Zeitarbeit mit Datenschutz!

In IT-forensischen Untersuchungen ist es oftmals wichtig, zu den gefundenen Spuren eine passende zeitliche Einordnung rekonstruieren zu können. Welche Bedeutung Zeitstempel in der IT-Forensik haben, erklärt der folgende Beitrag.

Was sind Zeitstempel?

Als Zeitstempel (engl. timestamps) werden Einträge bezeichnet, die ein Datum und eine Uhrzeit enthalten (bspw. 13.07.2018; 19:48:12). Digitalkameras speichern solche bei Aufnahmen z.B. im Zusammenhang mit dem Dateinamen. Doch auch Computer speichern Zeitstempel, etwa wenn eine Datei erstellt, verändert, geöffnet, kopiert oder gelöscht wird. Die Betriebssysteme protokollieren aber nicht nur Zeitstempel von Dokumenten wie PDF-Dateien oder der Microsoft Office Suite (Word, Excel, PowerPoint, Outlook, OneDrive), sondern auch von Programmöffnungen, USB-Nutzungen, der Browser-Nutzung und von Account-Nutzungen.

Die Zeitstempel sind wichtig, um feststellen zu können, was mit einer Datei auf einem Computer geschehen ist. Sie spielen eine große Rolle, wenn es darum geht, Straftaten zu durchleuchten und aufzuklären.

MAC(B)-Zeitstempel

Das Dateisystem NTFS, welches von Windows verwendet wird, repräsentiert im Master File Table (MFT) zu jeder Datei Attribute, welche Metadaten enthalten und der Datei auf dem Datenträger den Speicherplatz zuordnet. Die Metadaten umfassen u.a. auch den MAC(B)-Zeitstempel. Dieser enthält wiederum vier weitere Zeitstempel. Die Buchstaben repräsentieren dabei jeweils folgende Ereignisse:

• Der Buchstabe M repräsentiert den Zeitstempel, wann die letzte Modifikation bzw. der letzte Schreibzugriff vorgenommen wurde („Modified (Written) Time“)
• Der Buchstabe A repräsentiert den Zeitstempel, wann die Datei oder der Eintrag gelesen bzw. anderweitig darauf zugegriffen wurde („Last Accessed Date“)
• Der Buchstabe C repräsentiert den Zeitstempel, wann die Metadaten zuletzt verändert wurden („MFT Entry Modified (MFT Record Change)“)
• Der Buchstabe B repräsentiert den Zeitstempel, wann eine Datei oder ein Eintrag erstellt wurde („Birth (Creation) Time“)

Durch diese vier Zeitstempel können nicht nur Veränderungen an den Dateien an sich, sondern auch Kopiervorgänge festgestellt werden. Denn dabei werden nicht alle Zeitstempel neu geschrieben. Welche davon genau bei einem solchen Vorgang betroffen sind, lässt sich pauschal nicht sagen, da sich dies in den jeweiligen Versionen von Windows unterscheidet.

Zeitstempel als Ansatz der IT-forensische Analyse

Eine IT-forensische Analyse nur auf Grundlage der Zeitstempel aus der MFT aufzubauen, ist nicht möglich, da diese falsch sein können. Durch Anti-Forensik-Tools können Einträge etwa böswillig manipuliert werden, um die Spuren eines Angreifers zu verwischen. Deshalb ist eine Verifikation der Zeitstempel unabdingbar. Dafür werden weitere Zeitstempel herangezogen, die auf einem digitalen System zu finden sind, z.B. in Log-Dateien des Windows-Betriebssystems oder Software wie TeamViewer. Zudem können diese Aufschluss über weitere Tätigkeiten des Benutzers geben.

Zeitstempel geben also im Zusammenhang mit der Tatzeit und Aktionen aus einem bestimmten Zeitraum dem IT-Forensiker einen guten Überblick über die Geschehnisse.

Zusammenfassen von Zeitstempeln zu einer Timeline

Eine Timeline ist eine Sammlung von Artefakten, welche aus einem Zeitstempel, der Beschreibung des Zeitstempels (z.B. Modified Time) und einem Dateinamen besteht. Diese werden chronologisch zu bestimmten Zeitspannen oder für bestimmte Zeitintervalle erfasst und dargestellt. Sie stellt also eine Menge von Zeitstempeln dar, welche anschließend in einer forensischen Analyse wiedergefunden werden. Das Zusammenfügen verschiedener Artefakte mit den Zeitstempeln kann bei der Analyse einer Straftat helfen, zu ermitteln, „Wer“, „Was“, „Wann“, „Wie“ getan hat. Durch eine Timeline werden Zeitstempel und die dazugehörigen Events organisiert und so eine bessere Verständlichkeit ermöglicht.

Das Erstellen einer Timeline-Analyse auf Grundlage der MAC(B)-Zeitstempel zu Beginn einer forensischen Untersuchung kann sehr nützlich sein. So kann schnell erkannt werden, welche Dateien weitere Spuren zur Aufklärung des Sachverhaltes beinhalten. Um eine vollständige und genaue Beschreibung zu erhalten, müssen auch Informationen aus den Artefakten selber in eine umfassendere Timeline mit einbezogen werden. Die Dateien, welche auf dem Dateisystem vorhanden sind und bereits mit dem MAC(B)-Zeitstempel betrachtet wurden, können möglicherweise Protokolldateien sein, welche weitere Informationen enthalten. Wenn beispielweise das Verändern einer Log-Datei von TeamViewer anhand der Metadaten festgestellt wurde, können aus der Datei weitere Informationen zu möglichen Verbindungen extrahiert werden.

Aus dem Arbeitsalltag eines Forensikers

Besonders hilfreich sind Zeitstempel dann, wenn ein IT-Forensiker gezielt in seinen Tools danach filtern kann. Wenn ein Tatzeitraum eingegrenzt werden konnte, lassen sich die Spuren auf solche reduzieren, die im relevanten Zeitraum stattgefunden haben. Abzulesen ist dies anhand der vorhandenen Zeitstempel. Möchte ein Forensiker also bspw. wissen, ob eine Datei im März 2020 geöffnet wurde, kann er dies anhand des A-Zeitstempels („Last Accessed Date“) erkennen. Somit sind Zeitstempel, vorausgesetzt sie sind vorhanden und korrekt, ein wichtiges Indiz für stattgefundene Benutzer-Aktivitäten und haben eine hohe Bedeutung bei IT-forensischen Untersuchungen.

Jedoch kann eine IT-forensische Analyse nicht nur auf den Metadaten aus der MFT aufgebaut werden. Viele weitere Artefakte können verwendet werden, um einen Tathergang zu rekonstruieren. Diese haben wir bereits in der Blog-Reihe Daten verraten beleuchtet.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN

© www.intersoft-consulting.de

Die zentrale Verwaltung von mobilen Geräten durch Administratoren wird als Mobile Device Management (MDM), zu Deutsch Mobilgeräteverwaltung, bezeichnet. Über Bedeutung, Vorteile und Risiken solcher MDM-Lösungen, klärt der folgende Beitrag auf.

Was ist Mobile Device Management?

Bei dieser Form der Geräteverwaltung stehen Sicherheit und Funktionalität im Vordergrund. Es wird über ein zentrales Portal auf allen entsprechenden Mobilgeräten eine App installiert. Darüber ergibt sich für den Administrator eine Vielzahl an Funktionen, um die Unternehmensdaten auf den mobilen Geräten in Sicherheit zu wissen. Zu diesen Funktionen zählt unter anderem auch das Löschen bzw. Sperren des Geräts per Fernzugriff (Remote) im Falle eines Diebstahls, Verlusts, oder Ausscheiden eines Mitarbeiters. Durch die Nutzung eines solchen Systems sind alle Geräte inventarisiert. Dadurch kann die Administration über Richtlinien und Zugriffsrechte bestimmen.

