Öffentliche Verwaltung

ISB Boot Camp 2024 — Weiterbildung für Informationssicherheitsbeauftragte

von Sascha Kuhrau
27. Februar 202427. Februar 2024

Weiterbildung für Informationssicherheitsbeauftragte

Das Boot Camp 2024 für kommunale Informationssicherheitsbeauftragte findet heuer am 09.04. und 10.04.2024 im wunderschönen Gunzenhausen statt. Mittlerweile ist diese Veranstaltung in der modernisierten Stadthalle in Gunzenhausen bereits eine feste Institution für kommunale Informationssicherheitsbeauftragte geworden. Neben fachlichen Informationen und Tipps aus der Praxis im Rahmen von Vorträgen und zumeist Workshops steht das Netzwerken und das “Fachsimpeln” unter den rund 100 Teilnehmern im Vordergrund. Dafür wird dieses Jahr noch mehr Raum sein als zuvor.

Die Teilnehmer erwartet ein abwechslungsreiches Programm, das sowohl technische als auch organisatorische Aspekte der Informationssicherheit und die Belange des Tagesgeschäfts eines Informationssicherheitsbeauftragten umfasst. Organisiert und koordiniert wird die zweitägige Veranstaltung durch die Bayerische Verwaltungsschule (BVS), das Landesamt für Sicherheit in der Informationstechnik Bayern (LSI), der Stadt Gunzenhausen und der a.s.k. Informationssicherheit Sascha Kuhrau.

Agenda und Themen des ISB Boot Camp 2024

Nach den am ersten Tag obligatorischen Begrüßungsworten durch den 1. Bürgermeister der Stadt Gunzenhausen, Herrn Karl-Heinz Fitz und den Präsidenten des Landesamt für Sicherheit in der Informationstechnik (LSI), Herrn Bernd Geisler, geht es gleich in medias res.

Herr Reiner Schmidt (LSI) wird unter dem Titel “Neues aus dem LSI” nicht nur das aktuelle Bedrohungsrisiko für Kommunen skizzieren, sondern dazu das Beratungs- und Dienstleistungsangebot des LSI vorstellen, um diesen Risiken als Kommunalverwaltung besser begegnen zu können.

Der größte Teil des ersten Tages bleibt jedoch den Praxis-Workshops vorbehalten, die sich mehrmals wiederholend am ersten und zweiten Tag angeboten werden. Dadurch erhalten die Teilnehmer die Möglichkeit, so viele Themen zu besuchen, wie möglich. Auf der Agenda stehen:

Im Gespräch mit dem LSI, Reiner Schmidt (LSI)
KI: Chancen und Risiken aus Sicht von Informationssicherheit und Datenschutz, Sascha Kuhrau (a.s.k. Informationssicherheit)
Austausch-Plattformen /Cloud-Nutzung, Hartmut Löhmann (Stadt Kempten)
Phishing Simulation: Stärken Sie Ihre Verteidigung gegen Sicherheitsbedrohungen, Erich Weidinger (GKDS)
Praktische Anwendung Kommunalprofil im Rahmen der BSI IT-Grundschutz Basis-Absicherung, Gerd Olsowsky-Klein (Bayerischer Verwaltungsgerichtshof)
Konzept zur Abwehr von Schadprogrammen — ein Lösungsansatz aus der Praxis für die Praxis, Bernhard Wiedemann (Landkreis Landshut)
Sicheres Websurfen – Sand Boxing Verfahren, Marc Behl (Stadt Würzburg) und Richard Lippmann (Stadt Zirndorf)
Einsatz von Echtzeit Whitelist-DNS-Filtern, Michael Pentza (Stadt Gunzenhausen) und Heiki Lehner (keepbit IT-Solutions GmbH)
Penetration Tests bzw. Security Testing — Erfahrungen aus einem oft getesteten Unternehmens, Felix Struve (intive GmbH)
Tabletop-Übungen als integraler Bestandteil eines erfolgreichen Notfallmanagements, Lukas Schmid (LSI)
Deepfakes als neuer Angriffsvektor, Andrea Reichl-Streich (Stadt Ingolstadt)
“Betrug & Abwehr” — im spielerischen Umgang mit Cyberangriffen und deren Abwehr zum Held / zur Heldin der IT-Sicherheit!, Richard Lippmann (Stadt Zirndorf)
Von 0 auf 200–4: Business Continuity Management in einem Landratsamt, Matthias Rauschenberg (Landratsamt Miesbach)
Bewusstsein schaffen – Der Faktor Mensch in der IT-Sicherheit, Robert Lohmann (IMC AG)
Neues aus der BVS, Michaela Wintermayr-Greck (BVS)
Interaktiver Cyberangriff, N.N. (Bayerisches Landeskriminalamt)

Am zweiten Tag wird am Vormittag zur Podiumsdiskussion geladen. Titel: “Digitale Souveränität – Welche Qualifikation brauchen wir zukünftig in der Aus- und Fortbildung in Behörden?”

Auf dem Podium dürfen wir begrüßen und freuen uns auf eine spannende Diskussion mit

Hans-Christian Witthauer ‚Vorstand der Bayerischen Verwaltungsschule (BVS)
Bernd Geisler Präsident des Landesamts für Sicherheit in der Informationstechnik (LSI)
Dr. Wolfgang Denkhaus, Bayerisches Staatsministerium für Digitales (StMD)
Sascha Kuhrau, a.s.k. Informationssicherheit und Dozent der BVS
Dr. Oliver Brunner, Geschäftsstelle des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD)

Als Moderator führt der geschätzte Horst Schäfer (ehem. IT-Leiter der Stadt Gunzenhausen und Ausbilder bei der BVS) durch die Podiumsdiskussion.

Am ersten Veranstaltungstag erwartet die Teilnehmer ein interessantes, kurzweiliges Abendprogramm, bevor der Tag bei einem gemütlichen Abendessen ausklingt.

Erhalt der Fachkunde von Informationssicherheitsbeauftragten

Die Veranstaltung dient als Nachweis zum Erhalt der Fachkunde von ausgebildeten Informationssicherheitsbeauftragten.

Weitere Informationen und zur Anmeldung — siehe BVS.

WiBA — Weg in die Basis-Absicherung — WiBA BSI

von Sascha Kuhrau
27. August 202327. August 2023

Nicht erst seit dem Ausfall der Landkreisverwaltungen Anhalt-Bitterfeld oder Rheinpfalz ist bekannt, dass auch Kommunalverwaltungen durchaus Nachholbedarf beim Thema Informationssicherheit haben. Auch kleinere Kommunen sind betroffen und haben nicht weniger mit den Folgen zu kämpfen. Der geschätzte Jens Lange, seines Zeichens ITSiBe der Stadt Kassel betreibt hierzu ein schönes Informationsportal (Vielen Dank an dieser Stelle, Jens, für Deine Arbeit!) unter https://kommunaler-notbetrieb.de

Doch auch Firmen, ebenfalls ganz unabhängig von Branche und Größe bleiben von diesem Problem nicht verschont. Einen groben Eindruck, wie oft es knallt, kann man sich sehr gut unter https://konbriefing.com/de-topics/hackerangriff-deutschland.html verschaffen.

