Öffentliche Verwaltung

Handyortung als geplante Bekämpfung des Coronavirus

von Sascha Kuhrau
23. März 20209. Dezember 2020
2 Kommentare

In Zeiten von Notlagen muss man auch manchmal zu kreativen Maßnahmen greifen. Doch ein kurzfristig geplanter Gesetzesentwurf ruft teils kritische Reaktionen hervor, wie die derzeit geplante Handyortung zur Corona-Bekämpfung.

… zurecht oder nicht? Lassen Sie es uns wissen — in der Kommentarbox.

Handyortung über Provider

Laut Gesetzesentwurf des Bundesgesundheitsministeriums soll den Gesundheitsbehörden das Recht eingeräumt werden, Kontaktpersonen von Infizierten mittels Handyortung nachvollziehen und zeitsparend kontaktieren zu können. Informationsquelle sollen hierfür die diversen Mobilfunkanbieter sein. Standortdaten der Kontaktpersonen sollen Aufschluss über den Aufenthaltsort geben.

Bundesdatenschutzbeauftragter äußert Skepsis

Vor wenigen Stunden äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber in einem Twitter Beitrag Bedenken zur Wirksamkeit der geplanten Maßnahme. „Alle Maßnahmen der Datenverarbeitung“ hätten laut Kelber die öffentlich-rechtlichen Schlüsselkriterien der Erforderlichkeit, Geeignetheit und Verhältnismäßigkeit zu erfüllen. „Bisher“ fehle „jeder Nachweis, dass die individuellen Standortdaten der Mobilfunkanbieter einen Beitrag leisten könnten, Kontaktpersonen zu ermitteln, dafür sind diese viel zu ungenau.“ Anders stelle sich dies bei entsprechender Analyse von Bewegungsströmen in anonymisierter Form dar. Auf der Basis von Funkzellen Handyortung ist lediglich ein Radius von allenfalls 100 Metern erfassbar. In ländlichen Regionen können es durchaus mehrere Kilometer sein. Also alles viel zu ungenau, um potentielle Kontakte möglicher Infizierter ausreichend konkret aus der Datenmenge herausfiltern zu können. Im Rahmen der Ressortbeteiligung war die oberste Bundesbehörde für Datenschutz und die Informationsfreiheit BfDI beim Entwurf des Infektionsschutzgesetzes involviert.

Alternative der freiwilligen Nutzung

In Italien ist sie bereits im Einsatz — die App-Lösung zur Ortung potenziell Infizierter Kontaktpersonen. Für Deutschland befindet sich das hier bekannteste Projekt derzeit noch in der crowdfunding Phase. Die Aktivierung der Geräte von freiwilligen Testpersonen in der Beta-Phase soll Ende diesen / Anfang kommenden Monats erfolgen.

Auf anonymisierter und freiwilliger Basis soll es den Handynutzern möglich sein, präziser geortet und kontaktiert zu werden als dies durch die reine Auswertung von Verkehrsdaten zur Ermittlung vom Standort möglich erscheint.

In Südkorea sind solche Modelle bereits im Kampf der Eindämmung eingesetzt worden. Dort stabilisiert sich die einst massiv eskalierende Lage. In einem Beitrag der BBC unterstreicht die Außenministerin im Kampf gegen das Virus und mit panikbedingten Problemen die Notwendigkeit schneller behördlicher Entscheidungen und zugleich, diesen wissenschaftliche Erkenntnisse und Beweisbares zu Grunde zu legen.

Allerdings ist der Erfolg von freiwilligen Präventionsmaßnahmen auch stets von der individuellen Einsichtsbereitschaft abhängig, die im Rahmen der Coronapandemie mancherorts täglich Anlass zur Besorgnis zu geben scheint. Dies wurde gerade durch die Notwendigkeit zur Verschärfung bzw. Einführung einer bundesweiten Ausgehbeschränkung (wohlgemerkt nicht Ausgangssperre) am 22.03.2020 erneut deutlich.

Stand Sonntagabend 22.03.2020

Infolge deutlicher Kritik wurde davon abgerückt, den Gesetzentwurf bereits am 23.03.2020 ins Bundeskabinett zu geben. So lauten übereinstimmende Agenturmeldungen. Man wolle vorerst auf Handyortung verzichten und einen betreffenden Gesetzentwurf nun bis Ostern überarbeiten. Näheres dazu in einem Tagesschau Beitrag vom Sonntagabend.

Fazit und Hinweise zur geplanten Handyortung

Die Risiken eingreifender Normen wie etwa der geplanten Handyortung entstehen nicht per se aus dem Rechtseingriffs als solchem, sondern aus dem Missbrauchspotenzial in der täglichen Anwendung. Im Eifer des Gefechts kann erfahrungsgemäß nicht gänzlich ausgeschlossen werden, dass Fehler passieren, die Neugier bei dem einen oder anderen sich durchsetzt oder u.U. sogar vereinzelt gezielt manipuliert wird.

Umso wichtiger sind technische und organisatorische Maßnahmen (TOM) auch bei Erlass solcher Gesetze, wie

das Personal bei der Auswertung von und dem Umfang mit den auszuwertenden Standort Daten lückenlos und fachlich fundiert zu schulen,
auf diese Weise sicherzustellen, dass die Daten ausschließlich in dem Kontext der bezweckten Verarbeitung verbleiben und nicht auf Zuruf offengelegt werden, wie dies immer wieder — etwa in Telefonaten anfragender, vermeintlich autorisierter Stellen — vorkommt,
detaillierte und technisch verbindlich umgesetzte Berechtigungskonzepte zu etablieren,
auf diese Weise den Personenkreis, die Zugriff auf die Daten haben, in einem konkreten und stets überschaubaren Rahmen zu halten und dies auch zu protokollieren / zu prüfen,
den Anwender transparent zu informieren, ohne die ordnungsgemäße Verfolgung der Einsatzzwecke zu untergraben.

Online-Meldeformular für Datenpannen in Nordrhein-Westfalen

von Sascha Kuhrau
18. März 2020

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat ein Online-Meldeformular für Datenpannen nach Art. 33 DSGVO auf die Webseite der Behörde gestellt.

