,

Datenschutz in ein bestehendes ISMS integrieren (Teil 1 – Einführung)

In vielen Unternehmen sind Datenschutz und Informationssicherheit organisatorisch und faktisch noch weitgehend getrennt. Zwar arbeiten der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte punktuell zusammen; von einem integrierten Ansatz kann meist aber nicht die Rede sein. Das ist schade.

In einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 werden technische und organisatorische Maßnahmen zum Schutz von Informationen gegen die Verletzung von Verfügbarkeit, Vertraulichkeit und Integrität risikobasiert ausgewählt und umgesetzt. Dabei werden in der Regel ausschließlich die Risiken für das Unternehmen selbst betrachtet.

Synergien nutzen

Wie in der Informationssicherheit sind im Datenschutz technische und organisatorische Maßnahmen ebenfalls risikobasiert auszuwählen und umzusetzen (vgl. DSGVO Art. 25 u. Art. 32). An dieser Stelle sind jedoch die Risiken der Betroffenen zu betrachten. Trotzdem kann die Risikobewertung nach derselben Methode durchgeführt und Synergien damit genutzt werden.

Auch die regelmäßige Überprüfung und Bewertung der Maßnahmen hinsichtlich ihrer Angemessenheit und Wirksamkeit ist aus datenschutzrechtlicher Sicht erforderlich (vgl. DSGVO Art 32 Ab.1 lit. d). Eine solche Überprüfung ist im ISMS nach ISO 27001 schon angelegt. Auch hier können Datenschutz und Informationssicherheit ein gemeinsames Vorgehen umsetzen.

Es ist daher nur konsequent, dass die ISO mit der ISO 27701 eine Norm vorlegt, die das Datenschutzthema in ein ISMS nach ISO 27001 integriert. Zu diesem Zweck werden Normkapitel und Anhang A der ISO 27001 sowie die Umsetzungshinweise der ISO 27002 um datenschutzrechtliche Aspekte entsprechend erweitert und angepasst.

Die einheitliche Betrachtung von Informationssicherheit und Datenschutz führt zu einem integrierten Managementsystem. So werden Ressourcen geschont, indem Doppelarbeiten und sich schlimmstenfalls widersprechende Ansätze verhindert werden.

Informationssicherheitsbeauftragter und Datenschutzbeauftragter treten jetzt bei der Planung und Umsetzung technischer und organisatorischer Maßnahmen der Informationssicherheit und des Datenschutzes gemeinsam gegenüber den Vertretern anderer Interessenbereiche im Unternehmen auf. Im Ergebnis führt dieser Ansatz zu einer Stärkung sowohl der Informationssicherheit als auch des Datenschutzes.

Wie es weiter geht

Die nächsten Artikel dieser Serie zur ISO 27701 beschäftigen sich mit den Themen

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Mit Security Awareness ist es wie mit dem Geburtstag – einmal im Jahr ist man dran, oder?

Viele Unternehmen erachten Security Awareness als ein notwendiges Übel, das man einmal im Jahr im Rahmen seines Informationssicherheits-Managementsystems (ISMS) behandeln muss. Wieso ist das so und warum kann diese Ansicht gefährlich werden?

Für das Funktionieren von Informationssicherheit im Unternehmen müssen viele Maßnahmen ergriffen werden, da nur so Unternehmenswerte vor Verlusten jeglicher Art geschützt werden können. Zu diesen Maßnahmen gehören beispielsweise technische Lösungen, wie Firewalls, Antivirusprogramme oder Logging-Verfahren, aber auch organisatorische Maßnahmen wie das Verwalten von Zutritts-, Zugangs- und Zugriffsrechten. Die Sensibilisierung der Mitarbeiter fällt ebenfalls unter die organisatorischen Maßnahmen, wird aber oft stiefmütterlich behandelt.

Mitarbeiter zu sensibilisieren ist für viele ein scheinbar aufwändiger Kraftakt, der überflüssig erscheint. Jeder weiß doch schließlich, dass man nicht auf große rote Buttons in E-Mails klickt, die einem sagen, man hätte etwas gewonnen und könne sich „hier“ jetzt seinen Gewinn abholen. Nur eben schnell noch Vor-, Nachname, Anschrift, Alter, Kontonummer, Anzahl der Kinder, Mädchenname der Mutter und den Namen der ersten Schule, etc. angeben. Und unbekannte USB-Sticks verwendet ja sicher niemand… Natürlich würde jeder behaupten, diese Sachen zu wissen und dass Hacks ja immer nur den anderen passieren. Aber sind wir mal ehrlich, wer ist schon gänzlich gegen seine Menschlichkeit gewappnet. Vermutlich niemand, denn im stressigen Arbeitsalltag denkt man nicht immer an diese Dinge und jedem passieren mal Fehler. Da ist ein Security Vorfall nicht so unwahrscheinlich.

