1st world corona measures

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind. 

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf.  Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen. 

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App 

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung. 

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren. 

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt. 

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren. 

Datenschutz und Privatsphäre 

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg. 

Prüfauftrag der Corona App war limitiert 

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen. 

Fazit zum aktuellen Stand der Corona App 

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln. 

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln. 

Datenschutz 2020 - Teil 2 des Berichts des ULD Schleswig-Holstein

Anwendung der DSGVO

Datenschutz / IT-Sicherheit – Allgemeines 

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO – (vor)vertragliche Maßgaben und berechtigte Interessen – sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift. 

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs-, Unterrichtungs-, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden. 

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten. 

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten. 

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein. 

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können. 

Datenschutz in Online-Präsenzen 

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen. 

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber. 

Künstliche Intelligenz = Artificial Intelligence 

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden. 

TOM – technische und organisatorische Maßnahmen 

  • vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden 
  • Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz – u.a. Bestandteil des Datenscchutz Quick-Checks 
  • auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein 
  • Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren 

Datenschutz bei Gesundheitsinformationen 

Das ULD konstatierte, dass 

  • Krankenhäuser und Kliniken 
  • Arzt-, Zahnarztpraxen 
  • Pflegeeinrichtungen, -dienste 
  • Apotheken und vergleichbare Einrichtungen 

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben – insbesondere bei mobilen Devices und Speichermedien. 

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen. 

Videoüberwachung und Datenschutz 

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten. 

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus. 

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben. 

AV – Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag 

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen – siehe auch das Thema Informationspflichten. 

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist. 

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen. 

Website des ULD 

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht. 

Für die weiterführende Lektüre des Originals bitte hier klicken. 

Datenschutz 2020 - Bericht des ULD Schleswig-Holstein

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat seinen Tätigkeitsbericht 2020 für den Berichtszeitraum 2019 veröffentlicht. 

Insgesamt wurden 758 Beratungen durchgeführt und 959 Verfahren in der Zuständigkeit des ULD angelegt, davon 680 auf Grund von Beschwerden gegen Unternehmen und 279 gegen Behörden. 

Des Weiteren wurden 37 Warnungen, 26 Verwarnungen und 2 Anordnungen gegenüber Einrichtungen ausgesprochen. Auf Geldbußen wurde in dem Zeitraum 2019 verzichtet. In 26 Fällen führte man Prüfungen ohne zu Grunde liegende, anlassbezogene Beschwerden durch, 13 davon bei nichtöffentlichen Einrichtungen. 

Verletzungen von Datenschutz und Meldepflicht 

Die insgesamt 349 in Sachen Datenpannen eröffneten Verfahren stellen naturgemäß nur einen Anteil der täglich gemeldeten oder anderweitig dem ULD zur Kenntnis gelangten Datenschutz-Verletzungen dar. Ebenso naturgemäß, dass das ULD von der Dunkelziffer an Datenpannen, die nicht gemeldet, sondern im Nachhinein festgestellt werden, nicht angetan ist. 

hier würde ich als tipp ergänzen .. Daher auch in diesem Kontext der Tipp, nicht nur für unsere Kunden in Schleswig-Holstein J, den Sie von uns auch sicherlich aus Präsentationen und Vorortterminen kennen: Datenpannen immer dokumentieren und – zumindest intern an Ihren DSB – melden. Entwarnen lässt sich immer noch.  

Datenpannen – Informationssicherheit / Datenschutz 

Ebenfalls kritische Worte findet das ULD in Bezug auf das Umsetzungsniveau der Informationssicherheit. Es gebe hier noch viel Nachholbedarf, zumal Verletzungen der Informationssicherheit wie u.a. auch Cyberangriffe mangels personenbezogener Daten häufig nicht einmal in einer Meldung resultieren. 

Für eine „verantwortungsvolle Digitalisierung“ hält der vorliegende Bericht dazu an, dass sämtliche Einrichtungen das Schutzniveau in Sachen Informationssicherheit einschließlich Datenschutz auf den Prüfstand bringen mögen. Sensibilisierung der Mitarbeiter sei nicht zu vernachlässigen. 