Das Online-Formular löst das bisherige Meldeformular für Datenpannen ab. Neben der nun komfortableren elektronischen Erfassung und Übermittlung erhält der Absender direkt nach Absenden des Formulars eine Eingangsbestätigung sowie das Aktenzeichen der Meldung mitgeteilt. In Verbindung mit dem Aktenzeichen und dem Datum der Meldung können im Anschluss bei Bedarf noch ergänzende Meldungen zur Datenpanne vorgenommen werden. Auch ein Export der Meldung im PDF-Format ist möglich.

Die Meldepflicht ans das LDI NRW besteht für nicht-öffentliche Stellen (Unternehmen, Vereine) mit Sitz in Nordrhein-Westfalen nach Art. 33 Datenschutz-Grundverordnung (DSGVO), sowie für öffentliche Stellen (Behörden, Kommunen) gegebenenfalls in Verbindung mit § 59 Datenschutzgesetz NRW.

Das Online-Formular zur Meldung von Datenpannen in Nordrhein-Westfalen finden Sie zusammen mit einer FAQ und einer Anleitung zum Ausfüllen auf der Webseite des LDI NRW (direkter Link).

Wie wir mit Corona in unserer Organisation umgehen (Tipps für den Arbeitsalltag)

von Sascha Kuhrau
16. März 2020
1 Kommentar

01.03.2020: Damit ging es los

Am 01.03.2020 haben wir nach eingehender interner Beratung im Team unsere Kunden dahingehend informiert, ab sofort bis auf Weiteres keine Außendienst-Aktivitäten bzw. Vor-Ort-Besuche mehr durchzuführen. Als Vielreisende wäre das Risiko recht hoch gewesen, uns selbst zu infizieren und möglicherweise bis zur Feststellung der Infektion noch viele weitere Menschen mit anzustecken. Diese Entscheidung hat uns vor nunmehr 2 Wochen einige grenzwertige Kommentare und teilweise auch ein bemitleidendes Lächeln eingebracht. Mittlerweile steht fest, wir haben zum Schutz unserer Mitarbeiter und deren Familien, aber auch unserer Kunden frühzeitig und richtig gehandelt. Wir wollen nicht verschweigen, es gab auch einige wenige Stimmen der Zustimmung und auch des Respekts, einen solchen Schritt durchzuziehen. Vielen Dank an dieser Stelle noch mal ausdrücklich dafür.

Alle Mitarbeiter der a.s.k. Datenschutz dürfen und können seither von zu Hause aus arbeiten. Die Anforderungen an die täglich zu erbringende Arbeitszeit sind auf unbestimmte Zeit aufgehoben. Und die Betreuung von Kindern und anderen hilfsbedürftigen Familienangehörigen hat vor dem Tagesgeschäft immer Vorrang. Die dafür notwendigen Freiräume kann sich jedes Teammitglied bei uns ohne Ab- bzw. Anmeldung nehmen.

Jetzt sind wir aufgrund unserer Unternehmensstruktur und Größe, aber auch unserer stark von Digitalisierung geprägten Arbeitsweise und einem unter anderem für Pandemien erstellten Notfallplan auf einen solchen Schritt gut vorbereitet gewesen. Wir sind mobiles Arbeiten gewöhnt, das technische Equipement ist vorhanden und für alle Mitarbeiter identisch. Schon immer haben wir auf eine moderne Projektplattform zur gemeinsamen Bearbeitung und Dokumentation von Aufgaben mit unseren Kunden gesetzt. Und mit Zooms sowie Microsoft Teams stehen zwei gerne und oft genutzte Videokonferenzplattformen zur Verfügung, über die auch ohne vor Ort zu sein, wichtige Angelegenheiten und Themen von Angesicht zu Angesicht, einzeln oder in Gruppen besprochen werden können. Die ersten Tage waren etwas holprig. Gerade für Kunden, die bisher mit dem Thema Videokonferenz keine Erfahrungen hatten oder generell “fremdeln”. Doch mittlerweile hat auch das sich neben Telefon und Email als alltägliches Kommunikationsmedium eingespielt. Ein kleiner Einblick in unsere Umsetzung und Erfahrungen:

Technik und Organisation im Home Office

Damit auch die Themen Datenschutz und Informationssicherheit in dieser Sondersituation nicht zu kurz kommen, haben wir uns unter anderem um folgende Punkte gekümmert bzw. deren Aktualität geprüft, wenn schon vorhanden:

Verschlüsselung aller Datenträger in mobilen Geräten und festen Arbeitsplätzen (wird bereits bei Beschaffung und Inbetriebnahme vorgenommen)
Installation und Einrichten von VPN auf allen Geräten (ebenfalls bereits bei Beschaffung und Inbetriebnahme erledigt)
Absicherung aller Accounts (intern und extern sowie auf den Geräten) neben Benutzername und Passwort mit Zwei-Faktor-Authentifizierung (Bestandteil der Account-Einrichtung)
Prüfen der Funktionsfähigkeit lokaler Backups via TimeMachine auf verschlüsselte externe SSD sowie zusätzlicher Backup-Routinen auf NAS-Systeme im Home Office (wird bei Erstkonfiguration bereits eingerichtet, mittels Fernwartung regelmäßig überprüft, ob alles sauber läuft)
Sicherstellen der automatischen Bildschirmsperre nach 2 Minuten (das Thema manuelles Sperren haben wir in einer Teamsitzung noch mal angesprochen)
Alle (mobilen) Geräte sind mit Sichtschutzfolien ausgestattet. Hilfreich für den häufigen Fall, das im Home Office kein separater Raum für die Tätigkeit vorhanden ist.
Richtlinie bzw. Regelungen zur Nutzung mobiler Arbeitsplätze bzw. Home Office (wird bei Einstellung erledigt). Wer hier noch nichts hat, RA Schwenke hat dazu einen recht flexiblen Generator erstellt
Regelungen zum Datenschutz im Home Office, sofern nicht in der zuvor genannten Regelung bereits enthalten (wird bei Einstellung erledigt). Der Ihnen sicher bekannte “Datenschutz-Guru” Stephan Hansen-Oest hat hier gerade ein Muster online gestellt, für diejenigen, die noch Bedarf haben
Verpflichtung Datenschutz für Mitarbeiter (wird bei Einstellung erledigt)
Schredder mit ausreichender Sicherheitsstufe für die Home Offices (wird normalerweise bei Einstellung erledigt, aber es hat uns doch glatt ein Gerät gefehlt)
Setzen von Prioritäten wie Bearbeitung von Datenpannen bei Kunden über separate Hotline-Nummer

Bei der Gelegenheit haben wir unsere Richtlinie zum Umgang mit Sicherheitsvorfällen aktualisiert, da dort das Thema Home Office bisher nicht konkret benannt wurde.

