Tipps

Europatag 2020 - Videoreihe zum Datenschutz

Europatag 2020 – Videoreihe des LfDI

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) vom 15.05.2020 wird zum Europatag 2020 eine Videoreihe vorgestellt.

Jubiläum – 70 Jahre EU und der Datenschutz zum Europatag 2020

Der französische Außenminister Robert Schuman prägte mit dem Ausspruch, dass „Europa [..] durch konkrete Tatsachen entstehen [wird], die zunächst eine Solidarität der Tat schaffen.“ am 09. Mai 1950 das politische Bewusstsein für die Gründung der Europäische Union. Als Urheber der DSGVO wird die EU sowie der Europatag 2020 selbstverständlich auch von Datenschützern aller Herren Länder begangen und gefeiert. Anlässlich dieses – 70-jährigen – Jubiläums ehrt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ein zusammenwachsendes Europa auf besondere Art.

Videoreihe des LfDI

Unter dem für „LfDI“ akronymen Titel „Datenschutz – zum Luaga fir Dahoim ond Iberall“ werden in lockerer und aufschlussreicher Form Themen des Datenschutzes und der Informationssicherheit behandelt und wie europaweit geltende Regelungen in dem Bundesland umgesetzt werden.

Das aktuelle Video zum Europatag 2020

In der ersten Folge wird eine Einführung passend zum Thema Datenschutz zum Europatag 2020 in das Thema Datenschutz vermittelt mit Grundbegriffen und Tipps. Neben Erläuterungen der Begriffe personenbezogener Daten und der Verarbeitung dieser werden Sinn und Nutzen des Datenschutzes prägnant thematisiert. Letzteres ist noch nicht überall eine Selbstverständlichkeit. Die Zuordenbarkeit von Daten zu Personen wird mit Beispielen wie KFZ-Kennzeichen und Videoaufzeichnungen veranschaulicht. Tragende Grundsätze des Datenschutzes wie u.a. die nachfolgenden werden erklärt:

  • Integrität
  • Vertraulichkeit
  • Zweckbindung
  • Transparenz

Auch Rechtmäßigkeit, Rechenschaftspflichten und die Betroffenenrechte nach Artt. 15 ff. DSGVO sind Gegenstand der Betrachtung. Das Prozessprinzip Plan, Do, Check, Act sowie die Meldung von Datenpannen auf dem online Wege und die Abgrenzung von Auftragsverarbeitung und Gemeinsamer Verantwortlichkeit iSd. Art. 26 DSGVO werden dem Zuschauer näher gebracht.

Weitere Episoden zum Datenschutz

Nicht nur zum Europatag 2020, sondern generell ist dies eine vielversprechende Reihe, Anwendern und Betroffenen wichtige Aspekte des Datenschutzes und auch der Informationssicherheit in einem informativen und gut konsumierbaren Format anzubieten. Für die folgenden Videos werden detailliertere Themen wie „Löschkonzept“ und „Transparenzpflicht“ angekündigt. Adressaten der Videoreihe seien „insbesondere [..] kleine und mittelständische Unternehmen, Vereine und natürlich auch an unsere Kommunen.“

Training und Betreuung von Datenschutzexperten

Die Herausforderungen für Unternehmen und Kommunen im Datenschutz sind sehr anspruchsvoll. Rufschädigende oder kostenintensive Fehler sind schnell passiert. Wenden Sie sich vertrauensvoll an Ihren Datenschutzbeauftragten. Sie haben keinen? Dann fordern Sie doch einfach ein unverbindliches Angebot für einen externen Datenschutzbeauftragten bei uns an.

Datenpannen – jetzt ganz neu entdecken …

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO. 

Vermeiden und kommunizieren 

Es ist bereits die halbe Miete, Datenpannen präventiv – u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien – auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes. 

Meldungen von Datenpannen 

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet. 

Dunkelziffer von Datenpannen 

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind. 

Aufsichtsbehörden 

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert. 

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden. 

Datenpannen bitte dokumentieren / melden 

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell – z.B. in Checklistenform – zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s. 

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung. 

