bemit­lei­den­des Lächeln ein­ge­bracht. Mitt­ler­wei­le steht fest, wir haben zum Schutz unse­rer Mit­ar­bei­ter und deren Fami­li­en, aber auch unse­rer Kun­den früh­zei­tig und rich­tig gehan­delt. Wir wol­len nicht ver­schwei­gen, es gab auch eini­ge weni­ge Stim­men der Zustim­mung und auch des Respekts, einen sol­chen Schritt durch­zu­zie­hen. Vie­len Dank an die­ser Stel­le noch mal aus­drück­lich dafür.

Alle Mit­ar­bei­ter der a.s.k. Daten­schutz dür­fen und kön­nen seit­her von zu Hau­se aus arbei­ten. Die Anfor­de­run­gen an die täg­lich zu erbrin­gen­de Arbeits­zeit sind auf unbe­stimm­te Zeit auf­ge­ho­ben. Und die Betreu­ung von Kin­dern und ande­ren hilfs­be­dürf­ti­gen Fami­li­en­an­ge­hö­ri­gen hat vor dem Tages­ge­schäft immer Vor­rang. Die dafür not­wen­di­gen Frei­räu­me kann sich jedes Team­mit­glied bei uns ohne Ab- bzw. Anmel­dung nehmen.

Jetzt sind wir auf­grund unse­rer Unter­neh­mens­struk­tur und Grö­ße, aber auch unse­rer stark von Digi­ta­li­sie­rung gepräg­ten Arbeits­wei­se und einem unter ande­rem für Pan­de­mien erstell­ten Not­fall­plan auf einen sol­chen Schritt gut vor­be­rei­tet gewe­sen. Wir sind mobi­les Arbei­ten gewöhnt, das tech­ni­sche Equi­pe­ment ist vor­han­den und für alle Mit­ar­bei­ter iden­tisch. Schon immer haben wir auf eine moder­ne Pro­jekt­platt­form zur gemein­sa­men Bear­bei­tung und Doku­men­ta­ti­on von Auf­ga­ben mit unse­ren Kun­den gesetzt. Und mit Zooms sowie Micro­soft Teams ste­hen zwei ger­ne und oft genutz­te Video­kon­fe­renz­platt­for­men zur Ver­fü­gung, über die auch ohne vor Ort zu sein, wich­ti­ge Ange­le­gen­hei­ten und The­men von Ange­sicht zu Ange­sicht, ein­zeln oder in Grup­pen bespro­chen wer­den kön­nen. Die ers­ten Tage waren etwas holp­rig. Gera­de für Kun­den, die bis­her mit dem The­ma Video­kon­fe­renz kei­ne Erfah­run­gen hat­ten oder gene­rell “frem­deln”. Doch mitt­ler­wei­le hat auch das sich neben Tele­fon und Email als all­täg­li­ches Kom­mu­ni­ka­ti­ons­me­di­um ein­ge­spielt. Ein klei­ner Ein­blick in unse­re Umset­zung und Erfahrungen:

Tech­nik und Orga­ni­sa­ti­on im Home Office

Damit auch die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in die­ser Son­der­si­tua­ti­on nicht zu kurz kom­men, haben wir uns unter ande­rem um fol­gen­de Punk­te geküm­mert bzw. deren Aktua­li­tät geprüft, wenn schon vorhanden:

  • Ver­schlüs­se­lung aller Daten­trä­ger in mobi­len Gerä­ten und fes­ten Arbeits­plät­zen (wird bereits bei Beschaf­fung und Inbe­trieb­nah­me vorgenommen)
  • Instal­la­ti­on und Ein­rich­ten von VPN auf allen Gerä­ten (eben­falls bereits bei Beschaf­fung und Inbe­trieb­nah­me erledigt)
  • Absi­che­rung aller Accounts (intern und extern sowie auf den Gerä­ten) neben Benut­zer­na­me und Pass­wort mit Zwei-Fak­tor-Authen­ti­fi­zie­rung (Bestand­teil der Account-Einrichtung)
  • Prü­fen der Funk­ti­ons­fä­hig­keit loka­ler Back­ups via Time­Ma­chi­ne auf ver­schlüs­sel­te exter­ne SSD sowie zusätz­li­cher Back­up-Rou­ti­nen auf NAS-Sys­te­me im Home Office (wird bei Erst­kon­fi­gu­ra­ti­on bereits ein­ge­rich­tet, mit­tels Fern­war­tung regel­mä­ßig über­prüft, ob alles sau­ber läuft)
  • Sicher­stel­len der auto­ma­ti­schen Bild­schirm­sper­re nach 2 Minu­ten (das The­ma manu­el­les Sper­ren haben wir in einer Team­sit­zung noch mal angesprochen)
  • Alle (mobi­len) Gerä­te sind mit Sicht­schutz­fo­li­en aus­ge­stat­tet. Hilf­reich für den häu­fi­gen Fall, das im Home Office kein sepa­ra­ter Raum für die Tätig­keit vor­han­den ist.
  • Richt­li­nie bzw. Rege­lun­gen zur Nut­zung mobi­ler Arbeits­plät­ze bzw. Home Office (wird bei Ein­stel­lung erle­digt). Wer hier noch nichts hat, RA Schwen­ke hat dazu einen recht fle­xi­blen Gene­ra­tor erstellt 
  • Rege­lun­gen zum Daten­schutz im Home Office, sofern nicht in der zuvor genann­ten Rege­lung bereits ent­hal­ten (wird bei Ein­stel­lung erle­digt). Der Ihnen sicher bekann­te “Daten­schutz-Guru” Ste­phan Han­sen-Oest hat hier gera­de ein Mus­ter online gestellt, für die­je­ni­gen, die noch Bedarf haben 
  • Ver­pflich­tung Daten­schutz für Mit­ar­bei­ter (wird bei Ein­stel­lung erledigt)
  • Schred­der mit aus­rei­chen­der Sicher­heits­stu­fe für die Home Offices (wird nor­ma­ler­wei­se bei Ein­stel­lung erle­digt, aber es hat uns doch glatt ein Gerät gefehlt)
  • Set­zen von Prio­ri­tä­ten wie Bear­bei­tung von Daten­pan­nen bei Kun­den über sepa­ra­te Hotline-Nummer

Bei der Gele­gen­heit haben wir unse­re Richt­li­nie zum Umgang mit Sicher­heits­vor­fäl­len aktua­li­siert, da dort das The­ma Home Office bis­her nicht kon­kret benannt wurde.

Seit 2 Wochen machen wir damit bereits sehr gute Erfah­run­gen. Bei dem einen oder ande­ren Kun­den kommt es bei Video­kon­fe­renz noch zu Anlauf­schwie­rig­kei­ten, da die Ports ger­ne mal in der Fire­wall gesperrt sind. Da hier sowohl für Zooms als auch Teams gute Anlei­tun­gen im Netz bereit­ste­hen, ist das jedoch schnell gelöst.

Wer sich noch etwas wei­ter mit dem The­ma befas­sen will, dem sei der BSI IT-Grund­schutz nahe­ge­legt. Unter ande­rem der Bau­stein OPS 1.2.4 Tele­ar­beit umfasst eine gute Über­sicht an Maß­nah­men, die für die Ein­rich­tung und den Betrieb von Home Office eine gute Grund­la­ge bil­den. Bin­den Sie auch Ihren Daten­schutz­be­auf­trag­ten und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten ein, selbst wenn es jetzt viel­leicht schnell gehen muss.

