Datenschutz und Informationssicherheit gefordert

Seit März 2020 beschäftigen sich die meisten Organisationen aufgrund der Corona-Pandemie mit den Themen Heimarbeit und Mobiles Arbeiten. Doch dabei wurde bzw. wird sich oftmals auf die technische Zurverfügungstellung sowie Zusätze zum Arbeitsvertrag fokussiert. Das ist auch kein Wunder. Denn es galt ja vorrangig, schnell arbeitsfähig zu werden und zu bleiben. Und dann war ja noch das Problem mit dem Klopapier zu lösen.

Und selbst wenn bereits bei der ersten Einführung bzw. Umsetzung die Themen Datenschutz und Informationssicherheit berücksichtigt wurden, ist es nun ein guter Zeitpunkt an dem Thema dran zu bleiben. So gilt es, vorhandene technische und organisatorische Maßnahmen auf den Prüfstand zu stellen. Art. 32 DSGVO fordert in Absatz 1 Buchstabe d vorhandene Schutzmaßnahmen einer „regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit […] zur Gewährleistung der Sicherheit der Verarbeitung“ zu unterziehen. Wer sich neben Datenschutz mit der Informationssicherheit auseinandergesetzt hat, wird dieses Prinzip schon länger kennen. Wirksamkeitskontrolle und kontinuierliche Verbesserung für vorhandene Schutzmaßnahmen sind Tagesgeschäft in der Informationssicherheit.

Das Rad nicht neu erfinden: Tools der Informationssicherheit nutzen

Glücklicherweise müssen Datenschutzbeauftragte das Rad hierfür nicht neu erfinden. Denn jahrzehntelang bewährte Standards wie der BSI IT-Grundschutz (in aktueller Fassung des Kompendiums 2020) bieten konkrete Maßnahmen und Empfehlungen zu Heimarbeit und mobilem Arbeiten an. Diese können wunderbar mit den eigenen getroffenen technischen und organisatorischen Schutzmaßnahmen abgeglichen werden. Daraufhin mögliche Lücken zu schließen und vorhandene Maßnahmen zu optimieren, fällt im Nachgang umso leichter. Sicher mit ein Grund, warum Datenschutzgesetze und Kommentare immer häufiger diese Prinzipien und Hilfestellungen der Informationssicherheit einbinden und erwähnen.

BSI IT-Grundschutz

Wir haben Ihnen in diesem Beitrag die unserer Meinung nach wichtigsten Bausteine aus dem aktuellen BSI IT-Grundschutz Kompendium zusammengestellt. Diese befassen sich entweder direkt mit Heimarbeit und mobilem Arbeiten oder sind zumindest damit eng verknüpft. Darüber hinaus haben wir noch einige weitere Empfehlungen für Sie herausgesucht. Themen wie Email-Sicherheit, Mitarbeitersensibilisierung, Umgang mit Sicherheitsvorfällen und Notfallmanagement werden gerne vernachlässigt. Gerade, wenn es wie im März 2020 schnell gehen muss.

Exkurs zum Grundverständnis und Aufbau des BSI IT-Grundschutz

Der IT-Grundschutz beschreibt in seinem Komepdium „standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in einzelnen Bausteinen“. Diese Aufzählung zeigt deutlich, der IT-Grundschutz befasst sich entgegen seines Namens nicht nur mit IT-Sicherheit. Das wäre auch grob fahrlässig, denn schließlich passiert ein Großteil der Sicherheitsvorfälle (quantitativ) im organisatorischen Bereich. Der Faktor Mensch stellt uns gerne und oft ein Bein in der Informationssicherheit und damit am Ende auch im Datenschutz. Diese zuvor erwähnten Bausteine sind nach Schichten (Themenbereiche) unterteilt:

So gibt es in der Schicht ISMS beispielsweise einen Baustein mit der Bezeichnung „ISMS.1 Sicherheitsmanagement“. Dieser beschreibt sehr konkret, welche Anforderungen an Informationssicherheit und das Management von Informationssicherheit in einer Organisation gestellt werden, wenn man den Standard BSI IT-Grundschutz als Grundlage heranzieht. Mit konkreten Umsetzungsempfehlungen werden diese Anforderungen weiter detailliert und unterstützen mit wertvollen Details zu möglichen technischen und organisatorischen Schutzmaßnahmen. Damit man auch weiß, woher diese Empfehlungen rühren, enthält jeder Baustein üblicherweise eine sehr konkrete Beschreibung der Gefahrenlage. Darin werden mögliche Risiken beschrieben, welche für das Thema des Bausteins relevant sind und denen man mit den Schutzmaßnahmen im weiteren Verlauf des Bausteins begegnen will.

