RANSOMWARE-ANGRIFF: WAS NUN?

In seinem aktuelle Lagebericht zur IT-Sicherheit in Deutschland 2021 legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aktuelle Gefährdungslage der IT-Sicherheit in Deutschland dar. Laut BSI ist die IT-Sicherheitslage in Deutschland insgesamt angespannt bis kritisch. Ein Auslöser ist die Ausweitung der bekannten cyberkriminellen Lösegelderpressungen hin zu ergänzenden Schweigegeld- und Schutzgelderpressungen. Außerdem wurde eine Beschleunigung der Produktion neuer Schadsoftware-Varianten im Vergleich zum vorherigen Berichtszeitraum festgestellt werden. In einem früheren Beitrag haben wir bereits über Schadsoftware und die unterschiedlichen Wirkungen berichtet. Wir unterscheiden bei der Schadsoftware zwischen zwei Komponenten: dem Übertragungsmechanismus (z.B. Virus, Wurm, Trojaner) und der Schadfunktion (z.B. Spyware, Adware, Scareware, Bot-Netze, Ransomware, Crypto-Miner usw.). Der nachfolgende Beitrag soll den Blick auf die Bedrohungen durch Ransomware werfen, da der Einsatz heutzutage eine sehr gängige Methode geworden ist und sich die Bedrohungslage durch Ransomware in den letzten Jahren deutlich verschärft hat. Dies tritt insbesondere durch eine Reihe der Öffentlichkeit kommunizierter Fälle hervor. Zu nennen sind hier etwa der Angriff auf die Stadtverwaltung Dettelbach oder das Staatstheater Stuttgart.


WAS IST RANSOMWARE?

Nach der Veröffentlichung des BSI „Ransomware – Bedrohungslage, Prävention & Reaktion 2021“ verstehen wir hierunter Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen nur gegen Lösegeld erfolgt. Erfolgt der Einsatz von Ransomware wird der betroffene Nutzer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Die Angreifer geben anschließend vor, dass gegen die Zahlung eines Geldbetrages, häufig in Bitcoin zu entrichten, die Daten entschlüsselt bzw. zurückgespielt werden. Eine weitere Variante der Ransomware-Angriffe besteht darin, dass die Täter Daten vom betroffenen System ins Internet übertragen und die Opfer damit bedrohen, dass die Daten veröffentlich würden, wenn die Lösegeldsumme nicht gezahlt wird. Es handelt sich bei Ransomware mithin um einen Angriff auf das Sicherheitsziel der Verfügbarkeit von Informationen bzw. Daten. Zu den gebräuchlichsten Angriffsvektoren zählen Spam, Drive-By Infektionen mittels Exploit-Kits, Schwachstellen in Servern und ungeschützte Fernzugänge. Für die Opfer ist der wesentliche Unterschied gegenüber einer Betroffenheit mit klassischer Schadsoftware, dass der Schaden unmittelbar eintritt und ganz konkrete Konsequenzen hat.


WELCHE MAßNAHMEN KÖNNEN PRÄVENTIV GETROFFEN WERDEN?

Um eine bestmögliche Schutzsphäre vor Ransomware-Angriffen aufbauen zu können, kommen einige präventive Maßnahmen in Betracht, die eine Infektion mit der Schadsoftware verhindern sollen oder auch das Schadensausmaß begrenzen können. Das BSI hat diesbezüglich ebenfalls ein Arbeitspapier in Form eines Maßnahmenkataloges veröffentlicht, in welchem eine Übersicht über mögliche Schutzmaßnahmen vor Ransomware auf Basis der Erfahrungen bei der Fallbearbeitung gewonnen wurde. Zu den gelisteten Maßnahmen zählen insbesondere die unverzügliche Installation von Softwareupdates nach deren Bereitstellung durch den jeweiligen Softwarehersteller; die Deinstallation nicht benötigter Software, um die Angriffsfläche zu minimieren; die client- sowie serverseitige Behandlung von E-Mails hinsichtlich Darstellung, Konfiguration (bspw. Deaktivierung von Makros); Freigabe nur notwendiger Dienste und Ports; Nutzung von Spamfiltern usw.); Nutzung zentraler Datensicherungen und Minimierung lokaler Speicherung von Daten; Netzwerksegmentierung; Sicherung von Remote-Zugängen; Nutzung eines aktuellen Virenschutzes; Umsetzung eines Back-up/Datensicherungskonzeptes; Durchführung von Mitarbeitersensibilisierungen und Schulungen zur Steigerung von Awareness; Schwachstellenscans sowie Penetrationstests und vieles mehr.  


WELCHE MAßNAHMEN SIND REAKTIV ZU TREFFEN?

Sollte es trotz der getroffenen Präventionsmaßnahmen zu einem Sicherheitsvorfall mit Ransomware kommen, gilt es zum einem mit Bedacht zu handeln und zum anderen eine Reihe von reaktiven Maßnahmen in Betracht zu ziehen. Zunächst stellt sich die Frage nach dem Umgang mit den Lösegeldforderungen. Das BSI rät hier nachdrücklich dazu angemessen vorzusorgen, im Schadensfall auf die Vorbereitungen zurückzugreifen und nicht zu zahlen. Jede erfolgreiche Erpressung zeigt den Erfolg und motiviert die Angreifer mit ihrem Vorgehen weiterzumachen. Weiterhin kann die Zahlung der Lösegeldsumme zur Finanzierung der Weiterentwicklung und Verbreitung der Schadsoftware genutzt werden.  Es gibt insoweit keine Sicherheit für die Opfer, dass die Angreifer nach Vornahme der Zahlung tatsächlich die Daten lösche oder zurückspielen. Wichtiger Punkt ist zudem die Erstattung einer polizeilichen Strafanzeige. Das BSI empfiehlt weiterhin im Rahmen des Incident Response zur Begrenzung des möglichen Schadens die infizierten Systeme zunächst umgehend vom Netz zu trennen. Am schnellsten geht dies durch die Trennung des Netzwerkkabel vom Computer und die Abschaltung etwaiger WLAN-Adapter. Bei der Identifikation der betroffenen Systeme helfen Logdaten, anhand derer bspw. Zugriffe auf Netzwerklaufwerke erkannt werden können. Daneben bedarf es der Entscheidung, ob eine forensische Untersuchung durchgeführt werden soll. Sicherungen von Zwischenspeicher und Festplatten sollten durch einen fachkundigen Mitarbeiter oder Dienstleister sinnvollerweise vor weiteren Reparaturversuchen oder Neustarts der betroffenen Systeme unternommen werden. Bevor mit der Datenwiederherstellung begonnen wird, ist eine Neuinstallation des infizierten Systems erforderlich. Unter Umständen bedarf es des Rückgriffs auf externe Expertise durch einen fachkundigen Dienstleister.