Tipp: Microsoft Analytics „MyAnalytics“ in Office 365 deaktivieren

Nicht überraschend, aber dann doch ohne weitere Ankündigung des genauen Starttermins hat Microsoft vor kurzem den Dienst „MyAnalytics“ in Office 365 in Deutschland freigeschaltet. Und wie zu erwarten war, begann sogleich der große Aufschrei der Arbeitnehmervertreter und auch einiger Datenschutz-Aufsichten. Vom „gläsernen Mitarbeiter“ ist die Rede. Es fände vollständiges Profiling aller nutzenden Mitarbeiter durch den Arbeitgeber statt. Zeitnah wurde auch die Notwendigkeit einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO betont.

Was ist Microsofts „MyAnalytics“?

MyAnalytics ist ein Microsoft-Dienst, der im Rahmen bestimmter Office 365 bzw. Exchange 365-Lizenzen zur Verfügung steht. Standardmäßig ist die Funktion eingeschaltet. Weder der Arbeitgeber noch der Mitarbeiter müssen bzw. mussten in die Nutzung dieses Services einwilligen. Das erscheint auf den ersten Blick zumindest sehr ungeschickt, da doch bei der Verarbeitung personenbezogener Daten durchaus ein Opt In stattfinden muss, wenn keine andere Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO herangezogen werden kann.

Microsoft selbst beschreibt MyAnalytics dahingehend „Werden Sie produktiver durch Einblicke in Ihre persönliche Arbeitsweise in Microsoft 365. Werden Sie noch produktiver, indem Sie Ihre Arbeitsmuster mit MyAnalytics in vier Kernbereichen auswerten: Fokus, Wohlbefinden, Netzwerk und Zusammenarbeit. Direkt in Outlook macht MyAnalytics intelligente Vorschläge, damit Sie rechtzeitig Zeit für konzentriertes Arbeiten reservieren, Aufgaben und E-Mails im Blick behalten und wichtige Kontakte pflegen können.“ Die Auswertung der eigenen Arbeitsweise wird jedem einzelnen Nutzer mit aktivem MyAnalytics wöchentlich zusammengestellt und per Email zugeschickt.

Mit „Sie“ ist daher nicht der Arbeitgeber, sondern der jeweilige Einzelnutzer gemeint. Das ist im Eifer des Gefechts dem einen oder anderen aufgeregten Daten- und Mitarbeiterschützer entgangen.

Microsoft führt weiterhin aus, dass diese Auswertungen für jeden Mitarbeiter individuell erstellt werden und weder einem Administrator noch dem Arbeitgeber in irgendeiner Weise zur Verfügung oder Einsicht stehen. Bei unseren Tests als Administratoren ist es uns auch nicht gelungen, an eine dieser Auswertungen zu gelangen. Ausnahme wäre gewesen, wir hätten uns als Administrator Zugang zum Postfach eines Mitarbeiter verschafft und dessen Analytics-Bericht gelesen, der als Email direkt an den Mitarbeiter zugestellt wird.

Wozu „MyAnalytics“?

MyAnalytics wertet den Kalender und die E-Mails statistisch aus. Microsoft sieht den Nutzen des Dienstes in der Möglichkeit für den einzelnen Mitarbeiter zu sehen, auf einen Blick sehen können, wie viel sie arbeiten und wie sie ihre Zeit organisieren. That’s it. Keine Kontrolle durch den Arbeitgeber oder ein „Vermessen der Belegschaft“ durch den ach so bösen Arbeitgeber. Wer das mag, warum nicht.

Zu hinterfragen wäre sicherlich, was macht Microsoft mit den gesammelten Daten. Wann werden diese wieder gelöscht? Wer hat außerhalb des Office365 Tenants Zugriff darauf und vor allem warum? Die Diskussion hierzu wird noch geführt bzw. weiter zu führen sein.

Wie kann ich Microsoft „MyAnalytics“ deaktivieren?

Ob ein Mitarbeiter den Dienst nutzen möchte, kann durch jeden Nutzer selbst entschieden werden. Sobald Sie eine Status-Email von MyAnalytics erhalten (zumeist wöchentlich als Zusammenfassung), befindet sich darin der Link zum Deaktivieren der Funktion. Alternativ kann der Office 365 Nutzer dies auch direkt über das Dashboard in Office 365 (externer Link zur Anleitung) erledigen.

Organisationen können „MyAnalytics“ jedoch auch generell abschalten. Microsoft stellt dazu eine einfache Anleitung zur Verfügung. In der Office 365 Administration findet man links die Option „Einstellungen“. Unter Einstellungen scrollt man runter zum Dienst „MyAnalytics“ und deaktiviert die 3 angekreuzten Checkboxen, die auf der rechten Seite erscheinen:

Damit steht der Service für keinen Nutzer auf dem Tenant mehr zur Verfügung.

Empfehlung, wenn Sie MyAnalytics für Ihre Mitarbeiter zulassen wollen

  1. Sich mit dem Tool und dessen Umfang vertraut machen. Microsoft bietet dazu eine erste gute Übersicht an. Auch die FAQ sind eine gute Grundlage für den Einstieg.
  2. Den Datenschutzbeauftragten und den Informationssicherheitsbeauftragten einbinden.
  3. Mitarbeitervertretung mit ins Boot nehmen. Auch diese ausführlich über das Modul informieren, Verständnisprobleme klären, damit eine einheitliche Diskussionsbasis vorhanden ist.
  4. Bei Bedarf vorhandene Rahmenbetriebsvereinbarung Office 365 um MyAnalytics ergänzen bzw. eine Betriebsvereinbarung dazu erstellen.
  5. Wir gehen mal davon aus, die datenschutzrechtlichen Vereinbarungen mit Microsoft vorliegen? 🙂
  6. Abwarten und Tee trinken, bis sich die Aufregung wieder etwas gelegt hat und klare, pragmatische Vorgehensweisen vorliegen.

 

Übersicht der DSGVO Bußgelder

Mit schöner Regelmäßigkeit hört und liest man in den Medien etwas von Bußgeldern im Datenschutz basierend auf der DSGVO oder anderer Datenschutzgesetze. Merken kann man sich die alle nicht. Doch es kann nicht schaden, das eine oder andere Bußgeld für verschiedene Formen an Datenschutzverstößen zu kennen. DSGVO Bußgelder sollten zwar nicht der alleinige Antrieb zur Einhaltung von Rechtsvorschriften sein, aber vielleicht muss man als interner oder externer Datenschutzbeauftragter auch mal mit Zahlen kommen, damit sich etwas in der Organisation bewegt 🙂

Übersicht der DSGVO Bußgelder

Und da ist es sehr hilfreich, dass sich die Betreiber von https://dsgvo-portal.de die Mühe machen, stets aktuelle Bußgelder zu erfassen und zu katalogisieren. Kann ja ganz hilfreich sein, zu wissen und anzuführen, dass für Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOM (technische und organisatorische Maßnahmen) die italienische Datenschutzaufsicht im Januar 2020 ein Bußgeld in Höhe von 27,8 Mio Euro verhängt hat. Die genannten Verstöße sind ja nicht selten. Vielleicht ein weiterer Anstoß, um solche Mängel in der eigenen Organisation anzugehen.

Die im Portal gelisteten DSGVO Bußgelder lassen sich nach diversen Kriterien sortieren und anzeigen, z.B. nach Bußgeldhöhe, Datum, Land und auch Bußgeldempfänger (da finden sich einige alte Bekannte, aber auch sehr viele neue Namen). Ein Wermutstropfen, wenn man das so sehen mag, ist jedoch vorhanden: In der Übersicht finden sich die Bußgelder, welche von den Aufsichtsbehörden verhängt wurden. Das muss nicht identisch sein, was von den betroffenen Organisationen z.B. nach Beschreiten des Rechtsweges dann wirklich gezahlt wurde. Sofern es hierzu Erkenntnisse gibt, finden sich diese unter den Details, die man zu jedem Vorgang aufrufen kann. Darin wird auch die Art des Verstoßes weiter konkretisiert.

Danke an die Betreiber des Portals.

„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die „NIST Special Publication 800-63. Appendix A“. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: „Ich bereue den Passwort-Wahnsinn“

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

  1. Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
  2. Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

„Ich bereue den Passwort-Wahnsinn“

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst „Über Bord mit veralteten starren Passwort-Richtlinien“.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

  • Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
  • Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
  • Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
  • Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage „Wie heißt ihr Haustier?“ aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

  • Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
  • Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
  • Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere – unabhängige – Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag „Über Bord mit veralteten starren Passwort-Richtlinien“.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4