Die hier angebotenen Schulungen und Seminare zum Thema “Datenschutz und Datensicherheit” wenden sich sowohl an Mitarbeiter und Führungskräfte eines Unternehmens als auch an Unternehmer selbst. Auf spielerische Art und Weise sollen abseits trockener Gesetzestexte und Paragraphen die Grundlagen von Datenschutz und Sicherheit vermittelt und für die Themen sensibilisiert werden. Dies erfolgt unter anderem an praktischen Beispielen aus dem beruflichen und privaten Alltag. Jeder Teilnehmer erhält nach der Veranstaltung ein entsprechendes Zertifikat, welches als Nachweis für Schulungen gem. Bundesdatenschutzgesetz (BDSG) gilt. Online Buchungen erhalten einen Preisnachlass (siehe Veranstaltungsdetails). Details zu Inhalten, Ort und Zeit sowie den Buchungsmöglichkeiten entnehmen Sie bitte den einzelnen Veranstaltungsterminen: METASCHULUNGEN Unternehmensinterne Schulungen sind ebenfalls mit entsprechendem Zuschnitt auf Ihre Bedürfnisse und Inhalte möglich. Sprechen Sie mich an. [wpfilebase tag=’file‘ id=’5′]
Während des Studiums der Medien- und Kommunikationswissenschaften freiberuflicher IT Berater in den Bereichen Vernetzung und Unternehmenskommunikation. Langjährige Führung von Franchise-Zentralen bekannter internationaler Franchise-Systeme und Mitglied der Geschäftsleitung für die Bereiche Operations, IT und Business Development. Seit 2007 Berater in den Bereichen Unternehmens- und Organisationsentwicklung, Prozessanalysen und Optimierung, Standort- und Potentialanalysen sowie Franchise Beratung und Konzeption. Auf Basis meiner bisherigen Tätigkeiten Fort- und Weiterbildungen im Bereich Datenschutz und Übernahme der Aufgaben eines externen Datenschutzbeauftragten nach BDSG. Meine Prämisse ist es, das Gleichgewicht zwischen vom gesetzlichen Datenschutz vorgeschriebenen Schutzmaßnahmen auf der einen Seite und den vom Aufwand her vertretbaren, daraus resultierenden Aufwendungen und Investitionen auf der Unternehmensseite herzustellen. Ihr Unternehmen soll auf Basis der aktuellen Erkenntnisse nicht über Gebühr, sondern im vertrebaren Maß durch die notwendigen Schutzmaßnahmen belastet werden. Die enge Zusammenarbeit mit der Unternehmensführung und den Mitarbeitern ist mir sehr wichtig. Ich möchte auf vertrauensvoller Basis Verständnis schaffen und ebenfalls die Vorteile des Datenschutz für jeden Beteiligten verständlich machen. Als Mitglied des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V., Berlin (Webseite) ist für mich die Einhaltung unseres beruflichen Leitbilds selbstverständlich. Sofern Sie einen (externen) Datenschutzbeauftragten benötigen und sich über die Bestellung meiner Person hierzu informieren wollen, empfehle ich Ihnen die Lektüre dieser ausgewählten…
Sie erreichen mich telefonisch unter mobil unter 01520 – 920 06 55 per Fax unter per Email oder via Skype Für eine sichere und verschlüsselte Übertragung Ihrer Email Nachricht an mich können Sie openPGP verwenden. Die notwendige Software zum Herunterladen: gpg4win. Sie benötigen zusätzlich meinen Public PGP Key Sascha Kuhrau Ihr schneller Kontakt: [scaleable-contact-form]
Rechtliches Bundesdatenschutzgesetz Telemediengesetz Betriebsverfassungsgesetz EU Datenschutzrichtline Hilfreiches Bundesamt für Sicherheit in der Informationstechnik Bürger-CERT – Das Bürger-CERT informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut neutral Eintrag “Bundesdatenschutzgesetz” bei Wikipedia Eintrag “Datenschutzbeauftragter” bei Wikipedia Der Bundesdatenschutzbeauftragte Peter Schaar im Internet ELENA auf der Seite des Bundesdatenschutzbeauftragten Vorratsdatenspeicherung auf der Seite des Bundesdatenschutzbeauftragten “Meine Daten kriegt ihr nicht” – Schulungsmaterialien für Lehrer und Interessierte Datenschutzkonforme Ausgestaltung von Webseiten Tracking und Analyse (Oberste Datenschutzbehörde für den nicht-öffentlichen Bereich Mecklenburg-Vorpommern) Buchtipps Datenschutz / Datensicherheit Datenschutz kompakt und verständlich: Eine praxisorientierte Einführung und Online-Service Datenschutzrecht: Bundesdatenschutzgesetz, Informationsfreiheitsgesetz, Artikel 10-Gesetz, Strafprozessordnung (Auszug), Telemediengesetz, Telekommunikationsgesetz (Auszug), EG-Datenschutz-Richtlinie Aufsichtsbehörden für den nicht-öffentlichen Bereich (Unternehmen etc.) Baden-Württemberg Bayern Berlin Brandenburg Bremen Hamburg Hessen Mecklenburg-Vorpommern Niedersachsen Nordrhein-Westfalen Rheinland-Pfalz Saarland Sachsen Sachsen-Anhalt Schleswig-Holstein Thüringen
Im Tätigkeitsbericht für das Jahr 2021 hat das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) — externer Link: https://www.lda.bayern.de/media/baylda_report_11.pdf — ein interessantes Thema aus dem Arbeitsalltag einer jeden Organisation beleuchtet. Nämlich den Umgang mit Bewerberdaten im Rahmen der Organisation von Bewerbungsgesprächen. An Bewerbergesprächen nehmen in den meisten Organisationen normalerweise mehrere Personen teil. Eine Termineinladung über Outlook oder vergleichbare Tools bringt die notwendigen internen Personen und den / die Bewerber zum richtigen Zeitpunkt an den Tisch. Was dabei aus Sicht des BayLDA so alles aus Sicht des Datenschutzes schiefgehen kann, findet sich ab Seite 50 des TB 2021 (oben verlinkt).
Terminvereinbarungen mit Bewerbern via (Outlook-) Kalendereinladung
Bewerbermanagement benötigt unter anderem Termine für die Vorstellungsgespräche. Aktuelle Kollaborationstools wie z.B. Outlook verwalten die Termine für die nötigen Bewerbungsgespräche samt der dazugehörigen Einladungen an die dafür notwendigen Personen im Kalender der organisierenden Personalabteilung aber auch der Teilnehmer. Die Eintragungen enthalten für gewöhnlich den Namen des Bewerbers oder der Bewerberin und zumeist Angaben zu der Stelle, auf die sich das Bewerbungsgespräch bezieht. In manchen Fällen kommen noch weitere Informationen hinzu. Gelegentlich sind zur Informationsverteilung sogar nochmals die Bewerbungsunterlagen beigefügt.
Kalender-Eintragungen geraten schnell zum Datenschutz-Problem
Das BayLDA hat keine Probleme damit, dass der Name des Bewerbers im Kalender und in der Einladung stehen. Es hat auch nichts dagegen, dass das Stichwort „Bewerbungsgespräch“ enthalten ist. Bei allem, was darüber hinausgeht, sieht das BayLDA jedoch folgende datenschutzrechtliche Probleme bzw. Anforderungen
Eingeschränkter Zugriff auf die Daten des Bewerbers (Vertraulichkeit) und Einhaltung eines geeigneten Löschkonzepts müssen sichergestellt sein
Organisationen dürfen Daten von Personen, die sich bewerben, nur an einem Speicherort speichern, der dazu aus der Sicht des Datenschutzes geeignet ist. Dafür muss dieser Speicherort zumindest zwei Kriterien genügen:
Es muss ein Zugriffskonzept vorhanden sein. Es muss also genau definiert sein, wer auf die Daten zugreifen kann. Der Kreis der Zugriffsberechtigten muss auf ein Mindestmaß beschränkt sein.
Es muss feststehen, wann und wie gespeicherte Daten des Bewerbers wieder gelöscht werden. Sie dürfen nur so lange gespeichert werden, wie das erforderlich ist. Auch dieses Prinzip ist im Datenschutz nicht neu.
Bei Kalender-Einträgen und geteilten Kalenders ist beides oft schwierig
Wichtig dabei: Diese Konzepte sollten nicht nur auf dem Papier vorhanden sein, sondern auch — beleg- und nachvollziehbar — gelebt werden. Nicht ganz zu Unrecht kommentiert das BayLDA dazu, dass “die beiden zuvor genannten Kriterien bei Kalendernutzungen in den meisten Anwendungsfällen der Praxis nicht erfüllt werden.” Dies scheitert zumeist schon an den üblichen Vertretungsregelungen für Mail-Postfächer und Kalender. Sie führen dazu, dass immer wieder auch solche Mitarbeiter auf Daten Zugriff haben, die überhaupt nicht an Bewerbungsgesprächen beteiligt sind.
Outlook und andere Tools verleiten zu großzügigen Zugriffsregelungen
Solche Kalenderfreigaben sind vielfach sehr großzügig ausgestaltet. Das soll Terminplanungen unter mehreren Beteiligten erleichtern, was ja durchaus praktisch ist. Es kann aber auch dazu führen, dass Mitarbeiter Zugriff auf Kalenderdaten haben, obwohl es nicht erforderlich wäre. Dasselbe gilt bei Gruppenpostfächern, auf die mehrere Personen Zugriff haben.
Konsequenz des BayLDA: Ergänzende Unterlagen gehören nicht in Outlook-Kalender
Vor diesem Hintergrund sieht es das BayLDA sehr kritisch, wenn Bewerbungsunterlagen, Gesprächsnotizen und Vorbereitungsvermerke für ein Bewerbungsgespräch im Outlook-Kalender gespeichert werden. Sie gehören dort nicht hin, sondern vielmehr in die Obhut der Stelle, die für Personalangelegenheiten der Organisation zuständig ist. Diese kann bei konkretem Bedarf den Personen einen Zugriff einräumen, die am Bewerbungsverfahren mitwirken müssen.
Die Löschung aller Daten muss sichergestellt sein (Löschkonzept)
Besonderen Wert legt das BayLDA auf die ordnungsgemäße Löschung der Daten nach dem Abschluss eines Bewerbungsverfahrens. Dabei sieht es durchaus, dass auch dann noch ein Zugriff auf Bewerberdaten erforderlich sein kann. Das gilt etwa, wenn Berichtspflichten der Organisation z.B. gegenüber der Agentur für Arbeit bestehen.
Vorsicht Falle: Der Auskunftsanspruch von Bewerbern geht sehr weit
In der Praxis sollte man sich die Frage stellen, ob man nicht sogar auf den Namen des Bewerbers im Outlook-Kalender verzichten sollte. Denn es kommt immer wieder vor, dass ein Bewerber Auskunftsansprüche nach Art. 15 DSGVO geltend macht. Dies ist besonders häufig, wenn jemand die Stelle nicht bekommen hat und beispielsweise behauptet, das liege an einer Diskriminierung seiner Person. Viele Juristen sind der Auffassung, dass sich der Auskunftsanspruch dann auch auf die Eintragungen im Outlook-Kalender erstreckt.
Der Aufwand, der dadurch entsteht, ist erheblich. Die Organisation muss nämlich den gesamten Outlook-Kalender durchsuchen lassen. Außerdem ist unter Umständen eine Abfrage dazu erforderlich, welche Mitarbeiter Eintragungen daraus übernommen und lokal abgespeichert haben. Dies alles lässt sich vermeiden, wenn der Name des Bewerbers nicht in den Outlook-Kalender aufgenommen wird.
Fazit: Struktur und organisationsweite Regelung notwendig
Im Rahmen eines strukturierten Bewerbungsprozesses sollte jede Organisation diese Aspekte bereits berücksichtigen und verbindliche Vorgehensweisen festschreiben. Das erleichtert eine einheitliche und vereinfachte Vorgehensweise gegenüber der Methode “Jeder macht, was er will” 🙂
Es dürfte sich rumgesprochen haben: Personenbezogene Daten sind zu schützen. Das es dabei nur sekundär um die personenbezogenen Daten an sich geht, sondern primär die Person vor Schaden bewahrt werden soll, auf die sich diese Daten beziehen (der sog. “Betroffene”), wird den meisten Anwendern der DSGVO ebenfalls klar sein. Doch was will der Gesetzgeber hier eigentlich von den sog. “Verantwortlichen”, also all den Unternehmen, Vereinen, Bundes- und Landesbehörden sowie Kommunalverwaltungen? Werfen wir mal einen Blick auf Artikel 32 DSGVO.
So steht es in Artikel 32 DSGVO
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Was will Artikel 32 DSGVO in der Praxis?
Dreh- und Angelpunkt sind die technischen und organisatorischen Maßnahmen, auch kurz TOM genannt. Mittels einer geeigneten Auswahl und Anwendung dieser Schutzmaßnahmen (quasi eine Art Werkzeugkasten) sollen personenbezogene Daten vor den alltäglichen Risiken bei deren Verarbeitung (also Erhebung, Speicherung, Nutzung, aber auch beabsichtigter Löschung und Vernichtung) geschützt werden. Dabei soll nicht alles an Schutzmaßnahmen ergriffen werden, was irgendwie geht, sondern der Gesetzgeber spricht von einer Angemessenheit. Die Schutzmaßnahmen müssen also zum Schutzwert der betroffenen personenbezogenen Daten passen. Dabei sollen dann auch Faktoren wie die Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß für den Betroffenen — ganz wichtig: nicht für die eigene Organisation — berücksichtigt werden.
Interessanterweise erfindet “der Datenschutz” hier das Rad mal nicht neu. Wir finden Punkte wie
Vertraulichkeit,
Integrität und
Verfügbarkeit,
die Sicherstellung der Wiederherstellbarkeit von Daten z.B. im Rahmen von Business Continuity Management und Notfallmanagement, aber auch
Revisionszyklen (PDCA) zur Überprüfung der Wirksamkeit vorhandener Schutzmaßnahmen sowie zur
Identifikation von möglicherweise zusätzlichen oder anzupassenden Schutzmaßnahmen aufgrund neuer Risiken oder Veränderungen an bestehenden Risiken.
Und ganz egal, ob man das hören mag oder nicht: Am Ende beschreiben diese Punkte und Begrifflichkeiten ein klassisches Informationssicherheitsmanagementsystem, kurz ISMS. Wer sich mit dem Thema Informationssicherheit schon näher befasst hat, wird feststellen: Personenbezogene Daten sind eine Untermenge der schützenswerten Informationen einer Organisation. Na, schau mal einer an.
Schreibt Artikel 32 DSGVO nun ein ISMS vor?
Die Begriffe Informationssicherheit oder ISMS fallen zwar nicht wörtlich, aber gerade die in Artikel 32 Absatz 1 DSGVO genannten Punkte, beschreiben dem Sinn nach nichts anderes als ein Informationssicherheitskonzept bzw. ISMS. Das bedeutet nun nicht, dass man ein solches ISMS zur Einhaltung von Art. 32 DSGVO einführen muss, um rechtskonform unterwegs zu sein. Aber es wird halt mühselig. Gut, es gibt immer Menschen und Organisationen, die mögen es umständlich 🙂
Was liegt also näher, als sich diesen Anforderungen systematisch zu nähern, statt einfach wild ein paar möglicherweise geeignete Schutzmaßnahmen zusammenzuschustern? Und sobald man ein Informationssicherheitskonzept eingeführt hat, geht es ja nicht nur den personenbezogenen Daten gut. Auch alle anderen “Kronjuwelen” einer Organisation fühlen sich behütet und beschützt. Also gleich mehrere Fliegen mit einer Klappe erschlagen. Grüße vom tapferen Schneiderlein.
Dabei sollte man jedoch im Hinterkopf behalten, dass Informationssicherheit sich im Rahmen der sog. Risikoanalyse vorrangig mit den Auswirkungen auf die Organisation befasst. Die Fragestellung lautet zu Beginn: Was für Auswirkungen haben die Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von schützenswerten Informationen (und damit sind personenbezogene Daten eingeschlosen) für meine Organisation im Hinblick auf
mögliche Vertragsverletzungen und Rechtsverstöße,
finanzielle Schäden wie Vertragsstrafen, Bußgelder oder auch Schadenersatz,
negative Auswirkungen auf Reputation / Image,
mögliche Beeinträchtigung der Aufgabenerfüllung,
mögliche Beeinträchtigungen der informationellen Selbstbestimmung (Datenschutz) und
bei einem Sidekick in Richtung Notfallmanagement auch Gefahr für Leib und Leben.
Die Risiken im Bereich Datenschutz werden zwar schon grob erfasst, aber im Hinblick auf die Auswirkungen für die Organisation. Der Trick besteht darin, mögliche Risiken für den Betroffenen wie Identitätsdiebstahl oder Verlust seiner Betroffenenrechte und noch weiterer Punkte zu inkludieren. Kein Hexenwerk. Und vor allem muss man das Rad nicht neu erfinden.
Welche Systematik für ein Informationssicherheitskonzept darf es denn sein?
Das Schöne ist, es gibt auf dem Markt seit Jahrzehnten bewährte und kontinuierlich weiterentwickelte Standards für Informationssicherheit. Und selbst wenn diese die Auswirkungen im Datenschutz für den Betroffenen nicht bereits inkludiert haben, sind diese in der Risikobetrachtung mit wenigen Handgriffen integriert und berücksichtigt. “That’s no rocket science!”
Sicher kennen viele Leser eine ISO 27001 als weltweite Norm für Informationssicherheit oder auch den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz BSI). Es hält sich das Gerücht hartnäckig, diese seien für kleine und kleinste Organisationen viel zu groß und aufwändig. Die Praxis zeigt, dem ist nicht so. Aber selbst, wenn man dieser Argumentation folgt, so gibt es Alternativen wie (Reihenfolge nicht wertend)
ISIS12 / CISIS12 — ein Informationssicherheitskonzept in 12 Schritten
VDS 10000 — ehemals 3473, ursprünglich ein Fragebogen für Risiken im Bereich Cybersicherheit
TISAX — im Kontext von Automobilzulieferern weit verbreitet oder
das unter dem Titel “Arbeitshilfe” bekannte Konzept zu Einführung und Betrieb eines ISMS der Innovationsstiftung Bayrische Kommune.
Darüberhinaus gibt es auch noch weitere Systematiken und Vorgehensweisen, aber wir beschränken uns mal auf die oben genannten Vertreter. Unsere Empfehlung lautet stets: Nutzen Sie eine der vorhandenen Vorgehensweisen und erfinden Sie das Rad bitte nicht neu. Warum? Diese Vorgehensweisen / Vertreter für ein ISMS
haben sich über lange Zeit in der Praxis bewährt,
sind für jede Art von Organisation anwendbar, da — welch’ Überraschung — Informationssicherheit universell ist,
decken allesamt stets die Mindestanforderungen an Informationssicherheit ab,
sind skalierbar im Hinblick auf Organisationsgrößen aber auch auf das zu erreichende Sicherheitsniveau,
sparen Ihnen Zeit und Nerven,
helfen, gern gemachte Fehler bei Einführung und Betrieb eines ISMS von vornherein zu vermeiden (RTFM).