Beide Portale können nur einen Teil der Misere zeigen, denn nicht jedes “Missgeschick” in der Informationssicherheit bei Kommunen und Firmen gelangt an die Öffentlichkeit. Das bedeutet, die Dunkelziffer des Versagens der Informationssicherheit (oder auch des Nichtvorhandenseins) ist daher im Zweifel noch um einiges höher.

Normen für Informationssicherheit

Standards für Informationssicherheit gibt es einige auf dem Markt. Da gibt es z.B.

ISO 27001 (native oder auf Basis IT-Grundschutz)
Den IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) in den 3 Absicherungsstufen Basis, Kern und Standard
TISAX (gerade im Automotive-Bereich ein sehr bekannter Vertreter)
CISIS12 (ehemalis ISIS12)
ISMS4KMO (als Standard als Weiterentwicklung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
“Arbeitshilfe” (eine Absicherung in der Breite einer Organisation, entwickelt von a.s.k. Datenschutz im Auftrag der Innovationsstiftung Bayerische Kommune)
SiKoSH (Sicherheitskonzept Schleswig-Holstein) oder auch
VDS 10.000 ehemals 3473.

Es gibt noch weitere Vertreter, doch wir haben uns auf die Standards mit einer bekannten breiten Installationsbasis beschränkt. Daneben gibt es noch div. Schwachstellen-Tools, die jedoch zumeist einmalige Stärken-Schwächen-Analysen darstellen und keinen Fokus auf den Betrieb eines Informationssicherheitskonzepts legen. Dazu zählen z.B. ISA+ und andere.

Alle Normen haben eins gemeinsam: Informationssicherheit bedeutet Arbeit in fast allen Teilen einer Organisation und kostet Zeit, Geld und Personalressourcen. Dazu haften einigen Standards nahezu sagenhafte Aussagen an wie “Der IT-Grundschutz dauert mindestens 5 Jahre in der Einführung, egal wie groß die Organisation ist” oder “Für Standard XYZ sind mindestens 50–60 externe Beratertage notwendig”. Nun ja … In der Tat war der alte 100‑x Standard des IT-Grundschutz ein dickes, zu bohrendes Brett. Aber 5 Jahre haben selbst Großorganisationen dafür nie gebraucht. Und durch das sog. Kompendium (200‑x) und die 3 Absicherungsstufen von unten nach oben wurde ein zeitgemäßer und niedrigschwelliger Einstieg in den IT-Grundschutz vom BSI geschaffen. Der frühere Schrecken hat seine Daseinsberechtigung verloren. Und immens hohe Zahlen an externen Beratertagen können — unabhängig vom gewählten Standard — auch nur dann zustandekommen, wenn die eigene Organisation so gut wie keinen Selbsteinsatz bei der Einführung des Informationssicherheitsmanagementsystems leistet. Das mag bequem erscheinen, auch wenn es teuer ist, aber geht am Ziel und Zweck vorbei. Schließlich wird Informationssicherheit durch die eigene Organisation betrieben und da hilft es wenig, wenn die ganze Arbeit durch Externe geleistet wird (fehlendes internes Know-How, “Berater-Treppe”).

WiBA — Weg in die Basis-Absicherung

Um den Einstieg in den IT-Grundschutz nun noch niedrigschwelliger anzusetzen als bereits mit der sog. Basis-Absicherung geschehen, hat das BSI einen 18 Dokumente umfassenden Fragenkatalog entwickelt. Dieser soll bei konsequenter Bearbeitung aktuelle Schwachstellen in der Informationssicherheit (organisatorisch, infrastrukturell, technisch, prozessual) auffinden helfen, damit diese im Anschluss beseitigt werden können. Ein löblicher Ansatz und gerade für Organisationen geeignet, die bisher noch jeden Kontakt mit dem Thema gescheut haben.

Folgende Themen werden zur Zeit abgedeckt:

Arbeit außerhalb der Institution
Arbeit innerhalb der Institution / Haustechnik
Backup
Bürosoftware
Client
Drucker und Multifunktionsgeräte
IT-Administration
Mobile Endgeräte
Netze
Organisation und Personal
Outsourcing und Cloud
Rollen / Berechtigungen / Authentisierung
Serverraum
Serversysteme
Sicherheitsmechanismen
Telefonie und Fax
Umgang mit Informationen
Vorbereitung für Sicherheitsvorfälle

Umfangreich sind die Prüffragen selten. So finden sich im Kapitel 6 Outsourcing und Cloud beispielsweise 6 Prüffragen. Daraus wird auch die Intention des niedrigschwelligen Einstiegs u.a. durch einen reduzierten Umfang sehr deutlich.

Derzeit sind die Fragebögen im Word-Format als sog. Community Drafts online gestellt. Das BSI fordert explizit dazu auf, diese zu nutzen, zu prüfen und Anregungen und Ergänzungen zurückzuspielen. Diese Rückmeldungen sollen dann in die finale Version von WiBA — Weg in die Basisabsicherung einfließen.

In der Hoffnung, dass demnächst nicht wieder alle Links auf den BSI Webseiten umgestellt werden, hier der direkte Einsprung in das Thema: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/WIBA/Weg_in_die_Basis_Absicherung_WiBA.html

Überlegungen zur aktuellen Gestaltung / Umsetzung von WiBA — Weg in die Basis-Absicherung

WiBA kann durchaus ein geeigneter Einstieg in das Thema Informationssicherheit für Organisationen sein, die bisher noch gar keinen Kontakt mit dem Thema hatten und erst mal “schnuppern” wollen. Dabei sollte man im Hinterkopf haben, dass es sich hierbei nur um eine Schwachstellenanalyse anhand von Fragestellungen handelt. Der zu einem ISMS gehörende PDCA-Zyklus inkl. der notwendigen Verantwortlichkeiten, Aufgaben und Prozessen ist nicht enthalten. Wie das BSI in der Management Summary selbst schreibt, kann WiBA — Weg in die Basis-Absicherung nur der erste Schritt in das Thema Informationssicherheit sein. Denn mit einer Schwachstellenanalyse alleine ist es nicht getan.

Positiv fällt die Verknüpfung der Prüffragen zu den Bausteinen des IT-Grundschutzes auf. Das sollte ein späteres Upgrade in die Basis-Absicherung erleichtern, da sich ein Wiedererkennungseffekt einstellen wird. Doch das leisten auch andere Systematiken.

