Mitarbeiter

Geburtstagslisten von Mitarbeitern und die DSGVO

von Sascha Kuhrau
12. November 2019
2 Kommentare

Als aktuelle Kurzinformation zum Datenschutz unter der DSGVO hat der BayLfD jetzt die Nummer 26 veröffentlicht, Thema

“Beschäftigten-Geburtstagslisten bei bayerischen öffentlichen Stellen.”

Jetzt könnte man als Unternehmen oder Verein versucht sein, darüber hinwegzulesen. Schließlich handelt es sich bei diesen Organisationen um sog. nicht-öffentliche Stellen. Doch der Inhalt betrifft durchaus beide Bereiche. Ob das Thema Geburtstagsliste aktuell einer der Brennpunkte der DSGVO ist, steht auf einem anderen Blatt. Aber zur Auffrischung taugt es auf jeden Fall, denn auch noch zu Vor-DSGVO-Zeiten gab es dazu immer wieder Nachfragen.

Warum interessiert sich der Datenschutz für Geburtstagslisten von Mitarbeitern?

Nun, das ist recht einfach erklärt. Wenn abteilungsbezogen oder für die gesamte Organisation eine öffentlich einsehbare Liste der Geburtstage der Mitarbeiter durch den Arbeitgeber veröffentlicht wird, dann verarbeitet dieser personenbezogene Daten seiner Mitarbeiter und gibt diese an Dritte (alle anderen Mitarbeiter) weiter. Wie wir nun hinlänglich wissen, ist dafür einer der Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO notwendig:

a) Einwilligung: liegt im Zweifel keine vor, sofern es hierzu keinen geregelten Prozess im Rahmen der Einstellung gibt.
b) Notwendigkeit für die Durchführung, in diesem Fall des Arbeitsvertrages: Für das eigentliche Beschäftigtenverhältnis sicherlich, für die Veröffentlichung an alle Mitarbeiter sicher nicht.
c) Rechtsvorschrift: Uns ist zumindest keine Rechtsvorschrift bekannt, welche das Veröffentlichen von Geburtstagslisten der Mitarbeiter vorschreibt. Kann ja aber noch kommen im Zuge der aktuellen Gebt-Gesetzen-witzige-Namen-Welle.
d) Lebenswichtige Interessen zum Schutz der Mitarbeiter wird man hier nicht annehmen können.
e) Wahrnehmung öffentliches Interesse oder Ausübung öffentlicher Gewalt scheidet aus.
f) Ob das sog. berechtigte Interesse anwendbar ist, wird aktuell kontrovers diskutiert. Eine Mehrheit findet sich hierfür keine. Für öffentliche Stellen in Bayern ist Buchstabe f zumindest in der Ausübung der öffentlichen Aufgaben ausgeschlossen.

Bleibt wohl nur die Einwilligung für Geburtstagslisten von Mitarbeitern?

Am Ende des Tages wird es wohl wie früher darauf hinauslaufen. Doch ist das Einholen von schriftlichen Einwilligungen samt deren Ablage in der Personalakte und regelmäßigen Prüfung und Bearbeitung von Widerrufen wirklich jetzt der Königsweg. Nein, war es nie und wird es nach unserem Dafürhalten auch nie sein. Auch wenn dies durch die oben genannte Kurzinformation suggeriert wird. Klar kann man dieses Thema nun mit viel Papier im Rahmen des Einstellungsprozesses für neue Mitarbeiter lösen. Alleine von den bereits vorhandenen Mitarbeitern die Einwilligung nachträglich einzuholen und zu dokumentieren, ist sicher auch kein zu unterschätzender Aufwand. Selbst wenn man die Einwilligung mittlerweile auch elektronisch einholen und dokumentieren kann. Es geht auch einfacher:

KISS — keep it short and simple: Der Geburtstagsliste-Self-Service

Egal, ob organisationsweit oder nur abteilungsbezogen: Wenn sich ein Mitarbeiter freiwillig in einen Geburtstagskalender (zentral in Outlook oder in Papierform in der Teeküche) einträgt, jederzeit die Möglichkeit des Wiederaustragens besteht, dann können Sie sich das ganze Klimbim sparen. Aber auch das ist nun nichts Neues aus der DSGVO, sondern wurde schon früher so pragmatisch gehandhabt.

Besonderheiten bei Geburtstagslisten per zentraler Einwilligung durch den Arbeitgeber

Sollten Sie sich als Arbeitgeber das Procedere mit schriftlicher Einwilligung dennoch antun wollen, dann achten Sie darauf, dass in Ihren Angaben zu den Informationspflichten gem. Art. 13 DSGVO für Mitarbeiter die Geburtstagsliste Erwähnung findet. Der dazugehörige Eintrag in Ihrem Verzeichnis für Verarbeitungstätigkeiten darf ebenfalls nicht fehlen.