Sozia­le Aspek­te des Home Office

Um die sozia­len Aspek­te im Team nicht zu kurz kom­men zu las­sen und damit auch nie­mand im Home Office ver­einsamt, nut­zen wir selbst intern eben­falls sehr rege Chat und Video­kon­fe­renz. Wir haben spa­ßes­hal­ber auch eine klei­ne Home Office Eti­ket­te erstellt:

  • Auf­ste­hen, Zäh­ne put­zen, Kaf­fee. Hilft das nicht, dann noch mehr Kaffee
  • Am Heim­ar­beits­platz ist eine gebü­gel­te Jog­ging­ho­se Pflicht
  • Pyja­ma ist nur mit Ein­horn-Glit­ter oder Super­man-Auf­druck zugelassen
  • Im Fal­le des Pyja­ma soll­te Video­kon­fe­renz nur intern genutzt werden
  • Sofern einen die Fami­lie zu Hau­se nicht auf Trab hält, gele­gent­lich mal auf­ste­hen, sich bewe­gen, Pau­se machen
  • Ach­tung: Wenn Bewe­gung heißt Haus ver­las­sen, dann noch mal prü­fen, ob der Pyja­ma rich­tig sitzt
  • Wer das Wort “Hams­tern” sagt, muss 10 Lie­ge­stüt­ze vor lau­fen­der Kame­ra machen. Alter­na­tiv Lapdance.

Fazit

Wir sind uns bewußt, das wir auf­grund unse­rer Tätig­keits­fel­der für eine sol­che Vor­ge­hens­wei­se Vor­tei­le gegen­über vie­len ande­ren Orga­ni­sa­tio­nen haben. Gera­de Ein­rich­tun­gen aus dem Bereich der öffent­li­chen Ver­sor­gung kön­nen ihre Mit­ar­bei­ter nicht ein­fach ins Home Office schicken.

Home Office ist jedoch mach­bar. Der aktu­el­le Stand der Tech­nik erlaubt ein siche­res Arbei­ten von zu Hau­se aus. Viel­leicht kön­nen wir mit dem kur­zen Ein­blick in unse­re Vor­ge­hens­wei­se die eine oder ande­re Anre­gung und Tipps lie­fern, wie und was — auch kurz­fris­tig — umsetz­bar ist und auf was man so alles ach­ten soll­te (ohne Anspruch auf Voll­stän­dig­keit und sicher nicht auf jede Orga­ni­sa­ti­on 1:1 anwend­bar). Denn auch wenn “Aus­nah­me­zu­stand” herrscht: Die The­men Sicher­heit, Daten­schutz aber auch das mensch­li­che Mit­ein­an­der soll­ten nicht zu kurz kommen.

Dan­ke an all die flei­ßi­gen und uner­müd­li­chen Hel­fer, die aktu­ell über­all für den Rest der Gesell­schaft die Stel­lung hal­ten, sei es im Gesund­heits­we­sen, im Han­del, der Ver­sor­gung, öffent­li­che Sicher­heit und und und … Ohne sie wären wir alle aufgeschmissen.

Help Button

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Im Zuge der Dis­kus­si­on um Infor­ma­ti­ons­si­cher­heits­kon­zep­te und tech­ni­sche Maß­nah­men im Sin­ne der DSGVO stößt man unwei­ger­lich auf das The­ma Not­fall­ma­nage­ment. Vor­ran­gig zie­len die ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men einer Orga­ni­sa­ti­on ja dar­auf ab, Sicher­heits­vor­fäl­le und Not­fäl­le mög­lichst zu ver­mei­den. Die Ein­tritts­wahr­schein­lich­keit soll mög­lichst nahe Null lie­gen. Das dies für jede Art von Vor­fall nicht immer gelingt, liegt auf der Hand. Umso wich­ti­ger ist, von sol­chen Vor­fäl­len früh­zei­tig Kennt­nis zu erlan­gen, die­se kor­rekt zu bewer­ten und ange­mes­sen zu reagieren.

Dies setzt jedoch sen­si­bi­li­sier­te Mit­ar­bei­ter vor­aus, die im Fal­le eines Sicher­heits­vor­falls oder eines Not­falls wis­sen, was zu tun ist. Die Alli­anz für Cyber-Sicher­heit hat sich zusam­men mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und eini­gen ande­ren Ein­rich­tun­gen im Hin­blick auf IT-Sicher­heits­vor­fäl­le Gedan­ken gemacht.

