Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 08. Dezember 2020

DATENSCHUTZ NEWSLETTER

Sehr geehrte Kunden und Abonnenten des Newsletters,

ich freu mich eine neue Ausgabe des Newsletter versenden zu dürfen.

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Datenschutz in Bezug auf verstorbene Personen
  2. Aktuelles aus dem November
  3. Universalwaffe Datenschutz
  4. IT-Grundschutz nach BSI - Teil 5

1. Datenschutz in Bezug auf verstorbene Personen

Es ist das Design des Lebens, dass niemand auf dieser Welt für immer bleiben darf. Am Ende des Lebens steht unweigerlich der Tod. Das jemand von der Welt geht, heißt aber nicht, dass seine Daten ebenso von der Welt gehen. Letztere bleiben erhalten und die digitale Welt vergisst auch die Toten nicht. Der Tod ist hier vielmehr nur ein weiterer Eintrag zum Datensatz einer Person. Von alleine löschen sich unsere Daten mit dem Tod nicht. Alles bleibt gespeichert.

Mit dem Tod einer Person erlöschen deren Datenschutzrechte. Der Datenschutz ist an eine lebende Person gebunden und gilt explizit nicht über deren Ableben hinaus. Das hat der Gesetzgeber explizit so bestimmt. Ein Angehöriger, Erbe oder Bevollmächtigter kann für eine verstorbene Person keine Rechte mehr geltend machen. Das heißt, dass kein Recht auf Auskunft oder Löschung zu Daten eines Verstorbenen besteht. Dieses auch dann nicht, wenn ein Erbschein oder eine Vollmacht für den Todesfall vorliegt. Die Datenschutzrechte einer Person enden mit deren Tod.

Will oder muss ein Angehöriger dennoch gegen eine nicht gewünschte Nutzung der personenbezogenen Daten einer verstorbenen Person vorgehen, dann bleibt ihm nur das postmortale Persönlichkeitsgrundrecht im Sinne von Art. 1 Abs. 1. GG. Andere Möglichkeiten bestehen nicht. Dass mit dem Tod einer Person deren Datenschutzrechte erlöschen, entbindet die verantwortliche Stelle jedoch nicht davon, die betreffenden Daten, nach Wegfall des Zwecks und Ablauf einer Aufbewahrungsfrist, zu löschen.

Im zugrunde liegenden Fall hat ein Sohn für seine verstorbene Mutter, im Rahmen der Aufarbeitung des Nachlasses, ein Auskunftsersuchen nach Art. 15 DS-GVO an einen Pflegedienst gestellt, der die finale Pflege und Sterbebegleitung getätigt hatte. Hierbei handelte es sich um eine gezielte Anfrage zu freiwilligen Daten, die nicht unter die Pflegedokumentation oder Sozialdaten im Sinne des SGB XI fallen. Es hätte hierfür kein Rechtsanspruch auf eine Beantwortung der Anfrage bestanden. Unter Abwägung der Persönlichkeitsrechte und der Würde der Verstorbenen, haben wir uns hier aber dazu entschieden, die Auskunft vollumfänglich an deren Sohn zu erteilen. Dass mit dem Tod das Recht auf Auskunft für Angehörige nicht mehr besteht, heißt nicht, dass eine Auskunft damit grundsätzlich verboten ist.



2. Aktuelles aus dem November

Neben dem ganz normalen Wahnsinn der digitalen Welt, Sicherheitslücken in Itunes, im Chrome Browser, im Firefox Browser, in einem Antivirenprogramm und auch in einigen Microsoft Tools usw., finde ich folgende Fälle interessant:

Die Niederländische Verteidigungsministerin hatte im November an einem Online-Treffen der EU-Verteidigungsminister teilgenommen. Parallel zur Teilnahme postete sie live ein Bild von sich vor Ihrem Laptop, und dem Laptop selbst. Auf dem Laptop waren nicht nur die anderen EU-Verteidigungsminister zu sehen, sondern auch der Zahlencode für den Zutritt zum Meeting. Es fehlte lediglich eine Zahl hiervon. Man musste also nur von 0 bis 9 durchprobieren und konnte dann ebenso teilnehmen. Ein Journalist tat das dann auch und hat sich ins Meeting eingeschaltet. Ich erspare mir einmal jeden Kommentar hierzu und worauf man bei Bildern so achten sollte.