Wieso man ausgerechnet mit Word-Tabellen gearbeitet hat, wird wohl ein Rätsel bleiben. Demjenigen, der mittels dieser Dokumente die Ergebnisse dokumentieren und nachhalten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂

WiBA liegt nun als Community Draft vor, ist also noch nicht final fertig. Demgegenüber haben andere Konzepte, die ebenfalls einen niedrigschwelligen Einstieg in das Thema Informationssicherheit garantieren und dabei auch gleich den Grundstein für den späteren Betrieb des ISMS legen, bereits mehrjährige Weiterentwicklungen erfahren. Allen voran sei hier exemplarisch die Arbeitshilfe der Innovationsstiftung Bayerische Kommune genannt, die erstmalig 2016 erschienen ist und mittlerweile in Version 5 vorliegt. Wieso nun eine Eigenentwicklung aufgelegt wird, statt auf vorhandene Systematiken zurückzugreifen oder diese zu empfehlen, bleibt unklar. Ok, der Aufwand für die Arbeitshilfe wäre höher. Aber man hätte sich auch mit der Systematik ISA+ des IT-Sicherheitsclusters Regensburg oder mit dem Reifegrad-Modell “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik Bayern, kurz LSI zusammentun können. Übrigens: Auch wenn die Arbeitshilfe ursprünglich für Kommunen entwickelt wurde, kann diese auch von Firmen genutzt werden. Ob die Organisationsleitung am Ende Bürgermeister oder Geschäftsführer heißt, ändert nichts an den Sicherheitsanforderungen, höchstens am Risiko einer persönlichen Haftung 😉 Wer es professionell haben möchte: Sprechen Sie uns wegen einer Software-Umsetzung der Arbeitshilfe gerne an. Die damals vom Auftraggeber vorgegebenen Word-Dokumente sind im laufenden Betrieb des ISMS alles andere als handlich.

Hinzu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeitshilfe oder VDS ausgestattet ist und diese erfolgreich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absicherung nicht glücklich. Hier wäre zu empfehlen, gleich den folgerichtigen Schritt in die BSI IT-Grundschutz Basis-Absicherung oder für Kommunen das sog. Kommunalprofil im Rahmen der Basis-Absicherung zu gehen.

Und nicht vergesesen — wie schreibt es das BSI (nicht nur im Kontext von WiBA — Weg in die Basis-Absicherung) so treffend: Informationssicherheit ist Chefinnen- und Chefsache! Und jeder Schritt hin zu mehr Informationssicherheit zählt. Von daher, well done, BSI!

Übrigens freut sich auch der Datenschutzbeauftragte, wenn das Thema Informationssicherheit konsequent und systematisch in der Organisation umgesetzt wird. Das nimmt einiges an Druck aus dem Kessel im Hinblick auf Art. 32 DSGVO Sicherheit der Verarbeitung.

Fördermittelaudit Kommunalprofil und Basis-Absicherung BSI IT-Grundschutz für bayerische Kommunen

von Sascha Kuhrau
20. Juli 2023

Sie sind eine bayerische Kommune? Haben Fördermittel im Rahmen der Richtlinie zur Förderung von Informationssicherheit des Freistaats Bayern beantragt? Sie stehen jetzt kurz vor dem Abschluss der Einführung eines ISMS auf Basis des sog. Kommunalprofils oder der Basis-Absicherung des BSI IT-Grundschutz? Und Sie brauchen bald als Nachweis zur Beantragung der Ausschüttung der Fördermittel den notwendigen Prüfnachweis für die Fördermittelstelle? Dann sprechen Sie uns frühzeitig an.

Wir freuen uns, dass wir bayerischen Kommunen den notwendigen Auditor bieten und das Fördermittelaudit auf Basis eines belastbaren und nachvollziehbaren Prüfschemas durchführen können. Unterstützt wird das Audit und die Audit-Dokumentation durch unser hausinternes Audit-Tool, das am Ende einen belastbaren und nachvollziehbaren Audit-Bericht erstellt.

Dabei gibt es jedoch eine klassische Audit-Regel zu beachten: Wer berät, auditiert nicht. Wenn Sie also durch uns bei der Einführung Ihres ISMS auf Basis des BSI IT-Grundschutz begleitet wurden, können wir Sie nicht auditieren. Das versteht sich eigentlich von selbst. Gerne stellen wir Ihnen aber in diesem Fall den Kontakt zu qualifizierten Auditoren her. Auswählen müssen Sie dann jedoch selbst 🙂

Mehr Infos hier.

Save the date: BVS ISB Boot Camp Gunzenhausen 28.–29.03.2023

von Sascha Kuhrau
14. Februar 2023

Nicht nur für aktive Informationssicherheitsbeauftragte interessant. Und nachdem es die Pandemie-Umstände zulassen, dieses Jahr wieder als 2‑tägige Vor-Ort-Veranstaltung:

ISB Boot Camp 2023 in Gunzenhausen am 28.03. und 29.03.2023

Informationssicherheitsbeauftragte, IT-Sicherheitsbeauftragte, aber auch Datenschutzbeauftragte und IT-Leiter treffen sich zum Erfahrungsaustausch und Netzwerken rund um aktuelle Themen der Informationssicherheit, der IT-Sicherheit und des Datenschutzes. Dabei geht es nicht nur um aktuelle Bedrohungslagen, sondern auch Lösungen aus der Praxis, um diesen bestmöglich zu begegnen. Technische und organisatorische Maßnahmen, sowie pragmatische Lösungsansätze, die sich im Alltag bewährt haben, stehen im Vordergrund der Plenumsbeiträge und zahlreichen Workshops. Als Referenten konnten zahlreiche aktive Informationssicherheitsbeauftragte aus Kommunalverwaltungen und Unternehmen gewonnen werden, die gerne ihre Erfahrungen teilen und sich freuen, mit den Teilnehmern in interessante Diskussionen einzutreten.

Auch das Landesamt für Sicherheit in der Informationstechnik Bayern, kurz LSI ist wieder mit von der Partie im diesjährigen ISB Boot Camp und stellt interessante Themen vor. Daneben besteht natürlich auch die Möglichkeit des direkten Austauschs mit Mitarbeitern des LSI während der ganzen Veranstaltung.

Durch ausreichende Pausen und auch im Zuge des Abendprogramms am 28.02. steht allen Teilnehmern ausreichend Zeit und Möglichkeit zum Erfahrungsaustauch und Netzwerken zur Verfügung.