Die IT-Not­fall­kar­te “Ver­hal­ten bei IT-Not­fäl­len” für Mitarbeiter

Sie ken­nen das sicher noch aus der Ers­te-Hil­fe-Aus­bil­dung. Die 5 “W” für den rich­ti­gen Notruf:

  1. Wo ist das Ereignis?
  2. Wer ruft an?
  3. Was ist geschehen?
  4. Wie vie­le Betroffene?
  5. War­ten auf Rückfragen

Ana­log zu die­ser Vor­ge­hens­wei­se gibt es nun die IT-Not­fall­kar­te zum kos­ten­frei­en Down­load und zur Ver­tei­lung an Mit­ar­bei­ter bzw. Aus­hang der Kar­te. Nach Ein­trag der inter­nen Ruf­num­mer für IT-Not­fäl­le kom­men die 5 “W” für die Notfallmeldung:

  1. Wer mel­det?
  2. Wel­ches IT-Sys­tem ist betroffen?
  3. Wie haben Sie mit dem IT-Sys­tem gear­bei­tet bzw. was haben Sie beobachtet?
  4. Wann ist das Ereig­nis eingetreten?
  5. Wo befin­det sich das betrof­fe­ne IT-Sys­tem (Gebäu­de, Raum, Arbeitsplatz)?

Dar­un­ter fin­den sich eini­ge Ver­hal­tens­hin­wei­se für den oder die betrof­fe­nen Mit­ar­bei­ter. Für den Fall eines Befalls mit Kryp­to­tro­ja­nern wäre mög­li­cher­wei­se die Emp­feh­lung “Netz­werk­ka­bel zie­hen” noch recht hilf­reich gewesen.

Sehr gut hat uns die Aus­sa­ge gefal­len “Ruhe bewah­ren & IT-Not­fall mel­den. Lie­ber ein­mal mehr als ein­mal zu wenig anru­fen!”, die sich als zwei­te Über­schrift auf der Kar­te oben findet.

Top 12 Maß­nah­men bei Cyber-Angriffen

Da es nach der Mel­dung eines IT-Not­falls mit der Bear­bei­tung wei­ter­ge­hen muss, lie­fert die Alli­anz für Cyber­si­cher­heit zur wei­te­ren “Bewäl­ti­gung des Not­falls” eine Top 12 Lis­te mit. Auf die­ser fin­den sich die wich­tigs­ten Maß­nah­men zur Scha­dens­be­gren­zung und auch der Nach­be­ar­bei­tung des hof­fent­lich glimpf­lich ver­lau­fe­nen Angriffs.

Die­se Top 12 Maß­nah­men bei Cyber-Angrif­fen rich­ten sich an IT-Ver­ant­wort­li­che und Admi­nis­tra­to­ren und soll­ten an kei­nem Arbeits­platz als Hil­fe­stel­lung fehlen.

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Die­se bei­den Hil­fe­stel­lun­gen sind ein ers­ter Schritt in die rich­ti­ge Rich­tung. Doch ohne pro­fes­sio­nel­les Not­fall­ma­nage­ment wird kei­ne Orga­ni­sa­ti­on zukünf­tig aus­kom­men. Wur­den die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in der Ver­gan­gen­heit meist schon sehr stief­müt­ter­lich behan­delt, haben gera­de klei­ne Orga­ni­sa­tio­nen das The­ma Not­fall­ma­nage­ment gar nicht oder nur weit am Ende des Erfas­sungs­be­reichs auf dem Radar.

Hier ver­weist die Alli­anz für Cyber­si­cher­heit auf den Stan­dard 100–4 des BSI IT-Grund­schut­zes. 100–4 beschreibt eine pro­fes­sio­nel­le und sys­te­ma­ti­sche Vor­ge­hens­wei­se zur Ein­füh­rung und Wei­ter­ent­wick­lung eines Not­fall­ma­nage­ments in Orga­ni­sa­tio­nen jeg­li­cher Grö­ße und Bran­che. Bei ers­ter Durch­sicht mag das dem einen oder ande­ren Leser etwas sper­rig oder zu auf­ge­bauscht wir­ken. Und sicher emp­fiehlt es sich, in Abhän­gig­keit von der Orga­ni­sa­ti­ons­grö­ße den Stan­dard 100–4 ange­mes­sen und zweck­dien­lich umzu­set­zen. Eine stoi­sche 1:1 Umset­zung ist eher suboptimal.