Übrigens zwei Punkte, die Sie sich durch den Geburtstagsliste-Self-Service ebenfalls je nach Umsetzung erübrigen können. Zumindest wenn nicht seitens der Organisation der Anstoß für diese Geburtstagslisten und deren Verwaltung / Durchführung kommt, also die Mitarbeiter den Kalender in der Teeküche selbst aufhängen (wäre aber sicher im Detail zu diskutieren). Stellt die Organisation den Geburtstagskalender zentral in Outlook o.ä. Programmen zur Verfügung, macht es Sinn, einen Eintrag im VVT und in den Infopflichten vorzuhalten (danke für den Hinweis im Kommentar).

Damit sind dann auch an der Kuchen-Front alle zufrieden und das Thema Datenschutz wird nicht erneut als Störfaktor wahrgenommen (was es eigentlich auch gar nicht ist, entsprechend pragmatische Umsetzung vorausgesetzt). So und jetzt “KUCHEN”

IT-Notfallkarte für Mitarbeiter (Hilfestellung der Allianz für Cybersicherheit und des BSI)

von Sascha Kuhrau
30. September 2019

Notfallbehandlung — ein wichtiges Element in der Informationssicherheit und im Datenschutz

Im Zuge der Diskussion um Informationssicherheitskonzepte und technische Maßnahmen im Sinne der DSGVO stößt man unweigerlich auf das Thema Notfallmanagement. Vorrangig zielen die ergriffenen technischen und organisatorischen Schutzmaßnahmen einer Organisation ja darauf ab, Sicherheitsvorfälle und Notfälle möglichst zu vermeiden. Die Eintrittswahrscheinlichkeit soll möglichst nahe Null liegen. Das dies für jede Art von Vorfall nicht immer gelingt, liegt auf der Hand. Umso wichtiger ist, von solchen Vorfällen frühzeitig Kenntnis zu erlangen, diese korrekt zu bewerten und angemessen zu reagieren.

Dies setzt jedoch sensibilisierte Mitarbeiter voraus, die im Falle eines Sicherheitsvorfalls oder eines Notfalls wissen, was zu tun ist. Die Allianz für Cyber-Sicherheit hat sich zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einigen anderen Einrichtungen im Hinblick auf IT-Sicherheitsvorfälle Gedanken gemacht.

Die IT-Notfallkarte “Verhalten bei IT-Notfällen” für Mitarbeiter

Sie kennen das sicher noch aus der Erste-Hilfe-Ausbildung. Die 5 “W” für den richtigen Notruf:

Wo ist das Ereignis?
Wer ruft an?
Was ist geschehen?
Wie viele Betroffene?
Warten auf Rückfragen

Analog zu dieser Vorgehensweise gibt es nun die IT-Notfallkarte zum kostenfreien Download und zur Verteilung an Mitarbeiter bzw. Aushang der Karte. Nach Eintrag der internen Rufnummer für IT-Notfälle kommen die 5 “W” für die Notfallmeldung:

Wer meldet?
Welches IT-System ist betroffen?
Wie haben Sie mit dem IT-System gearbeitet bzw. was haben Sie beobachtet?
Wann ist das Ereignis eingetreten?
Wo befindet sich das betroffene IT-System (Gebäude, Raum, Arbeitsplatz)?

Darunter finden sich einige Verhaltenshinweise für den oder die betroffenen Mitarbeiter. Für den Fall eines Befalls mit Kryptotrojanern wäre möglicherweise die Empfehlung “Netzwerkkabel ziehen” noch recht hilfreich gewesen.

Sehr gut hat uns die Aussage gefallen “Ruhe bewahren & IT-Notfall melden. Lieber einmal mehr als einmal zu wenig anrufen!”, die sich als zweite Überschrift auf der Karte oben findet.

Top 12 Maßnahmen bei Cyber-Angriffen

Da es nach der Meldung eines IT-Notfalls mit der Bearbeitung weitergehen muss, liefert die Allianz für Cybersicherheit zur weiteren “Bewältigung des Notfalls” eine Top 12 Liste mit. Auf dieser finden sich die wichtigsten Maßnahmen zur Schadensbegrenzung und auch der Nachbearbeitung des hoffentlich glimpflich verlaufenen Angriffs.

Diese Top 12 Maßnahmen bei Cyber-Angriffen richten sich an IT-Verantwortliche und Administratoren und sollten an keinem Arbeitsplatz als Hilfestellung fehlen.

Doch damit nicht genug, professionelles Notfallmanagement ist gefragt

Diese beiden Hilfestellungen sind ein erster Schritt in die richtige Richtung. Doch ohne professionelles Notfallmanagement wird keine Organisation zukünftig auskommen. Wurden die Themen Datenschutz und Informationssicherheit in der Vergangenheit meist schon sehr stiefmütterlich behandelt, haben gerade kleine Organisationen das Thema Notfallmanagement gar nicht oder nur weit am Ende des Erfassungsbereichs auf dem Radar.

