Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. März 2021

DATENSCHUTZ NEWSLETTER

Liebe Kunden und Abonnenten des Newsletters,

ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und Habe folgende Themen für Sie ausgesucht:

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Erneute Millionenstrafe wegen Videoüberwachung von Arbeitnehmern
  2. Die Elektronische Patientenakte
  3. Unbefugte Dritte in Schüler-Videokonferenzen
  4. Microsoft365 - Ein tägliches Thema
  5. IT-Grundschutz nach BSI - Teil 7

1. Erneute Millionenstrafe für Videoüberwachung von Arbeitnehmern

Es traf im letzten Jahr H&M bzw. ein zum Konzern gehöriges Unternehmen in Süddeutschland. Das Jahr 2021 startet mit einer weiteren Millionenstrafe für den Einsatz von Videoüberwachung in Unternehmen. Dieses Mal trifft es die in Niedersachsen ansässige Firma "notebooksbilliger.de". Die zuständige Datenschutzbehörde verhängte ein Bußgeld in Höhe von 10,4 Millionen Euro. Die Firma, wie man sich denken kann, ist nicht glücklich darüber und hat juristische Schritte dagegen angekündigt.

Der Fall liegt hier anders als bei H&M. Im Fall H&M wurden die gesammelten Daten nachweislich gegen die Mitarbeiter genutzt. Anders ist es bei netbooksbilliger.de. Hier wurde eine grundsätzliche Videoüberwachung quasi flächendeckend im Unternehmen eingesetzt. Zum Teil ohne Kenntnis der Mitarbeiter und ausgenommen der höchstpersönlichen Bereiche der Angestellten. Zweck des ganzem, so die Firma, war und ist die Überwachung und Aufklärung von Diebstählen. Gegen diese Methode wandte sich die niedersächsische Aufsichtsbehörde und bemängelte den weitgehend ungeregelten Umgang mit dieser Videoüberwachung. Es gab kein Konzept oder eine Sicherstellung einer zeitnahen Löschung der gesammelten Daten, keine Regelungen für die Auswertung und fehlende Informationen an die Mitarbeiter. Ferner wurde nicht erkannt, dass der Einsatz wirklich auf die Überwachung von Diebstahl ausgerichtet war, sondern flächendeckend das ganze Unternehmen, auch in Räumen ohne Relevanz, betraf. Dagegen gibt es keine Hinweise noch den Vorwurf darauf, dass die gesammelten Videodaten arbeitsrechtlich gegen Mitarbeiter eingesetzt wurden. Im großen und ganzen ist unklar, wer, wann und wozu Einblick genommen hat. Das Unternehmen besserte hieraufhin nach. Der Umfang und die Qualität der Nachbesserungen sind mir nicht bekannt. In jedem Fall wurde die Strafe dennoch verhangen und bemisst sich am Umsatz, wie die DS-GVO es vorschreibt.

Wir müssen hieraus folgendes lernen: Die Überwachung von Arbeitnehmern, gleich ob mit Video oder in anderer Form, ist eine Angelegenheit, die nicht grundsätzlich verboten ist, aber in sehr rechtskonformer Weise organisiert sein muss. Die Mitarbeiter eines Unternehmens müssen darüber, und über Ihre Rechte, detailliert informiert sein. Ferner darf der Einsatz der Überwachung nicht grundlos erfolgen, nicht flächendeckend im Unternehmen durchgeführt werden und nicht die Angestellten unter einen Generalverdacht stellen. Videoaufnahmen und Überwachung dürfen nur Zweckgebunden erfolgen und die Auswertung nur zum Nachgehen eines konkreten Verdachts. Der Zugriff von leitenden Mitarbeitern auf das gesammelte Videomaterial muss minimal beschränkt sein. Die Aufbewahrung darf nur so lange erfolgen, wie es für den Zweck unbedingt notwendig ist. Die Einhaltung muss dokumentiert und durch technische Mittel sicher gestellt sein. Nur so darf Videoüberwachung eingesetzt werden. Wer Video- oder andere Überwachung einsetzt, sollte dieses mit dem Datenschutzbeauftragten genaustens absprechen. Es empfiehlt sich, bei unklarer Rechtslage im geplanten Einsatz solcher Technik, vor einer Video-Überwachung seiner Mitarbeiter die Meinung der zuständigen Aufsichtsbehörde einzuholen.