Darüber hinaus ist eine Auseinandersetzung mit geltenden Verpflichtungen des IT-Sicherheitsrechtes hinsichtlich gesetzlicher Melde- und Informationspflichten an die zuständigen Behörden erforderlich. Ransomware-Vorfälle können eine Meldepflicht bei der zuständigen Datenschutz-Aufsichtsbehörde auslösen. Über das Bestehen der Meldepflicht nach Art. 33 DS-GVO bei IT-Sicherheitsvorfällen haben wir bereits berichtet. Eine Meldepflicht gemäß Art. 33 DS-GVO liegt dann vor, wenn ein Verantwortlicher die Verletzung des Schutzes der von ihm verantworteten personenbezogenen Daten feststellt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DS-GVO legaldefiniert und setzt eine Verletzung der Sicherheit voraus. Erforderlich bei der Behandlung von IT-Sicherheitsvorfällen im Rahmen von Art. 33 DS-GVO ist stets eine exakte Betrachtung und Bewertung des Vorfalls. Für datenschutzrechtlich Verantwortliche ist demnach die Aufklärung, Dokumentation und Beweissicherung von möglichen Datenschutzverletzungen bei IT-Sicherheitsvorfällen unverzichtbar. Die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss (EDSA) „on Examples regarding Personal Data Breach Notification“ enthält unter Ziff. 2 ebenfalls Ausführungen hinsichtlich der Betroffenheit von Ransomware-Vorfällen. In vier verschiedenen Fällen stellt der EDSA die unterschiedliche Handhabung von Ransomware-Angriffen hinsichtlich des Bestehens einer Dokumentationspflicht gemäß Art. 33 Abs. 5 DS-GVO gegenüber dem Vorliegen von Melde- und Informationspflichten nach Art. 33 Abs. 1 und Art. 34 Abs. 1 DS-GVO. Entscheidend für die Differenzierung ist u.a., ob Datenverlust eingetreten ist, ob die Daten unbefugten Dritten zugänglich gemacht wurden und ob es zu einer unbefugten/unbeabsichtigten Datenänderung gekommen ist. Hiernach ist in die Betrachtung einzubeziehen, ob die Daten vor Abfluss verschlüsselt waren – z-B- im Fall von Datenspeichern – und den Angreifern die notwendige Kenntnis zur Entschlüsselung fehlt, ob die – möglichst vollständigen – Protokollierungen tatsächlich einen Datenabfluss verzeichnen, ob ein vollständiges und funktionierendes Back-up vorliegt, welche Zeitspanne zwischen Bekanntwerden des Angriffs und Trennung der betroffenen Systeme vergangen ist (Abschottung und Verinselung von IT-Systemen, sofern ohne Einbußen an Funktionalität möglich) und welche Auswirkungen auf den konkreten Betrieb der Systeme festgestellt werden können. Neben der Meldepflicht gemäß Art. 33 DS-GVO können weitere – teilweise sektorspezifische Melde- und Informationspflichten – einschlägig sein. Hinzuweisen ist vor allem auf die Meldepflichten nach § 8b Abs. 4 BSI-Gesetz (BSIG) für Betreiber kritischer Infrastrukturen oder nach § 168 Telekommunikationsgesetz für Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste. Bedeutung erlangen zudem insbesondere § 11 Abs. 1c Energiewirtschaftsgesetz, § 44b Atomgesetz, § 329 Sozialgesetzbuch V, § 8c Abs. 3 BSIG oder länderspezifisch die §§ 15 – 17 Sächsisches Informationssicherheitsgesetz.


FAZIT

Einen vollständigen Schutz vor Ransomware-Angriffen wird es nicht geben können. Zu dynamisch ist die Fortentwicklung von Angriffsvektoren und -zielen. Organisationen ist daher anzuraten die seitens des BSI empfohlenen präventiven Maßnahmen zu berücksichtigen und bestmöglich umzusetzen. Sollte es dennoch zu einem Sicherheitsvorfall kommen, empfiehlt sich schnellstmögliches Handeln, um die Auswirkungen abschwächen zu können. Hierfür ist ein funktionierendes Incident Response System unerlässlich.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • IT-Sicherheit
  • Meldepflichten
  • Ransomware
  • Technische-organisatorische Maßnahmen
Lesen

DER „STAND DER TECHNIK“

„Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“. Ähnlich zu dieser Art. 32 Datenschutz-Grundverordnung (DS-GVO) entstammenden Regelung ergeben sich die hinsichtlich bestimmter Produkte oder Sektoren einzuhaltenden IT-Sicherheitspflichten aus verschiedenen nationalen und internationalen spezialgesetzlichen Regelungen, z.B. § 8a Abs. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, Art. 52 Abs. 7 Satz 1 Rechtsakt zur Cybersicherheit (CSA-VO), § 19 Abs. 4 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)). Im IT-Sicherheits- und Datenschutzrecht wird zur Bestimmung eines entsprechenden Schutzniveaus in letzter Konsequenz all zu oft auf den unbestimmten Rechtsbegriff „Stand der Technik“ zurückgegriffen. Doch was verstehen wir unter diesem Begriff und wie ist der „Stand der Technik“ in der Praxis zu bestimmen. Mit diesen Fragen soll sich der nachfolgende Beitrag näher befassen.


WARUM BEZIEHEN WIR UNS AUF DEN „STAND DER TECHNIK“?

Bei der Begrifflichkeit „Stand der Technik“ handelt es sich insoweit um einen unbestimmten Rechtsbegriff. Durch die Verwendung unbestimmter Rechtsbegriffe soll eine bestimmte zu erfüllende Anforderung geregelt, jedoch nicht festgelegt werden, wie diese Anforderung im Einzelnen ausgestaltet sind. Unbestimmte Rechtsbegriffe sind grundsätzlich uneingeschränkt gerichtlich überprüfbar. Die Anforderungen an die konkrete Bestimmbarkeit hängen wiederrum von den Eigenarten des zu regelnden Sachbereiches, insbesondere hinsichtlich Ausmaßes, Art und Intensität von Grundrechtseingriffen, ab.

Vor allem aufgrund der dynamischen Technologieentwicklung kommt dem Begriff „Stand der Technik“ im IT-Sicherheits- und Datenschutzrecht besondere Bedeutung zu, da durch die Verwendung dieses zunächst unbestimmten Rechtsbegriffs, entsprechende Flexibilität bei der Festlegung des Sicherheitsniveaus gewahrt werden kann. Der technische Fortschritt unterliegt aufgrund der hohen Dynamik technischer Innovationen und den damit einhergehenden immer kürzeren Innovationszyklen zugleich sich kontinuierlich ändernden Anforderungen an das zu bestimmende Sicherheitsniveau. Insbesondere wegen der zunehmenden Komplexität von IT-Systemen ist eine absolute Sicherheit nicht erreichbar. Eine weitergehende Konkretisierung des Begriffs erfolgt daher regelmäßig nicht. Entscheidend für die tatsächliche Bestimmbarkeit des jeweiligen Sicherheitsniveaus ist mithin die tatsächliche Bestimmbarkeit des jeweiligen Stands der Technik.


WAS IST DER „STAND DER TECHNIK“?

Der Rechtsbegriff „Stand der Technik“ hat eine längere Entwicklung zurückgelegt als es seine aktuelle Verwendung im IT-Sicherheits- und Datenschutzrecht aufgrund zunehmender Implikationen in Gesetzen vermuten lässt. In den jüngeren Gesetzgebungsverfahren hat der Begriff – wie eingangs erwähnt – immer häufiger zur Bestimmung eines Technologieniveaus herangezogen. In den europarechtliche Normen Art. 32 DS-GVO sowie Art. 14 der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) erfolgt eine die Verwendung des Begriffs „state oft the art“.

