Limonade statt Zitrone

„Es kommt darauf an“ – Was kostet ein externer Datenschutzbeauftragter?

Was kostet ein externer Datenschutzbeauftragter?„, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen.  Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

  • Was kostet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: „Es kommt darauf an!“

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. „Einführungsphase“ gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde,  schließt sich nun die „Betreuungsphase“ als externer Datenschutzbeauftragter an.  Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

  • Bußgeld (Ausnahme: öffentliche Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Mann Ärger Haare raufen

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die „NIST Special Publication 800-63. Appendix A“. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: „Ich bereue den Passwort-Wahnsinn“

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

  1. Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
  2. Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

„Ich bereue den Passwort-Wahnsinn“

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst „Über Bord mit veralteten starren Passwort-Richtlinien“.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

  • Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
  • Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
  • Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
  • Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage „Wie heißt ihr Haustier?“ aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

  • Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
  • Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
  • Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere – unabhängige – Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag „Über Bord mit veralteten starren Passwort-Richtlinien“.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4

Berg Anstieg Hilfe

Wer benötigt ein Informationssicherheitskonzept?

Jede Organisation ist gefordert, die Anforderungen aus Art. 32 DSGVO zu erfüllen. Da steht in Absatz 1:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Unter b) sind die Grundwerte der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität genannt. Betrachten wir die Kurzdefinitionen aus der Informationssicherheit hierzu.

Vertraulichkeit: Keine unberechtigte Kenntnisnahme (bis hin zum Mißbrauch) der Informationen, weder durch Mitarbeiter noch durch Externe.

Integrität: Die Informationen sind korrekt, vollständig und unverfälscht. Änderungen sind nachvollziehbar und rückgängig zu machen.

Verfügbarkeit: Die Informationen stehen zur richtigen Zeit am richtigen Ort zur Verfügung (nicht beschränkt auf IT-Verfügbarkeit). [Verfügbarkeit ist in der Tat erst an dritter Stelle, auch wenn in der Praxis um das Thema Ausfallzeiten gerne der Tanz um das goldene Kalb stattfindet.]

Diese Grundwerte der Informationssicherheit sicherzustellen, ist das Ziel eines jeden Informationssicherheitskonzepts, auch des Standards der sog. „Arbeitshilfe“.

Unterpunkt d) verlangt von Ihrer Organisation, die Wirksamkeit der im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit ergriffenen technischen und organisatorischen Maßnahmen regelmäßig zu prüfen und bei Bedarf nachzujustieren oder geeignete zusätzliche bzw. ergänzende Schutzmaßnahmen einzuführen. Auch dies ist eine der Kernfunktionen eines funktionierenden Informationssicherheitskonzepts.

Salopp gesagt, verlangt die DSGVO von Organisationen in diesem Fall nicht weniger als die Einführung eines Informationssicherheitskonzepts und dessen kontinuierlichen Betrieb. Klar kann man versuchen, sich auch selbst ein Konzept zu „basteln“, bleibt nur die Frage „Wieso sollte man das tun?“

Bayerische Kommunen sind per Gesetz (BayEGovG) sogar dazu verpflichtet, bis zum 01.01.2020 ein Informationssicherheitskonzept eingeführt und im laufenden Betrieb zu haben.

Bewährte Standards wie die ISO 27001, der BSI IT-Grundschutz, ISIS12 (als Ableitung aus dem IT-Grundschutz) sind seit vielen Jahren bewährte Standards, um ein Informationssicherheitskonzept einzuführen, zu betreiben und damit auch die Anforderungen aus Art. 32 DSGVO zu erfüllen. Diese Standards skalieren zwar auch für kleinere Organisationen, sind dennoch sehr ressourcenintensiv. Hier hat für den kommunalen Bereich die Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände angesetzt und gerade für kleinere kommunale Einrichtungen durch a.s.k. Datenschutz die „Arbeitshilfe zur Einführung eines Informationssicherheitskonzepts nach Art. 11 BayEGovG“ entwickeln lassen. Dieser Standard basiert auf den Erkenntnissen und Vorgehensweisen aus zahlreichen IT-Grundschutz-Projekten sowie dem früheren „Quick Check Datenschutz + Datensicherheit“. Entgegen der Bezeichnung und ursprünglichen Ausrichtung auf den kommunalen Bereich ist die „Arbeitshilfe“ universell einsetzbar und natürlich auch in Unternehmen einsetzbar. Hierzu sind lediglich Begrifflichkeiten anzupassen, statt Bürgermeister heißt es dann eben Geschäftsführer.

