|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 06. Dezember 2021
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und habe folgende Themen für Sie ausgesucht:
|
- Die Aufgaben von Datenschutzbeauftragten
- Neufassung des Telekommunikationsgesetzes
- Anfragen der Aufsichtsbehörden zu den TOMs
- BSI - Die Lage der IT-Sicherheit 2021
|
1. Die Aufgaben von Datenschutzbeauftragten
Der Datenschutzbeauftragte (DSB) in einem Unternehmen ist niemand, der etwas verbieten oder anordnen kann. Vielmehr handelt es sich um eine Beratungsstelle der Geschäfts-führung. Und am Ende trifft die Geschäftsführung auch die Entscheidungen und ist dafür verantwortlich. Der DSB selbst ist nur in soweit verantwortlich, dass er die Geschäftsführung richtig beraten und seine Aufgaben vollständig erfüllt hat. Dabei sollte der DSB stets lösungsorientiert arbeiten. Es geht darum datenschutzkonforme Wege für betrieblich notwendige Prozesse zu finden, die diese Prozesse so wenig wie möglich beeinträchtigen. Es geht nicht darum mit dem Datenschutz als Argument die betrieblichen Prozesse zum Stillstand zu bringen.
|
Der DSB informiert die Geschäftsführung über die allgemeinen Regelungen zum Datenschutz, über Veränderungen und die Ausführungen der Aufsichtsbehörden zur Umsetzung des Datenschutzes in Unternehmen. Hier ist es wichtig, dass der DSB stets aktuell informiert ist und sich stetig weiterbildet.
|
Der DSB analysiert alle Prozesse einer Organisation, in welchen personenbezogene Daten verarbeitet werden. Hierbei untersucht der DSB insbesondere die Rechtsgrundlage für die Verarbeitung. Dieser Teil wird oftmals unterschätzt, ist aber in der Praxis sehr komplex. Sehr oft sind gesetzliche Regelungen nicht auf den ersten Blick zu erkennen oder verstecken sich in den verschiedensten Gesetzen, Verordnungen und Satzungen. Nicht selten gibt es auch Vereinbarungen der Spitzenverbände mit öffentlichen Trägern, in denen bestimmte Regelungen getroffen werden, die datenschutzrelevant sind. Auf diesem Weg findet der DSB heraus, welche personenbezogenen Daten für welchen Zweck erhoben, verarbeitet und wie lange aufbewahrt werden dürfen. Auf dieser Basis gibt der DSB Empfehlungen zur Umsetzung des Datenschutzes in den verschiedenen Prozessen an die Geschäftsführung.
|
Der DSB arbeitet für die Geschäftsführung Vorlagen als Empfehlung aus, welche Einwilligungsverfahren und Informationspflichten an betroffene Personen umsetzen. Er prüft Auftragsverarbeitungsverträge und nimmt Risikoabwägungen vor, zum Beispiel bei der Datenverarbeitung auf der Grundlage eines berechtigten Interesses. Ferner erstellt der DSB im Zusammenarbeit mit der Geschäftsführung ein Verzeichnis der Verarbeitungstätigkeiten (VVT) sowie ein betriebliches Verfahren zum Umgang mit einer Datenpanne. Wenn es erforderlich ist, arbeitet der DSB auch zusammen mit der Geschäftsführung eine Datenschutzfolgeabschätzung aus.
|
Der DSB empfiehlt der Geschäftsführung technische und organisatorische Maßnahmen, welche zur Umsetzung des Datenschutzes allgemein sowie in bestimmten Prozessen erforderlich sind. In diesem Zusammenhang schult der DSB auch regelmäßig die Mitarbeiter*innen auf den Datenschutz. Der DSB ist auch der Ansprechpartner der zuständigen Aufsichtsbehörde und führt ggf. die Kommunikation mit dieser. Bei Datenpannen empfiehlt der DSB der Geschäftsführung eine Vorgehensweise.
|
Letztlich kommt es dem DSB auch zu, die Umsetzung des Datenschutzes in einem angemessenen Rahmen zu prüfen. Alle Prozesse sind am Ende nur so gut, wie sie auch wirklich in der Praxis umgesetzt werden oder technisch funktionieren. Hierbei ist als Qualifikation eines DSB auch ein breites Grundwissen in der digitalen Welt und in IT erforderlich, damit technische Verfahren analysiert werden können. Findet der DSB Umsetzungsfehler, unterrichtet er hierüber die Geschäftsführung.
|
2. Neufassung des Telekommunikationsgesetzes
Seit Anfang Dezember gilt das neue Telekommunikationsgesetz (TKG jetzt TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz)), welches nun auch die EU-Richtlinie 2018/1972 umsetzt. Bezüglich der EU-Richtlinie, um Missverständnisse zu vermeiden, ist es das Dokument 1972 aus 2018 und nicht etwa umgekehrt. Ich möchte dieses Gesetz auch nicht breit ausführen, da meine Kunden sämtliche keine Anbieter von Telekommunikations-diensten sind. Dennoch sind einige Regelungen trotzdem interessant oder zu beachten.
|
In Hinblick auf die Anbieter von Videokonferenzen ändert sich etwas. Natürlich müssen diese Konferenzen auch weiterhin datenschutzkonform erfolgen. So gesehen ändert sich gar nichts. Jedoch gelten diese Dienste fortan, so die gängig Meinung zum neuen TTDSG, nicht mehr als Auftragsverarbeitung und folglich ist dann auch kein Auftragsverarbeitungsvertrag mehr erforderlich. Fraglich ist ferner, ob die lokalen Datenschutzbehörden hierfür weiterhin die Zuständigkeit haben oder nicht. Wer jedenfalls über die Anwendung eines Video-konferenzsystems derzeit mit einer Aufsichtsbehörde streitet, könnte einfach mal deren weitere Zuständigkeit hierfür in Frage stellen.
|
|
Daneben regelt das Gesetz weiterhin die Nutzung von dienstlichen E-Mailadressen und des Internets zu privaten Zwecken in Unternehmen nicht eindeutig. Hier gibt es keinen Fortschritt, und guckt man sich den Werdegang des Gesetzes an, war dieser wohl auch
|
nicht gewollt. Ich empfehle grundsätzlich allen Kunden die Nutzung von dienstlichen E-Mailadressen für private Zwecke zu untersagen. Das Internet aber gänzlich für die private Nutzung zu verbieten, dürfte in der Praxis schwierig werden und wäre in vielen Unternehmen auch nicht dem betrieblichen Klima dienlich. Somit hat der deutsche Gesetzgeber einfache Dinge mal wieder kompliziert gemacht, um es auf den Punkt zu bringen. Was man genau hier aus dem TTDSG ableiten soll und ob man seine Mitarbeiter*innen jetzt generell auf das Fernmeldegeheimnis verpflichten muss, wird vermutlich in den nächsten Monaten heiß diskutiert werden. Ich beobachte diese Diskussion und werde dann im nächsten Jahr entscheiden, was ich meinen Kunden empfehle. Weiterhin gilt meines Erachtens, dass, wer E-Mail zu privaten Zwecken mit der dienstlichen Adresse erlaubt, die Verpflichtung auf das Fernmeldegeheimnis einholen sollte.
|
3. Anfragen der Aufsichtsbehörden zu den TOMs
Wer gedacht hat, dass vor Weihnachten nichts spannendes mehr passiert, der hat sich klar geirrt. Im Datenschutz gilt das gleiche Prinzip wie im Fußball: "Mann muss immer mit den Bayern rechnen!" Und die Bayern haben mal wieder zugeschlagen. Während andere Bundesländer bei der Bearbeitung ihrer Datenschutzanfragen untergehen, hat man in Bayern die Ressourcen alle kleinen Organisationen (Unternehmen, Arztpraxen, Pflegedienste, Vereine etc.) anzuschreiben und um Auskunft über die Maßnahmen gegen Ransomware-Angriffe zu befragen. Dieses Schreiben, was man in Bayern versandt hat, ist sicher nicht ohne Abstimmung mit der DSK (Datenschutzkonferenz) erfolgt und ich bin mir sicher, dass wir es auch früher oder später in allen Bundesländern sehen. Es umfasst fünf Punkte und zeigt damit sehr klar, welche Anforderungen man bei den Datenschutzbehörden für die Umsetzung des Art. 32 DS-GVO in kleineren Organisationen für erforderlich hält. "Es zeigt sehr klar" ist hierbei die Formulierung dafür, dass man als verantwortliche Stelle im Falle einer Datenpanne der Aufsichtsbehörde genau diese fünf Punkte nachweisen muss, um eine Strafe abzuwehren.
|
Punkt 1 bezieht sich auf die Systemlandschaft. Ich zitiere hier aus dem Schreiben: "Ein vollständiger und aktueller Überblick über alle eingesetzten IT-Systeme und IT-Komponenten (wie Clients, Server, Firewall, Switches, VPN-Endpunkte) des eigenen Betriebs ist vorhanden (IT-Inventar, Netzplan). Es findet hierfür ein ordnungsgemäßes Netz- und System-management statt (u. a. IT-Netzwerke-Trennung, Absicherung von Fernzugriffen, sichere Basiskonfiguration der Systeme und Anwendungen), das die Dokumentation des IT-Netzes als wesentlichen Bestandteil umfasst. Auch Aspekte zum sicheren mobilen Arbeiten (z. B. im Home Office) werden in der Behandlung der Systemlandschaft ausreichend beleuchtet (wie Anbindung der Telearbeitsplätze und anderer mobiler Clients, Mobile Device Management, Regelungen zu Bring Your Own Device, Freigaberichtlinien)." - Ich lasse das einmal so im Raum stehen und jeder Leser kann selbst in sich gehen, ob das so im eignen Unternehmen umgesetzt wird.
|
Punkt 2 bezieht sich auf das Patch-Management: Hierbei geht es um das regelmäßige zeitnahe Updaten aller Software, insbesondere mit Sicherheitsupdates, und darum, nur solche Software einzusetzen, die auch regelmäßig mit Sicherheitsupdates versorgt wird. Im Zweifelsfall auch darum, dass bei Bekanntwerden von Schwachstellen auch sofort Maßnahmen ergriffen und Updates durchgeführt werden.
|
Punkt 3 ist ein funktionierendes Backup-Konzept. Und zwar mit externen Backups, die im Zweifelsfall nicht mit verschlüsselt werden können. Ferner ein Konzept dafür, wie man diese Backups zeitnah wieder einspielt und die Systeme nach einem Vorfall wiederherstellt.
|
Punkt 4, Überprüfung des Datenverkehrs, möchte ich wieder aus dem Schreiben zitieren: "Aufrufe am Internetübergangspunkt werden von uns derart überprüft, dass Netzwerk-aktivitäten aus dem internen Netz an bekannte kompromittierte externe Server erkannt werden können (z. B. an der Firewall die Indicators of Compromise, kurz: IoC). Es findet eine Blockierung, Protokollierung und Alarmierung hierzu samt täglicher Aktualisierung der IoC-Listen durch geeignete Quellen statt. Es besteht zudem ein Protokollierungs- und Analysekonzept (Umgang mit Störungsmeldungen, Manipulationsschutz, Logging, Überwachung und Absicherung der Logfiles). Firewall-Systeme werden regelmäßig hinsichtlich der ordnungsgemäßen Konfiguration überprüft." Auch das lassen wir mal wieder so im Raum stehen und jeder darf selbst in sich gehen, in wie weit man diesen Punkt umsetzt.
|
Nun zu meinem Lieblingspunkt Nummer 5: Awareness und Berechtigungen. Während die Berechtigungen nichts Neues oder Überraschendes enthalten ist es die "Awareness", die dann doch mal eine deutliche Ansage macht. Ich zitiere: "Mitarbeiterinnen und Mitarbeiter werden regelmäßig und passend zur öffentlich bekannten Bedrohungslage geeignet über Angriffswege geschult. Im Fokus stehen aktuelle Social-Engineering-Techniken und gefälschte E-Mails, die auch einen Bezug zu bekannter, zum Teil eigener E-Mail-Korrespondenz haben können. Die Geschulten werden dabei instruiert, welches Verhalten angemessen ist (u. a. kein Klick auf fremde Links, kein Öffnen von bestimmten Dateien, kein Aktivieren von Makros)." - Natürlich ist dieses Anliegen, gerade wenn wir im nächsten Punkt uns die Lage der IT-Sicherheit in Deutschland aus dem Bericht des BSI ansehen, mehr als berechtigt. Es bedeutet aber für Unternehmen auch wieder einmal mehr Verwaltung, Kosten und eine weitere Schulung. Nämlich neben einer regelmäßigen Datenschutzschulung jetzt auch eine regelmäßige Schulung zum Umgang mit Bedrohungen in der digitalen Welt. Und diese Schulung ist dann indirekt schon verpflichtend, denn kann man sie nicht nachweisen, sieht man in der Argumentation mit einer Aufsichtsbehörde, im Falle einer solchen Datenpanne, "alt" aus. Ich mache es an dieser Stelle kurz und schmerzlos: Für alle Kunden werde ich diese Schulungen ab 2022 auch mit anbieten, ohne dass das Zusatzkosten im Dauervertragsverhältnis auslösen wird. Wir kommen da nicht drum herum. Und wir können es drehen und wenden, wie wir wollen. Unter dem Strich ist es, wir müssen das alle zugeben, eine sinnvolle und zeitgemäße Schulung, auch wenn ich verstehe, dass viele meiner Kunden gefühlt inzwischen mehr Schulungen machen als ihre eigentliche Arbeit zu tätigen.
|
4. BSI - Die Lage der IT-Sicherheit 2021
Der Bericht des BSI zu 2021 befasst sich in vielerlei Hinsicht mit den Fällen und Themen, die auch immer wieder von mir im Newsletter angesprochen wurden. Ich möchte diese nicht alle wiederholen, sondern nur auf ein paar Zahlen und markante Punkte eingehen.
|
Besonders bemerkenswert fand ich eine Ergänzung zu einem Ransomware-Angriff auf ein Universitätsklinikum in 2021, wo das BSI informiert, dass in diesem Klinikum wegen des Angriffs 13 Tage lang kein Patient in der Notaufnahmen aufgenommen werden konnte. Wenn wir derzeit, im Zusammenhang mit Corona, über fehlende Krankenhauskapazitäten sprechen, ist diese Information beängstigend. Sie zeigt sehr deutlich, wie wichtig eine sichere IT-Infrastruktur in systemrelevanten Branchen ist.
|
Daneben tobt der übliche Wahnsinn mit weiterhin deutlich gestiegenen Zahlen in allen Bereichen: 144 Mio. neue Schadprogramm-Varianten in 2021. Das ist ein Plus von 22% gegenüber 2020. Das sind durchschnittlich 394.000 Schadware-Programme pro Tag. In 2020 waren es noch 322.000. Die Bot-Infektionen haben sich in 2021, gegenüber 2020, auf 40.000 Systeme verdoppelt. Ein Zuwachs von 100%. Verdoppelt haben sich mit knapp 15 mio. in 2021 auch die Meldungen des BSI zu Schadprogramm-Infektionen an deutsche Netzbetreiber. In Deutschen Regierungsnetzen wurden vom BSI durchschnittlich 44.000 E-Mails mit Schadprogrammen pro Monat abgefangen. Ein Plus von 25% zu 2020.
|
|
Eine besondere Bedrohung bestand in 2021, bis zu Sommer, bei MS Exchange Systemen. Das BSI hatte, als die Sicherheitslücke dort bekannt wurde, bei 98% aller geprüften Systeme Schwachstellen entdeckt. Inzwischen ist ein Sicherheits-Patch von Microsoft verfügbar. Dennoch zeigen Prüfungen des BSI, dass fast 10% der Exchange Systeme auch nach
|
der Warnung des BSI aus dem Sommer weiterhin gefährdet sind und die Sicherheits-Updates nicht eingespielt wurden.
|
Das BSI beschäftigt sich im Jahresbericht auch mit einigen allgemeinen Themen, die uns durch die nächsten Jahre begleiten werden. Die IT-Sicherheit von Smart-Home Produkten und dem Internet der Dinge. Die IT-Sicherheit in der Medizintechnik und in Zusammenhang mit eHelath sowie der Telematik-Infrastruktur. Ein Thema der Zukunft, auch gerade für den Datenschutz, wird die sichere Gestaltung von digitalen virtuellen Versammlungen und Wahlen sein. Auch das Smartphone rückt immer mehr in den Mittelpunkt unseres Lebens. Es gilt hier die Verfahren für Identitätsprüfungen und Bezahlvorgänge im Auge zu behalten. Auf dem Gebiet der Biometrie sieht das BSI Bedarf die Schwächen dieser Technik genau im Auge zu behalten und denkt dabei konkret an Face-Swapping für einen Identitätsbetrug.
|
|
Als letzten Punkt möchte ich noch auf die Bedrohung durch APT (Advance Persistent Threats), die ich selbst gerne Spear-Phishing nenne, eingehen. Dieses betrifft meine Kunden nicht, weil sie nicht Zielgruppe solcher, in der Regel sehr teuren Angriffe, sind. Dennoch muss man diese gezielte Form einen Angriffs auf ein Unternehmen sehr ernst nehmen, denn oftmals ist es so, dass kleine Dienstleister und Subunternehmer des eigentlichen Ziels als Türöffner genutzt werden. Und da kommen dann doch wieder einige meiner Kunden mittelbar in den Fokus. Will man sie auch nichts selbst angreifen, so ist nicht auszuschließen, dass man über sie an Global-Player-Auftraggeber herankommen will. Das ist ein Szenario, das sehr ernst genommen werden muss, weil kleine und mittlere Unternehmen selten die IT-Sicherheit haben, um sich gegen gezielte Angriffe professioneller Hacker verteidigen zu können. Durch die Verträge mit den Auftraggebern könnte man am Ende schadenersatz-pflichtig sein und so ein funktionierendes Unternehmen binnen Kürze in der Insolvenz enden.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich einen Rückblick auf 2021 machen und dabei auf das leidige Thema datenschutzkonforme Webseiten sowie Cookies/Skripte in Webseiten eingehen. Ich wünsche allen Kunden/Abonnenten eine frohe Adventszeit und, wenn ich zu dem einen oder anderen dieses Jahr keinen Kontakt mehr haben sollte, ein frohes und erholsames Weihnachtsfest sowie einen guten Rutsch in ein erfolgreiches 2022.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
|
|
|
|