Die “Arbeitshilfe” — der ideale Einstieg in Artikel 32 DSGVO für kleine und große Einrichtungen
Wessen Organisation noch so gar keine Erfahrung hat mit dem Thema Informationssicherheit oder die ISO 27001 und dem IT-Grundschutz für zu wuchtig hält, steigt idealerweise über die “Arbeitshilfe” in das Thema ein. Damit können größere Organisationen erste Erfahrungen sammeln, bevor es danach mit “größeren” Standards ans Eingemachte geht. Und bei kleineren Einrichtungen kommt man bei konsequenter Anwendung des Standards “Arbeitshilfe” bereits zu einem funktionierenden ISMS mit dazugehörigen PDCA-Zyklus.
Dieser Standard wurde 2016 im Auftrag der Bayrischen Kommunalen Spitzenverbände von uns für die Innovationsstiftung Bayrische Kommune entwickelt. Mittlerweile ist Version 4.0 aktuell. Ein Update auf Version 5.0 wird voraussichtlich in 2023 erscheinen. Ist der Standard dann überhaupt für Unternehmen und Vereine geeignet, wenn er doch aus dem kommunalen Bereich stammt? Ja klar. Wie zuvor schon geschrieben, ist Informationssicherheit eine universelle Angelegenheit, die vom anzustrebenden Schutzwert für schützenswerte Informationen ausgeht. Dabei ist es unerheblich, ob eine Firma oder eine Verwaltung Informationssicherheit betreibt. Der einzige Knackpunkt bei Nutzung der Arbeitshilfe: Gelegentlich muss man Begrifflichkeiten wie Bürgermeister, Landrat oder Verwaltung gegen die Pendants aus der freien Wirtschaft tauschen. Aber das bekommen Sie hin 🙂
In 9 Kapiteln führt die “Arbeitshilfe” eine Organisation in die notwendigen Anforderungen für ein ISMS ein und legt die Grundlagen für den späteren Betrieb im Hinblick auf “ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.” Gleichzeitig unterstützt die Systematik bei der Entdeckung möglicher Schwachstellen und zeigt Lösungswege auf, diese zeitnah zu beseitigen.
Die Systematik, Anleitung und Dokumente zur Bearbeitung der “Arbeitshilfe” stehen kostenfrei zum Download zur Verfügung. Im ersten Durchlauf werden auch keine Investitionen in eine ISMS-Software notwendig. Im laufenden Betrieb empfiehlt sich diese dann später jedoch, um die Dokumentation und regelmäßige Nachprüfung, aber auch das Berichtswesen zu erleichtern. Bei Interesse an einer solchen Lösung sprechen Sie uns bitte an.
Kleines Schmankerl: Je nach Bundesland können Fördermittel aus diversen Töpfen zur Erhöhung der Informationssicherheit oder IT-Sicherheit oder Digitalisierung angezapft werden. Wenn Sie sich also zur Unterstützung und Begleitung der Einführung oder auch für Mitarbeiterschulungen externe Hilfe heranholen, können die Ausgaben hierfür gefördert werden.
Wenn man ein solches ISMS dann auch noch mit einem funktionierenden Datenschutzmanagementsystem (DSMS) verknüpft, dann hat man einige Sorgen weniger bzw. sich unnötige Umstände und Mühen aufgrund unsystematischer Vorgehensweisen erfasst. Gleichzeitig hat man, den aktiven Betrieb beider Systeme vorausgesetzt, auch nicht bange zu sein, sollte die Landesdatenschutzbehörde mal klingeln. Und das ist viel wert. Das wissen zumindest die Organisationen, bei denen das schon der Fall war 😉
Gelegentlich kann man einfach nur den Kopf schütteln. Hilft zwar nicht bei der Suche nach einer plausiblen Antwort, aber irgendwie geht es einem doch etwas besser. So auch in diesem Fall. Wieso wir mit dem Kopf schütteln? Nun, die Frage lautet: Wer denkt sich so etwas aus? Auf jeden Fall ein typisches Beispiel für “Komfort geht über Sicherheit”. Und da wissen nun eigentlich (fast) alle, dass dies nicht immer unbedingt der beste Ansatz ist. Doch was war passiert?
WLAN Zugangsdaten im Klartext im Fritz!Fon einsehbar
Wir trauten unseren Augen kaum, als wir die Tage mehr zufällig auf den Unter-Menüpunkt WLAN im Menü Heimnetz eines Fritz!Fox gekommen sind.
Bei Auswahl der Option WLAN-Zugangsdaten und Gast-Zugangsdaten sind die WLAN-Netzwerknamen und die dazugehörigen Zugangspasswörter im Klartext einsehbar. Über die Funktionen WLAN-QR-Code und Gast-QR-Code ist via Kamera eines Smartphones oder Tablets mit wenig Handgriffen eine Verbindung hergestellt. Schutz davor? Keiner!
In geschlossenen Familien-Biotopen oder in Zeiten totaler Corona-Isolation ohne Gäste und Besucher zuhause, mag das eine total coole Komfort-Funktion sein. In allen anderen Fällen dann doch eher einer Schwachstelle. Aber auch die einfache Möglichkeit, darüber das interne WLAN oder Gast-WLAN per Knopfdruck auszuschalten, kann für kurzweilige Unterhaltung sorgen. Kurz vor dem Verabschieden mal eben das WLAN deaktivieren, entspannt nach Hause fahren und dabei grinsend überlegen, wie der soeben besuchte Hausherr oder die Hausherrin krampfhaft nach dem Fehler im System sucht, weil auf einmal keinerlei WLAN-Zugriffe und Geräte mehr funktionieren. Was haben wir gelacht .…
Kein Hinweis auf diese Funktion im Handbuch der Fritz!Box und des Fritz!Fons
Stand 22.01.2023 finden sich in den Handbüchern keinerlei Hinweise auf dieses mögliche Sicherheitsrisiko. Als Nutzer dieser Hardware wird man daher wohl mehr zufällig auf diesen Umstand stoßen.
Abhilfe über das DECT-Menü in der Fritz!Box
Glücklicherweise gibt es die Möglichkeit, den Zugriff auf dieses Menü des Fritz!Fon zu deaktivieren. Doch wer dabei im Telefon selbst sucht, der wird nicht fündig. Hierzu muss man auf die Oberfläche der Fritz!Box selbst wechseln, sich anmelden und in das Menü Telefonie / DECT wechseln. Etwas nach unten scrollen und dort findet sich der Punkt “Zugriffsschutz”. Hier die Checkbox “Zugriffsschutz für WLAN / Gastzgang) aktivieren und eine sichere PIN (0000, 1234 oder das eigene Geburtsdatum 😉 ) vergeben.
Damit ist der Spuk dann auch auf dem Fritz!Fon beendet, wie man im nächsten Screenshot sehen kann. Sobald man dort nun erneut auf den Menüpunkt Heimnetz / WLAN wechselt, wird man zur Eingabe der zuvor an der Fritz!Box eingestellten PIN aufgefordert.
Wieso dieser Zugriffsschutz nicht von vornherein aktiviert ist oder es zumindest deutliche Hinweise auf diese Funktion gibt, bleibt ein Rätsel. Der Hersteller selbst weist auf die Möglichkeit des Schutzes durch eine PIN lediglich in der Online-Wissensdatenbank hin. Das geht besser.
Gäste dennoch komfortabel ins WLAN lassen
Dazu wechselt man in das WLAN Menü der Fritz!Box in den Punkt Funknetz. Unter den Namen des WLAN und Gäste-WLAN findet sich rechts ein Eintrag “Infoblatt drucken”. Im Ergebnis erhält man ein schickes DIN A4-PDF mit dem QR-Code für das Gäste-WLAN sowie dem Namen und Zugangspasswort. Ausdrucken, laminieren und netzbedürftigen Besuchern zum Einloggen in die Hand drücken. Das interne WLAN sollte für Gäste eh tabu sein. Oder?
Unsere Kunden wissen es (hoffentlich), wie wir Datenschutz “managen” in der Zusammenarbeit mit ihnen. Interessenten, aber auch Kolleginnen und Kollegen aus der Branche fragen jedoch durchaus mal nach. “Wie macht ihr das mit dem das mit dem Datenschutzmanagement mit euren Kunden bei der a.s.k. Datenschutz als externe Datenschutzbeauftragte?”
Glücklicherweise haben nur wenige Interessenten bzw. potentielle Kunden bereits eine wie auch immer geartete Datenschutz-Software von der Stange. Nicht, weil diese generell unbrauchbar wären, aber in der Zusammenarbeit intern / extern meist doch eher suboptimal. Auch wenn sich langsam die eine oder andere Cloud-Lösung darunter befindet, so laufen diese Anwendungen meist on premise, sprich auf den Systemen des Kunden. Für uns Externe hieße dies, eine Vielzahl an VPN-Clients und Zugangslösungen auf allen Geräten des a.s.k.-Teams einzurichten und zu pflegen. Ein beachtlicher Aufwand. Und es soll sogar Organisationen geben, die einen Fernzugriff auf interne Systeme komplett untersagen. Von daher auch nicht optimal.
Hinzu kommt, dass wir ja nicht nur als externe Datenschutzbeauftragte arbeiten, sondern auch im Bereich Informationssicherheit tätig sind. Hier sind u.a. aufgrund zeitlicher Vorgaben (wie z.B. Fördermittelfristen) eine systematische Projektleitung und ein enges Führen der zu erledigenden Aufgaben kritische Erfolgsfaktoren.
Eine Plattform für (fast) alles, nicht nur für Datenschutzmanagement muss her
Also haben wir uns vor über 10 Jahren auf die Suche nach der eierlegenden Wollmilchsau oder — wie wir hier in Franken sagen — der bierbrauenden Schäufeleklosskuh gemacht. Zwingende Voraussetzungen waren:
Einfacher Zugang sowohl für unsere Kunden als auch uns
Leichte Verständlichkeit und Bedienbarkeit
Hohes Maß an Sicherheit (u.a. Verschlüsselung nicht nur bei Bewegtdaten, sondern auch im Ruhezustand)
Zwei-Faktor-Authentifizierung für alle Nutzer administrativ Pflicht (sonst kein Zugang / Zugriff)
Flexible Einsetzbarkeit für unsere Themen
Dabei sollte es stets möglich sein, vorgefertigte Inhalte mit unseren Kunden gemeinsam bearbeiten zu können, einfach neue Inhalte ergänzen zu können und bei Projekten auch das Zeitmanagement im Blick haben zu können. Und das Ganze ohne stundenlange Einführungen, Schulungen oder Handbuchwälzerei.
Je mehr wir uns im Markt umgesehen und Tools getestet haben, desto größer wurden dann auch unsere Ansprüche 🙂
Dokumentenmanagement (zumindest Versionierung) wäre nicht verkehrt.
Automatische Wiedervorlagen z.B. für regelmäßige TOM-Nachprüfungen bei Auftragsverarbeitern ein Gedicht.
Dokumentation (auch im Zuge der Nachweisbarkeit und Belegbarkeit) von Diskussionen zu Fragen von Kunden an zentraler Stelle statt stundenlanger Recherché in zahlreichen Postfächern (gerade bei Mitarbeiterwechseln eine Pest).
Übersichtliche Darstellung erledigter und noch offener ToDos, einerseits zur Motivation der Beteiligten, aber auch zur Erleichterung des Berichtswesens.
Bearbeiten und Dokumentieren von Betroffenenanfragen und Datenschutzverletzungen mit einfacher Möglichkeit des Löschens nach abgelaufener Aufbewahrungsfrist.
Und … und … und … unsere Wunschliste wurde immer länger.
Ja, stimmt. Zahlreiche der im Markt erhältlichen Tools für Datenschutzmanagement können das irgendwie, teilweise oder gänzlich. Irgendeine Kröte muss man aber doch schlucken. Und man erhält “Datenschutz von der Stange”. Und sie können halt meist auch “nur” Datenschutz. Die Steuerung eines ISMS auf Basis des BSI IT-Grundschutz oder anderer Standards als externer Projektleiter ist damit selten zu stemmen. Von anderen Aufgaben in unserem Arbeitsalltag ganz zu schweigen. Und für alles ein jeweils anderes Tool einzusetzen, ist am Ende auch keine Lösung.
Vor vielen Jahren die Lösung: Datenschutzmanagement via Stackfield
Und dann haben wir nach längerer Suche vor vielen Jahren unsere bierbrauende Schäufeleklosskuh gefunden. Die Münchner Stackfield GmbH hatte mit dem Produkt Stackfield eine Alternative zu Trello (einem bekannten US-Kanban-Board) am Start und sowohl das vorhandene Produkt als auch die weitere Roadmap waren vielversprechend. Und den Einsatz als zentrales System für Datenschutzmanagement für unsere Kunden und uns, aber auch als Projektmanagement-Tool haben wir seither keine Sekunde bereut. Aufgrund der kontinuierlichen Weiterentwicklung des Produkts sind mittlerweile noch zahlreiche Features hinzugekommen, die wir nicht auf unserer Liste hatten, die aber den Arbeitsalltag in der Zusammenarbeit mit unseren Kunden noch weiter erleichtern. Direkte verschlüsselte Chat-Funktion, Videokonferenzen (geplant oder adhoc) innerhalb der Projektumgebung ohne separates Tool, Wissensmanagement und noch so vieles mehr. Aus unserem Arbeitsalltag ist Stackfield nicht mehr wegzudenken. Auch abseits der Zusammenarbeit mit Kunden ist Stackfield für rein interne a.s.k.-Angelegenheiten ein ebenso wichtiges Instrument geworden. Auf den ersten Blick mag Stackfield einem wie ein Aufgaben-/Projektmanagement-Tool unter vielen erscheinen. Doch unter der Haube steckt noch sehr viel mehr.
Doch bevor wir das nun lang und breit erklären und damit den Umfang dieses Beitrags sprengen würden: Der geschätzte Stephan Hansen-Oest, auch bekannt als “Datenschutz-Guru” (selbst wenn er das so nicht hören mag, er ist einer) hat vor einiger Zeit einen Videocast mit uns zu dem Thema “Stackfield als DSMS” gemacht. Unter dem Titel “So arbeiten Datenschutzbeauftragte — a.s.k. Datenschutz” kann sich jeder, der mag, weitere Details zur Einsatzweise dieser Lösung anschauen , die nicht von der Stange kommt. Viel Spaß beim Schauen!
Und bevor jemand fragt: Nein, dieser Beitrag ist kein Werbebeitrag und nicht gesponsort. Wir erhalten auch keine Vergünstigungen oder Kickbacks irgendeiner Art. Wir sind einfach von dem Tool so begeistert, dass wir darüber berichten wollten.
BSI: Warnung vor Kaspersky — Kein Einsatz von Produkten aus dem Hause Kaspersky mehr
“Das BSI empfiehlt, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen.” Diese Warnung vor Kaspersky spricht das Bundesamt für Sicherheit in der Informationstechnik mit einiger Verzögerung und auch erst nach drängenden Nachfragen des Heise Verlags nun seit einigen Tagen offiziell aus.
Warnung vor Kaspersky berechtigt oder Panikmache?
Dazu kann man nun stehen wie man will. Wieso erst jetzt? Wieso nicht schon im Zuge der Annexion der Krim, als sich die totalitären Risiken bereits klar abzeichneten? Sei es drum. Ein Risiko ist nicht generell von der Hand zu weisen, von daher ist Vorbeugen besser als hinterher schlauer zu sein.
Das BSI schreibt dazu:
“Virenschutzsoftware hat tiefgehende Eingriffsrechte in PCs, Smartphones, Laptops und andere IT-Infrastrukturen. Vertrauen in die Zuverlässigkeit und den Eigenschutz des jeweiligen Herstellers sowie seiner authentischen Handlungsfähigkeit ist daher entscheidend für den sicheren Einsatz solcher Systeme.”
Schwachstellen in der eigentlichen Software können daher schnell zur Kompromittierung einzelner Geräte, aber auch ganzer Systemlandschaften führen. Das ist kein generelles Problem der Kaspersky-Produkte, sondern von jeder Software, die so tief in die Betriebssysteme verzahnt ist. In diesem konkreten Fall führt das BSI in seiner Warnung vor Kaspersky weiter aus:
“Im Kontext des Krieges, den Russland gegen die Ukraine führt, könnte ein russischer IT-Hersteller selbst offensive Operationen durchführen, oder gegen seinen Willen dazu gezwungen werden, Zielsysteme anzugreifen, oder als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.”
Guter Rat ist teuer
Was heißt diese Warnung vor Kaspersky jetzt konkret? Je weniger komplex die betroffene Systemumgebung ist und gerade auf einem Einzelgerät zuhause, desto leichter fällt der Umstieg auf einen anderen Anbieter. In größeren Systemumgebungen werden jedoch selten nur Virenschutzprodukte, sondern meist ganze Sicherheitssuiten der Anbieter genutzt. Damit fallen dann schnell auch wichtige Schutzmechanismen wie Spam-Filterung, Schutz der USB-Ports und viele mehr weg. Da ist es mit einer einfachen De-Installation und Neu-Installation eines anderen Produkts nicht mal eben so getan. Dazu kommen laufende Lizenzgebühren, die weiterhin bis zum Ende der Vertragslaufzeit zu leisten sind. Sonderkündigungsrecht? Sieht aktuell nicht so aus, aber darüber sollen die Juristen streiten. D.h. durch den Umstieg auf eine andere Lösung bzw. einen anderen Anbieter fallen zusätzlich Lizenzgebühren an, von der notwendigen Arbeitszeit für Planung und Konzeption sowie Roll-Out ganz zu schweigen.
Alle Jahre wieder, so auch heute zum 01.02.2022 hallt es aus diversen Nachrichtenkanälen “Leute, ändert regelmäßig euer Passwort. Beispielsweise heute, am sog. Ändere-Dein-Passwort-Tag.” Nun, kann man machen, ist aber nicht unbedingt sinnvoll. In Blogbeiträgen 2016 (aktualisiert 2018: “Über Bord mit veralteten starren Passwort-Richtlinien”), 2017 (“Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels”) und 2018 (Update 2020: “„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen”) haben wir uns mit dieser Forderung zum regelmäßigen Passwortwechsel auseinandergesetzt und sind dabei — wie seit 2017 die NIST (National Institute of Standards and Technology) als eigentlicher Verursacher dieser “Angewohnheit” — zu einem anderen Schluss gekommen: Finger weg vom regelmäßigen Passwortwechsel. Lieber Zwei-Faktor-Authentifizierung (2FA) einrichten. Warum und wieso? Lesen Sie hier.
Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?
“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zweifel verlangt es auch noch die Passwort-Richtlinie des einen oder anderen Unternehmens oder auch der Behörde. Doch sind das wirklich gute und belastbare Gründe für einen Passwortwechsel? Möglichst noch in Intervallen von 30–90 Tagen? Und für jedes Login noch ein anderes Passwort? Ende vom Lied: Passwörter werden alphabetisch oder numerisch hochgezählt oder schlimmstenfalls aufgeschrieben, abgelegt unter dem Schreibtischschoner. Das ist natürlich richtig sicher 🙂
Doch es gibt in der Tat wirklich 3 gute Gründe, das Passwort zu ändern:
Das Passwort wurde ausgespäht, zumindest besteht der Verdacht.