Oft versuchen Unternehmen die Situation zu lösen, indem der Mitarbeiter durch technische Maßnahmen eingeschränkt wird. Dies erscheint manchen vielversprechender als die strukturierte Sensibilisierung von Mitarbeitern. Leider ist das ein Irrglaube. In Fachkreisen wird längst klar kommuniziert, dass der Mensch eines der größten Sicherheitsrisiken darstellt und die Awareness der Mitarbeiter in der Maßnahmenliste priorisiert behandelt werden sollte.

Stellt sich also die Frage, warum nur bei technischen Maßnahmen zyklische Verbesserungsprozesse etabliert und Awareness Maßnahmen meist mit einer jährlichen Schulung der Mitarbeiter abgehandelt werden. Sollte Awareness nicht allgegenwärtig sein und zur Gewohnheit werden?

Wir empfehlen, den Menschen stärker in den Fokus zu setzen. Dies bedeutet eine stärkere und ehrlichere Beurteilung im Risikomanagement und unterschiedliche Maßnahmen zur Vermittlung eines Sicherheitsbewusstseins sowie entsprechende Handlungsvorgaben. Im einfachsten Fall heißt dies, die Konzeption verschiedener Maßnahmen, verteilt über ein Kalenderjahr. Je nach Größe des Scopes empfiehlt es sich, auch ein Projekt im Projekt anzulegen. Hier werden dann Kulturen, Gruppen, Wissen, Assets und Schwachstellen analysiert und nach ISMS-Zielen ausgewertet und weiterentwickelt. Somit kann sichergestellt werden, dass in den unternehmenskritischen Bereichen gezielt Wissen aufgebaut wird. Zudem werden didaktisch die Methoden gewählt, die am besten zur jeweiligen Zielgruppe passen.

Beschäftigt man sich mit dem Thema Informationssicherheit, ist Security Awareness nicht so aufwändig wie manche glauben. Die Mühe lohnt sich!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Vorsicht vor Abmahnfallen bei Betroffenenrechten!

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat festgestellt, dass vermehrt Anfragen zu Betroffenenrechten gem. Art. 15-22 DS-GVO gestellt werden, deren einziges Ziel es ist, Schadenersatz zu fordern.

Nach Aussage des GDD wird den jeweiligen Verantwortlichen gegenüber eine Drohkulisse aufgebaut, um so eine außergerichtlich vereinbarte Zahlung eines immateriellen Schadensersatzes sowie eine Erstattung der angeblich entstandenen Rechtsanwaltskosten in vierstelliger Höhe zu bewirken.
Folgende Vorgehensweisen sind bisher festgestellt worden:

  • Über das Kontaktformular der Website meldet sich eine vermeintlich betroffene Partei bei dem Unternehmen und bittet um Rückruf. Der Anruf wird dann aber nicht angenommen. Ein paar Wochen später meldet sich die Person wieder und erfragt welche Daten das Unternehmen über die Person gespeichert hat, zudem wird die Löschung der Daten verlangt.
  • Eine Person abonniert einen Newsletter auf der Webseite des Unternehmens und bittet kurz nach der Beantragung um Auskunft, welche Daten der Person gespeichert wurden und bittet zudem um Löschung dieser Daten.

In der Praxis werden in solchen Fällen die personenbezogenen Daten häufig gleich gelöscht und dem Auskunftsersuchen dann nicht mehr nachgekommen. Oder der Betroffene erhält in diesen Fällen nur die Information, dass keine personenbezogenen Daten gespeichert wurden. Dies ist genau genommen nicht korrekt, da zumindest eine Rufnummer oder E-Mailadresse gespeichert wurde.

In den bekannten Fällen wurde vom Betroffenen nicht auf die Mitteilung reagiert, sondern ein Rechtsanwalt eingeschaltet. Dieser hat im Auftrag seines Mandanten wegen mutmaßlicher Verletzung der Betroffenenrechte (unvollständige Auskunft, falsche Auskunft etc.) immateriellen Schadensersatz sowie die Erstattung des Anwalthonorars gefordert. Mit der Androhung eines mit weitaus höheren Kosten verbundenen gerichtlichen Verfahrens wurde weiter Druck aufgebaut.

Problematisch dabei ist, dass tatsächlich ein Fehlverhalten vorliegt, das die Voraussetzung für einen solchen Schadensersatzanspruch nach Art. 82 DS-GVO rechtfertigen kann. Auf das Auskunftsersuchen muss, auch wenn man eindeutig eine missbräuchliche Anfrage vermutet, korrekt und fristgerecht eingegangen werden.

