Datenschutz-Newsletter Tobias Lange Externer Datenschutzbeauftragter
Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. Mai 2022

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,
ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie:
  1. Ab in den Urlaub
  2. Anti-Viren Software
  3. Aktuelles aus dem Datenschutz

1. Ab in den Urlaub

Jeder von uns ist nach jahrelanger Dauerkrise mit Sicherheit urlaubsreif. Und viele planen auch mal wieder eine größere Reise für den Sommer. Was hat so ein Urlaub mit Datenschutz zu tun? Jedenfalls müssen Sie keine Angst haben, dass ich Ihnen als Lektüre für den Strand die DS-GVO mitgebe. Aber ich möchte Ihr Augenmerkt auf ein paar Kleinigkeiten lenken, die vielen beim Thema Urlaub vielleicht gar nicht so bewusst sind.
Manch einer von Ihnen mag eine Ferienwohnung gebucht haben oder hat ein schönes Hotelzimmer mit einem großen Fernseher. Als erstes meldet man sich dann bei Netflix an, damit man auch im Urlaub seine Lieblingsserien gucken kann. Dagegen spricht auch gar nichts. Nur die meisten melden sich am Ende des Urlaubs auf dem Fernseher nicht wieder ab. Der nächste Gast guckt dann mit Ihrem Abonnement weiter, ohne dass Sie das wollten oder wissen. Wenn es ganz unglücklich kommt, bei einigen Diensten leider möglich, kann der unbekannte Gast, der nun auf ihrem Konto guckt, Sie von allen anderen Geräten abmelden. Dann kommen Sie mit ihrem Smartphone oder Laptop nicht mehr in das Konto und haben ein Problem.
Das gesagte gilt natürlich auch für Mietwagen. Am Flughafen angekommen, wartet dieser schon auf Sie. Sie steigen ein und als erstes verbinden Sie das Navi und Entertainmentgerät per Bluetooth mit ihrem Smartphone. Hier wird dann Ihre Playlist heruntergeladen, die Anrufliste und einiges mehr. Alle Routen, die sie so fahren, werden gespeichert. Und sie können in der Geräteverwaltung nachsehen, wer vorher schon alles mit diesem Auto verbunden war. Unter Umständen auch noch mehr als das. Wenn Sie das Auto abgeben, dann sollten Sie Ihr Telefon in der Geräteverwaltung löschen oder das ganze System zurücksetzen. Sicher ist sicher, und das ist wirklich empfehlenswert.
Und dann gibt es auch noch digitale Hotelschlüssel, Hotel-Safes mit einem digitalen Schloss und einige automatisierte Prozesse, in denen man mit Ihnen abrechnet oder auf Ihr Smartphone zugreift etc. Bevor ich Ihnen noch den Spaß am Urlaub nehme, was ich gar nicht will, bitte ich Sie alle einfach einmal im Urlaub darauf zu achten, wo Sie sich überall mit einem digitalen Konto oder Ihrem Smartphone anmelden und einloggen. Die Liste der Möglichkeiten ist lang und fast grenzenlos. Es spricht in der Regel nichts dagegen, das zu tun, aber melden Sie sich am Ende Ihres Urlaubs auch bitte wieder ab. Ändern Sie den vorab eingestellten Code Ihres Hotel-Safes und achten Sie auf automatisierte Prozesse. Es ist nicht in ihrem Interesse, dass der nächste Gast ihre Identität weiter nutzt oder Ihre Daten findet.

2. Anti-Viren Software

Der amerikanische Experte für Internet-Sicherheit, Marc Goodmann, schrieb in seinem in Deutschland in 2015 veröffentlichten Buch „Global Hack“, welches sich auf den Sachstand von vor 10 Jahren bezieht, dass die Erfolgsquote von Anti-Viren Software bei aktuellen Bedrohungen bei unter 10% liegt. Er bezog sich dabei auf durchgeführte Untersuchungen an einem Institut in Kalifornien. Der Sachverhalt verwundert auch nicht, da die Funktionsweise solcher Software die ist, dass man Viren und Malware durch Vergleichen des Codes mit Mustern in der Bibliothek der Anti-Viren Software erkennt. Damit solche Muster in der Bibliothek der Anti-Viren Software vorhanden sind, muss die Malware zuerst erkannt und dann dort eingepflegt worden sein. Gemäß dem BSI (Bundesamt für Sicherheit in der Informationstechnologie) gibt es derzeit täglich um die 400.000 neuen Bedrohungen. Das hieße, dass man für die Anti-Viren Software täglich ein Update mit neuen 400.000 Einträgen bekommen müsste. In der Praxis ist das natürlich nicht so. Da stellt sich die Frage, ob wir uns jetzt weiter entwickelt haben und andere Verfahren einsetzen, die eine höhere Erkennung gewährleisten, oder ob sich eigentlich nichts gegenüber dem Stand von vor 10 Jahren verändert hat?
