Datenschutz-Newsletter Tobias Lange Externer Datenschutzbeauftragter
Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 01. August 2022

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

 

ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie:
  1. Datenschutz und IT-Sicherheitsbeauftragter (ISB)
  2. Checkliste für AV-Verträge mit Webhostern
  3. Aktuelles aus dem Datenschutz

1. Datenschutz und IT-Sicherheitsbeauftragter (ISB)

Wie ich bereits in einer Kundeninformation mitgeteilt hatte, bin ich jetzt auch zertifizierter IT-Sicherheitsbeauftragter. Diesen Schritt hatte ich schon diverse Male überlegt. Jetzt habe ich es dann getan, so dass ich diese Fachkunde, die nirgendwo gesetzlich genau geregelt ist, jetzt auch nachweisen kann.
Um das Thema etwas zu strukturieren, zeichne ich einmal das Bild einer idealtypischen Organisation unserer Zeit. Hier sollte die Geschäftsführung eine Reihe von Stabsstellen haben, die ihr zuarbeiten. Das ist zum einen ein Qualitätsmanagement nach DIN ISO 9001 und inzwischen auch ein Umweltmanagement nach DIN ISO 14001. Ggf. kommen branchenspezifische Normen dazu. Daneben sollte es einen Beauftragten für Compliance geben, der sich mit der Umsetzung rechtlicher Vorschriften sowie ethischer Grundsätze im Unternehmen befasst. Diese drei Aufgaben können in kleineren und mittleren Organisationen gut in Personalunion betrieben werden. Dann kommen noch der Datenschutzbeauftragte (DSB) und der IT-Sicherheitsbeauftragte (ISB) dazu. Auch diese Stellen können in kleineren und mittleren Organisationen, wenn ein Interessenkonflikt nicht vorliegt und es sinnvoll ist, grundsätzlich in Personalunion umgesetzt werden. Um die idealtypische Organisation abzuschließen, sollte es noch eine Hinweisgeber-Meldestelle nach EU-Richtline 1937/2019 bzw. dem in Entstehung befindlichen „HinSchG“ geben, wenn die Organisation mehr als 50 Beschäftigte hat oder einer bestimmten Branche angehört.
Werfen wir jetzt einen Blick auf den DSB und den ISB. Der DSB ist gesetzlich verankert. Er muss eine entsprechende Qualifikation haben und sich auch regelmäßig fortbilden. Für den ISB ist gesetzlich nichts derartiges vorgeschrieben. Theoretisch darf jede Person ISB, also IT-Sicherheitsbeauftragter sein, die eine entsprechende Befähigung hat (oder auch nicht hat). In der Praxis wird es dann aber etwas schwieriger. Ich verdeutliche das nachstehend an den Aufgaben eines ISB. Vorab möchte ich aber noch etwas generelles zu dieser Abkürzung ISB sagen: Man kann diese Abkürzung mit IT-Sicherheitsbeauftragter oder Informations-Sicherheitsbeauftragter übersetzen. Zweites gefällt mir besser, weil es umfassender ist. In einer Organisation gibt es Information in drei Formen:
  1. Digital gespeichert auf elektronischen Geräten.
  2. Analog auf Papier festgehalten.
  3. In den Köpfen von Menschen befindend.
Es ist dieser dritte Punkt, den man bei der Sicherheit von Information nicht außer acht lassen sollte. Die Köpfe von Menschen sind eine sehr komplexe Sache. Es gibt nicht umsonst den Satz: „Sich etwas von der Seele reden!“ – Menschen haben ein Bedürfnis Informationen in ihrem Kopf mit anderen Menschen zu teilen. Vielen fällt es schwer Geheimnisse für sich zu behalten. Hier können die verschiedensten psychologischen Gründe Auslöser sein, dass etwas erzählt wird, was nicht hätte erzählt werden sollen. Der Ort „Kopf eines Menschen“ mag physisch vor Eindringen geschützt sein, psychisch ist er es nicht. Man darf auch nicht außer acht lassen, dass man Menschen unter Druck setzen kann, damit sie alles erzählen, was ein anderer wissen will. Leider kommen solche Fälle jedes Jahr mehrmals auf meinem Tisch vor. Man sollte die Köpfe von Menschen also nicht in der Informationssicherheit und im Datenschutz unberücksichtigt lassen. Auch diese sind schützenswert!