Ebenfalls kann das Mobile Device Management dazu dienen, Unternehmensdaten von privaten Daten sauber auf Geräten zu trennen. Das ist besonders relevant, wenn im Unternehmen Privatnutzung zumindest geduldet und „Bring Your Own Device“ (BYOD) erlaubt ist. Generell, aber speziell in diesen Fällen, empfiehlt sich auch der Gebrauch einer Container-Lösung. Hierbei finden alle relevanten Funktionen in einem geschützten Raum, Container genannt, statt, sodass es zu keinem unkontrollierten Datenverkehr kommt.

Die zentrale Verwaltung von mobilen Geräten durch Administratoren stellt eine Softwarelösung dar, welche den Zugriff von mobilen Geräten auf das Firmennetzwerk sichert. Somit beinhalten MDM-Lösungen häufig noch weitere Apps, um bspw. auf Kontakte, E-Mails, oder Kalender zuzugreifen.

Vorteile und Risiken

Ein großer Vorteil der Mobile-Device-Management-Lösungen ist die Möglichkeit, mobile Geräte wie Smartphones, Tablets, Laptops usw., trotz unterschiedlicher Betriebssysteme, (iOS, Android, Windows, Chrome OS, macOS) einrichten zu können. Die Integration unterschiedlicher Betriebssysteme ist allerdings mit einem höheren Aufwand verbunden.

Für Unternehmen ergeben sich viele Vorteile bei Arbeitsabläufen, gerade durch den Zugriff auf die Unternehmensdaten von überall aus. Weitere Vorteile sind unter anderem:

• Durchsetzen von Richtlinien für mobiles Arbeiten und Datenschutz
• Netzwerkzugänge konfigurieren
• Bereitstellung und Management von Apps
• White- und Blacklisting
• Monitoring

Auf der anderen Seite sind damit allerdings auch Risiken und ein gewisser Verwaltungsaufwand verbunden. Die Kontrolle und Transparenz der ordnungsgemäßen Nutzung muss auch datenschutzkonform ablaufen. Dies gilt vor allem, wenn ein Unternehmen seinen Mitarbeitern den Gebrauch privater Geräte erlaubt bzw. sogar verlangt. MDM-Lösungen sind oft kostspielig, aufwändig und komplex. Sie verlangen ein hohes Maß an administrativem Knowhow, um die Verwaltung optimal durchzuführen.

Die Preise, die bei der Investition in MDM-Lösungen anfallen, sind jedoch deutlich kalkulierbarer als eventuelle monetäre Schäden bei Datenabfluss im Unternehmen. Je mehr mobile und unterschiedliche Geräte durch die Mitarbeiter in Benutzung sind, desto komplexer wird die Verwaltung vom Mobile Device Management.

Anforderungen an MDM-Software

Um die Verwaltung zu erleichtern und eine hohe Funktionalität und Sicherheit zu gewährleisten, gelten u.a. folgende Anforderungen:

• Integration der unternehmensspezifischen IT-Struktur
• umfassende Funktionen zur Sicherheit (z.B. Passwortschutz & verschlüsselte Datenübertragung)
• intuitive Bedienungsoberfläche für die Administration
• Möglichkeiten der Protokollierung und Berichterstellung
• Verteilung von Zugriffsrechten
• Ortung, Sperrung/Löschung eines Geräts
• Trennung zwischen privaten und Unternehmensdaten

Der Aufwand lohnt sich

Somit kann gesagt werden, dass das Mobile Device Management eine sinnvolle Lösung zum Schutz von Unternehmensdaten auf mobilen Geräten darstellt. Allerdings müssen, wie bei fast allen Softwarelösungen, gewisse Elemente im Vorwege bedacht werden. Auch zum Thema Datenschutz: Ein gut strukturiertes Mobile Device Management leistet einen wichtigen Beitrag zur Datensicherheit und somit auch zum Datenschutz. Aber die Einsatzmöglichkeiten einer zentralen Verwaltung von mobilen Geräten durch Administratoren müssen die rechtlichen Vorgaben des Datenschutzes einhalten. Zum Beispiel, wenn es um Lokalisierung von Mitarbeitern durch eine GPS-Ortung geht.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN

© www.intersoft-consulting.de

Dieser Beitrag beleuchtet die Folgen des Schrems-II-Urteil insbesondere bei dem Einsatz von außereuropäischen Tracking-Tools wie Google Analytics. Zusätzliche Brisanz ergibt sich hierbei aus der Ankündigung der Aufsichtsbehörden, eine bundesweit angelegte Kontrolle von Tracking-Diensten auf Websites durchzuführen.

Welche Bedeutung hat das EuGH-Urteil Schrems II?

Grundsätzlich besteht die Wirkung dieses Urteils nur zwischen den betroffenen Parteien, nämlich für das vorlegende irische Gericht und den EuGH. Tatsächlich strahlt es jedoch Bindungswirkung für alle Mitgliedstaaten respektive deren Gerichte und Behörden aus.

Übermittlung in die USA

Das Urteil betrifft alle Behörden, Gerichte und Unternehmen, die Daten in die USA übermitteln und zwar eigentlich nicht nur dann, wenn hierfür die Auftragsverarbeitung auf das Privacy-Shield gestützt wurde. Letztendlich betrifft es auch den Datentransfer, der im Wege der Standardvertragsklausel (SCC´s) erfolgt. Denn auch bei deren Verwendung muss berücksichtigt werden, dass diese allein noch nicht das Schutzniveau im Empfängerland der Daten garantieren, dass in der EU herrscht. Der Datenexporteur ist aufgrund des Urteils gehalten, das dort bestehende Rechtssystem darauf zu prüfen, ob dies ein adäquates Schutzniveau bietet und dem Betroffenen durchsetzbare Rechte einräumt. Diese Prüfung ist schwierig genug, da nicht jedes Unternehmen über eine Rechtsabteilung verfügt und auch diese nicht zweifelsfrei fremde Rechtssysteme kennt bzw. prüfen kann.

Kann kein adäquates Schutzniveau zweifelsfrei im Empfängerland vorausgesetzt werden, dann muss der Datenübermittler mit anderen Maßnahmen vor der Datenübermittlung den Schutz der Betroffenenrechte, wie dies der DSGVO entspricht, sicherstellen. Hierbei kann die Verschlüsselung helfen, solange der Datenexporteur den Schlüssel behält oder die Pseudonymisierung, wenn auch hier die Liste für die Reidentifikation beim Datenexporteuer verbleibt. Machbar ist auch weiterhin die Anonymisierung, wobei hier darauf zu achten ist, dass tatsächlich eine Anonymisierung vorliegt. Hier divergierendie Vorstellungen die Praktiker von der Anonymisierung haben oftmals mit denen der Aufsichtsbehörden.

Übermittlung in Drittländer ohne Angemessenheitsbeschluss

Würde man die Wirkung dieses Urteils nur auf die Unternehmen beziehen, die mit den USA Datenverkehr haben, würde man zu kurz springen. Letztendlich betrifft das Urteil alle Unternehmen, die Daten in ein Land außerhalb der EU und den EWR übermitteln und für das kein Angemessenheitsbeschluss gem. Art. 45 Abs. 3 DSGVO der EU vorliegt. In diesen Ländern muss ab sofort grundsätzlich geprüft werden,

• ob der betroffenen Person Betroffenenrechte, wie diese in Artt. 15ff der DSGVO festgelegt sind, zustehen,
• ob es eine adäquate Möglichkeit gibt, unabhängige Gerichte und Aufsichtsbehörden anzurufen und
• welche Möglichkeiten des Datenzugriffs für Landesbehörden und hier insbesondere dem Geheimdienst existieren.