Bilder haben aber noch ganz andere Tücken. So werden jeden Monat eine Vielzahl von Straftaten oder Ordnungswidrigkeiten dadurch aufgeklärt, dass die Geodaten eines digitalen Bildes im Web zum Täter weisen. Mein Lieblingsfall ist hier immer noch der eines noch nicht ganz 16 jährigen Jungen, der sich in 2017 abspielte. Eines Nachmittags klingelte es an der Tür der Familie und die verdutzten Eltern standen der Polizei gegenüber, die einen Haftbefehl für ihren Sohn überreichten. Er wurde beschuldigt im Internet, im Dark-Net des Internets, Hehlerei zu betreiben. Noch viel verdutzter waren die Eltern sicherlich, als ihnen bekannt wurde, dass ihr Sohn über ein Vermögen von einigen Bitcoins, damals ein Gegenwert von über EUR 40.000,--, ohne ihre geringste Ahnung davon, verfügte. Der Fehler, den der Junge letztendlich machte, war das Onlinestellen einen Bildes. Auf dem Bild war nicht mehr als ein Gegenstand auf Gehwegplatten zu sehen. Das Bild hätte so überall in der Welt aufgenommen worden sein können. Der Junge vergaß aber die Geo-Daten im Bild zu löschen. Diese gaben die Koordinaten des exakten Ortes an und mit welchem Smartphone das Bild aufgenommen wurde. Und damit war der Junge leicht zu identifizieren.
Geo-Daten in Bildern können also zur Identifikation einer Person führen und sind daher auch personenbezogene Merkmale im Sinne des Datenschutzes. Sie müssen also auch Geo-Daten im Augen haben, wenn es um die Umsetzung des Datenschutzes geht.

Im weiterem stellte im November ein Sicherheitsexperte bei einer großen süddeutschen Partei in einem Regionalverband eine erhebliche Sicherheitslücke fest. Durch einfaches Cross-Site-Scripting (XSS) gelang der Zugriff auf personenbezogene Daten einschließlich Passwörtern. Die Server waren dagegen nicht geschützt. Ob dieses, wie zu vermuten ist, daran lag, dass man länger keine Updates getätigt hatte, wurde zu dem Fall nicht berichtet. Sicherheitsforscher in England haben für einen Test 100 USB-Sticks online ersteigert und dann auf noch vorhandene Daten untersucht. Bei 42 Sticks gelang die Wiederherstellung von Daten mühelos. Unter den Daten waren auch Kontoauszüge und Steuererklärungen. Ich rate alle Kunden gebrauchte USB-Sticks nicht zu verkaufen, sondern zu vernichten.

Ein Professor für IT-Sicherheit aus dem schönen Ostfriesland berichtet laut BSI über ein Projekt mit seinen Studenten, in dem er diesen den Auftrag erteilte, eine Überwachungs-kamera zu hacken. Das gelang auch, und darüber hinaus war es nicht nur möglich die Kamera unbefugt einzusehen, sondern die Schwachstelle ermöglichte den Zutritt zum gesamten Netzwerk, in dem sich die Kamera befand. Der Professor erteilt daher den Rat, Geräte aus dem Internet der Dinge, wie digitale Türschlösser, Überwachungskameras, Heizungsventile etc., nicht im primären Netzwerk zu betreiben, sondern über einen isolierten Gastzugang.

Abschließend kann ich nicht anders als auf die Artikel der Presse zu den jüngsten Ideen der SCHUFA einzugehen: Hier wird übereinstimmend berichtet, dass die SCHUFA Pläne hat ihre AGBs zu ändern, sich Einwilligungen der Kunden einzuholen und dann auch die Daten aus den Kontoauszügen in ihr Scoring einbeziehen will. Ein solcher Feldversuch ist bereits gestartet. Der Datenschutz lief sofort Sturm dagegen, was nicht überraschend ist. Ich bin mir selbst auch sehr sicher, dass die SCHUFA nicht die Bewegungen auf meinen Kontoauszügen wissen muss, und dass ein noch detaillierteres Scoring durch dieses Unternehmen nicht im Interesse der Verbraucher liegt. Es ist ein sehr fragliches Ansinnen der SCHUFA und ich werde den Fortgang der Sache verfolgen. Hier wäre ich nicht abgeneigt, genau wie bei einem Verfahren gegen die Deutsche Post, mich selbst daran zu beteiligen dagegen vorzugehen.

3. Universalwaffe Datenschutz

Ebenso im November wurde ein Vorfall in einem Süddeutschen Unternehmen bekannt, dass durch SPAM und Erpressung angegriffen wurde. Dabei waren offensichtlich sensible Kundendaten an unbefugte Dritte gelangt. Letztlich gab das Unternehmen eine Kundeninformation heraus und beauftragte einen IT-Forensiker mit der Suche nach der Ursache des Datenverlusts. Dieser fand heraus, dass es sich offensichtlich um einen Insiderangriff handelte und ein Mitarbeiter des Unternehmens der mutmaßliche Täter ist.

Das Phänomen, dass Mitarbeiter Geschäftsdaten stehlen, ist nicht neu. Es kommt immer wieder vor, und es kommt leider häufiger vor als man denkt. Die Motivation ist dabei nicht immer nur eine Finanzielle. Häufig geht es vielmehr um die Austragung eines Konflikts mit dem Unternehmen auf einer anderen Ebene. Zugrunde liegt dann ein Streit mit der Leitung des Unternehmens, zum Beispiel über eine Abmahnung, einen Tadel, Arbeitnehmerrechte oder auch eine Kündigung. Das ganze gewinnt dann eine eigene Dynamik und endet damit, dass der Mitarbeiter zu einem unrechtmäßigen Gegenangriff startet und, um es dem Unternehmen heimzuzahlen, Interna und Geschäftsdaten publik macht, zu deren Geheimhaltung der Mitarbeiter eigentlich verpflichtet gewesen wäre. Dieses kann zu erheblichen Schaden führen.