Seit 2 Wochen machen wir damit bereits sehr gute Erfahrungen. Bei dem einen oder anderen Kunden kommt es bei Videokonferenz noch zu Anlaufschwierigkeiten, da die Ports gerne mal in der Firewall gesperrt sind. Da hier sowohl für Zooms als auch Teams gute Anleitungen im Netz bereitstehen, ist das jedoch schnell gelöst.

Wer sich noch etwas weiter mit dem Thema befassen will, dem sei der BSI IT-Grundschutz nahegelegt. Unter anderem der Baustein OPS 1.2.4 Telearbeit umfasst eine gute Übersicht an Maßnahmen, die für die Einrichtung und den Betrieb von Home Office eine gute Grundlage bilden. Binden Sie auch Ihren Datenschutzbeauftragten und Informationssicherheitsbeauftragten ein, selbst wenn es jetzt vielleicht schnell gehen muss.

Soziale Aspekte des Home Office

Um die sozialen Aspekte im Team nicht zu kurz kommen zu lassen und damit auch niemand im Home Office vereinsamt, nutzen wir selbst intern ebenfalls sehr rege Chat und Videokonferenz. Wir haben spaßeshalber auch eine kleine Home Office Etikette erstellt:

Aufstehen, Zähne putzen, Kaffee. Hilft das nicht, dann noch mehr Kaffee
Am Heimarbeitsplatz ist eine gebügelte Jogginghose Pflicht
Pyjama ist nur mit Einhorn-Glitter oder Superman-Aufdruck zugelassen
Im Falle des Pyjama sollte Videokonferenz nur intern genutzt werden
Sofern einen die Familie zu Hause nicht auf Trab hält, gelegentlich mal aufstehen, sich bewegen, Pause machen
Achtung: Wenn Bewegung heißt Haus verlassen, dann noch mal prüfen, ob der Pyjama richtig sitzt
Wer das Wort “Hamstern” sagt, muss 10 Liegestütze vor laufender Kamera machen. Alternativ Lapdance.

Fazit

Wir sind uns bewußt, das wir aufgrund unserer Tätigkeitsfelder für eine solche Vorgehensweise Vorteile gegenüber vielen anderen Organisationen haben. Gerade Einrichtungen aus dem Bereich der öffentlichen Versorgung können ihre Mitarbeiter nicht einfach ins Home Office schicken.

Home Office ist jedoch machbar. Der aktuelle Stand der Technik erlaubt ein sicheres Arbeiten von zu Hause aus. Vielleicht können wir mit dem kurzen Einblick in unsere Vorgehensweise die eine oder andere Anregung und Tipps liefern, wie und was — auch kurzfristig — umsetzbar ist und auf was man so alles achten sollte (ohne Anspruch auf Vollständigkeit und sicher nicht auf jede Organisation 1:1 anwendbar). Denn auch wenn “Ausnahmezustand” herrscht: Die Themen Sicherheit, Datenschutz aber auch das menschliche Miteinander sollten nicht zu kurz kommen.

Danke an all die fleißigen und unermüdlichen Helfer, die aktuell überall für den Rest der Gesellschaft die Stellung halten, sei es im Gesundheitswesen, im Handel, der Versorgung, öffentliche Sicherheit und und und … Ohne sie wären wir alle aufgeschmissen.

Bericht 2019 der Datenschutzbehörde Saarland — Überblick

von Sascha Kuhrau
15. März 20209. Dezember 2020

Druckfrisch zu berichten — die Landesbeauftragte für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland (UZD) hat dieser Tage den 28. Tätigkeitsbericht im Datenschutz für das Saarland vorgelegt (Landtagsdrucksache Saarland 16/1200). Darin wurde unter anderem auf konkrete, einzelfallbezogene Entwicklungen und Maßnahmen, erfolgte Vorträge, Verfahren und Beratungen sowie auf fachliche Aspekte der DSGVO-Vorgaben und ‑umsetzungen und Rechtsprechung detailliert eingegangen.

News in 2019

Im Jahr 2019 wurden zwei neue Stellen für Mitarbeiter im UDZ vom Landtag Saarland bewilligt, die erfolgreich besetzt wurden, allerdings sieht das UDZ hier quantitativen Optimierungsbedarf.

Die Website des UDZ wurde mit einem neuen CMS angebunden und hat ein neues Design bekommen mit Optimierung auf Barrierefreiheit, der Melde- und Kontaktformulare sowie für Mobilgeräte.

Vor dem Hintergrund der Notwendigkeit, wachsenden Anforderungen, rechtlichen Vorgaben und einer effektiven, angemessenen Abwehr von Cyber-Angriffen kosteneffizient nachzukommen, wurde in dem Bericht die Einführung eines ISMS erläutert und dabei insbesondere ISIS12 „als pragmatisches und leicht skalierbares Vorgehensmodell“, das auch gerade Kommunen eine gute Verbindung von den Vorgaben und realen Ressourcen ermögliche.

„Der gesamte Prozess von der Sensibilisierung der Mitarbeiter, Einschätzung der Gefährdungslage bis hin zur Abwehr von Angriffen kann durch ein ISMS wie ISIS12 gesteuert und überwacht werden.“

Nach der Implementierung und einem TOM-bezogenen Audit wurde das UDZ zum 09.10.2019 zertifiziert.

Beratungen und Öffentlichkeitsarbeit

Das UDZ hat im Berichtsjahr 50 Veranstaltungen zur Information und Sensibilisierung zum Datenschutz und der DSGVO ausgerichtet, bei denen es unter anderem schwerpunktmäßig um Auslegungsfragen der DSGVO ging. Insgesamt sieht man auch bei der Öffentlichkeit ein steigendes Interesse an Datenschutzthemen und ‑fragen.