Wir empfehlen daher bei Auskunftsersuchen dieser Art, seien sie auch noch so absurd, DS-GVO konform zu handeln. Als Unternehmen kann man sich von der Schadenersatzpflicht nur befreien, wenn man nachweisen kann, dass man die Bearbeitung der Betroffenenbegehren im erforderlichen Umfang durchgeführt und dokumentiert hat. (vgl. Art. 5 Abs. 2 und 24 DS-GVO).

 

/von
,

Sicheres Arbeiten im Home Office – leicht gesagt, …

… denn es stellt sich oft nicht die Wahlmöglichkeit, sehr frei nach einem deutschen Politiker: „Lieber gar kein Home Office, als ein schlechtes Home Office.“ In der ersten Welle der Corona-Pandemie galt es vorrangig „den Laden am Laufen zu halten“, und entsprechend hemdsärmelig waren viele Lösungen – geschuldet der Tatsache, dass innerhalb kürzester Zeit umgesetzt werden musste, was sonst Wochen, wenn nicht Monate oder gar Jahre der Vorbereitung bedurft hätte.  Ein gutes Jahr später stellen sich andere Fragen: Wie kann ich das Home Office als Dauerlösung sicherer machen? Wie bekomme ich meine Mitarbeiter aus dem Home Office wieder zurück?

Dabei gehört zum sicheren Arbeiten im Home Office weit mehr als nur eine Einwahlmöglichkeit ins Firmennetz oder die Verteilung von Notebooks. Die Situation in den heimischen vier Wänden unterscheidet sich deutlich von der an der Arbeitsstelle. Im Büro kann man bei einem Kaffee mit einem Kollegen dienstliche Angelegenheit besprechen – zu Hause beaufsichtigt man das Kind parallel zum E-Mail lesen. Im Büro gibt es Hilfe von der IT-Abteilung – zu Hause ist man selbst die IT-Abteilung. Im Büro hat man eine feste Telefonnummer – zu Hause sucht man nach einer passenden Plattform für Videokonferenzen.  Im Büro schaut sich der Betriebsarzt die Arbeitsplatzergonomie an – zu Hause sitzt man am Küchentisch. Im Büro …

Sie sehen – für das sichere Arbeiten im Home Office muss ein breites Spektrum an rechtlichen, methodischen, organisatorischen, psychologischen und auch technischen Fragen beantwortet werden. Und zwar nicht von der IT-Abteilung allein, sondern auch vom Unternehmen selbst sowie den beteiligten Sozialpartnern: Wie gestalten wir Home Office in Zukunft? Welche Chancen ergeben sich dadurch für unser Unternehmen? Wie erreiche ich im Home Office ein Sicherheitsniveau, das vergleichbar ist mit dem Büroarbeitsplatz?

Wir sind der festen Überzeugung, dass auch nach dem Ende der Corona-Pandemie Home Office eine wesentlich höhere Verbreitung als vorher haben wird – nur sicher muss es sein!

Als Anregung haben wir in unserem Downloadbereich eine kleine Liste mit solchen Hinweisen, die sonst oft übersehen werden. Sollten Sie weitergehende Unterstützung bei der Absicherung des Home Office benötigen, wenden Sie sich gerne an uns.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von

EUGH Urteil – Privacy-Shield-Abkommen unwirksam

Mit seinem Urteil vom 17.06.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt, da es kein Schutzniveau auf dem Level der DS-GVO sicherstellt. Das Urteil entfaltet unmittelbar Gültigkeit.

Datenübermittlungen von personenbezogenen Daten von EU-Bürgern in die USA sind damit ab sofort rechtswidrig, wenn sie (ausschließlich) auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen. Die Übermittlung der personenbezogenen Daten kann nach wie vor auf die sog. Standardvertragsklauseln (SCC) der EU-Kommission gestützt werden. Allerdings auch nur dann, wenn das Recht des Ziellandes einen angemessenen Schutz personenbezogener Daten bietet. Darüber hinaus gibt es Ausnahmen, die sich in bestimmten Fällen für einen Datentransfer nach Art. 49 DS-GVO rechtfertigen lassen. Ebenso nicht vom Urteil betroffen sind Datenübertragungen, die freiwillig durch den Nutzer selbst initiiert werden, wie z.B. Buchungen von Leistungen über US-Websites oder den E-Mailversand ins Ausland.

Was bedeutet dies für Unternehmen?