Standard für Informationssicherheit Arbeitshilfe Version 3.0 erschienen

Am 26. September 2019 ist die Arbeitshilfe mittlerweile in Version 3.0 erschienen. Die Weiterentwicklung und Anpassung oblag erneut uns von der a.s.k. Datenschutz. Neben Aktualisierungen z.B. bei Links zum gerade aufgefrischten BSI IT-Grundschutz stand neben der Fehlerkorrektur die Anpassung an das Siegel „Kommunale IT-Sicherheit“ des Landesamts für Sicherheit in der Informationstechnik – kurz LSI – in Nürnberg im Vordergrund. Wenn Sie mehr über das LSI Siegel erfahren wollen, finden Sie Details hierzu in einem weiteren Blogbeitrag.

Kommunale Einrichtungen, die sich zur Einführung eines Informationssicherheitskonzepts auf Basis der Arbeitshilfe entscheiden, erfüllen mit der Umsetzung die Anforderungen des LSI zum Erhalt des Siegels „Kommunale IT-Sicherheit“. Das setzt natürlich eine ernsthafte und ehrliche Bearbeitung der 9 Kapitel der Arbeitshilfe zur Informationssicherheit in der Kommune voraus.

Hier geht es direkt zum Download der Arbeitshilfe V 3.0. Sollte der Link nicht mehr funktionieren, nutzen Sie bitte die Startseite der Innovationsstiftung und suchen die Veröffentlichung vom 28.09.2019.

Mit a.s.k. Datenschutz und der Arbeitshilfe zum Siegel „Kommunale IT-Sicherheit“

Wenn Sie sich bei der Einführung der Arbeitshilfe in Ihrer Verwaltung durch das Team von a.s.k. Datenschutz unterstützen lassen, dann übernehmen wir am Ende die Formalitäten der notwendigen Angaben und Auskünfte gegenüber des LSI. Einem Erhalt des Siegels sollte dann nichts mehr im Wege stehen.

Sollten wir Sie im Anschluß auch als externe Informationssicherheitsbeauftragte betreuen, kümmern wir uns mit Ihnen gemeinsam auch um die Verlängerung des Siegels nach Ablauf der 2 Jahre Gültigkeitsdauer. Dazu muss dem LSI der Weiterbetrieb Ihres Informationssicherheitskonzepts belegt bzw. nachgewiesen werden. Auch dies würden wir von a.s.k. Datenschutz übernehmen.

Übrigens nutzen wir zur Einführung und zum Betrieb Ihres Informationssicherheitskonzepts auf Basis der Arbeitshilfe eine hochmoderne und vollverschlüsselte Projektplattform. Damit wird die Bearbeitung der Punkte zwar kein Kinderspiel, aber die Dokumentation dazu erledigt sich fast von selbst. Gleichzeitig versäumen Sie und wir keine Revisionstermine und Wiedervorlagen. Mehr Infos in diesem Blogbeitrag. Unsere Plattform ist bereits für Version 3.0 der Arbeitshilfe aktualisiert und angepasst.

Unternehmen und die Arbeitshilfe als Informationssicherheitskonzept

Wie eingangs schon beschrieben, ist auch dies kein Problem. In der Wortwahl werden zwar kommunale Funktionen adressiert, aber die inhaltlichen Anforderungen an Informationssicherheit sind zwischen Unternehmen und Behörden identisch. Ersetzen Sie in Gedanken einfach Begriffe wie „Bürgermeister“ mit „Geschäftsführer“ und schon sind Sie in der Unternehmenswelt angekommen.

Das einzige Manko: Das LSI Siegel „Kommunale IT-Sicherheit“ kann nur von kommunalen Einrichtungen erworben werden. Als Unternehmen sind Sie hier außen vor. Gerne unterstützen wir auch Ihr Unternehmen bei der Einführung eines Informationssicherheitskonzepts.

Angebot Informationssicherheitskonzept für Kommunen bzw. Behörden

Sie wünschen ein unverbindliches Angebot? Dann nutzen Sie einfach unser verschlüsseltes Anfrage-Formular. Wir melden uns zeitnah bei Ihnen.

Unverbindliches Angebot anfordern

 

 

 

 

Boxer Hund Brille

Sie haben es sicher in den letzten Tagen verfolgt bzw. mitbekommen. TV, Radio, Print und Online-Meldungen geißeln passend zum Schulbeginn das Thema Datenschutz in Verbindung mit Bildern der neu eingeschulten bzw. einzuschulenden Kinder. Der ach so böse Datenschutz bzw. die DSGVO ist nun schuld, dass die stolzen Eltern keine Bilder mehr von ihren Kindern im Rahmen der Einschulung anfertigen dürfen. Verunsicherung durch Fehlinformationen führt dazu, dass die eine oder andere Schule ein komplettes Fotografierverbot verhängt. Neben der Unsicherheit durch falsche Pressemeldungen tragen da auch die überzogenen Sichtweisen und Forderungen einzelner Helikopter-Eltern und die Erfahrungen im Umgang mit diesen zu solchen Überreaktionen bei. Doch ist das Fotografieren an diesem Ehrentag nun wirklich eine Sache des Datenschutzes? Und verbietet der Datenschutz wirklich das Anfertigen solcher Bilder der Liebsten an ihrem wichtigen Tag?

Findet das Thema Datenschutz überhaupt bei Fotografien dieser Art Anwendung?

Schauen wir mal in den Anwendungsbereich des Datenschutzes, konkret in den sachlichen Anwendungsbereich im Art. 2 DSGVO. Dort heißt es im Absatz 2:

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten ….
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Es ist wohl unstrittig, dass ein Foto des eigenen Kindes und sogar der Klassenkameradinnen und Kameraden für das private Fotoalbum eine Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten darstellt. Von daher ist die Aufregung über den bösen Datenschutz, der sich angeblich in immer mehr Bereiche erstreckt, vollkommen fehl am Platz. Für genau solche Fälle hat der Datenschutz eine Grenze gezogen (bekommen). Und daran ändert auch die mantra-artige Wiederholung von „Der Datenschutz ist schuld“ nichts. Ja aber warum denn dann die ganze Aufregung?

Welches Recht spielt denn dann bei Fotografien zur Einschulung eine Rolle?

Wie in den meisten Fällen zum Thema Fotografie spielt hier das Kunsturhebergesetz eine bedeutende Rolle. Dieses Gesetz ist nicht neu, sondern stammt aus dem Beginn des vorigen Jahrhunderts (!), genauer aus 1907. Was hier umgangssprachlich auch gerne mit dem „Recht am eigenen Bild“ assoziiert wird, meint den Umstand, dass ich Bilder von anderen nicht ohne deren Zustimmung öffentlich machen darf, sondern dafür eine Einwilligung des Betroffenen bzw. bei Kindern deren Erziehungsberechtigter benötigt wird. Das leuchtet auch ein, oder? Aber hier kommt jetzt die Tücke der modernen Technik zum Tragen.

Braucht die Schule (der Kindergarten) eine Einwilligung aller Erziehungsberechtigter, um das Fotografieren am Einschulungstag zuzulassen?

Nein, wieso auch? Die Bilder werden von den teilnehmenden Eltern angefertigt. Dies ist lt. DSGVO für das private Fotoalbum auch ohne weitere Auflagen zulässig und bedarf keiner Einwilligung. Da heutzutage Bilder jedoch gerne in sozialen Netzwerken sofort oder nach kurzer Zeit veröffentlicht werden, grätscht das Kunsturhebergesetz, kurz KUG (wohlgemerkt, nicht der Datenschutz!) dazwischen und die veröffentlichenden Eltern (wohlgemerkt, nicht die Schule) würden jetzt eine Einwilligung der Erziehungsberechtigten der mitabgebildeten Kinder benötigen. Dies gilt natürlich nicht, wenn nur der eigene Nachwuchs auf dem Bild zu sehen ist. Aber auch hier wäre die Frage zu stellen, ob wirklich jeder Lebensschritt der eigenen Kinder in sozialen Netzwerken und damit gegenüber Dritten bzw. öffentlich dokumentiert sein muss.

Was ist, wenn die Schule jetzt selbst Bilder anfertigen lässt und veröffentlichen möchte?

In diesem Fall muss die Schule sich um die im KUG vorgeschriebene Einwilligungen der Erziehungsberechtigten kümmern, wenn eine Veröffentlichung durch die Schule selbst geplant ist.

Was ist, wenn die Schule nichts regelt (muss sie ja auch nicht), die fotografierenden Eltern im Anschluss Bilder der Veranstaltung in sozialen Netzwerken oder an anderen Stellen öffentlich zugänglich machen?

Das ist dann ein klares Problem der veröffentlichen Eltern. Der Verstoß gegen das Kunsturhebergesetz wird gegen die Eltern geahndet, die meinten, sich nicht an geltendes Recht halten zu müssen. Die Schule trifft hier keine Schuld und muss hier für Verstöße der Eltern auch nicht haften. So kann die Schule ja auch keinen Einfluss darauf nehmen, was die Eltern im Anschluss mit den Bildern der Veranstaltung machen.

Hilfreich – zumindest im Sinne des Servicegedankens – wäre jedoch ein entsprechender Hinweis (schriftlich gegenüber den Eltern oder Aushänge am Tag der Veranstaltung) mit dem Hinweis, dass Bilder für private Zwecke gerne gefertigt werden dürfen. Eine Veröffentlichung durch die Eltern außerhalb des familiären Bereichs z.B. in sozialen Medien würde jedoch einen Verstoß gegen das KUG darstellen, für den die Eltern dann selbst haften.