Um das noch einmal auf den Punkt zu bringen: Es gab die Strafe hier nicht für eine Datenpanne oder einen Missbrauch personenbezogener Daten, sondern nur für einen "larifari" Umgang mit dem Datenschutz. Dieser Trend ist insgesamt in den verhängten Bußgeldern der Aufsichtsbehörden zu sehen. Immer noch ist die Anzahl verhängter Bußgelder sehr gering. Aber fast in jedem Bundesland sind Bußgelder, soweit öffentlich bekannt, für die Nichtmeldung von Datenpannen, fehlenden Auftragsverarbeitungsverträgen und einer allgemeinen Nichtumsetzung von Datenschutzbestimmungen zu verzeichnen. Larifari mit dem Datenschutz umgehen ist also mehr als riskant.

Millionenstrafen gibt es übrigens nicht nur in Deutschland. Norwegen hat gerade eine Strafe von umgerechnet EUR 9,6 Millionen gegen die Dating App Grindr angekündigt. Der Anbieter soll Nutzerdaten rechtswidrig zu Marketingzwecken an dritte Stellen übertragen haben.



2. Die Elektronische Patientenakte

Ab 2021 haben gesetzlich Versicherte ein Anrecht auf die elektronische Patientenakte (ePA). Als diese Tatsache jüngst so in der Tagesschau berichtet wurde, hat der Moderator gleich eine Warnung vor gravierenden Sicherheitslücken hinterhergeschossen. Vertrauen in die Technik wurde so sicher nicht aufgebaut.

Für die ePA wurde in den letzten Jahren eine Telematikinfrastruktur (TI) aufgebaut, in der Patientendaten von Arztpraxen, Apotheken und Krankenhäusern, zukünftig auch Pflegeheimen und irgendwann Pflegediensten, ausgetauscht und gegenseitig abgerufen werden können. Diese Daten sollen natürlich sicher gespeichert sein und nicht offen zugänglich. Die dahinter stehende Technik gewährleistet das auch grundsätzlich. In der Einführungsphase hat sich aber herausgestellt, dass einige TI-Modems, genaugenommen heißen diese Konnektoren, welche die Schnittstelle zur ePA bilden, nicht richtig konfiguriert waren. So wurden 200 Fälle gefunden, in denen man frei aus dem Internet heraus auf die Daten Zugriff nehmen konnte. Die zuständige Betreibergesellschaft der TI-Infrastruktur, die Gematik, sieht den Fehler hier bei den Anwendern, die das Gerät bei Inbetriebnahme nicht richtig konfiguriert haben. Von Seiten der Gematik mahnt man die Praxen, Krankenhäuser und Pflegeeinrichtungen sich um eine angemessene IT-Sicherheit zu kümmern. Gleichzeitig wurde angekündigt selbst Tests durchzuführen und Endnutzer mit solchen Sicherheitslücken ausfindig zu machen, um diese dann auf die falsche Konfiguration hinzuweisen.

Für die Inbetriebnahme der Konnektoren gibt es auf der Seite der Gematik eine sehr gute Anleitung: Gematik-Fachportal 2021 Zu beachten ist, dass es verschiedene Varianten des Anschlusses des Konnektors als auch verschiedene Nutzungsmöglichkeiten gibt. Zusätzlich bietet der Konnektor auch die Möglichkeit der Nutzung sicheren Internets. Je nach Option und Anschlussvariante muss die Firewall des Gerätes korrekt konfiguriert sein. Soweit ich es in meinem Austausch mit der Gematik zu der Problematik verstanden habe, war der ungeschützte Zugriff über 200 Anwender auf die TI-Infrastruktur dadurch möglich, dass die Firewall des Konnektors oder des Routers gar nicht oder nicht richtig konfiguriert war. So konnte jeder von außen in das Netz des Anwenders und hier auch auf die ePA zugreifen.



3. Unbefugte Dritte in Schüler-Videokonferenzen
In den News von "n-tv" erschien jüngst ein Artikel, der von einem Exhibitionisten in einer Videokonferenz einer 5. Klasse in NRW berichtete. Dass sich jemand in einer solchen Konferenz entblößt, ist zu mindestens mir der einzige derartig bekannte Vorfall. Dass sich aber unberechtigte Dritte in eine Schüler-Video-Konferenz einloggen ist leider zahlreich. Nicht zahlreich, aber doch vorhanden, sind Meldungen über pornografisch oder sexuell motivierte Kontaktaufnahmen in diesem Zusammenhang. Die Fälle reichen von der Ostsee bis in alle Ecken unseres Landes. Im obig genannten Fall handelte es sich um eine Videokonferenz mit der Plattform "jitsi". Der Eindringling war in diesem Fall auch kein begabter Hacker. Vielmehr war der Eintritt ohne Passwort möglich, die Kinder waren alleine, ohne einen Admin in der Konferenz, und der Einwahl-Link war sehr leicht zu erraten. Im Sinne von einer angemessenen Sicherheit einer solchen Konferenz sollte das natürlich anders sein.