Ich registriere zunehmend aber auch eine generelle Anwendung des Datenschutzes als Universalwaffe für die Austragung anderer Konflikte. So starten Ex-Mitarbeiter aus fraglichen Motiven nicht selten sinnlose Datenschutz-Auskunftsanfragen an alle Geschäftspartner des ehemaligen Arbeitgebers. Ein gutes Beispiel sind hier aber auch die Schulen. Es kommt immer wieder vor, dass Eltern und Lehrkräfte in Konflikt darüber geraten, wie die Leistungen oder Verhaltensweisen der Kinder zu bewerten sind und über Ursachen hierfür. Wenn dieser Konflikt eskaliert, geht es am Ende nur noch darum, das berühmte Haar in der Suppe zu finden, um es der Lehrkraft um die Ohren zu schlagen. Dieses Haar findet sich immer häufiger im Datenschutz. So beobachte ich mehrere Fälle, wo Eltern Lehrkräfte damit angehen, dass diesen untersagt werden soll, die Daten der Schüler auf ihren privaten EDV-Geräten zu verarbeiten und detaillierte Auskunft über deren Sicherheitsstandards etc. verlangen. Das irritierende hierbei ist, dass gleichermaßen verlangt wird, dass die Lehrkräfte digitalen Unterricht leisten sollen, am besten rund um die Uhr, und die Lehrkräfte dabei überhaupt nicht über ein dienstliches digitales Endgerät verfügen, weil die Politik das bisher nicht finanziert hat. Es ist quasi eine Quadratur des Kreises, wo mit dem Datenschutz genüsslich auf die Lehrkräfte eingeschlagen wird, ohne dass diese überhaupt eine Möglichkeit besitzen, irgendeine Abhilfe zu schaffen.

Wir haben als Gesellschaft den Datenschutz aus guten Gründen erfunden und wir stehen erst am Anfang eines langen Weges, den der Datenschutz noch zu gehen hat, bis er in der Praxis angemessen umgesetzt ist. Hier gibt es in der Tat Felder, wo der Datenschutz und die Praxis manchmal zwei nicht miteinander vereinbare Dinge darstellen. Natürlich müssen alle diese Baustellen angegangen werden. Diese Baustellen aber bewusst zu suchen und dann als Waffe in einem eigentlich anderen Konflikt zu nutzen, ist nicht der Sinn des Datenschutzes. Es ist der Sinn des Datenschutzes konstruktive Schritte nach vorne zu machen und Lösungen für bestehende Probleme zu finden.

4. IT-Grundschutz nach BSI - Teil 5

Für die ordentliche Organisation und die Sicherheit der IT, ist es ebenso wichtig, dass man jederzeit einen genauen Überblick darüber hat, welche Endgeräte, Router, Switchs etc. in welchen Räumen vorhanden sind bzw. wo im Unternehmen installiert wurden. In der Darstellung des BSI erfasst man zuerst tabellarisch die Gebäude und Räume mit Anzahl an Endgeräten im Raum, mit der Nutzer-Gruppe (zum Beispiel Abteilung Einkauf, oder IT-Abteilung etc,) und einer Raumbeschreibung (z.B. Werkhalle). Eine eindeutige Raumbezeichnungen, zum Beispiel eine Nummerierung mit R001, sollte getätigt werden. Hiernach ordnet man den Räumen in separaten tabellarischen Auflistungen die dortigen Endgeräte detailliert zu.

Man muss für die IT-Sicherheit aber nicht nur an die digitalen Geräte selbst denken. Man muss auch an die Menschen denken, die Zutritt haben und deswegen, zu mindestens theoretisch, auch Zugriff auf die Geräte nehmen könnten. Daher ist auch eine Auflistung aller Dienstleister mit Zutritt zu den Räumlichkeiten erforderlich. Dieses sollte man auch tabellarisch machen. Zuerst in einer Übersicht aller Dienstleister überhaupt mit Firmennamen, Anschriften, Ansprechpartner(n) und kurzer Beschreibung der Tätigkeit im Unternehmen. Danach kann man in einer weiteren Tabelle den Zutritt der Dienstleister zu Räumen, ihre dortigen Tätigkeiten, Personen, Zeiten etc. mit möglichen unerlaubten Zugriffsoptionen noch detaillierter darstellen. Aus Sicht des Datenschutzes bietet sich letzteres an.

Im Teil 6 kommt dann ein neuer Punkt, die sogenannte Schutzbedarfsfeststellung. Diese wird oftmals komplex diskutiert. Viele finden die Einteilung in nur drei Stufen (normal, hoch und sehr hoch) als zu verallgemeinert. Oftmals gestalten sich Abgrenzungen schwierig oder Schutzklassen überlappen sich. Damit befasst sich dann der nächste Newsletter.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren. Im nächsten Newsletter wird es sicher wieder spannende Themen geben.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com