Natürlich dreht sich viel um technische und organisatorische Maßnahmen im Alltag der Informationssicherheit und des Datenschutzes. Aber auch strategische Themen mit Blick nach vorne kommen nicht zu kurz (Auszug):

ISMS — Wo geht die (bayrische) Reise hin?
Aus der Praxis eines Informationssicherheitsbeauftragten von 60 Kleinorganisationen
Technisches Know-How für Informationssicherheits- und Datenschutzbeauftragte
Das ISMS / die TOM überprüfen — Permission rights reviews, Penetrationtests, interne Audits, Floorwalks, weitere Kennzahlen
ChatGPT und mögliche Auswirkungen auf die Informationssicherheit
Windows Support Anrufe — wie ein Social Engineer in die Falle gelockt wurde
Schwachstellenmanagement mit Tools in der Praxis
Low budget Phishingkampagne
Aktuelle Bedrohungslage
und immer wieder verblüffend: Live Hacking

Die Agenda des ISB Boot Camp füllt sich derzeit noch mit weiteren Themen und Beiträgen.

Durchgeführt wird das ISB Boot Camp — wie gehabt — von der Bayerischen Verwaltungsschule. Weitere Organisatoren sind die Stadt Gunzenhausen, das LSI und wir von der a.s.k. Datenschutz. Es richtet sich jedoch nicht ausschließlich an Mitarbeiter der Kommunalverwaltung.

Interesse? Dann geht es hier zur Anmeldung.

Artikel 32 DSGVO — Sicherheit der Verarbeitung

von Sascha Kuhrau
9. Februar 202310. Februar 2023

Es dürfte sich rumgesprochen haben: Personenbezogene Daten sind zu schützen. Das es dabei nur sekundär um die personenbezogenen Daten an sich geht, sondern primär die Person vor Schaden bewahrt werden soll, auf die sich diese Daten beziehen (der sog. “Betroffene”), wird den meisten Anwendern der DSGVO ebenfalls klar sein. Doch was will der Gesetzgeber hier eigentlich von den sog. “Verantwortlichen”, also all den Unternehmen, Vereinen, Bundes- und Landesbehörden sowie Kommunalverwaltungen? Werfen wir mal einen Blick auf Artikel 32 DSGVO.

So steht es in Artikel 32 DSGVO

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Was will Artikel 32 DSGVO in der Praxis?

Dreh- und Angelpunkt sind die technischen und organisatorischen Maßnahmen, auch kurz TOM genannt. Mittels einer geeigneten Auswahl und Anwendung dieser Schutzmaßnahmen (quasi eine Art Werkzeugkasten) sollen personenbezogene Daten vor den alltäglichen Risiken bei deren Verarbeitung (also Erhebung, Speicherung, Nutzung, aber auch beabsichtigter Löschung und Vernichtung) geschützt werden. Dabei soll nicht alles an Schutzmaßnahmen ergriffen werden, was irgendwie geht, sondern der Gesetzgeber spricht von einer Angemessenheit. Die Schutzmaßnahmen müssen also zum Schutzwert der betroffenen personenbezogenen Daten passen. Dabei sollen dann auch Faktoren wie die Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß für den Betroffenen — ganz wichtig: nicht für die eigene Organisation — berücksichtigt werden.

Interessanterweise erfindet “der Datenschutz” hier das Rad mal nicht neu. Wir finden Punkte wie

Vertraulichkeit,
Integrität und
Verfügbarkeit,
die Sicherstellung der Wiederherstellbarkeit von Daten z.B. im Rahmen von Business Continuity Management und Notfallmanagement, aber auch
Revisionszyklen (PDCA) zur Überprüfung der Wirksamkeit vorhandener Schutzmaßnahmen sowie zur
Identifikation von möglicherweise zusätzlichen oder anzupassenden Schutzmaßnahmen aufgrund neuer Risiken oder Veränderungen an bestehenden Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschreiben diese Punkte und Begrifflichkeiten ein klassisches Informationssicherheitsmanagementsystem, kurz ISMS. Wer sich mit dem Thema Informationssicherheit schon näher befasst hat, wird feststellen: Personenbezogene Daten sind eine Untermenge der schützenswerten Informationen einer Organisation. Na, schau mal einer an.

Schreibt Artikel 32 DSGVO nun ein ISMS vor?

Die Begriffe Informationssicherheit oder ISMS fallen zwar nicht wörtlich, aber gerade die in Artikel 32 Absatz 1 DSGVO genannten Punkte, beschreiben dem Sinn nach nichts anderes als ein Informationssicherheitskonzept bzw. ISMS. Das bedeutet nun nicht, dass man ein solches ISMS zur Einhaltung von Art. 32 DSGVO einführen muss, um rechtskonform unterwegs zu sein. Aber es wird halt mühselig. Gut, es gibt immer Menschen und Organisationen, die mögen es umständlich 🙂

Was liegt also näher, als sich diesen Anforderungen systematisch zu nähern, statt einfach wild ein paar möglicherweise geeignete Schutzmaßnahmen zusammenzuschustern? Und sobald man ein Informationssicherheitskonzept eingeführt hat, geht es ja nicht nur den personenbezogenen Daten gut. Auch alle anderen “Kronjuwelen” einer Organisation fühlen sich behütet und beschützt. Also gleich mehrere Fliegen mit einer Klappe erschlagen. Grüße vom tapferen Schneiderlein.

Dabei sollte man jedoch im Hinterkopf behalten, dass Informationssicherheit sich im Rahmen der sog. Risikoanalyse vorrangig mit den Auswirkungen auf die Organisation befasst. Die Fragestellung lautet zu Beginn: Was für Auswirkungen haben die Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von schützenswerten Informationen (und damit sind personenbezogene Daten eingeschlosen) für meine Organisation im Hinblick auf

mögliche Vertragsverletzungen und Rechtsverstöße,
finanzielle Schäden wie Vertragsstrafen, Bußgelder oder auch Schadenersatz,
negative Auswirkungen auf Reputation / Image,
mögliche Beeinträchtigung der Aufgabenerfüllung,
mögliche Beeinträchtigungen der informationellen Selbstbestimmung (Datenschutz) und
bei einem Sidekick in Richtung Notfallmanagement auch Gefahr für Leib und Leben.

Die Risiken im Bereich Datenschutz werden zwar schon grob erfasst, aber im Hinblick auf die Auswirkungen für die Organisation. Der Trick besteht darin, mögliche Risiken für den Betroffenen wie Identitätsdiebstahl oder Verlust seiner Betroffenenrechte und noch weiterer Punkte zu inkludieren. Kein Hexenwerk. Und vor allem muss man das Rad nicht neu erfinden.

Welche Systematik für ein Informationssicherheitskonzept darf es denn sein?