Hier verweist die Allianz für Cybersicherheit auf den Standard 100–4 des BSI IT-Grundschutzes. 100–4 beschreibt eine professionelle und systematische Vorgehensweise zur Einführung und Weiterentwicklung eines Notfallmanagements in Organisationen jeglicher Größe und Branche. Bei erster Durchsicht mag das dem einen oder anderen Leser etwas sperrig oder zu aufgebauscht wirken. Und sicher empfiehlt es sich, in Abhängigkeit von der Organisationsgröße den Standard 100–4 angemessen und zweckdienlich umzusetzen. Eine stoische 1:1 Umsetzung ist eher suboptimal.

Sinn und Notwendigkeit für ein Notfallmanagement sollten jedoch schnell klar werden. Ein Notfall ist etwas anderes als “Kein Papier im Drucker”. Ok, der betroffene Mitarbeiter mag das kurzzeitig so empfinden 🙂 In einem Notfall oder auch bei der Verkettung mehrerer Arten von Notfällen ist keine große Zeit, sich über die Notfallbehandlung Gedanken zu machen oder wichtige Informationen für die Beseitigung des Notfalls zu beschaffen.

Wenn Sie mit dem Thema liebäugeln, können wir Ihnen den Kurs “Notfallmanagement” der Bayerischen Verwaltungsschule wärmstens an Herz legen. Dieser ist nicht auf bayerische Verwaltungen beschränkt, sondern steht interessierten Teilnehmern aus Behörden und Unternehmen aus ganz Deutschland offen.

Im Rahmen von Informationssicherheitskonzepten wird die Entwicklung eines Notfallvorsorgekonzepts und eines Notfallplans (erst die Vermeidung, dann die Reaktion, wenn es mit dem Vermeiden nicht geklappt hat) gefordert. Wer sich also mit den Standards wie IT-Grundschutz, ISIS12 oder auch der Arbeitshilfe (für kleinere Einrichtungen) und deren Einführung befasst, wird um das Thema nicht herumkommen.

Was kann a.s.k. Datenschutz für Sie tun?

Vorausgeschickt: a.s.k. Datenschutz ist der Dozent an der Bayerischen Verwaltungsschule u.a. für das Thema Notfallmanagement und die Ausbildung von zertifizierten Informationssicherheitsbeauftragten. Im Zuge von zahlreichen Sicherheitskonzepten begleiten wir die Einführung von Notfallvorsorgekonzepten und die Erstellung von Notfallplänen. Selbstverständlich bieten wir diese Dienstleistung im Rahmen der Einführung und Begleitung von Informationssicherheitskonzepten, aber auch flankierend zur Tätigkeit als externe Informationssicherheitsbeauftragte an. Sprechen Sie uns einfach an. Ihren Datenschutzbeauftragten wird das sicher auch freuen.

Apropos Datenschutzbeauftragter: Verfügt Ihre Organisation über einen Datenschutzbeauftragten? Öffentliche Stellen sind zur Bestellung ungeachtet der Mitarbeiterzahl generell verpflichtet. Unternehmen benötigen einen Datenschutzbeauftragten ab 10 Mitarbeitern (sollte das 2. DsAnpG den Bundesrat passieren erhöht sich die Zahl auf 20), die regelmäßig mit der Verarbeitung von personenbezogenen Daten befasst sind. Und lassen Sie sich keinen Sand in die Augen streuen. Ob mit oder ohne Datenschutzbeauftragten müssen alle anderen datenschutzrechtlichen Anforderungen in Ihrer Organisation erfüllt sein. Wenn es keinen DSB gibt, muss sich jemand anderes um die meist bürokratischen Aufgaben kümmern. Einfacher und pragmatischer geht es mit a.s.k. Datenschutz als externe Datenschutzbeauftragte. Fordern Sie noch heute Ihr unverbindliches Angebot an.

Unverbindliches Angebot anfordern

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld — Augen auf beim Direktmarketing

von Sascha Kuhrau
21. August 201718. Juli 2024
2 Kommentare

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor‑, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email- Adresse sind personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall. Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt. Das BayLDA teilte jedoch mit, daß es in einem ähnlichen Fall in zu einem Bußgeld gegen ein weiteres Unternehmen kam. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hatte nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht — Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen. Was ist zu beachten? Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adressieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den selben rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Fragen Sie doch Ihren Datenschutzbeauftragten

Zum richtigen Umgang mit personenbezogenen Daten im Rahmen des Direktmarketings hilft Ihnen kompetent Ihr Datenschutzbeauftragter weiter. Sie haben keinen? Dann sollten Sie sich darum kümmern, da eine gesetzliche Bestellpflicht vorliegen kann. Sprechen Sie uns unverbindlich und kostenfrei an!