Wenn man heutzutage die Testergebnisse auf dem recht übersichtlichen Markt für Anbieter von Anti-Viren Software anguckt, dann ist man versucht zu glauben, dass man absoluten Schutz kaufen kann. Abwechselnd, je nach dem Durchführer des Test, erreichen alle Programme Höchstwerte. Bei „Bundespolizei-Virus„, was nichts mit der Polizei zu tun hat und zu einer „Initiative bleibt Virenfrei“ gehört, erhält Bit-Defender in der Kategorie „Schutz“ 10 von 10 Punkten. Das entspräche einer absoluten Erkennung alle Bedrohungen. Bei anderen Tests haben andere Anbieter diesen Status. Für mich klingt das sehr verwunderlich und wenig glaubhaft.
Was können und tun diese Programme eigentlich? Es werden diverse Leistungen angeboten, die ich hier einmal aufführe und mir erlaube zu bewerten:
  • Firewall: Ihr Betriebssystem hat eine Firewall und mehr als eine Firewall kann man nicht nutzen und braucht man auch nicht. Diese Leistung ist in der Praxis also nicht wirklich relevant und sicher auch nicht anders oder besser als die Firewall Ihres Betriebssystems.
  • Phishing-Schutz: Das funktioniert in der Regel so, dass die E-Mails anhand gängiger Schlagwörter oder Muster, auch durch Überprüfung bekannter Absender von Phishing, analysiert und in den Junk-Ordner oder die Quarantäne verschoben werden. Eine solche Funktion bieten aber auch die E-Mailprovider an, bei denen Sie eine E-Mailadresse haben. Auch diese Leistung braucht daher keiner, weil man es anderweitig schon bekommt.
  • E-Mail Schutz: Echtzeiterkennung von Bedrohungen in E-Mails, wenn man diese abruft, sollte jedes Anti-Viren Programm haben und hat es in der Regel auch. Es ist keine besondere Funktion. Meistens ist damit mehr ein Schutz gegen weitere Bedrohungen als nur Phishing gemeint, welchen aber regelmäßig auch Programme wie Outlook und Thunderbird oder ihr Webmailer-Dienst haben. So wirklich relevant ist auch diese Funktion nicht.
  • Kinderschutz: Klingt gut, ist sicher wichtig, aber gleichzeitig sehr komplex. Kinder im Internet zu schützen und zu verwalten, ohne diese dabei in vielen Funktionen, die sie gerne in Anspruch nehmen dürfen, zu blockieren, ist schwierig. Ich bewerte diese Leistung hier nicht. Kinder sind grundsätzlich von allen Bedrohungen gleichermaßen betroffen, erkennen aber oftmals Phishing und Malware nicht so gut wie Erwachsene. Die ernüchternde Erkenntnis aus der Praxis ist die, dass automatisierte Verfahren hier auch nur sehr begrenz helfen.
  • VPN: Diese Abkürzung steht für „Virtual Private Network“ und wird allgemein oft als Verschleierung der IP-Adresse für sicheres Surfen im Netz verstanden. Um letzteres geht es bei diesen Angeboten auch. Allerdings sind die technischen Verfahren dafür meistens fraglich. Das ganze ist nicht so anonym und sicher, wie es gesagt wird. Das lasse ich einmal so stehen und gehe nicht ins Detail. Vielleicht ist VPN mal ein Thema für einen der nächsten Newsletter. Der Mehrnutzen, bzw. der Nutzen für die Sicherheit, ist jedenfalls gering. Man kann sich Malware auch über VPN versehentlich herunterladen. Das ganze ist in dieser Form mehr Marketing als effektives Tool.