In Bezug auf das im Dezember 2019 beschlossene Justizvollzugsdatenschutzgesetz, bei dessen Entwürfen das UZD beratend involviert war, stellt der Bericht fest, dass man sich eine umfassende Modernisierung des Datenschutzrechts auch in diesem Bereich gewünscht hätte.

Die UDZ nahm an Beratungsgesprächen mit der Enquêtekommission „Digitalisierung im Saarland“ teil und führte hier unter anderem die wichtige Rolle des Datenschutzes in der Entwicklung des E‑Government aus.

In Brüssel tauschte man sich bei der EU-Vertretung des Saarlandes über die innereuropäische Zusammenarbeit der Datenschutzbehörden aus. In den 154 Fällen nahm die Landesdatenschutzbehörde ihre Verfahrenszuständigkeit iSd. Art. 56 DSGVO in Bezug auf innereuropäische, länderübergreifende Verarbeitungen wahr. Die Behörde war an elf Rechtsetzungsvorhaben beteiligt.

Datenschutzverletzungen nach Art. 33 DSGVO

Dem Bericht zufolge wurden im vergangenen Jahr 286 Datenschutzverletzungen an die Landesdatenschutzbehörde gemeldet und elf amtliche Maßnahmen iSd. Art. 58 DSGVO zur Prävention von Datenpannen vorgenommen. Den Anstieg der Meldungen von Datenpannen wird auf höhere Kriterien durch die DSGVO, aber auch eine höhere Sensibilität für Datenschutzthemen gesehen.

Prüfungen

In seinem Bericht spricht das UZD von „mehreren Prüfungen“, die — meist anlassbezogen und oft im Kontext des Beschäftigtendatenschutzes — in 2019 in Einrichtungen sowohl angekündigt als auch unangekündigt durchgeführt wurden. Kriterium für die Frage der Vorabankündigung sei die Abwägung der Wahrscheinlichkeit eines Wegfalls des Prüfgegenstands durch Manipulation im Falle der Ankündigung. Im Vorfeld würden Prüfgegenstand und ‑ablauf klar definiert und im Regelfall zunächst die Vorlage von VVT, einer DSFA „oder zumindest [..] Risikobewertung“, der TOM, Dokumentationen zum Umgang mit Betroffenenrechten, Löschfristen und weitere Datenschutzkriterien vor Ort angefordert. Darauffolgend die Prüfung des konkreten Anlasses und Verfertigung einer Kurzzusammenfassung vor Ort, die zusammen mit dem Verantwortlichen erörtert wird.

Der eigentliche Prüfbericht wird der Einrichtung / dem Verantwortlichen zugestellt und dieser kann dazu Stellung nehmen. Gegebenenfalls erfolgen Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO und die Verhängung einer Geldbuße.

Das UZD führte nach der Einführung des Einsatzes von Body-Cams bei der Polizei Saarland Stichproben durch, bei denen es erhebliche Defizite bei der Einhaltung der Datenschutzvorgaben festgestellt hat.

Bei der Prüfung von BCR (Binding Corporate Rules) zur Datensicherheit innerhalb international agierdender Konzernstrukturen iSd. Art. 47 DSGVO war das UDZ in 2019 insgesamt zweimal beteiligt — bei 20 BCR-Verfahren europaweit.

Rechenschaftspflicht Großunternehmen

Ende 2018, Anfang 2019 wurden drei der größten Unternehmen des Saarlands um Rechenschaft ersucht hinsichtlich DSGVO Umsetzungsstand, VVT, Risikoabschätzungen und Prozesse und die datenschutzkonforme Verarbeitung von personenbezogener Daten im allgemeinen sowie im Detail.

Weitere Themen

Der Bericht enthält außerdem detaillierte Kapitel unter anderem zu Rechtsfragen, rechtlichen Auslegungen und Bewertungen sowie Rechtsanwendung der DSGVO, die interessante und wichtige Aspekte beleuchten:

Informationspflichten
Auskunftsrecht
Abgrenzung der klassischen AV zur Gemeinsamen Verantwortlichkeit
DSFA
Zertifizierung und Akkreditierung
Fashion ID
Planet49
Orientierungshilfe Telemedien der DSK
ePrivacy-Verordnung
Windows 10
Datenschutzkonforme Nutzung von WhatsApp im Rahmen kommunaler Bürgerdienste
Streaming von Ratssitzungen
Nutzung von Geodaten
Telearbeit bei der Polizei
Lichtbildabgleich in Ordnungswidrigkeitenver- fahren
Fotografieren an Schulen und Kindergärten
Videoüberwachung
Datenschutz im Verein
Datenschutzrechtliche Bewertung telefonischer Werbeansprachen
Einsicht in die Patientenakte

Den Bericht finden Sie im pdf Volltext auf der Website der Landesbeauftragten für Datenschutz und Informationsfreiheit der Aufsichtsbehörde Unabhängiges Datenschutzzentrum Saarland — UZD.

Wenn Sie Fragen zu Themen oder Begriffen des Berichts haben, nutzen Sie hierfür gerne die Kommentarfunktion — Ihr Team von a.s.k. Datenschutz.

14. Europäischer Datenschutztag 2020

von Sascha Kuhrau
11. März 20209. Dezember 2020

Am 28.01.2020 fand in Berlin der diesjährige, 14. Europäische Datenschutztag der Datenschutzkonferenz statt. Auf Initiative des Europarats jährt sich der Datenschutztag seit 2007 um den 28. Januar und wird in Deutschland als Veranstaltung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ausgerichtet.

In diesem Jahr lag das Augenmerk insbesondere auf Datenschutz im Kontext des Entwicklungsfortschritts der KI. Unter dem Motto “Künstliche Intelligenz — Zwischen Bändigung und Förderung” wurden Freiheiten, Grundrechte und Schutzbedürfnisse bei der Schaffung von Rahmenbedingungen und der Entfaltung diesbezüglicher Aktivitäten thematisiert von Referenten aus Politik, Wissenschaft, Recht und den Teilnehmern.