Aus Unternehmenssicht beantwortet das Urteil die Frage der Rechtskonformität des Cloud-Computing. Unternehmen die Cloud-Services von US-Providern in Anspruch nehmen, also Microsoft Azure, Microsoft Office 365, Amazon Web Services, Google Drive, Salesforce, Dropbox & Co sind von der Entscheidung betroffen. Gleiches gilt auch für Webanalysedienste, wie z.B. Google Analytics, das in Deutschland das meist genutzte Tool zur Datenverkehrsauswertung ist. Zwar betreiben einige der Anbieter ihre Server teilweise auch innerhalb der EU, jedoch findet fast immer eine Datenspiegelung auf US- und andere Server in Drittländer statt, die derzeit datenschutzrechtlich mit dem EU-US-Privacy-Shield und/oder den EU-Standardvertragsklauseln gerechtfertigt werden.

Die Ausmaße dieser Entscheidung sind heute noch nicht abzusehen und schaffen für die betroffenen Unternehmen große Rechtsunsicherheit. Jedoch kann die Bedeutung des EuGH-Urteils gar nicht genug hervorgehoben werden, denn die Mehrheit der deutschen Unternehmen verwenden IT-Services von US-Providern.

Was sagen die Datenschutzbehörden?

Die Datenschutzbehörden reagieren unterschiedlich. In Berlin wird beispielsweise allgemein darauf hingewiesen, dass datenverarbeitende Stellen in den USA gespeicherte personenbezogene Daten nach Europa verlagern sollen, wohingegen die Behörde in Rheinland Pfalz konkreter wird und zeitnah an Unternehmen herantreten will. Dabei geht es darum, festzustellen inwieweit in der Vergangenheit Datenübermittlung in die USA auf das Privacy Shield gestützt wurden. In diesen Fällen müssen von den Verantwortlichen Maßnahmen getroffen und zudem erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden. Sind Unternehmen dazu nicht aussagefähig, sind Sanktionen möglich.

Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten an Empfehlungen, wie Daten-übermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um zusätzliche Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Ziel ist es, Hilfestellungen und Empfehlungen geben zu können, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen.

Was sollten Unternehmen jetzt tun?

In jedem Fall sollten Sie jetzt aktiv werden und unternehmensintern gemeinsam mit Ihrem Datenschutz-beauftragten und der IT-Abteilung die betroffenen Datenflüsse identifizieren, Risiken bewerten und gegebenenfalls auf datenschutzkonforme Alternativen umstellen. Hier ist eine gute Dokumentation wichtig, da Sie nur so bei einer Anfrage der Datenschutzbehörde belegen können, dass Sie sich ernsthaft mit dem Thema auseinandersetzen. Sollten Sie dabei Hilfe benötigen, wenden Sie sich gerne an uns.

/von

Die Corona-Warn-App auf dem Prüfstand

Mit gut dreimonatiger Verzögerung haben Bundesregierung und Robert-Koch-Institut (RKI) mit dem technischen Knowhow von Telekom und SAP die deutsche Corona-Warn-App an den Start gebracht. Seit zwei Wochen ist sie nun im Einsatz. Zeit für ein erstes Fazit.

Neben den gesetzlichen Maßnahmen zählt die sogenannte Corona-Warn-App zu einem weiteren wichtigen Instrument zur Eindämmung der Corona-Pandemie. Die App soll dabei helfen, Menschen nach Kontakten mit infizierten Personen zu warnen, damit diese reagieren können noch bevor sie selbst Symptome zeigen. Je mehr Menschen die Anwendung herunterladen, desto besser funktioniert das System.

Südkorea – das positiv schlechte Beispiel

Das eine App funktionieren kann, zeigt das in diesem Zusammenhang oft zitierte Beispiel Südkorea. Schon früh setzte das asiatische Land eine Tracing-App ein, um Infizierte zu lokalisieren und Infektionsketten frühzeitig und schnell zu unterbrechen. Extreme Infektionszahlen konnten so – auch ohne einen Lock-down – vermieden werden. Das ist ein beachtenswerter Erfolg. Dennoch taugt Südkorea nur bedingt als Beispiel für die Einführung einer Corona-App in Deutschland.

Im Gegensatz zu Deutschland ist Südkorea ein vollständig digitalisiertes Land. Staatliche Überwachung gehört zum Alltag und wird von der südkoreanischen Gesellschaft akzeptiert. Eine Freiwilligkeit bei der Nutzung der Corona-App sucht man vergeblich. Neben einer fast lückenlosen und konsequenten Massentestung der Bevölkerung, macht die Behörde Infizierte und deren Kontakte ausfindig, indem sie auf sämtliche Bewegungs-, Telefon- und Bankdaten der Bevölkerung sowie Überwachungsvideos aus dem öffentlichen Raum zugreift. In Deutschland würde ein solches Vorgehen bereits gesellschaftlich nicht akzeptiert werden. Überdies ließen sich derartige Methoden aufgrund der gesetzlichen Regelungen des Datenschutz nicht realisieren.