  • Sichere Bezahlung: Bit-Defender setzt das so um, dass man einen eigenen sicheren VPN Browser hat, um sich mit dem Onlinebanking Ihrer Bank zu verbinden. Dieser Browser ist nicht sicherer noch unsicherer als alle anderen Browser und ihr Onlinebanking ist mit „https“ durch „SSL“ sowieso verschlüsselt. Und von einem öffentlich zugänglichen ungesicherten Netzwerk, zum Beispiel das WLAN in einem Restaurant, gehen Sie bitte niemals in ihr Onlinebanking oder in irgendeinen wichtigen Konto-Zugang. Auch nicht mit einem „Bit-Defender extra sicher Browser“. Somit ist diese Funktion auch nicht relevant.
  • Update-Manager: Das erstaunliche daran ist, dass nicht jede Anti-Viren Software diese Funktion wirklich hat und man manche Viren-Software manuell updaten muss. Oftmals findet sich hier ein Unterschied zwischen „Free Versionen“ und den kostenpflichtigen „Pro-Versionen“. Natürlich sollte eine gute Antiviren-Software sich selbständig und regelmäßig updaten.
Es verbleibt also unter dem Strich, dass Viren-Software dazu da ist, Malware zu erkennen. Das ist die eigentliche und auch die einzig wichtige Aufgabe. Und wir sind zurück bei der immer noch offenen Frage, ob jede Anti-Viren Software dieses gleichermaßen gut tut und wie hoch die Erkennung ist? Die Stiftung Warentest hatte hierzu eine Studie mit 40.000 akuten Bedrohungen getätigt. 40.000 geprüfte Bedrohungen klingt viel, aber tatsächlich kommen jeden Tag von Neuen das zehnfache an Bedrohungen in die digitale Welt. Nachdem man dann eine Auswahl getroffen hat, welche Bedrohungen für die Studie genommen werden und hiernach getestet wird, verstreicht ein gewisser Zeitraum. Damit ist nichts mehr aktuell. Jede dieser Studien, wobei die Studie der Stiftung Warentest schon sehr groß und tiefgreifender als andere Studien war, hat immer eine veraltete Grundlage. Damit sind diese Studien nicht aussagekräftig in Bezug auf aktuelle Bedrohungen.
Eine positive Tatsache hingegen ist, dass man in dem technischen Verfahren der Erkennung in sofern dazugelernt hat, dass heutzutage zusätzlich auch eine heuristische Methodik angewandt wird. Somit ist die Erkennung größer als vor 10 Jahren. Andererseits ist die Zahl der Bedrohungen rapide gestiegen. Ich hatte jüngst selbst einen Fall eines Laptops, wo sich eine Malware im „edge Explorer“ festgesetzt hatte. Es war eine sehr bekannte Bedrohung, die ich aber mit keinem gängigen Viren- oder Malwarescanner fassen und bereinigen konnte. Selbst nicht mit der Pro-Version eines Malwarescanners, der sich genau dafür anpries. Es bleibt also der nüchterne Schluss: Virenscanner sind gut und wichtig, erkennen aber bei weitem nicht alles. Eine absolute Sicherheit gibt es nicht. Daneben haben zusätzliche Virenscanner immer sehr hohe Rechte im System, weil die Programme sonst nicht arbeiten könnten. Gibt es eine Sicherheitslücke in der Software dieser Virenscanner, dann ist das ein wirkliches Problem. Und auch die Anti-Viren-Software-Anbieter kommen regelmäßig in den Warnungen des BSI vor.
Fazit der ganzen Sache ist: Man sollte einen Virenscanner installiert haben. Welcher das ist, ist nahezu egal. Nichts spricht gegen den Microsoft Defender bei Windows Systemen, der in der Regel kostenlos ist. Zusatzsoftware bringt eher mehr potentielle Schwachstellen als Nutzen. Darüber hinaus sollte man generell nur Software aus zuverlässigen Quellen installieren und immer sofort alle Updates einspielen. Neben diesem Grundschutz ist der Mensch die größte Gefahr. Klickt man auf etwas falsches, kann oftmals niemand mehr helfen. Daher bekommt die Schulung von Mitarbeiter*innen auf einen sicheren Umgang mit aktuellen Bedrohungen in der digitalen Welt eine immer größere Bedeutung. Diese Schulungen sollten regelmäßig für alle Mitarbeiter*innen, die mit digitalen Endgeräten arbeiten, durchgeführt werden.