Zurück zum Thema ISB: Neuerdings sind Schulungen mit dem Inhalt „Bedrohungen in der digitalen Welt“ für Mitarbeiter*innen quasi obligatorisch und, folgt man den Aufsichtsbehörden für den Datenschutz, auch Pflicht geworden. Diese oftmals auch als „Cyber-Sicherheit“ bezeichneten Schulungen fallen in den Bereich IT-Sicherheit. Dieser Bereich überschneidet sich bei den TOMs (technische und organisatorische Maßnahmen) mit dem Aufgabengebiet des DSB. Meine bisherige Auffassung war es, dass nichts dagegen spricht, wenn ein DSB auch Schulungen zur Cyber-Sicherheit macht. Diese Auffassung nehme ich zurück und folge den Vorgaben der Versicherungen, mit denen ich diese Frage tiefer diskutiert habe. Demnach bedarf es einer Fachkunde durch eine entsprechende Ausbildung als ISB oder den Nachweis einer solchen Eignung, um Aufgaben im Bereich des ISB vorzunehmen. Dieses ist den Versicherungen deswegen so wichtig, weil daran auch Beiträge und Kalkulationen geknüpft sind. Somit sollte letztendlich nur eine Person eine IT-Sicherheitsschulung durchführen, die einen entsprechenden Fachkundenachweis dafür hat. Und die Fachkunde als DSB reicht den Versicherungen nach hierfür nicht aus. Das muss man dann leider so akzeptieren.
Das Vorgesagte gilt auch für das ISMS (Information-Security-Management-System) und BCMS (Business-Continuity-Management-System), was im Deutschen meist als Notfallmanagement-System bezeichnet wird. Es ist erforderlich, wenn man umfassende eigene Server und Netzwerke betreibt oder immer dann, wenn man diese für dritte Nutzer*innen zur Verfügung stellt. Letzteres ist das Modell, was wir heute als Auslagern in eine „Cloud“ bezeichnen. Ich bin der Auffassung, und das nicht allein, dass in einem AVV für eine Clouddienstleistung inzwischen festgehalten sein sollte, dass der Cloud-Anbieter ein ISMS mit einer IT-Sicherheitsrichtlinie und ein BCMS installiert hat. Ferner, dass der ISB des Auftragnehmers als verantwortliche fachliche Stelle auch im AVV benannt wird, zu mindestens die Pflicht festgehalten wird, dass ein solcher bestellt wird. Somit sind die Anbieter von Cloud- und externen Serverleistungen indirekt verpflichtet, einen fachkundigen ISB zu installieren, weil die Kunden sie per AVV dazu zwingen.
Bei der Umsetzung eines ISB gibt es, je nach Branche und Größe der Organisation, verschiedene Modelle. So wird im produzierenden Gewerbe in der Regel zusätzlich ein sogenannter ICS-ISB eingesetzt, der den ISB unterstellt ist. „ICS“ steht für „Industrial Control Systems“ und dieser Person obliegt das Sicherheitskonzept für die automatisierte Fertigung. Nehmen wir hierfür einmal das Beispiel eines Babynahrungsherstellers. Diese Fertigung funktioniert heutzutage automatisiert mit Maschinen, die die Inhaltsstoffe eigenständig mischen. Diese Maschinen sind natürlich im LAN oder WLAN des Unternehmens und werden über Software von digitalen Endgeräten aus gesteuert. Hackt jemand das System, könnte die Zusammensetzung der Babynahrung nach Belieben verändert werden, was weitreichende Folgen für die konsumierenden Säuglinge hätte. Der ICS-ISB ist für die Sicherheit dieser Produktionsgeräte zuständig und arbeitet mit dem ISB zusammen. Im weiterem ist es in kleineren Organisationen nicht unüblich geworden, einen externen ISB zu bestellen, der mit einem internen Sicherheitsbeauftragten zusammenarbeitet. Diese Konstellation hat oftmals Vorteile bei der Frage nach der Qualifikation und bei den Kosten.
Bei der Datenschutz-Folgenabschätzung (DSFA) wird es etwas komplizierter. Der DS-GVO nach wird diese durch die verantwortliche Stelle unter Mitwirken des DSB und des ISB erstellt. In der Praxis wirft das gleich mehrere Fragen auf. Zum einen, ob es überhaupt einen ISB im Unternehmen gibt? Zum anderen die Frage, wer in der verantwortlichen Stelle überhaupt die Qualifikation hat, eine DSFA zu verfassen. Es bedarf dafür der Fachkunde von DSB und ISB. Insbesondere der des ISB, da sich die DSFA eng am Schema eines ISMS orientiert. Man kann es drehen und wenden wie man will, aber nur mit beiden Qualifikationen ist die DSFA auch nachweislich fachkundig erstellt. Für die Praxis heißt das, dass ein ISB die DSFA unter Mitwirken von DSB und Geschäftsführung erstellen sollte. Von der Qualifikation aus betrachtet, macht nur das Sinn.
Fazit der Geschichte ist also, dass bestimmte Dinge einen ISB erfordern, und dessen Fachkunde irgendwie zertifiziert und nachweisbar sein muss. Der eigentlichen Aufgabe, nämlich Lösungen zu erarbeiten, die die IT so sicher wie möglich machen, ist damit nicht unbedingt geholfen. In der Ausbildung zu einem ISB kommen konkrete technische Umsetzungen nicht vor. Gefahrenquellen in der Theorie zu kennen, ist eine Sache. Es ist zweifellos auch eine wichtige Qualifikation. Diese Gefahrenquellen durch technische Maßnahmen in der Praxis dann zu minimieren oder ganz zu beseitigen, ist aber eine ganz andere Sache.

2. Checkliste für AV-Verträge mit Webhostern

Auf der Seite der Berliner Datenschutzbeauftragten findet sich eine Pressemitteilung mit einer Checkliste für Auftragsverarbeitungsverträge (AVVs) mit Webhostern. Mir stellen sich für die Praxis einige Fragen: Die Checkliste ist wirklich komplex und erfordert teilweise tieferes technisches und juristisches Verständnis, welches so nicht jeder hat. Zum anderen wird man kaum seinen Webhoster, zum Beispiel Unternehmen wie 1&1, Strato, allink etc., dazu bewegen können, dass dieser seinen vorgegebenen AVV anpasst. Ich sehe diese Checkliste daher mehr als eine Vorlage für die Webhoster selbst, die ihre AVVs daran ausrichten sollten.
Einige Punkte dieser Checkliste gehen aber über das Webhosting hinaus und sind grundsätzlich interessant. Wenn die Berliner Datenschutzbeauftragte diese Checkliste veröffentlicht, darf man sicher auch von bundesweiter Relevanz und Zustimmung der übrigen Aufsichtsbehörden des Landes ausgehen. Strittig war bisher immer, ob ein AVV in den AGBs eingebunden sein darf. Diese Frage ist dann wohl mit einem Ja beantwortet. Ferner kann man aus der Checkliste eine Stellungnahme zur Kostenfrage bei Vorortprüfungen des Auftraggebers ableiten. Hiernach ist es offensichtlich zulässig, als Auftragsverarbeiter dem Auftraggeber die Kosten einer Prüfung durch diesen in Rechnung zu stellen, wenn diese Prüfung wegen eines Rechtsverstoßes des Auftragnehmers oder aus anderem Rechtsgrund nicht zwingend notwendig war. Das nehme ich dann mal so zur Kenntnis.
Nicht wirklich klar ist mir der Teil der Checkliste, der sich auf die TOMs bezieht. Hiernach müssen die technischen und organisatorischen Maßnahmen im AVV nicht eindeutig geregelt sein. Ein Hinweis darauf, dass sie eingehalten werden, kann auch genügen. In der Praxis wird das derzeit anders gelebt und auch Vorlagen für AVVs diverser Aufsichtsbehörden sind anders aufgebaut. Ich nehme auch das mal so zur Kenntnis. Unter bestimmten Umständen mag es sinnvoll sein. Dennoch bevorzuge ich die Variante, wo in einer Anlage technische und organisatorische Maßnahmen konkret benannt sind, und halte diese weiter für die rechtlich korrekte Variante.
Eigentlich ist die Checkliste für jede Form von AVV in Bezug auf IT gut zu nutzen und ein Abgleich empfehlenswert. Die Checkliste der Berliner Datenschutzbehörde kann man hier einsehen: Checkliste AVV

3. Aktuelles aus dem Datenschutz

Auf den letzten Newsletter gab es mehr Feedback als gewöhnlich und fast alles zu einem Thema, nämlich dem menschlichen Versagen bei E-Mail-Anhängen. Ich zitiere mal, mit Erlaubnis der Person, eines dieser Feedbacks: „Wir haben zwei Schulkinder und wenn deren Schulen bei jedem falschen Anhang mit persönlichen Daten oder bei versehentlicher Offenlegung der E-Mail-Adressen eines ganzen Verteilers eine Datenpanne melden würden, dann müssten sie dafür eine Person einstellen, die jeden Tag nichts anderes tut.“ Und vier weitere Feedbacks führten Schulen als Beispiel in gleicher Art an. Da ich selbst ebenso zwei Schulkinder habe, kann ich dem ehrlich gesagt auch nicht völlig widersprechen. Wir lassen das mal so im Raum stehen und nehmen zur Kenntnis, dass hier noch viel Luft nach oben für unsere Schulen besteht.
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) hat eine Reihe von Erklärvideos für Kinder zum Thema Datenschutz herausgebracht. Ob damit wirklich Kinder erreicht werden, kann ich nicht beurteilen. Aber allein der Versuch zählt. Die Videos findet man hier: Mediathek BfDI
Der Dienst Golem meldet eine Datenpanne der besonderen Art aus Japan. Für Japan besteht ein Angemessenheitsbeschluss nach Art. 45 DS-GVO und die Datenverarbeitung dort hat grundsätzlich einen vergleichbaren Standard wie die DS-GVO. Ein Mitarbeiter eines IT-Unternehmens, das beauftragt war Corona-Hilfen technisch abzuwickeln, kopierte sich in einer Stadt südlich von Tokio 460.000 Einwohnerdaten, teils mit vertraulichen Informationen, auf einen USB-Stick. Dann ging er in eine Kneipe etwas trinken. Er trank etwas mehr, vermutlich viel mehr und auf dem Weg nach Hause schlief er irgendwo auf der Straße ein. Als er aufwachte, war die Tasche mit dem USB Stick weg. Da in der Tasche auch sein eingeschaltetes Smartphone war, konnte die Tasche geortet werden. Sie war noch unversehrt und der USB-Stick noch in der Tasche. Die Daten auf de USB-Stick waren übrigens sicher verschlüsselt und spätestens jetzt wissen wir, warum sichere Verschlüsselung beim Transport von Daten sehr wichtig ist!
Zum vorgenannten Fall aus Japan sei darauf hingewiesen, dass es derzeit vermehrt Warnungen vor nicht sicheren USB-Secure-Sticks gibt. So nennt das Medienhaus Heise in einem Artikel konkret zwei Modelle, eines von Verbatim und eines von Lepin, welche aufgespielte Daten verschlüsseln sollen, aber Sicherheitslücken haben. Es ist grundsätzlich zu empfehlen eine eigene Verschlüsselungstechnik bei Daten, die man auf einen USB-Stick spielt, anzuwenden.
Wordfence, ein Unternehmen, welches sich mit der Sicherheit von vorwiegend WordPress Webseiten beschäftigt, weißt sehr berechtigt darauf hin, dass die Sicherheit des Ports 443 nicht aus dem Auge gelassen werden sollte. Darüber hinaus, dass man nicht den Port 80 für den Port 443 austauschen sollte. Für den „Autonormalnutzer“ ist hierbei wohl der Part entscheidend, dass jedes Plugin theoretisch über diesen Port mit externen Servern kommunizieren kann und man bei der Wahl von Plugins und den Berechtigungen für Plugins sehr sorgfältig wählen sollte. Dabei betrifft der Ansatz bei dieser Problematik mehr eine versehentliche Sicherheitslücke in der Programmierung als vorsätzlich böse Absichten von Hackern.
Das BSI (Bundesamt für die Sicherheit in der Informationstechnologie) warnt vor gezielten Social-Engeneering-Angriffen auf hochrangige Politiker*innen. Damit meint das BSI zum Beispiel einen falschen Vladimir Klitschko, der eine Berliner Bürgermeisterin, wie Frau Giffey, anrufen könnte. Leider kam diese Warnung für Frau Giffey zu spät.
Die Zeit-Online berichtet über strengere EU-Sicherheitsrichtlinien, die gegen Cyber-Angriffe beschlossen wurden. Diese sind noch nicht in Kraft und, wenn sie dann demnächst in Kraft treten, haben die Länder immer noch 21 Monate Zeit zur Ratifizierung. Es geht dabei vor allem um kritische Infrastruktur. Grundsätzlich sind diese Sicherheitsrichtlinien auch angemessen und zeitgemäß. Die Umsetzung kann ich mir in einigen Branchen aber noch nicht vorstellen. So wird es dann auch bestimmte, recht hohe Anforderungen an die IT von Krankenhäusern geben. Das ist grundsätzlich natürlich richtig und zu begrüßen. Aber nicht klar ist mir, wie einige Krankenhäuser das ohne zusätzliche Finanzmittel, die sie nicht haben, bewerkstelligen sollen. Kommt man der Richtlinie nicht nach, drohen hohe Bußgelder. Ich werde das Thema weiter verfolgen.
T-Online berichtet über einen quasi Nachtrag zu einem Ransomware-Angriff aus 2019 auf die Universität Maastricht. Die Gruppe dahinter wurde gefasst und es wurde tatsächlich auch Geld sicher gestellt. Und zwar in Form von Bitcoins, womit das Lösegeld seinerzeit bezahlt wurde. Entsprechend bekommt die Universität Maastricht nun auch Bitcoins zurück. Funfact dabei ist, dass der Bitcoin inzwischen enorm gestiegen ist und es viel mehr Geld in Euro zurück gibt, als man ursprünglich gezahlt hat. Der Gewinn ist sechsstellig. Die modernen Zeiten schreiben manchmal schon verrückte Geschichten.
In Bezug auf Webseiten warne ich derzeit vor dem Einsatz der Einwilligungsformulare von „Usercentrics“ und „Cookiebot“. Bezüglich letzterem verweise ich auf das noch laufende Verfahren vor dem VG Wiesbaden Az.: 6 L 738/21. Fraglich ist für mich hierbei nicht nur der Einsatz eines CDN-Servers, sondern das Konstrukt an sich wirft viele Fragen auf. Dazu zählt auch eine umfangreiche Java Script Routine, welche meiner persönlichen Auffassung nach das Nutzerverhalten der Besucher*innen einer Webseite, in der dieses Tool läuft, detailliert aufzeichnet. Cookiebot und Usercentrics sind miteinander verbundene Unternehmen. Hierbei weist das Produkt von „Usercentrics“ viele Parallelen zu cookibot auf. Vor Klärung des Sachverhalts durch die Aufsichtsbehörden oder die Rechtsprechung, sollten diese Dienstleister nicht eingesetzt werden.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. In dem nächsten Newsletter wird es um Bußgelder der Aufsichtsbehörden im europäischen Vergleich gehen.

 

Herzliche Grüße

 

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist externer Datenschutzbeauftragter und führt die Befähigung nach Artikel 37 DSGVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent:innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter stellt keine Rechtsberatung dar.

 

 

IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de