Kategorie: betrieblicher Datenschutz

Information zum betrieblichen Datenschutz, Datenschutz im Betrieb, Umsetzung, Kontrolle, Anwendung des BDSG

Datenschutz im Homeoffice: Diese Fehler passieren täglich

Datenschutz im Homeoffice: Diese Fehler passieren täglich

Kaffee aus der eigenen Küche, Videocall in Jogginghose, Katze auf dem Laptop. Das alles ist schön und gut, aber wie sieht es mit dem Datenschutz im Homeoffice aus? Das ist kein Thema, bei dem Unternehmen einfach mal ein Auge zudrücken können, aber dennoch passieren täglich Fehler, die niemand so richtig auf dem Schirm hat. Teuer können sie trotzdem werden – das Bußgeld kennt keine Homeoffice-Ausnahme.

Kein Regelwerk, kein Schutz

In meiner beruflichen Praxis stelle ich immer wieder fest, dass viele Unternehmen keine betriebliche Regelung zum Homeoffice und zum Umgang mit personenbezogenen Daten außerhalb des Büros haben. Es gibt keine Betriebsvereinbarung, keine Homeoffice-Richtlinie, kein Hinweis auf die datenschutzrechtlichen Pflichten der Mitarbeiter. Damit fehlt sowohl die organisatorische Grundlage als auch die Grundlage für Art. 5 und Art. 32 DSGVO. Diese besagen, dass Daten durch geeignete technische und organisatorische Maßnahmen geschützt werden müssen. Diese Maßnahmen müssen logischerweise irgendwo niedergeschrieben sein.

Wer Datenschutz im Homeoffice nicht regelt, überlässt ihn dem Zufall. Klingt das für Sie nach einer guten Lösung? Wohl eher nicht.

Das Privatgerät: Praktisch, aber problematisch

Kommt Ihnen das bekannt vor? „Ich nehme einfach meinen privaten Laptop, der ist eh schneller.“ Das klingt pragmatisch, ist datenschutzrechtlich aber ein Minenfeld. Auf privaten Endgeräten fehlen in aller Regel Sicherheitsmaßnahmen, die zentral sind für Unternehmen wie ein Mobile Device Management (MDM), Festplattenverschlüsselung nach Unternehmensstandard oder automatische Sicherheitsupdates. Dafür vermischen sich berufliche und private Daten. Ein gefundenes Fressen für Aufsichtsbehörden und Cybercriminelle.

Das bedeutet: Personenbezogene Daten – Kunden-, Mitarbeiter- und Bewerberdaten – haben auf privaten Geräten nichts zu suchen. Der sicherste Weg ist, betriebliche Endgeräte zu stellen und die private Nutzung im Arbeitsvertrag zu verbieten. Das schließt auch Handys ein.

Die Wohnung ist kein Datentresor

Noch so ein Klassiker ist der Mitarbeiter, der seinen Arbeitsplatz am Küchen- oder Esstisch eingerichtet hat. Der Partner schmiert sich ein Brot und erfährt gleichzeitig, warum Kollege Müller abgemahnt wird. Wunderbar.

Wer mit vertraulichen Daten arbeitet, braucht im Idealfall einen abschließbaren Raum. Wenn das nicht möglich ist, sollte der Arbeitsplatz zumindest nicht gleichzeitig Durchgangszone, Esszimmer und Spielfläche sein.

Und was ist mit den Unterlagen? Ein abschließbarer Schrank ist eine datenschutzrechtliche Mindestanforderung, sobald physische Dokumente mit personenbezogenen Daten mit nach Hause wandern. Und ja, das gilt auch für den Posteingang. Wer Mahnbescheide, Verträge oder Bewerbungsunterlagen ins Homeoffice mitnimmt und diese offen ablegt, verstößt gegen Art. 5 I lit. f) DSGVO. Das passiert zwar ohne böse Absicht, ist aber trotzdem nicht erlaubt.

Firmenunterlagen gehören nicht ins Altpapier

Da das seit langem prophezeite papierlose Büro noch auf sich warten lässt, landen viele Firmenunterlagen auch in Papierform im Homeoffice. Doch was passiert, wenn diese nicht mehr benötigt werden? Der einfache Weg ist häufig: zweimal durchreißen und dann ab ins Altpapier. Auf die Gefahr hin, dass ich mich wiederhole: Auch das verstößt gegen Art. 5 I lit. f) DSGVO. Für die Aktenvernichtung ist ein datenschutzkonformer Schredder oder eine versiegelte Datentonne zu verwenden. Wer das nicht zu Hause hat, muss den „Papiermüll“ wohl oder übel mit ins Büro nehmen und ihn dort DSGVO-konform entsorgen.

Eine Überprüfung muss möglich sein

Zu guter Letzt stellt sich die Frage, wer die Einhaltung des Datenschutzes im Homeoffice eigentlich überprüft? Die Antwort ist klar: Das sollte der Arbeitgeber tun. Er haftet in der Regel ja auch für Datenschutzverstöße.

Nun darf der Arbeitgeber natürlich nicht einfach so die privaten Räumlichkeiten eines Mitarbeiters betreten, diese sind durch das Grundrecht auf Unverletzlichkeit der Wohnung gemäß Art. 13 GG geschützt. Deshalb ist zwingend eine schriftliche Vereinbarung zwischen dem Arbeitgeber und dem im Homeoffice arbeitenden Mitarbeiter erforderlich, die den Zutritt für arbeitsrelevante Themen regelt. Sie ist die Grundlage für die Homeoffice-Richtlinie.

Neben der Überprüfung der Einhaltung des Datenschutzes hilft die Vereinbarung im Zweifel übrigens auch dabei, dass alle Arbeitsmaterialien im Falle einer Kündigung zurückgeholt werden können. Auch ein Aspekt, den viele vergessen.

Datenschutz im Homeoffice gezielt angehen – die wichtigsten Sofortmaßnahmen

Datenschutz im Homeoffice ist kein Hexenwerk. Es gibt klare Spielregeln und die sind einzuhalten. Die wichtigsten Sofortmaßnahmen sind:

  • Vereinbarung mit Mitarbeitern über Zutritt der privaten Räumlichkeiten schließen.
  • Homeoffice-Richtlinie erstellen und alle Mitarbeiter nachweislich darüber informieren.
  • Nur betriebliche Endgeräte mit aktueller Verschlüsselung und Sicherheitssoftware für die Arbeit mit personenbezogenen Daten zulassen.
  • Physische Unterlagen ausschließlich in dringenden Fällen und mit klarer Rückgabepflicht ins Homeoffice mitnehmen.
  • Abschließbare Aufbewahrung für Dokumente sicherstellen.
  • Bildschirm bei Verlassen des Arbeitsplatzes sperren.
  • Telefonate und Videocalls mit vertraulichem Inhalt niemals im Beisein Dritter führen.
  • Mitarbeiter regelmäßig zum Thema Datenschutz schulen.

Fazit: Es besteht Handlungsbedarf

Datenvorfälle im Homeoffice unterliegen derselben Meldepflicht wie Vorfälle im Büro. Es braucht also klare organisatorische Entscheidungen und den Willen, diese auch durchzusetzen. Wer den Datenschutz im Homeoffice ignoriert, riskiert Bußgelder nach Art. 83 DSGVO und einen Vertrauensverlust von Kunden und Mitarbeitern – und der lässt sich nicht so einfach wegpatchen.

Sie wissen nicht, ob Ihr Homeoffice-Setup datenschutzkonform ist? Eine kurze Bestandsaufnahme zeigt schnell, wo der Schuh drückt – sprechen Sie mich gerne direkt an.

Oder wollen Sie lieber strukturiert beim Thema Datenschutz und IT-Sicherheit vorgehen? In meinen Seminaren zeige ich, worauf Unternehmen achten müssen. Alle Themen und Termine finden Sie unter cheyenne-IT.de/seminare.

Evasion-Attacks auf LLMs

Evasion-Attacks auf LLMs

Künstliche Intelligenz ist längst kein Experiment mehr. Sprachmodelle steuern Chatbots, analysieren Verträge, generieren Code, verfassen Mails oder greifen auf interne Wissensdatenbanken zu. Was nach Effizienzgewinn klingt, bringt jedoch eine neue Risikoklasse mit sich: Evasion-Attacks auf LLMs.

Das Bundesamt für Sicherheit in der Informationstechnik warnt in einer aktuellen Veröffentlichung ausdrücklich vor gezielten Manipulationen von Sprachmodellen im laufenden Betrieb . Für Leitungsfunktionen bedeutet das: KI-Sicherheit ist nicht nur ein IT-Thema. Sie ist ein Governance-Thema.

Was steckt hinter Evasion-Attacks?

cheyenne-Blog * KI
Quelle:jalammar.github

Anders als klassische Cyberangriffe verändern diese Attacken nicht den Quellcode oder die Modellparameter. Stattdessen manipulieren sie Eingaben so, dass das System seine eigenen Schutzmechanismen umgeht.

Mögliche Folgen:

  • Offenlegung sensibler Unternehmensdaten

  • Manipulation automatisierter Prozesse

  • Erzeugung rechtswidriger Inhalte

  • Reputationsschäden

  • Haftungsrisiken

Das Gefährliche: Das System funktioniert scheinbar normal – bis es plötzlich Dinge tut, die es laut Vorgaben niemals hätte tun dürfen .

LLMs, wo sind sie zu finden?

LLMs (Large Language Model) ,  also KI-Modelle, die Sprache verstehen und Texte erzeugen können, sind mittlerweile in nahezu jedem Unternehmen zu finden.

Beispiele: ChatGPT, Claude, Gemini, Copilot, Mistral etc.

LLMs sind zunehmend auch als Zusatzfunktionen in Fachanwendungen implementiert, Beispiele:

  • ERP- und CRM-Systeme

  • interne Dokumentenablagen

  • Entwicklerplattformen

  • Compliance-Workflows

  • Kundenkommunikation

Die eingebetteten KI-Funktionalitäten erhalten Ihre Rechte zumeist durch die Rechte, die auch die Anwendung hat. Je mehr Zugriff ein System erhält, desto größer wird die Angriffsfläche. Besonders riskant sind laut BSI Konstellationen mit:

  • Zugriff auf private Daten

  • Anbindung an externe Quellen

  • automatisierten Schreib- oder Versandfunktionen

DSGVO: Wenn das LLM zum Datenschutzproblem wird

Für Geschäftsführung und Datenschutzbeauftragte stellt sich eine zentrale Frage: Was passiert, wenn ein Sprachmodell personenbezogene Daten ungewollt preisgibt?

Typische Szenarien:

  • Ein Prompt Injection-Angriff führt zur Offenlegung von Kundendaten

  • Ein Modell speichert manipulierte Inhalte dauerhaft im Langzeitspeicher

  • Sensible Informationen werden über externe Schnittstellen übertragen

Ein kompromittiertes LLM-System kann meldepflichtige Datenschutzverletzungen auslösen – inklusive Bußgeld- und Reputationsrisiko.

Leitungsorgane stehen hier in der Organisationsverantwortung. Es reicht nicht, „KI einzuführen“, sie muss auch sicher implementiert sein.

AI Act: KI-Risiken werden regulatorisch relevant

Der AI-Act gibt die Regeln für den Einsatz  von KI-Systemen konkret vor.  In Verbindung mit der DSGVO sind die einzusetzenden Systeme VOR dem Einsatz zu prüfen, vgl. Art. 32, Art. 35 DSGVO. Aus der Prüfung ergibt sich eine unternehmensweite Richtlinie für die Nutzung von KI in dem jeweiligen Unternehmen. Gemäß Art. 4 AI-Act sind die Nutzer zudem vor der ersten Verwendung zu schulen.

Zusammenfassung aus DSGVO und AI-Act:

Unabhängig davon, in welche Kategorie des AI-Actes ein LLM-System eingestuft wird, gelten bestimmte Pflichten immer.

DSGVO: Vorabkontrolle

Die datenschutzrechtliche Vorabkontrolle, dient zur Identifikation möglicher Risiken für personenbezogene Daten.

  • Art. 24 DSGVO – Organisationsverantwortung

  • Art. 32 DSGVO – technische und organisatorische Maßnahmen

  • Art. 35 DSGVO – Datenschutz-Folgenabschätzung (wenn hohes Risiko)

Aus der Vorabkontrolle folgt eine Empfehlung des bDSB, wie mit KI und personenbezogenen Daten umgegangen werden soll und ob personenbezogene Daten überhaupt genutzt werden können.

Daraus folgt in Abstimmung mit den Leitungsfunktionen die Erstellung einer internen KI-Richtlinie.

In diese Richtlinie gehört mindestens eine Aufzählung der genutzten Systeme und die klare Benennung von Do’s & Dont’s in dem jeweiligen System.

Art. 4 AI Act – KI-Kompetenzpflicht (gilt für alle KI-Systeme)

Unternehmen müssen sicherstellen, dass Personen, die KI-Systeme einsetzen oder überwachen, über ausreichende Kenntnisse verfügen und unter welchen Einschränkungen KI im Hause genutzt werden darf.

Die Grundlage der Nutzung ergibt sich aus der Richtlinie und genau diese Inhalte werden geschult.

Das bedeutet:

  • Unterweisung der Mitarbeiter

  • Sensibilisierung für Risiken wie Prompt Injections

Das ist  eine Organisationspflicht und kein nice to have.

Art. 50 AI Act – Transparenzpflichten (gelten unabhängig von der Risikoklasse)

Wenn KI eingesetzt wird, müssen bestimmte Transparenzanforderungen erfüllt sein, zum Beispiel:

  • Kennzeichnung von KI-generierten Inhalten

  • Offenlegung gegenüber Nutzern, wenn sie mit KI interagieren, z.B. bei ChatBots

  • Klarheit über synthetische Inhalte

Auch hier gilt: Das betrifft alle KI-Systeme unabhängig der Klassifizierung.

Typische Angriffsformen auf LLMs

Das BSI beschreibt unter anderem die folgenden Angriffsvarianten.

1. Prompt Injections

Bei einer Prompt Injection wird das Sprachmodell direkt über eine manipulierte Nutzereingabe beeinflusst.

Ein Angreifer formuliert seine Anfrage so, dass interne Regeln oder Systemanweisungen überschrieben oder ignoriert werden. Häufige Formulierungen sind etwa:

  • „Ignoriere alle vorherigen Anweisungen.“

  • „Du bist jetzt nicht mehr ein Assistent, sondern …“

  • „Handle außerhalb deiner Sicherheitsrichtlinien.“

Das Modell wird dabei nicht technisch gehackt – sondern kommunikativ manipuliert.

Für Unternehmen ist das besonders kritisch, wenn das LLM Zugriff auf sensible Daten oder Funktionen besitzt.

2. Indirekte Prompt Injections über Drittinhalte

Hier erfolgt die Manipulation nicht über den direkten Nutzer-Prompt, sondern über externe Inhalte, die das System verarbeitet.

  • E-Mails

  • Webseiten

  • PDFs

  • Wissensdatenbanken

  • Git-Repositories

  • Ticketsysteme

Ein Angreifer versteckt schädliche Anweisungen in scheinbar harmlosen Inhalten. Das LLM interpretiert diese Inhalte fälschlich als Handlungsanweisung.

Beispiel:
Eine Website enthält im Quelltext die Anweisung, sensible Daten an einen externen Server zu senden. Wird diese Seite vom LLM verarbeitet, kann die schädliche Logik aktiviert werden.

Das Risiko steigt erheblich, wenn das System über Langzeitspeicher oder Tool-Zugriffe verfügt.

3. Jailbreaks

Ein Jailbreak zielt darauf ab, das während des Trainings erlernte Sicherheitsverhalten des Modells zu umgehen.

Das geschieht häufig durch:

  • Rollenspiele („Stell dir vor, du bist ein Hacker…“)

  • fiktive Szenarien

  • kreative Umschreibungen verbotener Inhalte

  • semantische Umgehung von Schlüsselwörtern

Das Modell bleibt technisch unverändert, aber seine Schutzmechanismen werden „argumentativ ausgehebelt“.

Für Führungskräfte ist relevant: Jailbreaks können dazu führen, dass Compliance-Vorgaben faktisch umgangen werden, ohne dass ein technischer Einbruch vorliegt.

4. Mehrstufige Manipulationen

Hier erfolgt der Angriff nicht in einer einzigen Anfrage, sondern über mehrere Interaktionen hinweg.

Der Angreifer geht schrittweise vor:

  1. Zunächst werden harmlose Informationen abgefragt.

  2. Danach wird Kontext aufgebaut.

  3. Schließlich wird das System dazu gebracht, sicherheitskritische Details preiszugeben.

Diese Methode ist besonders schwer zu erkennen, da jede einzelne Anfrage für sich betrachtet unauffällig wirkt.

In automatisierten Workflows können solche Angriffe schleichend eskalieren.

5. Verschleierung über Kodierung oder Sonderzeichen

Angreifer nutzen technische Tricks, um Filter zu umgehen:

  • Base64-Kodierung

  • Verschlüsselung

  • absichtliche Rechtschreibfehler

  • Einfügen von Steuerzeichen wie \n oder \b

  • unsichtbare Unicode-Zeichen

  • Sprachwechsel oder Sprachmischung

Das Ziel ist es, Sicherheitsmechanismen zu verwirren oder bekannte Schlüsselwortfilter zu umgehen.

Für das Management wichtig:
Solche Angriffe sind nicht auf den ersten Blick erkennbar. Sie wirken wie normale Textbestandteile – können aber operative Prozesse manipulieren.

Strategische Einordnung

Alle genannten Angriffstypen haben eines gemeinsam:
Sie nutzen die Kommunikationsfähigkeit des Systems aus.

  • Datenzugriff

  • Systemintegration

  • Automatisierung

  • externe Schnittstellen

Je mehr Kommunikationsfähigkeiten ein LLM besitzt, desto größer wird das Gefährdungspotenzial.

Deshalb sind diese Angriffe nicht nur ein IT-Detail, sondern ein Governance-Thema.

Verantwortung von Führungskräften

KI-Risikobewertung auf Managementebene verankern

  • Ist das eingesetzte LLM an interne Daten angebunden?

  • Was sagt der Datenschutz?

  • Welche Aktionen darf es autonom ausführen?

  • Gibt es eine dokumentierte Risikoanalyse?

Least Privilege konsequent umsetzen

LLM-Systeme dürfen nur Zugriff auf Daten und Funktionen erhalten, die zwingend notwendig sind. Jede zusätzliche Berechtigung erhöht das Angriffsrisiko .

Serverseitige Schutzmechanismen etablieren

Das BSI empfiehlt unter anderem:

  • Eingabenormalisierung

  • Längenbeschränkungen

  • Content-Stripping

  • Filter für schädliche Prompts

  • Schwärzung sensibler Informationen

Wichtig: Clientseitige Filter sind nicht ausreichend.

Menschliche Aufsicht implementieren

Der AI Act verlangt menschliche Kontrolle bei KI-Systemen der Kategorie „hochrisiko“. Das BSI bestätigt diesen Ansatz durch sogenannte Human Guardrails und dies nutzungs- und nicht KI-kategoriebezogen.

Beispiel:
Kritische Aktionen wie E-Mail-Versand oder Datenexport müssen aktiv freigegeben werden.

Fazit

KI-Cybersicherheit ist kein reines IT-Detail, sondern mittlerweile ein Standard-Arbeitspaket im Kontext IT-Sicherheit und Datenschutz. Führungskräfte müssen die Grundmechanismen verstehen, um Risiken realistisch bewerten zu können .

Die „KI-Welt“ ist schnellebig, es sollte bei Updates von Systemen genau geprüft werden, ob eine KI-Funktionalität inkludiert oder erweitert wurde und was dies für die Nutzung im Unternehmen bedeutet.

Bei der Bewertung müssen unterschiedlichste Normen mit einbezogen werden, neben dem AI-Act auch die DSGVO, ggf. NIS 2 (Also BSIG), Geschäftsgeheimnisgesetz, ggf. Urheberrecht etc.

Wenn Sie jetzt noch unsicher sind, in Bezug auf die Nutzung von KI-Systemen oder eine Richtlinie erstellen lassen möchten und/oder Ihre Mitarbeiter kompetent schulen lassen möchten, dann sprechen Sie mich an, ich unterstütze Sie in allen Fragen rund um das Thema KI.

Datenschutz und IT-Sicherheit 2026

Datenschutz und IT-Sicherheit 2026: Diese Themen sollten Unternehmen jetzt priorisieren

Der Jahresanfang ist der richtige Zeitpunkt, um Maßnahmen für Datenschutz und IT-Sicherheit zu planen. Sonst verfliegt das Jahr und die Risiken schweben über dem Unternehmen wie ein Damoklesschwert. Zu bedenken ist, dass sowohl die Beschwerden als auch die verhängten Bußgelder wegen Datenschutzverstößen seit Inkrafttreten der DSGVO am 25. Mai 2018 stetig und spürbar steigen. Außerdem bedeutet Datenschutz auch immer, einen Blick auf die IT-Sicherheit zu werfen. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 und einer realen Bedrohungslage durch Cyberkriminelle sind Datenschutz und IT-Sicherheit 2026 also so relevant wie nie.

Kontinuierliches Handeln ist gefragt

Ob zehn, zwanzig oder zweihundert Mitarbeiter, ob Mittelstand oder Konzern, die Grundsätze und Anforderungen aus Art. 5 und Art. 6 DSGVO bleiben 2026 unverändert bestehen. Das bedeutet allerdings nicht, dass Unternehmen die Hände in den Schoß legen können, denn Datenschutz ist eine Aufgabe, die kontinuierlich Aufmerksamkeit erfordert. So müssen zum Beispiel Verfahrensverzeichnisse nach Art. 30 DSGVO nicht nur vorhanden sein, sondern auch regelmäßig überprüft und aktualisiert werden. Jegliche Veränderung wie zum Beispiel der Einsatz von KI muss dokumentiert und Prozesse müssen überprüft werden.

Jetzt ist Handeln gefragt. Wenn die Datenschutzbehörde vor der Tür steht oder ein Phishing-Angriff erfolgreich war, ist es zu spät. Das sind die zentralen Themen und Aufgaben in den Bereichen Datenschutz und IT-Sicherheit 2026:

  • Verarbeitungsverzeichnisse prüfen und aktualisieren.
  • Mitarbeiter schulen.
  • Eventuelle Datenschutz- oder IT-Sicherheitsvorfälle prüfen und erforderliche Maßnahmen umsetzen.
  • IT-Sicherheitsstruktur prüfen.
  • Proaktive Maßnahmen wie die Implementierung eines BSI-Grundschutzes prüfen und gegebenenfalls umsetzen.

Datenschutzbeauftragter: Pflicht hin oder her

Besonders relevant ist die Frage nach einem betrieblichen Datenschutzbeauftragten. Ab 20 Mitarbeitern, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten gesetzlich verpflichtend. Doch ist diese Begrenzung sinnvoll? Auch ohne Pflicht zur Benennung gilt die DSGVO. Ab etwa 10 Mitarbeitern empfiehlt sich eine freiwillige Mandatierung, denn seien wir mal ehrlich, von den eigenen Mitarbeitern hat in der Regel niemand Zeit und die Expertise für wirksamen Datenschutz. Ein externer Datenschutzbeauftragter bringt Struktur, hält den Rücken frei und verfügt über das erforderliche Fachwissen.

IT-Sicherheit wird immer noch unterschätzt

Auch Fragen der IT-Sicherheit – damit sind technische und organisatorische Maßnahmen zum Schutz der IT-Infrastruktur, Systeme und Daten gemeint – werden immer relevanter. Die Bedrohungslage hat sich im Jahr 2025 massiv verschärft. Cyberangriffe werden schneller und gezielter. Zero-Day-Schwachstellen werden genutzt, Ransomware-Gruppen nutzen KI-gestützte Angriffsmethoden, und selbst Systeme mit aktuellen Updates bleiben ohne kontinuierliches Monitoring angreifbar. Die globale PwC Cyberstudie „Digital Trust Insights 2026: Chancen und Risiken für deutsche Unternehmen“ ergab, dass etwa 9 von 10 Unternehmen in Deutschland in den vergangenen 3 Jahren Opfer eines Cyberangriffs wurden. Bei 47 Prozent beliefen sich die Kosten eines Datendiebstahls auf bis zu eine Million US-Dollar. Bei 26 Prozent sogar auf bis zu zehn Millionen. Bei diesen Zahlen ist nicht nachvollziehbar, warum 77 Prozent zwar ihre Cyberbudgets erhöhen wollen, doch tatsächlich nur 15 Prozent in proaktive Maßnahmen investieren.

Blindes Vertrauen rächt sich

Besonders kritisch ist, dass viele Unternehmen sich auf die IT-Sicherheitsstruktur ihres IT-Dienstleisters verlassen und dabei nicht bemerken, dass dieser oft nur die technische Infrastruktur betreut, nicht aber eine strategische Sicherheitsarchitektur aufbaut. Was fehlt, ist ein unabhängiger IT-Sicherheitsingenieur, der das Gesamtbild im Blick behält, Schwachstellen identifiziert und präventive Maßnahmen entwickelt.

Fazit

Datenschutz und IT-Sicherheit sind kein Hexenwerk, aber auch keine Aufgabe, die man mal eben so nebenbei erledigt. Die Risiken sind real und die Kosten können im Schadensfall erheblich sein. Außerdem werden auch die rechtlichen Anforderungen schärfer.

Wenn Sie Ihre Datenschutzprozesse überprüfen oder Ihre Mitarbeiter schulen lassen möchten, sprechen Sie mich gerne an.

Wenn Sie befürchten, nicht ausreichend gegen Cyberangriffe vorbereitet zu sein, dann lassen Sie uns über den Aufbau einer fundierten IT-Sicherheitsstruktur sprechen.

Berechtigtes Interesse, gem. Art. 6 I lit. f) DSGVO

In letzter Zeit sehe ich häufig die Rechtsgrundlage des Art. 6 I lit. f) DSGVO, also die Verarbeitung aus berechtigtem Interesse des Seitenanbieters. Schuld ist ein Urteil des OLG Stuttgart Az.: 2 U 63/22 17 O 807/21 .

Der Tenor des Urteils lautet, die Zusendung eines Werbeschreibens kann nach Art. 6 I lit. f) i.V.m. Art. 5 DSGVO rechtmäßig sein. Das Versenden gewerblicher Informationen kann ein berechtigtes Interesse im Sinne der Vorschrift sein.

Das Urteil bietet aber keineswegs einen Freibrief, nun jegliche Verarbeitung auf ein berechtigtes Interesse zu stützen. Das Urteil scheint teils nicht richtig verstanden worden zu sein, dies hat zur Folge, dass diese Rechtsgrundlage seit dem Urteil gehäuft als Grundlage für die Verarbeitung personenbezogener Daten über ein Kontaktformular verwendet wird. Meines Erachtens deutet dies auf ein mangelndes Rechtsverständnis des Erstellers der Datenschutzerklärung hin.

Was ist ein „berechtigtes Interesse“?

Art. 6 I lit. f) DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Entscheidend ist also jeweils eine Interessenabwägung.

Dies bedeutet nicht, dass die Rechtsgrundlage jedes Mal greift, wenn mir nichts anderes einfällt und ich die Daten so gerne erheben möchte.

„Datenschutz ist Grundrechtsschutz“, wir sind demnach im Grundrechtsbereich und wie immer, beim Eingriff in Grundrechte, muss eine Abwägung der Grundrechtspositionen her. Art. 6 I lit. f) DSGVO benennt die Anforderungen genau, die Voraussetzungen sind:

  • Es muss ein berechtigtes Interesse des Anbieters vorliegen. Dies kann wirtschaftlich, rechtlich, idell sein. Berechtigt ist wörtlich zu sehen, ein Interesse ohne Berechtigung reicht also nicht. Aber auch Werbung kann ein solches berechtigtes Interesse sein, dieses kann wirtschaftlich hergeleitet werden, muss aber eng ausgelegt werden.
  • Desweiteren muss die Verarbeitung zur Erreichung des eben begründeten Interesses auch erforderlich sein.
    Wenn es also mildere, gleich geeignete Mittel gibt, dann sind diese zu wählen.
  • Die Interessen des Betroffenen dürfen nicht überwiegen
    Solch ein Interesse kann sich schon daraus ergeben, dass der Betroffene, Werbung generell widersprochen hat.

Fallgruppen für ein berechtigtes Interesse

  • Direktwerbung (vgl. Erwägungsgrund 47 DSGVO; BGH, Urteil v. 28.5.2020 – I ZR 7/16) Der Erwägungsgrund 47 konkretisiert die Rechtsgrundlage dahingehend, dass diese natürlich wie immer nur in Verbindung mit Art. 5 DSGVO greift. Art. 5 DSGVO beschreibt sehr deutlich, dass u.a. die Zwecke der Verarbeitung für den Betroffenen transparent sein müssen, im Umkehrschluss muß der Betroffene also nicht mit Werbung rechnen, wenn diese Werbung kpl. außerhalb seines Tätigkeitsbereiches liegt. Anders z.B. wenn der Betroffene bereits Kunde ist, dann muss er auch mit Folgewerbung rechnen.  Er muss allerdings nicht mit Newsletterzusendungen rechnen, diese bedütfen einer aktiven Einwilligung, da diese in die jeweilige Persönlichkeitssphäre (per Mail/Brief) eindringen.
  • Betrugsprävention und IT-Sicherheit (z.B. Logfile-Auswertung, siehe OLG Dresden, Urteil v. 30.11.2021 – 4 U 1158/21). Gegen diesen Zweck wird wohl niemand etwas haben, natürlich liegt es im begründeten Interesse des Verantwortlichen und auch des Betroffenen, z.B. über die evtl. Zusendung von Schadsoftware informiert zu werden, die der Verantwortliche ohne Wissen, aufgrund eigenen Befalles weitergeleitet hatte.
  • Durchsetzung von Rechtsansprüchen
  • Interne Verwaltungszwecke innerhalb eines Konzerns
    So z.B. die Information über eine spezielle Mailadresse für die Zusendung von Rechnungen, Info über Ansprechpartnerwechsel u.ä.

Mein Lieblingsthema Kontaktformular

Wie sieht es denn nun bei der Verarbeitung über Kontaktformulare auf Webseiten aus? Dort sehe ich momentan gefühlt ständig den Art. 6 I lit. f) DSGVO.

Antwort: Es kommt darauf an! Oder auch, man kann sich etwas Mühe geben.

Aktuelle Rechtsprechung & Aufsichtsbehörden

  • Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) sieht die Kontaktaufnahme über das Formular grundsätzlich als „vorvertragliches Verhältnis“ Artt. 6 I lit. b), 5 DSGVO i.V.m. §§ 311 II, passende Vertragsnorm BGB) Dies greift, wenn klar ist, dass die Kontaktaufnahme des Betroffenen darauf abzielt, sich über die Leistungen/Produkte des Unternehmens zu informieren, also Anfragen zu Produkten, Dienstleistungen oder Support, die später ggf. erworben werden.
  • Andere Anfragen, die nicht unter ein vorvertragliches Verhältnis fallen, wie z.B. allgemeine Fragen, Presseanfragen, Lob/Kritik benötigen eine andere Rechtsgrundlage. Hier kommt oft das berechtigte Interesse in Betracht (Art. 6 I lit. f) DSGVO). Ich halte dies für falsch, denn durch die Absendung des Formulars (natürlich nach korrekter Belehrung), erteilt der Nutzer (Berechtigte) ganz klassisch seine Einwilligung für die Verarbeitung, gem. Art. 6 I lit. a) DSGVO, die er jederzeit ohne Angabe von Gründen auf dem gleichen Weg widerrufen kann. Allein die Dokumentationspflicht des berechtigten Interesses inkl. der gesetzlich geforderten Grundrechtsabwägung erscheint mir doch als „mit Kanonen auf Spatzen“ und ist aus meiner Sicht daher abzulehnen. Auch glaube ich nicht, dass die Abwägung wirklich durchgeführt und dokumentiert wird.

Was sagt der BGH

Bislang liegt keine höchstrichterliche Entscheidung speziell zu Kontaktformularen und Art. 6 I lit. f) DSGVO vor. Die Gerichte lassen aber erkennen, dass ein berechtigtes Interesse – etwa an der Kommunikation und Verbesserung des Service – durchaus anerkannt werden kann. Natürlich nur und ausschließlich in Verbindung mit Art. 5 DSGVO. Aus meiner Sicht, wie gesagt, überhaupt nicht notwendig, daher kann die Betrachtung dahinstehen.

Fazit

Ich benötige diese Rechtsgrundlage nur sehr selten, denn fast immer geht es besser und wenn es besser geht, dann ist dem Transparenzgebot des Art. 5 I lit. a) DSGVO ebenfalls entsprochen.

Was viele nicht bedenken ist, dass eine Weiterverarbeitung, also die nach der Erhebung der Daten über das Kontaktformular eine neue, eigene Rechtsgrundlage benötigt. Je nachdem, worum es sich handelt, z.B. Weitergabe in ein KI gestütztes Beantwortungssystem, greift das berechtigte Interesse vlt. nicht mehr und es wird trotzdem die Einwilligung des Betroffenen benötigt. Auch ist eine Einwilligung im Falle eines Rechtsstreites besser zu belegen als die Grundrechtsabwägung, die ein sorgfältiger Richter u.U. in der Luft zerreißt. Aber man kann es sich wie immer schwer machen oder eben nicht.

FAZIT: Die Verarbeitung aus berechtigtem Interesse ist kein Freifahrtschein und meine Empfehlung wäre, genau abzuwägen, ob nicht eine andere Rechtsgrundlage einfacher und genauso gut greift und besser zu dokumentieren ist.

Klugschiß:

Art. 5 I DSGVO beginnt mit: „Personenbezogene Daten müssen…“

Dies bedeutet, dass Art. 5 DSGVO, egal, auf Basis welcher Rechtsgrundlage verarbeitet wird, zwingend mit ins Boot muß. Daher lautet die korrekte Angabe der Rechtsgrundlage immer mindestens: Art. 6 I lit x i.V.m. Art. 5 DSGVO.

 

Auch ohne Pflicht zur Benennung – Datenschutz bleibt Chefsache

Viele kleine und mittlere Unternehmen atmen auf, wenn sie hören: „Für uns besteht keine Pflicht zur Benennung eines Datenschutzbeauftragten.“ Doch Vorsicht: Nur, weil keine Benennungspflicht besteht, heißt das noch lange nicht, dass man beim Datenschutz die Füße hochlegen kann.

Hintergrund ist die aktuelle Diskussion im politischen Berlin. Im Koalitionsvertrag ist vorgesehen, die Zahl gesetzlich vorgeschriebener Betriebsbeauftragter zu reduzieren – darunter fällt möglicherweise auch der betriebliche Datenschutzbeauftragte. Noch ist unklar, ob und wie sich dies konkret auf die geltende Pflicht zur Benennung bei mehr als 20 datenverarbeitenden Beschäftigten (§ 38 BDSG) auswirkt.

Was aber klar ist – und das betont auch die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Die Einhaltung der DSGVO ist nicht verhandelbar. Und damit liegt die Verantwortung bei der Unternehmensleitung. Ganz gleich, ob ein Datenschutzbeauftragter benannt wurde oder nicht.

Datenschutz muss trotzdem organisiert werden

Auch in Unternehmen, die keinen Datenschutzbeauftragten benennen müssen, gilt: „Somebody has to do the job.“ Mit anderen Worten: Jemand muss sich kümmern. Denn die Aufgaben rund um Datenschutz verschwinden nicht – sie müssen lediglich anders verteilt werden.

Die Leitung eines Unternehmens muss also sicherstellen, dass die Einhaltung aller datenschutzrechtlichen Vorgaben gewährleistet ist. Dazu gehört:

  • die Schulung von Mitarbeitern im Umgang mit personenbezogenen Daten

  • die Beratung bei Datenschutzfragen oder -vorfällen

  • die Erstellung und Pflege von Verarbeitungsverzeichnissen

  • und vieles mehr – bis hin zur Kommunikation mit Aufsichtsbehörden und betroffenen Personen.

In Unternehmen ohne einen Datenschutzbeauftragten muss diese Verantwortung klar geregelt und intern zugewiesen werden. Hierfür braucht es Fachwissen – entweder intern aufgebaut oder extern eingekauft.

Freiwillige Benennung als Lösung

Ein praktischer Weg kann sein, auch ohne gesetzliche Pflicht, freiwillig eine geeignete Person als Datenschutzbeauftragten zu benennen. Das schafft Struktur, entlastet die Geschäftsleitung und sorgt für klare Zuständigkeiten. Wichtig zu wissen: Wer freiwillig benannt wird, unterliegt den gleichen Aufgaben und Pflichten wie gesetzlich benannte Datenschutzbeauftragte gemäß Art. 37 ff. DSGVO – allerdings ohne den besonderen Kündigungsschutz.

Alternativ lässt sich die Rolle auch anders benennen, z. B. als „Datenschutzmanager“ oder „Datenschutzkoordinator“, wenn man die formalen Vorgaben aus Art. 37 DSGVO bewusst umgehen möchte. Auch das kann ein gangbarer Weg sein, um Datenschutzkompetenz im Unternehmen zu verankern – flexibel, aber dennoch wirksam.

Fazit: Verantwortung bleibt – egal ob mit oder ohne DSB

Der Verzicht auf einen Datenschutzbeauftragten ist kein Freifahrtschein. Wer personenbezogene Daten verarbeitet, muss die DSGVO einhalten – in jedem Fall. Für Unternehmen ohne Benennungspflicht bedeutet das: Die Leitung muss die Aufgaben erkennen, klar zuweisen und die Umsetzung wirksam steuern.

Denn: „Datenschutz ist Grundrechtsschutz“

Wer hier auf Nummer sicher gehen will, ist mit einer freiwilligen Benennung gut beraten – oder sollte sich zumindest professionelle Unterstützung an Bord holen. Denn Datenschutz bleibt ein Thema – mit oder ohne offiziellen Beauftragten.

Wenn Sie Hilfe oder ganz einfach nur eine Meinung einholen möchen, rufen Sie mich gerne an.

Wächtermodus bei Tesla Fahrzeugen

Wächtermodus bei Tesla Fahrzeugen

Im Rahmen meiner juristischen Bachelor-Seminararbeit habe ich mich mit der DSGVO-Konformität des Wächtermodus bei Tesla Fahrzeugen befasst.

Die Umgebungsüberwachung durch Kameras ist aus dem Alltag nicht mehr wegzudenken. Es ist eine einfache Möglichkeit, die eigenen Rechtsgüter zu schützen, z. B. das Hausrecht zu wahren. Auch auf öffentlichen Plätzen ist Videoüberwachung zum Schutz der öffentlichen Sicherheit und Ordnung nicht mehr wegzudenken.

Fahrer von Fahrzeugen nutzen Dashcams, um besondere Fahrten  mitzuschneiden oder auch um das eigene Fahrverhalten zu optimieren. Videos von Alltagssituationen erscheinen überall im Netz. Sie sind zu wichtigen Inhalten geworden, um die eigenen „Follower“ zu unterhalten. In den meisten Fällen, werden lediglich Personen in alltäglichen Situationen dargestellt.

Auch viele Fahrzeuge verfügen mittlerweile über Videoüberwachungssysteme zum Mitschnitt der Umgebung, in der sie sich gerade bewegen. Die so erzeugten Daten werden gespeichert und für verschiedenste Zwecke verwendet. Auf Parkplätzen sollen eventuelle Schäden am eigenen Fahrzeug nachvollziehbar sein, um ggf. den Verursacher in Regress nehmen zu können. Die Anwendungs-möglichkeiten sind unerschöpflich.

Mittlerweile scheint es gängige und akzeptierte Praxis zu sein, ein alles und jegliches zu filmen, Menschen, die eventuell miterfasst werden, waren dann eben am falschen Ort zur falschen Zeit, das persönliche Interesse des Filmers steht um Vordergrund.

Die Gewöhnung an Film und Bildaufnahmen aller Art, an jedem Ort, ohne die betroffene Person zu fragen, kollidiert jedoch unter Umständen mit den Grundrechten betroffener Personen in Bezug auf ihre eigenen personen-bezogenen Daten.

Die Rechtmäßigkeit der Verarbeitung von Bilddaten, die eine Identifikation der dargestellten Person ermöglichen, unterliegt strengen Voraussetzungen, die sich aus der DSGVO ergeben. Ggf. liegt bei einer Videoaufnahme ein datenschutz-rechtlicher Grundrechtseingriff vor, für den ein genau festgelegter Zweck und eine darauf abgestimmte Rechtsgrundlage zwingend erforderlich ist. Ohne diese Konstellation ist die Erfassung personenbezogener Bilddaten rechtswidrig.

Als Ergebnis ist herausgekommen, der Wächtermodus kann in der vorliegenden Form nicht DSGVO-konform betrieben werden. Aufgrund der Seitenzahlbeschränkung dieser als Prüfungsleistung entstandenen Arbeit, konnten nicht alle interessanten Aspekte betrachtet werden, das Ergebnis bleibt dasselbe.

Die Arbeit kann von Fachkollegen und interessierten Unternehmen per Email angefordert werden.

Ein Nachruf auf die DSGVO

Ein Nachruf auf die DSGVO

Es fing so vielversprechend an, die DSGVO seit 2018 in aller Munde. Endlichsagten die Behörden, endlich bekommt der Datenschutz als Grundrechtsschutz eine Relevanz. Endlich werden wir in Zukunft auch Bußgelder verhängen können, um Nichtbeachtung zu sanktionieren. Endlich werden Betroffenenrechte ernst genommen.

Nun aber scheint die DSGVO gestorben zu sein. Ein Jammer, es folgt: Ein Nachruf auf die DSGVO.

Nachruf auf die DSGVO
Quelle: GDD

Konkurrenz zu Corona

Wie es scheint, konkurriert die DSGVO mit Corona, es geht nur eins, beides nicht. Corona betrat den Laufsteg der Eitelkeiten,  die DSGVO scheint nun uninteressant geworden zu sein.

Eine Nachverfolgung von Infektionen soll umgesetzt werden. Es begann mit Zetteln, s. hier: Corona und Datenschutz.

Trotz der Zettel, die man in jeder Gastro ausfüllen musste und die teils in Glaskästen eingeworfen werden sollten, konnte diese Nachverfolgung nicht erreicht werden. Man hörte von überlasteten Gesundheitsämtern, falsch ausgefüllten Zetteln usw.

Dann kam die allseits gepriesene APP, die angeblich keine pers. Daten erfasst : Corona APP

Die neuesten Ideen

Für die neuesten Ideen wäre wohl früher ein Aufschrei seitens der Datenschützer durch ganz Europa zu hören gewesen. Sicher wäre eine Bewertung nach Art. 9 DSGVO heiß diskutiert worden. Was bleibt? Ein Nachruf auf die DSGVO.

Test- und Impfnachweis

Die neueste Idee lautet ja, möglichst viele Tests durch zu führen, damit wir alle in Sicherheit sind, alternativ kann man sich impfen lassen oder beweisen, dass man genesen ist. Für die gewählte Variante soll ich nun immer einen Nachweis bei mir führen.

Diesen Nachweis soll ich nun auch überall vorzeigen. Handelt es sich hier eigentlich um medizinische Daten? Der Test kann ja nun gar keine Diagnose ersetzen, sondern stellt bestenfalls einen Labortest dar, der zudem auch gar keine Krankheit feststellt und in keinem Labor ausgewertet wurde, da es meist ein sog. Schnelltest sein wird. Wie aber soll der Ladeninhaber, dem ich den Test nun zeigen soll, da irgendwas draus schliessen, ohne medizinische Vorkenntnisse?

Ich frage mich weiterhin, was geht es ihn an? Möchte ich meine medizinischen Unterlagen jedem zeigen, nur, um da einkaufen zu dürfen?

Muss der Ladeninhaber mir eigentlich auch seinen negativen Test oder Impfpass zeigen? Das Gesetz sieht ja vor, dass für alle immer dasselbe gilt. In meinem Impfpass stehen weitere Impfungen und meine Blutgruppe, sowie meine vollständige Adresse. Ich möchte aber nicht jedem meine Adresse und andere medizinische Daten zeigen. Und schon gar nicht, will ich diese in irgendeinem Zentralregister gespeichert wissen. Ganz oldschool „informationelle Selbstbestimmung“, diejenigen, die sich nicht erinnern, können das mal googeln.

Luca oder Sonstwie APP

Nun soll ich mich auch vor Betreten einiger Geschäfte mithilfe einer APP einloggen und beim Verlassen wieder ausloggen. Man könnte annehmen, dies würde ähnlich einer Arbeitszeit erfasst. Muss jetzt eigentlich jeder Ladeninhaber einen ADV Vertrag gemäß Art. 28 DSGVO abschliessen? Wo kann ich einsehen, welche Daten von mir gespeichert werden, bekomme ich eine Information zur Speicherung meiner Daten gemäß Art. 13 DSGVO? Und… kann ich von meinen Betroffenenrechten gemäß Kapitel 3 DSGVO Gebrauch machen?

Ich bin gespannt, ob Betroffene solche Anfragen an einige Geschäfte schicken, die werden sich freuen. Wenn sie keine Antwort bekämen, hätten wir einen DSGVO Verstoss. Das wird ein Spaß!

Abgesehen davon, wie sicher sind denn meine Daten? Wird es wieder mal ein Datenleck geben, das dem Einbrecher, der es auf mein Haus abgesehen hat, die Info gibt, dass ich gerade bei Bäcker Meyer bin und nicht zu Hause? Steht das komplette Blankziehen meiner Person und meiner Bewegungsdaten in irgendeinem Verhältnis zu meinem Einkauf in Laden x, wo ich, sagen wir mal, etwas Schreibwariges im Wert von € 1,50 kaufe?

Für mich jedenfalls nicht, für mich persönlich keine APP, kein Schlüsselanhänger, kein Test, keine Corona Impfung. Es wäre schön, wenn ich das auch weiterhin selber entscheiden dürfte.

Und wenn jetzt von jedem jeder Ladenbesuch gespeichert wird, haben wir eigentlich dann hier eine Massendatenspeicherung? Da kann man sicher viele schöne Dinge auswerten. Heute logge ich mich in Bremen ein und morgen in Husum? Also ich ja nicht, aber nur mal so als Gedanke.

Ein Nachruf auf die DSGVO

Corona und Datenschutz

Corona und Datenschutz

Kann das Eine ohne das Andere? Muss das Eine ohne das Andere? Haben wir hier Corona und Datenschutzgar eine Konkurrenzsituation? Seitdem wir hier diese Krise haben, drängt sich mir der Eindruck auf, der Datenschutz ist nicht mehr wichtig. Corona und Datenschutz, beides scheint zusammen nicht zu gehen.

Da alle um ihre Existenz kämpfen, vor allem Gastronomen und kleine Dienstleister wie z.B. Friseure, sind sie bereit, alles zu tun, damit sie nun endlich wieder öffnen können. Allerdings habe ich noch keinen getroffen, der die sogenannten Hygienekonzepte sinnvoll fand.

Wenn man nun irgendwo essen gehen will, muss man ja neuerdings seine Daten Corona und Datenschutz handschriftlich hinterlassen. Da die Betreiber keine Ausweise kontrollieren dürfen, schreibt nun jeder irgendwas drauf. Berufsbedingt schaue ich immer etwas genauer hin, oftmals, bleiben die Zettelchen einfach auf dem Tisch liegen. In Husum flogen gar ein paar an der Hafenpromenade entlang.

Was aber viel interessanter ist, auf den meisten Zettelchen steht nicht, was die Betreiber im Anschluß an das Ausfüllen damit machen, insbesondere wo und wie lange sie diese Zettel aufbewahren und auf Basis welcher Rechtsgrundlage!

Und was für ein Irrsinn, ich gehe in Nordfriesland essen, schreibe meine Heimatadresse drauf, ist dann vielleicht mein Haus aufgebrochen, wenn ich wieder nach Hause komme? Bestimmt eine neue Geschäftsidee, früher hat man bei Facebook geschaut, wer gerade im Urlaub ist!

Einige versuchen, dem wenigstens ein wenig zu entsprechen, deshalb hier auch ein paar positivere Beispiele.

Ich wundere mich über die sogenannten „Hygienekonzepte“ sehr. Die DSGVO wurde mit Pauken und Trompeten eingeführt, die Firmen mussten den ganz großen Wurf machen, um schnell die neuen, sehr aufwändigen Dokumentationspflichten zu erfüllen. Wir Datenschützer hatten damals unwahrscheinlich viel zu tun, um diejenigen Firmen zu unterstützen, die gerne alles rechtskonform umsetzen wollten.

Und nun wird dieser Prozess quasi mit Füßen getreten. Ist DSGVO überhaupt noch ernst zu nehmen? Ich bin gespannt, wie die DSGVO „nach Corona“, wenn es Corona und Datenschutzdas denn gibt, gesehen wird. Oder kann der Mensch immer nur eins zur Zeit beachten? Über Klimagretel spricht schließlich auch keiner mehr.