Datenschutz in Schüler-Videokonferenzen gewinnt als Thema in der Corona-Krise immer mehr an Bedeutung. Hierbei spielen unbekannte Dritte in den Konferenzen nur eine kleine Nebenrolle. Die meisten diesbezüglichen Diskussionen beziehen sich auf zwei andere Aspekte. Das ist zum einen Mobbing in den Videokonferenzen. Auch das gehört letztlich jetzt zum Datenschutz, denn der Datenschutz erlaubt nur eine Verarbeitung personenbezogener Daten zu einem erlaubten Zweck. Mobbing, Diskriminierung oder die Verletzung bestehender Rechtsvorschriften sind grundsätzlich kein rechtmäßiger Zweck einer Datenverarbeitung und somit auch im Sinne des Datenschutzes verboten. Oftmals spielen diesem Problem noch schlecht eingestellte Administrator-Rechte zu, die es einigen Schülern erlauben andere nach belieben abzustellen oder im Auftritt zu verändern. Zum anderen gibt es zahlreiche Berichte über ungewollte digitale Kontaktaufnahmen durch Schüler verschiedener Klassenstufen. So kommt es beispielsweise vor, dass Zehntklässler über E-Mail oder Messenger-Dienste Fünftklässler einfach so kontaktieren. Das funktioniert, weil die E-Mailadressen leicht zu erraten sind. Hier wählt man oftmals zuerst die Klasse oder den Jahrgang der Einschulung, dann einen Unterstrich und den Vornamen des Kindes, was sehr leicht für andere Schüler herauszufinden ist. In manchen Fällen bekommt man mit wenigen Buchstaben auch ganze Vorschlagslisten aller Teilnehmer in der Organisation der Schule und so Zugriff zu den
E-Mail-Adressen aller Schüler, Lehrer und Bediensteten der Schule.

Wenn wir tief hinter dieses Problem sehen, dann steht am Ende dieser Kette die Tatsache, dass unsere Schulen leider unterfinanziert sind. Während Lehrkräfte in der Korona-Krise in nur teilweise geschlossenen Schulen meistens Präsenz- und Fernunterricht zugleich ableisten, gibt es keine zusätzlichen Kräfte und Freiräume für IT-Konfiguration und Schulungen. Das ist letztendlich eine Kostenfrage und die Politik hat es gerne kostenlos. In der digitalen Welt gilt aber: "Was kostenlos ist wird am Ende auf andere Weise teuer bezahlt!"



4. Microsoft365 - Ein tägliches Thema

Es vergeht wirklich kein Tag, in dem nicht mindestens eine Frage zu Microsoft365 auf den Tisch kommt. Das geht von Funktionen der Software über grundsätzliche Datenschutz-Fragen bis hin zu spezifischen Problemen mit einzelnen Anwendungen. Ich möchte das Thema hier einmal etwas philosophischer betrachten, um es verständlicher zu machen.

Was müsste Microsoft365 haben, um dass es datenschutzkonform wäre? Die Antwort in vereinfachter Form:
  • Eine sichere Programmierung ohne Schwachstellen und Bugs.
  • Sicheres Hosting auf europäischen Servern mit angemessenem technischen Schutz der Daten.
  • Verarbeitung der personenbezogenen Daten nur zu dem Zweck, zu welchen die Anwendungen genutzt werden und ohne Übertragung an unberechtigte Dritte.
  • Eine rechtlich korrekte Information und Datenschutzbestimmungen über die verarbeiten personenbezogenen Daten und deren Bedingungen.
  • Rechtliche korrekte Verträge im Sinne eines Auftragsverarbeitungsvertrags, wo alle Bedingungen der Datenverarbeitung und die Schutzmaßnahmen datenschutzkonform festgelegt sind.
Das klingt auf den ersten Blick realisierbar. Auf den zweiten Blick ist es aber anders. Das beginnt schon bei der sicheren Programmierung. Als Neil Armstrong 1969 auf den Mond flog, tat er das mit der modernsten und komplexesten Software seiner Zeit. Diese war übrigens von einer Frau programmiert und hatte ca. 65.000 LOCs (Lines of Code). Michael Goodmann, der amerikanische Experte für IT-Sicherheit, schreibt MS Office 2012 ca. 40 Millionen LOCs zu. Microsoft365 in der derzeitigen Form, mit allen Anwendungen, hat wohl über 100 Millionen LOCs. Es ist unmöglich, dass diese LOCs alle ohne Fehler sind und niemand kann den Quelltext Korrektur lesen oder überprüfen. Es ist bei einer Software von solchem Umfang unmöglich eine absolut sichere Programmierung zu fertigen. Das gilt für Microsoft und jeden anderen Hersteller.

