Auch wenn sich die meis­ten Betrof­fe­nen nicht für die Anga­ben zu den Infor­ma­ti­ons­pflich­ten nach Art. 13 und 14 DSGVO inter­es­sie­ren, ist es uns gelun­gen, die­se Anga­ben dem Weih­nachts­mann und sei­nem Team zu ent­lo­cken. Wie es scheint, gab es da oben aber schon eini­ges an Glüh­wein. Anders kön­nen wir uns die­ses Doku­ment nicht erklä­ren. Doch lesen Sie selbst oder laden das PDF im Anhang.

Wir wün­schen allen Lese­rIn­nen unse­res Blogs und News­let­ters ein geseg­ne­tes Weih­nachts­fest und einen guten Rusch ins Neue Jahr. Bit­te blei­ben Sie gesund #flat­ten­the­cur­ve

Infor­ma­ti­ons­pflich­ten des Weih­nachts­manns zu Art. 13 und 14 DSGVO

Im Rah­men die­ses Doku­ments infor­mie­ren wir Sie über die Ver­ar­bei­tung Ihrer per­so­nen­be­zo­ge­nen Daten in unse­rer Orga­ni­sa­ti­on, auch wenn das eigent­lich nie­man­den inter­es­siert. Alle wol­len immer nur Geschenke.

Ver­ant­wort­li­che Stel­le: Der Weih­nachts­mann, Christ­baum­stra­ße, 99999 Wol­ken­schlosss. Wir sind aus­schließ­lich per Wunsch­zet­tel erreichbar.

Daten­schutz­be­auf­trag­ter: Das Christ­kind. Kon­takt via Notiz auf dem Wunschzettel.

Sie wol­len doch was von uns, näm­lich Geschen­ke. Also her mit Vor­na­men (bei Kin­dern unter 18 Jah­ren aus­rei­chend) und /​ oder Nach­na­me, Adres­se (wäre toll, wenn Sie aus­nahms­wei­se mal nicht ver­schlüs­selt, son­dern leser­lich schrei­ben), dem Weih­nachts­wunsch (Dezen­ter Hin­weis: Das sind Wün­sche, kei­ne Bestel­lun­gen!). Wir ergän­zen unse­rer­seits Ihr Betra­gen im letz­ten Jahr.

Die Rechts­grund­la­gen unse­rer Ver­ar­bei­tung sind ganz ein­fach: Sie bekom­men Geschen­ke, wir Ihre Daten.

Falls Rudi und sei­ne Kol­le­gen mal wie­der zu vie­le Weih­nachts­kek­se gefres­sen haben, geben wir Ihre Daten unge­fragt an Ver­sand­dienst­leis­ter zwecks Zustel­lung der Geschen­ke wei­ter. Da wir auch in Deutsch­land tätig sind, erhält die Buch­hal­tung noch über alles einen Beleg. Sie ken­nen das ja mit die­sem Finanz­amt, die ver­ste­hen kei­nen Spaß.

Wir erbrin­gen unse­re Leis­tun­gen zwar aus einem Wol­ken­schloss, nut­zen aber ansons­ten kei­ner­lei Cloud-Ser­vices. Zur Sicher­stel­lung der Sicher­heit der Ver­ar­bei­tung gemäß Art. 32 DSGVO ste­hen uns jedoch aus­rei­chend Schutz­maß­nah­men in Form von

zur Ver­fü­gung. Las­sen Sie sich vom nied­li­chen Äuße­ren nicht täuschen.

Ihre Daten löschen wir direkt bei Weg­fall des Ver­wen­dungs­zwecks mit der Zustel­lung des Geschenks. Rekla­ma­tio­nen direkt bei uns sind daher aus­ge­schlos­sen. Wir wis­sen von nichts! Nach­fra­gen zwecklos.

Für gewöhn­lich erhal­ten wir Ihre Daten direkt von Ihnen. Aus­nah­men sind Wün­sche, die von Ver­wand­ten in direk­ter bzw. indi­rek­ter Linie für Sie über­mit­telt wer­den. Ok, manch­mal auch von Freun­den. Aber nur von wirk­lich guten Freun­den … „Engel!! Wer hat jetzt schon wie­der das Was­ser gegen die­sen Anis­schnaps ausgetauscht?“

Wir selbst recher­chie­ren kei­ne per­so­nen­be­zo­ge­nen Daten z.B. in sozia­len Netz­wer­ken. Das wür­de uns zwar eini­ges an Arbeit spa­ren, da zahl­rei­che Geschen­ke ent­fal­len könn­ten, aber wir wol­len mal nicht so sein. Ist ja schließ­lich Weih­nach­ten. Aber: „Maik und Ingrid, löscht doch bit­te mal die Bil­der von eurem letz­ten Par­ty-Absturz. Die will wirk­lich kei­ner sehen!“

Sie haben zwar das Recht, Aus­kunft über die zu Ihrer Per­son gespei­cher­ten Daten zu erhal­ten (Art. 15 DSGVO), nur was wol­len Sie fra­gen, was Sie nicht selbst schon alles über sich wis­sen? Nein, unser Aus­kunfts­ser­vice steht nicht zur Ver­fü­gung, um die Lücken Ihres letz­ten Hang Over zu schließen.

Lie­gen die gesetz­li­chen Vor­aus­set­zun­gen vor, so kön­nen Sie die Löschung oder Ein­schrän­kung der Ver­ar­bei­tung ver­lan­gen sowie Wider­spruch gegen die Ver­ar­bei­tung ein­le­gen (Art. 17, 18 und 21 DSGVO). Dann gibt es aber auch kei­ne Geschen­ke – ganz ein­fach. Allabätsch!

Wei­ter­hin besteht ein Beschwer­de­recht bei einer Daten­schutz­auf­sicht Ihrer Wahl. Aus­wir­kun­gen einer sol­chen Beschwer­de auf zukünf­ti­ge Geschen­ke sind Zufall und kei­nes­falls in Ver­bin­dung mit Ihrer Beschwer­de zu sehen.

Und jetzt: Geseg­ne­te Fei­er­ta­ge! Wir haben zu arbei­ten, also sehen Sie bit­te von Nach­fra­gen ab.

Weih­nachts­mann und Team

PS: Bit­te schwär­zen Sie im Zuge der DSGVO weder Namen und Anschrift auf Ihrem Wunsch­zet­tel. DANKE!

291 Downloads

Daten­schutz und Infor­ma­ti­ons­si­cher­heit gefordert

Seit März 2020 beschäf­ti­gen sich die meis­ten Orga­ni­sa­tio­nen auf­grund der Coro­na-Pan­de­mie mit den The­men Heim­ar­beit und Mobi­les Arbei­ten. Doch dabei wur­de bzw. wird sich oft­mals auf die tech­ni­sche Zur­ver­fü­gung­stel­lung sowie Zusät­ze zum Arbeits­ver­trag fokus­siert. Das ist auch kein Wun­der. Denn es galt ja vor­ran­gig, schnell arbeits­fä­hig zu wer­den und zu blei­ben. Und dann war ja noch das Pro­blem mit dem Klo­pa­pier zu lösen.

Und selbst wenn bereits bei der ers­ten Ein­füh­rung bzw. Umset­zung die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit berück­sich­tigt wur­den, ist es nun ein guter Zeit­punkt an dem The­ma dran zu blei­ben. So gilt es, vor­han­de­ne tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men auf den Prüf­stand zu stel­len. Art. 32 DSGVO for­dert in Absatz 1 Buch­sta­be d vor­han­de­ne Schutz­maß­nah­men einer “regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit […] zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung” zu unter­zie­hen. Wer sich neben Daten­schutz mit der Infor­ma­ti­ons­si­cher­heit aus­ein­an­der­ge­setzt hat, wird die­ses Prin­zip schon län­ger ken­nen. Wirk­sam­keits­kon­trol­le und kon­ti­nu­ier­li­che Ver­bes­se­rung für vor­han­de­ne Schutz­maß­nah­men sind Tages­ge­schäft in der Informationssicherheit.

Das Rad nicht neu erfin­den: Tools der Infor­ma­ti­ons­si­cher­heit nutzen

Glück­li­cher­wei­se müs­sen Daten­schutz­be­auf­trag­te das Rad hier­für nicht neu erfin­den. Denn jahr­zehn­te­lang bewähr­te Stan­dards wie der BSI IT-Grund­schutz (in aktu­el­ler Fas­sung des Kom­pen­di­ums 2020) bie­ten kon­kre­te Maß­nah­men und Emp­feh­lun­gen zu Heim­ar­beit und mobi­lem Arbei­ten an. Die­se kön­nen wun­der­bar mit den eige­nen getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men abge­gli­chen wer­den. Dar­auf­hin mög­li­che Lücken zu schlie­ßen und vor­han­de­ne Maß­nah­men zu opti­mie­ren, fällt im Nach­gang umso leich­ter. Sicher mit ein Grund, war­um Daten­schutz­ge­set­ze und Kom­men­ta­re immer häu­fi­ger die­se Prin­zi­pi­en und Hil­fe­stel­lun­gen der Infor­ma­ti­ons­si­cher­heit ein­bin­den und erwähnen.

Wir haben Ihnen in die­sem Bei­trag die unse­rer Mei­nung nach wich­tigs­ten Bau­stei­ne aus dem aktu­el­len BSI IT-Grund­schutz Kom­pen­di­um zusam­men­ge­stellt. Die­se befas­sen sich ent­we­der direkt mit Heim­ar­beit und mobi­lem Arbei­ten oder sind zumin­dest damit eng ver­knüpft. Dar­über hin­aus haben wir noch eini­ge wei­te­re Emp­feh­lun­gen für Sie her­aus­ge­sucht. The­men wie Email-Sicher­heit, Mit­ar­bei­ter­sen­si­bi­li­sie­rung, Umgang mit Sicher­heits­vor­fäl­len und Not­fall­ma­nage­ment wer­den ger­ne ver­nach­läs­sigt. Gera­de, wenn es wie im März 2020 schnell gehen muss.

Exkurs zum Grund­ver­ständ­nis und Auf­bau des BSI IT-Grundschutz

Der IT-Grund­schutz beschreibt in sei­nem Komep­di­um “stan­dar­di­sier­te Sicher­heits­an­for­de­run­gen für typi­sche Geschäfts­pro­zes­se, Anwen­dun­gen, IT-Sys­te­me, Kom­mu­ni­ka­ti­ons­ver­bin­dun­gen und Räu­me in ein­zel­nen Bau­stei­nen”. Die­se Auf­zäh­lung zeigt deut­lich, der IT-Grund­schutz befasst sich ent­ge­gen sei­nes Namens nicht nur mit IT-Sicher­heit. Das wäre auch grob fahr­läs­sig, denn schließ­lich pas­siert ein Groß­teil der Sicher­heits­vor­fäl­le (quan­ti­ta­tiv) im orga­ni­sa­to­ri­schen Bereich. Der Fak­tor Mensch stellt uns ger­ne und oft ein Bein in der Infor­ma­ti­ons­si­cher­heit und damit am Ende auch im Daten­schutz. Die­se zuvor erwähn­ten Bau­stei­ne sind nach Schich­ten (The­men­be­rei­che) unterteilt:

So gibt es in der Schicht ISMS bei­spiels­wei­se einen Bau­stein mit der Bezeich­nung “ISMS.1 Sicher­heits­ma­nage­ment”. Die­ser beschreibt sehr kon­kret, wel­che Anfor­de­run­gen an Infor­ma­ti­ons­si­cher­heit und das Manage­ment von Infor­ma­ti­ons­si­cher­heit in einer Orga­ni­sa­ti­on gestellt wer­den, wenn man den Stan­dard BSI IT-Grund­schutz als Grund­la­ge her­an­zieht. Mit kon­kre­ten Umset­zungs­emp­feh­lun­gen wer­den die­se Anfor­de­run­gen wei­ter detail­liert und unter­stüt­zen mit wert­vol­len Details zu mög­li­chen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men. Damit man auch weiß, woher die­se Emp­feh­lun­gen rüh­ren, ent­hält jeder Bau­stein übli­cher­wei­se eine sehr kon­kre­te Beschrei­bung der Gefah­ren­la­ge. Dar­in wer­den mög­li­che Risi­ken beschrie­ben, wel­che für das The­ma des Bau­steins rele­vant sind und denen man mit den Schutz­maß­nah­men im wei­te­ren Ver­lauf des Bau­steins begeg­nen will. 

In der Schicht INF fin­den sich als wei­te­res Bei­spiel Bau­stei­ne zur Absi­che­rung von Gebäu­den und diver­sen Räu­men inner­halb von Gebäu­den, je nach deren Nut­zungs­art. Wer sich für den Umgang mit Smart­pho­nes und Tablets inter­es­siert oder gar mit einer MDM-Lösung (Mobi­le Device Manage­ment) lieb­äu­gelt, der wird in der Schicht SYS fündig.

Der IT-Grund­schutz ist ver­gleich­bar mit einem Werk­zeug­kas­ten im All­tag eines Heim­wer­kers. Will unser Bob einen Nagel in die Wand schla­gen, fin­det er den pas­sen­den Ham­mer in sei­nem Kas­ten. Benö­tigt er dage­gen einen Schlag­boh­rer samt Dübel und Schrau­be zur Befes­ti­gung, so kann er die­se ein­zel­nen Tools aus sei­nem Werk­zeug­kas­ten zum Errei­chen sei­nes Ziels eben­falls aus­wäh­len und mit­ein­an­der kombinieren.

Umset­zungs­emp­feh­lun­gen zu tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men — MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT

Um die Anfor­de­run­gen des BSI IT-Grund­schutz zu erfül­len, soll­te man wis­sen, was es mit die­sen in der Über­schrift genann­ten Modal­ver­ben MUSS, DARF NICHT, SOLLTE und SOLLTE NICHT auf sich hat. Gene­rell sind die Umset­zungs­emp­feh­lun­gen erst­mal nur rei­ne Emp­feh­lun­gen an eine Orga­ni­sa­ti­on, wie das Schutz­ni­veau durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Schutz­maß­nah­men erreicht oder ver­bes­sert wer­den kann. Geht es jedoch um eine nach­weis­li­che Umset­zung oder Zer­ti­fi­zie­rung, gilt es bestimm­te Emp­feh­lun­gen zwin­gend umzu­set­zen oder zumin­dest kon­kret geprüft zu haben, ob und wie man die­se zukünf­tig umge­setzt haben könn­te. Es gibt also dann klas­si­sche Muss- und Kann-Anfor­de­run­gen. Eben­so gibt es auch Sach­ver­hal­te, die defi­ni­tiv aus­ge­schlos­sen wer­den müs­sen. Für die wei­ter unten ange­führ­ten Bau­stei­ne zu Heim­ar­beit und mobi­lem Arbei­ten soll es erst mal aus­rei­chen, MUSS und SOLLTE näher zu betrach­ten. Wei­te­re Details zu den Modal­ver­ben fin­den Sie hier.

MUSS

“Die­ser Aus­druck bedeu­tet, dass es sich um eine Anfor­de­rung han­delt, die unbe­dingt erfüllt wer­den muss (unein­ge­schränk­te Anforderung).”

SOLLTE

“Die­ser Aus­druck bedeu­tet, dass eine Anfor­de­rung nor­ma­ler­wei­se erfüllt wer­den muss, es aber Grün­de geben kann, dies doch nicht zu tun. Dies muss aber sorg­fäl­tig abge­wo­gen und stich­hal­tig begrün­det wer­den, bes­ten­falls schriftlich.”

Die Unter­schei­dun­gen inner­halb des IT-Grund­schut­zes in Basis‑, Stan­dard- und Kern-Absi­che­rung las­sen wir an die­ser Stel­le zur Ver­ein­fa­chung außer Acht. Es geht ja hier nicht um die Ein­füh­rung eines ISMS auf Basis des IT-Grund­schut­zes. Nor­ma­ler­wei­se macht es Sinn und reicht aus, sich mit den sog. Basis- und Stan­dard-Anfor­de­run­gen in den unten ange­führ­ten Bau­stei­nen zu befas­sen. Soll­te Ihre Orga­ni­sa­ti­on jedoch einer kri­ti­schen Geschäfts­tä­tig­keit nach­ge­hen oder Infor­ma­tio­nen mit sehr hohem Schutz­be­darf ver­ar­bei­ten, lohnt durch­aus auch ein Blick in den Abschnitt “Anfor­de­run­gen bei erhöh­tem Schutz­be­darf” des jewei­li­gen Bausteins.

Kon­kre­te IT-Grund­schutz Bau­stei­ne für Ihre tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen

OPS.1.2.4 Tele­ar­beit — The­men sind hier u.a. Rege­lun­gen zur Tele­ar­beit gene­rell, Rege­lun­gen zur Pri­vat-Nut­zung von Equi­pe­ment und Anwen­dun­gen, Schu­lung der Mit­ar­bei­ter für die in den Richt­li­ni­en skiz­zier­ten Anfor­de­run­gen im Tele­ar­beit-Ein­satz, Erreich­bar­keit und Ein­bin­dung von Mit­ar­bei­tern am Tele­ar­beits­platz sowie das Tref­fen geeig­ne­ter Sicher­heits­maß­nah­men (IT-Betrieb und organisatorisch).

INF.8 Häus­li­cher Arbeits­platz — Schwer­punkt: Ein­rich­tung und Betrieb eines häus­li­chen Arbeits­plat­zes. The­men u.a.: Rege­lun­gen für den Arbeits­platz, Zutritts- und Zugriffs­be­schrän­kun­gen, IT-Nut­zung und deren Absi­che­rung, Trans­port sowie Ver­nich­tung /​ Ent­sor­gung von Papier­ak­ten und digi­ta­len Daten­trä­gern, Mani­pu­la­ti­ons- und Dieb­stahl­ri­si­ken am häus­li­chen Arbeits­platz, sowie Gefähr­dun­gen durch Fami­li­en­mit­glie­der /​ Besu­cher. Ger­ne wird hier in dem Kon­text auf den sepa­rat abschließ­ba­ren Arbeits­raum zu Hau­se ver­wie­sen. Wohl dem, der die­sen Luxus hat und über aus­rei­chend Platz und Zim­mer ver­fügt. Aber auch für alle ande­ren Fäl­le hält die­ser Bau­stein sinn­vol­le Emp­feh­lun­gen bereit.

INF.9 Mobi­ler Arbeits­platz — Nicht immer wird ein fes­ter häus­li­cher Arbeits­platz ein­ge­rich­tet. Dank Lap­top und ande­rer mobi­ler Gerä­te dann aber den­noch aus dem Home-Office gear­bei­tet. Um die­se Aspek­te küm­mert sich die­ser Bau­stein: Rege­lun­gen und Anwei­sun­gen zum Arbei­ten am mobi­len Arbeits­platz, tech­ni­sche Absi­che­rung der Gerä­te (Ver­schlüs­se­lung, Sicht­schutz­fil­ter etc.), Akten- und Daten­trä­ger­trans­port, Ent­sor­gung von ana­lo­gen und digi­ta­len Daten­trä­gern, Dieb­stahl und Ver­lust der Gerä­te (Mel­dung, Sofort­re­ak­tio­nen), Sicher­heit unter­wegs (Ein­seh­bar­keit, Ver­hal­ten bei Tele­fo­na­ten etc.)

NET.3.3 VPN — Anfor­de­run­gen zu Pla­nung und Ein­rich­tung siche­rer Vir­tu­el­ler Pri­va­ter Netz­wer­ke (VPN) zur Sicher­stel­lung der Ver­trau­lich­keit und Inte­gri­tät. Dabei geht es nicht nur um tech­ni­sche Aspek­te, son­dern auch um orga­ni­sa­to­ri­sche Maß­nah­men. So ist das Ver­bot zur Abspei­che­rung von VPN Zugangs­da­ten im Cli­ent mehr als sinn­voll und ange­bracht. Macht ja auch Sinn, ansons­ten ist die Stand­lei­tung in das inter­ne Netz fest ein­ge­rich­tet 🙂 Ist uns eh ein Rät­sel, wie­so Anbie­ter von VPN Soft­ware eine sol­che Opti­on zur Abspei­che­rung von Zugangs­da­ten über­haupt als Funk­ti­on programmieren.

NET.2.2 WLAN-Nut­zung — Unab­hän­gig, ob Nut­zung des pri­va­ten WLAN oder von WLAN Hot Spots unter­wegs, sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu ergrei­fen wie Sicher­stel­len eines aus­rei­chen­den Ver­schlüs­se­lungs­stan­dards WPA2 und höher) oder auch Sen­si­bi­li­sie­rung der Mit­ar­bei­ter im Hin­blick auf sog. Rogue Access Points. Letz­te­res ken­nen Sie nicht? Neh­men Sie ein­fach mal einen belie­bi­gen LTE WLAN Rou­ter mit Akku, benen­nen das WLAN nach “Tele­kom” oder “Wifio­nI­CE”, gehen in ein Café Ihrer Wahl und stau­nen Sie: Inner­halb weni­ger Sekun­den haben sich zahl­rei­che WLAN Gerä­te in Ihren Rou­ter ein­ge­loggt. Bes­ser und ein­fa­cher kann man kei­ne Man-in-the-Midd­le-Atta­cken starten.

OPS.1.2.5 Fern­war­tung — Kommt es am häus­li­chen Arbeits­platz oder mit dem Mobil­ge­rät zu tech­ni­schen Pro­ble­men, wird schnell eine Fern­war­tung durch die eige­ne IT-Abtei­lung oder den exter­nen Dienst­leis­ter z.B. für Anwen­dungs­sup­port not­wen­dig. Rege­lun­gen zur Vor­ge­hens­wei­se, aber auch zur tech­ni­schen Absi­che­rung sind unab­ding­bar. Die ent­spre­chen­den Emp­feh­lun­gen zu Soft­ware­aus­wahl, Pro­to­kol­lie­rung der War­tungs­tä­tig­kei­ten etc. fin­den Sie in die­sem Baustein.

OPS.2.2 Cloud-Nut­zung — Gera­de jetzt wer­den häu­fi­ger Cloud-Ser­vices ein­ge­setzt als noch in 2019. Sei es zum rei­nen Daten­aus­tausch oder Ver­la­ge­rung gan­zer Ver­ar­bei­tungs­tä­tig­kei­ten im Zuge von SaaS (Soft­ware as a Ser­vice). Den­ken Sie ein­fach nur an die Zunah­me bei der Nut­zung von Web­kon­fe­renz-Diens­ten oder auch ande­rer Kom­mu­ni­ka­ti­ons­platt­for­men, um die Zusam­men­ar­beit zwi­schen Intern und Extern oder auch gegen­über Kun­den zu erleich­tern. Neben der tech­ni­schen Sicher­heit wie ver­schlüs­sel­te Über­tra­gung und ver­schlüs­sel­te Daten­hal­tung ste­hen auch orga­ni­sa­to­ri­sche Aspek­te im Fokus. Wel­che Daten dür­fen über­haupt in die Cloud? Wie sind die Cloud-Ser­vices zu nut­zen, was ist erlaubt, was nicht? Migriert in die Cloud ist schnell. Aber hat sich auch jemand Gedan­ken gemacht, was bei einem mög­li­chen Ende der Ser­vice-Nut­zung gesche­hen muss? Gibt es ver­trag­li­che Rege­lun­gen hier­zu? Wie kom­men Daten wie­der zurück? Mög­lichst kom­pa­ti­bel für eine ande­re Anwendung.

OPS.1.1.4 Schutz vor Schad­pro­gram­men — Ver­än­der­ter oder neu­er Tech­no­lo­gie-Ein­satz bringt neue Ein­falls­tü­ren für Schad­pro­gram­me mit sich. Sind die Anfor­de­run­gen an einen kon­se­quen­ten Schutz vor Schad­pro­gram­men tech­nisch und orga­ni­sa­to­risch berück­sich­tigt? Klas­si­ker: Lap­tops, die sich Signa­tur-Updates für den Viren­scan­ner aus­schließ­lich über einen Update-Ser­ver im inter­nen Netz besor­gen. Nun sind die­se Gerä­te aber im län­ge­ren Außen­ein­satz und viel­leicht auch ohne VPN Ver­bin­dung ins inter­ne Netz im unter­wegs. Woher kom­men jetzt die Aktua­li­sie­run­gen, wenn zuvor aus­schließ­lich der inter­ne Update-Ser­ver als Bezugs­quel­le zuge­las­sen wur­de? Ganz schnell ist der Viren­scan­ner out of date und eine wei­te­re Sicher­heits­lü­cke geschaf­fen. Das ist aber natür­lich nicht der ein­zi­ge Aspekt die­ses Bausteins.

ORP.4 Iden­ti­täts- und Berech­ti­gungs­ma­nage­ment — Wie wer­den Benut­zer­rech­te ver­ge­ben für die not­wen­di­gen Zugrif­fe von außen? Auf wel­che Datei­en /​ Anwen­dun­gen muss von außen zuge­grif­fen wer­den kön­nen? Die sel­be Fra­ge­stel­lung jedoch auch zu den Cloud-Ser­vices: Wer darf /​ muss auf was zugrei­fen kön­nen? Wie sieht der Rech­te­ver­ga­be-Pro­zess dazu aus? Wer­den über­all wo mög­lich wei­te­re Sicher­heits­maß­nah­men ergrif­fen wie Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA)? Sind die dazu not­wen­di­gen Appli­ka­tio­nen (Apps) instal­liert und die Nut­zer in deren Hand­ha­bung ein­ge­wie­sen? Auch an die Back­up-Codes für die 2FA gedacht und die­se gesi­chert, soll­te das Gerät mit der 2FA-App nicht mehr ein­satz­fä­hig sein? Nein? Dann viel Spaß. Denn ohne den eigent­li­chen 2FA-Token oder einen Back­up-Code kom­men Sie so schnell nicht mehr an Ihren Account — wenn überhaupt.

ORP.3 Sen­si­bi­li­sie­rung und Schu­lung — Mit­ar­bei­ter sind ein gro­ßer (Un-) Sicher­heits­fak­tor in einer Orga­ni­sa­ti­on. Das sind sie jedoch sel­ten mit Absicht. Haupt­ur­sa­chen sind feh­len­de Kennt­nis von Rege­lun­gen und Vor­ge­hens­wei­sen sowie feh­len­de Sen­si­bi­li­sie­rung. Ist ja auch kein Wun­der, denn Schu­lun­gen und Sen­si­bi­li­sie­run­gen brin­gen kei­nen Umsatz und hal­ten noch dazu die Mit­ar­bei­ter von deren Kern­tä­tig­kei­ten ab. Paart sich das noch mit gestei­ger­tem Selbst­be­wußt­sein — “Ich weiß eh alles (bes­ser)”, dann ist der Boden für den nächs­ten Sicher­heits­vor­fall bes­tens berei­tet. Von daher ist auch die­ses The­ma im Kon­text Heim­ar­beit und mobi­les Arbei­ten von gro­ßer Bedeutung.

Wenn dann doch mal was schief­geht: “Hal­lo, ich bin’s. Der Sicherheitsvorfall”

Unse­re Empfehlungen:

  • Sor­gen Sie für kla­re Pro­zes­se, was im Fall von Sicher­heits­vor­fäl­len und Daten­pan­nen durch Mit­ar­bei­ter und alle wei­te­ren not­wen­di­gen Betei­lig­ten (DSB, ISB, IT, Orga­ni­sa­ti­ons­lei­tung) zu tun. 
  • Machen Sie die­se Pro­zes­se bekannt und leicht zugäng­lich, egal ob Papier­for­mu­la­re, Ticket-Sys­tem oder ander­wei­ti­ge Lösung.
  • Neh­men Sie Ihren Mit­ar­bei­tern die Angst, einen (mög­li­cher­wei­se selbst ver­ur­sach­ten) Sicher­heits­vor­fall sofort zu mel­den. Es geht nicht dar­um, einen mög­li­chen Schul­di­gen zu bestra­fen, son­dern das ein­ge­tre­te­ne Risi­ko in den Begriff zu bekommen.
  • Fokus­sie­ren Sie sich auf das “Wie konn­te das pas­sie­ren?” statt “Wer hat das ver­ur­sacht?”. Aus­nah­me: Wenn ein und der sel­be Mit­ar­bei­ter trotz guter Sen­si­bi­li­sie­rung zum The­ma Kryp­to­tro­ja­ner in einer Woche bereits zum fünf­ten Mal “Makros akti­vie­ren” anklickt und das Dra­ma sei­nen Lauf nimmt. 🙂

Ein guter Ein­stieg könn­te die sog. IT-Not­fall­kar­te “Ver­hal­ten bei IT-Not­fäl­len” der Alli­anz für Cyber­si­cher­heit sein. Bit­te dar­an den­ken, die Hin­wei­se und Abläu­fe mit dem inter­nen Mel­de­pro­zess von Daten­pan­nen him Hin­blick auf Art. 33 und 34 DSGVO zu verzahnen.

Aber auch ein Blick zurück in den IT-Grund­schutz kann nicht scha­den, spe­zi­ell in die Schicht DER: Detek­ti­on und Reak­ti­on und deren Bausteine.

Wenn sen­si­bi­li­sie­ren nicht aus­reicht: wei­ter sensibilisieren

Eben­falls von der Alli­anz für Cyber­si­cher­heit gibt es in deren Infor­ma­ti­ons­pool, aber auch vom Bür­ger-CERT prak­ti­sche und anschau­li­che Tipps, Mus­ter und Vor­la­gen zur Sen­si­bi­li­sie­rung von Mit­ar­bei­tern. Auch gut anzu­wen­den im Kon­text Heim­ar­beits­platz und mobi­les Arbei­ten. Rein­schnup­pern lohnt auf jeden Fall -> Link zu Awa­reness.

Die VBG hat zum The­ma Mobi­les Arbei­ten einen leicht ver­ständ­li­chen Fly­er ver­öf­fent­licht, der nicht nur die Aspek­te Arbeits­schutz beleuch­tet, son­dern auch auf Sicher­heits­pro­ble­me und mög­li­che Lösun­gen eingeht.

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit hat ein Falt­blatt “Tele­ar­beit und Mobi­les Arbei­ten” und deren daten­schutz­ge­rech­te Aus­ge­stal­tung veröffentlicht.

Ja, es kann ner­ven. Aber sowohl der Daten­schutz als auch die Infor­ma­ti­ons­si­cher­heit lie­ben geschul­te und sen­si­bi­li­sier­te Mit­ar­bei­ter. Deren Arbeit­ge­ber soll­ten das auch so hal­ten. Wer sich mal mit den Nach­wir­kun­gen und Auf­wän­den von grö­ße­ren Daten­pan­nen und Sicher­heits­vor­fäl­len beschäf­tigt hat bzw. die­se selbst aus­ba­den muss­te, der weiß: “Vor­beu­gen ist bes­ser als Nach­sor­gen.” — Haben Sie jetzt etwa mit einem ande­ren Spruch gerechnet?

Und es muss ja nicht immer die klas­si­sche Face-2-Face-Ver­an­stal­tung sein. Bes­ten­falls noch 100 Mit­ar­bei­ter oder mehr in einem Raum. Abge­se­hen davon, dass dies aktu­ell auf­grund der Abstands­re­geln eh kaum geht. Außer Sie mie­ten eine Mes­se­hal­le. In der Pra­xis lau­fen sol­che Groß-Schu­lungs­ver­an­stal­tun­gen nach einem bekann­ten Sche­ma ab. Einer steht vor­ne und spricht. Das Audi­to­ri­um schläft zu 50%, die ande­re Hälf­te spielt (natür­lich voll­kom­men unbe­merkt unter dem Tisch) mit dem Smartphone.

Pixabay: Ger­alt

Nut­zen Sie ande­re Mög­lich­kei­ten und bil­den Sie einen Mix, einen bun­ten Blu­men­strauß aus ver­schie­de­nen Wegen, Ihre Ziel­grup­pe Mit­ar­bei­ter zu errei­chen. Online-Schu­lun­gen, Webi­na­re, Rund­mails, wit­zi­ge Fly­er und Pla­ka­te. Wit­zig? Wie sind die bei a.s.k. Daten­schutz denn drauf? Das The­ma ist viel zu ernst. Genau. Und des­we­gen wit­zi­ge Kom­mu­ni­ka­ti­on. Eine posi­ti­ve Emo­ti­on wie ein freund­li­ches Lachen, die Sie mit Ihrer Akti­on aus­ge­löst haben, sorgt dafür, dass die über­mit­tel­te Bot­schaft viel tie­fer in die Ziel­grup­pe ein­si­ckert als Vor­trä­ge bei Ker­zen­schein mit erho­be­nem Zei­ge­fin­ger. Wobei auch das, einen abge­dun­kel­ten Raum vor­aus­ge­setzt, der Refe­rent in Kut­te und mit Beglei­tung von Cho­ral-Musik sei­nen Platz vor­ne ein­neh­mend, durch­aus ein bewuß­tes Stil­mit­tel zum Erzeu­gen der not­wen­di­gen Auf­merk­sam­keit sein kann. Nur nicht jede Ver­an­stal­tung so durch­füh­ren, nutzt sich ab 🙂

Hand in Hand: Daten­schutz und Informationssicherheit

Daten­schutz und Infor­ma­ti­ons­si­cher­heit sind nicht iden­tisch, was jetzt kei­ne neue Erkennt­nis dar­stellt (hof­fent­lich!). Es gibt aber durch­aus Schnitt­men­gen bzw. Werk­zeu­ge, die in bei­den The­men zur Anwen­dung kom­men kön­nen. Eines die­ser Instru­men­te sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men. Und hier­zu bie­tet gera­de der BSI IT-Grund­schutz (aber auch der frü­her dar­aus abge­lei­te­te Stan­dard ISIS12) in gro­ßem Umfang prak­ti­sche Unter­stüt­zung. So hilft die­ser nicht nur bei der Iden­ti­fi­ka­ti­on mög­li­cher Risi­ken (Gefähr­dun­gen), son­dern bringt zugleich recht umfang­reich Hand­lungs­emp­feh­lun­gen /​ Maß­nah­men ein, mit­tels derer man Ein­tritts­wahr­schein­lich­keit und /​ oder Scha­dens­aus­maß begren­zen kann. Von daher bie­tet es sich aus Sicht des Daten­schut­zes an, einen wei­ten Blick über den Tel­ler­rand in das Feld der Infor­ma­ti­ons­si­cher­heit zu wer­fen. Die Mühe lohnt sich ganz schnell.

Hilfe Hürde

Wir hof­fen, Sie haben einen guten ers­ten Ein­druck gewin­nen kön­nen, wie man am Bei­spiel Tele­ar­beits­platz /​ Mobi­les Arbei­ten den Werk­zeug­kof­fer der Infor­ma­ti­ons­si­cher­heit auch im Daten­schutz bes­tens ein­set­zen kann. Die Details zu Risi­ken und Hand­lungs­emp­feh­lun­gen aus dem IT-Grund­schutz haben wir hier im Bei­trag nicht ange­führt. Wenn Sie die oben genann­ten und ver­link­ten Bau­stei­ne des BSI IT-Grund­schutz ankli­cken, kom­men Sie direkt zu den wei­ter­füh­ren­den Infor­ma­tio­nen auf der Web­sei­te des BSI. Und hof­fen wir mal, dass die Links für eine Wei­le von Bestand sein. Das war in der Ver­gan­gen­heit lei­der nicht immer der Fall. Gell, lie­bes BSI Team? Aber dan­ke für eure Mühe und die­sen tol­len Stan­dard. Der IT-Grund­schutz hat lei­der oft einen schlech­ten Ruf. Nach unse­rem Dafür­hal­ten zu Unrecht. Gera­de im deutsch­spra­chi­gen Raum, aber nicht nur da, der “hei­ße Scheiß” der Informationssicherheit 😉

e-privacy vo vorgelegt

Am 04.11.2020 wur­de ein Ent­wurf für eine E‑Privacy Ver­ordnung von der EU-Rats­prä­si­dent­schaft den Mit­glieds­staa­ten vor­ge­legt. Die­sem zufol­ge sind die Ver­ar­bei­tung etwa von Stand­ort- und Zugriffs­da­ten /​ das Set­zen von cookies, die auf den End­ge­rä­ten von ‘visi­tors´ gespei­chert wer­den, unter dem pau­scha­len Ver­weis auf berech­tig­tes Inter­es­se und ohne fun­dier­te(re) Rechts­grund­la­ge nicht zuläs­sig. 

Aus­nah­men die­ser E-Priva­cy Aspek­te 

Für ver­tret­ba­re Ver­ar­bei­tun­gen, die aus Sicht der Ent­wer­fen­den ohne Rechts­grund­la­ge zuläs­sig blei­ben müssten, sind Erlaub­nis­tat­be­stän­de in den E‑Privacy Ent­wurf ein­ge­flos­sen. Hier kamen etwa IT-Sicher­heitfraud pre­ven­ti­onDirekt­wer­bung in Betracht. Auch für messaging- und (ande­re) Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ist die Ver­ar­bei­tung der Daten ihrer Nut­zer unter Ein­wil­li­gung wei­ter­hin eingeräumt. Wenn Inhal­te auf einer web­site unent­gelt­lich ange­bo­ten wer­den und die Finan­zie­rung des­sen über Wer­be­ban­ner erfolgt, dür­fe die Nut­zung durch die visi­tors wei­ter­hin an das Set­zen von coo­kies ohne Ein­wil­li­gung /​ Geneh­mi­gung gekop­pelt wer­den, soweit ihm ver­schie­de­ne Optio­nen mittels ‘prä­zi­ser Infor­ma­tio­nen´ auf­ge­zeigt wür­den. In sei­nem Bei­trag zu die­sem The­ma führt hei​se​.de ein Bei­spiel die­ser Pra­xis mit “Spie­gel Online” an, wonach man der Ver­ar­bei­tung sei­ner Daten im vor­ge­nann­ten Sin­ne nur durch Abon­ne­ment ent­ge­hen kön­ne. 

Inte­gri­tät und Vertraulichkeit

Im Fokus steht auch die mit der geplan­ten E‑Privacy Ver­ord­nung den Mit­glied­staa­ten ein­zu­räu­men­de Mög­lich­keit der ‘recht­mä­ßigen Über­wachung´ elek­tro­ni­scher Kom­mu­ni­ka­ti­on, d.h. Tele­kom­mu­ni­ka­ti­ons­an­bie­ter ent­spre­chend in die Pflicht zur Her­aus­ga­be von Stand­ort- und Ver­bin­dungs­da­ten neh­men zu kön­nen. Geset­zen zur Vor­rats­da­ten­spei­che­rung auf natio­na­ler Ebe­ne soll in bestimm­ten Gren­zen eben­falls Raum gege­ben wer­den. 

E‑Privacy und das Nut­zer­ver­hal­ten 

Hand aufs Herz — wer kennt die ‘do not track´ Funk­tio­na­li­tät und wer nutzt sie? Las­sen Sie es uns im Kom­men­tar­feld wis­sen und was Sie davon hal­ten. Der Ansatz, die Ver­ar­bei­tung von User­da­ten ein­zu­gren­zen schei­ter­te, u.a. weil Wer­be­in­dus­trie & Co. ihn nicht aner­kann­te. Wie kann man nur so gemein sein? 🙂 Auch in der vor­lie­gen­den E‑Privacy Ver­ord­nung in spe ist eine erset­zen­de oder ver­bes­sern­de Rege­lung nicht ent­hal­ten. Indes wur­de der EDSA (Euro­päi­scher Daten­schutz­aus­schuss) ersucht, ent­spre­chen­de Richt­li­ni­en sowie Empfehlungen zu fas­sen. 

Wei­te­re Aus­nah­men von dem Ein­wil­li­gungs­ge­bot könn­ten sich bei Waren­kör­ben, der im Hin­ter­grund ablau­fen­den Prü­fung der Iden­ti­tät von Per­so­nen bei online Trans­ak­tio­nen und zum Zwe­cke des Web­de­signs und der Wer­bung erge­ben. 

Die vor­ge­schla­ge­ne E‑Privacy Ver­ord­nung erstreckt sich auch auf das IoT über öffent­li­che Net­ze. Intel­li­gen­te Hab­se­lig­kei­ten wie medi­zi­ni­sche Gerä­te, Autos, Wasch­ma­schi­nen etc dür­fen auch wei­ter­hin in Daten­ver­ar­bei­tun­gen durch Anbie­ter invol­viert wer­den, ohne dass eine Ein­wil­li­gung /​ Kennt­nis des Besit­zers not­wen­dig wäre. Indes dür­fen die ‘Funk­tio­na­li­tä­ten´ der hard- und soft­wares nicht abge­än­dert wer­den. Das ist schon eine Beru­hi­gung, wenn man die Futur­a­ma Fol­ge kennt, in der die (Nutz-)Roboter rebellieren 😉 Lie­be Ver­schwö­rungs­theo­re­ti­ker — dies ist ein Scherz und bit­te nut­zen Sie die­sen nicht weiter. 

Nach nur knapp 6 Mona­ten Ein­füh­rung eines Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems, kurz ISMS wur­de das Team von a.s.k. Daten­schutz für die inves­tier­te Zeit und Ner­ven belohnt. Nach einem erfolg­rei­chen Vor-Ort-Audit Mit­te Okto­ber durch die DQS GmbH haben wir zum 31.10.2020 das Zer­ti­fi­kat über die erfolg­rei­che Ein­füh­rung und den nach­weis­li­chen Betrieb unse­res ISMS auf Basis des Stan­dards ISIS12 2.0 erhal­ten. Damit sind wir die ers­te Orga­ni­sa­ti­on, die im neu­en Kata­log 2.0 zer­ti­fi­ziert wur­de. Das freut uns natür­lich gleich noch etwas mehr.

Neben den rein for­ma­len Anfor­de­run­gen haben die­se 6 Mona­te auch eini­ge Ver­än­de­run­gen an Arbeits­pro­zes­sen und ein­ge­setz­ten Soft­ware­lö­sun­gen z.B. für den Bereich Mobi­le Device Manage­ment und Hard­ware-Ver­wal­tung mit sich gebracht. So konn­ten wir bereits die Pha­se der Ein­füh­rung zur wei­te­ren Ver­bes­se­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nut­zen. Wei­te­rer Vor­teil: Der Nach­weis geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men im Sin­ne von Art. 32 DSGVO wird durch die Zer­ti­fi­zie­rung deut­lich erleichtert.

ISIS12 (Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten) ist eine aus dem BSI IT-Grund­schutz abge­lei­te­te Vor­ge­hens­wei­se, wel­che es klei­nen und mitt­le­ren Orga­ni­sa­tio­nen ermög­licht, ein Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) ein­zu­füh­ren und zu betrei­ben. a.s.k. Daten­schutz berät und unter­stützt seit vie­len Jah­ren zahl­rei­che Kom­mu­nen und Unter­neh­men bei Ein­füh­rung und Betrieb eines ISMS auf Basis von ISIS12, aber auch ande­rer Stan­dards wie dem BSI IT-Grund­schutz selbst. Für uns war es daher ein logi­scher Schritt, unse­ren Kun­den nicht nur gute Rat­schlä­ge zur Ein­füh­rung und Betrieb von ISIS12 zu geben und sie dabei zu beglei­ten, son­dern uns selbst die­sen Regu­la­ri­en zu unter­wer­fen und das Gan­ze auch mit Zer­ti­fi­zie­rung abzuschließen.

Nach­dem die ISI­S12-Kata­log­rei­he 1.x  zu April 2022 abge­kün­digt wur­de, war es für uns selbst­ver­ständ­lich, den Nach­fol­ge-Kata­log 2.0 ein­zu­füh­ren. Die über­ar­bei­te­te Struk­tur sowie deut­li­che Aktua­li­sie­rung der Bau­stei­ne und Maß­nah­men im Kata­log 2.0 gegen­über den frü­her aus dem IT-Grund­schutz-Kata­log ent­nom­me­nen Ele­men­ten haben eine zügi­ge, nach­voll­zieh­ba­re und trans­pa­ren­te Ein­füh­rung sehr unterstützt.

Wir kön­nen daher aus eige­ner Erfah­rung nur emp­feh­len, neue Pro­jek­te gene­rell nur noch im Kata­log 2.0 zu star­ten bzw. vor­han­de­ne ISMS auf Basis der 1.x Kata­lo­ge bei nächs­ter pas­sen­der Gele­gen­heit umzu­stel­len. Die Upgrade-Pfa­de sind gut doku­men­tiert und für unse­re Kun­den haben wir wei­te­re Sys­te­ma­ti­ken zur ein­fa­chen Kon­ver­tie­rung entwickelt.

Wie sag­te unser Audi­tor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letz­ten Tage bereits genutzt, um uns wei­ter­zu­ent­wi­ckeln. Denn in 12 Mona­ten müs­sen wir uns dem ers­ten Über­wa­chungs­au­dit (Ü1) stel­len und auch das wol­len wir mit einem sehr guten Ergeb­nis abschließen.

Das ISIS12 Zer­ti­fi­kat hat eine Gül­tig­keit von 3 Jah­ren und kann hier ein­ge­se­hen bzw. als PDF abge­ru­fen wer­den. Wenn Sie mehr über den Stan­dard ISIS12 erfah­ren wol­len, kön­nen Sie hier in unse­rem Blog oder auf der Web­sei­te des IT-Sicher­heits­clus­ters Regens­burg wei­te­re Details nachlesen.

Pro Kontra

Unser Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­land (BvD) e.V. rich­tet heu­te, am 17.09.2020 eine sehr inter­es­san­te Ver­an­stal­tung aus mit dem Titel “Föde­ral oder zen­tral – Wie sieht die Zukunft der Daten­schutz­auf­sicht aus?”. Auf­grund der aktu­el­len Gege­ben­hei­ten rund um Coro­na kann die Ver­an­stal­tung mit­tels Live-Stream mit­ver­folgt wer­den und zwar unter der URL https://​www​.bvd​net​.de/​a​u​f​s​i​c​h​t​-​l​i​ve/

Vor dem Hin­ter­grund der Eva­lu­ie­rung des Bun­des­da­ten­schutz­ge­set­zes steht der Vor­schlag im Raum, die Daten­schutz­auf­sicht für Unter­neh­men zukünf­tig in eine zen­tra­le Hand zu legen statt auf 17 Auf­sichts­be­hör­den (16 Land, 1 Bund) wei­ter ver­teilt zu lassen.

Start ist um 15 Uhr und beson­ders inter­es­sant wird es bei den Bei­trä­gen ab 15:25 Uhr. “Stand­punk­te: Pro und Kon­tra Zen­tra­li­sie­rung” und “Erfah­run­gen aus der Daten­schutz­pra­xis”. Rein­schau­en bzw. Rein­hö­ren lohnt sich auf jeden Fall, wenn Ver­tre­ter der Lan­des­da­ten­schutz­be­hör­den auf Daten­schutz-Anwäl­te und Prak­ti­ker aus der Wirt­schaft tref­fen, um die Vor- und Nach­tei­le der aktu­ell facet­ten­rei­chen DSGVO Aus­le­gun­gen und Mei­nun­gen in den ver­schie­de­nen Bun­des­län­dern zu diskutieren.

Vor- und Nachteile

Wer wie wir auf­grund der Kun­den­struk­tur mit eigent­lich allen Lan­des­da­ten­schutz­be­hör­den zu tun hat, kann den Wunsch nach einer Zen­tra­li­sie­rung bzw. Ver­ein­heit­li­chung durch­aus nach­voll­zie­hen. Die nicht sel­te­ne weit gefä­cher­te und diver­gie­ren­de Aus­le­gung der DSGVO macht es nicht unbe­dingt leich­ter. Und selbst wenn es gemein­sa­me Stel­lung­nah­men z.B. im Zuge der DSK (Daten­schutz­kon­fe­renz) gibt, sind die­se gele­gent­lich so vage, dass die Bedeu­tung für die Umset­zungs­pra­xis durch­aus gegen Null stre­ben kann. Eine ein­heit­li­che Sicht­wei­se wäre hier durch­aus auch gegen­über Kun­den sehr hilf­reich. Es ist nicht immer leicht zu argu­men­tie­ren, war­um etwas in einem Bun­des­land ok ist, in einem ande­ren Bun­des­land von der Auf­sicht nicht ger­ne gese­hen wird. Ein pro­mi­nen­tes Bei­spiel sind die doch sehr abwei­chen­den Sicht­wei­sen zur Art und Wei­se der Durch­füh­rung einer Daten­schutz­fol­gen­ab­schät­zung (DSFA). Mitt­ler­wei­le haben sich hier gefühlt zwei Lager gebil­det, SDM vs. PIA. Ob man mit einer ande­ren Vor­ge­hens­wei­se aus Sicht der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de alles rich­tig macht, wird die Zeit zeigen.

Ande­rer­seits hat und kennt man durch die dezen­tra­le Struk­tur sei­ne Ansprech­part­ner, die bei Anfra­gen oft zeit­nah und kom­pe­tent reagie­ren. Im Zuge einer Zen­tra­li­sie­rung müss­te durch aus­rei­chen­de per­so­nel­le Beset­zung die­se Bera­tungs­funk­ti­on auch zukünf­tig sicher­ge­stellt sein. Was einer­seits ein Nach­teil sein kann (unter­schied­li­che bis gegen­sätz­li­che Mei­nun­gen der Lan­des­da­ten­schutz­be­hör­den), stellt im Hin­blick auf Mei­nungs­viel­falt und Ideen für Umset­zungs­mög­lich­kei­ten ande­rer­seits durch­aus auch einen Vor­teil dar. Im Zuge einer Zen­tra­li­sie­rung wür­de dies ent­fal­len. Dann gibt es nur noch die eine Sicht­wei­se der zen­tra­len Instanz. Auch dies wäre dann erst mal eine Mei­nung, die ande­re Vor­ge­hens­wei­sen nicht zwin­gend aus­schlie­ßen wür­de, aber der Pool zur Aus­wahl oder Ent­wick­lung ande­rer Umset­zungs­mög­lich­kei­ten wäre stark redu­ziert bzw. nicht mehr vorhanden.

So haben bei­de Lösun­gen ein Für und Wider. Man darf auf die heu­ti­gen Dis­kus­sio­nen im Rah­men der Ver­an­stal­tung und im Hin­blick auf die wei­te­re Ent­wick­lung sehr gespannt sein. Schau­en Sie rein: https://​www​.bvd​net​.de/​a​u​f​s​i​c​h​t​-​l​i​ve/ Start 15 Uhr.