Die Landesdatenschutzbeauftragte von Niedersachsen hat sich Mühe gegeben, nochmal genau aufzuschreiben, wie man es mit den Zettelchen richtig machen kann.

Zu Bedenken gebe ich, dass es vlt. kaum machbar ist, die Zettelwirtschaft DSGVO konform umzusetzen. Aber der Preis ist nun mal „Öffnen gegen Hygienekonzept“.

Bedenklich! Bleibt wachsam!

Siehe auch Corona APP

Datenschutz im Homeoffice

Corona APP

Die Corona APP

Gesundheitsminister Spahn plant eine App, um die Nachvollziehbarkeit der Corona Infektionswege zu gewährleisten. Sein ursprünglicher Plan war, den Gesundheitsbehörden ganz einfach den Zugriff auf die GPS-Daten der Nutzer ganz zu erlauben. Mit der ersten Idee ist er zum Glück gescheitert, nun plant er die Corona APP, wie ich sie nenne.

Wie ist die Idee?

Der Medientenor ist momentan, dass jeder sich diese APP freiwillig installieren kann. Liest man mehrere unterschiedliche Quellen, so soll mit anonymisierten Namen und Standortdaten ein Tracking erfolgen, dass den Nutzer warnt, wenn er mit einem Corona Infizierten Kontakt hatte.

„Nach Angaben des Fraunhofer Heinrich-Hertz-Instituts geht es bei dem Test um einen anonymen Ansatz zur Kontaktverfolgung,  der in voller Übereinstimmung mit der Datenschutzgrundverordnung ist und auch bei Reisen zwischen Ländern über einen anonymen, länderübergreifenden Austauschmechanismus verwendet werden kann“. Persönliche Daten oder Standorte würden dabei weder gespeichert noch übertragen.“

Quelle: https://www.chip.de/news/Stopp-Corona-App-Warum-eine-Smartphone-App-bald-fuer-alle-wichtig-werden-koennte_182589363.html

Wie geht das technisch?

Natürlich arbeiten wie immer die allergrößten Experten an dieser App. Hier die Auswirkungen eines früheren Projektes im Gesundheitsbereich:

https://www.deutsche-apotheker-zeitung.de/news/artikel/2019/09/18-09-2019/spahn-apotheker-aerzte-kliniken-und-andere-fuer-datensicherheit-sensibilisieren

Kurzfazit dieses Spahn-Projektes: Die Praxen waren offen wie Scheunentore und Gesundheitsdaten waren im Netz frei verfügbar. Die „Experten“ kannten nicht mal die Standardsicherheitseinstellungen von Routern.

Zurück zur APP.

Technisch funktioniert die Corona APP über Bluetooth. Das eigene Handy mit der APP, erzeugt eine eindeutige ID und tauscht diese mit anderen Handys, denen man innerhalb der Bluetooth-Reichweite begegnet, aus. Man bekommt also im Gegenzug alle IDs aller Nutzer dieser APP, die sich in der Nähe aufgehalten haben.

Laut Bundeswehr müssen sich andere Personen auf weniger als 1,5 m nähern und dort 2 Minuten bleiben, bevor der Kontakt aufgezeichnet wird. Weiß die APP von einer Infektion des Gegenübers, schlägt sie Alarm.

Anm.: Man geht davon aus, dass bluetooth Schnittstellen von Handys eine Reichweite von ca. 10 m haben, es gibt andere Geräte, die schaffen bis zu 100 m. Aus IT-Sicherheitserwägungen war man bis jetzt immer der Meinung, dass man diese Schnittstelle normalerweise nur anschaltet, wenn sie gerade benötigt wird, z.B. für die Freisprecheinrichtung im Auto, danach schaltet man sie normalerweise wieder aus. Die dauerhafte Aktivität geht zum einen zu Lasten des Akkus und zum anderen zu Lasten der Sicherheit. Schadsoftware kann über Bluetooth sehr leicht eingeschleust werden kann. Wenn man die APP installiert, muss die Schnittstelle dauerhaft aktiv sein, sonst bringt es ja nichts.

Hier ein leicht verständlicher Artikel zum Thema Bluetooth.

Die ID der Corona APP wird über ein neues System namens PEPP-PT generiert. (PEPP-PT: Pan-European Privacy-Preserving Proximity Tracing) Hierbei handelt es sich um das sog. Kontakterfassungs-Framework zur Bekämpfung der Ausbreitung von Covid-19. Könnte man dann bestimmt auch für Grippeepidemien etc.verwenden. Dieses Framework wird gerade noch entwickelt und soll in voller Übereinstimmung mit der DSGVO stehen. Es sollen keine persönlichen Daten, kein Standort, keine MAC-Adresse gespeichert oder übertragen werden.

Folgende Eigenschaften sollen mit dem Framework umgesetzt werden:

  • „Gut getestete und etablierte Verfahren zur Abstandsmessung auf gängigen mobilen Betriebssystemen und Geräten.
  • Durchsetzung von Datenschutz, Anonymisierung, GDPR-Compliance und Sicherheit.
  • Internationale Interoperabilität zur Unterstützung der Rückverfolgung lokaler Infektionsketten, selbst wenn sich eine Kette über mehrere PEPP-PT-Teilnehmerländer erstreckt.
  • Skalierbare Backend-Architektur und -Technologie, die in lokale IT-Infrastrukturen integriert werden kann.“

Quelle: https://www.iuk.fraunhofer.de/de/themen/loesungen-und-kompetenzen-zur-bewaeltigung-der-corona-krise/pepp-pt.html

Wie geht es weiter?

Bei einer Infektion meldet mein Arzt die COVID-19 Infektion dem Gesundheitsamt. Von diesem bekomme ich dann einen Code (TAN-Nummer) den ich in die Corona-App eingeben kann. Wenn das erledigt ist, wird meine Kontaktliste aus der APP an einen zentralen Server übertragen. Dieser Server warnt dann die Personen, die zu den übertragenen IDs auf meinem Gerät gehören.

Datenschutz in der Corona-APP

Rein formal geht die DSGVO davon aus, dass Daten nur für ganz genau eingegrenzte Zwecke und nur in dem notwendigen Maß verarbeitet/gespeichert werden dürfen, wie der Zweck es vorsieht. Kapitel 2, Art. 5 Abs. 1c DSGVO. Allerdings gibt es eine Einschränkung. „…eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ..“ Kapitel 2, Art. 5 Abs. 1b DSGVO.

Wie ist es allerdings, wenn ich die APP nutze, Coronainfiziert bin und die APP löst dann bei Kontakt einen Alarm aus? Meine pers. Meinung dazu ist: Schwierig! All, die Ängstlichen unter uns, die so eine große Angst davor haben, sich zu infizieren, werden das ganz klasse finden und hurra schreien, es aber Vernunft nennen.

Ein Perspektivwechsel ist hier angebracht!

Beispiel: Jemand war vor 4 Wochen erkrankt, ist genesen, war dann noch zur Vorsicht 14 Tage in Quarantäne und die Corona-APP löst trotzdem einen Alarm aus? Was passiert dann? Vor allem, wenn wir die aktuelle, politisch forcierte Massenpanik mit ins Geschehen werfen? Ich halte das für extrem gefährlich, sowohl gesellschaftlich als auch emotional.

Gemäß DSGVO fällt die Verarbeitung von Gesundheitsdaten unter Art. 9 DSGVO „Verarbeitung besonderer Kategorien personenbezogener Daten“. Der zweite, nicht rechtliche, eher persönliche Aspekt ist, möchte jemand, dass jeder weiß, dass er Corona infiziert ist? Ist das dann so ähnlich wie eine öffentliche Kenzeichnung?

Schaut man sich oben nochmal die genannten Aspekte der Corona-APP an, so ist ein Ziel, die internationale Interoperabilität, hm, wie wahrscheinlich ist es, dass die Daten nicht für anderes benötigt und dann doch umgenutzt werden?

Ein paar Worte zur Anonymisierung

Unter Anonymisierung versteht man den Vorgang, personenbezogene Daten so unkenntlich zu machen, so dass nicht oder nur mit unverhältnismäßig großem Aufwand, auf die betreffende Person rückgeschlossen werden kann. Also fast gar nicht.

Anonymisierung wird allerdings oft, auch von Juristen, mit Pseudonymisierung verwechselt.