Die Vorträge beschäftigten sich unter anderem mit den Themen:

“Aspekte des Unionsrechts im Hinblick auf Digitalisierung und Datenschutz”
“Der Handlungsrahmen für KI-Anwendungen: Wirtschaft, Technik, Ethik und (Datenschutz-) Recht in Deutschland, Europa und der Welt” und
“Was verstehen Nutzer unter Algorithmen?”

“Persönlich” wurde es — in fachlicher Hinsicht — im Rahmen der Podiumsdiskussion zum “Nutzen und Schaden von KI für den Einzelnen — Was geht mich KI an?”. Die KI und ihr Datenschutz sind ein spannendes und lebendiges Thema, das jeden Alltag in naher Zukunft in greifbarer Weise bestimmen wird. Weitere Informationen zu dem Themenbereich erhalten Sie unter nachfolgenden Links.

Was meinen Sie zu dem Thema, liebe Leser? Freuen Sie sich auf Ihr erstes Roboterauto oder ist Ihnen das alles spooky? Sie können es uns im Kommentarfeld wissen lassen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicherheitskongress — KI BSI — KI im Auto Fraunhofer Institut — KI

Geburtstagslisten von Mitarbeitern und die DSGVO

von Sascha Kuhrau
12. November 2019
2 Kommentare

Als aktuelle Kurzinformation zum Datenschutz unter der DSGVO hat der BayLfD jetzt die Nummer 26 veröffentlicht, Thema

“Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen.”

Jetzt könnte man als Unternehmen oder Verein versucht sein, darüber hinwegzulesen. Schließlich handelt es sich bei diesen Organisationen um sog. nicht-öffentliche Stellen. Doch der Inhalt betrifft durchaus beide Bereiche. Ob das Thema Geburtstagsliste aktuell einer der Brennpunkte der DSGVO ist, steht auf einem anderen Blatt. Aber zur Auffrischung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zeiten gab es dazu immer wieder Nachfragen.

Warum interessiert sich der Datenschutz für Geburtstagslisten von Mitarbeitern?

Nun, das ist recht einfach erklärt. Wenn abteilungsbezogen oder für die gesamte Organisation eine öffentlich einsehbare Liste der Geburtstage der Mitarbeiter durch den Arbeitgeber veröffentlicht wird, dann verarbeitet dieser personenbezogene Daten seiner Mitarbeiter und gibt diese an Dritte (alle anderen Mitarbeiter) weiter. Wie wir nun hinlänglich wissen, ist dafür einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO notwendig:

a) Einwilligung: liegt im Zweifel keine vor, sofern es hierzu keinen geregelten Prozess im Rahmen der Einstellung gibt.
b) Notwendigkeit für die Durchführung, in diesem Fall des Arbeitsvertrages: Für das eigentliche Beschäftigtenverhältnis sicherlich, für die Veröffentlichung an alle Mitarbeiter sicher nicht.
c) Rechtsvorschrift: Uns ist zumindest keine Rechtsvorschrift bekannt, welche das Veröffentlichen von Geburtstagslisten der Mitarbeiter vorschreibt. Kann ja aber noch kommen im Zuge der aktuellen Gebt-Gesetzen-witzige-Namen-Welle.
d) Lebenswichtige Interessen zum Schutz der Mitarbeiter wird man hier nicht annehmen können.
e) Wahrnehmung öffentliches Interesse oder Ausübung öffentlicher Gewalt scheidet aus.
f) Ob das sog. berechtigte Interesse anwendbar ist, wird aktuell kontrovers diskutiert. Eine Mehrheit findet sich hierfür keine. Für öffentliche Stellen in Bayern ist Buchstabe f zumindest in der Ausübung der öffentlichen Aufgaben ausgeschlossen.

Bleibt wohl nur die Einwilligung für Geburtstagslisten von Mitarbeitern?

Am Ende des Tages wird es wohl wie früher darauf hinauslaufen. Doch ist das Einholen von schriftlichen Einwilligungen samt deren Ablage in der Personalakte und regelmäßigen Prüfung und Bearbeitung von Widerrufen wirklich jetzt der Königsweg. Nein, war es nie und wird es nach unserem Dafürhalten auch nie sein. Auch wenn dies durch die oben genannte Kurzinformation suggeriert wird. Klar kann man dieses Thema nun mit viel Papier im Rahmen des Einstellungsprozesses für neue Mitarbeiter lösen. Alleine von den bereits vorhandenen Mitarbeitern die Einwilligung nachträglich einzuholen und zu dokumentieren, ist sicher auch kein zu unterschätzender Aufwand. Selbst wenn man die Einwilligung mittlerweile auch elektronisch einholen und dokumentieren kann. Es geht auch einfacher:

KISS — keep it short and simple: Der Geburtstagsliste-Self-Service

Egal, ob organisationsweit oder nur abteilungsbezogen: Wenn sich ein Mitarbeiter freiwillig in einen Geburtstagskalender (zentral in Outlook oder in Papierform in der Teeküche) einträgt, jederzeit die Möglichkeit des Wiederaustragens besteht, dann können Sie sich das ganze Klimbim sparen. Aber auch das ist nun nichts Neues aus der DSGVO, sondern wurde schon früher so pragmatisch gehandhabt.

Besonderheiten bei Geburtstagslisten per zentraler Einwilligung durch den Arbeitgeber

Sollten Sie sich als Arbeitgeber das Procedere mit schriftlicher Einwilligung dennoch antun wollen, dann achten Sie darauf, dass in Ihren Angaben zu den Informationspflichten gem. Art. 13 DSGVO für Mitarbeiter die Geburtstagsliste Erwähnung findet. Der dazugehörige Eintrag in Ihrem Verzeichnis für Verarbeitungstätigkeiten darf ebenfalls nicht fehlen.

Übrigens zwei Punkte, die Sie sich durch den Geburtstagsliste-Self-Service ebenfalls je nach Umsetzung erübrigen können. Zumindest wenn nicht seitens der Organisation der Anstoß für diese Geburtstagslisten und deren Verwaltung / Durchführung kommt, also die Mitarbeiter den Kalender in der Teeküche selbst aufhängen (wäre aber sicher im Detail zu diskutieren). Stellt die Organisation den Geburtstagskalender zentral in Outlook o.ä. Programmen zur Verfügung, macht es Sinn, einen Eintrag im VVT und in den Infopflichten vorzuhalten (danke für den Hinweis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrieden und das Thema Datenschutz wird nicht erneut als Störfaktor wahrgenommen (was es eigentlich auch gar nicht ist, entsprechend pragmatische Umsetzung vorausgesetzt). So und jetzt “KUCHEN”

Informationssicherheitskonzept Arbeitshilfe V 3.0 erschienen — jetzt mit LSI Siegel

von Sascha Kuhrau
7. Oktober 2019

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. “Arbeitshilfe”.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu “basteln”, bleibt nur die Frage “Wieso sollte man das tun?”

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die “Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG” entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren “Quick Check Datenschutz + Datensicherheit”. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die “Arbeitshilfe” universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik — kurz LSI — in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels “Kommunale IT-Sicherheit”. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel “Kommunale IT-Sicherheit”

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie “Bürgermeister” mit “Geschäftsführer” und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel “Kommunale IT-Sicherheit” kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

IT-Notfallkarte für Mitarbeiter (Hilfestellung der Allianz für Cybersicherheit und des BSI)

von Sascha Kuhrau
30. September 2019

Notfallbehandlung — ein wichtiges Element in der Informationssicherheit und im Datenschutz

Im Zuge der Diskussion um Informationssicherheitskonzepte und technische Maßnahmen im Sinne der DSGVO stößt man unweigerlich auf das Thema Notfallmanagement. Vorrangig zielen die ergriffenen technischen und organisatorischen Schutzmaßnahmen einer Organisation ja darauf ab, Sicherheitsvorfälle und Notfälle möglichst zu vermeiden. Die Eintrittswahrscheinlichkeit soll möglichst nahe Null liegen. Das dies für jede Art von Vorfall nicht immer gelingt, liegt auf der Hand. Umso wichtiger ist, von solchen Vorfällen frühzeitig Kenntnis zu erlangen, diese korrekt zu bewerten und angemessen zu reagieren.

Dies setzt jedoch sensibilisierte Mitarbeiter voraus, die im Falle eines Sicherheitsvorfalls oder eines Notfalls wissen, was zu tun ist. Die Allianz für Cyber-Sicherheit hat sich zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einigen anderen Einrichtungen im Hinblick auf IT-Sicherheitsvorfälle Gedanken gemacht.

Die IT-Notfallkarte “Verhalten bei IT-Notfällen” für Mitarbeiter

Sie kennen das sicher noch aus der Erste-Hilfe-Ausbildung. Die 5 “W” für den richtigen Notruf:

Wo ist das Ereignis?
Wer ruft an?
Was ist geschehen?
Wie viele Betroffene?
Warten auf Rückfragen

Analog zu dieser Vorgehensweise gibt es nun die IT-Notfallkarte zum kostenfreien Download und zur Verteilung an Mitarbeiter bzw. Aushang der Karte. Nach Eintrag der internen Rufnummer für IT-Notfälle kommen die 5 “W” für die Notfallmeldung:

Wer meldet?
Welches IT-System ist betroffen?
Wie haben Sie mit dem IT-System gearbeitet bzw. was haben Sie beobachtet?
Wann ist das Ereignis eingetreten?
Wo befindet sich das betroffene IT-System (Gebäude, Raum, Arbeitsplatz)?

Darunter finden sich einige Verhaltenshinweise für den oder die betroffenen Mitarbeiter. Für den Fall eines Befalls mit Kryptotrojanern wäre möglicherweise die Empfehlung “Netzwerkkabel ziehen” noch recht hilfreich gewesen.

Sehr gut hat uns die Aussage gefallen “Ruhe bewahren & IT-Notfall melden. Lieber einmal mehr als einmal zu wenig anrufen!”, die sich als zweite Überschrift auf der Karte oben findet.

Top 12 Maßnahmen bei Cyber-Angriffen

Da es nach der Meldung eines IT-Notfalls mit der Bearbeitung weitergehen muss, liefert die Allianz für Cybersicherheit zur weiteren “Bewältigung des Notfalls” eine Top 12 Liste mit. Auf dieser finden sich die wichtigsten Maßnahmen zur Schadensbegrenzung und auch der Nachbearbeitung des hoffentlich glimpflich verlaufenen Angriffs.

Diese Top 12 Maßnahmen bei Cyber-Angriffen richten sich an IT-Verantwortliche und Administratoren und sollten an keinem Arbeitsplatz als Hilfestellung fehlen.

Doch damit nicht genug, professionelles Notfallmanagement ist gefragt

Diese beiden Hilfestellungen sind ein erster Schritt in die richtige Richtung. Doch ohne professionelles Notfallmanagement wird keine Organisation zukünftig auskommen. Wurden die Themen Datenschutz und Informationssicherheit in der Vergangenheit meist schon sehr stiefmütterlich behandelt, haben gerade kleine Organisationen das Thema Notfallmanagement gar nicht oder nur weit am Ende des Erfassungsbereichs auf dem Radar.

Hier verweist die Allianz für Cybersicherheit auf den Standard 100–4 des BSI IT-Grundschutzes. 100–4 beschreibt eine professionelle und systematische Vorgehensweise zur Einführung und Weiterentwicklung eines Notfallmanagements in Organisationen jeglicher Größe und Branche. Bei erster Durchsicht mag das dem einen oder anderen Leser etwas sperrig oder zu aufgebauscht wirken. Und sicher empfiehlt es sich, in Abhängigkeit von der Organisationsgröße den Standard 100–4 angemessen und zweckdienlich umzusetzen. Eine stoische 1:1 Umsetzung ist eher suboptimal.

Sinn und Notwendigkeit für ein Notfallmanagement sollten jedoch schnell klar werden. Ein Notfall ist etwas anderes als “Kein Papier im Drucker”. Ok, der betroffene Mitarbeiter mag das kurzzeitig so empfinden 🙂 In einem Notfall oder auch bei der Verkettung mehrerer Arten von Notfällen ist keine große Zeit, sich über die Notfallbehandlung Gedanken zu machen oder wichtige Informationen für die Beseitigung des Notfalls zu beschaffen.

Wenn Sie mit dem Thema liebäugeln, können wir Ihnen den Kurs “Notfallmanagement” der Bayerischen Verwaltungsschule wärmstens an Herz legen. Dieser ist nicht auf bayerische Verwaltungen beschränkt, sondern steht interessierten Teilnehmern aus Behörden und Unternehmen aus ganz Deutschland offen.

Im Rahmen von Informationssicherheitskonzepten wird die Entwicklung eines Notfallvorsorgekonzepts und eines Notfallplans (erst die Vermeidung, dann die Reaktion, wenn es mit dem Vermeiden nicht geklappt hat) gefordert. Wer sich also mit den Standards wie IT-Grundschutz, ISIS12 oder auch der Arbeitshilfe (für kleinere Einrichtungen) und deren Einführung befasst, wird um das Thema nicht herumkommen.

Was kann a.s.k. Datenschutz für Sie tun?

Vorausgeschickt: a.s.k. Datenschutz ist der Dozent an der Bayerischen Verwaltungsschule u.a. für das Thema Notfallmanagement und die Ausbildung von zertifizierten Informationssicherheitsbeauftragten. Im Zuge von zahlreichen Sicherheitskonzepten begleiten wir die Einführung von Notfallvorsorgekonzepten und die Erstellung von Notfallplänen. Selbstverständlich bieten wir diese Dienstleistung im Rahmen der Einführung und Begleitung von Informationssicherheitskonzepten, aber auch flankierend zur Tätigkeit als externe Informationssicherheitsbeauftragte an. Sprechen Sie uns einfach an. Ihren Datenschutzbeauftragten wird das sicher auch freuen.

Apropos Datenschutzbeauftragter: Verfügt Ihre Organisation über einen Datenschutzbeauftragten? Öffentliche Stellen sind zur Bestellung ungeachtet der Mitarbeiterzahl generell verpflichtet. Unternehmen benötigen einen Datenschutzbeauftragten ab 10 Mitarbeitern (sollte das 2. DsAnpG den Bundesrat passieren erhöht sich die Zahl auf 20), die regelmäßig mit der Verarbeitung von personenbezogenen Daten befasst sind. Und lassen Sie sich keinen Sand in die Augen streuen. Ob mit oder ohne Datenschutzbeauftragten müssen alle anderen datenschutzrechtlichen Anforderungen in Ihrer Organisation erfüllt sein. Wenn es keinen DSB gibt, muss sich jemand anderes um die meist bürokratischen Aufgaben kümmern. Einfacher und pragmatischer geht es mit a.s.k. Datenschutz als externe Datenschutzbeauftragte. Fordern Sie noch heute Ihr unverbindliches Angebot an.

Unverbindliches Angebot anfordern

Informationssicherheit im Fokus: Gemeinde Haar ist ISIS12-zertifiziert

von Sascha Kuhrau
12. Juni 2019

Nach einem knapp zweijährigen Prozeß hat die Gemeinde Haar im Mai 2019 die ISIS12-Zertifizierung erreicht. ISIS12 ist ein Standard für ein Informationssicherheitsmanagementsystem (kurz ISMS) und bildet in 12 anschaulichen Schritten auf Basis des bekannten IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) ein Informationssicherheitskonzept ab. ISIS12 wurde explizit für kleine und mittlere Unternehmen (KMU) und kommunale Einrichtungen entwickelt, für die aufgrund personeller Anforderungen der “große” IT-Grundschutz nicht durchführbar ist.

In den 24 Monaten der Einführung des Informationssicherheitskonzepts hat die Gemeinde Haar unter anderem Schulungen und Mitarbeitersensibilisierungen in Sachen Informationssicherheit durchgeführt. Denn nicht nur das (technische) System an sich muss in alle Richtungen sicher gemacht werden, sondern auch die Menschen, die mit den Daten umgehen, müssen für das Thema sensibilisiert und geschult werden. Das reicht von der Aktivierung der Bildschirmsperre auch bei kürzester Abwesenheit vom Arbeitsplatz bis hin zur unachtsamen Freigabe von Daten, wie etwa Passwörter offen am Schreibtisch liegen zu lassen.
Zeitgleich wurden Prozesse im Haus verbessert und Konzepte erarbeitet, die IT-Struktur unter die Lupe genommen und ein Notfallmanagement auf die Beine gestellt. Denn Datenschutz und Informationssicherheit müssen nicht nur im Alltag funktionieren – auch echte Notfall-Szenarien wurden durchgespielt und behandelt: Was, wenn das Rathaus mit all seinen Servern abbrennt? Selbst dafür gibt es Lösungen.

Federführend waren bei der Einführung von ISIS12 die Informationssicherheitsbeauftragte der Gemeinde Haar Andrea Schmerber und die a.s.k. Datenschutz Beratung unter Leitung von Sascha Kuhrau. Sie waren es auch, die den Auditor Andreas Mann bei der Erstzertifizierung des Zertifizierungsverbundes – Rathaus mit Bürgerhaus und die Kita Casinostraße – durch die Dokumente, Konzepte und die Gebäude begleiteten. Mit Erfolg, denn die Erstzertifizierung hat geklappt.

Jetzt gilt es, das Informationssicherheitskonzept aktuell und am Laufen zu halten. Daher wird jährlich überprüft, ob die Informationssicherheitsrichtlinien eingehalten werden – denn die Technik ist schnellebig und auch im Personal gibt es von Zeit zu Zeit einen Wechsel. Außerdem werden nach und nach immer mehr der gemeindlichen Einrichtungen in den Zertifizierungsverbund integriert. In der Öffentlichkeit wird der zeitintensive und arbeitsaufwendige Prozess kaum wahrgenommen – und dennoch ist er für jede einzelne Bürgerin und jeden einzelnen Bürger von hoher Wichtigkeit. Denn es sind ihre Daten, die damit geschützt werden. Anlass für die Einführung von ISIS12 in der Gemeinde Haar war das Bayerische E‑Government-Gesetz von 2016. Dieses verpflichtet ausnahmslos alle kommunalen Verwaltungseinrichtungen zur Einführung und zum Betrieb eines Informationssicherheitskonzepts. Die Gemeinde Haar, allen voran deren Informationssicherheitsbeauftragte Andrea Schmerber haben sich dieser Herausforderung gestellt und das Ziel erreicht.

Übrigens ist ein Informationssicherheitskonzept (eingeführt und in Betrieb natürlich) auch für das Thema Datenschutz interessant. Betrachtet man Art. 32 DSVGO Sicherheit der Verarbeitung (externer Link) genauer, so findet man darin im Absatz 1 folgende Aussagen:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Und genau das stellt ein funktionierendes Informationssicherheitskonzept sicher. Dabei beschränkt sich der Schutz eines solchen Konzepts nicht nur auf personenbezogene Daten, sondern schließt alle schützenswerten Daten Ihrer Organisation mit ein. Genial, oder?

Sie wollen in Ihrer Organisation ebenfalls ein Informationssicherheitskonzept einführen? BSI IT-Grundschutz und ISO 27001 sind unpassend? Sprechen Sie uns an.

Zur Meldung der Gemeinde Haar (externer Link)

Der Hype um das (private) Whatsapp-Abmahnrisiko

von Sascha Kuhrau
28. Juni 201715. Oktober 2023
1 Kommentar

Kaum hat das Amtsgericht Bad Hersfeld sein Urteil gefällt und die Begründung veröffentlicht, grassiert ein medialer Hype um ein angebliches Abmahnrisiko für private Whatsapp-Nutzer durch das Netz. Doch was steckt dahinter?

Etwas Aufklärung zur privaten Nutzung von Whatsapp

Das Amtsgericht Bad Hersfeld, wohlgemerkt ein Amtsgericht, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risiko eines privaten Whatsapp-Nutzers, aufgrund der nicht eingewilligten Datenübermittlung der Kontakte in dessen Adressbuch durch den automatisierten Abgleich mit den Whatsapp-Servern durch die Kontakte selbst auf Unterlassung in Anspruch genommen zu werden. Selbst eine kostenpflichtige Abmahnung wird nicht ausgeschlossen. Kaum war die erste Nachricht hierzu im Web lanciert, ging der Copy & Paste — Mechanismus des Boulevardjournalismus inklusive der sozialen Netzwerke los. Angst und Panik für Quote und Klicks lautet die Devise.

Was davon zu halten ist, können Sie unter anderem im Blog des Anwalts Dr. Carsten Ulbricht nachlesen, der zu diesem Thema kein Unbekannter ist.

Whatsapp und geschäftliche oder dienstliche Nutzung?

Nutzt ein Unternehmen oder eine Behörde nun Whatsapp sieht die Rechtslage etwas unbequemer aus. Das Bundesdatenschutzgesetz schreibt für die betriebliche Nutzung personenbezogener Daten die Auswahl geeigneter technischer und organisatorischer Schutzmaßnahmen vor. Bedient man sich bei der Umsetzung eines Dritten (in diesem Fall des Betreibers von Whatsapp), so ist dieser nach § 11 Bundesdatenschutzgesetz (BDSG), aber auch nach EU-Datenschutzrecht vorab auf ausreichende Schutzmaßnahmen zu prüfen und zusätzlich eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen. Die Umsetzung wird sich in der Praxis als unmöglich herausstellen.

Zumindest könnte man Whatsapp aufgrund der nun seit einiger Zeit aktivierten Ende-zu-Ende-Verschlüsselung bei den technischen Schutzmaßnahmen ein technisches Schutzniveau im positiven Sinne unterstellen. Ein Mitlesen der Nachrichten auf dem Transportweg ist dadurch ja ausgeschlossen.

Dann steht der betrieblichen Nutzung ja nichts im Wege?

Leider doch. Denn Whatsapp überträgt die Kontaktdaten aus dem Adressbuch des Geräts auf die Server des Betreibers in den USA. Diese Datenübermittlung ist im Datenschutzrecht nur zulässig, wenn von dem Betroffenen, auf den sich die jeweiligen Kontaktdaten beziehen, eine (schriftliche) Einwilligung vorliegt. Diese kann nach geltender Meinung auch nicht pauschal angenommen werden nach dem Motto “Whatsapp nutzt ja heutzutage jeder.”

Eine fehlende Einwilligung bedeutet eine unrechtmäßige Datenübermittlung. Damit drohen Bußgelder und im Zweifel weitere Auflagen durch die Landesdatenschutzbehörde(n).

Dies gilt übrigens sowohl für die betriebliche / dienstliche Nutzung des Smartphones als auch eine möglicherweise zulässige Privatnutzung.

Wer es nicht glauben mag, hier ein Beitrag unter vielen zu diesem Thema, in diesem Fall von Dr. Hans Markus Wulf, Fachanwalt für IT-Recht.

Von daher kann das Fazit zur Whatsapp-Nutzung im geschäftlichen oder behördlichen Umfeld nur lauten: Finger weg! Aber das ist nun auch nichts Neues.

Öffentliche Verwaltung

Han­dyor­tung über Provider

Bun­des­da­ten­schutz­be­auf­trag­ter äußert Skepsis

Alter­na­ti­ve der frei­wil­li­gen Nutzung

Stand Sonn­tag­abend 22.03.2020

Fazit und Hin­wei­se zur geplan­ten Handyortung

Umso wich­ti­ger sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) auch bei Erlass sol­cher Geset­ze, wie

01.03.2020: Damit ging es los

Tech­nik und Orga­ni­sa­ti­on im Home Office

Sozia­le Aspek­te des Home Office

Fazit

News in 2019

Bera­tun­gen und Öffentlichkeitsarbeit

Daten­schutz­ver­let­zun­gen nach Art. 33 DSGVO

Prü­fun­gen

Rechen­schafts­pflicht Großunternehmen

Wei­te­re Themen

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Wer benö­tigt ein Informationssicherheitskonzept?

Stan­dard für Infor­ma­ti­ons­si­cher­heit Arbeits­hil­fe Ver­si­on 3.0 erschienen

Mit a.s.k. Daten­schutz und der Arbeits­hil­fe zum Sie­gel “Kom­mu­na­le IT-Sicherheit”

Unter­neh­men und die Arbeits­hil­fe als Informationssicherheitskonzept

Ange­bot Infor­ma­ti­ons­si­cher­heits­kon­zept für Kom­mu­nen bzw. Behörden

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Top 12 Maß­nah­men bei Cyber-Angriffen

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Was kann a.s.k. Daten­schutz für Sie tun?