Funktionsweise der App

Für eine erste Einschätzung der App werfen wir einen Blick auf die Rahmenbedingungen bei uns in Deutschland. Hier stellt sich zuerst die Frage nach der Funktionsweise der Corona-Warn-App.

Der User muss die App – kostenlos im Apple- oder Google Play-Store erhältlich – selbst installieren und den Datenaustausch im Betriebssystem auch selbst aktivieren. Es gilt dabei der unbedingte datenschutzrechtliche Grundsatz der Freiwilligkeit und persönlichen Einwilligung. Eine automatische Installation der App gibt es nicht.

Die App nutzt den Funkstandard Bluetooth Low Energy (BLE), um den Abstand zwischen verschiedenen Personen zu schätzen. Dafür funkt sie regelmäßig ihre eigene Kennung und registriert gleichzeitig die Signale anderer. Wenn sich Menschen über eine gewisse Zeit nahe kommen, tauschen die Smartphones verschlüsselt ihre IDs aus. Falls nun ein Nutzer positiv auf das Coronavirus getestet wird, kann er das freiwillig in die App eingeben – und damit die gefährdeten Kontakte warnen.

Die Corona-Warn-App bewertet auf Basis verschiedener Faktoren das persönliche Infektionsrisiko. Solche Risikofaktoren sind zum Beispiel die Zeitspanne, wann man einen Infizierten getroffen hat, wie lange dieser Kontakt gedauert hat und wie nahe man der Person gekommen ist. Die App multipliziert diese Werte. Wird ein vom RKI vorgegebener Schwellwert erreicht, erhält der User eine Warnung auf sein Smartphone. Dies erfolgt nicht in Echtzeit, sondern zeitverzögert.

IT-Sicherheit und Datenschutz

Insbesondere die Themen IT-Sicherheit und Datenschutz spielen in der öffentlichen Diskussion um die Corona-Warn-App eine elementare Rolle. Den Entwicklern der App wurde immer wieder vorgeworfen, dass Angreifer über eine Schwachstelle in der App detaillierte Bewegungsprofile von Infizierten erstellen und unter Umständen dann die Betroffenen identifizieren könnten. Auch würde der Weg für den Aufbau einer flächendeckenden staatlichen Überwachungsstruktur eröffnet.

Dem ist jedoch entgegenzuhalten, dass bei der Kontaktverfolgung nur anonymisierte Schlüssel zum Einsatz kommen, die sich regelmäßig ändern. Informationen über das Zusammentreffen von Usern werden nicht zentral gespeichert, sondern dezentral auf den Smartphones. Auf dem Server der Betreiber liegt nur eine Liste mit den anonymen Schlüsseln von Infizierten. Der User erfährt also nicht, wer von seinen Begegnungen der positiv getestete Kontakt war. Der Chaos Computer Club (CCC) stellte hinsichtlich der dezentralen Struktur der App noch einmal nachdrücklich fest, dass ein potenzieller Angreifer schon einen enorm hohen technischen Aufwand betreiben müsse, um an wenige erkenntnisarme Informationen zu gelangen. Daneben erfüllt die App auch alle zutreffenden Anforderungen aus der technischen Richtlinie “TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das die Entwicklung der Corona-Warn-App von Beginn an beratend begleitet und unterstützt hat.

Der Bundesdatenschutzbeauftragte Ulrich Kelber begrüßte den hohen Stellenwert des Datenschutzes und – bedingt durch die Offenlegung des Quellcodes auf der Plattform GitHub – die Wahrung des Transparenzgrundsatzes bei der Corona-Warn-App. Mit einer ausführlichen Datenschutz-folgeabschätzung und der Vorlage einer vollumfänglichen Datenschutzerklärung wurden die erforderlichen datenschutzrechtlichen Dokumente vorgelegt.

Fazit

Betrachtet man die technische Struktur, die Einhaltungen der datenschutzrechtlichen Parameter und die vertrauensschaffende Transparenz, kann man der App und den verantwortlichen Akteuren ein durchweg positives Zeugnis ausstellen. Verständlicherweise liegt es in der Natur der Sache, dass eine komplexe Software, die innerhalb von nur wenigen Wochen entwickelt wurde, noch Schwachstellen und weitere Angriffspunkte beinhalten kann. Es steht außer Frage, dass diese regelmäßig geprüft und konsequent abgesichert werden müssen. Mit den durch die Corona-Warn-App gewonnenen anonymisierten Daten ist nach jetzigem Stand kein Erkenntnisgewinn über den einzelnen User möglich, so dass ein Datenmissbrauch oder gar eine strukturierte Überwachung aus unserer Sicht nicht zu befürchten ist.

Ziel der Warn-App ist die Eindämmung der Corona Pandemie zu unterstützen und damit die Gesundheit der Bürger zu schützen. Wenn wir also mit der Verwendung der App dazu ein Stück dazu beitragen können, ist dies in unser aller Interesse.

/von

Die Rettung aus der Anonymisierungskrise

Regelmäßig beschwören in einem ersten Schritt Unternehmen und Behörden, dass die durch sie genutzten Daten anonym seien – sie können auf keinen Fall konkreten Personen zugeordnet werden, zudem interessiere man sich für konkrete Personen ohnehin nicht. In einem zweiten Schritt berichten dann Medien, meist unter Hinzuziehung technisch Versierter, dass irgendwie dann doch ein Personenbezug hergestellt werden kann. Gibt es also etwas wie Anonymisierung überhaupt und könnten synthetische Daten eine Alternative sein?

Zu diesem Thema haben wir einen Beitrag in das kes Special B Datenschutz 3/2020 gestellt, dass im Juni erschienen ist.

Lesen Sie hier weiter:

/von

MS Office 365 und der Datenschutz – es hat sich etwas getan

Lange Zeit stand Microsoft Office 365 in der Kritik der Datenschützer. Nach den Erkenntnissen einer Datenschutz-Folgenabschätzung, die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit angefertigt wurde und der Eingabe der niederländischen Aufsichtsbehörde, hat sich inzwischen seitens Microsoft einiges getan.

  • Ende April 2019 hat Microsoft die Datenschutzeinstellungen in Office 365 geändert, sodass diese nun der Datenschutz-Grundverordnung (DSGVO) entsprechen. Die Nutzer haben seitdem die Möglichkeit, die Telemetrie- und Diagnosedaten sowohl einzusehen als auch die Datenübermittlung zu deaktivieren und somit blockieren zu können.
  • Microsoft musste DSGVO-konforme Anpassungen bezüglich der Zweckgebundenheit, das Recht auf Korrektur und Löschen sowie der expliziten Einverständniserklärung der betreffenden Personen für die Verarbeitung ihrer Daten vornehmen.
  • Zum Jahreswechsel 2019/2020 hat Microsoft zudem auch seine Online Service Terms (OST) für Firmenkunden geändert. Diese „Cloud-Verträge“ enthalten nun die Änderungen, die mit der niederländischen Regierung ausgehandelt wurden und gelten weltweit für alle öffentlichen Organisationen und Firmenkunden. Dabei hat sich Microsoft auch explizit dazu bekannt, die Rolle des Datenverantwortlichen zu übernehmen.

Die niederländische Aufsichtsbehörde kam zu dem Ergebnis, dass die aktualisierte Office 365 ProPlus Version 1905 nun DSGVO konform genutzt werden kann. Voraussetzung dafür ist allerdings eine im Vorwege vorgenommene Datenschutzfolgeabschätzung nach Art. 35 DSGVO sowie eine Auseinandersetzung mit den datenschutzfreundlichen Einstellungen des Tools.

Hier einige Empfehlungen für den DSGVO-konformen Betrieb der Office 365 ProPlus Version 1905:

Windows Einstellung

Stellen sie die Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise auf „Sicher“. Die Nutzeraktivitäten dürfen nicht mit der Zeitachsen-Funktion von Windows 10 synchronisiert werden.

Programm zur Verbesserung der Benutzerfreundlichkeit

Deaktivieren Sie die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit.

Beschränkung der Diagnosedaten

Die Übermittlung der Diagnosedaten muss auf die geringste Stufe „Keine“ eingestellt werden.

Connected Experiences

Optional verbundene Dienste sollten deaktiviert werden.

Abschluss eines Auftragsverarbeitungsvertrags

Dies gilt insbesondere für die Nutzung von „Teams“. Hier wäre zudem eine Aufnahme in die eigene Datenschutzerklärung notwendig.

Linked-In-Integration

Eine Integration von Linked-In Accounts der Mitarbeiter ist nicht zulässig.

Workplace Analytics, Activity Reports, Delve

Diese Funktionen sollten nur genutzt werden, wenn diese vom Datenschutzbeauftragten geprüft wurden, da hier Leistungsdaten ausgewertet werden. Zudem wäre dann ggf. auch der Betriebsrat mit einzubeziehen.

Kunden-Lockbox

Bearbeiten Sie sensible Dokumente mit Office 365 sollte die Nutzung der Kunden-Lockbox-Funktion von Microsoft in Betracht gezogen werden. Somit wäre eine kundenseitige Verschlüsselung der Dokumente sichergestellt.

Office-Online und Office-Mobile

Die Verwendung der Office 365 Webanwendung und der Office Apps erfüllte derzeit nicht das notwendige Schutzniveau. Eine Nutzung sollte daher vorerst nicht erfolgen.

EU-Standardvertragsklauseln

Vorbehaltlich der rechtlichen Überprüfung durch den EuGH, müssen die in den Online Service Terms enthaltenen EU-Standardvertragsklauseln abgeschlossen werden.

