Zum Inhalt springen

Öffentliche Verwaltung

WiBA — Weg in die Basis-Absi­che­rung — WiBA BSI

Nicht erst seit dem Aus­fall der Land­kreis­ver­wal­tun­gen Anhalt-Bit­ter­feld oder Rhein­pfalz ist bekannt, dass auch Kom­mu­nal­ver­wal­tun­gen durch­aus Nach­hol­be­darf beim The­ma Infor­ma­ti­ons­si­cher­heit haben. Auch klei­ne­re Kom­mu­nen sind betrof­fen und haben nicht weni­ger mit den Fol­gen zu kämp­fen. Der geschätz­te Jens Lan­ge, sei­nes Zei­chens ITSi­Be der Stadt Kas­sel betreibt hier­zu ein schö­nes Infor­ma­ti­ons­por­tal (Vie­len Dank an die­ser Stel­le, Jens, für Dei­ne Arbeit!) unter https://​kom​mu​na​ler​-not​be​trieb​.de

Doch auch Fir­men, eben­falls ganz unab­hän­gig von Bran­che und Grö­ße blei­ben von die­sem Pro­blem nicht ver­schont. Einen gro­ben Ein­druck, wie oft es knallt, kann man sich sehr gut unter https://​kon​brie​fing​.com/​d​e​-​t​o​p​i​c​s​/​h​a​c​k​e​r​a​n​g​r​i​f​f​-​d​e​u​t​s​c​h​l​a​n​d​.​h​tml verschaffen.

Bei­de Por­ta­le kön­nen nur einen Teil der Mise­re zei­gen, denn nicht jedes “Miss­ge­schick” in der Infor­ma­ti­ons­si­cher­heit bei Kom­mu­nen und Fir­men gelangt an die Öffent­lich­keit. Das bedeu­tet, die Dun­kel­zif­fer des Ver­sa­gens der Infor­ma­ti­ons­si­cher­heit (oder auch des Nicht­vor­han­den­seins) ist daher im Zwei­fel noch um eini­ges höher.

Nor­men für Informationssicherheit

Stan­dards für Infor­ma­ti­ons­si­cher­heit gibt es eini­ge auf dem Markt. Da gibt es z.B.

  • ISO 27001 (nati­ve oder auf Basis IT-Grundschutz)
  • Den IT-Grund­schutz des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in den 3 Absi­che­rungs­stu­fen Basis, Kern und Standard
  • TISAX (gera­de im Auto­mo­ti­ve-Bereich ein sehr bekann­ter Vertreter)
  • CISIS12 (ehe­ma­lis ISIS12)
  • ISMS4KMO (als Stan­dard als Wei­ter­ent­wick­lung von ISIS12, aber auch als Tool für die ISO 27001 und den IT-Grundschutz)
  • “Arbeits­hil­fe” (eine Absi­che­rung in der Brei­te einer Orga­ni­sa­ti­on, ent­wi­ckelt von a.s.k. Daten­schutz im Auf­trag der Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune)
  • SiKo­SH (Sicher­heits­kon­zept Schles­wig-Hol­stein) oder auch
  • VDS 10.000 ehe­mals 3473.

Es gibt noch wei­te­re Ver­tre­ter, doch wir haben uns auf die Stan­dards mit einer bekann­ten brei­ten Instal­la­ti­ons­ba­sis beschränkt. Dane­ben gibt es noch div. Schwach­stel­len-Tools, die jedoch zumeist ein­ma­li­ge Stär­ken-Schwä­chen-Ana­ly­sen dar­stel­len und kei­nen Fokus auf den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts legen. Dazu zäh­len z.B. ISA+ und andere.

Alle Nor­men haben eins gemein­sam: Infor­ma­ti­ons­si­cher­heit bedeu­tet Arbeit in fast allen Tei­len einer Orga­ni­sa­ti­on und kos­tet Zeit, Geld und Per­so­nal­res­sour­cen. Dazu haf­ten eini­gen Stan­dards nahe­zu sagen­haf­te Aus­sa­gen an wie “Der IT-Grund­schutz dau­ert min­des­tens 5 Jah­re in der Ein­füh­rung, egal wie groß die Orga­ni­sa­ti­on ist” oder “Für Stan­dard XYZ sind min­des­tens 50–60 exter­ne Bera­ter­ta­ge not­wen­dig”. Nun ja … In der Tat war der alte 100‑x Stan­dard des IT-Grund­schutz ein dickes, zu boh­ren­des Brett. Aber 5 Jah­re haben selbst Groß­or­ga­ni­sa­tio­nen dafür nie gebraucht. Und durch das sog. Kom­pen­di­um (200‑x) und die 3 Absi­che­rungs­stu­fen von unten nach oben wur­de ein zeit­ge­mä­ßer und nied­rig­schwel­li­ger Ein­stieg in den IT-Grund­schutz vom BSI geschaf­fen. Der frü­he­re Schre­cken hat sei­ne Daseins­be­rech­ti­gung ver­lo­ren. Und immens hohe Zah­len an exter­nen Bera­ter­ta­gen kön­nen — unab­hän­gig vom gewähl­ten Stan­dard — auch nur dann zustan­de­kom­men, wenn die eige­ne Orga­ni­sa­ti­on so gut wie kei­nen Selbst­ein­satz bei der Ein­füh­rung des Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems leis­tet. Das mag bequem erschei­nen, auch wenn es teu­er ist, aber geht am Ziel und Zweck vor­bei. Schließ­lich wird Infor­ma­ti­ons­si­cher­heit durch die eige­ne Orga­ni­sa­ti­on betrie­ben und da hilft es wenig, wenn die gan­ze Arbeit durch Exter­ne geleis­tet wird (feh­len­des inter­nes Know-How, “Bera­ter-Trep­pe”).

WiBA — Weg in die Basis-Absicherung

Um den Ein­stieg in den IT-Grund­schutz nun noch nied­rig­schwel­li­ger anzu­set­zen als bereits mit der sog. Basis-Absi­che­rung gesche­hen, hat das BSI einen 18 Doku­men­te umfas­sen­den Fra­gen­ka­ta­log ent­wi­ckelt. Die­ser soll bei kon­se­quen­ter Bear­bei­tung aktu­el­le Schwach­stel­len in der Infor­ma­ti­ons­si­cher­heit (orga­ni­sa­to­risch, infra­struk­tu­rell, tech­nisch, pro­zes­su­al) auf­fin­den hel­fen, damit die­se im Anschluss besei­tigt wer­den kön­nen. Ein löb­li­cher Ansatz und gera­de für Orga­ni­sa­tio­nen geeig­net, die bis­her noch jeden Kon­takt mit dem The­ma gescheut haben.

Fol­gen­de The­men wer­den zur Zeit abgedeckt:

  1. Arbeit außer­halb der Institution
  2. Arbeit inner­halb der Insti­tu­ti­on /​ Haus­tech­nik
  3. Back­up
  4. Büro­soft­ware
  5. Cli­ent
  6. Dru­cker und Multifunktionsgeräte
  7. IT-Admi­nis­tra­ti­on
  8. Mobi­le Endgeräte
  9. Net­ze
  10. Orga­ni­sa­ti­on und Personal
  11. Out­sour­cing und Cloud
  12. Rol­len /​ Berech­ti­gun­gen /​ Authen­ti­sie­rung
  13. Ser­ver­raum
  14. Ser­ver­sys­te­me
  15. Sicher­heits­me­cha­nis­men
  16. Tele­fo­nie und Fax
  17. Umgang mit Informationen
  18. Vor­be­rei­tung für Sicherheitsvorfälle

Umfang­reich sind die Prüf­fra­gen sel­ten. So fin­den sich im Kapi­tel 6 Out­sour­cing und Cloud bei­spiels­wei­se 6 Prüf­fra­gen. Dar­aus wird auch die Inten­ti­on des nied­rig­schwel­li­gen Ein­stiegs u.a. durch einen redu­zier­ten Umfang sehr deutlich.

Der­zeit sind die Fra­ge­bö­gen im Word-For­mat als sog. Com­mu­ni­ty Drafts online gestellt. Das BSI for­dert expli­zit dazu auf, die­se zu nut­zen, zu prü­fen und Anre­gun­gen und Ergän­zun­gen zurück­zu­spie­len. Die­se Rück­mel­dun­gen sol­len dann in die fina­le Ver­si­on von WiBA — Weg in die Basis­ab­si­che­rung einfließen.

In der Hoff­nung, dass dem­nächst nicht wie­der alle Links auf den BSI Web­sei­ten umge­stellt wer­den, hier der direk­te Ein­sprung in das The­ma: https://​www​.bsi​.bund​.de/​D​E​/​T​h​e​m​e​n​/​U​n​t​e​r​n​e​h​m​e​n​-​u​n​d​-​O​r​g​a​n​i​s​a​t​i​o​n​e​n​/​S​t​a​n​d​a​r​d​s​-​u​n​d​-​Z​e​r​t​i​f​i​z​i​e​r​u​n​g​/​I​T​-​G​r​u​n​d​s​c​h​u​t​z​/​W​I​B​A​/​W​e​g​_​i​n​_​d​i​e​_​B​a​s​i​s​_​A​b​s​i​c​h​e​r​u​n​g​_​W​i​B​A​.​h​tml

Über­le­gun­gen zur aktu­el­len Gestal­tung /​ Umset­zung von WiBA — Weg in die Basis-Absicherung

WiBA kann durch­aus ein geeig­ne­ter Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit für Orga­ni­sa­tio­nen sein, die bis­her noch gar kei­nen Kon­takt mit dem The­ma hat­ten und erst mal “schnup­pern” wol­len. Dabei soll­te man im Hin­ter­kopf haben, dass es sich hier­bei nur um eine Schwach­stel­len­ana­ly­se anhand von Fra­ge­stel­lun­gen han­delt. Der zu einem ISMS gehö­ren­de PDCA-Zyklus inkl. der not­wen­di­gen Ver­ant­wort­lich­kei­ten, Auf­ga­ben und Pro­zes­sen ist nicht ent­hal­ten. Wie das BSI in der Manage­ment Sum­ma­ry selbst schreibt, kann WiBA — Weg in die Basis-Absi­che­rung nur der ers­te Schritt in das The­ma Infor­ma­ti­ons­si­cher­heit sein. Denn mit einer Schwach­stel­len­ana­ly­se allei­ne ist es nicht getan.

Posi­tiv fällt die Ver­knüp­fung der Prüf­fra­gen zu den Bau­stei­nen des IT-Grund­schut­zes auf. Das soll­te ein spä­te­res Upgrade in die Basis-Absi­che­rung erleich­tern, da sich ein Wie­der­erken­nungs­ef­fekt ein­stel­len wird. Doch das leis­ten auch ande­re Systematiken.

Wie­so man aus­ge­rech­net mit Word-Tabel­len gear­bei­tet hat, wird wohl ein Rät­sel blei­ben. Dem­je­ni­gen, der mit­tels die­ser Doku­men­te die Ergeb­nis­se doku­men­tie­ren und nach­hal­ten soll, bleibt nur viel Kraft und Geduld zu wünschen 🙂

WiBA liegt nun als Com­mu­ni­ty Draft vor, ist also noch nicht final fer­tig. Dem­ge­gen­über haben ande­re Kon­zep­te, die eben­falls einen nied­rig­schwel­li­gen Ein­stieg in das The­ma Infor­ma­ti­ons­si­cher­heit garan­tie­ren und dabei auch gleich den Grund­stein für den spä­te­ren Betrieb des ISMS legen, bereits mehr­jäh­ri­ge Wei­ter­ent­wick­lun­gen erfah­ren. Allen vor­an sei hier exem­pla­risch die Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne genannt, die erst­ma­lig 2016 erschie­nen ist und mitt­ler­wei­le in Ver­si­on 5 vor­liegt. Wie­so nun eine Eigen­ent­wick­lung auf­ge­legt wird, statt auf vor­han­de­ne Sys­te­ma­ti­ken zurück­zu­grei­fen oder die­se zu emp­feh­len, bleibt unklar. Ok, der Auf­wand für die Arbeits­hil­fe wäre höher. Aber man hät­te sich auch mit der Sys­te­ma­tik ISA+ des IT-Sicher­heits­clus­ters Regens­burg oder mit dem Rei­fe­grad-Modell “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI zusam­men­tun kön­nen. Übri­gens: Auch wenn die Arbeits­hil­fe ursprüng­lich für Kom­mu­nen ent­wi­ckelt wur­de, kann die­se auch von Fir­men genutzt wer­den. Ob die Orga­ni­sa­ti­ons­lei­tung am Ende Bür­ger­meis­ter oder Geschäfts­füh­rer heißt, ändert nichts an den Sicher­heits­an­for­de­run­gen, höchs­tens am Risi­ko einer per­sön­li­chen Haf­tung 😉 Wer es pro­fes­sio­nell haben möch­te: Spre­chen Sie uns wegen einer Soft­ware-Umset­zung der Arbeits­hil­fe ger­ne an. Die damals vom Auf­trag­ge­ber vor­ge­ge­be­nen Word-Doku­men­te sind im lau­fen­den Betrieb des ISMS alles ande­re als handlich.

Hin­zu kommt: Wer bereits mit einem ISMS auf Basis von ISIS12, der Arbeits­hil­fe oder VDS aus­ge­stat­tet ist und die­se erfolg­reich in Betrieb hat, wird mit WiBA — Weg in die Basis-Absi­che­rung nicht glück­lich. Hier wäre zu emp­feh­len, gleich den fol­ge­rich­ti­gen Schritt in die BSI IT-Grund­schutz Basis-Absi­che­rung oder für Kom­mu­nen das sog. Kom­mu­nal­pro­fil im Rah­men der Basis-Absi­che­rung zu gehen.

Und nicht ver­ge­se­sen — wie schreibt es das BSI (nicht nur im Kon­text von WiBA — Weg in die Basis-Absi­che­rung) so tref­fend: Infor­ma­ti­ons­si­cher­heit ist Che­fin­nen- und Chef­sa­che! Und jeder Schritt hin zu mehr Infor­ma­ti­ons­si­cher­heit zählt. Von daher, well done, BSI!

Übri­gens freut sich auch der Daten­schutz­be­auf­trag­te, wenn das The­ma Infor­ma­ti­ons­si­cher­heit kon­se­quent und sys­te­ma­tisch in der Orga­ni­sa­ti­on umge­setzt wird. Das nimmt eini­ges an Druck aus dem Kes­sel im Hin­blick auf Art. 32 DSGVO Sicher­heit der Verarbeitung.

För­der­mit­tel­au­dit Kom­mu­nal­pro­fil und Basis-Absi­che­rung BSI IT-Grund­schutz für baye­ri­sche Kommunen

Sie sind eine baye­ri­sche Kom­mu­ne? Haben För­der­mit­tel im Rah­men der Richt­li­nie zur För­de­rung von Infor­ma­ti­ons­si­cher­heit des Frei­staats Bay­ern bean­tragt? Sie ste­hen jetzt kurz vor dem Abschluss der Ein­füh­rung eines ISMS auf Basis des sog. Kom­mu­nal­pro­fils oder der Basis-Absi­che­rung des BSI IT-Grund­schutz? Und Sie brau­chen bald als Nach­weis zur Bean­tra­gung der Aus­schüt­tung der För­der­mit­tel den not­wen­di­gen Prüf­nach­weis für die För­der­mit­tel­stel­le? Dann spre­chen Sie uns früh­zei­tig an.

Wir freu­en uns, dass wir baye­ri­schen Kom­mu­nen den not­wen­di­gen Audi­tor bie­ten und das För­der­mit­tel­au­dit auf Basis eines belast­ba­ren und nach­voll­zieh­ba­ren Prüf­sche­mas durch­füh­ren kön­nen. Unter­stützt wird das Audit und die Audit-Doku­men­ta­ti­on durch unser haus­in­ter­nes Audit-Tool, das am Ende einen belast­ba­ren und nach­voll­zieh­ba­ren Audit-Bericht erstellt.

Dabei gibt es jedoch eine klas­si­sche Audit-Regel zu beach­ten: Wer berät, audi­tiert nicht. Wenn Sie also durch uns bei der Ein­füh­rung Ihres ISMS auf Basis des BSI IT-Grund­schutz beglei­tet wur­den, kön­nen wir Sie nicht audi­tie­ren. Das ver­steht sich eigent­lich von selbst. Ger­ne stel­len wir Ihnen aber in die­sem Fall den Kon­takt zu qua­li­fi­zier­ten Audi­to­ren her. Aus­wäh­len müs­sen Sie dann jedoch selbst 🙂

Mehr Infos hier.

Save the date: BVS ISB Boot Camp Gun­zen­hau­sen 28.–29.03.2023

Nicht nur für akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te inter­es­sant. Und nach­dem es die Pan­de­mie-Umstän­de zulas­sen, die­ses Jahr wie­der als 2‑tägige Vor-Ort-Veranstaltung:

ISB Boot Camp 2023 in Gun­zen­hau­sen am 28.03. und 29.03.2023

Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te, IT-Sicher­heits­be­auf­trag­te, aber auch Daten­schutz­be­auf­trag­te und IT-Lei­ter tref­fen sich zum Erfah­rungs­aus­tausch und Netz­wer­ken rund um aktu­el­le The­men der Infor­ma­ti­ons­si­cher­heit, der IT-Sicher­heit und des Daten­schut­zes. Dabei geht es nicht nur um aktu­el­le Bedro­hungs­la­gen, son­dern auch Lösun­gen aus der Pra­xis, um die­sen best­mög­lich zu begeg­nen. Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, sowie prag­ma­ti­sche Lösungs­an­sät­ze, die sich im All­tag bewährt haben, ste­hen im Vor­der­grund der Ple­nums­bei­trä­ge und zahl­rei­chen Work­shops. Als Refe­ren­ten konn­ten zahl­rei­che akti­ve Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te aus Kom­mu­nal­ver­wal­tun­gen und Unter­neh­men gewon­nen wer­den, die ger­ne ihre Erfah­run­gen tei­len und sich freu­en, mit den Teil­neh­mern in inter­es­san­te Dis­kus­sio­nen einzutreten.

Auch das Lan­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern, kurz LSI ist wie­der mit von der Par­tie im dies­jäh­ri­gen ISB Boot Camp und stellt inter­es­san­te The­men vor. Dane­ben besteht natür­lich auch die Mög­lich­keit des direk­ten Aus­tauschs mit Mit­ar­bei­tern des LSI wäh­rend der gan­zen Veranstaltung.

Durch aus­rei­chen­de Pau­sen und auch im Zuge des Abend­pro­gramms am 28.02. steht allen Teil­neh­mern aus­rei­chend Zeit und Mög­lich­keit zum Erfah­rungs­austauch und Netz­wer­ken zur Verfügung.

Natür­lich dreht sich viel um tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im All­tag der Infor­ma­ti­ons­si­cher­heit und des Daten­schut­zes. Aber auch stra­te­gi­sche The­men mit Blick nach vor­ne kom­men nicht zu kurz (Aus­zug):

  • ISMS — Wo geht die (bay­ri­sche) Rei­se hin?
  • Aus der Pra­xis eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten von 60 Kleinorganisationen
  • Tech­ni­sches Know-How für Infor­ma­ti­ons­si­cher­heits- und Datenschutzbeauftragte
  • Das ISMS /​ die TOM über­prü­fen — Per­mis­si­on rights reviews, Pene­tra­ti­ontests, inter­ne Audits, Flo­or­walks, wei­te­re Kennzahlen
  • ChatGPT und mög­li­che Aus­wir­kun­gen auf die Informationssicherheit
  • Win­dows Sup­port Anru­fe — wie ein Social Engi­neer in die Fal­le gelockt wurde
  • Schwach­stel­len­ma­nage­ment mit Tools in der Praxis
  • Low bud­get Phishingkampagne
  • Aktu­el­le Bedrohungslage
  • und immer wie­der ver­blüf­fend: Live Hacking

Die Agen­da des ISB Boot Camp füllt sich der­zeit noch mit wei­te­ren The­men und Beiträgen.

Durch­ge­führt wird das ISB Boot Camp — wie gehabt — von der Baye­ri­schen Ver­wal­tungs­schu­le. Wei­te­re Orga­ni­sa­to­ren sind die Stadt Gun­zen­hau­sen, das LSI und wir von der a.s.k. Daten­schutz. Es rich­tet sich jedoch nicht aus­schließ­lich an Mit­ar­bei­ter der Kommunalverwaltung.

Inter­es­se? Dann geht es hier zur Anmel­dung.

 

 

Arti­kel 32 DSGVO — Sicher­heit der Verarbeitung

Es dürf­te sich rum­ge­spro­chen haben: Per­so­nen­be­zo­ge­ne Daten sind zu schüt­zen. Das es dabei nur sekun­där um die per­so­nen­be­zo­ge­nen Daten an sich geht, son­dern pri­mär die Per­son vor Scha­den bewahrt wer­den soll, auf die sich die­se Daten bezie­hen (der sog. “Betrof­fe­ne”), wird den meis­ten Anwen­dern der DSGVO eben­falls klar sein. Doch was will der Gesetz­ge­ber hier eigent­lich von den sog. “Ver­ant­wort­li­chen”, also all den Unter­neh­men, Ver­ei­nen, Bun­des- und Lan­des­be­hör­den sowie Kom­mu­nal­ver­wal­tun­gen? Wer­fen wir mal einen Blick auf Arti­kel 32 DSGVO.

So steht es in Arti­kel 32 DSGVO

  1. Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein: a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten; b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len; c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len; d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.

  2. Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus sind ins­be­son­de­re die Risi­ken zu berück­sich­ti­gen, die mit der Ver­ar­bei­tung ver­bun­den sind, ins­be­son­de­re durch – ob unbe­ab­sich­tigt oder unrecht­mä­ßig – Ver­nich­tung, Ver­lust, Ver­än­de­rung oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wurden.

  3. Die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gemäß Arti­kel 40 oder eines geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­rens gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in Absatz 1 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.

  4. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter unter­neh­men Schrit­te, um sicher­zu­stel­len, dass ihnen unter­stell­te natür­li­che Per­so­nen, die Zugang zu per­so­nen­be­zo­ge­nen Daten haben, die­se nur auf Anwei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, sie sind nach dem Recht der Uni­on oder der Mit­glied­staa­ten zur Ver­ar­bei­tung verpflichtet.

Was will Arti­kel 32 DSGVO in der Praxis?

Dreh- und Angel­punkt sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, auch kurz TOM genannt. Mit­tels einer geeig­ne­ten Aus­wahl und Anwen­dung die­ser Schutz­maß­nah­men (qua­si eine Art Werk­zeug­kas­ten) sol­len per­so­nen­be­zo­ge­ne Daten vor den all­täg­li­chen Risi­ken bei deren Ver­ar­bei­tung (also Erhe­bung, Spei­che­rung, Nut­zung, aber auch beab­sich­tig­ter Löschung und Ver­nich­tung) geschützt wer­den. Dabei soll nicht alles an Schutz­maß­nah­men ergrif­fen wer­den, was irgend­wie geht, son­dern der Gesetz­ge­ber spricht von einer Ange­mes­sen­heit. Die Schutz­maß­nah­men müs­sen also zum Schutz­wert der betrof­fe­nen per­so­nen­be­zo­ge­nen Daten pas­sen. Dabei sol­len dann auch Fak­to­ren wie die Ein­tritts­wahr­schein­lich­keit und das zu erwar­ten­de Scha­dens­aus­maß für den Betrof­fe­nen — ganz wich­tig: nicht für die eige­ne Orga­ni­sa­ti­on — berück­sich­tigt werden.

Inter­es­san­ter­wei­se erfin­det “der Daten­schutz” hier das Rad mal nicht neu.  Wir fin­den Punk­te wie

  • Ver­trau­lich­keit,
  • Inte­gri­tät und
  • Ver­füg­bar­keit,
  • die Sicher­stel­lung der Wie­der­her­stell­bar­keit von Daten z.B. im Rah­men von Busi­ness Con­ti­nui­ty Manage­ment und Not­fall­ma­nage­ment, aber auch
  • Revi­si­ons­zy­klen (PDCA) zur Über­prü­fung der Wirk­sam­keit vor­han­de­ner Schutz­maß­nah­men sowie zur
  • Iden­ti­fi­ka­ti­on von mög­li­cher­wei­se zusätz­li­chen oder anzu­pas­sen­den Schutz­maß­nah­men auf­grund neu­er Risi­ken oder Ver­än­de­run­gen an bestehen­den Risiken.

Und ganz egal, ob man das hören mag oder nicht: Am Ende beschrei­ben die­se Punk­te und Begriff­lich­kei­ten ein klas­si­sches Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem, kurz ISMS. Wer sich mit dem The­ma Infor­ma­ti­ons­si­cher­heit schon näher befasst hat, wird fest­stel­len: Per­so­nen­be­zo­ge­ne Daten sind eine Unter­men­ge der schüt­zens­wer­ten Infor­ma­tio­nen einer Orga­ni­sa­ti­on. Na, schau mal einer an.

Schreibt Arti­kel 32 DSGVO nun ein ISMS vor?

Die Begrif­fe Infor­ma­ti­ons­si­cher­heit oder ISMS fal­len zwar nicht wört­lich, aber gera­de die in Arti­kel 32 Absatz 1 DSGVO genann­ten Punk­te, beschrei­ben dem Sinn nach nichts ande­res als ein Infor­ma­ti­ons­si­cher­heits­kon­zept bzw. ISMS. Das bedeu­tet nun nicht, dass man ein sol­ches ISMS zur Ein­hal­tung von Art. 32 DSGVO ein­füh­ren muss, um rechts­kon­form unter­wegs zu sein. Aber es wird halt müh­se­lig. Gut, es gibt immer Men­schen und Orga­ni­sa­tio­nen, die mögen es umständlich 🙂

Was liegt also näher, als sich die­sen Anfor­de­run­gen sys­te­ma­tisch zu nähern, statt ein­fach wild ein paar mög­li­cher­wei­se geeig­ne­te Schutz­maß­nah­men zusam­men­zu­schus­tern? Und sobald man ein Infor­ma­ti­ons­si­cher­heits­kon­zept ein­ge­führt hat, geht es ja nicht nur den per­so­nen­be­zo­ge­nen Daten gut. Auch alle ande­ren “Kron­ju­we­len” einer Orga­ni­sa­ti­on füh­len sich behü­tet und beschützt. Also gleich meh­re­re Flie­gen mit einer Klap­pe erschla­gen. Grü­ße vom tap­fe­ren Schneiderlein.

Dabei soll­te man jedoch im Hin­ter­kopf behal­ten, dass Infor­ma­ti­ons­si­cher­heit sich im Rah­men der sog. Risi­ko­ana­ly­se vor­ran­gig mit den Aus­wir­kun­gen auf die Orga­ni­sa­ti­on befasst. Die Fra­ge­stel­lung lau­tet zu Beginn: Was für Aus­wir­kun­gen haben die Ver­let­zung der Ver­trau­lich­keit, Inte­gri­tät oder Ver­füg­bar­keit von schüt­zens­wer­ten Infor­ma­tio­nen (und damit sind per­so­nen­be­zo­ge­ne Daten ein­ge­schlo­sen) für mei­ne Orga­ni­sa­ti­on im Hin­blick auf

  • mög­li­che Ver­trags­ver­let­zun­gen und Rechtsverstöße,
  • finan­zi­el­le Schä­den wie Ver­trags­stra­fen, Buß­gel­der oder auch Schadenersatz,
  • nega­ti­ve Aus­wir­kun­gen auf Repu­ta­ti­on /​ Image,
  • mög­li­che Beein­träch­ti­gung der Aufgabenerfüllung,
  • mög­li­che Beein­träch­ti­gun­gen der infor­ma­tio­nel­len Selbst­be­stim­mung (Daten­schutz) und
  • bei einem Side­kick in Rich­tung Not­fall­ma­nage­ment auch Gefahr für Leib und Leben.

Die Risi­ken im Bereich Daten­schutz wer­den zwar schon grob erfasst, aber im Hin­blick auf die Aus­wir­kun­gen für die Orga­ni­sa­ti­on. Der Trick besteht dar­in, mög­li­che Risi­ken für den Betrof­fe­nen wie Iden­ti­täts­dieb­stahl oder Ver­lust sei­ner Betrof­fe­nen­rech­te und noch wei­te­rer Punk­te zu inklu­die­ren. Kein Hexen­werk. Und vor allem muss man das Rad nicht neu erfinden.

Wel­che Sys­te­ma­tik für ein Infor­ma­ti­ons­si­cher­heits­kon­zept darf es denn sein?

Das Schö­ne ist, es gibt auf dem Markt seit Jahr­zehn­ten bewähr­te und kon­ti­nu­ier­lich wei­ter­ent­wi­ckel­te Stan­dards für Infor­ma­ti­ons­si­cher­heit. Und selbst wenn die­se die Aus­wir­kun­gen im Daten­schutz für den Betrof­fe­nen nicht bereits inklu­diert haben, sind die­se in der Risi­ko­be­trach­tung mit weni­gen Hand­grif­fen inte­griert und berück­sich­tigt. “That’s no rocket science!”

Sicher ken­nen vie­le Leser eine ISO 27001 als welt­wei­te Norm für Infor­ma­ti­ons­si­cher­heit oder auch den IT-Grund­schutz des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI). Es hält sich das Gerücht hart­nä­ckig, die­se sei­en für klei­ne und kleins­te Orga­ni­sa­tio­nen viel zu groß und auf­wän­dig. Die Pra­xis zeigt, dem ist nicht so. Aber selbst, wenn man die­ser Argu­men­ta­ti­on folgt, so gibt es Alter­na­ti­ven wie (Rei­hen­fol­ge nicht wertend)

  • ISIS12 /​ CISIS12 — ein Infor­ma­ti­ons­si­cher­heits­kon­zept in 12 Schritten
  • SiKo­SH — in 7 Schrit­ten zu einem ISMS
  • VDS 10000 — ehe­mals 3473, ursprüng­lich ein Fra­ge­bo­gen für Risi­ken im Bereich Cybersicherheit
  • TISAX — im Kon­text von Auto­mo­bil­zu­lie­fe­rern weit ver­brei­tet oder
  • das unter dem Titel “Arbeits­hil­fe” bekann­te Kon­zept zu Ein­füh­rung und Betrieb eines ISMS der Inno­va­ti­ons­stif­tung Bay­ri­sche Kommune.

Dar­über­hin­aus gibt es auch noch wei­te­re Sys­te­ma­ti­ken und Vor­ge­hens­wei­sen, aber wir beschrän­ken uns mal auf die oben genann­ten Ver­tre­ter. Unse­re Emp­feh­lung lau­tet stets: Nut­zen Sie eine der vor­han­de­nen Vor­ge­hens­wei­sen und erfin­den Sie das Rad bit­te nicht neu. War­um? Die­se Vor­ge­hens­wei­sen /​ Ver­tre­ter für ein ISMS

  • haben sich über lan­ge Zeit in der Pra­xis bewährt,
  • sind für jede Art von Orga­ni­sa­ti­on anwend­bar, da — welch’ Über­ra­schung — Infor­ma­ti­ons­si­cher­heit uni­ver­sell ist,
  • decken alle­samt stets die Min­dest­an­for­de­run­gen an Infor­ma­ti­ons­si­cher­heit ab,
  • sind ska­lier­bar im Hin­blick auf Orga­ni­sa­ti­ons­grö­ßen aber auch auf das zu errei­chen­de Sicherheitsniveau,
  • spa­ren Ihnen Zeit und Nerven,
  • hel­fen, gern gemach­te Feh­ler bei Ein­füh­rung und Betrieb eines ISMS von vorn­her­ein zu ver­mei­den (RTFM).

Die “Arbeits­hil­fe” — der idea­le Ein­stieg in Arti­kel 32 DSGVO für klei­ne und gro­ße Einrichtungen

Wes­sen Orga­ni­sa­ti­on noch so gar kei­ne Erfah­rung hat mit dem The­ma Infor­ma­ti­ons­si­cher­heit oder die ISO 27001 und dem IT-Grund­schutz für zu wuch­tig hält, steigt idea­ler­wei­se über die “Arbeits­hil­fe” in das The­ma ein. Damit kön­nen grö­ße­re Orga­ni­sa­tio­nen ers­te Erfah­run­gen sam­meln, bevor es danach mit “grö­ße­ren” Stan­dards ans Ein­ge­mach­te geht. Und bei klei­ne­ren Ein­rich­tun­gen kommt man bei kon­se­quen­ter Anwen­dung des Stan­dards “Arbeits­hil­fe” bereits zu einem funk­tio­nie­ren­den ISMS mit dazu­ge­hö­ri­gen PDCA-Zyklus.

Die­ser Stan­dard wur­de 2016 im Auf­trag der Bay­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de von uns für die Inno­va­ti­ons­stif­tung Bay­ri­sche Kom­mu­ne ent­wi­ckelt. Mitt­ler­wei­le ist Ver­si­on 4.0 aktu­ell. Ein Update auf Ver­si­on 5.0 wird vor­aus­sicht­lich in 2023 erschei­nen. Ist der Stan­dard dann über­haupt für Unter­neh­men und Ver­ei­ne geeig­net, wenn er doch aus dem kom­mu­na­len Bereich stammt? Ja klar. Wie zuvor schon geschrie­ben, ist Infor­ma­ti­ons­si­cher­heit eine uni­ver­sel­le Ange­le­gen­heit, die vom anzu­stre­ben­den Schutz­wert für schüt­zens­wer­te Infor­ma­tio­nen aus­geht. Dabei ist es uner­heb­lich, ob eine Fir­ma oder eine Ver­wal­tung Infor­ma­ti­ons­si­cher­heit betreibt. Der ein­zi­ge Knack­punkt bei Nut­zung der Arbeits­hil­fe: Gele­gent­lich muss man Begriff­lich­kei­ten wie Bür­ger­meis­ter, Land­rat oder Ver­wal­tung gegen die Pen­dants aus der frei­en Wirt­schaft tau­schen. Aber das bekom­men Sie hin 🙂

In 9 Kapi­teln führt die “Arbeits­hil­fe” eine Orga­ni­sa­ti­on in die not­wen­di­gen Anfor­de­run­gen für ein ISMS ein und legt die Grund­la­gen für den spä­te­ren Betrieb im Hin­blick auf “ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung.” Gleich­zei­tig unter­stützt die Sys­te­ma­tik bei der Ent­de­ckung mög­li­cher Schwach­stel­len und zeigt Lösungs­we­ge auf, die­se zeit­nah zu beseitigen.

Die Sys­te­ma­tik, Anlei­tung und Doku­men­te zur Bear­bei­tung der “Arbeits­hil­fe” ste­hen kos­ten­frei zum Down­load zur Ver­fü­gung. Im ers­ten Durch­lauf wer­den auch kei­ne Inves­ti­tio­nen in eine ISMS-Soft­ware not­wen­dig. Im lau­fen­den Betrieb emp­fiehlt sich die­se dann spä­ter jedoch, um die Doku­men­ta­ti­on und regel­mä­ßi­ge Nach­prü­fung, aber auch das Berichts­we­sen zu erleich­tern. Bei Inter­es­se an einer sol­chen Lösung spre­chen Sie uns bit­te an.

Klei­nes Schman­kerl: Je nach Bun­des­land kön­nen För­der­mit­tel aus diver­sen Töp­fen zur Erhö­hung der Infor­ma­ti­ons­si­cher­heit oder IT-Sicher­heit oder Digi­ta­li­sie­rung ange­zapft wer­den. Wenn Sie sich also zur Unter­stüt­zung und Beglei­tung der Ein­füh­rung oder auch für Mit­ar­bei­ter­schu­lun­gen exter­ne Hil­fe her­an­ho­len, kön­nen die Aus­ga­ben hier­für geför­dert werden.

Wei­te­re Infos zur Arbeits­hil­fe fin­den Sie hier auf unse­rem Blog.

Wenn man ein sol­ches ISMS dann auch noch mit einem funk­tio­nie­ren­den Daten­schutz­ma­nage­ment­sys­tem (DSMS) ver­knüpft, dann hat man eini­ge Sor­gen weni­ger bzw. sich unnö­ti­ge Umstän­de und Mühen auf­grund unsys­te­ma­ti­scher Vor­ge­hens­wei­sen erfasst. Gleich­zei­tig hat man, den akti­ven Betrieb bei­der Sys­te­me vor­aus­ge­setzt, auch nicht ban­ge zu sein, soll­te die Lan­des­da­ten­schutz­be­hör­de mal klin­geln. Und das ist viel wert. Das wis­sen zumin­dest die Orga­ni­sa­tio­nen, bei denen das schon der Fall war 😉

 

Regel­mä­ßi­ges Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”

Was liebt der Datenschutz?

Sen­si­bi­li­sier­te Mitarbeiter.

Wie­so liebt der Daten­schutz sen­si­bi­li­sier­te Mitarbeiter?

Unter ande­rem, weil sich damit die Risi­ken für eine Daten­schutz­ver­let­zung mini­mie­ren las­sen. Aber es hat noch vie­le wei­te­re posi­ti­ve Aspek­te (früh­zei­ti­ge Ein­bin­dung des DSB, funk­tio­nie­ren­des Daten­schutz­ma­nage­ment, ver­bes­ser­te und ver­ein­fach­te Erfül­lung der DSGVO Anfor­de­run­gen, Sen­ken von Buß­geld­ri­si­ken, und und und .…)

Wie bekom­men wir das hin? Wir kön­nen ja nicht jeden neu­en Mit­ar­bei­ter ein­zeln schulen.

Stimmt. Aber wie wäre es mit unse­rem Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

An wen wen­det sich denn die­ses Web­i­nar “Ein­füh­rung in die Grund­la­gen des Daten­schut­zes DSGVO”?

Bes­tens geeig­net für neue Mit­ar­bei­ter in der Orga­ni­sa­ti­on, die eine grund­le­gen­de Ein­füh­rung in das The­ma zu Beginn erhal­ten sollen.

Nur für neue Mitarbeiter?

Né, ger­ne auch für Mit­ar­bei­ter, die schon lan­ge nicht mehr mit dem The­ma ver­traut gemacht wur­den. Etwas Auf­fri­schung scha­det nicht.

Wie lan­ge dau­ert denn die Veranstaltung?

90 Minu­ten

Muss mein Mit­ar­bei­ter dafür etwas auf sei­nem End­ge­rät installieren?

Nö. Sie brau­chen nur einen mit dem Inter­net ver­bun­de­nen Web­brow­ser und Laut­spre­cher (bes­ser Headset).

Bekom­men Teil­neh­mer eine Bestätigung?

Wir machen im Lau­fe des Web­i­nar ein paar Anwe­sen­heits­checks in Form von Fra­gen /​ Begrif­fen. Die­se Begrif­fe trägt der Teil­neh­mer am Ende in ein For­mu­lar ein und gene­riert sich damit sei­ne Teil­nah­me­be­stä­ti­gung. Die­se wird als PDF-Anhang per Email direkt an den Teil­neh­mer ver­sen­det. Jedes Web­i­nar hat übri­gens ande­re Begriffe 😉

Daten­schutz als The­ma, ist das nicht furztrocken?

Man sagt unse­ren Web­i­na­ren nach, dass die­se hum­vor­voll, inter­es­sant und eben nicht tro­cken sind 🙂

Kön­nen im Web­i­nar Fra­gen gestellt werden?

Aber sicher doch. Wir freu­en uns über jede Fra­ge, die im Chat gestellt wird. Ganz muti­ge Teil­neh­mer schal­ten wir nach Auf­for­de­rung auch ger­ne mit Web­cam und Mikro­fon dazu, wenn gewünscht.

Wie ist das denn mit dem Daten­schutz bei unter­schied­li­chen Teilnehmern?

Chat und Teil­neh­mer­lis­te ste­hen auf anonym. Kei­ner der Teil­neh­mer sieht Namen oder Fra­gen der ande­ren. Fra­gen wer­den von den Mode­ra­to­ren ohne Namen des Fra­ge­stel­lers in einen für alle les­ba­ren Chat kopiert.

Wie oft fin­det das Web­i­nar statt?

Übli­cher­wei­se monat­lich. Die nächs­ten Ter­mi­ne fin­den Sie hier.

Kön­nen wir auch eine eige­ne Ver­an­stal­tung für unse­re Orga­ni­sa­ti­on buchen?

Das lässt sich einrichten 🙂

Was kos­tet die Teilnahme?

Wir hal­ten es ganz ein­fach. Meist nur ein ein­stel­li­ger Euro-Betrag plus MwSt. pro Teil­neh­mer (Aus­nah­me: Orga­ni­sa­ti­ons­in­di­vi­du­el­le Webinare)

Gibt es Beschrän­kun­gen im Hin­blick auf den Teilnehmerkreis?

Nö, das Web­i­nar ist für alle Per­so­nen geeig­net, die im Arbeits­all­tag mit per­so­nen­be­zo­ge­nen Daten han­tie­ren. Es gibt nur eine Ein­schrän­kung: Unser Web­i­nar-Ange­bot rich­tet sich nicht an pri­va­te Endverbraucher.

Müs­sen wir die a.s.k. Daten­schutz als Daten­schutz­be­auf­trag­te benannt haben, damit unse­re Mit­ar­bei­ter teil­neh­men können?

Um Him­mels wil­len, nein. Unser Web­i­nar-Ange­bot rich­tet sich expli­zit nicht nur an unse­re Bestands­kun­den. Aber viel­leicht wer­den Sie ja spä­ter einer 😉

Sind wei­te­re The­men geplant?

Nicht nur geplant. Wir haben wei­te­re The­men am Start wie “Email-Sicher­heit” und “Ein­füh­rung in die Grund­la­gen der Infor­ma­ti­ons­si­cher­heit”. Wei­te­re The­men sind in Vorbereitung.

Wir hät­ten Inter­es­se. Wie geht es jetzt weiter?

Dann schrei­ben Sie uns an.

 

 

 

Mög­li­cher Daten­schutz­ver­stoß bei Nut­zung von VirusTotal

Das BSI warnt aktu­ell vor einem mög­li­chen Daten­schutz­ver­stoß bei Nut­zung von Virus­T­o­tal. Neben dem Daten­schutz­ri­si­ko sind aber auch ande­re schüt­zens­wer­te Infor­ma­tio­nen der eige­nen Orga­ni­sa­ti­on oder von Exter­nen in Gefahr, Drit­ten gegen­über offen­ge­legt zu werden.

Was ist VirusTotal?

Virus­T­o­tal ist ein Ser­vice von Goog­le und unter https://​www​.virus​t​o​tal​.com erreich­bar. Über den Dienst kann man bei­spiels­wei­se ver­däch­ti­ge Web­adres­sen (URL) über­prü­fen, bevor man die­se selbst im Brow­ser auf dem eige­nen Sys­tem auf­ruft. Eine Emp­feh­lung, die wir bei­spiels­wei­se im Rah­men unse­rer Schu­lun­gen und Web­i­na­re häu­fi­ger aussprechen.

Neben die­sem URL-Check bie­tet Virus­T­o­tal jedoch auch an, Datei­en zur Online-Über­prü­fung durch eine Viel­zahl bekann­ter Viren­scan­ner hoch­zu­la­den. Und da liegt auch der Hase im Pfef­fer. Neben der Nut­zung direkt im Brow­ser bie­tet Virus­T­o­tal auch Busi­ness-Ser­vices an, bei denen kein manu­el­ler Upload erfol­gen muss, son­dern die Prü­fung auto­ma­ti­siert im Hin­ter­grund durch­ge­führt wird.

“Die­ser Dienst wird von Pri­vat­per­so­nen und Unter­neh­men oft­mals zur Prü­fung von ver­däch­ti­gen Datei­en genutzt, um auf­grund der Viel­zahl von Anti­vi­ren­pro­gram­men ver­läss­li­che­re Ergeb­nis­se als mit nur einem Scan­ner zu erhal­ten.”, so das Bun­des­amt für Sicher­heit in der Informationstechnik.

Wo ist das Pro­blem bzw. der Daten­schutz­ver­stoß bei Nut­zung von VirusTotal?

Wer­den Datei­en mit per­so­nen­be­zo­ge­nen Daten hoch­ge­la­den bzw. geprüft, liegt für gewöhn­lich eine Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO vor. Die­se muss inkl. der TOM-Prü­fung kor­rekt VOR Nut­zung des Diens­tes gere­gelt und ver­ein­bart sein. Hin­zu kommt, dass lt. BSI Daten­wei­ter­ga­ben an zahl­rei­che AV-/Scan-Anbie­ter auch mit Sitz außer­halb der EU erfol­gen. Vor dem Hin­ter­grund der aktu­el­len Dis­kus­si­on um Dritt­staa­ten­über­mitt­lun­gen nicht ganz unproblematisch.

Und ganz neben­bei: Selbst dann, wenn Datei­en ohne per­so­nen­be­zo­ge­ne Daten hoch­ge­la­den wer­den, besteht ein nicht uner­heb­li­ches Risi­ko. Näm­lich dann, wenn es sich um ver­trau­li­che bzw. schüt­zens­wer­te Infor­ma­tio­nen der Orga­ni­sa­ti­on (oder eines Kun­den /​ Bür­gers /​ Auf­trag­ge­bers) han­delt. Die­se Datei wird mun­ter mit allen ange­schlos­se­nen Anbie­tern geteilt. Will man das für Geschäfts- bzw. Orga­ni­sa­ti­ons­ge­heim­nis­se? Eher nicht.

Was kann helfen?

  1. Mit­ar­bei­ter auf die­ses grund­le­gen­de Sicher­heits­pro­blem bei der Nut­zung des Diens­tes auf­merk­sam machen bzw. dafür aus­rei­chend sen­si­bi­li­sie­ren (Nein, Papier allei­ne reicht nicht!)
  2. Rege­lun­gen tref­fen, ob und wenn ja wel­che Datei­en mög­li­cher­wei­se doch einem Check durch den Ser­vice unter­zo­gen wer­den dür­fen (z.B. bei Ver­trau­lich­keits­sta­tus “Öffent­lich”)
  3. Oder wie das BSI rät, aus­schließ­lich mit Hash-Wer­ten der Datei­en zu arbei­ten (tri­cky, aber machbar)

Wei­te­re Unter­stüt­zung bie­ten die Fra­ge­stel­lun­gen an Sicher­heits­be­auf­trag­te auf Sei­te 3 der Stel­lung­nah­me des BSI zum The­ma, zu fin­den hier.

 

Whist­le­b­lower-Richt­li­nie /​ Hin­weis­ge­ber­schutz­ge­setz prag­ma­tisch umge­setzt mit Whist­le Safe

Seit Novem­ber 2019 steht die euro­päi­sche Hin­weis­ge­ber­schutz-Richt­li­nie im EU-Amts­blatt (Whist­le­b­lower-Richt­li­nie). Ihre Vor­ga­ben sind nun in Kraft getre­ten und grei­fen seit dem 18.12.2021. Die Mit­glied­staa­ten hat­ten zuvor zwei Jah­re Zeit, das EU-Gesetz in natio­na­les Recht umzu­set­zen. Die Umset­zung im deut­schen Hin­weis­ge­ber­schutz­ge­setz wird für Quar­tal 1 2022 erwar­tet. Die Anfor­de­run­gen kön­nen jedoch bereits gegen Orga­ni­sa­tio­nen gel­tend gemacht werden.

Juris­ti­sche Per­so­nen wie Fir­men, Behör­den und ande­re Rechts­trä­ger (mit mehr als 50 Mit­ar­bei­tern) sowie alle Unter­neh­men aus dem Bereich der Finanz­dienst­leis­tun­gen müs­sen gemäß den Vor­ga­ben der Whist­le­b­lower-Richt­li­nie prin­zi­pi­ell ein (inter­nes) Hin­weis­ge­ber­sys­tem bereit­stel­len und einen spe­zi­el­len Beauf­trag­ten als Ansprech­part­ner vor­se­hen. Gering­fü­gi­ge Aus­nah­men kön­nen ledig­lich für Gemein­den mit weni­ger als 10.000 Ein­woh­nern gemacht werden.

Anders als von der deut­schen Recht­spre­chung bis­lang vor­ge­ge­ben, muss nach der Whist­le­b­lower-Richt­li­nie ein Hin­weis­ge­ber einen Miss­stand nicht mehr zunächst intern in der eige­nen Fir­ma oder Behör­de mel­den. Er kann sich auch unmit­tel­bar an über­ge­ord­ne­te Whist­le­b­lower-Stel­len wen­den oder bei irrever­si­blen Schä­den, dro­hen­den kon­kre­ten Repres­sa­li­en und beim Aus­blei­ben einer zügi­gen Rück­mel­dung an die Medi­en. Damit ent­zieht sich eine sol­che Mel­dung der Kon­trol­le Ihrer Orga­ni­sa­ti­on und birgt ent­spre­chen­de Risi­ken (Image­scha­den, Buß­gel­der, Geld­stra­fen etc.)

Unser Part­ner Whist­le Safe e.K. stellt Ihnen eine Lösung vor, wie Sie in Ihrer Fir­ma oder Kom­mu­ne die recht­li­chen Anfor­de­run­gen der Whist­le­b­lower-Richt­li­nie mit­tels der gesetz­lich expli­zit vor­ge­se­he­nen exter­nen Unter­stüt­zung ele­gant und auch kos­ten­schlank lösen können.

Die Web­i­na­re (ca. 30 Minu­ten) fin­den statt:

10. Febru­ar 2022, 09:00 — 09:30 Uhr
18. Febru­ar 2022, 11:00 — 11:30 Uhr
24. Febru­ar 2022, 10:00 — 10:30 Uhr
15. März 2022, 11:00 — 11:30 Uhr

Bit­te nut­zen Sie den fol­gen­den Link zur Regis­trie­rung für einen Ter­min Ihrer Wahl:
https://​next​.edu​dip​.com/​d​e​/​w​e​b​i​n​a​r​/​w​h​i​s​t​l​e​b​l​o​w​i​n​g​-​r​i​c​h​t​l​i​n​i​e​-​h​i​n​w​e​i​s​g​e​b​e​r​s​c​h​u​t​z​g​e​s​e​t​z​-​p​r​a​g​m​a​t​i​s​c​h​-​u​m​g​e​s​e​t​z​t​-​m​i​t​-​w​h​i​s​t​l​e​-​s​a​f​e​/​1​7​6​8​122

Hin­weis: Die­se kos­ten­freie Ver­an­stal­tung zur Whist­le­b­lower-Richt­li­nie wird von Whist­le Safe e.K. Ber­lin durch­ge­führt, nicht von der a.s.k. Daten­schutz. Fra­gen rich­ten Sie daher bit­te direkt an info@​whistle-​safe.​com bzw. https://​whist​le​-safe​.com

Herz­li­che Grü­ße sowie ein fro­hes und vor allem gesun­des Neu­es Jahr 2022
Das Team von a.s.k. Datenschutz

E‑Privacy und der geleb­te Datenschutz

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für mes­sa­ging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­indus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futura­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

Pati­en­ten­da­ten — neu­es Gesetz PDSG im Fokus des Bundesdatenschutzbeauftragten

In sei­ner Pres­se­mit­tei­lung vom 19.08.2020 zum erfor­der­li­chen Schutz­ni­veau von Pati­en­ten­da­ten im Rah­men der aktu­el­len Gesetz­ge­bung infor­miert der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) Prof. Ulrich Kel­ber über die euro­pa­rechts­wid­ri­ge Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Gesund­heits­da­ten als Fol­ge des zu erwar­ten­den Pati­en­ten­da­ten-Schutz-Geset­zes PDSG. Die­ses ist vom Bun­des­tag bereits beschlos­sen und befin­det sich momen­tan in Prü­fung beim Bundesrat. 

Pati­en­ten­da­ten als hoch­sen­si­bles Schutz­gut 

Bereits wäh­rend des Gesetz­ge­bungs­ver­fah­rens habe der BfDI wie­der­holt State­ments zur ‘vol­len Hoheit [der Pati­en­ten] über ihre Daten´ ein­ge­bracht. Die­ser Aspekt kom­me bei dem neu­en Gesetz zu kurz. Gesund­heits­da­ten beinhal­ten ‘intims­te Infor­ma­tio­nen´ der betrof­fe­nen Per­so­nen und sind von beson­ders hohem Schutzbedarf.

Maß­nah­men zum Schutz von Pati­en­ten­da­ten 

Es wür­den ‘auf­sichts­recht­li­che Maß­nah­men´ gegen die gesetz­li­chen Kran­ken­kas­sen ergrif­fen, sofern die­se das PDSG in aktu­el­ler Fas­sung umset­zen. Eine Ein­füh­rung der elek­tro­ni­schen Pati­en­ten­ak­te (ePA) ‘aus­schließ­lich nach den Vor­ga­ben des PDSG [in aktu­el­ler Fas­sung ver­sto­ße] an wich­ti­gen Stel­len´ gegen die DSGVO. Bei einer Beschlie­ßung des PDSG in der aktu­el­len Fas­sung  sei­en die der Auf­sicht des BfDI unter­lie­gen­den gesetz­li­chen Kran­ken­kas­sen (mit rund 44,5 Mil­lio­nen Ver­si­cher­ten) davor zu war­nen, dass die Ein­füh­rung der ePA aus­schließ­lich nach den Vor­ga­ben des PDSG euro­pa­rechts­wid­rig sei. Zudem sei­en ‘wei­te­re Maß­nah­men´ in Vor­be­rei­tung zu Abhil­fe einer euro­pa­rechts­wid­ri­gen Umset­zung der ePA. 

Pati­en­ten­da­ten in Zei­ten frag­wür­di­ger ‘Digi­ta­li­sie­rung´ 

Ein daten­schutz­recht­lich aus­rei­chen­der Zugriff auf die eige­ne ePA sei nur Nut­zern geeig­ne­ter End­ge­rä­te wie von Mobil­te­le­fo­nen oder Tablets mög­lich .. und das erst 1 Jahr nach Ein­füh­rung der ePA. Für das Jahr 2021 bedeu­te­te dies, dass eine Steue­rung auf Doku­men­ten­ebe­ne, d.h. eine doku­men­ten­ge­naue Kon­trol­le, wel­che Betei­lig­ten wel­che Infor­ma­tio­nen ein­se­hen kön­nen, nicht mög­lich ist. Damit wür­den voll­ende­te Tat­sa­che geschaf­fen und Berech­ti­gun­gen nicht daten­schutz­kon­form erteilt. So kön­ne bei­spiels­wei­se der ‘behan­deln­de Zahn­arzt [auf] alle Befun­de des kon­sul­tier­ten Psych­ia­ters´ zugrei­fen. Digi­ta­li­sie­rung kön­ne nie­mals Selbst­zweck sein. 

Benach­tei­li­gung Betrof­fe­ner bei Zugriff auf die eige­nen Pati­en­ten­da­ten 

Erfolg­te Zugrif­fe auf die Pati­en­ten­da­ten könn­ten ohne Nut­zung der ent­spre­chen­den Gerä­te nicht erfol­gen. Daher sol­le ab 2022  für die­se betrof­fe­nen Per­so­nen eine ver­tre­ten­de Per­son die Steue­rung und Ein­sicht vor­neh­men kön­nen — ent­spre­chen­des Ver­trau­ens­ver­hält­nis vor­aus­ge­setzt. Hier­in sieht der BfDI eine Ungleich­be­hand­lung hin­sicht­lich der infor­ma­tio­nel­len Selbstbestimmung. 

Es ist zu hof­fen, dass ein ent­spre­chen­des Daten­schutz­ni­veau recht­zei­tig eta­bliert wer­den kann. Auch beim Authen­ti­fi­zie­rungs­ver­fah­ren sieht der BfDI Handlungbedarf. 

Schutz vor allem für die Ver­ur­sa­cher von Daten­schutz­ver­let­zun­gen 

Ein c’t Arti­kel vom 28.08.2020 auf hei​se​.de titelt in die­sem Kon­text mit ‘War­um es bei künf­ti­gen Daten­pan­nen in der Medi­zin kei­ne Schul­di­gen geben wird´. Der Ent­wurf zum neu­en PDSG ent­las­se die Gema­tik aus der daten­schutz­recht­li­chen Gesamt­ver­ant­wort­lich­keit. Sep­tem­ber 2019 haben die Daten­schutz­be­hör­den beschlos­sen, dass die Gema­tik ‘daten­schutz­recht­lich allein­ver­ant­wort­lich für die zen­tra­le Zone der Tele­ma­tik-Infra­struk­tur (TI)´ sei. Indes sol­le die Gesell­schaft durch das neue Gesetz von der juris­ti­schen Gesamt­ver­ant­wort­lich­keit für den Daten­schutz, eben­die­ser Ver­ant­wort­lich­keit, ent­bun­den wer­den. Neben ‘kon­zep­tio­nel­len und regu­la­to­ri­schen Vor­ga­ben, Maß­nah­men zur Qua­li­täts­si­che­rung und zur Gefah­ren­ab­wehr´ tref­fe die Gema­tik für die Ver­ar­bei­tung der (Patienten)Daten kei­ne Ver­ant­wor­tung man­gels ‘ope­ra­ti­ver´ Betei­li­gung. Das deut­sche Gesund­heits­we­sen ste­he in kla­rer Abhän­gig­keit von der Gema­tik. Deren acht­wö­chi­ger Aus­fall von Mai bis Juli, bei dem weder sei­tens der Gema­tik noch ander­wei­tig öffent­li­che Infor­ma­tio­nen zu Ursa­chen und Ver­ant­wort­lich­kei­ten des Vor­falls gege­ben wur­de, mache dies deutlich. 

Kla­re Anti­zi­pa­ti­on mas­sen­haf­ter Ver­let­zun­gen des Schut­zes von Pati­en­ten­da­ten 

Somit wäre die Gema­tik auch von der Pflicht einer DSFA und der zuge­hö­ri­gen Beschrei­bun­gen poten­ti­el­ler Daten­schutz­ver­let­zun­gen und ihrer Aus­wir­kun­gen befreit. Kommt es zu einer Kom­pro­mit­tie­rung von Pati­en­ten­da­ten, muss dies nicht nur zunächst auf­fal­len, son­dern dann darf der Pati­ent sich — hin­rei­chen­de Gesund­heit vor­aus­ge­setzt — mit den zustän­di­gen Ärz­ten Aus­ein­an­der­set­zen und dann kann nach einem Ver­ant­wort­li­chen gesucht wer­den. Eine DSFA sei dem Geset­zes­ent­wurf zufol­ge allen­falls medi­zi­ni­schen Ein­rich­tun­gen mit mehr als 20 Mit­ar­bei­tern zuzumuten. 

Fazit und State­ment 

Mit dem neu­en PDSG wer­den vor allem die Ver­ur­sa­cher vor den Kon­se­quen­zen mas­si­ver Daten­schutz­ver­let­zun­gen geschützt. Dies zeigt zumin­dest einen aus­ge­präg­ten Rea­li­täts­sinn für die kata­stro­pha­len Zustän­de in Daten­schutz und Infor­ma­ti­ons­si­cher­heit im deut­schen Gesund­heits­we­sen. Der Autor des vor­lie­gen­den Bei­trags greift auf div. eige­ne Berufs­er­fah­run­gen im Gesund­heits­we­sen zurück. Die beschrie­be­nen Aspek­te bei der Gesetz­ge­bung zum neu­en PDSG lie­fern kei­ne Ver­bes­se­run­gen an der teil­wei­se bestehen­den grob fahr­läs­si­gen Hand­ha­bung von Pati­en­ten­da­ten im Gesund­heits­we­sen, son­dern besei­tigt die Trans­pa­renz noch weiter. 

Das heißt also — ver­bind­li­che Emp­feh­lung von Ihren Daten­schutz­be­auf­trag­ten 🙂 bit­te ein­fach die 5 a day Regel ein­hal­ten und gesund bleiben

BfDI über­reicht sei­ne Berich­te zu Daten­schutz und Informationsfreiheit

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­fil­ing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Dark­net Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Brexit, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Die mobile Version verlassen