Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 07. Oktober 2020

DATENSCHUTZ NEWSLETTER
Sehr geehrte Kunden und Abonnenten des Newsletters,
ich freu mich eine neue Ausgabe des Newsletter versenden zu dürfen.

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Hacker-Angriff auf das Uni-Klinikum Düsseldorf
  2. Datenübertragung in die USA
  3. Lernportale für Kinder und für den Schulunterricht
  4. 35 Mil. Euro Datenschutz-Strafe für H&M
  5. IT-Grundschutz nach BSI - Teil 3

1. Hacker-Angriff auf das Uni-Klinikum Düsseldorf

Wieder einmal trifft es ein Krankenhaus, und wieder einmal ist der Angriff erfolgreich. In der ersten Hälfte des Septembers bricht im Uni-Klinikum Düsseldorf die gesamte IT zusammen. Eine Notfallpatientin kann deswegen nicht mehr aufgenommen werden. Sie verstirbt auf dem Weg nach Wuppertal. Aus diesem Grund wird auch wegen fahrlässiger Tötung ermittelt. Es ist aber zu bezweifeln, dass die Polizei die Täter jemals finden wird können.

Bei dem Angriff handelte es sich um einen Erpressungsversuch, bei welchem die Hacker die IT quasi als Geisel nahmen, diese funktionsunfähig machten und erst nach Erhalt eines Lösegelds wieder freigeben wollten. Sie hinterließen einen online Erpresserbrief im System und forderten, wie bei einer klassischen Entführung, keine Polizei einzuschalten. Die Polizei wurde trotzdem eingeschaltet. Als diese mit den Hackern über deren besagten Weg den Kontakt aufnahm und mitteilte, dass es sich bei dem Opfer um ein riesiges Krankenhaus handelt, ließen die Hacker von der Erpressung ab und gaben die als Geisel genommene IT des Krankenhauses wieder frei.

Der Sachverhalt zeigt sehr deutlich auf, dass es sich um ein Zufallsopfer und keinen gezielten Angriff auf genau dieses Krankenhaus handelte. Als die Hacker bemerkten, dass sie ein Ziel von erheblichen öffentlichen Interesse erwischt hatten, gaben diese sofort auf. Das lässt darauf schließen, dass man mit einer Massen-Malware vorging, die darauf zielte auf kleineren Systemen Zufallsoper zu erwischen. Es erwischte ein riesiges Krankenhaus, was scheinbar auch die Hacker erstaunt hat. Man muss sich fragen, wie es möglich war, dass eine Uni-Klinik nicht gegen einen solchen Angriff geschützt war? Die Antwort auf die Frage ist mutmaßlich einfach und lautet: Die IT des Krankenhauses und die Sicherheitsmaßnahmen waren veraltet und nicht ausreichend. Und damit wäre das Uni-Klinikum Düsseldorf nicht alleine. Bundesweit sieht es an sehr vielen Krankenhäusern nicht besser aus. Auf diesem Gebiet muss unbedingt etwas passieren. Auch deswegen, weil medizinische Daten zu den besonders schutzwürdigen Daten zählen und angemessene technische und organisatorische Maßnahmen zu deren Sicherheit erfordern. Die Modernisierung der IT ist natürlich eine Frage des Geldes. Der Bund hat jüngst verkündet, dass er zusätzliche 3 Mrd. Euro für die Krankenhäuser zur Verfügung stellt. Von dieser Summe müssen mindestens 15% in die IT und IT-Sicherheit investiert werden. Mit den Mitteln der Länder wären das 500 Millionen Euro. Das ist ein guter Anfang, aber meines Erachtens immer noch zu wenig Geld, um zeitgemäße IT-Lösungen zu errichten. Wünschenswert wäre auch ein bundeseinheitliches Konzept, wie die IT-Lösungen aussehen sollen, und vor allem, wie die IT-Sicherheit permanent unterhalten wird. Trotz hoffnungsmachender Entwicklung, bleiben viele Fragen offen. Wie wichtig funktionierende Krankenhäuser mit sicherer IT sind, ist in der Corona Krise dabei bewusster denn je.



2. Datenübertragung in die USA

Das gekippte EU-US Privacy Shield Abkommen war schon Thema des letzten Newsletters. Mutmaßlich wird es auch noch lange auf der Tagesordnung zubringen. De Facto sind die USA nun ein "unsicheres Drittland", was den Datenschutz angeht. Inzwischen haben sich auch Datenschutzbehörden zu Wort gemeldet und klargestellt, was die neue Rechtslage bedeutet. Standardvertragsklauseln allein reichen nicht aus, um eine Rechtsgrundlage für eine Datenübertragung in die USA herzustellen. Neben den Standardvertragsklauseln müssen geeignete Garantien im Sinne des Art. 46 DSGVO bestehen. Damit setzten die Datenschutzbehörden, wie zu erwarten war, das Urteil des EUGH, ohne wenn und aber, um.

Das EUGH entschied, dass es in der Verantwortung des Datenexporteurs liegt, zu prüfen, ob die Rechte der betroffenen Personen dort, wohin man die Daten überträgt, ein gleichrangiges Schutzniveau, wie in der DSGVO, haben. Für die USA ist die Prüfung sehr einfach: Es besteht kein angemessenes Datenschutzniveau und die betroffenen Personen haben keine vergleichbaren Rechte. Standardvertragsklauseln zwischen Datenexporteur und Datenimporteuer sind eine wichtige rechtliche Grundlage, reichen allein aber nicht aus. Es müssen noch weitere Garantien her, ansonsten wird die Aufsichtsbehörde die Datenübertragung in die USA untersagen.

Was bedeutet das in der Praxis? - Der Artikel 46 der DSGVO gibt eine Vielzahl von Möglichkeiten, die aber nicht einfach zu erbringen sind, vor. Der "Knackpunkt" liegt dabei u.a. in folgendem Satz: "... sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen." Die geeigneten Garantien werden im Abs. 2 des Artikels 46 DSGVO aufgelistet. Das ist zu erbringen. Aber durchsetzbare Rechte mit wirksamen Rechtsbehelfen, damit betroffene Personen den Datenschutz gegen ein Unternehmen in den USA durchzusetzen können, ist eine hohe Hürde, um es gelinde auszudrücken.

Die USA haben eine andere Rechtslage in Bezug auf personenbezogene Daten als die EU. Grundsätzlich ist dem Recht der USA nach jede Information, auch personenbezogen, die im Internet vorhanden ist, öffentliches Gut, das jedermann, nach Belieben, sammeln und verarbeiten kann. Es besteht kein Recht vor irgendeiner Aufsichtsbehörde die Löschung seiner Daten zu verlangen und man kann sich nicht darauf berufen, keine Einwilligung für eine Sammlung und Verarbeitung eigener Daten gegeben zu haben. Unternehmen in den USA müssten sich, nachdem Sie ein Datenschutzniveau wie in der EU sicherstellen, also zusätzlich einer Aufsichtsbehörde oder einem rechtlichen Verfahren unterwerfen, mit dem Betroffene wirksam ihre Rechte ausüben und ggf. gerichtlich durchsetzen können.

Die Problematik trifft u.a. alle Verantwortlichen, die Tools von Google, Facebook, Amazon und Co. nutzen, auch wenn sie vorher eine Einwilligung nach Art. 6 Abs. 1 lit. a.) eingeholt haben. Vor allem trifft es aber auch diejenigen, die Server in den USA haben und dort ihre Daten verarbeiten. Daneben trifft es auch Cloudflare und eine Vielzahl von Sicherheitsdienstleistungen. Viele Online-Shops sind daher betroffen. Und die einzige Empfehlung, die man derzeit machen kann, ist vorerst, bis es klare rechtliche Lösungen gibt, keine personenbezogenen Daten zur Verarbeitung in die USA zu übertragen. Ausgenommen sind teilweise Daten auf der Grundlage einer gesetzlicher Verpflichtungen und zur Durchführung von Verträgen. Natürlich ist auch eine Übertragung nach Einholung einer Einwilligung im Sinne von Art. 49 Abs. 1 lit. a.) möglich. Diese Einwilligung hat aber hohe Hürden und kann nicht grundsätzlich angewandt werden.

Unter dem Strich ist der Sachverhalt ein weiterer Fingerzeit in die Richtung, dass die Zeit des unbehelligten Datensammelns, und die unbeschwerte Nutzung der Daten zu allen beliebigen Zwecken, vorbei ist.

3. Lernportale für Kinder und den Schulunterricht

Der hessische Beauftragte für den Datenschutz veröffentlichte in der Corona Krise auf seiner Homepage eine Pressemitteilung in der es heißt: " Wir dulden übergangsweise den Einsatz von Videokonferenzsysteme in Schulen für weitgehend alle Anwendungen." Damit ist gemeint, dass man in der Corona Krise ein Auge zudrückt, aber das dieses Auge nicht dauerhaft zu bleiben wird und bald wieder aufgeht. Dieses Auge ist, wie es scheint, nicht nur in Hessen geschlossen, sondern bundesweit. Und es ist nicht nur für Videokonferenzlösungen geschlossen, sondern auch für Lernportale. Geht das Auge wieder auf, werden die Datenschutzbehörden nicht datenschutzkonforme Online-Anwendungen schlichtweg zur Nutzung untersagen.

Schulen sind, was den Datenschutz angeht, leider ganz alleine gelassen. Es gibt so gut wie keine Datenschutzschulungen für Lehrkräfte und es gibt auch nur sehr wenig Unterstützung von den Schulbehörden. Am Ende wählt sich jede Schule aus, was irgendwer irgendwo gehört hat oder kennt. Nicht selten wählt jede Lehrkraft selbst, ohne jedes Kontrollsystem oder Qualitätssicherungsverfahren. Im Internet blühen derzeit die Anbieter für Lernportale und Dienstleistungen für Schulen regelrecht auf. Dabei kennt das Internet keine Qualitätskontrolle. Jeder stellt dort ein, was ihm beliebt. Angebote müssen weder inhaltlich richtig sein noch pädagogisch wertvoll. Und auch für den Datenschutz gibt es keinerlei Gewähr. Letzteres gilt leider auch für namhafte Anbieter, und nicht selten wird etwas ganz anderes in die Datenschutzerklärungen geschrieben als wirklich den Tatsachen entspricht. Schulen und Lehrkräfte können diese Angebote nicht alle prüfen, insbesondere dann nicht, wenn es weiterreichender technischen Kompetenzen dafür erfordert.

Alle reden von der Digitalisierung, aber so einfache Dinge, wie eine Liste datenschutz-konformer Anbieter von Videokonferenz- und Lernportalen, wird den Schulen nicht zur Verfügung gestellt. Hier lässt man die Lehrkräfte schlichtweg alleine, die dann in das Messer der Eltern laufen, die sich auf diesem Gebiet auskennen. Aus diesem Grund habe ich selbst die Initiative ergriffen und eine Seite mit Datenschutzinformationen für Schulen eingestellt. Hier findet sich seine Liste der gängigen Angebote, danach sortiert, ob der Datenschutz eingehalten wird. Nachstehend der Link zu dieser Seite
Datenschutz-Informationen-Fuer-Schulen
Das erschreckende Ergebnis ist, dass die meisten Anbieter auf der "Roten Liste" stehen. Das ist die Liste der nicht datenschutzkonformen Angebote. Dieses zeigt sehr treffend, welchen Stellenwert die Anbieter von Lernmaterialien und Lernportalen dem Datenschutz beimessen. Ich werde versuchen die Listen nach und nach um mehr Angebote zu erweitern und hoffe, dass ich einigen Schulen und Lehrkräften so eine Hilfe bei der Auswahl von Online Angeboten geben kann.

4. 35 Mil. Euro Datenschutz-Strafe für H&M

Den H&M Konzern kennt eigentlich jeder. Eine Modekette, die am 1. Oktober einmal ganz andere Schlagzeilen machte, als man von ihr gewohnt ist. Der Hamburger Beauftragte für den Datenschutz spricht gegen das Unternehmen eine Strafe von 35 Millionen Euro aus. Diese Strafe kommt nicht aus heiterem Himmel, sondern mit einer deutlichen Ansage. Alle haben auf das Verfahren geblickt und die finale Frage war nicht mehr die, ob es eine Strafe gibt, sondern nur noch die Frage nach der Höhe der Strafe. Zugrunde liegt dem Fall ein Vorfall bei einem dem Konzern zuzurechnenden Subunternehmen in Süddeutschland. Hier wurden Mitarbeiter, ohne Kenntnis und Einwilligung, in systematischer Art und Weise über einen längeren Zeitraum bei der Arbeit ausspioniert. Personenbezogene Daten der Mitarbeiter wurden gesammelt, die in keinem Zusammenhang mit der Durchführung des Arbeitsverhältnisses standen. Zum Teil handelte es sich so gar um Daten des sehr persönlichen Bereichs. Das so erlangte Wissen über die Mitarbeiter wurde in der Durchführung und Weiterentwicklung der Arbeitsverhältnisse berücksichtigt. Der Sachverhalt wurde letztlich öffentlich bekannt. Unwiderlegbare Beweise dafür waren ans Licht geraten. Somit war der Sachverhalt für H&M auch nicht mehr abzustreiten. Eine Strafe ist nur folgerichtig. Die Höhe entspricht den gesetzlichen Bestimmungen, denn es handelt sich um einen Konzern mit erheblichen Umsätzen.

Der Fall H&M zeigt, dass Datenschutz auch für die Durchführung von Arbeitsverhältnissen äußerst relevant ist. Der Arbeitgeber hat die Datenschutzrechte des Arbeitnehmers zu wahren und darf gegen diese nicht verstoßen, schon gar nicht vorsätzlich und zum klaren Nachteil der Mitarbeiter. Es drohen dem Arbeitgeber dann nicht mehr nur arbeitsrechtliche Klagen, die meistens finanziell sehr überschaubar sind, sondern es kann zu deutlichen Strafen seitens der Datenschutz-Aufsichtsbehörden kommen. Datenschutz im Arbeitsverhältnis sollte daher unbedingt ernst genommen werden.

5. IT-Grundschutz nach BSI - Teil 3

Während der Teil Zwei sich mit den technischen Gegebenheiten auseinandergesetzt hat, beginnt mit Teil Drei die organisatorische Seite des IT-Schutzes. Ob man ein technisch absolut sicheres System herstellen kann, sei einmal dahingestellt. In jedem Fall kann man aber den gewöhnlichen Angreifern den Zugriff quasi unmöglich machen. Der größte Risikofaktor ist allerdings nicht die Technik, wenn diese auf dem Stand der Zeit ist, sondern es ist, wie so oft, der Mensch.

Das BSI erwartet hier zuerst die Erstellung einer Leitlinie zur Informationssicherheit, in der die grundlegenden Maßnahmen, die die Sicherheit garantieren sollen, dargelegt sind. Die Leitlinie wird ergänzt durch ein Sicherheitskonzept, Maßnahmen zur Aufrechterhaltung der Informationssicherheit und eine Dokumentation aller damit in Verbindung stehenden Prozesse im Unternehmen. Als Ziel steht die Gewährung von Verfügbarkeit, Integrität und Vertraulichkeit der Daten und Systeme. Daten sollen also für die berechtigten Zugriffe jederzeit verfügbar sein, Daten sollen nicht unerkannt, und nicht ohne Protokollierung, verändert werden können und Daten sollen keinen unberechtigten Dritten kenntlich werden.

Einen umfassenden Part nimmt hierbei natürlich dem Sicherheitskonzept ein. Zuerst erfolgt eine klare Strukturanalyse des IT-Netzes. Neben einer Erfassung der IT-Systeme, der Räume und Gebäude sowie eines Netzplans, werden auch die jeweils hierzu gehörigen Geschäfts-Prozesse, Anwendungen und notwendigen Systemzugriffe erfasst. In einer ersten Gliederung werden die Geschäftsprozesse insgesamt erfasst. Detaillierter: Es wird erfasst, in welchen Standorten, Gebäuden etc. diese Prozesse durchgeführt werden und was sie im wesentlichen beinhalten. Eine weitere Aufstellung beinhaltet dann alle Anwendungen, die im Unternehmen verfügbar sind und die Anzahl der darauf zugriffsberechtigten Mitarbeiter. Hiernach ordnet man die Anwendungen den Prozessen zu. Damit hat man die Grundlagen des Sicherheitskonzepts erfasst. Im nächsten Newsletter geht es mit der Erstellung eines Netzplanes weiter.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren. Im nächsten Newsletter wird es sicher wieder spannende Themen geben.
Herzliche Grüße
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist externer Datenschutzbeauftragter und führt die Befähigung nach Artikel 37 DSGVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnenten des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter stellt keine Rechtsberatung dar. 
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com