Eine dauerhafte Garantie zum datenschutzkonformen Einsatz von Office 365 kann derzeit niemand geben. Die rechtlichen und behördlichen Entwicklungen müssen weiter beobachtet werden. Hier ist insbesondere das Ergebnis aus dem Verfahren Schremms II vor dem EUGH relevant. Bis jetzt ist ein Datentransfer auf Server in den USA aufgrund der Zertifizierung nach EU-US Privacy Shield rechtlich (noch) zulässig.

/von
,

Corona-Pandemie – Datenschutzkonformes Arbeiten im Home Office

Von Hans-Christian Schellhase, ANMATHO AG

Deutschland steht in Zeiten von COVID-19 (fast) still, im öffentlichen Raum bewegen sich nur Wenige. Schaut man jedoch in die Häuser und Wohnungen, finden sich dort momentan improvisierte Schulen, Spielplätze, Toilettenpapier-Lager, Fitness-Studios aber auch Büros, denn viele Beschäftigte arbeiten momentan im Home-Office. Diese Art der Arbeit ist allerdings eine, die datenschutzspezifische Herausforderungen mit sich bringt. Was sollte also hinsichtlich der Arbeit im Home-Office in Sachen  Datenschutz beachtet werden?

Was sollten Beschäftigte im Home-Office beachten?

Arbeitet ein Beschäftigter im sog. Home-Office, also flexibel von Zuhause aus, ist er dabei regelmäßig dem gleichen datenschutzrechtlichen Regelwerk unterworfen wie auch bei der Arbeit im Büro:

  • Werden personenbezogene Daten also auch im Home-Office verarbeitet, dies ist regelmäßig der Fall, muss der Beschäftigte darauf achten, dass diese Daten nicht von Dritten – insbesondere Familienmitgliedern – eingesehen oder sonst wahrgenommen werden können. Dokumente sollten etwa nicht für alle einsehbar auf dem Küchentisch oder im Wohnzimmer ausgebreitet und Bildschirme so gedreht werden, dass Dritte ihre Inhalte nicht erkennen können. Auch Telefonate sollten möglichst nicht in Anwesenheit anderer geführt werden. Schaffen Sie sich gerne Zuhause – soweit möglich – einen eigenen Bereich zum Arbeiten.
  • Optimal wäre es nach Möglichkeit in einem separaten, abschließbaren Raum zu arbeiten. Ist dies nicht möglich, sollte zumindest die Aufbewahrung aller personenbezogenen Daten, vornehmlich aller betrieblichen Unterlagen, in einem abschließbaren Schrank erfolgen.
  • Die vom Arbeitgeber für die Tätigkeit im Home-Office bereitgestellten technischen Geräte, vornehmlich Smartphones und Laptops, sollten zudem nicht privat genutzt werden, soweit für eine private Nutzung keine entsprechenden Vereinbarungen mit dem Arbeitgeber bestehen. Kinder dürfen diese Geräte also nicht für Hausaufgaben, das Surfen im Internet oder Computerspiele verwenden. Zudem sollte das jeweilige Geräte gesperrt werden, wenn es – ggf. auch nur kurzzeitig – nicht genutzt wird.
  • Berufliche E-Mails dürfen auch im Home-Office nicht zu ihrer Bearbeitung an private E-Mail-Postfächer der Beschäftigten weitergeleitet werden. Darüber hinaus dürfen – wie im Büro – auch keine Clouddienste über den privaten Account des Beschäftigten genutzt werden, um etwa betriebliche Dokumente oder andere Daten mit anderen Beschäftigten oder Dritten auszutauschen, dies gilt ebenso für private USB-Sticks oder Festplatten, die ebenso nicht für die berufliche Tätigkeit verwandt werden dürfen. Jeder Beschäftigte darf auch im Home-Office regelmäßig nur die Arbeitsmittel einsetzten, die ihm vom Arbeitgeber zur Verfügung gestellt wurden, hierdurch soll etwa auch ein Datendiebstahl durch Dritte verhindert werden.
  • Private Telefone oder Smartphones, die auch für die Arbeit im Büro nicht genutzt werden dürfen, dürfen auch im Home-Office nicht zur Erledigung der beruflichen Tätigkeit genutzt werden. Alle Beschäftigten müssen daher insbesondere auf Telefonate oder das Schreiben von Nachrichten mit den privaten Geräten zur Erledigung der beruflichen Tätigkeit verzichten, soweit es keine Bring-Your-Own-Device-Regelungen mit dem Arbeitgeber gibt.
  • Müssen Ausdrucke oder andere Papierdokumente vernichtet werden, sollte dies auch im Home-Office datenschutzkonform erfolgen. Ausdrucke von personenbezogenen Daten und anderen sensiblen Inhalten sollten somit nur mit Hilfe eines Schredders vernichtet oder zumindest mit einer gewissen Sorgfalt in kleine Stücke zerrissen werden.

Was muss der Arbeitgeber hinsichtlich einer Tätigkeit der Beschäftigten im Home-Office beachten?

Damit auch im Home-Office der Datenschutz nicht zu kurz kommt, treffen auch den Arbeitgeber gewisse Pflichten:

  • Der Arbeitgeber muss alle Beschäftigten zunächst auf die Problematik des Datenschutzes im Home-Office ausführlich hinweisen und sollte dies auch dokumentieren. Im Rahmen dieser Sensibilisierung sollte der Arbeitgeber wenigstens die oben erläuterten Punkte aufgreifen.
  • Der Arbeitgeber muss zudem den im Home-Office arbeitenden Beschäftigen eine IT-Ausstattung zur Verfügung stellen, mit der die datenschutzkonforme Arbeit auch möglich ist. Werden Laptops ausgegeben, sollte deren Festplatte etwa verschlüsselt werden. Das gilt auch für die vom Arbeitgeber ausgegebenen USB-Sticks oder andere Speichermedien. Auch Smartphones, samt Speichermedien wie SD-Karten, sind zu verschlüsseln.
  • Der Arbeitgeber sollte zudem alle Bildschirme von betrieblichen Geräten für das Home-Office mit entsprechenden Sichtschutzfolien ausstatten, damit deren Inhalte nur schwer eingesehen werden können, solche gibt es auch für Smartphones.
  • Der Zugriff auf das jeweilige Betriebssystem und auch alle anderen vom Arbeitgeber bereitgestellten elektronischen Endgeräte muss zudem mit einem Kennwort oder einer PIN versehen werden.
  • Die elektronische Datenübermittlung – etwa E-Mail – muss nach dem Stand der Technik verschlüsselt sein, Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über VPN, SSL bzw. TLS möglich sein. Die eingesetzten Verschlüsselungen sollten darüber hinaus auf ihre Belastbarkeit getestet werden, bevor Beschäftigte sie in großer Zahl nutzen.
  • Es sollte weiter ein Konzept zum Umgang sowie hinsichtlich der Vernichtung von sensiblen Unterlagen und Ausdrucken aber auch zu den anderen bereits oben betrachteten Punkten erarbeitet werden. Hier wäre ebenfalls zu prüfen, ob der Arbeitgeber auch für das Home-Office Drucker, Scanner, Kopierer oder Schredder – zumindest zeitweise – zur Verfügung stellt.

 Die Bazooka für den Home-Office-Datenschutz: Die Home-Office-Richtlinie

Sofern zeitlich noch oder wieder möglich, sollte die Arbeit der Beschäftigten im Home-Office in einer Richtlinie geregelt werden, wobei bei der Formulierung einer solchen Richtlinie der Datenschutzbeauftragte sowie ggf. auch der Betriebsrat miteinzubeziehen sind.

Bleiben Sie tapfer und gesund!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

ANMATHO-FORUM 2019

Wie jedes Jahr haben wir auch 2019 mit unserem ANMATHO-Forum gemeinsam mit unseren Kunden das Geschäftsjahr ausklingen lassen.

In weihnachtlichem Ambiente haben wir mit einem Live Hacking von Sebastian Schreiber von der SySS GmbH und mit mentaler Magie mit dem Mentalisten Thorsten Dankworth auf unterhaltsame Weise die Gefahren in unserer digitalen Welt aufgezeigt. Es wurde wieder einmal deutlich, wie wichtig die richtige Awareness, ein gutes Informationssicherheits-Management sowie Fortbildung in den Bereichen Informationssicherheit und Datenschutz ist.

Unter dem Motto „Neue Räume -neue Aufgaben“ haben wir unser neues Seminarprogramm 2020 vorgestellt, das mit unserem Umzug in unsere neuen Räumlichkeiten entstanden ist, um unsere Kunden bei der Sicherstellung ihrer Unternehmenswerte noch besser unterstützen zu können. Im Anschluss an die Vorträge hatten alle Teilnehmer die Möglichkeit, sich Einblicke in einzelne Seminarthemen zu verschaffen, einen Blick auf 1 ½ Jahre Datenschutz zu werfen oder an interaktiven Stationen Awareness-Tools zu testen. Gute Gespräche, ein konstruktiver Erfahrungsaustausch und ein reichhaltiges Buffet rundeten diesen Tag für alle ab.

Wir sagen noch einmal Danke an die Referenten und alle Teilnehmer, die diesen Tag auch für uns zu einem besonderen Ereignis gemacht haben.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen