Zum Inhalt springen

Mitarbeiter

Geburts­tags­lis­ten von Mit­ar­bei­tern und die DSGVO

Als aktu­el­le Kurz­in­for­ma­ti­on zum Daten­schutz unter der DSGVO hat der BayLfD jetzt die Num­mer 26 ver­öf­fent­licht, Thema

“Beschäf­tig­ten-Geburts­tags­lis­ten bei baye­ri­schen öffent­li­chen Stellen.”

Jetzt könn­te man als Unter­neh­men oder Ver­ein ver­sucht sein, dar­über hin­weg­zu­le­sen. Schließ­lich han­delt es sich bei die­sen Orga­ni­sa­tio­nen um sog. nicht-öffent­li­che Stel­len. Doch der Inhalt betrifft durch­aus bei­de Berei­che. Ob das The­ma Geburts­tags­lis­te aktu­ell einer der Brenn­punk­te der DSGVO ist, steht auf einem ande­ren Blatt. Aber zur Auf­fri­schung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zei­ten gab es dazu immer wie­der Nachfragen.

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Nun, das ist recht ein­fach erklärt. Wenn abtei­lungs­be­zo­gen oder für die gesam­te Orga­ni­sa­ti­on eine öffent­lich ein­seh­ba­re Lis­te der Geburts­ta­ge der Mit­ar­bei­ter  durch den Arbeit­ge­ber ver­öf­fent­licht wird, dann ver­ar­bei­tet die­ser per­so­nen­be­zo­ge­ne Daten sei­ner Mit­ar­bei­ter und gibt die­se an Drit­te (alle ande­ren Mit­ar­bei­ter) wei­ter. Wie wir nun hin­läng­lich wis­sen, ist dafür einer der Erlaub­nis­tat­be­stän­de aus Art. 6 Abs. 1 DSGVO notwendig:

  • a) Ein­wil­li­gung: liegt im Zwei­fel kei­ne vor, sofern es hier­zu kei­nen gere­gel­ten Pro­zess im Rah­men der Ein­stel­lung gibt.
  • b) Not­wen­dig­keit für die Durch­füh­rung, in die­sem Fall des Arbeits­ver­tra­ges: Für das eigent­li­che Beschäf­tig­ten­ver­hält­nis sicher­lich, für die Ver­öf­fent­li­chung an alle Mit­ar­bei­ter sicher nicht.
  • c) Rechts­vor­schrift: Uns ist zumin­dest kei­ne Rechts­vor­schrift bekannt, wel­che das Ver­öf­fent­li­chen von Geburts­tags­lis­ten der Mit­ar­bei­ter vor­schreibt. Kann ja aber noch kom­men im Zuge der aktu­el­len Gebt-Gesetzen-witzige-Namen-Welle.
  • d) Lebens­wich­ti­ge Inter­es­sen zum Schutz der Mit­ar­bei­ter wird man hier nicht anneh­men können.
  • e) Wahr­neh­mung öffent­li­ches Inter­es­se oder Aus­übung öffent­li­cher Gewalt schei­det aus.
  • f) Ob das sog. berech­tig­te Inter­es­se anwend­bar ist, wird aktu­ell kon­tro­vers dis­ku­tiert. Eine Mehr­heit fin­det sich hier­für kei­ne. Für öffent­li­che Stel­len in Bay­ern ist Buch­sta­be f zumin­dest in der Aus­übung der öffent­li­chen Auf­ga­ben ausgeschlossen.

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

Am Ende des Tages wird es wohl wie frü­her dar­auf hin­aus­lau­fen. Doch ist das Ein­ho­len von schrift­li­chen Ein­wil­li­gun­gen samt deren Abla­ge in der Per­so­nal­ak­te und regel­mä­ßi­gen Prü­fung und Bear­bei­tung von Wider­ru­fen wirk­lich jetzt der Königs­weg. Nein, war es nie und wird es nach unse­rem Dafür­hal­ten auch nie sein. Auch wenn dies durch die oben genann­te Kurz­in­for­ma­ti­on sug­ge­riert wird. Klar kann man die­ses The­ma nun mit viel Papier im Rah­men des Ein­stel­lungs­pro­zes­ses für neue Mit­ar­bei­ter lösen. Allei­ne von den bereits vor­han­de­nen Mit­ar­bei­tern die Ein­wil­li­gung nach­träg­lich ein­zu­ho­len und zu doku­men­tie­ren, ist sicher auch kein zu unter­schät­zen­der Auf­wand. Selbst wenn man die Ein­wil­li­gung mitt­ler­wei­le auch elek­tro­nisch ein­ho­len und doku­men­tie­ren kann. Es geht auch einfacher:

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Egal, ob orga­ni­sa­ti­ons­weit oder nur abtei­lungs­be­zo­gen: Wenn sich ein Mit­ar­bei­ter frei­wil­lig in einen Geburts­tags­ka­len­der (zen­tral in Out­look oder in Papier­form in der Tee­kü­che) ein­trägt, jeder­zeit die Mög­lich­keit des Wie­der­aus­tra­gens besteht, dann kön­nen Sie sich das gan­ze Klim­bim spa­ren. Aber auch das ist nun nichts Neu­es aus der DSGVO, son­dern wur­de schon frü­her so prag­ma­tisch gehandhabt.

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Soll­ten Sie sich als Arbeit­ge­ber das Pro­ce­de­re mit schrift­li­cher Ein­wil­li­gung den­noch antun wol­len, dann ach­ten Sie dar­auf, dass in Ihren Anga­ben zu den Infor­ma­ti­ons­pflich­ten gem. Art. 13 DSGVO für Mit­ar­bei­ter die Geburts­tags­lis­te Erwäh­nung fin­det. Der dazu­ge­hö­ri­ge Ein­trag in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten darf eben­falls nicht fehlen.

Übri­gens zwei Punk­te, die Sie sich durch den Geburts­tags­lis­te-Self-Ser­vice eben­falls je nach Umset­zung erüb­ri­gen kön­nen. Zumin­dest wenn nicht sei­tens der Orga­ni­sa­ti­on der Anstoß für die­se Geburts­tags­lis­ten und deren Ver­wal­tung /​ Durch­füh­rung kommt, also die Mit­ar­bei­ter den Kalen­der in der Tee­kü­che selbst auf­hän­gen (wäre aber sicher im Detail zu dis­ku­tie­ren). Stellt die Orga­ni­sa­ti­on den Geburts­tags­ka­len­der zen­tral in Out­look o.ä. Pro­gram­men zur Ver­fü­gung, macht es Sinn, einen Ein­trag im VVT und in den Infopflich­ten vor­zu­hal­ten (dan­ke für den Hin­weis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrie­den und das The­ma Daten­schutz wird nicht erneut als Stör­fak­tor wahr­ge­nom­men (was es eigent­lich auch gar nicht ist, ent­spre­chend prag­ma­ti­sche Umset­zung vor­aus­ge­setzt). So und jetzt “KUCHEN”

IT-Not­fall­kar­te für Mit­ar­bei­ter (Hil­fe­stel­lung der Alli­anz für Cyber­si­cher­heit und des BSI)

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Im Zuge der Dis­kus­si­on um Infor­ma­ti­ons­si­cher­heits­kon­zep­te und tech­ni­sche Maß­nah­men im Sin­ne der DSGVO stößt man unwei­ger­lich auf das The­ma Not­fall­ma­nage­ment. Vor­ran­gig zie­len die ergrif­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men einer Orga­ni­sa­ti­on ja dar­auf ab, Sicher­heits­vor­fäl­le und Not­fäl­le mög­lichst zu ver­mei­den. Die Ein­tritts­wahr­schein­lich­keit soll mög­lichst nahe Null lie­gen. Das dies für jede Art von Vor­fall nicht immer gelingt, liegt auf der Hand. Umso wich­ti­ger ist, von sol­chen Vor­fäl­len früh­zei­tig Kennt­nis zu erlan­gen, die­se kor­rekt zu bewer­ten und ange­mes­sen zu reagieren.

Dies setzt jedoch sen­si­bi­li­sier­te Mit­ar­bei­ter vor­aus, die im Fal­le eines Sicher­heits­vor­falls oder eines Not­falls wis­sen, was zu tun ist. Die Alli­anz für Cyber-Sicher­heit hat sich zusam­men mit dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und eini­gen ande­ren Ein­rich­tun­gen im Hin­blick auf IT-Sicher­heits­vor­fäl­le Gedan­ken gemacht.

Die IT-Not­fall­kar­te “Ver­hal­ten bei IT-Not­fäl­len” für Mitarbeiter

Sie ken­nen das sicher noch aus der Ers­te-Hil­fe-Aus­bil­dung. Die 5 “W” für den rich­ti­gen Notruf:

  1. Wo ist das Ereignis?
  2. Wer ruft an?
  3. Was ist geschehen?
  4. Wie vie­le Betroffene?
  5. War­ten auf Rückfragen

Ana­log zu die­ser Vor­ge­hens­wei­se gibt es nun die IT-Not­fall­kar­te zum kos­ten­frei­en Down­load und zur Ver­tei­lung an Mit­ar­bei­ter bzw. Aus­hang der Kar­te. Nach Ein­trag der inter­nen Ruf­num­mer für IT-Not­fäl­le kom­men die 5 “W” für die Notfallmeldung:

  1. Wer mel­det?
  2. Wel­ches IT-Sys­tem ist betroffen?
  3. Wie haben Sie mit dem IT-Sys­tem gear­bei­tet bzw. was haben Sie beobachtet?
  4. Wann ist das Ereig­nis eingetreten?
  5. Wo befin­det sich das betrof­fe­ne IT-Sys­tem (Gebäu­de, Raum, Arbeitsplatz)?

Dar­un­ter fin­den sich eini­ge Ver­hal­tens­hin­wei­se für den oder die betrof­fe­nen Mit­ar­bei­ter. Für den Fall eines Befalls mit Kryp­to­tro­ja­nern wäre mög­li­cher­wei­se die Emp­feh­lung “Netz­werk­ka­bel zie­hen” noch recht hilf­reich gewesen.

Sehr gut hat uns die Aus­sa­ge gefal­len “Ruhe bewah­ren & IT-Not­fall mel­den. Lie­ber ein­mal mehr als ein­mal zu wenig anru­fen!”, die sich als zwei­te Über­schrift auf der Kar­te oben findet.

Top 12 Maß­nah­men bei Cyber-Angriffen

Da es nach der Mel­dung eines IT-Not­falls mit der Bear­bei­tung wei­ter­ge­hen muss, lie­fert die Alli­anz für Cyber­si­cher­heit zur wei­te­ren “Bewäl­ti­gung des Not­falls” eine Top 12 Lis­te mit. Auf die­ser fin­den sich die wich­tigs­ten Maß­nah­men zur Scha­dens­be­gren­zung und auch der Nach­be­ar­bei­tung des hof­fent­lich glimpf­lich ver­lau­fe­nen Angriffs.

Die­se Top 12 Maß­nah­men bei Cyber-Angrif­fen rich­ten sich an IT-Ver­ant­wort­li­che und Admi­nis­tra­to­ren und soll­ten an kei­nem Arbeits­platz als Hil­fe­stel­lung fehlen.

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Die­se bei­den Hil­fe­stel­lun­gen sind ein ers­ter Schritt in die rich­ti­ge Rich­tung. Doch ohne pro­fes­sio­nel­les Not­fall­ma­nage­ment wird kei­ne Orga­ni­sa­ti­on zukünf­tig aus­kom­men. Wur­den die The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit in der Ver­gan­gen­heit meist schon sehr stief­müt­ter­lich behan­delt, haben gera­de klei­ne Orga­ni­sa­tio­nen das The­ma Not­fall­ma­nage­ment gar nicht oder nur weit am Ende des Erfas­sungs­be­reichs auf dem Radar.

Hier ver­weist die Alli­anz für Cyber­si­cher­heit auf den Stan­dard 100–4 des BSI IT-Grund­schut­zes. 100–4 beschreibt eine pro­fes­sio­nel­le und sys­te­ma­ti­sche Vor­ge­hens­wei­se zur Ein­füh­rung und Wei­ter­ent­wick­lung eines Not­fall­ma­nage­ments in Orga­ni­sa­tio­nen jeg­li­cher Grö­ße und Bran­che. Bei ers­ter Durch­sicht mag das dem einen oder ande­ren Leser etwas sper­rig oder zu auf­ge­bauscht wir­ken. Und sicher emp­fiehlt es sich, in Abhän­gig­keit von der Orga­ni­sa­ti­ons­grö­ße den Stan­dard 100–4 ange­mes­sen und zweck­dien­lich umzu­set­zen. Eine stoi­sche 1:1 Umset­zung ist eher suboptimal.

Sinn und Not­wen­dig­keit für ein Not­fall­ma­nage­ment soll­ten jedoch schnell klar wer­den. Ein Not­fall ist etwas ande­res als “Kein Papier im Dru­cker”. Ok, der betrof­fe­ne Mit­ar­bei­ter mag das kurz­zei­tig so emp­fin­den 🙂 In einem Not­fall oder auch bei der Ver­ket­tung meh­re­rer Arten von Not­fäl­len ist kei­ne gro­ße Zeit, sich über die Not­fall­be­hand­lung Gedan­ken zu machen oder wich­ti­ge Infor­ma­tio­nen für die Besei­ti­gung des Not­falls zu beschaffen.

Wenn Sie mit dem The­ma lieb­äu­geln, kön­nen wir Ihnen den Kurs “Not­fall­ma­nage­ment” der Baye­ri­schen Ver­wal­tungs­schu­le wärms­tens an Herz legen. Die­ser ist nicht auf baye­ri­sche Ver­wal­tun­gen beschränkt, son­dern steht inter­es­sier­ten Teil­neh­mern aus Behör­den und Unter­neh­men aus ganz Deutsch­land offen.

Im Rah­men von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten wird die Ent­wick­lung eines Not­fall­vor­sor­ge­kon­zepts und eines Not­fall­plans (erst die Ver­mei­dung, dann die Reak­ti­on, wenn es mit dem Ver­mei­den nicht geklappt hat) gefor­dert. Wer sich also mit den Stan­dards wie IT-Grund­schutz, ISIS12 oder auch der Arbeits­hil­fe (für klei­ne­re Ein­rich­tun­gen) und deren Ein­füh­rung befasst, wird um das The­ma nicht herumkommen.

Was kann a.s.k. Daten­schutz für Sie tun?

Vor­aus­ge­schickt: a.s.k. Daten­schutz ist der Dozent an der Baye­ri­schen Ver­wal­tungs­schu­le u.a. für das The­ma Not­fall­ma­nage­ment und die Aus­bil­dung von zer­ti­fi­zier­ten Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten. Im Zuge von zahl­rei­chen Sicher­heits­kon­zep­ten beglei­ten wir die Ein­füh­rung von Not­fall­vor­sor­ge­kon­zep­ten und die Erstel­lung von Not­fall­plä­nen. Selbst­ver­ständ­lich bie­ten wir die­se Dienst­leis­tung im Rah­men der Ein­füh­rung und Beglei­tung von Infor­ma­ti­ons­si­cher­heits­kon­zep­ten, aber auch flan­kie­rend zur Tätig­keit als exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te an. Spre­chen Sie uns ein­fach an. Ihren Daten­schutz­be­auf­trag­ten wird das sicher auch freuen.

Apro­pos Daten­schutz­be­auf­trag­ter: Ver­fügt Ihre Orga­ni­sa­ti­on über einen Daten­schutz­be­auf­trag­ten? Öffent­li­che Stel­len sind zur Bestel­lung unge­ach­tet der Mit­ar­bei­ter­zahl gene­rell ver­pflich­tet. Unter­neh­men benö­ti­gen einen Daten­schutz­be­auf­trag­ten ab 10 Mit­ar­bei­tern (soll­te das 2. DsAnpG den Bun­des­rat pas­sie­ren erhöht sich die Zahl auf 20), die regel­mä­ßig mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten befasst sind. Und las­sen Sie sich kei­nen Sand in die Augen streu­en. Ob mit oder ohne Daten­schutz­be­auf­trag­ten müs­sen alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on erfüllt sein. Wenn es kei­nen DSB gibt, muss sich jemand ande­res um die meist büro­kra­ti­schen Auf­ga­ben küm­mern. Ein­fa­cher und prag­ma­ti­scher geht es mit a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te. For­dern Sie noch heu­te Ihr unver­bind­li­ches Ange­bot an.

Unver­bind­li­ches Ange­bot anfordern

Daten­pan­ne: Offe­ner News­let­ter-Ver­tei­ler führt zu Buß­geld — Augen auf beim Direktmarketing

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde weitergeleitet.

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che Unzulässigkeit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email- Adres­se sind per­so­nen­be­zo­ge­nen Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Übermittlung (nichts ande­res stellt eine Email dar) ist daher nur zulässig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Übermittlung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Empfänger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzulässigkeit ab. Statt­des­sen wur­de ein Buß­geld verhängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin verhängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt. Das BayL­DA teil­te jedoch mit, daß es in einem ähnlichen Fall in zu einem Buß­geld gegen ein wei­te­res Unter­neh­men kam. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat­te nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Um sol­che Vorfälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regelmäßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne können Sie hierfür die­sen Blog­bei­trag ein­set­zen. Was ist zu beach­ten? Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adres­sie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den sel­ben recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen auslösen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Zum rich­ti­gen Umgang mit per­so­nen­be­zo­ge­nen Daten im Rah­men des Direkt­mar­ke­tings hilft Ihnen kom­pe­tent Ihr Daten­schutz­be­auf­trag­ter wei­ter. Sie haben kei­nen? Dann soll­ten Sie sich dar­um küm­mern, da eine gesetz­li­che Bestell­pflicht vor­lie­gen kann. Spre­chen Sie uns unver­bind­lich und kos­ten­frei an!

 

Locky immer erfolgreicher

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutschland).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­wa­re. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­co­ins. Und das Geschäft boomt.

Ein Klick genügt — Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeichnet.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich Win­dows-Sys­te­me einer Angriffs­wel­le durch einen Kryp­to-Tro­ja­ner aus­ge­setzt. Der hieß damals Tes­lacrypt. Aktu­ell ist Ver­si­on 3, gegen den kein Kraut gewach­sen ist. Für die Ver­sio­nen 1 und 2 gab es nach eini­ger Zeit wirk­sa­me Ent­schlüs­se­lungs­tools. Aktu­ell ist Locky der bekann­tes­te Vertreter.

Kryp­to-Tro­ja­ner sind sehr heim­tü­ckisch. Wur­den die­se zu Beginn allei­ne durch prä­pa­rier­te Email-Anhän­ge (zumeist Office Doku­men­te mit Makro Code) in die Welt gestreut, sind Infek­tio­nen mitt­ler­wei­le auch durch soge­nann­te Dri­ve By Down­loads mög­lich. Es reicht der Besuch einer infi­zier­ten Web­sei­te und eine dazu­ge­hö­ri­ge Schwach­stel­le im Brow­ser oder Flash Plug­in und der Spaß geht los. Exper­ten rech­nen damit, dass zeit­nah noch wei­te­re Infek­ti­ons­mög­lich­kei­ten am Start sein wer­den. Dazu wer­den die Tro­ja­ner auch immer wei­ter entwickelt.

Ein­mal aktiv, beginnt der Kryp­to-Tro­ja­ner mit der Ver­schlüs­se­lung einer sehr lan­gen Lis­te an Datei­en. Und das nicht nur auf der loka­len Fest­plat­te, son­dern auch auf allen kon­nek­tier­ten Netz­lauf­wer­ken und Frei­ga­ben. Auch ver­link­te Cloud-Spei­cher sind betrof­fen. Eben­so ist das Über­sprin­gen von einem Gerät auf das nächs­te über­haupt kein Pro­blem mehr. Die ein­zi­ge War­nung, die der Nut­zer erhal­ten kann, ist eine ver­mehr­te Fest­plat­ten­ak­ti­vi­tät zu Beginn. Je nach Aus­brei­tung im inter­nen Netz kön­nen auch Stö­run­gen bei Datei­zu­grif­fen durch die Nut­zer ein Warn­si­gnal sein.

Ist der Kryp­to-Tro­ja­ner mit sei­ner Arbeit fer­tig, prä­sen­tiert er in der pas­sen­den Lan­des­spra­che (Locky übri­gens in per­fek­tem Deutsch) eine über­haupt nicht wit­zi­ge Nachricht:

!!!! WICHTIGE INFORMATIONEN !!!!
Alle Datei­en wur­den mit RSA-2048 und AES-128 Zif­fern verschlüsselt.
Die Ent­schlüs­se­lung Ihrer Datei­en ist nur mit einem pri­va­ten Schlüs­sel und einem Ent­schlüs­se­lungs­pro­gramm, wel­ches sich auf unse­rem Ser­ver befin­det, möglich.

Eine Frei­schal­tung oder genau­er Ent­schlüs­se­lung ist dann nur noch gegen Zah­lung von Bit­co­ins mög­lich. Das BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) rät von der Zah­lung ab. Man kön­ne sich nicht sicher sein, ob die Hacker danach wirk­lich die pas­sen­den Schlüs­sel für die Ent­schlüs­se­lung her­aus­rü­cken. Eini­ge Unter­neh­men aus den USA (News-Mel­dung) und Deutsch­land (Video-Bei­trag) haben gezahlt, und die indi­vi­du­el­len Schlüs­sel funktionierten.

Da der Tro­ja­ner jedoch sehr gut pro­gram­miert ist, ver­wen­det er auch für jedes befal­le­ne Gerät einen neu­en Schlüs­sel. Und damit sind die Schlüs­sel zur Ent­schlüs­se­lung nicht über­trag­bar. Es muss also wirk­lich für jedes Gerät mit Anzei­ge der Ver­schlüs­se­lung ein eige­ner Schlüs­sel gekauft werden.

Ist die eige­ne Orga­ni­sa­ti­on betrof­fen, muss man den Kopf nicht hän­gen las­sen. Man befin­det sich in bes­ter Gesell­schaft. Kran­ken­häu­ser sind nur noch per Free­mail-Adres­se erreich­bar, ver­schie­ben Ope­ra­tio­nen und ver­wei­sen nicht aku­te Fäl­le in der Not­auf­nah­me an ande­re Ein­rich­tun­gen. Das Fraun­ho­fer-Insti­tut hiss­te vor kur­zem eben­falls die wei­ße  Flag­ge, 60 Arbeits­plät­ze vollverschlüsselt.

Aktu­ell geht eine sehr gut gemach­te Warn­mel­dung durch die Email-Ver­tei­ler (Scherz­kek­se haben die­se sogar in sozia­len Netz­wer­ken geteilt). Dar­in warnt angeb­lich das BKA vor der Locky-Infek­ti­on. Und bie­tet umge­hend im Anhang das BKA Locky Rem­oval Tool zur Besei­ti­gung der Infek­ti­on an. Wer den Anhang star­tet, holt sich — was Wun­der — einen Tro­ja­ner ins Sys­tem. Glück­li­cher­wei­se ein alter Bekann­te, gute Scan­ner mit aktu­el­len Signa­tu­ren mis­ten den Schad­code sofort wie­der aus.

Was kön­nen Sie in Ihrer Orga­ni­sa­ti­on tun, um bes­ser gegen Locky & Co gewapp­net zu sein? Ein fata­lis­ti­scher Rat auf einer Ver­an­stal­tung vor­ges­tern lau­te­te: beten. Es geht aber dann doch etwas mehr:

 

  • Mög­lichst Ver­zicht auf Soft­ware, die für Anfäl­lig­kei­ten von (Zero-Day-) Sicher­heits-Lücken bekannt ist, wie bei­spiels­weise Ado­be Flash
  • Betriebs­sys­te­me und Anwen­dun­gen stets aktu­ell mit Patches und Secu­ri­ty Fixes versorgen
  • Gerä­te auf denen das nicht mög­lich ist, mög­lichst in getrenn­ten Netz­seg­men­ten und /​ oder gar nicht mit Inter­net­an­schluß betreiben
  • Kein Sys­tem ohne Viren­schutz mit regel­mä­ßi­ger, im Zwei­fel stünd­li­cher Aktua­li­sie­rung der Signa­tu­ren (Ach­tung: auch mobi­le Gerä­te berücksichtigen!)
  • Back­up-Stra­te­gie prü­fen, im Zwei­fel vor­über­ge­hend kür­zere Siche­rungs­in­ter­val­le einrichten
  • Siche­rungs­me­di­en nach erfolg­tem Back­up aus dem Netz entfernen!
  • Schu­len und sen­si­bi­li­sie­ren Sie Ihre Mit­ar­bei­ter kon­ti­nu­ier­lich. Es emp­feh­len sich auch Zwi­schen­be­rich­te bei­spiels­weise per Rund­mail, wenn sich neue Bedro­hungs­la­gen erge­ben — durch­aus täg­lich oder öfter. Auch wenn es nervt, die größ­te Gefahr sind momen­tan unbe­dach­te Hand­lun­gen durch Mit­ar­bei­ter. Also lie­ber ein mal mehr das The­ma ange­spro­chen als zu wenig.
  • Ver­fü­gen Sie über ent­spre­chende Mög­lich­kei­ten der Sys­tem­ver­hal­tens­ana­ly­se, so kon­fi­gu­rie­ren Sie die­se auf Sym­pto­me wie “vie­le Datei­zu­grif­fe inner­halb kur­zer Zeitspannen”.
  • Nut­zen Sie Funk­tio­nen, Sys­te­me mit sol­chen Auf­fäl­lig­kei­ten im Zwei­fel sofort vom Netz zu nehmen.
  • Wenn mög­lich, set­zen Sie Email-Anhän­ge auto­ma­ti­siert in Qua­ran­tä­ne. Der Anwen­der kann bei Bedarf den Anhang anfor­dern. Das ist zwar im Moment etwas auf­wen­di­ger, aber lan­ge nicht so zeit­in­ten­siv, wie wenn Sie sich mit dem Befall durch Ran­som­wa­re aus­ein­an­der­set­zen müssen.


Mit die­sen Maß­nah­men haben Sie lei­der immer noch kei­nen 100%-igen Schutz gegen Ran­som­wa­re, aber das Risi­ko des Ein­tritts ist zumin­dest gesenkt.

Bedau­er­li­cher­wei­se ent­wi­ckeln sich die Vari­an­ten von Locky & Co per­ma­nent wei­ter. Das Geschäfts­mo­dell der Ent­wick­ler geht auf. Bis­her sind alle Ver­su­che geschei­tert, die Ver­ur­sa­cher zu iden­ti­fi­zie­ren. Und die­se müs­sen sich wirk­lich sicher füh­len. So sind mitt­ler­wei­le Ver­sio­nen gesich­tet (unbe­stä­tigt), die nicht nur einen Link zu einem Video ent­hal­ten “Wie besor­ge ich mir Bit­co­ins zur Zah­lung des Löse­gelds”, son­dern es wird auch ein Text­chat ange­bo­ten. Wie dreist ist das denn?

Und in den Nach­rich­ten? “Spocht” (Grü­ße von RTL Sams­tag Nacht)

Ich wün­sche uns allen ein gutes Gelin­gen in der Abwehr der aktu­el­len Bedrohungswelle
Ihr Sascha Kuhrau

PS: Übri­gens gibt es neben unse­rem Fach­blog Daten­schutz seit kur­zem auch einen Blog zur Infor­ma­ti­ons- und IT-Sicher­heit. Dort erfah­ren Sie mehr über die aktu­el­le Bedro­hungs­la­ge und die Mög­lich­kei­ten, sich dage­gen zu schüt­zen. Oder Sie tra­gen sich dort gleich in den Sicher­heits-News­let­ter ein, um stets auf dem Lau­fen­den zu bleiben.

Die Gefahr von innen — wenn Mit­ar­bei­ter zum Sicher­heits­ri­si­ko werden

Viel Zeit und Mühe wird in das Abschir­men und Absi­chern von IT Netz­wer­ken gegen Angrif­fe von außen inves­tiert. Dabei über­sieht man schnell die Gefah­ren, die Unter­neh­mens­da­ten von innen dro­hen kön­nen. Unab­hän­gig ob Fahr­läs­sig­keit oder Absicht, so soll­ten Sie als Unter­neh­mer und Unter­neh­men die­se Bedro­hung nicht aus dem Blick ver­lie­ren. In fast einem Vier­tel aller Fäl­le sind Mit­ar­bei­ter der Grund für Daten­ab­fluss aus dem Unternehmen.

In Zei­ten von Spei­cher­sticks mit immer grö­ße­rer Spei­cher­ka­pa­zi­tät und Foto­han­dys mit meh­re­ren Mega­pi­xeln Auf­lö­sung erschreckt es teil­wei­se, wie lax der inter­ne Umgang in Unter­neh­men sein kann.

  • Nut­zungs­richt­li­ni­en und Pro­fil­sper­ren für die Nut­zung von USB Sticks sind oft Fehl­an­zei­ge. Daten kön­nen in gro­ßen Men­gen kopiert und unauf­fäl­lig in der Hosen­ta­sche aus­ser Haus gebracht werden.
  • Foto­han­dys wer­den teil­wei­se sogar vom Unter­neh­men den Mit­ar­bei­tern zur Ver­fü­gung gestellt. Die hohen Auf­lö­sun­gen erlau­ben detail­ge­treue Wie­der­ga­ben beim Abfo­to­gra­fie­ren wich­ti­ger und gehei­mer Doku­men­te. Nütz­lich ist die oft­mals zusätz­lich ein­ge­rich­te­te Inter­net­flat, um die Foto­do­ku­men­ta­ti­on gleich noch unauf­fäl­lig  zu versenden.

Doch dies sind nur zwei aus­ge­wähl­te Mög­lich­kei­ten, wie schüt­zens­wer­te Daten das Unter­neh­men ver­las­sen kön­nen. Die­se set­zen selbst­ver­ständ­lich noch ein gewis­ses Maß an kri­mi­nel­ler Ener­gie bei Ihren Mit­ar­bei­tern vor­aus. Aber wer kennt schon den genau­en Preis, ab dem Loya­li­tät in den Hin­ter­grund tritt?

Auch unbe­wuß­te Gefah­ren kön­nen von Mit­ar­bei­tern aus­ge­hen: Ver­tei­len Sie USB Sticks auf dem Park­platz eines Unter­neh­mens vor Arbeits­be­ginn, wie zufäl­lig ver­lo­ren. Zuvor prä­pa­rie­ren Sie die­se mit einer klei­nen, ein­deu­ti­gen und unge­fähr­li­chen Ping Rou­ti­ne im Auto­start. Sie wer­den stau­nen, wie vie­le die­ser Sticks sich bis zum Abend aus dem Unter­neh­mens­netz­werk auf dem bereit­ge­stell­ten Ping Ser­ver gemel­det haben. Stel­len Sie sich vor, die­se Sticks wären mit Schad­soft­ware prä­pa­riert gewe­sen (Back­doors, Lösch­funk­tio­nen etc.) !! Hor­ror­vor­stel­lung, aber bedau­er­li­cher­wei­se Realität.

Eine belieb­te Metho­de ist das Aus­spä­hen von Daten und Geheim­nis­sen über die Abfall­be­häl­ter. Sei es direkt aus den Papier­kör­ben an den Schreib­ti­schen oder aus den Con­tai­nern im Hof. Etwas Unter­stüt­zung vom Rei­ni­gungs­per­so­nal und Sie wer­den stau­nen, an wel­che Infor­ma­tio­nen man bei der “Müll”-Auswertung so alles gelan­gen kann. Zahl­rei­chen Unter­su­chun­gen zufol­ge fin­den fast 50% der Spio­na­ge-Angrif­fe nicht auf elek­tro­ni­schem Weg statt, son­dern durch ein­fa­ches Durch­su­chen der Abfall­be­häl­ter, auch “Bin Rai­ding” genannt.

100%ige Sicher­heit und Schutz vor die­sen und ähn­li­chen Gefah­ren gibt es nicht. Als Bera­ter für Daten­schutz und Daten­si­cher­heit unter­stüt­ze ich Sie jedoch bei der Mini­mie­rung die­ser Risi­ken durch kon­kre­te Maß­nah­men im Bereich der IT Sicher­heit und durch Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch Schu­lung und Auf­klä­rung. Sie kön­nen Ihre Mit­ar­bei­ter zu den regel­mä­ßi­gen Schu­lun­gen “Daten­schutz und Daten­si­cher­heit” schi­cken oder ange­pass­te Schu­lun­gen auf Basis Ihrer vor­han­de­nen (oder noch zu erstel­len­den) Nut­zungs­richt­li­ni­en durch mich bei Ihnen vor Ort durch­füh­ren las­sen. Spre­chen Sie mich an.

Lesen Sie aktu­el­le Aus­sa­gen (07.07.2014) zu die­sem The­ma vom Ver­fas­sungs­schutz-Prä­si­dent H.-G. Maa­ßen auf unse­rer Bera­tungs-Web­page.

[wpfi­le­ba­se tag=‘file’ id=‘2’]

LKA Thü­rin­gen bespit­zel­te eige­ne Mit­ar­bei­ter — wegen Klopapier

Gele­gent­lich kom­men einem Mel­dun­gen zum The­ma Daten­schutz und Ver­stoß gegen das Daten­schutz­recht unter, da kann man nur noch mit dem Kopf schüt­teln. SPIEGEL ONLINE berich­tet über einen beson­ders dreis­ten und rechts­wid­ri­gen Ver­stoß der uner­laub­ten Mitarbeiterüberwachung.

Klo­pa­pier verschwindet

Das Rei­ni­gungs­per­so­nal stellt einen über­mä­ßi­gen Schwund an Klo­pa­pier fest. Die­ser Akt gefähr­det die Staats­si­cher­heit und muss mit Nach­druck und allen zur Ver­fü­gung ste­hen­den Mit­teln bekämpft wer­den. Geht die zustän­di­ge Abtei­lung doch sonst gegen Rocker, Isla­mis­ten und Mafio­si vor. Sogar ein Mit­ar­bei­ter des Staats­schut­zes wird bemüht.

Flur oder Klo — was denn nun?

Anfra­gen beim LKA und vor­han­de­ne Unter­la­gen zeich­nen ein wider­sprüch­li­ches Bild. Das LKA stellt fest, die Kame­ra­über­wa­chung hät­te nur im Trep­pen­haus statt­ge­fun­den. Inter­ne Doku­men­te zeich­nen da ein ande­res Bild. Die Kame­ra soll direkt auf dem stil­len Ört­chen ange­bracht gewe­sen sein.

Gefahr im Verzug

Selbst wenn das Ent­wen­den von Klo­pa­pier in die­se Kate­go­rie hät­te ein­ge­stuft wer­den kön­nen, wäre die Maß­nah­me nach spä­tes­tens drei Tagen durch rich­ter­li­chen Beschluß zu geneh­mi­gen gewe­sen. Die­ser Beschluss lag jedoch nie vor und so wur­den LKA Mit­ar­bei­ter von den eige­nen Kol­le­gen ohne Grund­la­ge und ohne ihr Wis­sen über­wacht. Da Baga­tell­kri­mi­na­li­tät kei­ne Recht­fer­ti­gung für Video­über­wa­chung ist (Stich­wort: Ange­mes­sen­heit), wur­den die Mit­ar­bei­ter erheb­lich in ihrem Per­sön­lich­keits­recht verletzt.

[Kopf­schüt­tel]

Sie pla­nen selbst den Ein­satz von Video­über­wa­chungs­maß­nah­men? Hier ein paar hilf­rei­che Infor­ma­tio­nen aus einem Blogbeitrag.

Zur Mel­dung von SPON

 

Angeb­lich heim­li­che Mit­ar­bei­ter­über­wa­chung bei ALDI Süd

Laut Spie­gel, Welt und N24 soll es zu einer heim­li­chen Mit­ar­bei­ter­über­wa­chung bei ALDI Süd gekom­men sein. Gleich­lau­tend wird von einem Detek­tiv berich­tet, der unter Andro­hung des Ver­lusts wei­te­rer Auf­trä­ge gezwun­gen wur­de, Minia­tur­ka­me­ras z.B. über den Mit­ar­bei­ter­schrän­ken anzu­brin­gen. Wei­ter­hin soll­te er der ALDI Füh­rungs­kraft alle “Auf­fäl­lig­kei­ten” mel­den wie z.B. lang­sa­mes Arbeits­tem­po, Bezie­hun­gen unter den Mit­ar­bei­tern oder auch pri­va­te Details wie finan­zi­el­le Verhältnisse.

Das Unter­neh­men weist der­weil alle Vor­wür­fe zurück.

Wie hier auf dem Blog mehr­fach berich­tet, ist Video­über­wa­chung unter Daten­schutz­ge­sichts­punk­ten kein “Teu­fels­werk”. Es gilt, bestimm­te Richt­li­ni­en und Ver­fah­rens­wei­sen ein­zu­hal­ten. Mehr erfah­ren Sie in unse­rem Bei­trag Video­über­wa­chung — umsich­tig ein­set­zen, Kon­flik­te vermeiden

Sen­si­ble Pati­en­ten­da­ten in Kli­nik ver­schwun­den — Datenpanne

DIE WELT berich­tet heu­te nach­mit­tag online von einer Daten­pan­ne in zwei Kli­ni­ken in Baden-Württemberg:

 Siche­rungs­bän­der bei Ziga­ret­ten­pau­se verbummelt

Der zustän­di­ge IT-Mit­ar­bei­ter ist wie jeden Tag mit den Siche­rungs­bän­dern auf dem Weg vom Ser­ver­raum zum Tre­sor. Unter­wegs hält er an einer Ram­pe für eine kur­ze Rauch­pau­se an, legt die Bän­der auf einem Tisch ab. Nach der Pau­se ging er wie­der an sei­ne Arbeit, jedoch ohne die Siche­rungs­bän­der. Als er sei­nen Feh­ler nach eini­ger Zeit bemerk­te und an den Pau­sen-Ort zurück­kehr­te, waren die Siche­rungs­bän­der ver­schwun­den. Erschwe­rend kommt hin­zu, dass der Mit­ar­bei­ter den Vor­fall erst eine Woche spä­ter mel­de­te und auch das inter­ne Siche­rungs­kon­troll­sys­tem das Ver­schwin­den der Bän­der nicht auf­ge­deckt hat.

Sen­si­ble Pati­en­ten­da­ten betroffen

300.000 Daten­sät­ze sol­len die Bän­der umfasst haben. Dar­un­ter voll­stän­di­ge Pati­en­ten­ak­ten, Labor­da­ten, Befun­de, Arzt­brie­fe und Schrift­ver­kehr bis zurück ins Jahr 1996.

Daten­schutz­be­hör­de spricht von gra­vie­ren­dem Vorfall

Die Kli­nik­lei­tung beteu­ert, ledig­lich die Arzt­brie­fe kön­nen aus­ge­le­sen wer­den. Für alle wei­te­ren Daten sei spe­zi­el­le Hard- und Soft­ware not­wen­dig. Wei­te­re Aus­füh­run­gen über eine zusätz­li­che Ver­schlüs­se­lung wur­den nicht getä­tigt. Auf­grund der Sen­si­bi­li­tät der Daten und der erschre­ckend hohen Men­ge spricht der Lan­des­da­ten­schutz­be­auf­trag­te von Baden-Würt­tem­berg, Jörg Kling­beil von einem gra­vie­ren­den Vorfall.

§ 42a BDSG Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten

Lt. Kling­beil hat die Kli­nik nicht gegen § 42a BDSG ver­sto­ßen. Die Daten­pan­ne, wur­de wenn auch ver­spä­tet, kor­rekt gemel­det und durch Anzei­gen in über­re­gio­na­len Zei­tun­gen bekannt gemacht. Dies geschah zwar mit Ver­zö­ge­rung, jedoch auf Bit­ten der Staats­an­walt­schaft, um die Ermitt­lun­gen zu die­sem Zeit­punkt nicht zu gefähr­den. Alles wei­te­re müs­se jetzt geklärt werden.

Irr­tü­mer im Daten­schutz (Teil 3): Wir haben kei­ne schüt­zens­wer­ten Daten im Unternehmen

“Wir haben kei­ne per­so­nen­be­zo­ge­nen Daten im Unter­neh­men, daher betrifft uns das Bun­des­da­ten­schutz­ge­setz gar nicht” — die­se Aus­sa­ge trifft man immer wie­der z.B. im Rah­men von Infor­ma­ti­ons­ver­an­stal­tun­gen oder Kun­den­ge­sprä­chen. Im ers­ten Moment ist man gera­de bei rei­nen B2B-Unter­neh­men geneigt, zuzu­stim­men. Doch schnell regen sich Zwei­fel, denn nur weni­ge Unter­neh­men kom­men ohne Mit­ar­bei­ter aus.

§ 3  BDSG defi­niert den Begriff der per­so­nen­be­zo­ge­nen Daten:

“(1) Per­so­nen­be­zo­ge­ne Daten sind Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren natür­li­chen Per­son (Betrof­fe­ner).”

Damit wäre bereits fest­ge­stellt, das per­so­nen­be­zo­ge­ne Daten im Unter­neh­men allei­ne schon durch die Beschäf­ti­gung von Mit­ar­bei­tern vor­lie­gen. Zieht man jetzt noch die Daten zu Kun­den, Lie­fe­ran­ten, Dienst­leis­tern und Inter­es­sen­ten hin­zu, wird schnell klar: Es gibt eigent­lich immer per­so­nen­be­zo­ge­ne Daten im Unternehmen.

Blei­ben wir jedoch bei den Mit­ar­bei­ter­da­ten unse­res Bei­spiels und in § 3 BDSG:

“(9) Beson­de­re Arten per­so­nen­be­zo­ge­ner Daten sind Anga­ben über die ras­si­sche und eth­ni­sche Her­kunft, poli­ti­sche Mei­nun­gen, reli­giö­se oder phi­lo­so­phi­sche Über­zeu­gun­gen, Gewerk­schafts­zu­ge­hö­rig­keit, Gesund­heit oder Sexualleben.”

Mit­ar­bei­ter­da­ten sind dem­nach nicht nur rei­ne per­so­nen­be­zo­ge­ne Daten, son­dern nach die­ser Defi­ni­ti­on sogar eine beson­de­re Art per­so­nen­be­zo­ge­ner Daten (ent­hal­ten sie doch eini­ge der og. Merkmale).

§ 3 BDSG defi­niert im wei­te­ren Ver­lauf den Begriff “Beschäf­tig­te” detailliert:

“(11) Beschäf­tig­te sind:

  1. Arbeit­neh­me­rin­nen und Arbeitnehmer,
  2. zu ihrer Berufs­bil­dung Beschäftigte,
  3. Teil­neh­me­rin­nen und Teil­neh­mer an Leis­tun­gen zur Teil­ha­be am Arbeits­le­ben sowie an Abklä­run­gen der beruf­li­chen Eig­nung oder Arbeits­er­pro­bung (Reha­bi­li­tan­din­nen und Rehabilitanden),
  4. in aner­kann­ten Werk­stät­ten für behin­der­te Men­schen Beschäftigte,
  5. nach dem Jugend­frei­wil­li­gen­dien­ste­ge­setz Beschäftigte,
  6. Per­so­nen, die wegen ihrer wirt­schaft­li­chen Unselb­stän­dig­keit als arbeit­neh­mer­ähn­li­che Per­so­nen anzu­se­hen sind; zu die­sen gehö­ren auch die in Heim­ar­beit Beschäf­tig­ten und die ihnen Gleichgestellten,
  7. Bewer­be­rin­nen und Bewer­ber für ein Beschäf­ti­gungs­ver­hält­nis sowie Per­so­nen, deren Beschäf­ti­gungs­ver­hält­nis been­det ist,
  8. Beam­tin­nen, Beam­te, Rich­te­rin­nen und Rich­ter des Bun­des, Sol­da­tin­nen und Sol­da­ten sowie Zivildienstleistende.”

Das Bun­des­da­ten­schutz­ge­setz spen­diert in sei­ner aktu­el­len Fas­sung den Beschäf­tig­ten sogar einen eige­nen Paragraphen:

§ 32 Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung für Zwe­cke des Beschäftigungsverhältnisses

“(1) Per­so­nen­be­zo­ge­ne Daten eines Beschäf­tig­ten dür­fen für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn dies für die Ent­schei­dung über die Begrün­dung eines Beschäf­ti­gungs­ver­hält­nis­ses oder nach Begrün­dung des Beschäf­ti­gungs­ver­hält­nis­ses für des­sen Durch­füh­rung oder Been­di­gung erfor­der­lich ist. Zur Auf­de­ckung von Straf­ta­ten dür­fen per­so­nen­be­zo­ge­ne Daten eines Beschäf­tig­ten nur dann erho­ben, ver­ar­bei­tet oder genutzt wer­den, wenn zu doku­men­tie­ren­de tat­säch­li­che Anhalts­punk­te den Ver­dacht begrün­den, dass der Betrof­fe­ne im Beschäf­ti­gungs­ver­hält­nis eine Straf­tat began­gen hat, die Erhe­bung, Ver­ar­bei­tung oder Nut­zung zur Auf­de­ckung erfor­der­lich ist und das schutz­wür­di­ge Inter­es­se des Beschäf­tig­ten an dem Aus­schluss der Erhe­bung, Ver­ar­bei­tung oder Nut­zung nicht über­wiegt, ins­be­son­de­re Art und Aus­maß im Hin­blick auf den Anlass nicht unver­hält­nis­mä­ßig sind.
(2) Absatz 1 ist auch anzu­wen­den, wenn per­so­nen­be­zo­ge­ne Daten erho­ben, ver­ar­bei­tet oder genutzt wer­den, ohne dass sie auto­ma­ti­siert ver­ar­bei­tet oder in oder aus einer nicht auto­ma­ti­sier­ten Datei ver­ar­bei­tet, genutzt oder für die Ver­ar­bei­tung oder Nut­zung in einer sol­chen Datei erho­ben werden.
(3) Die Betei­li­gungs­rech­te der Inter­es­sen­ver­tre­tun­gen der Beschäf­tig­ten blei­ben unberührt.”
Womit fest­steht:
  1. Beschäf­tigt ein Unter­neh­men Mit­ar­bei­ter, lie­gen per­so­nen­be­zo­ge­ne Daten vor.
  2. Auf­grund der vor­lie­gen­den Daten eines Mit­ar­bei­ters han­delt es sich dabei sogar um beson­de­re Arten per­so­nen­be­zo­ge­ner Daten, die einen erhöh­ten Schutz­sta­tus besitzen.
  3. Das Bun­des­da­ten­schutz­ge­setz legi­ti­miert das Erhe­ben, Ver­ar­bei­ten und Nut­zen der Mit­ar­bei­ter­da­ten zum Zwe­cke des Beschäftigungsverhältnisses.
  4. Das Bun­des­da­ten­schutz­ge­setz fin­det auf Unter­neh­men mit Mit­ar­bei­tern Anwendung.
  5. Es bleibt zu prü­fen, ob die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten zusätz­lich vorliegt.

 

Unsi­cher in Bezug auf die wei­te­re Vor­ge­hens­wei­se? Dann spre­chen Sie uns ein­fach an. Wir hel­fen schnell, unbü­ro­kra­tisch und unkompliziert.

Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

BYOD (Bring Your Own Device) — zusätz­li­che Daten­schutz-Risi­ken für Unternehmen

“BYOD” ist in aller Mun­de, zu Recht. Hin­ter dem Kür­zel ver­ber­gen sich zahl­rei­che Risi­ken und Unan­nehm­lich­kei­ten für Admi­nis­tra­to­ren und Unter­neh­mer. Doch “Bring Your Own Device” ist All­tag! Immer mehr Arbeit­neh­mer nut­zen ihre eigent­lich pri­va­ten Mobil­te­le­fo­ne, Smart­phones und Note­books beruf­lich für ihren Arbeitgeber.

IT-Admi­nis­tra­to­ren kämp­fen dadurch mit Wild­wuchs in der IT-Land­schaft und fürch­ten die hier­durch ent­ste­hen­den Sicher­heits­lü­cken — zu Recht! Geschäfts­füh­rer und Unter­neh­mer ver­schlies­sen vor der all­täg­li­chen Situa­ti­on oft­mals die Augen und ris­kie­ren dabei so einiges.

Bei still­schwei­gen­der Dul­dung ver­liert das Unter­neh­men not­wen­di­ge Ein­fluss- und Kon­troll­mög­lich­kei­ten. Mög­li­che Fol­gen: Daten­schutz­ver­stös­se, Sicher­heits­lecks und die dar­aus resul­tie­ren­den Image-Schä­den durch nega­ti­ve Presseberichte.

Was vie­le nicht wis­sen, die recht­li­chen Aspek­te die­ser The­ma­tik sind umfang­reich: Urhe­ber­rechts­ver­let­zun­gen, Lizenz­pro­ble­me, Haf­tungs­fra­gen, Ver­stö­ße gegen han­dels- und steu­er­recht­li­che Vor­schrif­ten, IT-Sicher­heit und Daten­schutz. Wol­len Sie als Unter­neh­mer dafür gera­de ste­hen, wenn Ihr Mit­ar­bei­ter per­so­nen­be­zo­ge­ne Daten Ihres Unter­neh­mens auf sei­nem pri­va­ten Mobil­ge­rät spei­chert und die­se dann mit einem der zahl­rei­chen Cloud-Diens­te syn­chro­ni­siert? Mit gro­ßer Wahr­schein­lich­keit liegt hier­für kei­ne vor­ge­schrie­be­ne Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung vor -> Buß­geld­ri­si­ko.

Unser Tipp:

  • Sor­gen Sie für kla­re Ver­ein­ba­run­gen und Richt­li­ni­en in Ihrem Unter­neh­men und inves­tie­ren Sie in die not­wen­di­ge IT-Infrastruktur.
  • Oder fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten! Sie haben kei­nen, dann spre­chen Sie uns an!

 

Bild­nach­weis: about​pi​xel​.de /​Was­ser­test © Kel­ler­meis­ter

Die mobile Version verlassen