In der Schicht INF finden sich als weiteres Beispiel Bausteine zur Absicherung von Gebäuden und diversen Räumen innerhalb von Gebäuden, je nach deren Nutzungsart. Wer sich für den Umgang mit Smartphones und Tablets interessiert oder gar mit einer MDM-Lösung (Mobile Device Management) liebäugelt, der wird in der Schicht SYS fündig.

Der IT-Grundschutz ist vergleichbar mit einem Werkzeugkasten im Alltag eines Heimwerkers. Will unser Bob einen Nagel in die Wand schlagen, findet er den passenden Hammer in seinem Kasten. Benötigt er dagegen einen Schlagbohrer samt Dübel und Schraube zur Befestigung, so kann er diese einzelnen Tools aus seinem Werkzeugkasten zum Erreichen seines Ziels ebenfalls auswählen und miteinander kombinieren.

Umsetzungsempfehlungen zu technischen und organisatorischen Maßnahmen – MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT

Um die Anforderungen des BSI IT-Grundschutz zu erfüllen, sollte man wissen, was es mit diesen in der Überschrift genannten Modalverben MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT auf sich hat. Generell sind die Umsetzungsempfehlungen erstmal nur reine Empfehlungen an eine Organisation, wie das Schutzniveau durch geeignete technische und organisatorische Schutzmaßnahmen erreicht oder verbessert werden kann. Geht es jedoch um eine nachweisliche Umsetzung oder Zertifizierung, gilt es bestimmte Empfehlungen zwingend umzusetzen oder zumindest konkret geprüft zu haben, ob und wie man diese zukünftig umgesetzt haben könnte. Es gibt also dann klassische Muss- und Kann-Anforderungen. Ebenso gibt es auch Sachverhalte, die definitiv ausgeschlossen werden müssen. Für die weiter unten angeführten Bausteine zu Heimarbeit und mobilem Arbeiten soll es erst mal ausreichen, MUSS und SOLLTE näher zu betrachten. Weitere Details zu den Modalverben finden Sie hier.

MUSS

„Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).“

SOLLTE

„Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden, bestenfalls schriftlich.“

Die Unterscheidungen innerhalb des IT-Grundschutzes in Basis-, Standard- und Kern-Absicherung lassen wir an dieser Stelle zur Vereinfachung außer Acht. Es geht ja hier nicht um die Einführung eines ISMS auf Basis des IT-Grundschutzes. Normalerweise macht es Sinn und reicht aus, sich mit den sog. Basis- und Standard-Anforderungen in den unten angeführten Bausteinen zu befassen. Sollte Ihre Organisation jedoch einer kritischen Geschäftstätigkeit nachgehen oder Informationen mit sehr hohem Schutzbedarf verarbeiten, lohnt durchaus auch ein Blick in den Abschnitt „Anforderungen bei erhöhtem Schutzbedarf“ des jeweiligen Bausteins.

Konkrete IT-Grundschutz Bausteine für Ihre technischen und organisatorischen Maßnahmen

OPS.1.2.4 Telearbeit – Themen sind hier u.a. Regelungen zur Telearbeit generell, Regelungen zur Privat-Nutzung von Equipement und Anwendungen, Schulung der Mitarbeiter für die in den Richtlinien skizzierten Anforderungen im Telearbeit-Einsatz, Erreichbarkeit und Einbindung von Mitarbeitern am Telearbeitsplatz sowie das Treffen geeigneter Sicherheitsmaßnahmen (IT-Betrieb und organisatorisch).