Locky immer erfolgreicher

von Sascha Kuhrau
9. März 2016

Zusammenfassung

Verwunderlich, wie wenig in den Nachrichten zu dem Thema in den letzten Tagen zu hören ist. Nach Teslacrypt treibt ein weiterer Krypto-Trojaner sein Unwesen. Und das sogar ziemlich erfolgreich. Vor einigen Tagen gab es noch 5.000 Infektionen pro Stunde in Deutschland. Heute sind es über den Tag immerhin noch 17.000 (auch wieder nur alleine in Deutschland).

Krypto-Trojaner gehören zu der sogenannten Ransomware. Einmal auf dem Computer angekommen und aktiviert, beginnen sie umgehend mit ihrer Aufgabe. Und diese lautet “Verschlüssele alles, was Dir in die Finger kommt”. Die Folgen verheerend. Unternehmen werden lahmgelegt, Behörden sind arbeitsunfähig. Im privaten Bereich sind im Zweifel über die Jahre mühselig gepflegte Bilder- und Musikdatenbanken futsch.

Entschlüsselt wird nur gegen Zahlung von Lösegeld in Form von Bitcoins. Und das Geschäft boomt.

Ein Klick genügt — Locky legt los

Vor einigen Tagen sprach ich mit dem IT-Leiter einer großen Stadt in Bayern. Zu Locky (dem zur Zeit bekanntesten grassierenden Krypto-Trojaner) befragt, meinte er lapidar “Wir sind auf DEFCON 1”. Damit wird die höchste militärische Verteidigungsstufe in den USA bezeichnet.

Wie es zu einer solchen Aussage kommt, wird schnell klar, wenn man einen Blick auf die Entwicklung in den letzten Wochen wirft. Bereits im Dezember sahen sich Windows-Systeme einer Angriffswelle durch einen Krypto-Trojaner ausgesetzt. Der hieß damals Teslacrypt. Aktuell ist Version 3, gegen den kein Kraut gewachsen ist. Für die Versionen 1 und 2 gab es nach einiger Zeit wirksame Entschlüsselungstools. Aktuell ist Locky der bekannteste Vertreter.

Krypto-Trojaner sind sehr heimtückisch. Wurden diese zu Beginn alleine durch präparierte Email-Anhänge (zumeist Office Dokumente mit Makro Code) in die Welt gestreut, sind Infektionen mittlerweile auch durch sogenannte Drive By Downloads möglich. Es reicht der Besuch einer infizierten Webseite und eine dazugehörige Schwachstelle im Browser oder Flash Plugin und der Spaß geht los. Experten rechnen damit, dass zeitnah noch weitere Infektionsmöglichkeiten am Start sein werden. Dazu werden die Trojaner auch immer weiter entwickelt.

Einmal aktiv, beginnt der Krypto-Trojaner mit der Verschlüsselung einer sehr langen Liste an Dateien. Und das nicht nur auf der lokalen Festplatte, sondern auch auf allen konnektierten Netzlaufwerken und Freigaben. Auch verlinkte Cloud-Speicher sind betroffen. Ebenso ist das Überspringen von einem Gerät auf das nächste überhaupt kein Problem mehr. Die einzige Warnung, die der Nutzer erhalten kann, ist eine vermehrte Festplattenaktivität zu Beginn. Je nach Ausbreitung im internen Netz können auch Störungen bei Dateizugriffen durch die Nutzer ein Warnsignal sein.

Ist der Krypto-Trojaner mit seiner Arbeit fertig, präsentiert er in der passenden Landessprache (Locky übrigens in perfektem Deutsch) eine überhaupt nicht witzige Nachricht:

!!!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüssel und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.

Eine Freischaltung oder genauer Entschlüsselung ist dann nur noch gegen Zahlung von Bitcoins möglich. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät von der Zahlung ab. Man könne sich nicht sicher sein, ob die Hacker danach wirklich die passenden Schlüssel für die Entschlüsselung herausrücken. Einige Unternehmen aus den USA (News-Meldung) und Deutschland (Video-Beitrag) haben gezahlt, und die individuellen Schlüssel funktionierten.

Da der Trojaner jedoch sehr gut programmiert ist, verwendet er auch für jedes befallene Gerät einen neuen Schlüssel. Und damit sind die Schlüssel zur Entschlüsselung nicht übertragbar. Es muss also wirklich für jedes Gerät mit Anzeige der Verschlüsselung ein eigener Schlüssel gekauft werden.

Ist die eigene Organisation betroffen, muss man den Kopf nicht hängen lassen. Man befindet sich in bester Gesellschaft. Krankenhäuser sind nur noch per Freemail-Adresse erreichbar, verschieben Operationen und verweisen nicht akute Fälle in der Notaufnahme an andere Einrichtungen. Das Fraunhofer-Institut hisste vor kurzem ebenfalls die weiße Flagge, 60 Arbeitsplätze vollverschlüsselt.