Das Passwort wurde unnötigerweise einer Kollegin oder einem Kollegen bekanntgegeben, obwohl dazu technisch normalerweise gar kein Grund besteht.
Es handelt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigentliche Passwort ersetzt werden muss.
Und Ende der Aufzählung.
Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern
Es ist keine allzu neue Erkenntnis, dass die Absicherung von Logins ausschließlich mit Benutzername und Passwort in den meisten Anwendungsfällen keinen ausreichenden Schutz bietet. Aus diesem Grund ist es mittlerweile üblich, wo es nur geht und vorgesehen ist, einen zusätzlichen Schutzfaktor einzubauen bzw. zu nutzen. Ein bewährtes Mittel ist die sog. Zwei-Faktor-Authentifizierung, kurz 2FA.
Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und Transaktionsnummer (TAN) beim Online-Banking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.
Für kritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz- Katalogen. Im Bankwesen wurde mit der EU-Zahlungsdienste-Richtlinie die Zwei-Faktor- Authentisierung für den Europäischen Wirtschaftsraum 2018 sogar verpflichtend eingeführt. Mittlerweile gibt es sehr viele Anbieter, die für Ihre Webseiten / Login-Bereiche, aber auch andere Anmelde-Vorgänge eine 2FA nicht nur anbieten, sondern verbindlich machen.
Die Zwei-Faktor-Authentisierung ist nur dann erfolgreich, wenn beide festgelegten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen und der Zugriff wird verweigert. Jetzt könnte man ja sagen, Benutzername und Passwort sind doch schon zwei Komponenten. Das ist so aber nicht ganz richtig. Denn aufgrund der meist vorgegebenen Benutzernamen wie die eigene Email-Adresse oder Vorname.Nachname ist dieser erste Faktor „verbrannt“. Es muss daher neben dem Passwort ein weiterer sicherer Faktor her. Korrekterweise würde man die Kombination Benutzername + Passwort + weiterer Faktor als Multifaktor- Authentifizierung bezeichnen. In der Praxis ist es dann doch nur eine 2FA aus dem zuvor genannten Grund.
In der Praxis greift man oft auf diese Kombination zurück:
Benutzername
Passwort
Authenticator / Authentificator (z.B. App auf dem Handy oder Programm auf dem Desktop)
Das Bundesamt für Sicherheit in der Informationstechnik hat das Thema in seiner Reihe “BSI für Bürger” das Thema anschaulich und mit einem kurzen Video aufbereitet, wer es noch mal genauer und anschaulicher wissen will (externer Link zum Beitrag des BSI).
2FA ist keine Raketenwissenschaft
Gelegentlich könnte man meinen, 2FA ist “rocket science” bzw. Raketenwissenschaft. Und da noch nicht ausreichend erforscht und mangels Erfahrungen damit, sollte man doch eher Abstand davon nehmen. Zumindest trifft man solche Tendenzen durchaus immer wieder bei IT-Verantwortlichen und / oder Anwendern. Fragt man jedoch genauer nach, resultiert die Abneigung doch eher daher, sich (als Mensch) oder etwas (die Technik) ändern bzw. den Erfordernissen der Zeit anpassen zu müssen. Und wir wissen bekanntlich alle, der Mensch ist ein Gewohnheitstier. Das wissen auch Angreifer und machen sich diese Schwachstelle gerne zunutze.
Vor vielen Jahren war 2FA nicht weit verbreitet, das ist wahr. Mittlerweile ist dem aber nicht mehr so. Die meisten täglich bzw. regelmäßig genutzten Logins lassen sich mittels 2FA zusätzlich absichern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, sondern empfiehlt die Nutzung von 2FA mittlerweile als Basistipp zur IT-Sicherheit. Gut, auch das hat viele Jahre gedauert, aber das BSI hat seine frühere nicht optimale Haltung zum Thema Passwortwechsel korrigiert und den BSI IT-Grundschutz ebenfalls dahingehend angepasst.
Es gibt daher keinen Grund, sich nicht mit dem Thema 2FA zu befassen und diese, sofern vorhanden, für die eigenen Logins zu aktivieren, wo möglich. Es schläft sich wirklich ruhiger. Das kann der Autor aus eigener Erfahrung berichten 🙂
“Ja, aber ..”
“Dann muss ich ja immer mein Smartphone mit mir rumtragen?” — “Ja und? Machen Sie doch eh!” 🙂
“Wenn ich das privat gar nicht nutze und kein Diensthandy habe, dann muss ich die 2FA-App dennoch auf meinem Privatgerät installieren!” — “Ja, und? Die Abnutzung dadurch hält sich in Grenzen und es wird niemand bei Sinn und Verstand auf die Idee kommen, das nun als BYOD (bring your own device) einzustufen und zu regeln. Und Sie haben doppelten Nutzen: Ein mal installiert, können Sie nun auch gleich ihre privaten Logins damit absichern!”
“Unsere IT will das nicht!” — “Salopp: https://de.wikipedia.org/wiki/Einlauf_(Medizin)” oder “Verweisen Sie auf gängige Standards für Informationssicherheit sowie das BSI. Diese erklären und fordern 2FA. Es muss schon sehr triftige Gründe geben, davon Abstand zu nehmen. Diese müssen dokumentiert sein, wieso und durch wen es zu der Ablehnung gekommen ist. Für den Fall, dass dann doch etwas passiert, weiß man ja, wen man ansprechen muss :-)”
“Isch abe gar kein Handy!” — “Ja, und? Es gibt die Software-Lösungen auch für den Desktop der gängigen Betriebssysteme. Unpraktischer, wenn das Gerät gerade nicht an ist, aber besser als nichts.”
Bitte ergänzen Sie die Aufzählung mit zahlreichen weiteren Argumenten, warum 2FA nicht genutzt werden kann und verwerfen Sie diese augenblicklich wieder 🙂
2FA: Backup-Codes nicht vergessen
Selbst gestandene IT-Koryphäen tun sich mit 2FA gelegentlich schwer. Die Installation und Einrichtung geht noch locker von der Hand, aber dann wird eins schnell vergessen: Das Abspeichern der oder des sog. Backup-Codes. Diese sind notwendig, wenn man den Zugriff auf das Gerät verliert, auf dem der Generator (Authenticator) für 2FA installiert ist z.B. bei Defekt oder Verlust des Smartphones oder Ausfall der Festplatte (bei Desktop-Installationen). Denn ohne gültigen 2FA-Code kommt man nicht an / in den Account. Sprich man kann dann auch kein neues Gerät für die 2FA hinterlegen. Das ist vergleichbar mit das Haus verlassen, Tür hinter sich zuziehen und dann merken, der Haustürschlüssel liegt noch drinnen auf der Kommode. Der Prozess, um jetzt den Account wieder zugänglich zu machen ist aufwendig und zeitraubend z.B. durch Identitätsnachweise etc. Und das liegt in der Natur der Dinge. Sollte sich 2FA nämlich durch eine einfache Email oder einen Anruf beim Support deaktivieren lassen, wäre der Schutzwert von 2FA verloren. Es könnte sich ja jeder als Sie ausgeben und den Schutzmechanismus deaktivieren.
Von daher die Bitte: Immer nach Einrichtung eines 2FA für einen Login den angebotenen Backup-Code kopieren / herunterladen und sicher verwahren. Dazu eignen sich bestens sog. Passwort-Tresore (siehe Ende des Beitrags).
“Ich bereue den Passwort-Wahnsinn”
In einem Interview hat sich der für die Empfehlung Passwörter regelmäßig zu wechseln verantwortliche Mitarbeiter der NIST nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Das NIST hat im Sommer 2017 diese damals 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit eigentlich gestoppt. Der “Ändere-Dein-Passwort-Tag” ist leider nicht totzukriegen.
Abschließender Tipp: Passwort-Tresore nutzen
Bei der Vielzahl an Passwörtern, die sich im Laufe eines aktiven Nutzerlebens so ansammeln, darf man ruhig auf Helferlein zurückgreifen, die das Leben etwas leichter machen. Dazu gehören u.a. die sog. Passwort-Tresore. Hierbei sollte man jedoch nicht unbedingt auf Anbieter aus der Cloud (“Bei uns sind Ihre Passwörter zentral gespeichert und sicher”) setzen. Wer mal etwas nach Sicherheitsvorfällen bei den einschlägig bekannten Online-Anbietern solcher Lösungen sucht, wird schnell fündig. Es gibt kostenfreie Alternativen, die auch für weniger technisch versierte Nutzer leicht zu installieren und zu bedienen sind. Und der Tresor mit den eigenen wichtigen Passwörtern verbleibt bei einem selbst. Eine Lösung dafür ist beispielsweise Keepass. Mehr zu diesem Tool inkl. einer bebilderten Anleitung zur Einrichtung und Nutzung finden Sie in unserem Blogbeitrag “Sichere und komfortable Passwort-Verwaltung mit Keepass”.
Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO
Seit Mai 2018 kämpfen nicht nur Vereine mit den durch die Datenschutz-Grundverordnung neu hinzugekommenen Anforderungen. Aber gerade bei Vereinen mit oftmals vielen bzw. ausschließlich ehrenamtlich tätigen Mitgliedern macht sich hier nachvollziehbar schnell Unsicherheit im Umgang mit dem Datenschutz-Recht breit. Gerade die Informationspflichten für Vereine nach Art. 13 DSGVO gehören hier als Ursache oft dazu. Diesem Umstand trägt der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (kurz LfDI BW) schon aus Zeiten vor der DSGVO Rechnung.
Seit Februar 2021 steht nun für Vereine ein Generator für “Datenschutzinformationen” auf der Webseite des LfDI BW online. Eine begrüßenswerte Hilfestellung, wenn es um die Erfüllung der Informationspflichten für Vereine geht.
Nachdem einige Grundangaben in dem Online-Formular getätigt wurden, erhält der Nutzer einen Mustertext zum Kopieren und Einbinden in die Vereinswebseite.
Informationspflichten nicht ohne Ergänzungen bzw. Anpassungen übernehmen bzw. einsetzen
So löblich dieser Generator ist, so gefährlich ist er auch. Daher warnt der LfDI BW selbst:
Bei DS-GVO.clever handelt es sich um eine Hilfestellung des LfDI Baden-Württemberg bei der Erstellung von Datenschutzinformationen für Vereine. Es werden nicht alle möglichen Datenverarbeitungen vollständig wiedergegeben. Prüfen Sie daher bitte vor der Veröffentlichung, an welchen Stellen Sie die Datenschutzinformationen noch ergänzen müssen.
Der erzeugte Mustertext stellt jedoch einen guten Einstieg für die spätere/n Datenschutzerklärung / Datenschutzhinweise der Vereinswebseite bzw. zur Erfüllung der Informationspflichten für Vereine nach Art. 13 DSGVO dar.
Vor Veröffentlichung sollte man den Rat des LfDI BW jedoch wirklich beherzigen und den Text prüfen und ergänzen. So sind z.B. Login-Bereiche für Mitglieder nicht in der Musterbeschreibung enthalten, jedoch durchaus keine Seltenheit auf Vereinswebseiten.
Weitere Hilfestellungen für Vereine durch den LfDI BW
Bereits in der 2. Auflage ist der Praxisratgeber “Datenschutz im Verein nach der DS-GVO” (Grüße an das Team Bindestrich) erschienen. Auf 29 Seiten sind die grundlegenden Anforderungen an Vereine aus der DSGVO nachvollziehbar und auch für Nicht-Datenschutzbeauftragte verständlich dargestellt, abgerundet mit pragmatischen Tipps zur Umsetzung. Im Ratgeber finden sich dazu auch weitere Ausführungen zu den Informationspflichten für Vereine nach Art. 13 DSGVO.
Für einen ersten Überblick lohnt aber auch ein Blick in die FAQ für Vereine. In dieser sind einige Kernfragen zusammengestellt und beantwortet, die häufiger an den LfDI BW seitens von Vereinen herangetragen wurden.
Wenn alle Stricke reißen
Es ist vollkommen normal, wenn Vereinsverantwortliche trotz dieser Hilfestellungen unsicher sind in Bezug auf Anforderungen und Umsetzung. In diesem Fall: Sprechen Sie mit dem Datenschutz-Berater Ihres Vertrauens.
Datenschutz und Informationssicherheit gefordert
Seit März 2020 beschäftigen sich die meisten Organisationen aufgrund der Corona-Pandemie mit den Themen Heimarbeit und Mobiles Arbeiten. Doch dabei wurde bzw. wird sich oftmals auf die technische Zurverfügungstellung sowie Zusätze zum Arbeitsvertrag fokussiert. Das ist auch kein Wunder. Denn es galt ja vorrangig, schnell arbeitsfähig zu werden und zu bleiben. Und dann war ja noch das Problem mit dem Klopapier zu lösen.
Und selbst wenn bereits bei der ersten Einführung bzw. Umsetzung die Themen Datenschutz und Informationssicherheit berücksichtigt wurden, ist es nun ein guter Zeitpunkt an dem Thema dran zu bleiben. So gilt es, vorhandene technische und organisatorische Maßnahmen auf den Prüfstand zu stellen. Art. 32 DSGVO fordert in Absatz 1 Buchstabe d vorhandene Schutzmaßnahmen einer “regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit […] zur Gewährleistung der Sicherheit der Verarbeitung” zu unterziehen. Wer sich neben Datenschutz mit der Informationssicherheit auseinandergesetzt hat, wird dieses Prinzip schon länger kennen. Wirksamkeitskontrolle und kontinuierliche Verbesserung für vorhandene Schutzmaßnahmen sind Tagesgeschäft in der Informationssicherheit.
Das Rad nicht neu erfinden: Tools der Informationssicherheit nutzen
Glücklicherweise müssen Datenschutzbeauftragte das Rad hierfür nicht neu erfinden. Denn jahrzehntelang bewährte Standards wie der BSI IT-Grundschutz (in aktueller Fassung des Kompendiums 2020) bieten konkrete Maßnahmen und Empfehlungen zu Heimarbeit und mobilem Arbeiten an. Diese können wunderbar mit den eigenen getroffenen technischen und organisatorischen Schutzmaßnahmen abgeglichen werden. Daraufhin mögliche Lücken zu schließen und vorhandene Maßnahmen zu optimieren, fällt im Nachgang umso leichter. Sicher mit ein Grund, warum Datenschutzgesetze und Kommentare immer häufiger diese Prinzipien und Hilfestellungen der Informationssicherheit einbinden und erwähnen.
Wir haben Ihnen in diesem Beitrag die unserer Meinung nach wichtigsten Bausteine aus dem aktuellen BSI IT-Grundschutz Kompendium zusammengestellt. Diese befassen sich entweder direkt mit Heimarbeit und mobilem Arbeiten oder sind zumindest damit eng verknüpft. Darüber hinaus haben wir noch einige weitere Empfehlungen für Sie herausgesucht. Themen wie Email-Sicherheit, Mitarbeitersensibilisierung, Umgang mit Sicherheitsvorfällen und Notfallmanagement werden gerne vernachlässigt. Gerade, wenn es wie im März 2020 schnell gehen muss.
Exkurs zum Grundverständnis und Aufbau des BSI IT-Grundschutz
Der IT-Grundschutz beschreibt in seinem Komepdium “standardisierte Sicherheitsanforderungen für typische Geschäftsprozesse, Anwendungen, IT-Systeme, Kommunikationsverbindungen und Räume in einzelnen Bausteinen”. Diese Aufzählung zeigt deutlich, der IT-Grundschutz befasst sich entgegen seines Namens nicht nur mit IT-Sicherheit. Das wäre auch grob fahrlässig, denn schließlich passiert ein Großteil der Sicherheitsvorfälle (quantitativ) im organisatorischen Bereich. Der Faktor Mensch stellt uns gerne und oft ein Bein in der Informationssicherheit und damit am Ende auch im Datenschutz. Diese zuvor erwähnten Bausteine sind nach Schichten (Themenbereiche) unterteilt:
So gibt es in der Schicht ISMS beispielsweise einen Baustein mit der Bezeichnung “ISMS.1 Sicherheitsmanagement”. Dieser beschreibt sehr konkret, welche Anforderungen an Informationssicherheit und das Management von Informationssicherheit in einer Organisation gestellt werden, wenn man den Standard BSI IT-Grundschutz als Grundlage heranzieht. Mit konkreten Umsetzungsempfehlungen werden diese Anforderungen weiter detailliert und unterstützen mit wertvollen Details zu möglichen technischen und organisatorischen Schutzmaßnahmen. Damit man auch weiß, woher diese Empfehlungen rühren, enthält jeder Baustein üblicherweise eine sehr konkrete Beschreibung der Gefahrenlage. Darin werden mögliche Risiken beschrieben, welche für das Thema des Bausteins relevant sind und denen man mit den Schutzmaßnahmen im weiteren Verlauf des Bausteins begegnen will.
In der Schicht INF finden sich als weiteres Beispiel Bausteine zur Absicherung von Gebäuden und diversen Räumen innerhalb von Gebäuden, je nach deren Nutzungsart. Wer sich für den Umgang mit Smartphones und Tablets interessiert oder gar mit einer MDM-Lösung (Mobile Device Management) liebäugelt, der wird in der Schicht SYS fündig.
Der IT-Grundschutz ist vergleichbar mit einem Werkzeugkasten im Alltag eines Heimwerkers. Will unser Bob einen Nagel in die Wand schlagen, findet er den passenden Hammer in seinem Kasten. Benötigt er dagegen einen Schlagbohrer samt Dübel und Schraube zur Befestigung, so kann er diese einzelnen Tools aus seinem Werkzeugkasten zum Erreichen seines Ziels ebenfalls auswählen und miteinander kombinieren.
Umsetzungsempfehlungen zu technischen und organisatorischen Maßnahmen — MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT
Um die Anforderungen des BSI IT-Grundschutz zu erfüllen, sollte man wissen, was es mit diesen in der Überschrift genannten Modalverben MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT auf sich hat. Generell sind die Umsetzungsempfehlungen erstmal nur reine Empfehlungen an eine Organisation, wie das Schutzniveau durch geeignete technische und organisatorische Schutzmaßnahmen erreicht oder verbessert werden kann. Geht es jedoch um eine nachweisliche Umsetzung oder Zertifizierung, gilt es bestimmte Empfehlungen zwingend umzusetzen oder zumindest konkret geprüft zu haben, ob und wie man diese zukünftig umgesetzt haben könnte. Es gibt also dann klassische Muss- und Kann-Anforderungen. Ebenso gibt es auch Sachverhalte, die definitiv ausgeschlossen werden müssen. Für die weiter unten angeführten Bausteine zu Heimarbeit und mobilem Arbeiten soll es erst mal ausreichen, MUSS und SOLLTE näher zu betrachten. Weitere Details zu den Modalverben finden Sie hier.
MUSS
“Dieser Ausdruck bedeutet, dass es sich um eine Anforderung handelt, die unbedingt erfüllt werden muss (uneingeschränkte Anforderung).”
SOLLTE
“Dieser Ausdruck bedeutet, dass eine Anforderung normalerweise erfüllt werden muss, es aber Gründe geben kann, dies doch nicht zu tun. Dies muss aber sorgfältig abgewogen und stichhaltig begründet werden, bestenfalls schriftlich.”
Die Unterscheidungen innerhalb des IT-Grundschutzes in Basis‑, Standard- und Kern-Absicherung lassen wir an dieser Stelle zur Vereinfachung außer Acht. Es geht ja hier nicht um die Einführung eines ISMS auf Basis des IT-Grundschutzes. Normalerweise macht es Sinn und reicht aus, sich mit den sog. Basis- und Standard-Anforderungen in den unten angeführten Bausteinen zu befassen. Sollte Ihre Organisation jedoch einer kritischen Geschäftstätigkeit nachgehen oder Informationen mit sehr hohem Schutzbedarf verarbeiten, lohnt durchaus auch ein Blick in den Abschnitt “Anforderungen bei erhöhtem Schutzbedarf” des jeweiligen Bausteins.
Konkrete IT-Grundschutz Bausteine für Ihre technischen und organisatorischen Maßnahmen
OPS.1.2.4 Telearbeit — Themen sind hier u.a. Regelungen zur Telearbeit generell, Regelungen zur Privat-Nutzung von Equipement und Anwendungen, Schulung der Mitarbeiter für die in den Richtlinien skizzierten Anforderungen im Telearbeit-Einsatz, Erreichbarkeit und Einbindung von Mitarbeitern am Telearbeitsplatz sowie das Treffen geeigneter Sicherheitsmaßnahmen (IT-Betrieb und organisatorisch).
INF.8 Häuslicher Arbeitsplatz — Schwerpunkt: Einrichtung und Betrieb eines häuslichen Arbeitsplatzes. Themen u.a.: Regelungen für den Arbeitsplatz, Zutritts- und Zugriffsbeschränkungen, IT-Nutzung und deren Absicherung, Transport sowie Vernichtung / Entsorgung von Papierakten und digitalen Datenträgern, Manipulations- und Diebstahlrisiken am häuslichen Arbeitsplatz, sowie Gefährdungen durch Familienmitglieder / Besucher. Gerne wird hier in dem Kontext auf den separat abschließbaren Arbeitsraum zu Hause verwiesen. Wohl dem, der diesen Luxus hat und über ausreichend Platz und Zimmer verfügt. Aber auch für alle anderen Fälle hält dieser Baustein sinnvolle Empfehlungen bereit.
INF.9 Mobiler Arbeitsplatz — Nicht immer wird ein fester häuslicher Arbeitsplatz eingerichtet. Dank Laptop und anderer mobiler Geräte dann aber dennoch aus dem Home-Office gearbeitet. Um diese Aspekte kümmert sich dieser Baustein: Regelungen und Anweisungen zum Arbeiten am mobilen Arbeitsplatz, technische Absicherung der Geräte (Verschlüsselung, Sichtschutzfilter etc.), Akten- und Datenträgertransport, Entsorgung von analogen und digitalen Datenträgern, Diebstahl und Verlust der Geräte (Meldung, Sofortreaktionen), Sicherheit unterwegs (Einsehbarkeit, Verhalten bei Telefonaten etc.)
NET.3.3 VPN — Anforderungen zu Planung und Einrichtung sicherer Virtueller Privater Netzwerke (VPN) zur Sicherstellung der Vertraulichkeit und Integrität. Dabei geht es nicht nur um technische Aspekte, sondern auch um organisatorische Maßnahmen. So ist das Verbot zur Abspeicherung von VPN Zugangsdaten im Client mehr als sinnvoll und angebracht. Macht ja auch Sinn, ansonsten ist die Standleitung in das interne Netz fest eingerichtet 🙂 Ist uns eh ein Rätsel, wieso Anbieter von VPN Software eine solche Option zur Abspeicherung von Zugangsdaten überhaupt als Funktion programmieren.
NET.2.2 WLAN-Nutzung — Unabhängig, ob Nutzung des privaten WLAN oder von WLAN Hot Spots unterwegs, sind technische und organisatorische Maßnahmen zu ergreifen wie Sicherstellen eines ausreichenden Verschlüsselungsstandards WPA2 und höher) oder auch Sensibilisierung der Mitarbeiter im Hinblick auf sog. Rogue Access Points. Letzteres kennen Sie nicht? Nehmen Sie einfach mal einen beliebigen LTE WLAN Router mit Akku, benennen das WLAN nach “Telekom” oder “WifionICE”, gehen in ein Café Ihrer Wahl und staunen Sie: Innerhalb weniger Sekunden haben sich zahlreiche WLAN Geräte in Ihren Router eingeloggt. Besser und einfacher kann man keine Man-in-the-Middle-Attacken starten.
OPS.1.2.5 Fernwartung — Kommt es am häuslichen Arbeitsplatz oder mit dem Mobilgerät zu technischen Problemen, wird schnell eine Fernwartung durch die eigene IT-Abteilung oder den externen Dienstleister z.B. für Anwendungssupport notwendig. Regelungen zur Vorgehensweise, aber auch zur technischen Absicherung sind unabdingbar. Die entsprechenden Empfehlungen zu Softwareauswahl, Protokollierung der Wartungstätigkeiten etc. finden Sie in diesem Baustein.
OPS.2.2 Cloud-Nutzung — Gerade jetzt werden häufiger Cloud-Services eingesetzt als noch in 2019. Sei es zum reinen Datenaustausch oder Verlagerung ganzer Verarbeitungstätigkeiten im Zuge von SaaS (Software as a Service). Denken Sie einfach nur an die Zunahme bei der Nutzung von Webkonferenz-Diensten oder auch anderer Kommunikationsplattformen, um die Zusammenarbeit zwischen Intern und Extern oder auch gegenüber Kunden zu erleichtern. Neben der technischen Sicherheit wie verschlüsselte Übertragung und verschlüsselte Datenhaltung stehen auch organisatorische Aspekte im Fokus. Welche Daten dürfen überhaupt in die Cloud? Wie sind die Cloud-Services zu nutzen, was ist erlaubt, was nicht? Migriert in die Cloud ist schnell. Aber hat sich auch jemand Gedanken gemacht, was bei einem möglichen Ende der Service-Nutzung geschehen muss? Gibt es vertragliche Regelungen hierzu? Wie kommen Daten wieder zurück? Möglichst kompatibel für eine andere Anwendung.
OPS.1.1.4 Schutz vor Schadprogrammen — Veränderter oder neuer Technologie-Einsatz bringt neue Einfallstüren für Schadprogramme mit sich. Sind die Anforderungen an einen konsequenten Schutz vor Schadprogrammen technisch und organisatorisch berücksichtigt? Klassiker: Laptops, die sich Signatur-Updates für den Virenscanner ausschließlich über einen Update-Server im internen Netz besorgen. Nun sind diese Geräte aber im längeren Außeneinsatz und vielleicht auch ohne VPN Verbindung ins interne Netz im unterwegs. Woher kommen jetzt die Aktualisierungen, wenn zuvor ausschließlich der interne Update-Server als Bezugsquelle zugelassen wurde? Ganz schnell ist der Virenscanner out of date und eine weitere Sicherheitslücke geschaffen. Das ist aber natürlich nicht der einzige Aspekt dieses Bausteins.
ORP.4 Identitäts- und Berechtigungsmanagement — Wie werden Benutzerrechte vergeben für die notwendigen Zugriffe von außen? Auf welche Dateien / Anwendungen muss von außen zugegriffen werden können? Die selbe Fragestellung jedoch auch zu den Cloud-Services: Wer darf / muss auf was zugreifen können? Wie sieht der Rechtevergabe-Prozess dazu aus? Werden überall wo möglich weitere Sicherheitsmaßnahmen ergriffen wie Zwei-Faktor-Authentifizierung (2FA)? Sind die dazu notwendigen Applikationen (Apps) installiert und die Nutzer in deren Handhabung eingewiesen? Auch an die Backup-Codes für die 2FA gedacht und diese gesichert, sollte das Gerät mit der 2FA-App nicht mehr einsatzfähig sein? Nein? Dann viel Spaß. Denn ohne den eigentlichen 2FA-Token oder einen Backup-Code kommen Sie so schnell nicht mehr an Ihren Account — wenn überhaupt.
ORP.3 Sensibilisierung und Schulung — Mitarbeiter sind ein großer (Un-) Sicherheitsfaktor in einer Organisation. Das sind sie jedoch selten mit Absicht. Hauptursachen sind fehlende Kenntnis von Regelungen und Vorgehensweisen sowie fehlende Sensibilisierung. Ist ja auch kein Wunder, denn Schulungen und Sensibilisierungen bringen keinen Umsatz und halten noch dazu die Mitarbeiter von deren Kerntätigkeiten ab. Paart sich das noch mit gesteigertem Selbstbewußtsein — “Ich weiß eh alles (besser)”, dann ist der Boden für den nächsten Sicherheitsvorfall bestens bereitet. Von daher ist auch dieses Thema im Kontext Heimarbeit und mobiles Arbeiten von großer Bedeutung.
Wenn dann doch mal was schiefgeht: “Hallo, ich bin’s. Der Sicherheitsvorfall”
Unsere Empfehlungen:
Sorgen Sie für klare Prozesse, was im Fall von Sicherheitsvorfällen und Datenpannen durch Mitarbeiter und alle weiteren notwendigen Beteiligten (DSB, ISB, IT, Organisationsleitung) zu tun.
Machen Sie diese Prozesse bekannt und leicht zugänglich, egal ob Papierformulare, Ticket-System oder anderweitige Lösung.
Nehmen Sie Ihren Mitarbeitern die Angst, einen (möglicherweise selbst verursachten) Sicherheitsvorfall sofort zu melden. Es geht nicht darum, einen möglichen Schuldigen zu bestrafen, sondern das eingetretene Risiko in den Begriff zu bekommen.
Fokussieren Sie sich auf das “Wie konnte das passieren?” statt “Wer hat das verursacht?”. Ausnahme: Wenn ein und der selbe Mitarbeiter trotz guter Sensibilisierung zum Thema Kryptotrojaner in einer Woche bereits zum fünften Mal “Makros aktivieren” anklickt und das Drama seinen Lauf nimmt. 🙂
Ein guter Einstieg könnte die sog. IT-Notfallkarte “Verhalten bei IT-Notfällen” der Allianz für Cybersicherheit sein. Bitte daran denken, die Hinweise und Abläufe mit dem internen Meldeprozess von Datenpannen him Hinblick auf Art. 33 und 34 DSGVO zu verzahnen.
Aber auch ein Blick zurück in den IT-Grundschutz kann nicht schaden, speziell in die Schicht DER: Detektion und Reaktion und deren Bausteine.
Wenn sensibilisieren nicht ausreicht: weiter sensibilisieren
Ebenfalls von der Allianz für Cybersicherheit gibt es in deren Informationspool, aber auch vom Bürger-CERT praktische und anschauliche Tipps, Muster und Vorlagen zur Sensibilisierung von Mitarbeitern. Auch gut anzuwenden im Kontext Heimarbeitsplatz und mobiles Arbeiten. Reinschnuppern lohnt auf jeden Fall -> Link zu Awareness.
Die VBG hat zum Thema Mobiles Arbeiten einen leicht verständlichen Flyer veröffentlicht, der nicht nur die Aspekte Arbeitsschutz beleuchtet, sondern auch auf Sicherheitsprobleme und mögliche Lösungen eingeht.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ein Faltblatt “Telearbeit und Mobiles Arbeiten” und deren datenschutzgerechte Ausgestaltung veröffentlicht.
Ja, es kann nerven. Aber sowohl der Datenschutz als auch die Informationssicherheit lieben geschulte und sensibilisierte Mitarbeiter. Deren Arbeitgeber sollten das auch so halten. Wer sich mal mit den Nachwirkungen und Aufwänden von größeren Datenpannen und Sicherheitsvorfällen beschäftigt hat bzw. diese selbst ausbaden musste, der weiß: “Vorbeugen ist besser als Nachsorgen.” — Haben Sie jetzt etwa mit einem anderen Spruch gerechnet?
Und es muss ja nicht immer die klassische Face-2-Face-Veranstaltung sein. Bestenfalls noch 100 Mitarbeiter oder mehr in einem Raum. Abgesehen davon, dass dies aktuell aufgrund der Abstandsregeln eh kaum geht. Außer Sie mieten eine Messehalle. In der Praxis laufen solche Groß-Schulungsveranstaltungen nach einem bekannten Schema ab. Einer steht vorne und spricht. Das Auditorium schläft zu 50%, die andere Hälfte spielt (natürlich vollkommen unbemerkt unter dem Tisch) mit dem Smartphone.
Nutzen Sie andere Möglichkeiten und bilden Sie einen Mix, einen bunten Blumenstrauß aus verschiedenen Wegen, Ihre Zielgruppe Mitarbeiter zu erreichen. Online-Schulungen, Webinare, Rundmails, witzige Flyer und Plakate. Witzig? Wie sind die bei a.s.k. Datenschutz denn drauf? Das Thema ist viel zu ernst. Genau. Und deswegen witzige Kommunikation. Eine positive Emotion wie ein freundliches Lachen, die Sie mit Ihrer Aktion ausgelöst haben, sorgt dafür, dass die übermittelte Botschaft viel tiefer in die Zielgruppe einsickert als Vorträge bei Kerzenschein mit erhobenem Zeigefinger. Wobei auch das, einen abgedunkelten Raum vorausgesetzt, der Referent in Kutte und mit Begleitung von Choral-Musik seinen Platz vorne einnehmend, durchaus ein bewußtes Stilmittel zum Erzeugen der notwendigen Aufmerksamkeit sein kann. Nur nicht jede Veranstaltung so durchführen, nutzt sich ab 🙂
Hand in Hand: Datenschutz und Informationssicherheit
Datenschutz und Informationssicherheit sind nicht identisch, was jetzt keine neue Erkenntnis darstellt (hoffentlich!). Es gibt aber durchaus Schnittmengen bzw. Werkzeuge, die in beiden Themen zur Anwendung kommen können. Eines dieser Instrumente sind die technischen und organisatorischen Maßnahmen. Und hierzu bietet gerade der BSI IT-Grundschutz (aber auch der früher daraus abgeleitete Standard ISIS12) in großem Umfang praktische Unterstützung. So hilft dieser nicht nur bei der Identifikation möglicher Risiken (Gefährdungen), sondern bringt zugleich recht umfangreich Handlungsempfehlungen / Maßnahmen ein, mittels derer man Eintrittswahrscheinlichkeit und / oder Schadensausmaß begrenzen kann. Von daher bietet es sich aus Sicht des Datenschutzes an, einen weiten Blick über den Tellerrand in das Feld der Informationssicherheit zu werfen. Die Mühe lohnt sich ganz schnell.
Wir hoffen, Sie haben einen guten ersten Eindruck gewinnen können, wie man am Beispiel Telearbeitsplatz / Mobiles Arbeiten den Werkzeugkoffer der Informationssicherheit auch im Datenschutz bestens einsetzen kann. Die Details zu Risiken und Handlungsempfehlungen aus dem IT-Grundschutz haben wir hier im Beitrag nicht angeführt. Wenn Sie die oben genannten und verlinkten Bausteine des BSI IT-Grundschutz anklicken, kommen Sie direkt zu den weiterführenden Informationen auf der Webseite des BSI. Und hoffen wir mal, dass die Links für eine Weile von Bestand sein. Das war in der Vergangenheit leider nicht immer der Fall. Gell, liebes BSI Team? Aber danke für eure Mühe und diesen tollen Standard. Der IT-Grundschutz hat leider oft einen schlechten Ruf. Nach unserem Dafürhalten zu Unrecht. Gerade im deutschsprachigen Raum, aber nicht nur da, der “heiße Scheiß” der Informationssicherheit 😉
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit — LfDI Baden-Württemberg, Dr. Stefan Brink, hat in diesem Monat ein neues Bildungszentrum eröffnet. Das „Bildungszentrum Datenschutz und Informationsfreiheit Baden-Württemberg“ (BIDIB) informiert alle interessierten Bürger, zivilgesellschaftliche Gruppen, Vereine, Verbände, Unternehmen etc. unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ und bildet ein Forum für die modernen Grundrechte Datenschutz und Informationsfreiheit.
Das BIDIB des LfDI als neues Forum der Bildung und Diskussion
Die offizielle Website des BIDIB können Sie hier aufrufen und die zugehörige Pressemitteilung hier. Die mit Mitteln des Landtags Baden-Württemberg etablierte Bildungseinrichtung gibt Bildungs- und Diskussionsveranstaltungen Raum, in denen politische, ethische, rechtliche und soziologische Aspekte des Datenschutzes und der Informationssicherheit behandelt werden. Die Darreichungsformen sind u.a. digitale Formate, Vorträge, Konferenzen, Workshops und Schulungen, die mit dem Know-how der LfDI Baden-Württemberg Mitarbeitenden gespeist werden. Dazu gehört auch eine Diskussionsreihe mit Dr. Stefan Brink zu verschiedenen gesellschaftsrelevanten Themen.
Zukunftsweisende Aspekte
Der LfDI Baden-Württemberg sieht „bedarfsgerechte Bildungsangebote, die diese Grundrechte aus möglichst vielen Perspektiven beleuchten und durchdringen [..] von grundlegender und gesamtgesellschaftlicher Bedeutung“. Neben dem stetigen Ausbau der Veranstaltungs- und Bildungsangebote ist auch die Erweiterung um / bestehender Kooperationen wie mit Handelskammern, Gewerkschaften, Parteien und weiteren Organisationen avisiert. Nach der Aufbauphase des BIDIB bis voraussichtlich Ende diesen Jahres wird das Bildungszentrum über eigene Räumlichkeiten verfügen.
Fazit und Kommentar zum neuen Bildungszentrum des LfDI Baden-Württemberg
Zu den Gratulanten gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Kelber, die Gesellschaft für Freiheitsrechte und der CCC. Insbesondere in Zeiten, in denen vielerorts unausgereifte Digitalisierung mit zeitgleichem Rückgang der Transparenz vorangetrieben wird und der Bürger weit weniger rational auf das digitale Zeitalter eingestellt wird als er annimmt, sind Einrichtungen der Bildung, der zeitgemäßen Aufklärung und des Diskurses mehr als notwendig. Es wäre zu begrüßen, wenn noch weitere solcher Einrichtungen in den Bundesländern etabliert würden.
An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden.
In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wichtigen — Themen durch Erwähnungen gerecht zu werden.
Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind
Alltagserleichterung und Praxistauglichkeit,
Datenpannenmeldungen,
Zweckbindung,
Data Protection by Design,
Befugnisse der Aufsichtsbehörden und Sanktionspraxis,
Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz,
Direktwerbung,
Profiling und
Akkreditierung.
Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage und Stellungnahmen der Datenethikkommission.
Einige Zahlen zur Tätigkeit des BfDI
Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen.
Empfehlungen des BfDI für Einrichtungen und Bürger
10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert.
Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung — wie etwa StPO, Zollfahndungsdienst und der geplanten Darknet Gesetzgebung — gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits- und Sozialwesen eingegangen.
Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich
.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e‑Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert.
Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern.
Zusammenfassung
Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise.