Das Schöne ist, es gibt auf dem Markt seit Jahrzehnten bewährte und kontinuierlich weiterentwickelte Standards für Informationssicherheit. Und selbst wenn diese die Auswirkungen im Datenschutz für den Betroffenen nicht bereits inkludiert haben, sind diese in der Risikobetrachtung mit wenigen Handgriffen integriert und berücksichtigt. “That’s no rocket science!”

Sicher kennen viele Leser eine ISO 27001 als weltweite Norm für Informationssicherheit oder auch den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI). Es hält sich das Gerücht hartnäckig, diese seien für kleine und kleinste Organisationen viel zu groß und aufwändig. Die Praxis zeigt, dem ist nicht so. Aber selbst, wenn man dieser Argumentation folgt, so gibt es Alternativen wie (Reihenfolge nicht wertend)

ISIS12 / CISIS12 — ein Informationssicherheitskonzept in 12 Schritten
SiKoSH — in 7 Schritten zu einem ISMS
VDS 10000 — ehemals 3473, ursprünglich ein Fragebogen für Risiken im Bereich Cybersicherheit
TISAX — im Kontext von Automobilzulieferern weit verbreitet oder
das unter dem Titel “Arbeitshilfe” bekannte Konzept zu Einführung und Betrieb eines ISMS der Innovationsstiftung Bayrische Kommune.

Darüberhinaus gibt es auch noch weitere Systematiken und Vorgehensweisen, aber wir beschränken uns mal auf die oben genannten Vertreter. Unsere Empfehlung lautet stets: Nutzen Sie eine der vorhandenen Vorgehensweisen und erfinden Sie das Rad bitte nicht neu. Warum? Diese Vorgehensweisen / Vertreter für ein ISMS

haben sich über lange Zeit in der Praxis bewährt,
sind für jede Art von Organisation anwendbar, da — welch’ Überraschung — Informationssicherheit universell ist,
decken allesamt stets die Mindestanforderungen an Informationssicherheit ab,
sind skalierbar im Hinblick auf Organisationsgrößen aber auch auf das zu erreichende Sicherheitsniveau,
sparen Ihnen Zeit und Nerven,
helfen, gern gemachte Fehler bei Einführung und Betrieb eines ISMS von vornherein zu vermeiden (RTFM).

Die “Arbeitshilfe” — der ideale Einstieg in Artikel 32 DSGVO für kleine und große Einrichtungen

Wessen Organisation noch so gar keine Erfahrung hat mit dem Thema Informationssicherheit oder die ISO 27001 und dem IT-Grundschutz für zu wuchtig hält, steigt idealerweise über die “Arbeitshilfe” in das Thema ein. Damit können größere Organisationen erste Erfahrungen sammeln, bevor es danach mit “größeren” Standards ans Eingemachte geht. Und bei kleineren Einrichtungen kommt man bei konsequenter Anwendung des Standards “Arbeitshilfe” bereits zu einem funktionierenden ISMS mit dazugehörigen PDCA-Zyklus.

Dieser Standard wurde 2016 im Auftrag der Bayrischen Kommunalen Spitzenverbände von uns für die Innovationsstiftung Bayrische Kommune entwickelt. Mittlerweile ist Version 4.0 aktuell. Ein Update auf Version 5.0 wird voraussichtlich in 2023 erscheinen. Ist der Standard dann überhaupt für Unternehmen und Vereine geeignet, wenn er doch aus dem kommunalen Bereich stammt? Ja klar. Wie zuvor schon geschrieben, ist Informationssicherheit eine universelle Angelegenheit, die vom anzustrebenden Schutzwert für schützenswerte Informationen ausgeht. Dabei ist es unerheblich, ob eine Firma oder eine Verwaltung Informationssicherheit betreibt. Der einzige Knackpunkt bei Nutzung der Arbeitshilfe: Gelegentlich muss man Begrifflichkeiten wie Bürgermeister, Landrat oder Verwaltung gegen die Pendants aus der freien Wirtschaft tauschen. Aber das bekommen Sie hin 🙂

In 9 Kapiteln führt die “Arbeitshilfe” eine Organisation in die notwendigen Anforderungen für ein ISMS ein und legt die Grundlagen für den späteren Betrieb im Hinblick auf “ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.” Gleichzeitig unterstützt die Systematik bei der Entdeckung möglicher Schwachstellen und zeigt Lösungswege auf, diese zeitnah zu beseitigen.

Die Systematik, Anleitung und Dokumente zur Bearbeitung der “Arbeitshilfe” stehen kostenfrei zum Download zur Verfügung. Im ersten Durchlauf werden auch keine Investitionen in eine ISMS-Software notwendig. Im laufenden Betrieb empfiehlt sich diese dann später jedoch, um die Dokumentation und regelmäßige Nachprüfung, aber auch das Berichtswesen zu erleichtern. Bei Interesse an einer solchen Lösung sprechen Sie uns bitte an.

Kleines Schmankerl: Je nach Bundesland können Fördermittel aus diversen Töpfen zur Erhöhung der Informationssicherheit oder IT-Sicherheit oder Digitalisierung angezapft werden. Wenn Sie sich also zur Unterstützung und Begleitung der Einführung oder auch für Mitarbeiterschulungen externe Hilfe heranholen, können die Ausgaben hierfür gefördert werden.

Weitere Infos zur Arbeitshilfe finden Sie hier auf unserem Blog.

Wenn man ein solches ISMS dann auch noch mit einem funktionierenden Datenschutzmanagementsystem (DSMS) verknüpft, dann hat man einige Sorgen weniger bzw. sich unnötige Umstände und Mühen aufgrund unsystematischer Vorgehensweisen erfasst. Gleichzeitig hat man, den aktiven Betrieb beider Systeme vorausgesetzt, auch nicht bange zu sein, sollte die Landesdatenschutzbehörde mal klingeln. Und das ist viel wert. Das wissen zumindest die Organisationen, bei denen das schon der Fall war 😉

Regelmäßiges Webinar “Einführung in die Grundlagen des Datenschutzes DSGVO”

von Sascha Kuhrau
2. Oktober 2022

Was liebt der Datenschutz?

Sensibilisierte Mitarbeiter.

Wieso liebt der Datenschutz sensibilisierte Mitarbeiter?

Unter anderem, weil sich damit die Risiken für eine Datenschutzverletzung minimieren lassen. Aber es hat noch viele weitere positive Aspekte (frühzeitige Einbindung des DSB, funktionierendes Datenschutzmanagement, verbesserte und vereinfachte Erfüllung der DSGVO Anforderungen, Senken von Bußgeldrisiken, und und und .…)

Wie bekommen wir das hin? Wir können ja nicht jeden neuen Mitarbeiter einzeln schulen.

Stimmt. Aber wie wäre es mit unserem Webinar “Einführung in die Grundlagen des Datenschutzes DSGVO”?

An wen wendet sich denn dieses Webinar “Einführung in die Grundlagen des Datenschutzes DSGVO”?

Bestens geeignet für neue Mitarbeiter in der Organisation, die eine grundlegende Einführung in das Thema zu Beginn erhalten sollen.

Nur für neue Mitarbeiter?

Né, gerne auch für Mitarbeiter, die schon lange nicht mehr mit dem Thema vertraut gemacht wurden. Etwas Auffrischung schadet nicht.

Wie lange dauert denn die Veranstaltung?

90 Minuten

Muss mein Mitarbeiter dafür etwas auf seinem Endgerät installieren?

Nö. Sie brauchen nur einen mit dem Internet verbundenen Webbrowser und Lautsprecher (besser Headset).

Bekommen Teilnehmer eine Bestätigung?

Wir machen im Laufe des Webinar ein paar Anwesenheitschecks in Form von Fragen / Begriffen. Diese Begriffe trägt der Teilnehmer am Ende in ein Formular ein und generiert sich damit seine Teilnahmebestätigung. Diese wird als PDF-Anhang per Email direkt an den Teilnehmer versendet. Jedes Webinar hat übrigens andere Begriffe 😉

Datenschutz als Thema, ist das nicht furztrocken?

Man sagt unseren Webinaren nach, dass diese humvorvoll, interessant und eben nicht trocken sind 🙂

Können im Webinar Fragen gestellt werden?

Aber sicher doch. Wir freuen uns über jede Frage, die im Chat gestellt wird. Ganz mutige Teilnehmer schalten wir nach Aufforderung auch gerne mit Webcam und Mikrofon dazu, wenn gewünscht.

Wie ist das denn mit dem Datenschutz bei unterschiedlichen Teilnehmern?

Chat und Teilnehmerliste stehen auf anonym. Keiner der Teilnehmer sieht Namen oder Fragen der anderen. Fragen werden von den Moderatoren ohne Namen des Fragestellers in einen für alle lesbaren Chat kopiert.

Wie oft findet das Webinar statt?

Üblicherweise monatlich. Die nächsten Termine finden Sie hier.

Können wir auch eine eigene Veranstaltung für unsere Organisation buchen?

Das lässt sich einrichten 🙂

Was kostet die Teilnahme?

Wir halten es ganz einfach. Meist nur ein einstelliger Euro-Betrag plus MwSt. pro Teilnehmer (Ausnahme: Organisationsindividuelle Webinare)

Gibt es Beschränkungen im Hinblick auf den Teilnehmerkreis?

Nö, das Webinar ist für alle Personen geeignet, die im Arbeitsalltag mit personenbezogenen Daten hantieren. Es gibt nur eine Einschränkung: Unser Webinar-Angebot richtet sich nicht an private Endverbraucher.

Müssen wir die a.s.k. Datenschutz als Datenschutzbeauftragte benannt haben, damit unsere Mitarbeiter teilnehmen können?

Um Himmels willen, nein. Unser Webinar-Angebot richtet sich explizit nicht nur an unsere Bestandskunden. Aber vielleicht werden Sie ja später einer 😉

Sind weitere Themen geplant?

Nicht nur geplant. Wir haben weitere Themen am Start wie “Email-Sicherheit” und “Einführung in die Grundlagen der Informationssicherheit”. Weitere Themen sind in Vorbereitung.

Wir hätten Interesse. Wie geht es jetzt weiter?

Dann schreiben Sie uns an.

Möglicher Datenschutzverstoß bei Nutzung von VirusTotal

von Sascha Kuhrau
31. März 202231. März 2022
2 Kommentare

Das BSI warnt aktuell vor einem möglichen Datenschutzverstoß bei Nutzung von VirusTotal. Neben dem Datenschutzrisiko sind aber auch andere schützenswerte Informationen der eigenen Organisation oder von Externen in Gefahr, Dritten gegenüber offengelegt zu werden.

Was ist VirusTotal?

VirusTotal ist ein Service von Google und unter https://www.virustotal.com erreichbar. Über den Dienst kann man beispielsweise verdächtige Webadressen (URL) überprüfen, bevor man diese selbst im Browser auf dem eigenen System aufruft. Eine Empfehlung, die wir beispielsweise im Rahmen unserer Schulungen und Webinare häufiger aussprechen.

Neben diesem URL-Check bietet VirusTotal jedoch auch an, Dateien zur Online-Überprüfung durch eine Vielzahl bekannter Virenscanner hochzuladen. Und da liegt auch der Hase im Pfeffer. Neben der Nutzung direkt im Browser bietet VirusTotal auch Business-Services an, bei denen kein manueller Upload erfolgen muss, sondern die Prüfung automatisiert im Hintergrund durchgeführt wird.

“Dieser Dienst wird von Privatpersonen und Unternehmen oftmals zur Prüfung von verdächtigen Dateien genutzt, um aufgrund der Vielzahl von Antivirenprogrammen verlässlichere Ergebnisse als mit nur einem Scanner zu erhalten.”, so das Bundesamt für Sicherheit in der Informationstechnik.

Wo ist das Problem bzw. der Datenschutzverstoß bei Nutzung von VirusTotal?

Werden Dateien mit personenbezogenen Daten hochgeladen bzw. geprüft, liegt für gewöhnlich eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Diese muss inkl. der TOM-Prüfung korrekt VOR Nutzung des Dienstes geregelt und vereinbart sein. Hinzu kommt, dass lt. BSI Datenweitergaben an zahlreiche AV-/Scan-Anbieter auch mit Sitz außerhalb der EU erfolgen. Vor dem Hintergrund der aktuellen Diskussion um Drittstaatenübermittlungen nicht ganz unproblematisch.

Und ganz nebenbei: Selbst dann, wenn Dateien ohne personenbezogene Daten hochgeladen werden, besteht ein nicht unerhebliches Risiko. Nämlich dann, wenn es sich um vertrauliche bzw. schützenswerte Informationen der Organisation (oder eines Kunden / Bürgers / Auftraggebers) handelt. Diese Datei wird munter mit allen angeschlossenen Anbietern geteilt. Will man das für Geschäfts- bzw. Organisationsgeheimnisse? Eher nicht.

Was kann helfen?

Mitarbeiter auf dieses grundlegende Sicherheitsproblem bei der Nutzung des Dienstes aufmerksam machen bzw. dafür ausreichend sensibilisieren (Nein, Papier alleine reicht nicht!)
Regelungen treffen, ob und wenn ja welche Dateien möglicherweise doch einem Check durch den Service unterzogen werden dürfen (z.B. bei Vertraulichkeitsstatus “Öffentlich”)
Oder wie das BSI rät, ausschließlich mit Hash-Werten der Dateien zu arbeiten (tricky, aber machbar)

Weitere Unterstützung bieten die Fragestellungen an Sicherheitsbeauftragte auf Seite 3 der Stellungnahme des BSI zum Thema, zu finden hier.

Whistleblower-Richtlinie / Hinweisgeberschutzgesetz pragmatisch umgesetzt mit Whistle Safe

von Sascha Kuhrau
10. Januar 20221. Februar 2022

Seit November 2019 steht die europäische Hinweisgeberschutz-Richtlinie im EU-Amtsblatt (Whistleblower-Richtlinie). Ihre Vorgaben sind nun in Kraft getreten und greifen seit dem 18.12.2021. Die Mitgliedstaaten hatten zuvor zwei Jahre Zeit, das EU-Gesetz in nationales Recht umzusetzen. Die Umsetzung im deutschen Hinweisgeberschutzgesetz wird für Quartal 1 2022 erwartet. Die Anforderungen können jedoch bereits gegen Organisationen geltend gemacht werden.

Juristische Personen wie Firmen, Behörden und andere Rechtsträger (mit mehr als 50 Mitarbeitern) sowie alle Unternehmen aus dem Bereich der Finanzdienstleistungen müssen gemäß den Vorgaben der Whistleblower-Richtlinie prinzipiell ein (internes) Hinweisgebersystem bereitstellen und einen speziellen Beauftragten als Ansprechpartner vorsehen. Geringfügige Ausnahmen können lediglich für Gemeinden mit weniger als 10.000 Einwohnern gemacht werden.

Anders als von der deutschen Rechtsprechung bislang vorgegeben, muss nach der Whistleblower-Richtlinie ein Hinweisgeber einen Missstand nicht mehr zunächst intern in der eigenen Firma oder Behörde melden. Er kann sich auch unmittelbar an übergeordnete Whistleblower-Stellen wenden oder bei irreversiblen Schäden, drohenden konkreten Repressalien und beim Ausbleiben einer zügigen Rückmeldung an die Medien. Damit entzieht sich eine solche Meldung der Kontrolle Ihrer Organisation und birgt entsprechende Risiken (Imageschaden, Bußgelder, Geldstrafen etc.)

Unser Partner Whistle Safe e.K. stellt Ihnen eine Lösung vor, wie Sie in Ihrer Firma oder Kommune die rechtlichen Anforderungen der Whistleblower-Richtlinie mittels der gesetzlich explizit vorgesehenen externen Unterstützung elegant und auch kostenschlank lösen können.

Die Webinare (ca. 30 Minuten) finden statt:

10. Februar 2022, 09:00 — 09:30 Uhr
18. Februar 2022, 11:00 — 11:30 Uhr
24. Februar 2022, 10:00 — 10:30 Uhr
15. März 2022, 11:00 — 11:30 Uhr

Bitte nutzen Sie den folgenden Link zur Registrierung für einen Termin Ihrer Wahl:
https://next.edudip.com/de/webinar/whistleblowing-richtlinie-hinweisgeberschutzgesetz-pragmatisch-umgesetzt-mit-whistle-safe/1768122

Hinweis: Diese kostenfreie Veranstaltung zur Whistleblower-Richtlinie wird von Whistle Safe e.K. Berlin durchgeführt, nicht von der a.s.k. Datenschutz. Fragen richten Sie daher bitte direkt an info@whistle-safe.com bzw. https://whistle-safe.com

Herzliche Grüße sowie ein frohes und vor allem gesundes Neues Jahr 2022
Das Team von a.s.k. Datenschutz

E‑Privacy und der gelebte Datenschutz

von Sascha Kuhrau
16. November 20209. Dezember 2020
2 Kommentare

Am 04.11.2020 wurde ein Entwurf für eine E‑Privacy Verordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von ‘visitors´ gespeichert werden, unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig.

Ausnahmen dieser E-Privacy Aspekte

Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbestände in den E‑Privacy Entwurf eingeflossen. Hier kamen etwa IT-Sicherheit, fraud prevention, Direktwerbung in Betracht. Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt. Wenn Inhalte auf einer website unentgeltlich angeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitors weiterhin an das Setzen von cookies ohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels ‘präziser Informationen´ aufgezeigt würden. In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit “Spiegel Online” an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne.

Integrität und Vertraulichkeit

Im Fokus steht auch die mit der geplanten E‑Privacy Verordnung den Mitgliedstaaten einzuräumende Möglichkeit der ‘rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden.

E‑Privacy und das Nutzerverhalten

Hand aufs Herz — wer kennt die ‘do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E‑Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungen zu fassen.

Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben.

Die vorgeschlagene E‑Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etc dürfen auch weiterhin in Datenverarbeitungen durch Anbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die ‘Funktionalitäten´ der hard- und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren 😉 Liebe Verschwörungstheoretiker — dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter.

Patientendaten — neues Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

von Sascha Kuhrau
5. September 20209. Dezember 2020

In seiner Pressemitteilung vom 19.08.2020 zum erforderlichen Schutzniveau von Patientendaten im Rahmen der aktuellen Gesetzgebung informiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber über die europarechtswidrige Verarbeitung personenbezogener Gesundheitsdaten als Folge des zu erwartenden Patientendaten-Schutz-Gesetzes PDSG. Dieses ist vom Bundestag bereits beschlossen und befindet sich momentan in Prüfung beim Bundesrat.

Patientendaten als hochsensibles Schutzgut

Bereits während des Gesetzgebungsverfahrens habe der BfDI wiederholt Statements zur ‘vollen Hoheit [der Patienten] über ihre Daten´ eingebracht. Dieser Aspekt komme bei dem neuen Gesetz zu kurz. Gesundheitsdaten beinhalten ‘intimste Informationen´ der betroffenen Personen und sind von besonders hohem Schutzbedarf.

Maßnahmen zum Schutz von Patientendaten

Es würden ‘aufsichtsrechtliche Maßnahmen´ gegen die gesetzlichen Krankenkassen ergriffen, sofern diese das PDSG in aktueller Fassung umsetzen. Eine Einführung der elektronischen Patientenakte (ePA) ‘ausschließlich nach den Vorgaben des PDSG [in aktueller Fassung verstoße] an wichtigen Stellen´ gegen die DSGVO. Bei einer Beschließung des PDSG in der aktuellen Fassung seien die der Aufsicht des BfDI unterliegenden gesetzlichen Krankenkassen (mit rund 44,5 Millionen Versicherten) davor zu warnen, dass die Einführung der ePA ausschließlich nach den Vorgaben des PDSG europarechtswidrig sei. Zudem seien ‘weitere Maßnahmen´ in Vorbereitung zu Abhilfe einer europarechtswidrigen Umsetzung der ePA.