Dann ist der Datenschutz also gar nicht Schuld an der ganzen Aufregung um Bilderverbote am Einschulungstag?

Nö. Aber irgendein Buhmann wird ja benötigt. Und seit Mai 2018 bietet sich der böse Datenschutz geradezu an. Das lenkt perfekt von zahlreichen anderen Versäumnissen ab, wie z.B. die bisherige – oft konsequente – Mißachtung des Kunsturhebergesetzes und des Rechte am eigenen Bild. Das Thema kam zwar im Zuge der DSGVO wieder an die Öffentlichkeit, aber diese Auflagen kommen aus dem KUG, nicht aus den Datenschutzgesetzen. Sorry, liebe DSGVO-Kritiker 🙂

Was ist, wenn die Schule jetzt dennoch ein Fotografierverbot ausspricht? Muss ich mich dann daran halten?

In dem Fall ist es egal, ob die Bilder ausschließlich privat genutzt werden oder vielleicht sogar von weiteren Abgelichteten Einwilligungen zur Veröffentlichung vorliegen. Da die Schule ihr Hausrecht ausübt und auf dem Gelände der Schule Fotografien verbieten kann, gilt dies auf jeden Fall. Wer dennoch ein Foto anfertigen will, muss einfach das Schulgelände verlassen und dann dort das gewünschte Bild schießen.
Vielleicht hilft es aber, wenn die die Beteiligten (Schule, Elternbeirat etc.) vor solchen Veranstaltungen zusammensetzen und unaufgeregt auf Basis der Fakten die Vorgehensweise besprechen und planen. Für ein Verbot gibt es überhaupt keinen Grund. Und wenn die Sachlage den Beteiligten bekannt ist, dann wird das ein entspannter Einschulungstag mit vielen bildhaften und bleibenden Eindrücken. Ganz so wie es sein soll.

Noch ein Tipp an die Handy-Süchtigen: Legen Sie das Smartphone bei solchen Veranstaltungen gerne mal aus der Hand und schauen live der Veranstaltung zu. Diese Emotionen sind durch kein Bild oder verwackeltes Handy-Video später zu ersetzen.

Der klassische Angriffsweg: Schadcode über Makros in Office-Dokumenten

Das Angriffszenario kennen wir zur Genüge. Eine Word- oder Excel-Datei enthält Makro-Code, der nach Öffnen des Dokuments und einen unachtsamen Klick des Nutzers auf „Makros aktivieren“ den eigentlichen Schadcode (zumeist einen Verschlüsselungstrojaner) nachlädt. Es soll sogar ganz Hartgesottene geben, in deren Office-Installation „Makros automatisch ausführen“ eingestellt ist, spart nämlich viel Arbeitszeit 😉

Informierte Anwender und IT-Abteilungen können mit diesem Risiko mittlerweile recht gut umgehen. Neben den technischen Lösungen ist natürlich auch die regelmäßige Sensibilisierung der Anwender zwingend nötig. Diese sind nämlich keine Security-Spezialisten und sollten rechtzeitig und immer wieder auf neue möglichen Stolperfallen für Sicherheit und Datenschutz hingewiesen werden.

Randnotiz: Im Rahmen der Einführung eines ISMS nach ISIS12 wurde uns der Begriff „regelmäßig“ mit zwischen 5 und 10 Jahren erklärt. Das kann man so sehen, sollte aber aus Gründen der eigenen Organisationssicherheit dann doch zeitlich eher etwas straffer ausgelegt sein. Begründung war übrigens: Schulungen halten nur unnötig von der Arbeit ab. 😉

Makros bekommen Konkurrenz durch Excels Power Query – neues Einfallstor für Schadcode

Forscher haben eine Angriffstechnik über Microsofts Power Query entdeckt (externer Link), die sogar ohne Zutun des Anwenders nach dem Öffnen eines präparierten Excel-Sheets Schadcode nachlädt und ausführt. Betroffen sind Excel 2016, Excel 2019 und alle älteren Versionen, in denen Power Query als Add-In nachträglich installiert wurde. Power Query wird lt. Microsoft zur Verbindung mit externen Datenquellen genutzt. Ein von Heise entsprechend präpariertes Dokument schlug bei der Prüfung durch Virus Total keinen Alarm. Wie diese Sicherheitslücke konkret ausgenutzt werden kann und wie einfach das geht, beschreibt Heise in einem Beitrag (externer Link) sehr konkret.

Aktuell soll dieses Angriffszenario noch nicht ausgenutzt werden, Angriffe sind noch keine bekannt. Zeit genug, sich dagegen zu wappnen. Eine Möglichkeit besteht darin, Power Query komplett zu deaktivieren (Registry). Weitere Schutzmaßnahmen beschreibt Microsoft im Security Advisory 4053440 (externer Link).