Aktuell geht eine sehr gut gemachte Warnmeldung durch die Email-Verteiler (Scherzkekse haben diese sogar in sozialen Netzwerken geteilt). Darin warnt angeblich das BKA vor der Locky-Infektion. Und bietet umgehend im Anhang das BKA Locky Removal Tool zur Beseitigung der Infektion an. Wer den Anhang startet, holt sich — was Wunder — einen Trojaner ins System. Glücklicherweise ein alter Bekannte, gute Scanner mit aktuellen Signaturen misten den Schadcode sofort wieder aus.

Was können Sie in Ihrer Organisation tun, um besser gegen Locky & Co gewappnet zu sein? Ein fatalistischer Rat auf einer Veranstaltung vorgestern lautete: beten. Es geht aber dann doch etwas mehr:

Möglichst Verzicht auf Software, die für Anfälligkeiten von (Zero-Day-) Sicherheits-Lücken bekannt ist, wie beispielsweise Adobe Flash
Betriebssysteme und Anwendungen stets aktuell mit Patches und Security Fixes versorgen
Geräte auf denen das nicht möglich ist, möglichst in getrennten Netzsegmenten und / oder gar nicht mit Internetanschluß betreiben
Kein System ohne Virenschutz mit regelmäßiger, im Zweifel stündlicher Aktualisierung der Signaturen (Achtung: auch mobile Geräte berücksichtigen!)
Backup-Strategie prüfen, im Zweifel vorübergehend kürzere Sicherungsintervalle einrichten
Sicherungsmedien nach erfolgtem Backup aus dem Netz entfernen!
Schulen und sensibilisieren Sie Ihre Mitarbeiter kontinuierlich. Es empfehlen sich auch Zwischenberichte beispielsweise per Rundmail, wenn sich neue Bedrohungslagen ergeben — durchaus täglich oder öfter. Auch wenn es nervt, die größte Gefahr sind momentan unbedachte Handlungen durch Mitarbeiter. Also lieber ein mal mehr das Thema angesprochen als zu wenig.
Verfügen Sie über entsprechende Möglichkeiten der Systemverhaltensanalyse, so konfigurieren Sie diese auf Symptome wie “viele Dateizugriffe innerhalb kurzer Zeitspannen”.
Nutzen Sie Funktionen, Systeme mit solchen Auffälligkeiten im Zweifel sofort vom Netz zu nehmen.
Wenn möglich, setzen Sie Email-Anhänge automatisiert in Quarantäne. Der Anwender kann bei Bedarf den Anhang anfordern. Das ist zwar im Moment etwas aufwendiger, aber lange nicht so zeitintensiv, wie wenn Sie sich mit dem Befall durch Ransomware auseinandersetzen müssen.

Mit diesen Maßnahmen haben Sie leider immer noch keinen 100%-igen Schutz gegen Ransomware, aber das Risiko des Eintritts ist zumindest gesenkt.

Bedauerlicherweise entwickeln sich die Varianten von Locky & Co permanent weiter. Das Geschäftsmodell der Entwickler geht auf. Bisher sind alle Versuche gescheitert, die Verursacher zu identifizieren. Und diese müssen sich wirklich sicher fühlen. So sind mittlerweile Versionen gesichtet (unbestätigt), die nicht nur einen Link zu einem Video enthalten “Wie besorge ich mir Bitcoins zur Zahlung des Lösegelds”, sondern es wird auch ein Textchat angeboten. Wie dreist ist das denn?

Und in den Nachrichten? “Spocht” (Grüße von RTL Samstag Nacht)

Ich wünsche uns allen ein gutes Gelingen in der Abwehr der aktuellen Bedrohungswelle
Ihr Sascha Kuhrau

PS: Übrigens gibt es neben unserem Fachblog Datenschutz seit kurzem auch einen Blog zur Informations- und IT-Sicherheit. Dort erfahren Sie mehr über die aktuelle Bedrohungslage und die Möglichkeiten, sich dagegen zu schützen. Oder Sie tragen sich dort gleich in den Sicherheits-Newsletter ein, um stets auf dem Laufenden zu bleiben.

Die Gefahr von innen — wenn Mitarbeiter zum Sicherheitsrisiko werden

von Sascha Kuhrau
7. Juli 2014
2 Kommentare

Viel Zeit und Mühe wird in das Abschirmen und Absichern von IT Netzwerken gegen Angriffe von außen investiert. Dabei übersieht man schnell die Gefahren, die Unternehmensdaten von innen drohen können. Unabhängig ob Fahrlässigkeit oder Absicht, so sollten Sie als Unternehmer und Unternehmen diese Bedrohung nicht aus dem Blick verlieren. In fast einem Viertel aller Fälle sind Mitarbeiter der Grund für Datenabfluss aus dem Unternehmen.

In Zeiten von Speichersticks mit immer größerer Speicherkapazität und Fotohandys mit mehreren Megapixeln Auflösung erschreckt es teilweise, wie lax der interne Umgang in Unternehmen sein kann.