Sinn und Not­wen­dig­keit für ein Not­fall­ma­nage­ment soll­ten jedoch schnell klar wer­den. Ein Not­fall ist etwas ande­res als “Kein Papier im Dru­cker”. Ok, der betrof­fe­ne Mit­ar­bei­ter mag das kurz­zei­tig so emp­fin­den 🙂 In einem Not­fall oder auch bei der Ver­ket­tung meh­re­rer Arten von Not­fäl­len ist kei­ne gro­ße Zeit, sich über die Not­fall­be­hand­lung Gedan­ken zu machen oder wich­ti­ge Infor­ma­tio­nen für die Besei­ti­gung des Not­falls zu beschaffen.

Wenn Sie mit dem The­ma lieb­äu­geln, kön­nen wir Ihnen den Kurs “Not­fall­ma­nage­ment” der Baye­ri­schen Ver­wal­tungs­schu­le wärms­tens an Herz legen. Die­ser ist nicht auf baye­ri­sche Ver­wal­tun­gen beschränkt, son­dern steht inter­es­sier­ten Teil­neh­mern aus Behör­den und Unter­neh­men aus ganz Deutsch­land offen.

Im Rah­men von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten wird die Ent­wick­lung eines Not­fall­vor­sor­ge­kon­zepts und eines Not­fall­plans (erst die Ver­mei­dung, dann die Reak­ti­on, wenn es mit dem Ver­mei­den nicht geklappt hat) gefor­dert. Wer sich also mit den Stan­dards wie IT-Grund­schutz, ISIS12 oder auch der Arbeits­hil­fe (für klei­ne­re Ein­rich­tun­gen) und deren Ein­füh­rung befasst, wird um das The­ma nicht herumkommen.

Was kann a.s.k. Daten­schutz für Sie tun?

Vor­aus­ge­schickt: a.s.k. Daten­schutz ist der Dozent an der Baye­ri­schen Ver­wal­tungs­schu­le u.a. für das The­ma Not­fall­ma­nage­ment und die Aus­bil­dung von zer­ti­fi­zier­ten Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten. Im Zuge von zahl­rei­chen Sicher­heits­kon­zep­ten beglei­ten wir die Ein­füh­rung von Not­fall­vor­sor­ge­kon­zep­ten und die Erstel­lung von Not­fall­plä­nen. Selbst­ver­ständ­lich bie­ten wir die­se Dienst­leis­tung im Rah­men der Ein­füh­rung und Beglei­tung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten, aber auch flan­kie­rend zur Tätig­keit als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te an. Spre­chen Sie uns ein­fach an. Ihren Daten­schutz­be­auf­trag­ten wird das sicher auch freuen.

Apro­pos Daten­schutz­be­auf­trag­ter: Ver­fügt Ihre Orga­ni­sa­ti­on über einen Daten­schutz­be­auf­trag­ten? Öffent­li­che Stel­len sind zur Bestel­lung unge­ach­tet der Mit­ar­bei­ter­zahl gene­rell ver­pflich­tet. Unter­neh­men benö­ti­gen einen Daten­schutz­be­auf­trag­ten ab 10 Mit­ar­bei­tern (soll­te das 2. DsAnpG den Bun­des­rat pas­sie­ren erhöht sich die Zahl auf 20), die regel­mä­ßig mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten befasst sind. Und las­sen Sie sich kei­nen Sand in die Augen streu­en. Ob mit oder ohne Daten­schutz­be­auf­trag­ten müs­sen alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on erfüllt sein. Wenn es kei­nen DSB gibt, muss sich jemand ande­res um die meist büro­kra­ti­schen Auf­ga­ben küm­mern. Ein­fa­cher und prag­ma­ti­scher geht es mit a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te. For­dern Sie noch heu­te Ihr unver­bind­li­ches Ange­bot an.

Unver­bind­li­ches Ange­bot anfordern