Sondersituation Großbritannien
Noch gehört Großbritannien zur EU, jedoch naht der Brexit und daher sind auch hier bereits Vorkehrungen zu treffen. Da noch kein Angemessenheitsbeschluss vorliegt bzw. in Aussicht ist, sind hier dieselben Maßnahmen zu ergreifen, wie dies für die Drittländer ohne Angemessenheitsbeschluss gilt.

Übermittlung in Drittländer mit Angemessenheitsbeschluss

Datenübermittlungen in diese Länder, für die ein Angemessenheitsbeschluss existiert, sind privilegiert und dürfen ohne weitere Genehmigung vorgenommen werden. Wobei die inhaltliche Reichweite des Angemessenheitsbeschlusses von Land zu Land variieren kann, so dass jeder Datenexporteuer gehalten ist, vor dem Datentransfer zu prüfen, ob der Angemessenheitsbeschluss für das konkrete Land auch den jeweiligen, geplanten Datentransfer umfasst.

Für folgende Länder besteht derzeit ein Angemessenheitsbeschluss:

• Andorra
• Argentinien
• Kanada
• Färöer-Inseln
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Neuseeland
• Schweiz
• Uruguay

Was ist zu tun?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat eine weitreichende Orientierungshilfe gegeben und darin folgende möglichen To-Dos angeführt:

• Bestandsaufnahme an welche Datenimporteure in Drittstaaten Daten exportiert werden
• Information dieser Datenimporteure über das Schrems II-Urteil und dessen Konsequenzen
• Auskunftsersuchen an den Datenimporteur, ob und wann dieser ggf. Daten an Geheimdienste, Behörden herausgeben muss
• eigenständige Prüfung der Rechtssituation im Empfängerstaat durch den Datenexporteur unter zur Hilfenahme der Auskunft
• Prüfung, ob ggf. ein Angemessenheitsbeschluss für das Drittland vorliegt und dieser den Datentransfer deckt
• Prüfung, ob die Standardvertragsklauseln genutzt werden können
• Prüfung, ob diese SCC´s ggf. mit weiteren Garantien ergänzt werden müssen, um einen Datentransfer zu ermöglichen
• andernfalls verbleibt in einem sehr engen Umfang die Übermittlung nach Art. 49 DSGVO

Bundesweite Kontrolle von Tracking-Tools

Basierend auf dem Planet-49-Urteil hat der BGH im Mai seine erwartete Entscheidung in Bezug auf die Nutzereinwilligung zum Einsatz von Cookies getroffen. Nicht nur, dass es höchste Zeit ist die Einwilligung für den Einsatz von nicht zwingend notwendigen Cookies von der betroffenen Person einzuholen und dies zu dokumentieren, d.h. einen ordnungsgemäßen Cookie-Consent-Tool für Cookie-Trackingdienste und Analysedienste einzusetzen. Es sind auch noch weitere Maßnahmen zu ergreifen, siehe unten.

Ordnungsgemäßer Einsatz von Cookie-Consent-Tools

Was viele hierbei immer noch nicht berücksichtigen, ist dass

• Cookies dürfen erst gesetzt werden, nachdem eine Einwilligung des Betroffenen in dokumentierbarer Form vorliegt, vorher dürfen nur die zwingend notwendigen Cookies gesetzt werden
• Einwilligungen müssen für jeden einzelnen Dienst eingeholt werden, z.B. Google Analytics
• Einwilligungen müssen jederzeit für die Zukunft widerrufbar sein, d.h. genauso einfach, wie die Einwilligung eingeholt wurde

Einsatz außereuropäischer Tracking-Tools

Hat man das Consent-Cookie-Banner ordnungsgemäß installiert, dann ist zu beachten, dass ein großer Teil der führenden Tracking-Tools außereuropäisch ist, d.h. großteils von US-Firmen betrieben wird. In den Datenschutzerklärungen und den Cookie Policies wird hierbei oftmals noch bei der Beschreibung des Dienstes auf das US Privacy Shield verwiesen, was nach Schrems II nicht mehr möglich ist. Abgesehen davon ist deren Einsatz datenschutzkonform kaum mehr vorstellbar.

Bereits jetzt reichen Privatpersonen Beschwerden bei den Aufsichtsbehörden ein, wenn diese Tracking-Tools von Unternehmen weiterhin verwendet werden. Im gleichen Zuge kündigen die Aufsichtsbehörden an, eine bundesweite, flächendeckende Prüfung der eingesetzten Online-Tracking-Technologien durchführen zu wollen. Wer jetzt noch ohne ordnungsgemäßen Consent-Cookie-Banner agiert und außereuropäische Technologien einsetzt, ist früher oder später dran und zahlt.

Das Wehklagen der Marketingabteilung

Auch wenn die Marketingabteilungen derzeit klagen, dass die Tracking-Tools unabdinbar sind. Sie sollten unbedingt nach alternativen Analyse-Möglichkeiten suchen, die diese Transferproblematik nicht haben. Sie sollten die Suche für alle Fälle dokumentieren, damit Sie Ihre Aktivität den Aufsichtsbehörden gegebenenfalls belegen können. Wenn Sie immer noch der Anschauung sind, außereuropäische Tracking-Tools notwendigerweise einsetzen zu müssen, sollten sie das Risiko für ein Bußgeld kennen und ihr Nutzen aus dem Einsatz des Tracking-Tools sollte demnach entsprechend groß sein. Andernfalls sollte  man diese Tools mit Transferproblematik abstellen und nach Alternativen suchen.

Auch wenn für manche Dinge noch kein adäquater Ersatz vorhanden ist, ohne Nachfrage wird dieser nicht kommen. Es ist höchste Zeit diese Produkte nachzufragen und zu nutzen, und zwar im eigenen Interesse, um Bußgelder zu vermeiden.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN

© www.intersoft-consulting.de

Wenn sich Ende August die Sommerferien fast überall hierzulande dem Ende neigen, bricht reges Treiben in den Bildungsanstalten aus. Wie jedes Jahr werden die Schüler mit allerlei Informationen überhäuft und die Eltern dürfen sich auf Willkommensveranstaltungen anhören, warum dieses Jahr endlich alles planmäßig verlaufen wird. Dabei spielt auch der Datenschutz eine besondere Rolle.

Daten ohne Ende

Schulen sind immer schon ein Sammelsurium von personenbezogenen Daten gewesen. Hier werden Daten von Schülern, Lehrkräften und anderen Beschäftigten und natürlich von den Erziehungsberechtigten verarbeitet. Zu diesen Daten gehören Namen, Adressen, Wohnverhältnisse und natürlich Leistungsdaten wie z. B. Zeugnisnoten. Hinzu kommen im Regelfall auch deutlich sensiblere Daten wie Angaben zum Gesundheitszustand eines Schülers oder dessen Religionszugehörigkeit.

Dass Deutschland in Sachen Digitalisierung vielen Teilen der Welt hinterherhinkt, ist wahrlich keine Neuigkeit. Dies hat sich seit Beginn der Corona-Pandemie besonders deutlich im Schulwesen gezeigt. Als die Schüler Mitte März dieses Jahr quasi von heute auf morgen zu Hause beschult werden mussten, waren Lehrer und Schüler gleichermaßen überfordert. Dies ist hier nicht als Kritik an den genannten Personengruppen zu verstehen, sondern lag schlicht und einfach daran, dass eine moderne, digitale Ausrüstung in den meisten Schulen dieses Landes praktisch nicht vorhanden war.

Fotos nur mit Einwilligung – oder?

Ein Klassiker ist stets die Frage, ob und wann Fotos von Schülern angefertigt oder sogar veröffentlicht werden dürfen. Dieses Problem hat sich durch das Inkrafttreten der DSGVO noch einmal verschärft. Die DSGVO hat, das lässt sich nach nunmehr über zwei Jahren feststellen, das Thema Datenschutz deutlich mehr in den Fokus der Bevölkerung gerückt. Allerdings hat die DSGVO auf Grund der scheinbar härteren Regelungen auch ein Stück weit für Verunsicherung gesorgt. Dies hat sich beispielsweise in dem Fall einer katholischen Kindertagesstätte in Dormagen gezeigt, als eine übereifrige Mitarbeiterin der Kita in einem Erinnerungsbuch nahezu sämtliche Schülerfotos geschwärzt hatte.

Die Rechtslage ist in der Tat etwas schwammig. Neben dem Allheilmittel Einwilligung kommt als Rechtsgrundlage auch das berechtigte Interesse bei der Anfertigung von Bildern, zum Beispiel für Klassenfotos, in Betracht. Wann ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO vorliegt, ist immer am Einzelfall zu messen. Zu berücksichtigen ist auch, dass der Großteil der Schüler minderjährig ist und somit einem besonderen Schutz unterliegt. Das Anfertigen und Veröffentlichen von Schülerfotos für ein Jahrbuch oder einen Erinnerungsband dürfte im Regelfall auf das berechtigte Interesse gestützt werden können, da dies vom Erziehungsauftrag der Schule gedeckt ist. Anderenfalls bleibt nur die Einwilligung, welche dann ggf. von den Erziehungsberechtigten des betroffenen Schülers eingeholt werden muss.

Schülerfotos auf der Website

Anders sieht das zumeist bei Fotos aus, welche die Schule auf ihrer eigenen Website veröffentlichen möchte. Diese richtet sich im Gegensatz zum Jahrbuch an einen unbestimmten Personenkreis, so dass die Reichweite hier deutlich größer ist. Hier dürfte ein berechtigtes Interesse der Schule an der Veröffentlichung nur schwer zu begründen sein, weil die Schule ihren Bildungsauftrag sicherlich auch ohne Fotos von minderjährigen Schülern auf der Website erfüllen kann, so dass hier tatsächlich nur die Einwilligung eine taugliche Rechtsgrundlage darstellt.

Wie genau muss solch eine Einwilligung eigentlich aussehen? Können Eltern gleich zu Beginn des Schuljahres eine Art „Generaleinwilligung“ für alle möglichen Formen von Bildern ihrer Kinder unterschreiben? Nein! Denn personenbezogene Daten dürfen gemäß Art. 5 Abs. 1 lit. b DSGVO nur

„für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden […].“

Daraus folgt, dass der Zweck der Datenverarbeitung, auch im Rahmen einer Einwilligung, so genau wie möglich angegeben werden muss. Eine „Blankovollmacht“ für sämtliche Fotos, die im Laufe eines Schullebens angefertigt werden könnten, soll auf diese Weise vermieden werden.

Ohne Klassenliste geht es nicht

Viele Eltern kennen das Problem: Das eigene Kind hat wieder einmal die Hausaufgaben nicht notiert. Wie war nochmal die Adresse oder die Telefonnummer der Eltern des Klassenkameraden? Dort könnte man ja eben mal nachfragen. Gut, dass es die Klassenliste gibt! Aber ist das überhaupt zulässig?

Was in grauer Vorzeit, also als mit dem Wort Datenschutz nur wenige etwas anfangen konnten, noch ganz normal war, ist aus datenschutzrechtlicher Sicht kritisch zu beurteilen. Eine Klassenliste mag praktisch sein, aber will man als Elternteil wirklich, dass alle anderen Eltern über die Daten verfügen? Was ist bei getrenntlebenden Eltern, die dies aber nicht nach außen offenbaren wollen? Hier wird deutlich, dass selbst eine scheinbar simple Klassenliste deutlich mehr in das Privatleben der Beteiligten eingreifen kann, als dies vielen bewusst ist. In jedem Fall sollte von jedem betroffenen Elternteil eine wirksame Einwilligung eingeholt werden, bevor die Daten innerhalb der Erziehungsberechtigten weitergegeben werden.

Auch für Lehrkräfte ist eine Klassenliste sehr praktisch. Solange diese die Daten selber zusammenstellen und nur im Rahmen ihres Unterrichts verwenden, dürfte es aus datenschutzrechtlicher Sicht keine Probleme geben. Schließlich handelt es sich im Regelfall um genau die Daten, welche ohnehin durch die Schule als Verantwortliche und zudem (auch) für diesen Zweck erhoben worden sind.

Die Digitalisierung schreitet voran

Da deutsche Schulen langsam, aber stetig immer digitaler werden, sehen sich Lehrer und Schüler großen datenschutzrechtliche Herausforderungen ausgesetzt. Spätestens seit Beginn der Corona-Krise haben Online-Lernangebote den Markt überflutet. Aber aufgepasst: Gegen Ende des vergangenen Schuljahres hatte der thüringische Landesdatenschutzbeauftragte, Dr. Lutz Hasse, angekündigt, mögliche datenschutzrechtliche Verstöße von Lehrkräften prüfen und verfolgen zu wollen. Diese Ankündigung wurde in der Öffentlichkeit zwar kontrovers, aber eher mit Unverständnis in Richtung des Landesdatenschutzbeauftragten diskutiert.

Das Bewusstsein, dass im Bereich Digitalisierung noch viel zu tun ist, scheint sich nun immer mehr durchzusetzen. In Nordrhein-Westfalen zum Beispiel hat die Landesregierung im Juli dieses Jahres ein Programm zur Sofortausstattung von Schülern mit digitalen Endgeräten aufgelegt. Damit will das Land herausfinden, wie hoch der tatsächliche Bedarf an Endgeräten im Falle einer erneuten Schulschließung tatsächlich ist.

Digitale (Lern-)Plattformen

Neben digitalen Lernplattformen können auch andere personenbezogenen Daten von Schülern inzwischen digital verarbeitet werden. Einige Schulen nutzen z. B. bereits Apps und andere Tools, mit welchen Fehlzeiten, Krankheitstage oder Vorfälle im Unterricht festgehalten werden können. Dieses sogenannte „digitale Klassenbuch“ erfreut sich immer größerer Beliebtheit.

Bei sämtlichen Tools ist natürlich darauf zu achten, dass diese mit den Vorgaben der DSGVO in Einklang stehen, insbesondere hinsichtlich der technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO. Auch wird im Regelfall eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO notwendig sein. Zudem ist darauf zu achten, ob die personenbezogenen Daten möglicherweise in ein Drittland transferiert werden. Viele Anbieter dieser Lernplattformen haben ihren Sitz in den USA und verarbeiten daher die personenbezogenen Daten außerhalb der EU. Beispielhaft sei hier die derzeit sowohl bei Lehrkräften als auch bei Schülern beliebte Plattform Padlet genannt. Hier sollte gerade im Hinblick auf die jüngste Entscheidung des EuGH zum Privacy Shield die Auswahl ganz besonders sorgfältig erfolgen.

Weitere Artikel zum Thema

• Datenverarbeitung in der Schule
• Schule 2.0: Was ist beim digitalen Klassenbuch zu beachten?
• Datenschutzgerechte Nutzung von IT-Tools & Software in Schulen
• Online-Lernangebote für zu Hause und der Datenschutz
• Datenschutz: Gibt es nun Bußgelder gegen Lehrer?
• Datenschutz als Schulfach für Kinder
• Handys in der Schule – Ratgeber für Lehrer und Eltern
• WhatsApp gehört nicht an Schulen

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN

© www.intersoft-consulting.de

Bei einem Wohnungswechsel müssen Mieter an diverse Ab- und Ummeldungen denken. Auch die Energieversorger gilt es über den Wohnungswechsel informieren. Es kommt aber immer wieder vor, dass Mieter dieser Meldepflicht – versehentlich oder absichtlich – nicht nachkommen. In diesem Beitrag wird daher erörtert, unter welchen Voraussetzungen der Vermieter Mieterdaten an den Energieversorger mitteilen darf.

Ausgangssituation: Wer ist wann Vertragspartner vom Energieversorger?

Wenn ein Mieter in ein Mietobjekt einzieht, kann der Mieter sich seinen Versorger für Energie auswählen. Wenn er keinen Vertrag mit einem selbst ausgewählten Energielieferanten schließt oder dieser Vertrag nicht zeitgleich mit dem Mietbeginn beginnt, dann greift zunächst die sog. Grundversorgung. Gemäß § 2 Abs. 2 StromGVV kommt ein Grundversorgungsvertrag konkludent durch Nutzung des Stromes an der Entnahmestelle zustande. Zudem ist der Mieter gesetzlich zur Mitteilung seiner Identität gegenüber dem Grundversorger verpflichtet. Trotz dieser gesetzlichen Pflicht kommt es regelmäßig dazu, dass neu-einziehende Mieter sich nicht beim Grundversorger anmelden. Ebenfalls ist es denkbar, dass ausziehende Mieter sich nicht rechtzeitig abmeldet. Insbesondere bei Zwischenzeiten, wo das Mietobjekt leer steht, muss der Vermieter selbst für etwaigen Energieverbrauch (z. B. für Besichtigungen, Renovierungen) aufkommen. Vermieter und Grundversorger schließen hierfür regelmäßig einen sog. Leerstandsvertrag mit gesonderten Preistarifen.

Mitteilung an Energiegrundversorger, dass ein neuer Mieter eingezogen ist

Ausgangssituation ist, dass der bisherige Mieter ausgezogen ist und die Wohnung leer stand.

Unproblematisch ist es, wenn der Vermieter lediglich mitteilt, wann der Leerstand eines Mietobjektes aufhört, ohne hierbei den neuen Mieter zu benennen. Zum Nachweis genügt insoweit eine Kopie vom Ableseprotokoll zum Einzug, aus der sich der Tag der Ablesung, die Zählernummer und Ablesewerte ergeben. Die Angaben zum neuen Mieter sind allerdings zu schwärzen.

Nachdem Einzug muss der Vermieter dem Mieter zunächst eine angemessene Frist gewähren, damit der Mieter sich selber beim Grundversorger anmelden kann und/ oder einen eigenen Energieversorger auswählt und mit diesem einen Vertrag schließt. Ein Zeitraum von 6 Wochen nach Mietbeginn ist hierbei angemessen.

Soweit der Grundversorger dem Vermieter nach diesen 6 Wochen mitteilt, dass Energie von diesem bezogen wird/ wurde und der neueingezogene Mieter sich aber nicht bei ihm angemeldet hat, erst dann darf der Vermieter den Namen und die Adressdaten des eingezogenen Mieters mitteilen.

Berechtigte Interessen als Rechtsgrundlage

Die Übermittlung der personenbezogenen Daten von Neumietern an den Grundversorger kann in diesem Falle auf Art. 6 Abs. 1 Uabs. 1 lit. f DSGVO (Interessenabwägung, berechtigtes Interesse) gestützt werden. Um nachzuweisen, dass der Strom nicht durch den Vermieter selbst verbraucht wurde, darf der Vermieter daher dem Grundversorger melden, dass der Strom für ein Mietobjekt ab einem bestimmten Zeitpunkt (Einzug eines Mieters) nicht mehr vom Vermieter, sondern vom Mieter bezogen wird und darf dazu auch dessen Namen mitteilen.

Der Mieter wird durch die Stromnutzung automatisch zum Vertragspartner des Grundversorgers. Es ist für ihn also vorhersehbar, dass seine Identität sowie die Dauer des Mietverhältnisses gegenüber dem Grundversorger mitgeteilt werden. Der Mieter hat selber seine eigene Pflicht zur Anmeldung versäumt und ist daher nicht schutzwürdig. Wenn ein Mieter einen anderen Energielieferanten als den Grundversorger nutzen möchte, dann muss der Mieter sich selber rechtzeitig darum kümmern. Nur wenn der Vertrag mit dem ausgewählten Energielieferanten rechtzeitig zustande kommt, sodass auf den Grundversorger nicht zurückgegriffen werden muss, überwiegt das Mieterinteresse, unbekannt zu bleiben, gegenüber dem Interesse des Vermieters und des Grundversorgers.

Einwilligung als Rechtsgrundlage

Manch ein Grundversorger fordert von dem Vermieter, dass dieser eine Einwilligung zur Datenübermittlung vom Mieter bei Vertragsschluss einholen. Denn die 6-Wochenfrist ist auch bei Vorliegen einer Einwilligung zu berücksichtigen. Wenn zwischen dem Grundversorger und dem Mieter kein Vertrag zustande kommt, dann muss Grundversorger auch nicht die Identität des Mieters kennen. Die Mitteilung der Mieterdaten wäre in diesem Falle nicht erforderlich, sodass die Einwilligung auch nicht greifen würde. Insoweit muss die Privatautonomie des Mieters hinsichtlich der Wahl des Energieversorgers beachtet werden.

Es sei an dieser Stelle noch an das Koppelungsverbot aus Art. 7 Abs. 4 DSGVO erinnert, weswegen diese Einwilligungserklärung zur Datenübermittlung separat unterschrieben und keinesfalls mit dem Übergabeprotokoll verbunden sein sollte.

Mitteilung an Energieversorger, dass ein (alter) Mieter ausgezogen ist

Im Falle des Auszuges eines Mieters muss der Mitteilungsumfang der Informationen ebenfalls differenziert betrachtet werden. So kann die bloße Mitteilung, wann der Mieter ausgezogen ist bzw. wann das Mietverhältnis endete, ebenfalls auf Art. 6 Abs. 1 Uabs. 1 lit. f DSGVO gestützt werden, soweit hier überhaupt personenbezogene Daten verarbeitet werden. Denn auch hier genügt es, wenn dem Grundversorger ein geschwärztes Ableseprotokoll vom Auszug übergeben wird, wie weiter oben beschrieben ist. Diese Mitteilung kommt auch dem ausziehenden Mieter zugute, damit dieser nur für seinen eigenen Stromverbrauch aufkommen muss. Der Grundversorger und der Vermieter wiederum wollen, dass ab diesem Zeitpunkt die besonderen Konditionen des Leerstandvertrages greifen. Die Klärung des Anfangs- und Endzeitpunkt vom Leerstand ist daher erforderlich.

Allerdings darf die neue Verzugsanschrift des ehemaligen Mieters dem Grundversorger nicht mitgeteilt werden, soweit der Mieter hierzu nicht eingewilligt hat. Der Grundversorger hat sich daher direkt an den Mieter zu halten, dessen Anschrift kann der Grundversorger vom Einwohnermeldeamt erfahren. Für den Vermieter droht auch keine Haftung für etwaige Stromschulden des ehemaligen Mieters (BGH, Urt. v. 02.07.2014, Az. VIII ZR 316/13). Denn danach kann Inhaber der tatsächlichen Verfügungsgewalt auch eine andere Person als der Eigentümer sein, etwa der Mieter oder Pächter eines Grundstücks, da diesem aufgrund des Miet- oder Pachtvertrags die tatsächliche Verfügungsgewalt über die ihm überlassenen Miet- oder Pachtsache eingeräumt wird. Weiter meint der BGH:

„Ob dem Energieversorger die Identität des Inhabers der tatsächlichen Verfügungsgewalt bekannt ist, er also etwa weiß, dass das zu versorgende Grundstück sich im Besitz eines Mieters oder Pächters befindet und dieser die tatsächliche Verfügungsgewalt über den Versorgungsanschluss ausübt, ist unerheblich. (…) Diese auf den Inhaber der tatsächlichen Verfügungsgewalt über den Versorgungsanschluss weisenden Grundsätze gelten nur dann nicht, wenn gegenläufige Anhaltspunkte vorhanden sind, die im Einzelfall unübersehbar in eine andere Richtung weisen.“

Es kommt drauf an …

Auch hier zeigt sich mal wieder, dass die konkrete Situation entscheidend ist, ob ein Vermieter Mieterdaten an Energieversorger übermitteln darf oder nicht. Ähnlich dem abgestuften Fragerecht des Vermieters bei der Neuvermietung, muss man hier auch zwischen den verschiedenen Zeitpunkten unterscheiden. Die internen Prozesse sollten sich daran entsprechend anpassen. Auch die Informationspflichten aus Art. 13 DSGVO sind gegenüber dem Mieter zu wahren. Im besten Falle informiert der Vermieter den Mieter bereits bei Vertragsschluss über das Vorgehen. Wenn der Vermieter Mieterdaten zu früh und damit oftmals ohne Rechtsgrundlage an Energieversorger übermittelt, dann riskiert er Bußgelder in Höhe von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Es lohnt sich daher bei Zweifeln vorab den Datenschutzbeauftragten zu konsultieren.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN

© www.intersoft-consulting.de

Homeoffice ist mit der COVID-19-Pandemie zur „neuen Normalität“ geworden. Wie Unternehmen insbesondere den technischen und organisatorischen Herausforderungen begegneten und wie sich die technologischen Bedürfnisse mit diesem Wechsel veränderten, wird in diesem Artikel erläutert.

Unerwartet, plötzlich und mit Herausforderungen für alle

Am 11. März 2020 erklärte die Weltgesundheitsorganisation COVID-19 zur Pandemie – und die Arbeit, wie wir sie kannten, änderte sich sofort. Arbeitnehmer und Arbeitgeber haben sich bemüht, die Arbeit am Laufen zu halten. Während dieser Zeit war und ist es weiterhin von entscheidender Bedeutung, dass die Teams ausgerüstet sind, miteinander zu kommunizieren und zu Hause sicher sind. Jegliche Berufsbezeichnung, Unternehmensgröße oder auch globale Präsenz sind in dieser Zeit nicht das Wichtigste; was zählt ist, dass sowohl kleine als auch große Unternehmen sich veränderten, um Mitarbeitern von zu Hause aus einen geeigneten und sicheren Arbeitsplatz zu verschaffen.

Wir öffneten in dieser Zeit Türen und fanden viele Möglichkeiten, erfolgreich von zu Hause aus zu arbeiten.

Zentrale IT-Herausforderungen

Es sind insbesondere technische und organisatorische Herausforderungen, denen wir begegneten.

Wir alle stellten uns anfangs schier unüberwindbar scheinenden Herausforderungen. Wie kann man mit unsicheren Heimnetzwerken, Kindern, Social Engineering, Wifi-Sicherheit usw. umgehen? Wie können wir Bedrohungen begegnen, die die schwindende Sichtbarkeit von Mitarbeitern und den genutzten Endgeräten mit sich bringt? Wie können wir Einblicke in das erlangen, was aus der Ferne schwer überwacht werden kann? Wie können wir normale Kommunikationsprozesse, insbesondere unter Berücksichtigung, dass die Mitarbeiter weit entfernt arbeiten, aufrechterhalten?

Die größten Herausforderungen im Detail:

• Soziale Gesichtspunkte: Mitarbeitern fehlt die interaktive Kommunikation untereinander und auch mit Kunden. Meeting Räume und Whiteboards sind nun tabu.
• Asset-Visibility („Sichtbarkeit“): Veränderungen geschahen! Probleme mit dem Onboarding, dem Einkauf und der Distribution von Ausstattung aller Mitarbeiter.
• Die Bestandsaufnahme war schon vorher nicht ganz genau. Jetzt kommen möglicherweise auch noch Geräte aus privatem Besitz hinzu.
• Einige Technologien sind bereits veraltet, sehr schwer zu bewegen oder nur schwer aus der Ferne zu bedienen.
• Das Bedrohungspotential erhöht sich aufgrund der Menge der nicht verwalteten Geräte, die mit der Infrastruktur verbunden sind.
• Sicherheit und Security Operation Center (SOC) sind nicht länger an vorher gültige Prozesse, z. B. der Einrichtung und Verteilung von IT-Ressourcen, gebunden. Nicht standardisierte Lösungen innerhalb einzelner Geschäftseinheiten gefährden das gesamte Unternehmen.

Herausforderungen fordern Lösungen

„Von Angesicht zu Angesicht“ mit unseren Kollegen ist wichtig und wir haben Wege gefunden, dies zu tun. Zudem haben wir uns auch den technischen und organisatorischen Herausforderungen gestellt und gemeinsam Lösungen und Strategien entwickelt. Es besteht immer noch weiterer Handlungsbedarf, aber vieles konnte bereits erfolgreich umgesetzt werden. Unternehmen haben die Risiken, insbesondere durch das dezentrale Arbeiten aller Mitarbeiter, erkannt und stellten sich diesen. Nicht jedes Unternehmen wird alle Lösungen bereits erfolgreich umgesetzt haben, daher hier einige Ansatzpunkte, die bedacht werden sollten.

Kommunikation fördern

Das Wichtigste ist: tägliche Kommunikation und Koordination! Entscheiden Sie sich für eine Kommunikationsplattform und verbinden Sie so Ihr gesamtes Unternehmen. Digitale Kommunikationsplattformen ersetzen zwar nicht zu 100 Prozent den persönlichen Kontakt, sind derzeit aber sicher die beste Lösung zumindest ein wenig sozialen Kontakt herzustellen. Geben Sie Ihren Mitarbeitern Sicherheit indem Sie Transparenz schaffen und sie an Prozessen und Startegien beteiligen. Reden Sie über Risiken und Sicherheitsbedrohungen.

Sichtbarkeit schaffen

Ein wesentlicher Punkt ist es, alle Bestände im Unternehmen zu sehen, um diese auch kontrollieren zu können und Risiken abschätzen zu können.

• Kontrollen können nur gewährleistet werden, wenn Onboard- und Verteilungsprozesse aktualisiert und an die gegebenen Umstände angepasst werden.
• Eine engmaschige Abstimmung mit den Einkaufsabteilungen verschafft ein genaues Bild der Bestände.
• Verteilungszentren in infektionsarmen Gebieten sollten mit begrenzter Interaktion des Personals bei gleichzeitiger Gewährleistung der richtigen Sicherheitskontrollen eingerichtet werden.
• Sicherheitssoftware und sonstiges Equipment wurde zu den Mitarbeitern nach Hause versandt.
• Onboarding wird nun remote unter Einsatz entsprechender Sicherheitssoftware durchgeführt.
• Das SOC hat alle für die Analyse erforderlichen Geräte zur Verfügung gestellt bekommen, und wenn nicht, so sollte ein Plan erstellt werden, wie diese Ausrüstung beschafft werden kann, obwohl es sich mit der Inventarisierung schwer verhält.
• Entscheidungen bezüglich der Benutzung von privaten Endgeräten müssen getroffen und Prozesse bezüglich des Umgangs mit ihnen aktualisiert werden.
• Es werden nur legitime Verbindungen zu internen Systemen zugelassen.
• Lösungen, die den Zugriff beschränken, wie RDP und VPN, sollten nur für zugelassene Firmengeräte implementiert sein.
• Es sollte sichergestellt sein, dass Unternehmensgeräte Namenskonventionen haben.

Kontrollierte physische Präsenz und mobile Kommunikationsmöglichkeiten schaffen

Kontrollierte physische Präsenz ist bei einigen IT-Geräten oder auch bei Umgang mit bestimmter Software von Nöten und kann durch vorgegebene Guidelines und Strukturen umgesetzt werden. Bezüglich der meisten Telefonanlagen zum Beispiel, die nicht aus den Geschäftsräumen bewegt werden können, kann auf Anrufweiterleitungen und mobile Kommunikationsmittel gesetzt werden.

Nicht verwaltete Geräte kontrollieren

Der Bedarf Geräte einzusetzen, die nicht unternehmensintern verwaltet werden, ist in der Zeit der Pandemie gestiegen, z. B. der Einsatz von privaten Endgeräten von Mitarbeitern. Diese müssen technisch kontrolliert werden. Lösungen können hier die Einführung von Namenskonventionen und Device Trust-Lösungen sein. Des Weiteren sollte die Protokollierung, das Monitoring und Alerts erhöht werden, um eindeutige Nachweise über Kontozugriffe zu erhalten, z. B. von nicht verwalteten Geräten.

Nicht standardisierter Lösungen überwachen

Dadurch, dass alle Mitarbeiter von zu Hause aus arbeiten mussten, müssen Unternehmen größtenteils von dem vorher üblichen Büroplatz der Mitarbeiter abweichen. Der Standard-Arbeitsplatz und auch die Standard-Arbeitsmittel esxistierten nicht mehr und eine Anpassung an die häuslichen und dort technischen Begebenheiten der Mitarbeiter fand statt. Diese nicht standardisierten Lösungen erfordern technische Sicherheitskontrollen und neue Metriken für die Überwachung und Berichterstattung. Der Einsatz verschiedener Monitoring-Software, welche den Netzwerkverkehr auf nicht standardisierte/nicht zugelassene Geräte und schädliche Aktionen prüft, sollte hierfür eingesetzt werden.

Mehr-Faktor-Authentifizierung und Sensibilisierung einsetzen

Die Mehr-Faktor-Authentifizierung bei VPNs und anderen cloudbasierten Netzwerken ist unabdingbar, um die Passwortsicherheitsrisiken zu verringern. Die Mehr-Faktor-Authentifizierung muss für alle Anwendungen und Systeme, auf die von außerhalb zugegriffen werden kann, eingesetzt werden. Eine sehr erfreuliche Veränderung konnte bezüglich der Sensibilisierung aller Benutzer festgestellt werden: Nicht nur unternehmensintern fand diese statt, sondern sie ist bereits ein allgegenwärtiges Thema in unserer Gesellschaft geworden. Trotzallem sollte die Sensibilisierung aller Mitarbeiter im Unternehmen regelmäßig eingeplant und an neue Umstände angepasst werden. Nur so kann ein sicherer Umgang mit IT-Sicherheitsfragen, wie z. B. dem Umgang mit Passwörtern,  gewährleistet werden. Das größte Problem ist das Nutzen privater IT-Landschaften in Ihrem Unternehmen, seien Sie sich dessen bewusst, denken Sie an technische und organisatorische Lösungen und setzen sie diese nach und nach um.

Die COVID-19-Pandemie hat für Unternehmen folgendes mitgebracht:

• erhöhte Risiko-Landschaft
• Schattentechnologie-Lösungen
• unsichere häusliche Umgebungen
• Datenlecks
• neue Verfahren und Werkzeuge

Denken Sie daher auch darüber nach, wie Sie mit einem möglichen IT-Sicherheitsvorfall umgehen möchten. Erstellen und üben Sie Notfall- und Incident-Response-Pläne. Setzen Sie verschiedene Monitoring-Software zum Erkennen von Angriffen und der Sicherung forensischer Beweise ein. Eine hundertprozentige Sicherheit gibt es nicht, vor allem nicht zu diesen Zeiten.

Risiken erkannt: Sichtbarkeit, Wissen und Schutz schaffen

Nur wer mehr sieht und um Risiken und Bedrohungen weiß, kann sich auch davor schützen. Daher ist es wichtig, an den Schwachstellen anzusetzen und zu sehen, sobald jemand diese auszunutzen versucht.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN

© www.intersoft-consulting.de

Gerade in der aktuellen Situation, in der viele Mitarbeiter aus dem Homeoffice arbeiten, muss die IT den Support und die Wartung häufig aus der Ferne erbringen. Dabei helfen gleich eine ganze Reihe von Anbietern, diese Distanz zu überbrücken, so als würde der Support-Mitarbeiter bei den Kollegen im Homeoffice sitzen. Doch was ist datenschutzrechtlich dabei zu beachten?

Datenschutz To-dos

Neben Fragen der Benutzerfreundlichkeit und des Funktionsumfangs eines Tools muss auch geprüft werden, ob das Remote-Support-Tool datenschutzkonform eingesetzt werden kann.

Da verarbeitet doch einer personenbezogene Daten

Wenn ein Mitarbeiter dem Fernzugriff zulässt, kann sich der „herrschende PC“ so auf dem „kontrollierten PC“ bewegen, als würde er als eingeloggter Nutzer direkt vor dem Rechner sitzen. Egal ob Dateien gerade geöffnet sind oder der Mail-Client geöffnet ist, es besteht in der Regel die Möglichkeit der Kenntnisnahme von personenbezogenen Daten. Nach herrschender Meinung genügt bereits diese Möglichkeit der Kenntnisnahme personenbezogener Daten für eine Verarbeitung nach Art. 4 Nr. 2 DSGVO. Die DSGVO findet also Anwendung. Das gilt erst Recht, wenn ein Tool zusätzliche Funktionen wie Screensharing, Besprechungsaufzeichnung, Audio- und Videoanrufe, Dateifreigabe und Chat-Funktionen beinhaltet.

Aufgeräumter Desktop

Um diese Datenverarbeitung aber auf ein Minimum zu reduzieren, sollte aber darauf geachtet werden, dass der Desktop aufgeräumt ist. So kann man verhindern, dass der Support-Mitarbeiter sozusagen „en passant“ unberechtigt Kenntnis von personenbezogenen Daten erlangt.

Rechtsgrundlage für den Zugriff

Wie der geneigte Leser weiß, braucht es immer einer Rechtsgrundlage für eine Datenverarbeitung. Wie der strenge Dr. Datenschutz immer repetiert: Es ist alles verboten, was nicht erlaubt ist. Wir haben in diesem aktualisierten Beitrag bereits geschildert, welche Rechtsgrundlagen in Betracht kommen. In der Regel läuft es auf das berechtigte Interesse des Arbeitgebers nach Art. 6 Abs. 1 S. 1 lit. f DSGVO hinaus. Der Arbeitgeber hat schließlich ein berechtigtes Interesse, dass er durch Fernwartung ein effizientes Funktionieren der Betriebsabläufe sicherstellen kann.

Einbindung des Betriebsrats

.. sofern denn einer vorhanden ist. Stichwort: Potenzielle Mitarbeiterüberwachung. Gemäß § 87 Abs. 1 Nr. 6 BetrVG besteht ein Mitbestimmungsrecht des Betriebsrates bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;“. An der Frage, ob ein Remote-Support-Tool eine technische Einrichtung ist, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, erhitzen sich die Gemüter. Dr. Datenschutz und Teamviewer haben sich hier eine hitzige Debatte geliefert.

Gerade bei Tools mit einem größeren Funktionsumfang wie Besprechungsaufzeichnung und Chat-Funktion kann es nicht ausgeschlossen werden, dass das Remote-Support-Tool objektiv geeignet ist, das Verhalten und Leistung der Arbeitnehmer zu überwachen.

DSGVO-Konformität des Anbieters & Drittlandübermittlung

Da die Tools zum Remote-Zugriff die Daten über ihre Server leiten, findet eine Datenverarbeitung bei den Anbietern statt. Es sollte daher darauf geachtet werden, dass die Anbieter DSGVO-konform arbeiten. Anbietern aus der EU unterfallen als gesamtes Unternehmen der DSGVO und richten sich größtenteils an Kunden in der EU. Es ist daher ein starkes Indiz, dass ihre Tools DSGVO-konform eingesetzt werden können.

Mit den Anbietern muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Wenn der Anbieter die anfallenden Daten auch zu eigenen Zwecken verarbeitet, wird die rechtliche Lage komplexer, da der Anbieter des Tools auch eine Rechtsgrundlage für die Verarbeitung braucht. Das kann im Beschäftigungsverhältnis zur unfreiwilligen Preisgabe der Nutzer an den Anbieter führen, wenn Mitarbeiter zur Nutzung des Tools gezwungen sind. Es sollte von solchen Tools Abstand genommen werden oder alternativ andere Tools bzw. ein Support vor Ort angeboten werden.

Es sollte auch geprüft werden, ob die Anbieter die Daten über Server außerhalb der EU leiten/hosten. Wenn das der Fall ist, sollten Garantien für den sicheren Drittlandtransfer bestehen. Dieses Thema ist insbesondere brandaktuell vor dem Hintergrund des vom EuGH gekippten „EU-US-Privacy-Shield“.

Datensicherheit durch TOM

Hiermit ist nicht ein netter Bekannter namens Tom, sondern Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO gemeint. Der Anbieter muss gewährleisten können, dass die Daten sicher vor unberechtigtem Zugriff sind. Das ist ein entscheidender Punkt, da bei einer ungesicherten Datenverbindung häufig auf sensible Inhalte zugegriffen werden könnte. Eine wichtige Maßnahme ist daher die Verschlüsselung der Verbindung zwischen den beteiligten PCs. Einen guten Überblick zu der technischen Funktionsweise verschiedener Tools finden Sie in diesem Beitrag.

Die Qual der Wahl

So hieß es schon zum Schluss eines unserer Beiträge zu Fernzugriffs-Tools aus grauer „Vor-DSGVO-Zeiten“. Die Erwägungen sind immer noch aktuell, aber die Entscheidungsfindung ist leider nicht leichter geworden. So findet man bei einer Internetsuche gleich eine Vielzahl von Auflistungen zu den besten Remote-Zugriff-Tools. Eine gute Übersicht mit einem tabellarischen Vergleich der Stärken und Schwächen populärer Remote-Support-Tools neben dem Platzhirsch Teamviewer finden Sie hier.

Um sich Ihren Weg zumindest durch das Datenschutzdickicht zu bahnen, können Sie sich an den oben beschriebenen Auswahlkriterien orientieren. So können Sie verhindern, dass Sie sich Datenschutzrisiken aussetzen. Die meisten Anbieter bieten auf ihren Webseiten umfangreiche Informationen zur DSGVO-Konformität. Werden ein Vertrag zur Auftragsverarbeitung, TOM sowie Erklärungen zum „Ob“ und „Wie“ der Verarbeitung personenbezogener Daten bei Einsatz eines Tools nicht angeboten, sollte man skeptisch nachfragen oder gleich die Finger davonlassen.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN

© www.intersoft-consulting.de

Die Gretchen-Frage des Datenschutzes ist regelmäßig, ob es sich bei den verarbeiteten Daten um personenbezogene Daten handelt oder nicht. Denn nur wenn es sich um personenbezogene Daten handelt, findet die DSGVO Anwendung.

Was sind personenbezogene Daten?

Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO legaldefiniert, als:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“

Der Begriff der personenbezogenen Daten ist möglichst weit auszulegen, weil der Gesetzgeber durch die Formulierung „alle Informationen“ keinerlei Einschränkungen vorgenommen hat. Darüber hinaus wird dies auch durch die ständige Rechtsprechung des EuGH getragen.

Die DSGVO definiert den Betroffenen als natürliche Person. Juristische Personen, Personenmehrheiten und -gruppen sind somit nicht Teil des Schutzbereiches der DSGVO. Handelt es sich aber um Informationen über einer Personengruppe, die auf ein identifiziertes oder identifizierbares Mitglied „durchschlagen“, ist die Information ein personenbezogenes Datum. Die Daten einer verstorbenen Person sind jedoch keine personenbezogenen Daten (Erwägungsgrund 27), außer bestimmte Daten der verstorbenen Personen weisen einen Bezug zu einer noch lebenden Person auf, die dann einen Personenbezug haben können. Da Erwägungsgrund 27 eine Öffnungsklausel für die Mitgliedstaaten vorsieht, von der Deutschland keinen Gebrauch gemacht hat, können an dieser Stelle in anderen europäisches Ländern abweichende Regelungen herrschen. Ob die Daten von Ungeborenen einen Personenbezug aufweisen, ist umstritten, da die DSGVO keine eindeutige Aussage macht. Zum Teil wird wie bei Verstorbenen vertreten, dass die nationalen Rechtssysteme in der Verantwortung stehen entsprechende Regelungen vorzunehmen (Art. 29 Datenschutzgruppe, Stellungnahme 4/2007). Die Auseinandersetzung ist jedoch primär akademisch und kann dahinstehen, wenn man der Argumentation folgt und die Daten des Ungeborenen sich jedenfalls auch auf die Mutter des Ungeborenen beziehen und insoweit ein Personenbezug vorliegen kann.

Praktische Beispiele von personenbezogenen Daten

Die praktische Einordnung von Informationen führt jedoch immer wieder zu Schwierigkeiten. Daher nachfolgend einige Beispiele zur Veranschaulichung. Zu den typischen personenbezogenen Daten zählen neben dem Namen:

• die Telefonnummer,
• die Kreditkarten- oder Personalnummern einer Person,
• die Kontodaten,
• ein Kfz-Kennzeichen,
• das Aussehen,
• die Kundennummer
• oder die Anschrift.

Darüber hinaus ist die IP-Adresse ein personenbezogenes Datum, wenn der Verarbeitende die rechtliche Möglichkeit hat den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten, welche den hinter der IP-Adresse stehenden Nutzer identifizieren kann.

Es fallen zudem Informationen, die weniger eindeutig sind, zu den personenbezogenen Daten, wie Aufzeichnungen über Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten oder auch die schriftlichen Antworten eines Prüflings und etwaige Anmerkungen des Prüfers zu diesen Antworten, wenn der Prüfling theoretisch identifiziert werden kann. Außerdem können auch subjektive Informationen wie Meinungen, Beurteilungen oder Einschätzungen personenbezogene Daten sein, wenn beispielsweise die Beurteilung der Kreditwürdigkeit einer Person oder die Einschätzung der Arbeitsleistung eines Arbeitnehmers in Frage stehen.

Besondere Kategorien personenbezogener Daten

Zudem ist zu berücksichtigen, ob es sich bei den personenbezogenen Daten um besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO handeln, denn diese sind besonders geschützt und können nur ausnahmsweise unter Berücksichtigung der Vorsetzungen in Art. 9 DSGVO verarbeitet werden.

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Anonym oder pseudonym?

Und zu guter Letzt soll an dieser Stelle daran erinnert werden, dass es sich bei pseudonymen Daten um personenbezogene Daten handelt, die vollumfänglich den Regelungen der DSGVO unterliegen (Vgl. Art. 4 Nr. 5 DSGVO). Werden jedoch anonyme Daten verarbeitet, findet die DSGVO keine Anwendung (EG 26). Die „Flucht“ in die Anonymisierung ist jedoch herausfordernd, weil die Anforderungen an die Anonymisierung hoch sind.

Datenschutz = Schutz personenbezogener Daten

Datenschutz ist kein reiner Selbstzweck, der den Schutz der Daten bezweckt. Sondern als Ausprägung der informationellen Selbstbestimmung grundrechtliche personenbezogene Daten schützt. Es somit im Einzelfall zu prüfen, ob zu verarbeitenden Daten einen Personenbezug ausweisen oder nicht.

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN

© www.intersoft-consulting.de