Patientendaten in Zeiten fragwürdiger ‘Digitalisierung´

Ein datenschutzrechtlich ausreichender Zugriff auf die eigene ePA sei nur Nutzern geeigneter Endgeräte wie von Mobiltelefonen oder Tablets möglich .. und das erst 1 Jahr nach Einführung der ePA. Für das Jahr 2021 bedeutete dies, dass eine Steuerung auf Dokumentenebene, d.h. eine dokumentengenaue Kontrolle, welche Beteiligten welche Informationen einsehen können, nicht möglich ist. Damit würden vollendete Tatsache geschaffen und Berechtigungen nicht datenschutzkonform erteilt. So könne beispielsweise der ‘behandelnde Zahnarzt [auf] alle Befunde des konsultierten Psychiaters´ zugreifen. Digitalisierung könne niemals Selbstzweck sein.

Benachteiligung Betroffener bei Zugriff auf die eigenen Patientendaten

Erfolgte Zugriffe auf die Patientendaten könnten ohne Nutzung der entsprechenden Geräte nicht erfolgen. Daher solle ab 2022 für diese betroffenen Personen eine vertretende Person die Steuerung und Einsicht vornehmen können — entsprechendes Vertrauensverhältnis vorausgesetzt. Hierin sieht der BfDI eine Ungleichbehandlung hinsichtlich der informationellen Selbstbestimmung.

Es ist zu hoffen, dass ein entsprechendes Datenschutzniveau rechtzeitig etabliert werden kann. Auch beim Authentifizierungsverfahren sieht der BfDI Handlungbedarf.

Schutz vor allem für die Verursacher von Datenschutzverletzungen

Ein c’t Artikel vom 28.08.2020 auf heise.de titelt in diesem Kontext mit ‘Warum es bei künftigen Datenpannen in der Medizin keine Schuldigen geben wird´. Der Entwurf zum neuen PDSG entlasse die Gematik aus der datenschutzrechtlichen Gesamtverantwortlichkeit. September 2019 haben die Datenschutzbehörden beschlossen, dass die Gematik ‘datenschutzrechtlich alleinverantwortlich für die zentrale Zone der Telematik-Infrastruktur (TI)´ sei. Indes solle die Gesellschaft durch das neue Gesetz von der juristischen Gesamtverantwortlichkeit für den Datenschutz, ebendieser Verantwortlichkeit, entbunden werden. Neben ‘konzeptionellen und regulatorischen Vorgaben, Maßnahmen zur Qualitätssicherung und zur Gefahrenabwehr´ treffe die Gematik für die Verarbeitung der (Patienten)Daten keine Verantwortung mangels ‘operativer´ Beteiligung. Das deutsche Gesundheitswesen stehe in klarer Abhängigkeit von der Gematik. Deren achtwöchiger Ausfall von Mai bis Juli, bei dem weder seitens der Gematik noch anderweitig öffentliche Informationen zu Ursachen und Verantwortlichkeiten des Vorfalls gegeben wurde, mache dies deutlich.

Klare Antizipation massenhafter Verletzungen des Schutzes von Patientendaten

Somit wäre die Gematik auch von der Pflicht einer DSFA und der zugehörigen Beschreibungen potentieller Datenschutzverletzungen und ihrer Auswirkungen befreit. Kommt es zu einer Kompromittierung von Patientendaten, muss dies nicht nur zunächst auffallen, sondern dann darf der Patient sich — hinreichende Gesundheit vorausgesetzt — mit den zuständigen Ärzten Auseinandersetzen und dann kann nach einem Verantwortlichen gesucht werden. Eine DSFA sei dem Gesetzesentwurf zufolge allenfalls medizinischen Einrichtungen mit mehr als 20 Mitarbeitern zuzumuten.

Fazit und Statement

Mit dem neuen PDSG werden vor allem die Verursacher vor den Konsequenzen massiver Datenschutzverletzungen geschützt. Dies zeigt zumindest einen ausgeprägten Realitätssinn für die katastrophalen Zustände in Datenschutz und Informationssicherheit im deutschen Gesundheitswesen. Der Autor des vorliegenden Beitrags greift auf div. eigene Berufserfahrungen im Gesundheitswesen zurück. Die beschriebenen Aspekte bei der Gesetzgebung zum neuen PDSG liefern keine Verbesserungen an der teilweise bestehenden grob fahrlässigen Handhabung von Patientendaten im Gesundheitswesen, sondern beseitigt die Transparenz noch weiter.

Das heißt also — verbindliche Empfehlung von Ihren Datenschutzbeauftragten 🙂 bitte einfach die 5 a day Regel einhalten und gesund bleiben

1
2
3
4
Weiter »

Öffentliche Verwaltung

Wei­ter­bil­dung für Informationssicherheitsbeauftragte

Agen­da und The­men des ISB Boot Camp 2024

Erhalt der Fach­kun­de von Informationssicherheitsbeauftragten

Nor­men für Informationssicherheit

WiBA — Weg in die Basis-Absicherung

Über­le­gun­gen zur aktu­el­len Gestal­tung /​ Umset­zung von WiBA — Weg in die Basis-Absicherung

ISB Boot Camp 2023 in Gun­zen­hau­sen am 28.03. und 29.03.2023

So steht es in Arti­kel 32 DSGVO

Was will Arti­kel 32 DSGVO in der Praxis?

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

Was liebt der Datenschutz?

Wie­so liebt der Daten­schutz sen­si­bi­li­sier­te Mitarbeiter?

Wie bekom­men wir das hin? Wir kön­nen ja nicht jeden neu­en Mit­ar­bei­ter ein­zeln schulen.

An wen wen­det sich denn die­ses Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

Nur für neue Mitarbeiter?

Wie lan­ge dau­ert denn die Veranstaltung?

Muss mein Mit­ar­bei­ter dafür etwas auf sei­nem End­ge­rät installieren?

Bekom­men Teil­neh­mer eine Bestätigung?

Daten­schutz als The­ma, ist das nicht furztrocken?

Kön­nen im Web­i­nar Fra­gen gestellt werden?

Wie ist das denn mit dem Daten­schutz bei unter­schied­li­chen Teilnehmern?

Wie oft fin­det das Web­i­nar statt?

Kön­nen wir auch eine eige­ne Ver­an­stal­tung für unse­re Orga­ni­sa­ti­on buchen?

Was kos­tet die Teilnahme?

Gibt es Beschrän­kun­gen im Hin­blick auf den Teilnehmerkreis?

Müs­sen wir die a.s.k. Daten­schutz als Daten­schutz­be­auf­trag­te benannt haben, damit unse­re Mit­ar­bei­ter teil­neh­men können?

Sind wei­te­re The­men geplant?

Wir hät­ten Inter­es­se. Wie geht es jetzt weiter?