INF.8 Häuslicher Arbeitsplatz – Schwerpunkt: Einrichtung und Betrieb eines häuslichen Arbeitsplatzes. Themen u.a.: Regelungen für den Arbeitsplatz, Zutritts- und Zugriffsbeschränkungen, IT-Nutzung und deren Absicherung, Transport sowie Vernichtung / Entsorgung von Papierakten und digitalen Datenträgern, Manipulations- und Diebstahlrisiken am häuslichen Arbeitsplatz, sowie Gefährdungen durch Familienmitglieder / Besucher. Gerne wird hier in dem Kontext auf den separat abschließbaren Arbeitsraum zu Hause verwiesen. Wohl dem, der diesen Luxus hat und über ausreichend Platz und Zimmer verfügt. Aber auch für alle anderen Fälle hält dieser Baustein sinnvolle Empfehlungen bereit.

INF.9 Mobiler Arbeitsplatz – Nicht immer wird ein fester häuslicher Arbeitsplatz eingerichtet. Dank Laptop und anderer mobiler Geräte dann aber dennoch aus dem Home-Office gearbeitet. Um diese Aspekte kümmert sich dieser Baustein: Regelungen und Anweisungen zum Arbeiten am mobilen Arbeitsplatz, technische Absicherung der Geräte (Verschlüsselung, Sichtschutzfilter etc.), Akten- und Datenträgertransport, Entsorgung von analogen und digitalen Datenträgern, Diebstahl und Verlust der Geräte (Meldung, Sofortreaktionen), Sicherheit unterwegs (Einsehbarkeit, Verhalten bei Telefonaten etc.)

NET.3.3 VPN – Anforderungen zu Planung und Einrichtung sicherer Virtueller Privater Netzwerke (VPN) zur Sicherstellung der Vertraulichkeit und Integrität. Dabei geht es nicht nur um technische Aspekte, sondern auch um organisatorische Maßnahmen. So ist das Verbot zur Abspeicherung von VPN Zugangsdaten im Client mehr als sinnvoll und angebracht. Macht ja auch Sinn, ansonsten ist die Standleitung in das interne Netz fest eingerichtet 🙂 Ist uns eh ein Rätsel, wieso Anbieter von VPN Software eine solche Option zur Abspeicherung von Zugangsdaten überhaupt als Funktion programmieren.

NET.2.2 WLAN-Nutzung – Unabhängig, ob Nutzung des privaten WLAN oder von WLAN Hot Spots unterwegs, sind technische und organisatorische Maßnahmen zu ergreifen wie Sicherstellen eines ausreichenden Verschlüsselungsstandards WPA2 und höher) oder auch Sensibilisierung der Mitarbeiter im Hinblick auf sog. Rogue Access Points. Letzteres kennen Sie nicht? Nehmen Sie einfach mal einen beliebigen LTE WLAN Router mit Akku, benennen das WLAN nach „Telekom“ oder „WifionICE“, gehen in ein Café Ihrer Wahl und staunen Sie: Innerhalb weniger Sekunden haben sich zahlreiche WLAN Geräte in Ihren Router eingeloggt. Besser und einfacher kann man keine Man-in-the-Middle-Attacken starten.

OPS.1.2.5 Fernwartung – Kommt es am häuslichen Arbeitsplatz oder mit dem Mobilgerät zu technischen Problemen, wird schnell eine Fernwartung durch die eigene IT-Abteilung oder den externen Dienstleister z.B. für Anwendungssupport notwendig. Regelungen zur Vorgehensweise, aber auch zur technischen Absicherung sind unabdingbar. Die entsprechenden Empfehlungen zu Softwareauswahl, Protokollierung der Wartungstätigkeiten etc. finden Sie in diesem Baustein.

OPS.2.2 Cloud-Nutzung – Gerade jetzt werden häufiger Cloud-Services eingesetzt als noch in 2019. Sei es zum reinen Datenaustausch oder Verlagerung ganzer Verarbeitungstätigkeiten im Zuge von SaaS (Software as a Service). Denken Sie einfach nur an die Zunahme bei der Nutzung von Webkonferenz-Diensten oder auch anderer Kommunikationsplattformen, um die Zusammenarbeit zwischen Intern und Extern oder auch gegenüber Kunden zu erleichtern. Neben der technischen Sicherheit wie verschlüsselte Übertragung und verschlüsselte Datenhaltung stehen auch organisatorische Aspekte im Fokus. Welche Daten dürfen überhaupt in die Cloud? Wie sind die Cloud-Services zu nutzen, was ist erlaubt, was nicht? Migriert in die Cloud ist schnell. Aber hat sich auch jemand Gedanken gemacht, was bei einem möglichen Ende der Service-Nutzung geschehen muss? Gibt es vertragliche Regelungen hierzu? Wie kommen Daten wieder zurück? Möglichst kompatibel für eine andere Anwendung.