Nutzungsrichtlinien und Profilsperren für die Nutzung von USB Sticks sind oft Fehlanzeige. Daten können in großen Mengen kopiert und unauffällig in der Hosentasche ausser Haus gebracht werden.
Fotohandys werden teilweise sogar vom Unternehmen den Mitarbeitern zur Verfügung gestellt. Die hohen Auflösungen erlauben detailgetreue Wiedergaben beim Abfotografieren wichtiger und geheimer Dokumente. Nützlich ist die oftmals zusätzlich eingerichtete Internetflat, um die Fotodokumentation gleich noch unauffällig zu versenden.

Doch dies sind nur zwei ausgewählte Möglichkeiten, wie schützenswerte Daten das Unternehmen verlassen können. Diese setzen selbstverständlich noch ein gewisses Maß an krimineller Energie bei Ihren Mitarbeitern voraus. Aber wer kennt schon den genauen Preis, ab dem Loyalität in den Hintergrund tritt?

Auch unbewußte Gefahren können von Mitarbeitern ausgehen: Verteilen Sie USB Sticks auf dem Parkplatz eines Unternehmens vor Arbeitsbeginn, wie zufällig verloren. Zuvor präparieren Sie diese mit einer kleinen, eindeutigen und ungefährlichen Ping Routine im Autostart. Sie werden staunen, wie viele dieser Sticks sich bis zum Abend aus dem Unternehmensnetzwerk auf dem bereitgestellten Ping Server gemeldet haben. Stellen Sie sich vor, diese Sticks wären mit Schadsoftware präpariert gewesen (Backdoors, Löschfunktionen etc.) !! Horrorvorstellung, aber bedauerlicherweise Realität.

Eine beliebte Methode ist das Ausspähen von Daten und Geheimnissen über die Abfallbehälter. Sei es direkt aus den Papierkörben an den Schreibtischen oder aus den Containern im Hof. Etwas Unterstützung vom Reinigungspersonal und Sie werden staunen, an welche Informationen man bei der “Müll”-Auswertung so alles gelangen kann. Zahlreichen Untersuchungen zufolge finden fast 50% der Spionage-Angriffe nicht auf elektronischem Weg statt, sondern durch einfaches Durchsuchen der Abfallbehälter, auch “Bin Raiding” genannt.

100%ige Sicherheit und Schutz vor diesen und ähnlichen Gefahren gibt es nicht. Als Berater für Datenschutz und Datensicherheit unterstütze ich Sie jedoch bei der Minimierung dieser Risiken durch konkrete Maßnahmen im Bereich der IT Sicherheit und durch Sensibilisierung Ihrer Mitarbeiter durch Schulung und Aufklärung. Sie können Ihre Mitarbeiter zu den regelmäßigen Schulungen “Datenschutz und Datensicherheit” schicken oder angepasste Schulungen auf Basis Ihrer vorhandenen (oder noch zu erstellenden) Nutzungsrichtlinien durch mich bei Ihnen vor Ort durchführen lassen. Sprechen Sie mich an.

Lesen Sie aktuelle Aussagen (07.07.2014) zu diesem Thema vom Verfassungsschutz-Präsident H.-G. Maaßen auf unserer Beratungs-Webpage.

[wpfilebase tag=‘file’ id=‘2’]

LKA Thüringen bespitzelte eigene Mitarbeiter — wegen Klopapier

von Sascha Kuhrau
21. Januar 2013

Gelegentlich kommen einem Meldungen zum Thema Datenschutz und Verstoß gegen das Datenschutzrecht unter, da kann man nur noch mit dem Kopf schütteln. SPIEGEL ONLINE berichtet über einen besonders dreisten und rechtswidrigen Verstoß der unerlaubten Mitarbeiterüberwachung.

Klopapier verschwindet

Das Reinigungspersonal stellt einen übermäßigen Schwund an Klopapier fest. Dieser Akt gefährdet die Staatssicherheit und muss mit Nachdruck und allen zur Verfügung stehenden Mitteln bekämpft werden. Geht die zuständige Abteilung doch sonst gegen Rocker, Islamisten und Mafiosi vor. Sogar ein Mitarbeiter des Staatsschutzes wird bemüht.

Flur oder Klo — was denn nun?

Anfragen beim LKA und vorhandene Unterlagen zeichnen ein widersprüchliches Bild. Das LKA stellt fest, die Kameraüberwachung hätte nur im Treppenhaus stattgefunden. Interne Dokumente zeichnen da ein anderes Bild. Die Kamera soll direkt auf dem stillen Örtchen angebracht gewesen sein.

Gefahr im Verzug

Selbst wenn das Entwenden von Klopapier in diese Kategorie hätte eingestuft werden können, wäre die Maßnahme nach spätestens drei Tagen durch richterlichen Beschluß zu genehmigen gewesen. Dieser Beschluss lag jedoch nie vor und so wurden LKA Mitarbeiter von den eigenen Kollegen ohne Grundlage und ohne ihr Wissen überwacht. Da Bagatellkriminalität keine Rechtfertigung für Videoüberwachung ist (Stichwort: Angemessenheit), wurden die Mitarbeiter erheblich in ihrem Persönlichkeitsrecht verletzt.

[Kopfschüttel]

Sie planen selbst den Einsatz von Videoüberwachungsmaßnahmen? Hier ein paar hilfreiche Informationen aus einem Blogbeitrag.

Zur Meldung von SPON

Angeblich heimliche Mitarbeiterüberwachung bei ALDI Süd

von Sascha Kuhrau
7. Januar 2013

Laut Spiegel, Welt und N24 soll es zu einer heimlichen Mitarbeiterüberwachung bei ALDI Süd gekommen sein. Gleichlautend wird von einem Detektiv berichtet, der unter Androhung des Verlusts weiterer Aufträge gezwungen wurde, Miniaturkameras z.B. über den Mitarbeiterschränken anzubringen. Weiterhin sollte er der ALDI Führungskraft alle “Auffälligkeiten” melden wie z.B. langsames Arbeitstempo, Beziehungen unter den Mitarbeitern oder auch private Details wie finanzielle Verhältnisse.

Das Unternehmen weist derweil alle Vorwürfe zurück.

Wie hier auf dem Blog mehrfach berichtet, ist Videoüberwachung unter Datenschutzgesichtspunkten kein “Teufelswerk”. Es gilt, bestimmte Richtlinien und Verfahrensweisen einzuhalten. Mehr erfahren Sie in unserem Beitrag Videoüberwachung — umsichtig einsetzen, Konflikte vermeiden

Sensible Patientendaten in Klinik verschwunden — Datenpanne

von Sascha Kuhrau
12. Oktober 2012

DIE WELT berichtet heute nachmittag online von einer Datenpanne in zwei Kliniken in Baden-Württemberg:

Sicherungsbänder bei Zigarettenpause verbummelt

Der zuständige IT-Mitarbeiter ist wie jeden Tag mit den Sicherungsbändern auf dem Weg vom Serverraum zum Tresor. Unterwegs hält er an einer Rampe für eine kurze Rauchpause an, legt die Bänder auf einem Tisch ab. Nach der Pause ging er wieder an seine Arbeit, jedoch ohne die Sicherungsbänder. Als er seinen Fehler nach einiger Zeit bemerkte und an den Pausen-Ort zurückkehrte, waren die Sicherungsbänder verschwunden. Erschwerend kommt hinzu, dass der Mitarbeiter den Vorfall erst eine Woche später meldete und auch das interne Sicherungskontrollsystem das Verschwinden der Bänder nicht aufgedeckt hat.

Sensible Patientendaten betroffen

300.000 Datensätze sollen die Bänder umfasst haben. Darunter vollständige Patientenakten, Labordaten, Befunde, Arztbriefe und Schriftverkehr bis zurück ins Jahr 1996.

Datenschutzbehörde spricht von gravierendem Vorfall

Die Klinikleitung beteuert, lediglich die Arztbriefe können ausgelesen werden. Für alle weiteren Daten sei spezielle Hard- und Software notwendig. Weitere Ausführungen über eine zusätzliche Verschlüsselung wurden nicht getätigt. Aufgrund der Sensibilität der Daten und der erschreckend hohen Menge spricht der Landesdatenschutzbeauftragte von Baden-Württemberg, Jörg Klingbeil von einem gravierenden Vorfall.

§ 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Lt. Klingbeil hat die Klinik nicht gegen § 42a BDSG verstoßen. Die Datenpanne, wurde wenn auch verspätet, korrekt gemeldet und durch Anzeigen in überregionalen Zeitungen bekannt gemacht. Dies geschah zwar mit Verzögerung, jedoch auf Bitten der Staatsanwaltschaft, um die Ermittlungen zu diesem Zeitpunkt nicht zu gefährden. Alles weitere müsse jetzt geklärt werden.

Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

von Sascha Kuhrau
3. August 2012
4 Kommentare

“Wir haben keine personenbezogenen Daten im Unternehmen, daher betrifft uns das Bundesdatenschutzgesetz gar nicht” — diese Aussage trifft man immer wieder z.B. im Rahmen von Informationsveranstaltungen oder Kundengesprächen. Im ersten Moment ist man gerade bei reinen B2B-Unternehmen geneigt, zuzustimmen. Doch schnell regen sich Zweifel, denn nur wenige Unternehmen kommen ohne Mitarbeiter aus.

§ 3 BDSG definiert den Begriff der personenbezogenen Daten:

“(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).”