Das ULD sah `über den Tellerrand´ 

Inspiration für Sensibilisierungen konnte man im Austausch mit einem unserer Nachbarländer erhalten: 

  • Aktionstage „Löschen/Schreddern“ 
  • „Gamification“ Ansätze von Datenschutz mit Preis (Obst/Schokoriegel) 
  • Datenschutzquiz und Datenpannensimulation 
  • anonymisiert realisierte Phishing-Tests 
  • Selbstdatenschutz mit Mehrwert für die Beschäftigten 
  • im Team produzierte Kurzvideos für Schulungszwecke  

gehörten dazu. Eine weitere Klarstellung, dass Datenschutz per se lebendig ist und unrichtigerweise manchmal als trocken und lästiges Beiwerk angesehen wird. 

Auch in Unternehmen und kommunalen Einrichtungen lassen sich solche Aktionen und Workshops durchführen. Für Anfragen und Anregungen nehmen Sie gerne Kontakt zu uns auf. 

Für eine Vereinheitlichung von Datenschutzstandards und Verständnisfragen sieht das ULD eine regelmäßige Kommunikation über Erfahrungen als sehr wichtig an. Im genannten Nachbarland Österreich ist dies bereits verbindliche Vorschrift. 

Informationsfreiheit und Datenschutz auf (inter)nationaler Ebene 

Das ULD stellt klar, dass auch die innerstaatliche Abstimmung unter Datenschutzbehörden auf Bundes- und Landesebene in Sachen Datenschutz und Informationsfreiheit in angemessenem Maße aufrecht zu erhalten ist. Bei der Informationsfreiheit existiere lediglich ein Gremium für die Zuarbeit der IFK. Noch seien nicht alle Bundesländer vertreten mangels entsprechender Informationsfreiheits- oder Transparenzportalen. 

Datenethik und Datensicherheit 

Die Datenethikkommission der Bundesregierung hat ein Gutachten erstellt, das sich insbesondere mit Algorithmen, KI und Big Data befasst. Betont werden unter anderem Möglichkeiten der Regulierung von algorithmischen Systemen. Das ULD fordert – weniger banal als es zunächst klingen mag – die Bundesregierung als Auftraggeberin des Gutachtens der Datenethikkommission auf, die Inhalte auswerten und in die weitere Planung einfließen zu lassen. In diesem Zusammenhang moniert das ULD ein teils inkonsistentes Agieren von Bund und Ländern für / wider eine grundwerteorientierte, zukunftsfähige Digitalisierung wie etwa Inhalte in Gesetzgebungsentwürfen, die „eine Kriminalisierung von Anbietern bestimmter datenschutzfreundlicher Techniken“ nahelegten. (§ 126a StGB). 

Man möchte eine „Chance auf bessere Sicherheit“ nicht vertan wissen. 

Die per Innenministerkonferenz 2019-06 in Planung gegebenen „Zugriffserleichterungen“ auf Messenger und Smart Home Anwendungen hält das ULD in dieser Form für nicht grundrechtsvereinbar. 

Behörden 

Die Landesdatenschutzbehörde Schleswig-Holstein fordert Behörden und sonstige öffentliche Stellen des Bundeslandes auf, einen behördlichen Datenschutzbeauftragten zu benennen und „mit den erforderlichen Ressourcen“ auszustatten,  sofern bislang nicht erfolgt. 

Handlungsbedarf sah die Landesdatenschutzbehörde bei der Weiterentwicklung von IT-Verfahren der Landespolizei. Diese müssten in der Lage sein, Auskünfte an Betroffene „umfassend und zeitnah“ zu erteilen. Unter dem Titel „Null Datenpannenmeldungen im Polizeibereich?!“ postuliert die Landesbeauftragte für Datenschutz Schleswig-Holstein, „gesetzliche Pflichten müssen ernst genommen werden.“ Auch für den Justizbereich gelte, dass Meldepflicht von Datenpannen umfassend zur Kenntnis genommen und umgesetzt werden sollte.

Schleswig-Holstein und die Kommunen seien – mit Unterstützung des ULD – in der Verantwortung einer datenschutzkonformen Umsetzung des Onlinezugangsgesetzes. 

Fortsetzung folgt ..