3. Aktuelles aus dem Datenschutz

Unter den diversen Sicherheitswarnungen, die irgendwie natürlich alle relevant sind, gibt es eine, die besonders relevant ist. Lenovo und das BSI warnen vor einer schweren Sicherheitslücke im BIOS von Lenovo Geräten. Es sind quasi alle Desktops, Laptops, Notebooks und Tablets betroffen. Jeder, der ein Lenovo Gerät besitzt, privat oder beruflich, sollte unbedingt dieses BIOS Update machen. Informationen hierzu und wie Sie das Update machen, finden Sie auf der folgenden Seite von Lenovo: So aktualisieren Sie das System- BIOS – Windows – Lenovo Support DE
Die Datenschutzkonferenz der Länder (DSK) hat einen Beschluss gefasst und auch veröffentlicht, wonach im Online-Handel zukünftig, aus Datenschutzgründen, jeder Online-Shop einen Gast-Zugang für einen Kauf zur Verfügung stellen muss. Nutzer*innen sollen kaufen können, ohne ein Konto hierfür zwingend eröffnen zu müssen. Juristisch scheint dieses Thema heiß umstritten, wie ich es bisher mitbekommen habe. Aber die DSK hat es so beschlossen. Schauen wir, ob der Beschluss in der Praxis zu dem gewünschten Erfolg führt.
Der BFDI (Bundesbeauftragte für den Datenschutz und die Informationssicherheit) hat seinen Tätigkeitsbericht vorgelegt. Zu diesem Papier komme ich im nächsten Newsletter. Ich möchte aber kurz erwähnen, dass ich die direkte Ansprache einiger Missstände im Datenschutz, ohne Herumreden, sehr schätze. So sagte Prof. Kelber in der Pressekonferenz zur Vorstellung des Berichts schlichtweg den Satz „… einige Krankenkassen halten sich so gar absichtlich nicht an den Datenschutz, weil sie glauben keine Strafen fürchten zu müssen…“ Daran ist etwas und es gilt nicht nur für diesen Bereich juristischer Personen des öffentlichen Rechts. Von solchen klaren Worten bräuchten wir mehr.
Unter „Aktuelles aus dem Datenschutz“ drücke ich jetzt mal meinen Frust über diesen Teil des praktischen Datenschutzes aus: So dauern mir die Prüfungsverfahren vor den Aufsichtsbehörden schlichtweg zu lange. In anderen europäischen Ländern geht das besser und schneller. So zum Beispiel in Spanien und Frankreich. Und das Ergebnis ist dabei auch immer sehr viel vorhersehbarer und der Datenschutz wird rigoroser in die Praxis gebracht. Bei uns hingegen kann selbst eine Prüfverfahren für eine einfache Videoüberwachung oder eine Webseite mehrere Jahre dauern. Als Ergebnis gibt es oftmals ganz viele Konjunktive, obwohl die Rechtslage recht eindeutig ist. Geht der Datenschutz vor Gericht, dann gibt es hingegen keine Konjunktive und recht eindeutige Urteile. Hier kritisiere ich die Aufsichts-behörden. Diese Problematik liegt nicht nur am (politisch gewollten) Personalmangel in diesen Behörden. Es hat noch mehr Gründe.
Der BFDI (Bundesbeauftragte für den Datenschutz und die Informationssicherheit) hat seinen Konsultationsbericht für den Einsatz von künstlicher Intelligenz (KI) in der Strafverfolgung veröffentlicht. Wenn dieses Thema auch nicht unmittelbar meine Kunden betrifft, so ist es gesellschaftlich ein äußert wichtiges Thema, dem man Beachtung schenken muss. Bei der Vielzahl an Daten, die wir generieren, brauchen wir auch in Strafsachen automatische Verfahren zur Auswertung. Menschen allein können das nicht mehr bewältigen. Andererseits wollen wir aber auch nicht, dass Unschuldige ins Gefängnis kommen, weil ein Algorithmus das entschieden hat. Natürlich muss hier das Recht auf eine faires Verfahren gewährleistet werden. Es stellen sich Fragen nach Transparenz, nach automatisierten Bewertungen und den Rechten betroffener Personen. Es ist ein sehr wichtiges Zukunftsfeld, dem man Beachtung schenken muss. Den Film „Minority Report“ mit Tom Cruise und Cameron Diaz haben vermutlich alle gesehen, und eine solche Zukunft wollen wir sicher nicht.
Renate Künast hatten wir neulich schon im Newsletter. Sie hat erneut gegen Facebook geklagt, und es wurde ein Urteil gesprochen. Dieses Mal ging es um ein Bild mit einem falschen Zitat von ihr. Frau Künast verlangte die Entfernung in Facebook. Es bestand Einigkeit darüber, dass dieses Recht für Frau Künast gegenüber Facebook direkt besteht und der Meta-Konzern, zu dem Facebook gehört, verweigerte die Löschung auch grundsätzlich nicht. Jedoch erwartete man von Frau Künast, dass diese alle Bilder mit diesem Zitat in Facebook einzeln zur Löschung melden sollte. Inzwischen war das Bild kopiert und geteilt worden, so das es mehrere hundert mal in Facebook erschien. Das Gericht entschied, dass Frau Künast nicht selbst jede einzelne dieser Kopien melden muss. Facebook ist in der Pflicht selbst alle diese Bilder zu suchen und zu löschen. Eine Stärkung der Verbraucher-rechte und ein wichtiges Urteil. Etwaige Rechte gegen die Urheber, zum Beispiel wegen Verleumdung, waren nicht Gegenstand dieses Prozesses. Jeder sollte aber vorsichtig sein, solche Inhalte zu teilen, wenn nicht deutlich zu erkennen ist, dass es sich um Satire handelt.
Ein interessantes Urteil gab es vom Verwaltungsgericht Ansbach AN 14 K 20.00083. Ansbach, falls es nicht bekannt ist, ist in Bayern. Das Urteil bestätigt einen Bescheid der bayrischen Aufsichtsbehörde gegen ein Fitnessstudio, die permanente Videoüberwachung des Trainingsbereichs einstellen zu müssen. Man hatte hier, auf der Grundlage eines berechtigten Interesses, den Trainingsbereich (nur diesen) zum Schutz vor Diebstahl und sexueller Belästigung weiblicher Gäste videoüberwacht. Die Aufbewahrung der Aufnahmen erfolgte nur 48 Stunden und es gab ein Verfahren zur Zugriffsbeschränkung. Die Begründung des Gerichts stützte sich allein drauf, dass in einem Fitnessstudio eine Freizeitaktivität ausgeübt wird. Unter Verweis auf die Richtlinien der EDSA zur Videoüberwachung von Freizeitaktivitäten wurde festgestellt, dass in der Abwägung das Recht der Trainierenden auf informelle Selbstbestimmung überwiegt. Eine Berufung wurde ausdrücklich zugelassen. Ich gebe offen zu, dass ich mich schwer mit diesem Urteil tue, aber es zeigt wieder einmal, wie hoch wir (zurecht!) die informelle Selbstbestimmung ansetzen.
Diverses: Europol hat eines der größten Foren für Cyberkriminelle im Darknet, das „RaidForums“ ausgehoben und geschlossen. Dem neu vorgestellten Bericht des BKAs nach sind die Fälle von Cyberkriminalität und Kindesmissbrauch im Netz deutlich gestiegen. Dieses liegt vor allem aber auch daran, dass inzwischen deutlich mehr auf diesem Gebiet ermittelt wird. Meta, so heißt Facebook jetzt, hatte eine Datenpanne, bei der Nutzerdaten in größerer Zahl herausgegeben wurden. Kriminelle gaben sich als Ermittler aus und stellten eine Notfalldatenanfrage an den Konzern. Bei Meta hielt man die Anfrage für echt und gab alles heraus, eingeschlossen Anschriften und Telefonnummern. Der Stern berichtet über einen besonders interessanten Fall. Sicherheitslücken beim Anbieter von Sicherheitskameras „Wyse“. Dieses Unternehmen ist führend in den USA. Auf im Internet freigegebene Kameras konnte von jedermann zugegriffen werden, da eine Authentifikation nicht erforderlich war. Laut Stern wusste das Unternehmen seit 3 Jahren darüber Bescheid. Die Sicherheitslücke wurde aber erst im Januar geschlossen. Der Markt regelt, dass Unternehmen ihr Geld leicht verdienen. Aber bei der Verantwortung von Unternehmen, scheint der Markt wenig zu regeln. In der digitalen Welt ist also alles wie immer.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter geht es um den im April vorgelegten Tätigkeitsbericht des BFDI (Bundesbeauftragen für den Datenschutz und die Informationssicherheit), in dem einige interessante Dinge stehen. Und um einen meiner Lieblingsparagrafen des Datenschutzes, nämlich §73 BDSG.
Herzliche Grüße
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de