Damit wäre bereits festgestellt, das personenbezogene Daten im Unternehmen alleine schon durch die Beschäftigung von Mitarbeitern vorliegen. Zieht man jetzt noch die Daten zu Kunden, Lieferanten, Dienstleistern und Interessenten hinzu, wird schnell klar: Es gibt eigentlich immer personenbezogene Daten im Unternehmen.

Bleiben wir jedoch bei den Mitarbeiterdaten unseres Beispiels und in § 3 BDSG:

“(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.”

Mitarbeiterdaten sind demnach nicht nur reine personenbezogene Daten, sondern nach dieser Definition sogar eine besondere Art personenbezogener Daten (enthalten sie doch einige der og. Merkmale).

§ 3 BDSG definiert im weiteren Verlauf den Begriff “Beschäftigte” detailliert:

“(11) Beschäftigte sind:

Arbeitnehmerinnen und Arbeitnehmer,
zu ihrer Berufsbildung Beschäftigte,
Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”

Das Bundesdatenschutzgesetz spendiert in seiner aktuellen Fassung den Beschäftigten sogar einen eigenen Paragraphen:

§ 32 Datenerhebung, ‑verarbeitung und ‑nutzung für Zwecke des Beschäftigungsverhältnisses

“(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.”

Womit feststeht:

Beschäftigt ein Unternehmen Mitarbeiter, liegen personenbezogene Daten vor.
Aufgrund der vorliegenden Daten eines Mitarbeiters handelt es sich dabei sogar um besondere Arten personenbezogener Daten, die einen erhöhten Schutzstatus besitzen.
Das Bundesdatenschutzgesetz legitimiert das Erheben, Verarbeiten und Nutzen der Mitarbeiterdaten zum Zwecke des Beschäftigungsverhältnisses.
Das Bundesdatenschutzgesetz findet auf Unternehmen mit Mitarbeitern Anwendung.
Es bleibt zu prüfen, ob die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten zusätzlich vorliegt.

Unsicher in Bezug auf die weitere Vorgehensweise? Dann sprechen Sie uns einfach an. Wir helfen schnell, unbürokratisch und unkompliziert.

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

BYOD (Bring Your Own Device) — zusätzliche Datenschutz-Risiken für Unternehmen

von Sascha Kuhrau
5. April 2012
1 Kommentar

“BYOD” ist in aller Munde, zu Recht. Hinter dem Kürzel verbergen sich zahlreiche Risiken und Unannehmlichkeiten für Administratoren und Unternehmer. Doch “Bring Your Own Device” ist Alltag! Immer mehr Arbeitnehmer nutzen ihre eigentlich privaten Mobiltelefone, Smartphones und Notebooks beruflich für ihren Arbeitgeber.

IT-Administratoren kämpfen dadurch mit Wildwuchs in der IT-Landschaft und fürchten die hierdurch entstehenden Sicherheitslücken — zu Recht! Geschäftsführer und Unternehmer verschliessen vor der alltäglichen Situation oftmals die Augen und riskieren dabei so einiges.

Bei stillschweigender Duldung verliert das Unternehmen notwendige Einfluss- und Kontrollmöglichkeiten. Mögliche Folgen: Datenschutzverstösse, Sicherheitslecks und die daraus resultierenden Image-Schäden durch negative Presseberichte.

Was viele nicht wissen, die rechtlichen Aspekte dieser Thematik sind umfangreich: Urheberrechtsverletzungen, Lizenzprobleme, Haftungsfragen, Verstöße gegen handels- und steuerrechtliche Vorschriften, IT-Sicherheit und Datenschutz. Wollen Sie als Unternehmer dafür gerade stehen, wenn Ihr Mitarbeiter personenbezogene Daten Ihres Unternehmens auf seinem privaten Mobilgerät speichert und diese dann mit einem der zahlreichen Cloud-Dienste synchronisiert? Mit großer Wahrscheinlichkeit liegt hierfür keine vorgeschriebene Regelung zur Auftragsdatenverarbeitung vor -> Bußgeldrisiko.

Unser Tipp:

Sorgen Sie für klare Vereinbarungen und Richtlinien in Ihrem Unternehmen und investieren Sie in die notwendige IT-Infrastruktur.
Oder fragen Sie Ihren Datenschutzbeauftragten! Sie haben keinen, dann sprechen Sie uns an!

1
2
3
…
5
Weiter »

Mitarbeiter

War­um inter­es­siert sich der Daten­schutz für Geburts­tags­lis­ten von Mitarbeitern?

Bleibt wohl nur die Ein­wil­li­gung für Geburts­tags­lis­ten von Mitarbeitern?

KISS — keep it short and simp­le: Der Geburtstagsliste-Self-Service

Beson­der­hei­ten bei Geburts­tags­lis­ten per zen­tra­ler Ein­wil­li­gung durch den Arbeitgeber

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Top 12 Maß­nah­men bei Cyber-Angriffen

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Was kann a.s.k. Daten­schutz für Sie tun?

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Fra­gen Sie doch Ihren Datenschutzbeauftragten