OPS.1.1.4 Schutz vor Schadprogrammen – Veränderter oder neuer Technologie-Einsatz bringt neue Einfallstüren für Schadprogramme mit sich. Sind die Anforderungen an einen konsequenten Schutz vor Schadprogrammen technisch und organisatorisch berücksichtigt? Klassiker: Laptops, die sich Signatur-Updates für den Virenscanner ausschließlich über einen Update-Server im internen Netz besorgen. Nun sind diese Geräte aber im längeren Außeneinsatz und vielleicht auch ohne VPN Verbindung ins interne Netz im unterwegs. Woher kommen jetzt die Aktualisierungen, wenn zuvor ausschließlich der interne Update-Server als Bezugsquelle zugelassen wurde? Ganz schnell ist der Virenscanner out of date und eine weitere Sicherheitslücke geschaffen. Das ist aber natürlich nicht der einzige Aspekt dieses Bausteins.

ORP.4 Identitäts- und Berechtigungsmanagement – Wie werden Benutzerrechte vergeben für die notwendigen Zugriffe von außen? Auf welche Dateien / Anwendungen muss von außen zugegriffen werden können? Die selbe Fragestellung jedoch auch zu den Cloud-Services: Wer darf / muss auf was zugreifen können? Wie sieht der Rechtevergabe-Prozess dazu aus? Werden überall wo möglich weitere Sicherheitsmaßnahmen ergriffen wie Zwei-Faktor-Authentifizierung (2FA)? Sind die dazu notwendigen Applikationen (Apps) installiert und die Nutzer in deren Handhabung eingewiesen? Auch an die Backup-Codes für die 2FA gedacht und diese gesichert, sollte das Gerät mit der 2FA-App nicht mehr einsatzfähig sein? Nein? Dann viel Spaß. Denn ohne den eigentlichen 2FA-Token oder einen Backup-Code kommen Sie so schnell nicht mehr an Ihren Account – wenn überhaupt.

ORP.3 Sensibilisierung und Schulung – Mitarbeiter sind ein großer (Un-) Sicherheitsfaktor in einer Organisation. Das sind sie jedoch selten mit Absicht. Hauptursachen sind fehlende Kenntnis von Regelungen und Vorgehensweisen sowie fehlende Sensibilisierung. Ist ja auch kein Wunder, denn Schulungen und Sensibilisierungen bringen keinen Umsatz und halten noch dazu die Mitarbeiter von deren Kerntätigkeiten ab. Paart sich das noch mit gesteigertem Selbstbewußtsein – „Ich weiß eh alles (besser)“, dann ist der Boden für den nächsten Sicherheitsvorfall bestens bereitet. Von daher ist auch dieses Thema im Kontext Heimarbeit und mobiles Arbeiten von großer Bedeutung.

Wenn dann doch mal was schiefgeht: „Hallo, ich bin’s. Der Sicherheitsvorfall“

Unsere Empfehlungen:

  • Sorgen Sie für klare Prozesse, was im Fall von Sicherheitsvorfällen und Datenpannen durch Mitarbeiter und alle weiteren notwendigen Beteiligten (DSB, ISB, IT, Organisationsleitung) zu tun.
  • Machen Sie diese Prozesse bekannt und leicht zugänglich, egal ob Papierformulare, Ticket-System oder anderweitige Lösung.
  • Nehmen Sie Ihren Mitarbeitern die Angst, einen (möglicherweise selbst verursachten) Sicherheitsvorfall sofort zu melden. Es geht nicht darum, einen möglichen Schuldigen zu bestrafen, sondern das eingetretene Risiko in den Begriff zu bekommen.
  • Fokussieren Sie sich auf das „Wie konnte das passieren?“ statt „Wer hat das verursacht?“. Ausnahme: Wenn ein und der selbe Mitarbeiter trotz guter Sensibilisierung zum Thema Kryptotrojaner in einer Woche bereits zum fünften Mal „Makros aktivieren“ anklickt und das Drama seinen Lauf nimmt. 🙂
Help Button

Ein guter Einstieg könnte die sog. IT-Notfallkarte „Verhalten bei IT-Notfällen“ der Allianz für Cybersicherheit sein. Bitte daran denken, die Hinweise und Abläufe mit dem internen Meldeprozess von Datenpannen him Hinblick auf Art. 33 und 34 DSGVO zu verzahnen.

Aber auch ein Blick zurück in den IT-Grundschutz kann nicht schaden, speziell in die Schicht DER: Detektion und Reaktion und deren Bausteine.

Wenn sensibilisieren nicht ausreicht: weiter sensibilisieren

Ebenfalls von der Allianz für Cybersicherheit gibt es in deren Informationspool, aber auch vom Bürger-CERT praktische und anschauliche Tipps, Muster und Vorlagen zur Sensibilisierung von Mitarbeitern. Auch gut anzuwenden im Kontext Heimarbeitsplatz und mobiles Arbeiten. Reinschnuppern lohnt auf jeden Fall -> Link zu Awareness.

Die VBG hat zum Thema Mobiles Arbeiten einen leicht verständlichen Flyer veröffentlicht, der nicht nur die Aspekte Arbeitsschutz beleuchtet, sondern auch auf Sicherheitsprobleme und mögliche Lösungen eingeht.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ein Faltblatt „Telearbeit und Mobiles Arbeiten“ und deren datenschutzgerechte Ausgestaltung veröffentlicht.

Ja, es kann nerven. Aber sowohl der Datenschutz als auch die Informationssicherheit lieben geschulte und sensibilisierte Mitarbeiter. Deren Arbeitgeber sollten das auch so halten. Wer sich mal mit den Nachwirkungen und Aufwänden von größeren Datenpannen und Sicherheitsvorfällen beschäftigt hat bzw. diese selbst ausbaden musste, der weiß: „Vorbeugen ist besser als Nachsorgen.“ – Haben Sie jetzt etwa mit einem anderen Spruch gerechnet?

Und es muss ja nicht immer die klassische Face-2-Face-Veranstaltung sein. Bestenfalls noch 100 Mitarbeiter oder mehr in einem Raum. Abgesehen davon, dass dies aktuell aufgrund der Abstandsregeln eh kaum geht. Außer Sie mieten eine Messehalle. In der Praxis laufen solche Groß-Schulungsveranstaltungen nach einem bekannten Schema ab. Einer steht vorne und spricht. Das Auditorium schläft zu 50%, die andere Hälfte spielt (natürlich vollkommen unbemerkt unter dem Tisch) mit dem Smartphone.

Nutzen Sie andere Möglichkeiten und bilden Sie einen Mix, einen bunten Blumenstrauß aus verschiedenen Wegen, Ihre Zielgruppe Mitarbeiter zu erreichen. Online-Schulungen, Webinare, Rundmails, witzige Flyer und Plakate. Witzig? Wie sind die bei a.s.k. Datenschutz denn drauf? Das Thema ist viel zu ernst. Genau. Und deswegen witzige Kommunikation. Eine positive Emotion wie ein freundliches Lachen, die Sie mit Ihrer Aktion ausgelöst haben, sorgt dafür, dass die übermittelte Botschaft viel tiefer in die Zielgruppe einsickert als Vorträge bei Kerzenschein mit erhobenem Zeigefinger. Wobei auch das, einen abgedunkelten Raum vorausgesetzt, der Referent in Kutte und mit Begleitung von Choral-Musik seinen Platz vorne einnehmend, durchaus ein bewußtes Stilmittel zum Erzeugen der notwendigen Aufmerksamkeit sein kann. Nur nicht jede Veranstaltung so durchführen, nutzt sich ab 🙂

Hand in Hand: Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit sind nicht identisch, was jetzt keine neue Erkenntnis darstellt (hoffentlich!). Es gibt aber durchaus Schnittmengen bzw. Werkzeuge, die in beiden Themen zur Anwendung kommen können. Eines dieser Instrumente sind die technischen und organisatorischen Maßnahmen. Und hierzu bietet gerade der BSI IT-Grundschutz (aber auch der früher daraus abgeleitete Standard ISIS12) in großem Umfang praktische Unterstützung. So hilft dieser nicht nur bei der Identifikation möglicher Risiken (Gefährdungen), sondern bringt zugleich recht umfangreich Handlungsempfehlungen / Maßnahmen ein, mittels derer man Eintrittswahrscheinlichkeit und / oder Schadensausmaß begrenzen kann. Von daher bietet es sich aus Sicht des Datenschutzes an, einen weiten Blick über den Tellerrand in das Feld der Informationssicherheit zu werfen. Die Mühe lohnt sich ganz schnell.

Hilfe Hürde

Wir hoffen, Sie haben einen guten ersten Eindruck gewinnen können, wie man am Beispiel Telearbeitsplatz / Mobiles Arbeiten den Werkzeugkoffer der Informationssicherheit auch im Datenschutz bestens einsetzen kann. Die Details zu Risiken und Handlungsempfehlungen aus dem IT-Grundschutz haben wir hier im Beitrag nicht angeführt. Wenn Sie die oben genannten und verlinkten Bausteine des BSI IT-Grundschutz anklicken, kommen Sie direkt zu den weiterführenden Informationen auf der Webseite des BSI. Und hoffen wir mal, dass die Links für eine Weile von Bestand sein. Das war in der Vergangenheit leider nicht immer der Fall. Gell, liebes BSI Team? Aber danke für eure Mühe und diesen tollen Standard. Der IT-Grundschutz hat leider oft einen schlechten Ruf. Nach unserem Dafürhalten zu Unrecht. Gerade im deutschsprachigen Raum, aber nicht nur da, der „heiße Scheiß“ der Informationssicherheit 😉

lfdi bidib bildungszentrum

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit – LfDI Baden-Württemberg, Dr. Stefan Brink, hat in diesem Monat ein neues Bildungszentrum eröffnet. Das „Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg“ (BIDIB) informiert alle interessierten Bürger, zivilgesellschaftliche Gruppen, Vereine, Verbände, Unternehmen etc. unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ und bildet ein Forum für die modernen Grundrechte Datenschutz und Informationsfreiheit. 

Das BIDIB des LfDI als neues Forum der Bildung und Diskussion

Die offizielle Website des BIDIB können Sie hier aufrufen und die zugehörige Pressemitteilung hier. Die mit Mitteln des Landtags Baden-Württemberg etablierte Bildungseinrichtung gibt Bildungs- und Diskussionsveranstaltungen Raum, in denen politische, ethische, rechtliche und soziologische Aspekte des Datenschutzes und der Informationssicherheit behandelt werden. Die Darreichungsformen sind u.a. digitale Formate, Vorträge, Konferenzen, Workshops und Schulungen, die mit dem Know-how der LfDI Baden-Württemberg Mitarbeitenden gespeist werden. Dazu gehört auch eine Diskussionsreihe mit Dr. Stefan Brink zu verschiedenen gesellschaftsrelevanten Themen. 

Zukunftsweisende Aspekte

Der LfDI Baden-Württemberg sieht „bedarfsgerechte Bildungsangebote, die diese Grundrechte aus möglichst vielen Perspektiven beleuchten und durchdringen [..] von grundlegender und gesamtgesellschaftlicher Bedeutung“. Neben dem stetigen Ausbau der Veranstaltungs- und Bildungsangebote ist auch die Erweiterung um / bestehender Kooperationen wie mit Handelskammern, Gewerkschaften, Parteien und weiteren Organisationen avisiert. Nach der Aufbauphase des BIDIB bis voraussichtlich Ende diesen Jahres wird das Bildungszentrum über eigene Räumlichkeiten verfügen.

Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg 

Zu den Gratulanten gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Kelber, die Gesellschaft für Freiheitsrechte und der CCC. Insbesondere in Zeiten, in denen vielerorts unausgereifte Digitalisierung mit zeitgleichem Rückgang der Transparenz vorangetrieben wird und der Bürger weit weniger rational auf das digitale Zeitalter eingestellt wird als er annimmt, sind Einrichtungen der Bildung, der zeitgemäßen Aufklärung und des Diskurses mehr als notwendig. Es wäre zu begrüßen, wenn noch weitere solcher Einrichtungen in den Bundesländern etabliert würden. 

BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

Europatag 2020 - Videoreihe zum Datenschutz

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) vom 15.05.2020 wird zum Europatag 2020 eine Videoreihe vorgestellt.

Jubiläum – 70 Jahre EU und der Datenschutz zum Europatag 2020

Der französische Außenminister Robert Schuman prägte mit dem Ausspruch, dass „Europa [..] durch konkrete Tatsachen entstehen [wird], die zunächst eine Solidarität der Tat schaffen.“ am 09. Mai 1950 das politische Bewusstsein für die Gründung der Europäische Union. Als Urheber der DSGVO wird die EU sowie der Europatag 2020 selbstverständlich auch von Datenschützern aller Herren Länder begangen und gefeiert. Anlässlich dieses – 70-jährigen – Jubiläums ehrt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ein zusammenwachsendes Europa auf besondere Art.

Videoreihe des LfDI

Unter dem für „LfDI“ akronymen Titel „Datenschutz – zum Luaga fir Dahoim ond Iberall“ werden in lockerer und aufschlussreicher Form Themen des Datenschutzes und der Informationssicherheit behandelt und wie europaweit geltende Regelungen in dem Bundesland umgesetzt werden.

Das aktuelle Video zum Europatag 2020

In der ersten Folge wird eine Einführung passend zum Thema Datenschutz zum Europatag 2020 in das Thema Datenschutz vermittelt mit Grundbegriffen und Tipps. Neben Erläuterungen der Begriffe personenbezogener Daten und der Verarbeitung dieser werden Sinn und Nutzen des Datenschutzes prägnant thematisiert. Letzteres ist noch nicht überall eine Selbstverständlichkeit. Die Zuordenbarkeit von Daten zu Personen wird mit Beispielen wie KFZ-Kennzeichen und Videoaufzeichnungen veranschaulicht. Tragende Grundsätze des Datenschutzes wie u.a. die nachfolgenden werden erklärt:

  • Integrität
  • Vertraulichkeit
  • Zweckbindung
  • Transparenz

Auch Rechtmäßigkeit, Rechenschaftspflichten und die Betroffenenrechte nach Artt. 15 ff. DSGVO sind Gegenstand der Betrachtung. Das Prozessprinzip Plan, Do, Check, Act sowie die Meldung von Datenpannen auf dem online Wege und die Abgrenzung von Auftragsverarbeitung und Gemeinsamer Verantwortlichkeit iSd. Art. 26 DSGVO werden dem Zuschauer näher gebracht.

Weitere Episoden zum Datenschutz

Nicht nur zum Europatag 2020, sondern generell ist dies eine vielversprechende Reihe, Anwendern und Betroffenen wichtige Aspekte des Datenschutzes und auch der Informationssicherheit in einem informativen und gut konsumierbaren Format anzubieten. Für die folgenden Videos werden detailliertere Themen wie „Löschkonzept“ und „Transparenzpflicht“ angekündigt. Adressaten der Videoreihe seien „insbesondere [..] kleine und mittelständische Unternehmen, Vereine und natürlich auch an unsere Kommunen.“

Training und Betreuung von Datenschutzexperten

Die Herausforderungen für Unternehmen und Kommunen im Datenschutz sind sehr anspruchsvoll. Rufschädigende oder kostenintensive Fehler sind schnell passiert. Wenden Sie sich vertrauensvoll an Ihren Datenschutzbeauftragten. Sie haben keinen? Dann fordern Sie doch einfach ein unverbindliches Angebot für einen externen Datenschutzbeauftragten bei uns an.

Datenpannen in Transparenz

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO. 

Vermeiden und kommunizieren 

Es ist bereits die halbe Miete, Datenpannen präventiv – u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien – auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes. 

Meldungen von Datenpannen 

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet. 

Dunkelziffer von Datenpannen 

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind. 

Aufsichtsbehörden 

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert. 

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden. 

Datenpannen bitte dokumentieren / melden 

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell – z.B. in Checklistenform – zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s. 

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung.