Tipps

Datenschutzmanagement (DSM) mittels Stackfield

von Sascha Kuhrau
19. Mai 202225. Mai 2022
1 Kommentar

Datenschutzmanagement — Chaos oder System

Unsere Kunden wissen es (hoffentlich), wie wir Datenschutz “managen” in der Zusammenarbeit mit ihnen. Interessenten, aber auch Kolleginnen und Kollegen aus der Branche fragen jedoch durchaus mal nach. “Wie macht ihr das mit dem das mit dem Datenschutzmanagement mit euren Kunden bei der a.s.k. Datenschutz als externe Datenschutzbeauftragte?”

Glücklicherweise haben nur wenige Interessenten bzw. potentielle Kunden bereits eine wie auch immer geartete Datenschutz-Software von der Stange. Nicht, weil diese generell unbrauchbar wären, aber in der Zusammenarbeit intern / extern meist doch eher suboptimal. Auch wenn sich langsam die eine oder andere Cloud-Lösung darunter befindet, so laufen diese Anwendungen meist on premise, sprich auf den Systemen des Kunden. Für uns Externe hieße dies, eine Vielzahl an VPN-Clients und Zugangslösungen auf allen Geräten des a.s.k.-Teams einzurichten und zu pflegen. Ein beachtlicher Aufwand. Und es soll sogar Organisationen geben, die einen Fernzugriff auf interne Systeme komplett untersagen. Von daher auch nicht optimal.

Hinzu kommt, dass wir ja nicht nur als externe Datenschutzbeauftragte arbeiten, sondern auch im Bereich Informationssicherheit tätig sind. Hier sind u.a. aufgrund zeitlicher Vorgaben (wie z.B. Fördermittelfristen) eine systematische Projektleitung und ein enges Führen der zu erledigenden Aufgaben kritische Erfolgsfaktoren.

Eine Plattform für (fast) alles, nicht nur für Datenschutzmanagement muss her

Also haben wir uns vor über 10 Jahren auf die Suche nach der eierlegenden Wollmilchsau oder — wie wir hier in Franken sagen — der bierbrauenden Schäufeleklosskuh gemacht. Zwingende Voraussetzungen waren:

Einfacher Zugang sowohl für unsere Kunden als auch uns
Leichte Verständlichkeit und Bedienbarkeit
Hohes Maß an Sicherheit (u.a. Verschlüsselung nicht nur bei Bewegtdaten, sondern auch im Ruhezustand)
Zwei-Faktor-Authentifizierung für alle Nutzer administrativ Pflicht (sonst kein Zugang / Zugriff)
Flexible Einsetzbarkeit für unsere Themen

Dabei sollte es stets möglich sein, vorgefertigte Inhalte mit unseren Kunden gemeinsam bearbeiten zu können, einfach neue Inhalte ergänzen zu können und bei Projekten auch das Zeitmanagement im Blick haben zu können. Und das Ganze ohne stundenlange Einführungen, Schulungen oder Handbuchwälzerei.

Je mehr wir uns im Markt umgesehen und Tools getestet haben, desto größer wurden dann auch unsere Ansprüche 🙂

Dokumentenmanagement (zumindest Versionierung) wäre nicht verkehrt.
Automatische Wiedervorlagen z.B. für regelmäßige TOM-Nachprüfungen bei Auftragsverarbeitern ein Gedicht.
Dokumentation (auch im Zuge der Nachweisbarkeit und Belegbarkeit) von Diskussionen zu Fragen von Kunden an zentraler Stelle statt stundenlanger Recherché in zahlreichen Postfächern (gerade bei Mitarbeiterwechseln eine Pest).
Übersichtliche Darstellung erledigter und noch offener ToDos, einerseits zur Motivation der Beteiligten, aber auch zur Erleichterung des Berichtswesens.
Bearbeiten und Dokumentieren von Betroffenenanfragen und Datenschutzverletzungen mit einfacher Möglichkeit des Löschens nach abgelaufener Aufbewahrungsfrist.
Und … und … und … unsere Wunschliste wurde immer länger.

Ja, stimmt. Zahlreiche der im Markt erhältlichen Tools für Datenschutzmanagement können das irgendwie, teilweise oder gänzlich. Irgendeine Kröte muss man aber doch schlucken. Und man erhält “Datenschutz von der Stange”. Und sie können halt meist auch “nur” Datenschutz. Die Steuerung eines ISMS auf Basis des BSI IT-Grundschutz oder anderer Standards als externer Projektleiter ist damit selten zu stemmen. Von anderen Aufgaben in unserem Arbeitsalltag ganz zu schweigen. Und für alles ein jeweils anderes Tool einzusetzen, ist am Ende auch keine Lösung.

Vor vielen Jahren die Lösung: Datenschutzmanagement via Stackfield

Und dann haben wir nach längerer Suche vor vielen Jahren unsere bierbrauende Schäufeleklosskuh gefunden. Die Münchner Stackfield GmbH hatte mit dem Produkt Stackfield eine Alternative zu Trello (einem bekannten US-Kanban-Board) am Start und sowohl das vorhandene Produkt als auch die weitere Roadmap waren vielversprechend. Und den Einsatz als zentrales System für Datenschutzmanagement für unsere Kunden und uns, aber auch als Projektmanagement-Tool haben wir seither keine Sekunde bereut. Aufgrund der kontinuierlichen Weiterentwicklung des Produkts sind mittlerweile noch zahlreiche Features hinzugekommen, die wir nicht auf unserer Liste hatten, die aber den Arbeitsalltag in der Zusammenarbeit mit unseren Kunden noch weiter erleichtern. Direkte verschlüsselte Chat-Funktion, Videokonferenzen (geplant oder adhoc) innerhalb der Projektumgebung ohne separates Tool, Wissensmanagement und noch so vieles mehr. Aus unserem Arbeitsalltag ist Stackfield nicht mehr wegzudenken. Auch abseits der Zusammenarbeit mit Kunden ist Stackfield für rein interne a.s.k.-Angelegenheiten ein ebenso wichtiges Instrument geworden. Auf den ersten Blick mag Stackfield einem wie ein Aufgaben-/Projektmanagement-Tool unter vielen erscheinen. Doch unter der Haube steckt noch sehr viel mehr.

Doch bevor wir das nun lang und breit erklären und damit den Umfang dieses Beitrags sprengen würden: Der geschätzte Stephan Hansen-Oest, auch bekannt als “Datenschutz-Guru” (selbst wenn er das so nicht hören mag, er ist einer) hat vor einiger Zeit einen Videocast mit uns zu dem Thema “Stackfield als DSMS” gemacht. Unter dem Titel “So arbeiten Datenschutzbeauftragte — a.s.k. Datenschutz” kann sich jeder, der mag, weitere Details zur Einsatzweise dieser Lösung anschauen , die nicht von der Stange kommt. Viel Spaß beim Schauen!

Und bevor jemand fragt: Nein, dieser Beitrag ist kein Werbebeitrag und nicht gesponsort. Wir erhalten auch keine Vergünstigungen oder Kickbacks irgendeiner Art. Wir sind einfach von dem Tool so begeistert, dass wir darüber berichten wollten.

“Ändere-Dein-Passwort-Tag” — Und jährlich grüßt das Murmeltier. Dann doch lieber 2FA

von Sascha Kuhrau
1. Februar 2022
2 Kommentare

Alle Jahre wieder, so auch heute zum 01.02.2022 hallt es aus diversen Nachrichtenkanälen “Leute, ändert regelmäßig euer Passwort. Beispielsweise heute, am sog. Ändere-Dein-Passwort-Tag.” Nun, kann man machen, ist aber nicht unbedingt sinnvoll. In Blogbeiträgen 2016 (aktualisiert 2018: “Über Bord mit veralteten starren Passwort-Richtlinien”), 2017 (“Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels”) und 2018 (Update 2020: “„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen”) haben wir uns mit dieser Forderung zum regelmäßigen Passwortwechsel auseinandergesetzt und sind dabei — wie seit 2017 die NIST (National Institute of Standards and Technology) als eigentlicher Verursacher dieser “Angewohnheit” — zu einem anderen Schluss gekommen: Finger weg vom regelmäßigen Passwortwechsel. Lieber Zwei-Faktor-Authentifizierung (2FA) einrichten. Warum und wieso? Lesen Sie hier.

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zweifel verlangt es auch noch die Passwort-Richtlinie des einen oder anderen Unternehmens oder auch der Behörde. Doch sind das wirklich gute und belastbare Gründe für einen Passwortwechsel? Möglichst noch in Intervallen von 30–90 Tagen? Und für jedes Login noch ein anderes Passwort? Ende vom Lied: Passwörter werden alphabetisch oder numerisch hochgezählt oder schlimmstenfalls aufgeschrieben, abgelegt unter dem Schreibtischschoner. Das ist natürlich richtig sicher 🙂

Doch es gibt in der Tat wirklich 3 gute Gründe, das Passwort zu ändern:

Das Passwort wurde ausgespäht, zumindest besteht der Verdacht.
Das Passwort wurde unnötigerweise einer Kollegin oder einem Kollegen bekanntgegeben, obwohl dazu technisch normalerweise gar kein Grund besteht.
Es handelt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigentliche Passwort ersetzt werden muss.

Und Ende der Aufzählung.

Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern

Es ist keine allzu neue Erkenntnis, dass die Absicherung von Logins ausschließlich mit Benutzername und Passwort in den meisten Anwendungsfällen keinen ausreichenden Schutz bietet. Aus diesem Grund ist es mittlerweile üblich, wo es nur geht und vorgesehen ist, einen zusätzlichen Schutzfaktor einzubauen bzw. zu nutzen. Ein bewährtes Mittel ist die sog. Zwei-Faktor-Authentifizierung, kurz 2FA.

Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und Transaktionsnummer (TAN) beim Online-Banking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.

Für kritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz- Katalogen. Im Bankwesen wurde mit der EU-Zahlungsdienste-Richtlinie die Zwei-Faktor- Authentisierung für den Europäischen Wirtschaftsraum 2018 sogar verpflichtend eingeführt. Mittlerweile gibt es sehr viele Anbieter, die für Ihre Webseiten / Login-Bereiche, aber auch andere Anmelde-Vorgänge eine 2FA nicht nur anbieten, sondern verbindlich machen.

Die Zwei-Faktor-Authentisierung ist nur dann erfolgreich, wenn beide festgelegten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen und der Zugriff wird verweigert. Jetzt könnte man ja sagen, Benutzername und Passwort sind doch schon zwei Komponenten. Das ist so aber nicht ganz richtig. Denn aufgrund der meist vorgegebenen Benutzernamen wie die eigene Email-Adresse oder Vorname.Nachname ist dieser erste Faktor „verbrannt“. Es muss daher neben dem Passwort ein weiterer sicherer Faktor her. Korrekterweise würde man die Kombination Benutzername + Passwort + weiterer Faktor als Multifaktor- Authentifizierung bezeichnen. In der Praxis ist es dann doch nur eine 2FA aus dem zuvor genannten Grund.

In der Praxis greift man oft auf diese Kombination zurück:

Benutzername
Passwort
Authenticator / Authentificator (z.B. App auf dem Handy oder Programm auf dem Desktop)

Das Bundesamt für Sicherheit in der Informationstechnik hat das Thema in seiner Reihe “BSI für Bürger” das Thema anschaulich und mit einem kurzen Video aufbereitet, wer es noch mal genauer und anschaulicher wissen will (externer Link zum Beitrag des BSI).

2FA ist keine Raketenwissenschaft

Gelegentlich könnte man meinen, 2FA ist “rocket science” bzw. Raketenwissenschaft. Und da noch nicht ausreichend erforscht und mangels Erfahrungen damit, sollte man doch eher Abstand davon nehmen. Zumindest trifft man solche Tendenzen durchaus immer wieder bei IT-Verantwortlichen und / oder Anwendern. Fragt man jedoch genauer nach, resultiert die Abneigung doch eher daher, sich (als Mensch) oder etwas (die Technik) ändern bzw. den Erfordernissen der Zeit anpassen zu müssen. Und wir wissen bekanntlich alle, der Mensch ist ein Gewohnheitstier. Das wissen auch Angreifer und machen sich diese Schwachstelle gerne zunutze.

Vor vielen Jahren war 2FA nicht weit verbreitet, das ist wahr. Mittlerweile ist dem aber nicht mehr so. Die meisten täglich bzw. regelmäßig genutzten Logins lassen sich mittels 2FA zusätzlich absichern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, sondern empfiehlt die Nutzung von 2FA mittlerweile als Basistipp zur IT-Sicherheit. Gut, auch das hat viele Jahre gedauert, aber das BSI hat seine frühere nicht optimale Haltung zum Thema Passwortwechsel korrigiert und den BSI IT-Grundschutz ebenfalls dahingehend angepasst.

Es gibt daher keinen Grund, sich nicht mit dem Thema 2FA zu befassen und diese, sofern vorhanden, für die eigenen Logins zu aktivieren, wo möglich. Es schläft sich wirklich ruhiger. Das kann der Autor aus eigener Erfahrung berichten 🙂

“Ja, aber ..”