Ebenso gilt, dass niemand das Konstrukt mal eben juristisch untersuchen kann. Es bedarf eines größeren Teams, großer Expertise und erheblicher Zeit. Das Ergebnis ist dann eine wissenschaftliche Abhandlung, die für Laien nicht mehr verständlich ist. Auch Datenschutzbestimmungen und ein Auftragsverarbeitungsvertrag, der die Prozesse der Verarbeitung personenbezogener Daten beschreibt, wird zu einer Novelle, wenn nicht zu einem Roman. Alle Aspekte personenbezogener Daten, wenn man sie überhaupt alle richtig erkannt hat, dann noch technisch zu prüfen, stellt vor noch mehr Herausforderungen. Sollte man es schaffen, ist das Ergebnis kurzlebig und hat an allen Ecken und Enden Angriffsflächen.

Wie soll man also mit Datenschutz bei den großen, komplexen Software-Lösungen, wie Microsoft365, Adobe Creativ Cloud & Co., umgehen? Ich bin persönlich kein Befürworter der Auffassung "ist es nicht zu durchblicken, dann ist es nicht erlaubt und muss untersagt werden". Das täte letztendlich bedeuten, dass Software eine gewisse Beschränkung im Umfang und den Nutzungsmöglichkeiten erfährt. Das wäre kein Schritt nach vorne und keine Weiterentwicklung der digitalen Welt. Andererseits muss man natürlich auch bei einer umfangreichen, komplexen Software den Datenschutz sicherstellen. Man steht hier also vor einem Dilemma, das derzeit keine wirkliche Lösung hat.

Ich empfehle daher die Entwicklungen abzuwarten und Microsoft365, wenn man sich dafür entschieden hat, auch uneingeschränkt zu verwenden. Ich sehe am Horizont derzeit keine rechtlich wirksamen Verbote kommen und auch keine Gefahr eine Geldstrafe zu riskieren. Entscheidender für den Datenschutz in Microsoft365, als die ganzen Diskussionen über juristische und technische Details, sind die Optionen und Rollen, die man Mitarbeitern vergibt und wie man in der betrieblichen Organisation damit umgeht. Aber auch hier ist es nicht einfach, denn, obwohl Microsoft auf diesem Gebiet sehr viel tut, sind die einstellbaren Optionen oft so vielfältig und verworren, dass auch ein Profi hier nicht immer mit umgehen kann.



5. IT-Grundschutz nach BSI - Teil 7

Modellierung war im letzten Teil angekündigt worden. In der Modellierung werden IT-Grundschutz Bausteine festgelegt. Zum Beispiel Sicherheitsmanagement, Organisation, Schulungen, Personal, Berechtigungsmanagement, Datenschutz, Anwendungen usw. Hierbei werden in der Regel Oberkategorien mit einzelnen Bausteinen als Unterkategorien gebildet. Ich möchte hier nicht detaillierter darauf eingehen. Die Modellierung ist die Grundlage für den dann folgenden IT-Grundschutz-Check, in dem die einzelnen Bausteine detaillierter betrachtet und auch deren Umsetzung dokumentiert wird.

Als letzter Punkt des IT-Grundschutzes kommt dann noch die Risikoanalyse. Auch hier untersucht man wieder die einzelnen Prozesse und listet diese tabellarisch auf. Dabei steht die Gefährdung unter verschiedenen Aspekten im Vordergrund. In der Regel benutzt man vier Risikoklassen: Gering, mittel, hoch und sehr hoch. Ein wesentlicher Bestandteil der Risikoanalyse ist die Gefährdungsübersicht, in der alle möglichen Gefahren aufgelistet und betrachtet werden. Letztlich erfolgt noch eine Erörterung des Umgangs mit den Risiken und, sofern es irgendwo im IT-Grundschutz Konzept Mängel gibt, ein Realisierungsplan zur Umsetzung.

Damit habe ich ein sehr komplexes Thema in 7 Teilen minimalisiert dargestellt, um einmal einen Einblick in solch ein Konzept zu schaffen. Wozu und für wen ist das gut? Solch ein Konzept wird dann nötig, wenn man mit seinem Unternehmen eine gewisse Größe erreicht hat, wo man die IT und alle Prozesse nicht mehr einfach überblicken kann. Dann bedarf es einer strukturierten Dokumentation, damit auch neue IT-Mitarbeiter sich schnell und richtig in die Gegebenheiten einarbeiten können. Und dann bedarf es auch einer solchen Struktur, um noch den Überblick über Sicherheit und Funktionsfähigkeit der IT aufrecht zu erhalten. Der Aufwand eines solchen IT-Grundschutz Konzepts ist enorm. Ab einem gewissen Punkt in der Komplexität der IT ist der Aufwand aber notwendig und vereinfacht den Umgang mit der Komplexität sehr stark.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com