Unter Pseudonymisierung versteht man, pers. bezogene Daten z.B. den Namen mit einer Identnummer auszutauschen, so daß ein Rückschluß nicht auf den ersten Blick möglich ist.

Sollte es sich tatsächlich um eine echte Anonymisierung handeln, so findet die DSGVO hier keine Anwendung. Vgl. Erwägungsgrund 26

Technische Aspekte

Im Prinzip haben wir es hier mit Massendatenspeicherungen zu tun. Auch muss natürlich die Bandbreite des Internets mitspielen. Wenn man weiß, dass regelmäßig weniger als 20% der Mautstationen in Betrieb sind, weil die Server und auch die Leitungen es sonst nicht schaffen, könnte diese APP u.U. dazu führen, dass der Ausbau der TK-Infrastruktur mehr forciert wird, da hat man ja die letzten Jahrzehnte ordentlich geschlafen.

Nun die Beschreibung der APP sagt zwar aus, dass alles auf dem Handy bleibt und nur im Bedarfsfall mit TAN übermittelt wird, ja sicher. Wo sollen die ganzen Daten denn hin? Ich gehe entgegen der Beschreibung davon aus, dass die Daten doch auf Server übertragen werden, warum hieße das Prokjekt sonst Framework? Und außerdem hätte man die Ursprungsidee, alle Daten zu sammeln, bestimmt sehr ungern ganz verworfen.

google veröffentlicht Standortdaten

Google hat die Bewegungsdaten von 131 Ländern für jedermann einsehbar herausgegeben. Dies ist unter dem Deckmantel passiert, die Einhaltung der Einschränkungen über die Bewegungsdaten überprüfen zu wollen. Vielleicht brauchen wir diese Corona-APP also gar nicht..

Hier der Link

Wie findet Ihr das nun?

Das google sich noch nie um Datenschutz geschert hat, ist ja sowieso nichts Neues.
Hier nochmal zur Erinnerung ein Artikel über die Datenschutzerklärung von google.

Persönliches Fazit

Da PEPP-PT Framework steckt noch in der Entwicklung, die Corona-APP ebenso. Aus eigener, wirklich langjähriger Expertise, weiß ich, dass Software immer eingehenden Tests unterzogen werden muss. Bei dieser Art des Datentrackings ganz besonders. Ich persönlich halte auch das Risiko, dass genannte Systeme doch nicht so sicher sind, wie beschrieben, für sehr hoch.

Weiter noch stelle ich in Frage, dass es sich wirklich um Anonymisierung handelt, denn wenn das eine Handy Daten an das andere Handy schickt, dann „wissen“ beide Handys, dass etwas geschickt wurde, auch wenn es über eine APP geht. Auch die bluetooth-Schnittstelle hat Sende- und Empfangsdatensätze. Die Erzeugung der ID halte ich auch für schwierig, je nach verwendetem Algorithmus, halte ich eine Rückvollziehbarkeit für wahrscheinlich bzw. sicher, ja sogar gewollt. Jeder, der sich nur rudimentät mit IT auskennt, weiß, dass Prozessoren keine echten Zufallszahlen berechnen können. Ich gehe auch hier davon aus, dass das auch gar nicht gewollt ist, denn Ziel ist ja bekanntlich die Nachvollziehbarkeit der Infektionswege.

Ihr habt es schon geahnt, ich persönlich werde diese Corona-APP, sollte sie je marktreif werden, ganz bestimmt nicht installieren, desweiteren habe ich auch die GPS-Funktion meines Handys ausgeschaltet.

Jeder möge wie immer seine eigenen Schlüsse ziehen.

Datenschutz im Homeoffice

Datenschutz im Homeoffice

In Zeiten von Corona gewinnt das Homeoffice an Akzeptanz. Gut so! Wurde es vorher bei vielen Arbeitgebern immer als problematisch angesehen, weil ein Verlust von Kontrolle befürchtet wurde, so ist es nun Mittel zum Zweck, um die Geschäfte weiter führen zu können. Wie sieht es denn eigentlich mit dem Datenschutz im Homeoffice aus?

Arbeitgeber, die sich schon länger mit dezentralisierter Arbeit befassen und somit auch letztendlich um Work-Life-Balance, sind hier sicher schon weiter. Andere Arbeitgeber hat Corona kalt erwischt, natürlich gibt es hier keinen Notfallplan, momentan geht es deshalb im wesentlichen um Schadensbegrenzung. Corona führt zu Existenzangst, da wird Homoffice als gute Alternative angesehen, Hauptsache erstmal, es geht irgendwie weiter.

Datenschutz im Homeoffice wie geht das? Im Idealfall stellt der Arbeitgeber ein Endgerät zur Verfügung, dieses Endgerät ist ausschließlich dafür gedacht, auf die Systeme des Arbeitgebers zuzugreifen, eine private Nutzung ist ausgeschlossen.

Aber auch Möglichkeiten mit eigenen Geräten sind denkbar, hier wird idealerweise ein sog. VPN-Tunnel zum Netzwerk der Firma eingerichtet, eine adäquate Passwortsicherheit ist vorauszusetzen und los geht es.  Das sind also die vorbereiteten Unternehmen.

Nun haben wir diejenigen, die diese Pandemie kalt erwischt hat. Teilweise sind sie so klein, dass Homeoffice im Normalfall gar keinen Sinn macht. In Zeiten der Not ist man natürlich für jede noch so ungünstige Möglichkeit dankbar, den Betrieb aufrechterhalten zu können. Letztendlich stehen hier jetzt auch Existenzen auf dem Spiel, denn wird nicht gearbeitet, müssen die Mitarbeiter entlassen und im schlimmsten Szenario die Firma geschlossen werden. Das will keiner, also machen wir Datenschutz im Homeoffice nach bestem Wissen und Gewissen, wie es eben in der Kürze der Zeit und ohne Vorbereitung machbar ist.

Hier ist sicher jenseits aller einzuhaltenden Vorschriften die Kooperation der Mitarbeiter gefragt. Es geht ja nicht nur um IT-basierte Daten, es geht auch um Papierausdrucke, Ordner, die mitgenommen wurden, die Buchhaltung etc. Im Prinzip möchte ich es wie immer gerne IT-Sicherheit nennen.

Der Arbeitgeber muss sich zwangsläufig ein paar Gedanken machen:

  • wo werden die Unterlagen in der privaten Wohnung des Mitarbeiters aufbewahrt?
  • Was ist besonders vertraulich zu behandeln?
  • Wie sieht es aus, wenn jemand in Quarantäne ist, wie können dann Unterlagen transportiert werden?
  • Wie sind die gängigen Kommunikationswege?

Eine Chance in Zukunft einen Plan zu haben

Diese Krise ist aber auch eine Chance, es bei kommenden „Katastrophen“ besser zu machen. Nun haben wir eine Pandemie, nächstes Mal ist es evtl. eine Naturkatastrophe, ein Cyberangriff etc. Szenarios, die wir uns im Moment noch gar nicht vorstellen können, wurden nicht genannt 😉

Es geht nicht darum, Angst zu haben, es geht nur darum, besser vorbereitet zu sein. Dafür eignet sich ein Notfallplan, ein sog. Incident Response Process, schließlich hat auch jeder einen Notfallplan für einen Brand im Unternehmen, oder? Ich würde dazu raten, jetzt nicht in Schockstarre zu verharren, sondern aus den Fehlern, Unsicherheiten, fehlenden technischen Voraussetzungen etc. zu lernen und das nächste Mal besser vorbereitet zu sein. Natürlich hoffen wir, dass wir den Plan gar nicht erst brauchen, trotzdem ist es besser, überhaupt einen zu haben.

Über den Datenschutz im Homeoffice muss man sich auch Gedanken machen, trotzdem behaupte ich mal, dass wir momentan alle damit beschäftigt sind, Existenzen und Arbeitsplätze zu retten, wenn wir dann mal nicht soooo perfekt sind wie sonst, shit happens. Wenn wir wieder durchatmen können, machen wir es besser. VERSPROCHEN!

In Kürze hier: Ein paar Infos zur Aufstellung eines Notfallplans.

Vielleicht auch interessant:

https://cheyenne-blog.de/tag/incident-response-prozess/
https://cheyenne-blog.de/cyber-angriff-auf-franzoesischen-fernsehsender-scheucht-alle-auf/