“Dann muss ich ja immer mein Smartphone mit mir rumtragen?” — “Ja und? Machen Sie doch eh!” 🙂
“Wenn ich das privat gar nicht nutze und kein Diensthandy habe, dann muss ich die 2FA-App dennoch auf meinem Privatgerät installieren!” — “Ja, und? Die Abnutzung dadurch hält sich in Grenzen und es wird niemand bei Sinn und Verstand auf die Idee kommen, das nun als BYOD (bring your own device) einzustufen und zu regeln. Und Sie haben doppelten Nutzen: Ein mal installiert, können Sie nun auch gleich ihre privaten Logins damit absichern!”
“Unsere IT will das nicht!” — “Salopp: https://de.wikipedia.org/wiki/Einlauf_(Medizin)” oder “Verweisen Sie auf gängige Standards für Informationssicherheit sowie das BSI. Diese erklären und fordern 2FA. Es muss schon sehr triftige Gründe geben, davon Abstand zu nehmen. Diese müssen dokumentiert sein, wieso und durch wen es zu der Ablehnung gekommen ist. Für den Fall, dass dann doch etwas passiert, weiß man ja, wen man ansprechen muss :-)”
“Isch abe gar kein Handy!” — “Ja, und? Es gibt die Software-Lösungen auch für den Desktop der gängigen Betriebssysteme. Unpraktischer, wenn das Gerät gerade nicht an ist, aber besser als nichts.”
Bitte ergänzen Sie die Aufzählung mit zahlreichen weiteren Argumenten, warum 2FA nicht genutzt werden kann und verwerfen Sie diese augenblicklich wieder 🙂

2FA: Backup-Codes nicht vergessen

Selbst gestandene IT-Koryphäen tun sich mit 2FA gelegentlich schwer. Die Installation und Einrichtung geht noch locker von der Hand, aber dann wird eins schnell vergessen: Das Abspeichern der oder des sog. Backup-Codes. Diese sind notwendig, wenn man den Zugriff auf das Gerät verliert, auf dem der Generator (Authenticator) für 2FA installiert ist z.B. bei Defekt oder Verlust des Smartphones oder Ausfall der Festplatte (bei Desktop-Installationen). Denn ohne gültigen 2FA-Code kommt man nicht an / in den Account. Sprich man kann dann auch kein neues Gerät für die 2FA hinterlegen. Das ist vergleichbar mit das Haus verlassen, Tür hinter sich zuziehen und dann merken, der Haustürschlüssel liegt noch drinnen auf der Kommode. Der Prozess, um jetzt den Account wieder zugänglich zu machen ist aufwendig und zeitraubend z.B. durch Identitätsnachweise etc. Und das liegt in der Natur der Dinge. Sollte sich 2FA nämlich durch eine einfache Email oder einen Anruf beim Support deaktivieren lassen, wäre der Schutzwert von 2FA verloren. Es könnte sich ja jeder als Sie ausgeben und den Schutzmechanismus deaktivieren.

Von daher die Bitte: Immer nach Einrichtung eines 2FA für einen Login den angebotenen Backup-Code kopieren / herunterladen und sicher verwahren. Dazu eignen sich bestens sog. Passwort-Tresore (siehe Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der für die Empfehlung Passwörter regelmäßig zu wechseln verantwortliche Mitarbeiter der NIST nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Das NIST hat im Sommer 2017 diese damals 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit eigentlich gestoppt. Der “Ändere-Dein-Passwort-Tag” ist leider nicht totzukriegen.

Abschließender Tipp: Passwort-Tresore nutzen

Bei der Vielzahl an Passwörtern, die sich im Laufe eines aktiven Nutzerlebens so ansammeln, darf man ruhig auf Helferlein zurückgreifen, die das Leben etwas leichter machen. Dazu gehören u.a. die sog. Passwort-Tresore. Hierbei sollte man jedoch nicht unbedingt auf Anbieter aus der Cloud (“Bei uns sind Ihre Passwörter zentral gespeichert und sicher”) setzen. Wer mal etwas nach Sicherheitsvorfällen bei den einschlägig bekannten Online-Anbietern solcher Lösungen sucht, wird schnell fündig. Es gibt kostenfreie Alternativen, die auch für weniger technisch versierte Nutzer leicht zu installieren und zu bedienen sind. Und der Tresor mit den eigenen wichtigen Passwörtern verbleibt bei einem selbst. Eine Lösung dafür ist beispielsweise Keepass. Mehr zu diesem Tool inkl. einer bebilderten Anleitung zur Einrichtung und Nutzung finden Sie in unserem Blogbeitrag “Sichere und komfortable Passwort-Verwaltung mit Keepass”.

Europatag 2020 — Videoreihe des LfDI

von Sascha Kuhrau
20. Mai 20209. Dezember 2020

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) vom 15.05.2020 wird zum Europatag 2020 eine Videoreihe vorgestellt.

Jubiläum — 70 Jahre EU und der Datenschutz zum Europatag 2020

Der französische Außenminister Robert Schuman prägte mit dem Ausspruch, dass „Europa [..] durch konkrete Tatsachen entstehen [wird], die zunächst eine Solidarität der Tat schaffen.“ am 09. Mai 1950 das politische Bewusstsein für die Gründung der Europäische Union. Als Urheber der DSGVO wird die EU sowie der Europatag 2020 selbstverständlich auch von Datenschützern aller Herren Länder begangen und gefeiert. Anlässlich dieses — 70-jährigen — Jubiläums ehrt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ein zusammenwachsendes Europa auf besondere Art.

Videoreihe des LfDI

Unter dem für „LfDI“ akronymen Titel „Datenschutz – zum Luaga fir Dahoim ond Iberall“ werden in lockerer und aufschlussreicher Form Themen des Datenschutzes und der Informationssicherheit behandelt und wie europaweit geltende Regelungen in dem Bundesland umgesetzt werden.

Das aktuelle Video zum Europatag 2020

In der ersten Folge wird eine Einführung passend zum Thema Datenschutz zum Europatag 2020 in das Thema Datenschutz vermittelt mit Grundbegriffen und Tipps. Neben Erläuterungen der Begriffe personenbezogener Daten und der Verarbeitung dieser werden Sinn und Nutzen des Datenschutzes prägnant thematisiert. Letzteres ist noch nicht überall eine Selbstverständlichkeit. Die Zuordenbarkeit von Daten zu Personen wird mit Beispielen wie KFZ-Kennzeichen und Videoaufzeichnungen veranschaulicht. Tragende Grundsätze des Datenschutzes wie u.a. die nachfolgenden werden erklärt:

Integrität
Vertraulichkeit
Zweckbindung
Transparenz

Auch Rechtmäßigkeit, Rechenschaftspflichten und die Betroffenenrechte nach Artt. 15 ff. DSGVO sind Gegenstand der Betrachtung. Das Prozessprinzip Plan, Do, Check, Act sowie die Meldung von Datenpannen auf dem online Wege und die Abgrenzung von Auftragsverarbeitung und Gemeinsamer Verantwortlichkeit iSd. Art. 26 DSGVO werden dem Zuschauer näher gebracht.