AKDB Logo

Ende 2014 hat sich das Landratsamt Wunsiedel dem AKDB Check 250 von a.s.k. Datenschutz unterzogen. Vor dem Hintergrund stetig zunehmender Datenmengen in Kommunen und den technischen Herausforderungen für Datenschutz und Datensicherheit , aber auch angesichts der Fülle sich ändernder Gesetzeslagen ist es fast unmöglich, in allen Bereichen auf dem Laufenden zu bleiben.

„Die eigenen Verhältnisse mit den Bestimmungen des BSI-Grundschutzkataloges abzugleichen, ist eine Herkulesaufgabe“, so Walter Zimmet, IT-Leiter im Landratsamt. „Unsere IT-Abteilung kontrolliert sich selbstverständlich regelmäßig selbst“, sagt Landrat Karl Döhler. Doch aufgrund der zahlreichen Heraus- und Anforderungen im Datenschutz und in der Datensicherheit hat sich das Landratsamt Wunsiedel zur Durchführung des AKDB Check 250 durch a.s.k. Datenschutz entschieden. „Vom äußeren Blick eines unabhängigen Gutachters versprachen wir uns herauszufinden, wo wir bereits gut aufgestellt sind und wo noch Verbesserungsbedarf beherrscht.“

Im Rahmen eines eintägigen Workshops vor Ort wurden knapp 250 Prüfpunkte zu sicherheits- und datenschutzrelevanten Themen abgearbeitet. Im Nachgang wurden erste Schwachstellen beseitigt, noch bevor der finale Audit-Bericht vorlag. Das Ergebnis: überdurchschnittlich! „Es brachte uns eine gute Bewertung, fordert aber auch, ständig weiter an der Datensicherheit zu arbeiten“, fasst Landrat Karl Döhler das Ergebnis des Audits zusammen.

Haben auch Sie für Ihre Kommune Interesse an den AKDB Checks 250 oder 650? Dann sprechen Sie uns an. Selbstverständlich kann das Prüfschema auch auf nicht-bayerische Kommunen angewendet werden.

Lesen Sie hier den vollständigen Bericht auf Kommune21 oder laden Sie hier die PDF Version herunter

[wpfilebase tag=file path=’presse/meldung_21206_IT+im+Selbst-Check.pdf‘ tpl=download-button /]

 

Quelle: Kommune21

Neuer Online Check nicht identisch mit BSI

Bereits zwei Mal dieses Jahr stellte das Bundesamt für Sicherheit in der Informationstechnik ein Online Prüf-Tool zur Verfügung. Mittels dieses Tools konnten Nutzer testen, inwieweit ihre Email-Adresse(n) in Verbindung mit Weblogins bereits aktiv mißbraucht wurde(n). Millionen Anwender haben dieses Tool bisher genutzt.

Eine etwas andere Datenbasis bietet nun das HPI der Universität Potsdam. Deren Tool prüft einschlägige Foren und Boards, ob dort Email-Adresse und / oder weitere personenbezogene Angaben inklusive Passwort öffentlich zum Mißbrauch zur Verfügung gestellt werden. Zur Zeit umfasst die Datenbank 171 Millionen Einträge.

Nach Eingabe einer Email-Adresse erhält der Nutzer zeitnah eine Email mit genauer Angabe der kompromittierten Daten. Wenn kein Eintrag gefunden wurde, wird keine Email versandt. Das bedeutet jedoch nicht, dass diese Daten nicht anderweitig bekannt sind und mißbraucht werden.

Top 10 der unsicheren Passwörter

Obwohl die Tatsache hinlänglich bekannt ist, wie ein einigermaßen sicheres Passwort aussehen sollte, finden sich in der Top 10 der Statistik alte Bekannte wie „123456“, „password“ und „qwertz“ wieder. Details über unsichere Passwörter und Hilfestellungen zu merkbaren sicheren Passwörtern finden Sie hier im a.s.k. Datenschutz-Blog

Zum Online Check des HPI: https://sec.hpi.uni-potsdam.de/leak-checker/search

Es lohnt sich, nicht nur alle privaten Email Adressen zu prüfen, sondern auch die geschäftlichen Daten einzubeziehen.