Weitere Episoden zum Datenschutz

Nicht nur zum Europatag 2020, sondern generell ist dies eine vielversprechende Reihe, Anwendern und Betroffenen wichtige Aspekte des Datenschutzes und auch der Informationssicherheit in einem informativen und gut konsumierbaren Format anzubieten. Für die folgenden Videos werden detailliertere Themen wie „Löschkonzept“ und „Transparenzpflicht“ angekündigt. Adressaten der Videoreihe seien „insbesondere [..] kleine und mittelständische Unternehmen, Vereine und natürlich auch an unsere Kommunen.“

Training und Betreuung von Datenschutzexperten

Die Herausforderungen für Unternehmen und Kommunen im Datenschutz sind sehr anspruchsvoll. Rufschädigende oder kostenintensive Fehler sind schnell passiert. Wenden Sie sich vertrauensvoll an Ihren Datenschutzbeauftragten. Sie haben keinen? Dann fordern Sie doch einfach ein unverbindliches Angebot für einen externen Datenschutzbeauftragten bei uns an.

Datenpannen — jetzt ganz neu entdecken …

von Sascha Kuhrau
16. April 2020

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO.

Vermeiden und kommunizieren

Es ist bereits die halbe Miete, Datenpannen präventiv — u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien — auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes.

Meldungen von Datenpannen

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet.

Dunkelziffer von Datenpannen

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind.

Aufsichtsbehörden

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert.

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden.

Datenpannen bitte dokumentieren / melden

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell — z.B. in Checklistenform — zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s.

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung.

Tipp: Microsoft Analytics “MyAnalytics” in Office 365 deaktivieren

von Sascha Kuhrau
10. März 2020
2 Kommentare

Nicht überraschend, aber dann doch ohne weitere Ankündigung des genauen Starttermins hat Microsoft vor kurzem den Dienst “MyAnalytics” in Office 365 in Deutschland freigeschaltet. Und wie zu erwarten war, begann sogleich der große Aufschrei der Arbeitnehmervertreter und auch einiger Datenschutz-Aufsichten. Vom “gläsernen Mitarbeiter” ist die Rede. Es fände vollständiges Profiling aller nutzenden Mitarbeiter durch den Arbeitgeber statt. Zeitnah wurde auch die Notwendigkeit einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO betont.

Was ist Microsofts “MyAnalytics”?

MyAnalytics ist ein Microsoft-Dienst, der im Rahmen bestimmter Office 365 bzw. Exchange 365-Lizenzen zur Verfügung steht. Standardmäßig ist die Funktion eingeschaltet. Weder der Arbeitgeber noch der Mitarbeiter müssen bzw. mussten in die Nutzung dieses Services einwilligen. Das erscheint auf den ersten Blick zumindest sehr ungeschickt, da doch bei der Verarbeitung personenbezogener Daten durchaus ein Opt In stattfinden muss, wenn keine andere Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO herangezogen werden kann.

Microsoft selbst beschreibt MyAnalytics dahingehend “Werden Sie produktiver durch Einblicke in Ihre persönliche Arbeitsweise in Microsoft 365. Werden Sie noch produktiver, indem Sie Ihre Arbeitsmuster mit MyAnalytics in vier Kernbereichen auswerten: Fokus, Wohlbefinden, Netzwerk und Zusammenarbeit. Direkt in Outlook macht MyAnalytics intelligente Vorschläge, damit Sie rechtzeitig Zeit für konzentriertes Arbeiten reservieren, Aufgaben und E‑Mails im Blick behalten und wichtige Kontakte pflegen können.” Die Auswertung der eigenen Arbeitsweise wird jedem einzelnen Nutzer mit aktivem MyAnalytics wöchentlich zusammengestellt und per Email zugeschickt.

Mit “Sie” ist daher nicht der Arbeitgeber, sondern der jeweilige Einzelnutzer gemeint. Das ist im Eifer des Gefechts dem einen oder anderen aufgeregten Daten- und Mitarbeiterschützer entgangen.

Microsoft führt weiterhin aus, dass diese Auswertungen für jeden Mitarbeiter individuell erstellt werden und weder einem Administrator noch dem Arbeitgeber in irgendeiner Weise zur Verfügung oder Einsicht stehen. Bei unseren Tests als Administratoren ist es uns auch nicht gelungen, an eine dieser Auswertungen zu gelangen. Ausnahme wäre gewesen, wir hätten uns als Administrator Zugang zum Postfach eines Mitarbeiter verschafft und dessen Analytics-Bericht gelesen, der als Email direkt an den Mitarbeiter zugestellt wird.

Wozu “MyAnalytics”?

MyAnalytics wertet den Kalender und die E‑Mails statistisch aus. Microsoft sieht den Nutzen des Dienstes in der Möglichkeit für den einzelnen Mitarbeiter zu sehen, auf einen Blick sehen können, wie viel sie arbeiten und wie sie ihre Zeit organisieren. That’s it. Keine Kontrolle durch den Arbeitgeber oder ein “Vermessen der Belegschaft” durch den ach so bösen Arbeitgeber. Wer das mag, warum nicht.

Zu hinterfragen wäre sicherlich, was macht Microsoft mit den gesammelten Daten. Wann werden diese wieder gelöscht? Wer hat außerhalb des Office365 Tenants Zugriff darauf und vor allem warum? Die Diskussion hierzu wird noch geführt bzw. weiter zu führen sein.

Wie kann ich Microsoft “MyAnalytics” deaktivieren?

Ob ein Mitarbeiter den Dienst nutzen möchte, kann durch jeden Nutzer selbst entschieden werden. Sobald Sie eine Status-Email von MyAnalytics erhalten (zumeist wöchentlich als Zusammenfassung), befindet sich darin der Link zum Deaktivieren der Funktion. Alternativ kann der Office 365 Nutzer dies auch direkt über das Dashboard in Office 365 (externer Link zur Anleitung) erledigen.

Organisationen können “MyAnalytics” jedoch auch generell abschalten. Microsoft stellt dazu eine einfache Anleitung zur Verfügung. In der Office 365 Administration findet man links die Option “Einstellungen”. Unter Einstellungen scrollt man runter zum Dienst “MyAnalytics” und deaktiviert die 3 angekreuzten Checkboxen, die auf der rechten Seite erscheinen:

Damit steht der Service für keinen Nutzer auf dem Tenant mehr zur Verfügung.

Empfehlung, wenn Sie MyAnalytics für Ihre Mitarbeiter zulassen wollen

Sich mit dem Tool und dessen Umfang vertraut machen. Microsoft bietet dazu eine erste gute Übersicht an. Auch die FAQ sind eine gute Grundlage für den Einstieg.
Den Datenschutzbeauftragten und den Informationssicherheitsbeauftragten einbinden.
Mitarbeitervertretung mit ins Boot nehmen. Auch diese ausführlich über das Modul informieren, Verständnisprobleme klären, damit eine einheitliche Diskussionsbasis vorhanden ist.
Bei Bedarf vorhandene Rahmenbetriebsvereinbarung Office 365 um MyAnalytics ergänzen bzw. eine Betriebsvereinbarung dazu erstellen.
Wir gehen mal davon aus, die datenschutzrechtlichen Vereinbarungen mit Microsoft vorliegen? 🙂
Abwarten und Tee trinken, bis sich die Aufregung wieder etwas gelegt hat und klare, pragmatische Vorgehensweisen vorliegen.

Übersicht der DSGVO Bußgelder

von Sascha Kuhrau
5. Februar 2020

Mit schöner Regelmäßigkeit hört und liest man in den Medien etwas von Bußgeldern im Datenschutz basierend auf der DSGVO oder anderer Datenschutzgesetze. Merken kann man sich die alle nicht. Doch es kann nicht schaden, das eine oder andere Bußgeld für verschiedene Formen an Datenschutzverstößen zu kennen. DSGVO Bußgelder sollten zwar nicht der alleinige Antrieb zur Einhaltung von Rechtsvorschriften sein, aber vielleicht muss man als interner oder externer Datenschutzbeauftragter auch mal mit Zahlen kommen, damit sich etwas in der Organisation bewegt 🙂

Übersicht der DSGVO Bußgelder

Und da ist es sehr hilfreich, dass sich die Betreiber von https://dsgvo-portal.de die Mühe machen, stets aktuelle Bußgelder zu erfassen und zu katalogisieren. Kann ja ganz hilfreich sein, zu wissen und anzuführen, dass für Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOM (technische und organisatorische Maßnahmen) die italienische Datenschutzaufsicht im Januar 2020 ein Bußgeld in Höhe von 27,8 Mio Euro verhängt hat. Die genannten Verstöße sind ja nicht selten. Vielleicht ein weiterer Anstoß, um solche Mängel in der eigenen Organisation anzugehen.

Die im Portal gelisteten DSGVO Bußgelder lassen sich nach diversen Kriterien sortieren und anzeigen, z.B. nach Bußgeldhöhe, Datum, Land und auch Bußgeldempfänger (da finden sich einige alte Bekannte, aber auch sehr viele neue Namen). Ein Wermutstropfen, wenn man das so sehen mag, ist jedoch vorhanden: In der Übersicht finden sich die Bußgelder, welche von den Aufsichtsbehörden verhängt wurden. Das muss nicht identisch sein, was von den betroffenen Organisationen z.B. nach Beschreiten des Rechtsweges dann wirklich gezahlt wurde. Sofern es hierzu Erkenntnisse gibt, finden sich diese unter den Details, die man zu jedem Vorgang aufrufen kann. Darin wird auch die Art des Verstoßes weiter konkretisiert.

Danke an die Betreiber des Portals.

“Ich bereue den Passwort-Wahnsinn” — weg mit den Passwort Mythen

von Sascha Kuhrau
1. Februar 2020
5 Kommentare

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die “NIST Special Publication 800–63. Appendix A”. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: “Ich bereue den Passwort-Wahnsinn”

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. “Die Wahrheit ist: Ich war auf dem falschen Dampfer.” Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst “Über Bord mit veralteten starren Passwort-Richtlinien”.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage “Wie heißt ihr Haustier?” aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere — unabhängige — Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag “Über Bord mit veralteten starren Passwort-Richtlinien”.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4

IT-Notfallkarte für Mitarbeiter (Hilfestellung der Allianz für Cybersicherheit und des BSI)

von Sascha Kuhrau
30. September 2019

Notfallbehandlung — ein wichtiges Element in der Informationssicherheit und im Datenschutz

Im Zuge der Diskussion um Informationssicherheitskonzepte und technische Maßnahmen im Sinne der DSGVO stößt man unweigerlich auf das Thema Notfallmanagement. Vorrangig zielen die ergriffenen technischen und organisatorischen Schutzmaßnahmen einer Organisation ja darauf ab, Sicherheitsvorfälle und Notfälle möglichst zu vermeiden. Die Eintrittswahrscheinlichkeit soll möglichst nahe Null liegen. Das dies für jede Art von Vorfall nicht immer gelingt, liegt auf der Hand. Umso wichtiger ist, von solchen Vorfällen frühzeitig Kenntnis zu erlangen, diese korrekt zu bewerten und angemessen zu reagieren.

Dies setzt jedoch sensibilisierte Mitarbeiter voraus, die im Falle eines Sicherheitsvorfalls oder eines Notfalls wissen, was zu tun ist. Die Allianz für Cyber-Sicherheit hat sich zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und einigen anderen Einrichtungen im Hinblick auf IT-Sicherheitsvorfälle Gedanken gemacht.

Die IT-Notfallkarte “Verhalten bei IT-Notfällen” für Mitarbeiter

Sie kennen das sicher noch aus der Erste-Hilfe-Ausbildung. Die 5 “W” für den richtigen Notruf:

Wo ist das Ereignis?
Wer ruft an?
Was ist geschehen?
Wie viele Betroffene?
Warten auf Rückfragen

Analog zu dieser Vorgehensweise gibt es nun die IT-Notfallkarte zum kostenfreien Download und zur Verteilung an Mitarbeiter bzw. Aushang der Karte. Nach Eintrag der internen Rufnummer für IT-Notfälle kommen die 5 “W” für die Notfallmeldung:

Wer meldet?
Welches IT-System ist betroffen?
Wie haben Sie mit dem IT-System gearbeitet bzw. was haben Sie beobachtet?
Wann ist das Ereignis eingetreten?
Wo befindet sich das betroffene IT-System (Gebäude, Raum, Arbeitsplatz)?

Darunter finden sich einige Verhaltenshinweise für den oder die betroffenen Mitarbeiter. Für den Fall eines Befalls mit Kryptotrojanern wäre möglicherweise die Empfehlung “Netzwerkkabel ziehen” noch recht hilfreich gewesen.

Sehr gut hat uns die Aussage gefallen “Ruhe bewahren & IT-Notfall melden. Lieber einmal mehr als einmal zu wenig anrufen!”, die sich als zweite Überschrift auf der Karte oben findet.

Top 12 Maßnahmen bei Cyber-Angriffen

Da es nach der Meldung eines IT-Notfalls mit der Bearbeitung weitergehen muss, liefert die Allianz für Cybersicherheit zur weiteren “Bewältigung des Notfalls” eine Top 12 Liste mit. Auf dieser finden sich die wichtigsten Maßnahmen zur Schadensbegrenzung und auch der Nachbearbeitung des hoffentlich glimpflich verlaufenen Angriffs.

Diese Top 12 Maßnahmen bei Cyber-Angriffen richten sich an IT-Verantwortliche und Administratoren und sollten an keinem Arbeitsplatz als Hilfestellung fehlen.

Doch damit nicht genug, professionelles Notfallmanagement ist gefragt

Diese beiden Hilfestellungen sind ein erster Schritt in die richtige Richtung. Doch ohne professionelles Notfallmanagement wird keine Organisation zukünftig auskommen. Wurden die Themen Datenschutz und Informationssicherheit in der Vergangenheit meist schon sehr stiefmütterlich behandelt, haben gerade kleine Organisationen das Thema Notfallmanagement gar nicht oder nur weit am Ende des Erfassungsbereichs auf dem Radar.

Hier verweist die Allianz für Cybersicherheit auf den Standard 100–4 des BSI IT-Grundschutzes. 100–4 beschreibt eine professionelle und systematische Vorgehensweise zur Einführung und Weiterentwicklung eines Notfallmanagements in Organisationen jeglicher Größe und Branche. Bei erster Durchsicht mag das dem einen oder anderen Leser etwas sperrig oder zu aufgebauscht wirken. Und sicher empfiehlt es sich, in Abhängigkeit von der Organisationsgröße den Standard 100–4 angemessen und zweckdienlich umzusetzen. Eine stoische 1:1 Umsetzung ist eher suboptimal.

Sinn und Notwendigkeit für ein Notfallmanagement sollten jedoch schnell klar werden. Ein Notfall ist etwas anderes als “Kein Papier im Drucker”. Ok, der betroffene Mitarbeiter mag das kurzzeitig so empfinden 🙂 In einem Notfall oder auch bei der Verkettung mehrerer Arten von Notfällen ist keine große Zeit, sich über die Notfallbehandlung Gedanken zu machen oder wichtige Informationen für die Beseitigung des Notfalls zu beschaffen.

Wenn Sie mit dem Thema liebäugeln, können wir Ihnen den Kurs “Notfallmanagement” der Bayerischen Verwaltungsschule wärmstens an Herz legen. Dieser ist nicht auf bayerische Verwaltungen beschränkt, sondern steht interessierten Teilnehmern aus Behörden und Unternehmen aus ganz Deutschland offen.

Im Rahmen von Informationssicherheitskonzepten wird die Entwicklung eines Notfallvorsorgekonzepts und eines Notfallplans (erst die Vermeidung, dann die Reaktion, wenn es mit dem Vermeiden nicht geklappt hat) gefordert. Wer sich also mit den Standards wie IT-Grundschutz, ISIS12 oder auch der Arbeitshilfe (für kleinere Einrichtungen) und deren Einführung befasst, wird um das Thema nicht herumkommen.

Was kann a.s.k. Datenschutz für Sie tun?

Vorausgeschickt: a.s.k. Datenschutz ist der Dozent an der Bayerischen Verwaltungsschule u.a. für das Thema Notfallmanagement und die Ausbildung von zertifizierten Informationssicherheitsbeauftragten. Im Zuge von zahlreichen Sicherheitskonzepten begleiten wir die Einführung von Notfallvorsorgekonzepten und die Erstellung von Notfallplänen. Selbstverständlich bieten wir diese Dienstleistung im Rahmen der Einführung und Begleitung von Informationssicherheitskonzepten, aber auch flankierend zur Tätigkeit als externe Informationssicherheitsbeauftragte an. Sprechen Sie uns einfach an. Ihren Datenschutzbeauftragten wird das sicher auch freuen.

Apropos Datenschutzbeauftragter: Verfügt Ihre Organisation über einen Datenschutzbeauftragten? Öffentliche Stellen sind zur Bestellung ungeachtet der Mitarbeiterzahl generell verpflichtet. Unternehmen benötigen einen Datenschutzbeauftragten ab 10 Mitarbeitern (sollte das 2. DsAnpG den Bundesrat passieren erhöht sich die Zahl auf 20), die regelmäßig mit der Verarbeitung von personenbezogenen Daten befasst sind. Und lassen Sie sich keinen Sand in die Augen streuen. Ob mit oder ohne Datenschutzbeauftragten müssen alle anderen datenschutzrechtlichen Anforderungen in Ihrer Organisation erfüllt sein. Wenn es keinen DSB gibt, muss sich jemand anderes um die meist bürokratischen Aufgaben kümmern. Einfacher und pragmatischer geht es mit a.s.k. Datenschutz als externe Datenschutzbeauftragte. Fordern Sie noch heute Ihr unverbindliches Angebot an.

Unverbindliches Angebot anfordern

Bilder zur Einschulung und der „böse“ Datenschutz

von Sascha Kuhrau
26. August 2019
2 Kommentare

Sie haben es sicher in den letzten Tagen verfolgt bzw. mitbekommen. TV, Radio, Print und Online-Meldungen geißeln passend zum Schulbeginn das Thema Datenschutz in Verbindung mit Bildern der neu eingeschulten bzw. einzuschulenden Kinder. Der ach so böse Datenschutz bzw. die DSGVO ist nun schuld, dass die stolzen Eltern keine Bilder mehr von ihren Kindern im Rahmen der Einschulung anfertigen dürfen. Verunsicherung durch Fehlinformationen führt dazu, dass die eine oder andere Schule ein komplettes Fotografierverbot verhängt. Neben der Unsicherheit durch falsche Pressemeldungen tragen da auch die überzogenen Sichtweisen und Forderungen einzelner Helikopter-Eltern und die Erfahrungen im Umgang mit diesen zu solchen Überreaktionen bei. Doch ist das Fotografieren an diesem Ehrentag nun wirklich eine Sache des Datenschutzes? Und verbietet der Datenschutz wirklich das Anfertigen solcher Bilder der Liebsten an ihrem wichtigen Tag?

Findet das Thema Datenschutz überhaupt bei Fotografien dieser Art Anwendung?

Schauen wir mal in den Anwendungsbereich des Datenschutzes, konkret in den sachlichen Anwendungsbereich im Art. 2 DSGVO. Dort heißt es im Absatz 2:

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten .…
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Es ist wohl unstrittig, dass ein Foto des eigenen Kindes und sogar der Klassenkameradinnen und Kameraden für das private Fotoalbum eine Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten darstellt. Von daher ist die Aufregung über den bösen Datenschutz, der sich angeblich in immer mehr Bereiche erstreckt, vollkommen fehl am Platz. Für genau solche Fälle hat der Datenschutz eine Grenze gezogen (bekommen). Und daran ändert auch die mantra-artige Wiederholung von „Der Datenschutz ist schuld“ nichts. Ja aber warum denn dann die ganze Aufregung?

Welches Recht spielt denn dann bei Fotografien zur Einschulung eine Rolle?

Wie in den meisten Fällen zum Thema Fotografie spielt hier das Kunsturhebergesetz eine bedeutende Rolle. Dieses Gesetz ist nicht neu, sondern stammt aus dem Beginn des vorigen Jahrhunderts (!), genauer aus 1907. Was hier umgangssprachlich auch gerne mit dem „Recht am eigenen Bild“ assoziiert wird, meint den Umstand, dass ich Bilder von anderen nicht ohne deren Zustimmung öffentlich machen darf, sondern dafür eine Einwilligung des Betroffenen bzw. bei Kindern deren Erziehungsberechtigter benötigt wird. Das leuchtet auch ein, oder? Aber hier kommt jetzt die Tücke der modernen Technik zum Tragen.

Braucht die Schule (der Kindergarten) eine Einwilligung aller Erziehungsberechtigter, um das Fotografieren am Einschulungstag zuzulassen?

Nein, wieso auch? Die Bilder werden von den teilnehmenden Eltern angefertigt. Dies ist lt. DSGVO für das private Fotoalbum auch ohne weitere Auflagen zulässig und bedarf keiner Einwilligung. Da heutzutage Bilder jedoch gerne in sozialen Netzwerken sofort oder nach kurzer Zeit veröffentlicht werden, grätscht das Kunsturhebergesetz, kurz KUG (wohlgemerkt, nicht der Datenschutz!) dazwischen und die veröffentlichenden Eltern (wohlgemerkt, nicht die Schule) würden jetzt eine Einwilligung der Erziehungsberechtigten der mitabgebildeten Kinder benötigen. Dies gilt natürlich nicht, wenn nur der eigene Nachwuchs auf dem Bild zu sehen ist. Aber auch hier wäre die Frage zu stellen, ob wirklich jeder Lebensschritt der eigenen Kinder in sozialen Netzwerken und damit gegenüber Dritten bzw. öffentlich dokumentiert sein muss.

Was ist, wenn die Schule jetzt selbst Bilder anfertigen lässt und veröffentlichen möchte?

In diesem Fall muss die Schule sich um die im KUG vorgeschriebene Einwilligungen der Erziehungsberechtigten kümmern, wenn eine Veröffentlichung durch die Schule selbst geplant ist.

Was ist, wenn die Schule nichts regelt (muss sie ja auch nicht), die fotografierenden Eltern im Anschluss Bilder der Veranstaltung in sozialen Netzwerken oder an anderen Stellen öffentlich zugänglich machen?

Das ist dann ein klares Problem der veröffentlichen Eltern. Der Verstoß gegen das Kunsturhebergesetz wird gegen die Eltern geahndet, die meinten, sich nicht an geltendes Recht halten zu müssen. Die Schule trifft hier keine Schuld und muss hier für Verstöße der Eltern auch nicht haften. So kann die Schule ja auch keinen Einfluss darauf nehmen, was die Eltern im Anschluss mit den Bildern der Veranstaltung machen.

Hilfreich — zumindest im Sinne des Servicegedankens — wäre jedoch ein entsprechender Hinweis (schriftlich gegenüber den Eltern oder Aushänge am Tag der Veranstaltung) mit dem Hinweis, dass Bilder für private Zwecke gerne gefertigt werden dürfen. Eine Veröffentlichung durch die Eltern außerhalb des familiären Bereichs z.B. in sozialen Medien würde jedoch einen Verstoß gegen das KUG darstellen, für den die Eltern dann selbst haften.

Dann ist der Datenschutz also gar nicht Schuld an der ganzen Aufregung um Bilderverbote am Einschulungstag?

Nö. Aber irgendein Buhmann wird ja benötigt. Und seit Mai 2018 bietet sich der böse Datenschutz geradezu an. Das lenkt perfekt von zahlreichen anderen Versäumnissen ab, wie z.B. die bisherige — oft konsequente — Mißachtung des Kunsturhebergesetzes und des Rechte am eigenen Bild. Das Thema kam zwar im Zuge der DSGVO wieder an die Öffentlichkeit, aber diese Auflagen kommen aus dem KUG, nicht aus den Datenschutzgesetzen. Sorry, liebe DSGVO-Kritiker 🙂

Was ist, wenn die Schule jetzt dennoch ein Fotografierverbot ausspricht? Muss ich mich dann daran halten?

In dem Fall ist es egal, ob die Bilder ausschließlich privat genutzt werden oder vielleicht sogar von weiteren Abgelichteten Einwilligungen zur Veröffentlichung vorliegen. Da die Schule ihr Hausrecht ausübt und auf dem Gelände der Schule Fotografien verbieten kann, gilt dies auf jeden Fall. Wer dennoch ein Foto anfertigen will, muss einfach das Schulgelände verlassen und dann dort das gewünschte Bild schießen.
Vielleicht hilft es aber, wenn die die Beteiligten (Schule, Elternbeirat etc.) vor solchen Veranstaltungen zusammensetzen und unaufgeregt auf Basis der Fakten die Vorgehensweise besprechen und planen. Für ein Verbot gibt es überhaupt keinen Grund. Und wenn die Sachlage den Beteiligten bekannt ist, dann wird das ein entspannter Einschulungstag mit vielen bildhaften und bleibenden Eindrücken. Ganz so wie es sein soll.

Noch ein Tipp an die Handy-Süchtigen: Legen Sie das Smartphone bei solchen Veranstaltungen gerne mal aus der Hand und schauen live der Veranstaltung zu. Diese Emotionen sind durch kein Bild oder verwackeltes Handy-Video später zu ersetzen.

Schadcode über Excel Power Query statt Makros

von Sascha Kuhrau
28. Juni 2019

Der klassische Angriffsweg: Schadcode über Makros in Office-Dokumenten

Das Angriffszenario kennen wir zur Genüge. Eine Word- oder Excel-Datei enthält Makro-Code, der nach Öffnen des Dokuments und einen unachtsamen Klick des Nutzers auf “Makros aktivieren” den eigentlichen Schadcode (zumeist einen Verschlüsselungstrojaner) nachlädt. Es soll sogar ganz Hartgesottene geben, in deren Office-Installation “Makros automatisch ausführen” eingestellt ist, spart nämlich viel Arbeitszeit 😉

Informierte Anwender und IT-Abteilungen können mit diesem Risiko mittlerweile recht gut umgehen. Neben den technischen Lösungen ist natürlich auch die regelmäßige Sensibilisierung der Anwender zwingend nötig. Diese sind nämlich keine Security-Spezialisten und sollten rechtzeitig und immer wieder auf neue möglichen Stolperfallen für Sicherheit und Datenschutz hingewiesen werden.

Randnotiz: Im Rahmen der Einführung eines ISMS nach ISIS12 wurde uns der Begriff “regelmäßig” mit zwischen 5 und 10 Jahren erklärt. Das kann man so sehen, sollte aber aus Gründen der eigenen Organisationssicherheit dann doch zeitlich eher etwas straffer ausgelegt sein. Begründung war übrigens: Schulungen halten nur unnötig von der Arbeit ab. 😉

Makros bekommen Konkurrenz durch Excels Power Query — neues Einfallstor für Schadcode

Forscher haben eine Angriffstechnik über Microsofts Power Query entdeckt (externer Link), die sogar ohne Zutun des Anwenders nach dem Öffnen eines präparierten Excel-Sheets Schadcode nachlädt und ausführt. Betroffen sind Excel 2016, Excel 2019 und alle älteren Versionen, in denen Power Query als Add-In nachträglich installiert wurde. Power Query wird lt. Microsoft zur Verbindung mit externen Datenquellen genutzt. Ein von Heise entsprechend präpariertes Dokument schlug bei der Prüfung durch Virus Total keinen Alarm. Wie diese Sicherheitslücke konkret ausgenutzt werden kann und wie einfach das geht, beschreibt Heise in einem Beitrag (externer Link) sehr konkret.

Aktuell soll dieses Angriffszenario noch nicht ausgenutzt werden, Angriffe sind noch keine bekannt. Zeit genug, sich dagegen zu wappnen. Eine Möglichkeit besteht darin, Power Query komplett zu deaktivieren (Registry). Weitere Schutzmaßnahmen beschreibt Microsoft im Security Advisory 4053440 (externer Link).

1
2
3
…
11
Weiter »

Tipps

Daten­schutz­ma­nage­ment — Cha­os oder System

Eine Platt­form für (fast) alles, nicht nur für Daten­schutz­ma­nage­ment muss her

Vor vie­len Jah­ren die Lösung: Daten­schutz­ma­nage­ment via Stackfield

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

2FA ist kei­ne Raketenwissenschaft

“Ja, aber ..”

2FA: Back­up-Codes nicht vergessen

“Ich bereue den Passwort-Wahnsinn”

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Jubi­lä­um — 70 Jah­re EU und der Daten­schutz zum Euro­pa­tag 2020

Vide­orei­he des LfDI

Das aktu­el­le Video zum Euro­pa­tag 2020

Wei­te­re Epi­so­den zum Datenschutz

Trai­ning und Betreu­ung von Datenschutzexperten

Ver­mei­den und kom­mu­ni­zie­ren

Mel­dun­gen von Daten­pan­nen

Dun­kel­zif­fer von Daten­pan­nen

Auf­sichts­be­hör­den

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den

Was ist Micro­softs “MyAna­ly­tics”?

Wozu “MyAna­ly­tics”?

Wie kann ich Micro­soft “MyAna­ly­tics” deaktivieren?

Emp­feh­lung, wenn Sie MyAna­ly­tics für Ihre Mit­ar­bei­ter zulas­sen wollen

Über­sicht der DSGVO Bußgelder

Wie­so bis­her ein Pass­wort dau­ernd gewech­selt wer­den musste

Bis­her galt ein Pass­wort als sicher, wenn es kom­plex war und dau­ernd geän­dert wurde

“Ich bereue den Passwort-Wahnsinn”

Eine siche­re Passwort-Richtlinie

Not­fall­be­hand­lung — ein wich­ti­ges Ele­ment in der Infor­ma­ti­ons­si­cher­heit und im Datenschutz

Top 12 Maß­nah­men bei Cyber-Angriffen

Doch damit nicht genug, pro­fes­sio­nel­les Not­fall­ma­nage­ment ist gefragt

Was kann a.s.k. Daten­schutz für Sie tun?

Fin­det das The­ma Daten­schutz über­haupt bei Foto­gra­fien die­ser Art Anwendung?

Wel­ches Recht spielt denn dann bei Foto­gra­fien zur Ein­schu­lung eine Rolle?

Braucht die Schu­le (der Kin­der­gar­ten) eine Ein­wil­li­gung aller Erzie­hungs­be­rech­tig­ter, um das Foto­gra­fie­ren am Ein­schu­lungs­tag zuzulassen?

Was ist, wenn die Schu­le jetzt selbst Bil­der anfer­ti­gen lässt und ver­öf­fent­li­chen möchte?

Was ist, wenn die Schu­le nichts regelt (muss sie ja auch nicht), die foto­gra­fie­ren­den Eltern im Anschluss Bil­der der Ver­an­stal­tung in sozia­len Netz­wer­ken oder an ande­ren Stel­len öffent­lich zugäng­lich machen?

Dann ist der Daten­schutz also gar nicht Schuld an der gan­zen Auf­re­gung um Bil­der­ver­bo­te am Einschulungstag?

Was ist, wenn die Schu­le jetzt den­noch ein Foto­gra­fier­ver­bot aus­spricht? Muss ich mich dann dar­an halten?

Der klas­si­sche Angriffs­weg: Schad­code über Makros in Office-Dokumenten

Makros bekom­men Kon­kur­renz durch Excels Power Query — neu­es Ein­falls­tor für Schadcode

Datenschutzmanagement — Chaos oder System

Eine Plattform für (fast) alles, nicht nur für Datenschutzmanagement muss her

Vor vielen Jahren die Lösung: Datenschutzmanagement via Stackfield

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?

Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern

2FA ist keine Raketenwissenschaft

2FA: Backup-Codes nicht vergessen

Abschließender Tipp: Passwort-Tresore nutzen

Jubiläum — 70 Jahre EU und der Datenschutz zum Europatag 2020

Videoreihe des LfDI

Das aktuelle Video zum Europatag 2020

Weitere Episoden zum Datenschutz

Training und Betreuung von Datenschutzexperten

Vermeiden und kommunizieren

Meldungen von Datenpannen

Dunkelziffer von Datenpannen

Aufsichtsbehörden

Datenpannen bitte dokumentieren / melden

Was ist Microsofts “MyAnalytics”?

Wozu “MyAnalytics”?

Wie kann ich Microsoft “MyAnalytics” deaktivieren?

Empfehlung, wenn Sie MyAnalytics für Ihre Mitarbeiter zulassen wollen

Übersicht der DSGVO Bußgelder

Wieso bisher ein Passwort dauernd gewechselt werden musste

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Eine sichere Passwort-Richtlinie

Notfallbehandlung — ein wichtiges Element in der Informationssicherheit und im Datenschutz

Top 12 Maßnahmen bei Cyber-Angriffen

Doch damit nicht genug, professionelles Notfallmanagement ist gefragt

Was kann a.s.k. Datenschutz für Sie tun?

Findet das Thema Datenschutz überhaupt bei Fotografien dieser Art Anwendung?

Welches Recht spielt denn dann bei Fotografien zur Einschulung eine Rolle?

Braucht die Schule (der Kindergarten) eine Einwilligung aller Erziehungsberechtigter, um das Fotografieren am Einschulungstag zuzulassen?

Was ist, wenn die Schule jetzt selbst Bilder anfertigen lässt und veröffentlichen möchte?

Was ist, wenn die Schule nichts regelt (muss sie ja auch nicht), die fotografierenden Eltern im Anschluss Bilder der Veranstaltung in sozialen Netzwerken oder an anderen Stellen öffentlich zugänglich machen?

Dann ist der Datenschutz also gar nicht Schuld an der ganzen Aufregung um Bilderverbote am Einschulungstag?

Was ist, wenn die Schule jetzt dennoch ein Fotografierverbot ausspricht? Muss ich mich dann daran halten?

Der klassische Angriffsweg: Schadcode über Makros in Office-Dokumenten

Makros bekommen Konkurrenz durch Excels Power Query — neues Einfallstor für Schadcode