In seiner Kalkar-I-Entscheidung beschäftigte sich das Bundesverfassungsgericht 1978 (BVerfG, Beschl. v. 8.8.1978 – 2 BvL 8/77) erstmals mit den Begriffen „anerkannten Regeln der Technik“, „Stand von Wissenschaft und Technik“ und „Stand der Technik“ und so mit der heute bekannten „Drei-Stufen-Theorie. Das Technologieniveau „Stand der Technik“ ist zwischen dem Technologiestand „Stand der Wissenschaft und Forschung“ und dem Technologiestand „allgemeinanerkannten Regeln der Technik“ einzuordnen. Eingegrenzt werden die drei Begriffe zum Technologieniveau zudem durch die „Allgemeine Anerkennung“ sowie die „Bewährung in der Praxis“. Eine Unterscheidung zwischen den drei Begrifflichkeiten ist die wesentliche Grundlage für die Bestimmung des geforderten Technologiestandes. In der Praxis kommt es noch zu häufig zu einer Vermischung und somit keiner trennscharfen Unterscheidung der Begrifflichkeiten. Den „Stand der Technik“ bestimmt das BVerfG als Front der technischen Entwicklung. Somit umfasst der „Stand der Technik“ nicht die beste zur Verfügung stehende Technologie, sondern jene fortschrittlichen Verfahren, die in hinreichendem Maße zur Verfügung stehen und auf gesicherten Erkenntnissen beruhen oder mit Erfolg erprobt wurden. Kurz gesagt: Der Stand der Technik bezeichnet die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme zur Erreichung eines IT-Sicherheitsziel. Für die Bestimmung eines erforderlichen Sicherheitsniveaus eignet sich daher der Begriff „Stand der Technik“ besonders gut, vollziehen sich IT-Sicherheits- und Datenschutzrecht nicht als wissenschaftliche Konzeption, die sich nach Theoriestatus und Erprobung in der Praxis zu einem anerkannten Standard manifestieren. Von Vorteil ist insoweit, dass eine dynamische in Bezugnahme möglich ist, da auf eine allgemeine Anerkennung verzichtet wird. Dies ist wiederrum erforderlich, um dem technischen Fortschritt gerecht zu werden. Trotz oder vielleicht gerade aufgrund seiner des häufigen Gebrauchens führt die Auslegung sowie Anwendung des „Stand der Technik“ in der Praxis zuweilen jedoch zu ungeahnten Schwierigkeiten.


WIE KÖNNEN WIR DEN STAND DER TECHNIK BESTIMMEN?

Es beststehen zuweilen Verwendungssituationen, in denen direkt aus dem Gesetz durch einen Verweis auf eine technische Norm der „Stand der Technik“ näher bestimmt wird, so beispielsweise in § 18 Abs. 2 Satz 2 De-Mail-Gesetz mit dem Verweis auf die Technische Richtlinie 01201 De-Mail des Bundesamt für Sicherheit in der Informationssicherheit (BSI). Zur weiteren Konkretisierung kann regelmäßig eine Orientierung mittels des sogenannten Soft Law in Form von „branchenüblichen Normen und Standards“ erfolgen. Hierfür kommen eine Reihe nationaler wie auch internationaler technischer Normen, Best Practice, Praxisleitfäden und vergleichbarer Standards in Betracht. Zu nennen sind insbesondere DIN-Normen vom Deutschen Institut für Normung sowie ISO-Normen der International Organisation for Standardization mit Bezug zur IT-Sicherheit wie beispielsweise DIN ISO 19600 für den Inhalt von Compliance Management Systeme, ISO 20000 für IT-Service Management, ISO/IEC 27000-Reihe für Informationssicherheits-Managementsysteme, ISO/IEC 27018 mit datenschutzrechtlichen Anforderungen für Cloud-Anbieter oder die IEC 62443 im Bereich IT-Sicherheit für industrielle Systeme. Von zunehmender Bedeutung sind zudem das IT-Grundschutz-Kompendium des BSI sowie Praxisleitfäden von Interessenverbänden, beispielsweise Bitkom-Kompass für IT-Sicherheitsstandards oder die Handreichung des TeleTrust Bundesverband IT-Sicherheit e.V. Bei diesen technisch geprägten Standards handelt es sich nicht per se um verbindliche Rechtsnormen, sondern laut eines Urteil des Bundesgerichtshof (BGH, Urt. v. 22.8.2019 – III ZR 113/18) vielmehr um „private Regelwerke mit Empfehlungscharakter“.  Dennoch sind diese Regelungswerke zugleich bei der Frage, ob ein bestimmter Sicherheitsstandard eingehalten wird, zur Auslegung heranzuziehen.  Im Grundsatz tragen die technischen Normen und Standards die widerlegliche Vermutung in sich, den aktuellen Stand der Technik einzuhalten. Weiterhin mögen die technischen Normen, Standards und Regelwerke im Ergebnis zwar als unverbindlich und daher als nicht durchsetzbar gelten, entfalten sich durch ihre branchenweite Befolgung aber zunehmende faktische Verbindlichkeit. Jedoch birgt auch die Verwendung derartiger Standards Probleme, welche insbesondere mit Blick auf die ISO-27000-Reihe oder IT-Grundschutz-Kompendium im unterschiedlichen Verwendungs- und Umsetzungsgrad und mithin einer fehlenden Vergleichbarkeit bei der Umsetzung zu sehen sein können. Darüber hinaus unterliegen viele der genannten Standards einer hohen Abstraktheit, was gleichwohl bei den Rechtsanwendern zu einer Scheinsicherheit führt.


FAZIT

Der Umgang und die Verwendung mit dem unbestimmten Rechtsbegriff Stand der Technik gestaltet sich in der Praxis alles andere als leicht. So zwingend die Verwendung des unbestimmten Rechtsbegriffs ist, um auf den stetig technischen Fortschritt und die IT-Systemen innewohnende Dynamik mit größtmöglicher Flexibilität zu reagieren. Umso schwieriger erscheint die tatsächliche Bestimmung des entsprechend einzuhaltenden Schutzniveaus, selbst unter Heranziehung branchenüblicher Normen und Standards.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

TERMINHINWEIS: DATENSCHUTZSPRECHSTUNDE

Wir sehen es als unsere Aufgabe an, möglichst viele Personen für die Themen Datenschutz und Informationssicherheit begeistern zu können, wichtige Anforderungen zu erläutern und praxistaugliche Umsetzungsmöglichkeiten abzubilden. Da wir uns insbesondere im Rahmen der datenschutzrechtlichen Beratung oft mit Irrtümern und Fehlvorstellungen konfrontiert sehen, wollen wir in unserem neuen Format, der Datenschutzsprechstunde, regelmäßig für alle Interessierten eine Möglichkeit zum Austausch und zur Diskussion bieten. Die nächste Sprechstunde findet am 05. April 2022 in der Zeit von 11:00 Uhr bis 12:00 Uhr statt. Zur Anmeldung.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Informationssicherheit
  • IT-Grundschutz
  • Stand der Technik
  • Technische-organisatorische Maßnahmen
Lesen

SCHADSOFTWARE

Schadsoftware oder oftmals auch „Malware“ (malicious software – bösartiges Programm) genannt, dient dem Ziel, Endgeräte zu infizieren, unerwünschte Operationen auszuführen und die jeweilige betroffene Person dadurch zu schädigen. Man kennt Schadsoftware auch unter den Begriffen „Virus“, „Wurm“ oder „Trojaner“. Doch wo liegen die Unterschiede? Welche weiteren Arten von Schadsoftware gibt es noch? Wie kann ich gegebenenfalls erkennen, dass ein Endgerät mit Schadsoftware befallen ist und wie schütze ich mich bestmöglich davor? Diese Fragen soll der nachfolgende Beitrag klären.


WELCHE ARTEN VON SCHADSOFTWARE GIBT ES?

Je nach Art und Weise des Befalls sowie der Wirkungsweise von Schadsoftware, kann diese in unterschiedliche Kategorien unterteilt werden. Dabei ist zu berücksichtigen, dass bestimmte Schadsoftwares Bestandteile oder Wirkungsweisen vieler verschiedener Kategorien aufweisen können. Eine trennscharfe Abgrenzung ist meist nicht möglich. Dennoch ist es wichtig, die verschiedenen Arten und Wirkungsweisen zu kennen. Die eigene Sensibilisierung zu diesem Thema hilft, Bedrohungen durch Schadsoftware frühzeitig zu erkennen und den Befall der Endgeräte möglichst zu vermeiden.

Virus: Oft als Oberbegriff für sämtliche Schadsoftwares verwendet, umfasst diese Kategorie Schadsoftware, welche sich unter Zuhilfenahme von Dateien („Wirtsdatei“) ausbreitet. Bei einer Nutzung der Datei wird unbemerkt die Schadsoftware mit ausgeführt.

Wurm: Ein Wurm verfolgt das Ziel der weitestmöglichen Ausbreitung: Nach dem Befall eines Endgerätes erfolgt die eigenständige Ausbreitung auf weitere Geräte. Folgen können die Installation weiterer Schadsoftware oder die gezielte Überlastung von Endgeräten und Netzwerken sein.

Trojaner: Ähnlich wie das bekannte trojanische Pferd, tarnt sich der Trojaner zunächst als nützliches Werkzeug. Einmal installiert, ist der Trojaner in der Lage eigenständig weitere Schadsoftware zu installieren.

Ransomware: Diese Art der Schadsoftware verschlüsselt die gesamte Festplatte des Endgerätes und verlangt zur Entschlüsselung ein Lösegeld. Auf die Lösegeldforderung sollte grundsätzlich nicht eingegangen werden.

Spyware: Hierdurch werden schützenswerte Informationen über ein Gerät, Netzwerk oder eine Person, einschließlich Anmeldeinformationen und Finanzdaten, gesammelt und an Kriminelle übermittelt.

Adware: Mittels Adware werden durch Werbeanzeigen für den Entwickler Einnahmen generiert. Dies erfolgt in der Regel durch kostenlose Spiele oder Browsererweiterungen. Auch wenn die Auswirkungen zunächst harmlos erscheinen, können hierdurch dennoch zur Personalisierung der Werbeanzeigen persönliche Daten des Betroffenen gesammelt werden.

Scareware: „Wir haben auf Ihrem Gerät mehrere kritische Fehler entdeckt!“ Kennen Sie derartige Anzeigen aus dem Internet? Dabei handelt es sich um sogenannte Scareware. Dem Betroffenen wird durch Erzeugung eines Angstzustandes zur Installation einer „Reparatursoftware“ verleitet. Das perfide daran: Der Betroffene installiert hierbei nun regelmäßig die eigentliche Schadsoftware eigenständig.

Botnet: Mittels eines Botnets können eine Vielzahl von Endgeräten (einschließlich der smarten Waschmaschine) missbraucht werden, um koordiniert andere Netzwerke zu überlasten oder lahmzulegen. Auch wenn es sich bei einem Botnet selbst um keine Schadsoftware handelt, macht der Befall des Gerätes mit Schadsoftware einen solchen Missbrauch und gezielten Angriff erst möglich.


WIE KANN EINE INFIZIERUNG ERFOLGEN?

Endgeräte können über verschiedene Einfallsvektoren von Schadsoftware befallen werden. Dabei ist es grundsätzlich unerheblich, um welchen Gerätetyp es sich handelt oder welches Betriebssystem auf dem jeweiligen Gerät installiert ist: Kein Endgerät ist immun gegen Schadsoftware.

Oftmals gelangt Schadsoftware über einen E-Mail-Anhang auf das Endgerät. Dabei muss es sich nicht zwangsläufig um eine ausführbare Datei (z.B. .exe) handeln. Auch in gängigen Dokumenten- (z.B. .txt, .doc, .xls, .pdf) oder Bilddateien (z.B. .jpg, .png) kann Schadsoftware enthalten sein. Das kurze Öffnen einer solchen Datei kann dann bereits ausreichen, um das jeweilige Endgerät zu befallen. Auch per SMS oder E-Mail versandte Links stellen eine potenzielle Gefahr dar. Durch Aufruf der jeweiligen Internetseite kann Schadsoftware auf das Endgerät installiert werden. Oftmals nehmen die Betroffenen die Installation der jeweiligen Schadsoftware auch eigenständig vor, ohne zu wissen, dass es sich dabei um Schadsoftware handelt.

Auch Neugierde kann eine Infektion mit Schadsoftware begünstigen: Wie eine Studie der Universitäten von Illinois und Michigan zeigt, schlossen knapp die Hälfte der Finder von auf dem Campus-Gelände platzierten USB-Sticks an ihrem Endgerät an. Darauf installierte Schadsoftware hätte die Endgeräte ohne Weiteres befallen können. Dieser Weg zur Verbreitung von Schadsoftware ist gar nicht unüblich. Aus diesem Grund sollten insbesondere im Unternehmenskontext auch keine Speichermedien als Werbegeschenke angenommen werden. Sollte sich eine Nutzung fremder USB-Sticks nicht vermeiden lassen, ist zuvor zumindest eine Untersuchung des USB-Sticks durch die IT-Abteilung vorzunehmen.


WIE KANN ICH ERKENNEN, DASS MEINE ENDGERÄTE VON SCHADSOFTWARE BEFALLEN SIND?

Grundsätzlich sind die meisten Kategorien von Schadsoftware dergestalt konzipiert, dass Betroffene meist nicht oder erst sehr spät bemerken, dass ihre Endgeräte von Schadsoftware befallen sind. Anzeichen können dabei sein, dass unbekannte E-Mails im eigenen Namen versandt werden, Endgeräte ungewöhnliches Verhalten zeigen (z.B. nur sehr langsam oder stark verzögert reagieren), ohne erkennbaren Grund deutlich weniger Arbeits- oder Festplattenspeicher zur Verfügung steht oder sich regelmäßig unerwünschte Fenster oder Programme öffnen. Da es keine bestimmten Anzeichen gibt, die verlässlich auf den Befall mit Schadsoftware hinweisen, sollten Endgeräte regelmäßig mittels sogenannter „Antivirenprogrammen“ überprüft werden. Aber auch hierbei besteht keine absolute Gewissheit, dass die Schadsoftware auch erkannt wird. Aus diesem Grund sollten Maßnahmen ergriffen werden, welche bereits die Gefahr des Befalls mit Schadsoftware deutlich minimieren können.

Sollten Sie im beruflichen Kontext den Befall mit Schadsoftware feststellen oder eine entsprechende Vermutung bestehen, sollten Sie sich unverzüglich an Ihre IT-Abteilung wenden und gegebenenfalls die Datenschutz- und IT- bzw. Informationssicherheitsbeauftragten informieren. Maßnahmen, welche Sie bei einem Verdacht im privaten Umfeld ergreifen sollten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Internetseite zusammengefasst.


WIE SCHÜTZE ICH MICH BESTMÖGLICH VOR SCHADSOFTWARE?

Da die alleinige Verwendung von Antivirenprogrammen oder Firewalls bei weitem nicht ausreicht, um dem Befall mit Schadsoftware im genügenden Umfang entgegenzutreten, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitere Maßnahmen zu ergreifen:

– Um gegebenenfalls bestehende Sicherheitslücken zu schließen, sollten durch den Hersteller / Anbieter bereitgestellte Updates zeitnah installiert werden. Derartige Updates – und Softwares im Allgemeinen – sollten grundsätzlich jedoch ausschließlich von vertraulichen Quellen bezogen werden.

– Verwenden Sie Benutzerkonten mit reduzierten Rechten. Zur Installation von Schadsoftware und einem systemweiten Zugriff auf die Daten, benötigen Schadsoftwares in der Regel Administratorrechte. Eine Trennung zwischen einem Administratorkonto zur Verwaltung des Endgerätes sowie eines Nutzerkontos zur alltäglichen Verwendung des Endgerätes, hilft das Risiko eines Befalls zu minimieren.

– Legen Sie regelmäßig Backups wichtiger Daten, Ordner oder ganzer Festplattenpartitionen an. Sollte Ihr Endgerät von Schadsoftware befallen oder im schlimmsten Fall durch Verschlüsselung zunächst unbrauchbar gemacht worden sein, können Sie diese durch ein aktuelles Backup wiederherstellen.

– Öffnen Sie Anhänge und Links aus E-Mails mit Bedacht. Dies gilt insbesondere dann, wenn es sich um eine E-Mail eines unerwarteten Absenders und / oder um einen unerwarteten Anhang bzw. Link handelt. Auch eine vermeintliche E-Mail Ihres Chefs kann sich im Nachgang als Betrugsversuch herausstellen (sogenannter „CEO-Fraud“).


FAZIT

Der Beitrag zeigt die unterschiedlichen Formen von Schadsoftware. Dabei wird deutlich, dass durch die unterschiedlichen Arten und Wirkungsweisen von Schadsoftware ein allumfassender Schutz nie möglich sein wird. Durch Zuhilfenahme von Antivirenprogrammen und der Vornahme weiterer Schutzmaßnahmen kann das Risiko eines Befalls jedoch erheblich reduziert werden. Hierzu gehört jedoch auch, dass sich alle Nutzer regelmäßig über mögliche Risiken informieren und ihre Endgeräte nicht nur sensibilisiert nutzen, sondern auch entsprechend technisch absichern.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Endgeräte
  • Malware
  • Schadsoftware
  • Technische-organisatorische Maßnahmen
Lesen

BESCHLUSS DER DSK ZUR NICHTANWENDUNG TECHNISCHER UND ORGANISATORISCHER MAßNAHMEN

Am 24. November 2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – kurz: DSK) gegen die Stimme Sachsens einen Beschluss zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO auf ausdrücklichen Wunsch betroffener Personen gefasst. Der Inhalt des Beschlusses sowie seine möglichen Auswirkungen für die Praxis sollen im nachstehenden Beitrag näher erörtert werden.


WAS BEINHALTET DER BESCHLUSS?

Durch Ziff. 1 folgt direkt die erste diskussionswürdige Aussage: „Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.“ So weit so gut. Die zentrale Frage, welche hier aufgeworfen werden muss ist, warum die DSK davon ausgeht, dass es sich bei Art. 32 DS-GVO um eine „objektive Rechtspflicht“ handelt. Unter den Terminus objektives Recht sind gemeinhin alle Rechtsvorschriften eines Rechtsstaates in ihrer Gesamtheit zu fassen. Vom objektiven Recht ist das subjektive Recht abzugrenzen, welches den Anspruch bzw. ein sonstiges Recht eines jeden Einzelnen beschreibt. Sofern die DSK in Bezug auf Art. 32 DS-GVO nunmehr eine objektive Rechtspflicht annimmt, verwundert dies mit Blick auf Art. 8 Charta der Grundrechte der Europäischen Union (GRCh) sowie Art. 1 DS-GVO doch sehr. Ausweislich des Art. 1 Abs. 2 DS-GVO werden „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu Regelungsgegenstand der Datenschutz-Grundverordnung erklärt. Primäres Schutzgut ist also das Grundrecht auf Datenschutz nach Art. 8 GRCh. Nichts anderes gilt im Hinblick auf Art. 32 DS-GVO. Der Zweck dieser Vorschrift ist die Unterstützung und Durchsetzung der in der Datenschutz-Grundverordnung geregelten Vorschriften durch technische und organisatorische Maßnahmen. Die Norm ist in erster Linie auf den Schutz der Rechte und Freiheiten der von der Datenverarbeitung betroffenen Person gerichtet und fungiert insoweit als Ausgestaltung der Grundsätze von Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DS-GVO. Das Grundrecht auf den Schutz personenbezogener Daten in seiner Gänze und mithin auch Art. 32 DS-GVO müssen bereits nach dem grundlegenden Verständnis zur Disposition des Grundrechtsträgers, also der betroffenen Person stehen. Es muss der betroffenen Person also auch unbenommen sein, in alle Umstände der Verarbeitungen ihrer personenbezogenen Daten einzuwilligen, sei es die Frage des „Ob“ oder des „Wie“ der Verarbeitung, auch vor dem Hintergrund, dass die Erklärungen möglicherweise als nachteilig oder schädlich für die betroffene Person selbst wahrgenommen werden. Es wird in diesem Zusammenhang vermutlich stets auf den Grad an Informiertheit im Vorfeld der Abgabe der Erklärung abzustellen sein.

Weiter wird in Ziff. 2 wie folgt festgesetzt: „Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.“ Mit Blick auf Ziff. 1 des Beschlusses sind die vorstehenden Ausführungen nahezu stringent. Nichts desto trotz verwundert diese Gesamtschau. Hatte sich doch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmdBfDI) in einem Aktenvermerk ursprünglich anders in dieser Thematik positioniert. Wir haben dazu bereits berichtet. Nunmehr schließt die DSK die Möglichkeit einer Einwilligungserklärung zum Verzicht bzw. zu Absenkung des vorzuhaltenden Standards der Sicherheit der Verarbeitung nach allem Anschein nach kategorisch aus.

Nach dem zuvor Gesagten erfahren diese Grundsätze in Ziff. 3 anschließend dann doch eine Ausnahme: „Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.“ Mit Blick auf die Ziffern 1 und 2 des Beschlusses sind die Kernaussagen der Ziff. 3 doch sehr verwunderlich. Nachdem vorab starr ein Ausschluss der Möglichkeit des Abbedingens oder Absenkens des Schutzniveaus bekundet wird, erfolgt anschließend doch eine „Rolle rückwärts“ und die DSK lässt unter strengen Voraussetzungen Ausnahmen zu. Hier bleiben bei genauer Betrachtung der Voraussetzungen allerdings viele Fragen offen. Einzig zutreffend dürfte der Hinweis auf die Beachtung des Selbstbestimmungsrechts der betroffenen Person sein. Fraglich ist hingegen, wann es zu dokumentierenden Einzelfällen (eine zahlenmäßige Beschränkung gleich welcher Art scheint dogmatisch nicht vertretbar) kommt und welche Anforderungen an einen ausdrücklichen, eigeninitativen Wunsch der informierten betroffenen Person zu stellen sein wird.

Die Ziff. 4 des Beschlusses kommt letztendlich nahezu unspektakulär daher, da es insoweit nur heißt: „Kapitel V der DSGVO (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) bleibt hiervon unberührt.“ Dies dürfte insoweit nicht zu beanstanden sein und wird daher nicht weiter vertieft.


WIE GEHT ES NUN WEITER?

Der HmdBfDI hat in Reaktion auf den Beschluss der DSK seinen eigenen Aktenvermerk überarbeitet. Nach Ansicht der Aufsichtsbehörde ist – dies ist insoweit auch mit den Ausführungen in dem Beschluss übereinstimmend – ein Verzicht der betroffenen Person auf die Anwendung von technischen und organisatorischen Maßnahmen möglich. Hierfür ist erforderlich, dass Verantwortliche die nach Art. 32 DS-GVO erforderlichen Maßnahmen überhaupt bereit hält und dass die Verzichtserklärung der betroffenen Person den Anforderungen des Art. 7 DSGVO analog genügt. In Bezug auf die Verzichtserklärung führt der HmdBfDI aus: „Die DSGVO enthält mit Art. 7 DSGVO grundsätzliche Maßstäbe zur Beurteilung, wie eine Einwilligung der betroffenen Person zu gestalten ist. Diese beziehen sich zwar unmittelbar nur auf das „Ob“ der Verarbeitung, sind jedoch entsprechend auch auf das „Wie“ anzuwenden. Der Verzicht auf die technische Umsetzung („Wie“) einer Verarbeitung ist sinnvollerweise nach denselben Maßstäben zu beurteilen, wie die Frage, ob die Verarbeitung nach Art. 6 DSGVO zulässig ist („Ob“).“ Weiter heißt es: „Eigeninitiativ bedeutet dabei, dass die betroffene Person an den Verantwortlichen mit einem entsprechenden Wunsch herantreten muss. Dies setzt ein aktives Handeln der betroffenen Person voraus. Ein solches aktives Handeln kann eine mündliche oder schriftliche Bitte sein, aber auch das Anklicken eines entsprechenden Auswahlfeldes in einem (Online-)Formular. Ein eigeninitiatives Handeln liegt allerdings nicht vor, wenn die betroffene Person ohne ein eigenes Zutun auf die Anwendung von TOM „verzichtet“, etwa indem sie ein Online-Formular abschickt, bei welchem ein entsprechendes Feld („ich verzichte auf eine verschlüsselte elektronische Kommunikation“) bereits vorausgewählt ist.“

Für die Praxis ergibt sich nach den Ausführungen des HmdBfDI demnach die Erforderlichkeit der Gestaltung einer Verzichtserklärung in der Gestalt bzw. unter den Voraussetzungen einer Einwilligungserklärung, aber eben nicht als solche deklariert. Insbesondere hinsichtlich der Anforderungen an die Freiwilligkeit, Bestimmtheit und Informiertheit der Verzichtserklärung dürften diese als im Einklang mit der Datenschutz-Grundverordnung zu sehen sein, da auf den ersten Blick insoweit keine strengeren Anforderungen aufgestellt werden. Inwieweit die Anforderungen an den eigeninitativen Wunsch der betroffenen Person über die Anforderungen der DS-GVO hinaus gehen oder letztendlich „nur“ eine Umformulierung hinsichtlich der Betätigung des freien Willens ist, wird noch zu erörtern und mit Sicherheit Gegenstand zahlreicher Diskussion sein. Mit Blick auf die oben dargestellten Schutzsphäre des Grundrechtes auf Datenschutz aus Art. 8 GRCh muss ein mögliches Aufstellen strengerer Anforderungen an die Ausübung bzw. Sicherung der Rechtsposition des Grundrechtsträgers dann logischerweise trefflich in Frage gestellt werden.


FAZIT

Die zentrale Problematik des Beschlusses zeigt sich in der Praxis typischerweise anhand der (E-Mail-)Verschlüsselung. In den zu betrachtenden Fällen ergibt eine Abwägung nach Art. 32 DS-GVO – auch im Hinblick auf die von der DSK in der Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail festgelegten Grundsätze – allzu häufig, dass eine Ende-zu-Ende-Verschlüsselung geboten ist. Dies führt nicht zuletzt vermehrt bei den Gruppen der Berufsgeheimnisträgern selbst unter dem Gesichtspunkt, dass die datenschutzrechtlichen Verantwortlichen die erforderlichen entsprechende technische und organisatorische Maßnahmen in Form von Verschlüsselungstechnologien vorhalten, immer wieder zu Nutzerakzeptanzproblemen seitens der betroffenen Personen. Insofern wäre eine vertiefte Auseinandersetzung mit der Problematik seitens der DSK wünschenswert gewesen. Allerdings ist ein Beschluss nun einmal nur ein Beschluss und muss nicht weitergehend begründet werden. Unter Bezugnahme auf die Selbstbestimmtheit der betroffenen Personen erscheint es allerdings nahezu zwingend, dass zu den dispositiven Bestimmungen eben auch jene über die Sicherheit der Verarbeitung zählt. Ob es dafür eines dogmatischen Umweges über eine Verzichtserklärung bedarf oder doch der Gang über eine Einwilligung möglich ist, wird zu beobachten sein. Letztendlich bedarf es in dieser Sache vermutlich einer Klärung durch die Rechtsprechung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Betroffene Person
  • Datenschutzkonferenz
  • Einwilligung
  • Technische-organisatorische Maßnahmen
  • Verzichtserklärung
Lesen

DATENSCHUTZRECHTLICHE GRUNDLAGEN DER VIDEOÜBERWACHUNG


ALLGEMEINES

Unter dem Begriff der „Videoüberwachung“ ist in datenschutzrechtlicher Hinsicht jegliche Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen zu verstehen. Ein „Raum“ ist bereits dann als öffentlich zugänglich zu definieren, wenn nicht hinreichend ausgeschlossen werden kann, dass unbeteiligte Dritte diesen passieren. Dementsprechend kann auch ein abgesicherter Baustellenbereich im Rahmen einer Videoüberwachung bereits als öffentlich zugänglicher Raum angesehen werden.


RECHTSGRUNDLAGEN

In der Datenschutz-Grundverordnung (DS-GVO) finden sich zum Thema Videoüberwachung keine expliziten Rechtsgrundlagen. Lediglich im Bundesdatenschutzgesetz (BDSG), genauer im § 4 BDSG, ist die Zulässigkeit einer Videoüberwachung öffentlich zugänglicher Räume normiert. Nach dem Urteil des Bundesverwaltungsgerichts vom 27. März 2019 ist diese Norm jedoch teilweise europarechtswidrig und somit für nicht-öffentliche verantwortliche Stellen nicht anwendbar. Aus diesem Grund ist bei einer Videoüberwachung in der Regel allein auf die allgemeine Norm des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO (Interessenabwägung) abzustellen.

Darüber hinaus ergeben sich für öffentliche Stellen der Länder oftmals aus dem jeweiligen Landesrecht spezifische Rechtsgrundlagen, zum Beispiel in Sachsen aus § 13 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) oder in Brandenburg aus § 28 Brandenburgisches Datenschutzgesetz (BbgDSG).

Sollten im Rahmen einer Videoüberwachung, beispielsweise mithilfe einer Gesichtserkennungssoftware, biometrische Daten verarbeitet werden, ist ebenfalls der Anwendungsbereich des Art. 9 DS-GVO (Verarbeitung besonderer Kategorien personenbezogener Daten) eröffnet. Findet eine Videoüberwachung hingegen ausschließlich zur Ausübung persönlicher oder familiären Tätigkeiten statt, das heißt eine Videoüberwachung un-beteiligter Dritter ist ausgeschlossen, finden die Regelungen der DS-GVO keine Anwendung. Hierbei ist dennoch stets das allgemeine Persönlichkeitsrecht zu achten. Die Anzahl der Anwendungsfälle für die Ausnahmeregelung hinsichtlich des persönlich-familiären Bereichs gemäß Art. 2 Abs. 2 lit. c DS-GVO dürfte im Zusammenhang mit einer Videoüberwachung jedoch entsprechend gering sein.


INTERESSENABWÄGUNG

Entsprechend des Art. 6 Abs. 1 Satz 1 lit. f DS-GVO ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn diese zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist. Zusätzlich ist jedoch zu prüfen, ob möglicherweise die Interessen oder Grundrechte und Grundfreiheiten betroffener Personen überwiegen. Zusammenfassend bedarf es somit drei wesentlicher Elemente: Die Wahrung berechtigter Interessen, die Erforderlichkeit einer Videoüberwachung sowie einer Interessenabwägung zwischen den Interessen des Verantwortlichen und denen des Betroffenen.

Hinsichtlich eines berechtigten Interesses bei einer Videoüberwachung kann sowohl auf das des Verantwortlichen als auch auf das eines Dritten, beispielsweise eines Ladenmieters in einem Einkaufszentrum verwiesen werden. In diesem Zusammenhang können unter anderem die Beweissicherung durch Aufzeichnung und die hieraus ermöglichte Geltendmachung zivilrechtlicher Schadensersatzansprüche ein berechtigtes Interesse darstellen.

Weiterhin muss eine Videoüberwachung auch erforderlich sein. Das bedeutet, es ist zu hinterfragen, ob das festgelegte Ziel durch eine Videoüberwachung erreicht werden kann und ob unter Umständen nicht sogar ein anderes, weniger in die Rechte der betroffenen Personen eingreifendes Mittel, die gleiche Wirkung erzielen könnte. In Betracht kommen hier beispielsweise der Einsatz von Sicherheitspersonal oder ein Echtzeit-Monitoring anstatt einer Videoaufzeichnung.

Bei der anschließenden Interessenabwägung sind die gegebenenfalls entgegenstehenden Interessen beziehungsweise Grundrechte und Grundfreiheiten der betroffenen Personen zu berücksichtigen. Sofern diese die Interessen der verantwortlichen Stelle überwiegen, kann eine Videoüberwachung in der geplanten Form nicht durchgeführt werden.

Im Rahmen der Interessenabwägung sind insbesondere die vernünftigen Erwartungen betroffener Personen im konkreten Einzelfall zu berücksichtigen. Entscheidend ist auch, inwiefern eine Videoüberwachung typischerweise akzeptiert oder abgelehnt wird. Ein strengerer Maßstab gilt bei einer Videoüberwachung von Beschäftigten. Gänzlich abgelehnt wird eine Videoüberwachung hingegen im Nachbarschaftskontext, in Behandlungs- und Wartezimmern, in Ruhe- und Pausenräumen sowie in Toiletten- und Umkleidebereichen. Eine Videoüberwachung in diesen Umgebungen wird stets als unzulässig einzustufen sein. Aber auch die Videoüberwachung öffentlicher Verkehrsräume darf in der Regel nicht vorgenommen werden.


WEITERE ANFORDERUNGEN

Insbesondere nach Art. 25 und Art. 32 DS-GVO ist auch bei der Einführung einer Videoüberwachung auf eine sichere und datenschutzfreundliche Gestaltung zu achten. Dies beinhaltet neben einer möglichen zeitlichen Einschränkung auch die räumliche Einschränkung der Videoüberwachung. Wird mit der Videoüberwachung die Beobachtung eines Betriebsgeländes beabsichtigt, müssen Bereiche, die nicht zu dem Betriebsgelände gehören ausgeblendet oder verpixelt werden. Nicht benötigte Funktionalitäten, wie zum Beispiel die Schwenkbarkeit, Zoomfähigkeit sowie Audioaufnahme sollte durch die Überwachungstechnik nicht unterstützt oder zumindest vor Inbetriebnahme deaktiviert werden.

Zusätzlich ist vor der Inbetriebnahme der Videoüberwachung die/der Datenschutzbeauftragte zu kontaktieren. Diese/r berät nicht nur hinsichtlich der technischen Ausgestaltung, sondern überprüft auch, inwiefern im Einzelfall eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO notwendig ist. Weiterhin wird die/der Datenschutzbeauftragte auch bei der Erstellung und Anpassung der entsprechenden Einträge in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO unterstützend tätig.


LÖSCHFRISTEN

Wie bei allen personenbezogenen Daten, sind auch die Daten der Videoüberwachung gemäß Art. 17 Abs. 1 lit. a DS-GVO umgehend zu löschen, wenn diese zur Erreichung der Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind. Durch die Aufsichtsbehörden wird die Meinung vertreten, dass regelmäßig innerhalb von zwei Tagen entschieden werden kann, ob eine Sicherung des Videomaterials zur weiteren Verfolgung der Zwecke notwendig ist. Dementsprechend gilt vor allem unter der Berücksichtigung des Grundsatzes der Datenminimierung und der Speicherbegrenzung eine Löschfrist von höchstens 48 Stunden, sofern besondere Umstände nicht eine längere Speicherdauer begründen können.


HINWEISBESCHILDERUNG

Zudem fordert die DS-GVO eine transparente Datenverarbeitung. Daraus folgt, dass auch bei einer Videoüberwachung die Informationspflichten nach Art. 13 DS-GVO einzuhalten sind. Hierbei sind mindestens Angaben zur Identität des Verantwortlichen, die Kontaktdaten der/des Datenschutzbeauftragten, die Verarbeitungszwecke und Rechtsgrundlage, die Dauer der Speicherung sowie der Hinweis auf die Betroffenenrechte vorzunehmen. Diese Informationen müssen der betroffenen Person in gut lesbarer und verständlicher Weise bereitgestellt werden, möglichst noch bevor diese den videoüberwachten Bereich betritt.


SANKTIONEN

Grundsätzlich können Sich betroffene Personen nach Art. 77 DS-GVO bei einer Aufsichtsbehörde beschweren, wenn diese der Ansicht sind, dass eine Verarbeitung personenbezogener Daten rechtswidrig erfolgt. Die Aufsichtsbehörde kann im Rahmen einer Sanktionierung insbesondere Bußgelder erlassen oder eine weitere V-deoüberwachung versagen beziehungsweise mit Auflagen belegen.


WEITERFÜHRENDE INFORMATIONEN

Weiterführende Informationen zum Thema Videoüberwachung erhalten Sie auf den Internetseiten der jeweiligen Aufsichtsbehörden sowie im Kurzpapier Nr. 15 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK). Darüber hinaus erhalten Sie die Informationen dieses Beitrages auch in unserem Leitfaden „Videoüberwachung – Datenschutzrechtliche Grundlagen und Hinweise für verantwortliche Stellen, die eine Videoüberwachung bereits durchführen oder die Einführung einer Videoüberwachung beabsichtigen“. Darin enthalten sind ebenfalls zwei Beispiele einer möglichen Hinweisbeschilderung.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Hinweisbeschilderung
  • Interessenabwägung
  • Monitoring
  • Technische-organisatorische Maßnahmen
  • Videoüberwachung
Lesen

DIE KRUX BEI DER BUßGELDSANKTIONIERUNG

„Landgericht Berlin stellt das Bußgeldverfahren gegen Deutsche Wohnen ein“. Unter diesem Titel veröffentlichte die Deutsche Wohnen SE am 23.02.2021 auf ihrer Webseite eine Pressemitteilung, welche für einige Aufmerksamkeit gesorgt hat. Die Hintergründe:


WAS IST PASSIERT?

Am 30.09.2019 hatte die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro verhängt. Dies stellte zum Zeitpunkt der Verhängung das höchste Bußgeld in Deutschland auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) dar. Mittlerweile erging gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von rund 35,3 Millionen Euro.

Die Deutsche Wohnen ist eines der größten deutschen Immobilienunternehmen. Sie hält nach eigenen Angaben rund 165.700 Einheiten, darunter befinden sich sowohl Wohn- als auch Gewerbeeinheiten. Gegenstand des Bescheides waren Vorwürfe seitens der Behörde, dass die Immobiliengesellschaft im Zeitraum zwischen Mai 2018 und März 2019 keine Maßnahmen zur Ermöglichung einer regelmäßigen Löschung von Mieterdaten in ausreichendem Umfang umgesetzt habe. Zum Teil sollen personenbezogene Daten von Mietern (u.a. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeitsverträgen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten) gespeichert worden sein. Hiergegen wurde seitens des Unternehmens Einspruch eingelegt. Das zuständige Landgericht hat das Verfahren nunmehr eingestellt.


ENTWICKELT SICH EINE RECHTSPRECHUNGSPRAXIS ZUR BUßGELDSANKTIONIERUNG?

Ähnliche mediale Aufmerksamkeit hatte das Leuchtturmverfahren des Bundesbeauftragten für Datenschutz und Informationsfreiheit gegen die „1&1 Telecom GmbH“ erlangt (LG Bonn, Urt. V. 11.11.2020, Az.: 29 OWi 1/20). In diesem Fall hatte das Landgericht Bonn das ursprünglich verhängte Bußgeld in der Höhe von 9,55 Millionen Euro auf 900.000€ eingedampft. Im Unterschied zum (bisherigen) Verfahren vor dem LG Berlin wurde das Bußgeld des Bundesbeauftragten jedoch dem Grunde nach bestätigt. In der Begründung wurde u.a. das Bußgeldberechnungsmodell der Aufsichtsbehörden als unverhältnismäßig eingestuft, was letztlich zu der Reduzierung des ursprünglich verhängten Bußgeldes führte. Bejaht wurde durch das Gericht zudem die Frage, ob gegen ein Unternehmen als juristische Person ein Bußgeld erhoben werden kann. Mithin wurde der Anwendungsvorrang der DS-GVO vor den nationalen Regelungen des Ordnungswidrigkeitenrechtes dargelegt. Das Urteil des LG Bonn ist mittlerweile rechtskräftig. Unternehmen haften demnach für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind.


WAS IST DAS BUßGELDBERECHNUNGSMODELL DER AUFSICHTSBEHÖRDEN?

Über die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden durch die Verhängung von Bußgeldern haben wir bereits berichtet. In diesem Beitrag richten wir den Blick ebenfalls auf das Bußgeldkonzept der Aufsichtsbehörden. Im Kern stellt das „Berechnungsmodell“ eine Hilfe bei der Zumessung der Höhe eines Bußgeldes dar. Dies erfolgt grundlegend durch das Bilden eines sogenannten „Tagessatzes“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor.


WACKELT NUN DIE BUßGELDPRAXIS DER AUFSICHTSBEHÖRDEN?

Mitteilungen des LG Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln. Laut Angaben einer Gerichtssprecherin am 24.02.2021 erklärte das Landgericht Berlin den Bescheid für unwirksam, weil ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zu konkreten Tathandlungen fehlten. Es fehlen Angaben, dass eine konkrete Person im Unternehmen für den Verstoß verantwortlich war. Eine Begründung liegt bislang nicht vor. Gegen den Beschluss des Landgerichts Berlin kann die Berliner Aufsichtsbehörde binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen. „Das Recht, Rechtsmittel gegen den Beschluss einzulegen, steht der Berliner Staatsanwaltschaft zu“, erläuterte ein Sprecher. Weiter heißt es, die Berliner Datenschutzbeauftragte werde die Staatsanwaltschaft bitten, von dieser Option Gebrauch zu machen. Der Entscheidung liege die Rechtsauffassung zugrunde, dass Bußgelder gegen Unternehmen nur bei Verschulden von Leitungspersonen verhängt werden könnten. Das Landgericht setze sich damit in Widerspruch zu den Datenschutzaufsichtsbehörden und auch zum Landgericht Bonn, „das die Regeln des deutschen Ordnungswidrigkeitengesetzes europarechtskonform ausgelegt hatte“. Über den Streit hatten wir bereits früher berichtet.

Die Kammer begründete ihren Beschluss laut der Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne, sondern nur eine natürliche Person eine Ordnungswidrigkeit „vorwerfbar“ begehen kann. Eine natürliche Person ist im Vergleich zu einer juristischen Person wie sie die Deutsche Wohnen in der Form der Aktiengesellschaft ist, selbst handlungsfähig. Sollten diese Informationen zutreffend sein, so konterkariert die Entscheidung des LG Berlin eben jene des LG Bonn. Letzteres hatte in der o.g. Entscheidung die Haftung seitens der Unternehmen wie dargestellt, angenommen. Unwahrscheinlich erscheint es nicht, dass nun das LG Berlin einer gegenteiligen Ansicht folgt, zumal die Thematik rechtlich nicht unstreitig ist. Es bleibt demnach abzuwarten, ob und wie die Aufsichtsbehörde hierauf reagiert. Kommt es tatsächlich so widerstreitenden Rechtsansichten der Gerichte müssen die gegenständlichen Rechtsfragen im Zweifel höchstrichterlich entschieden werden. Eine Abkehr von der Möglichkeit der Bußgeldsanktionierung stellt dies aber (zunächst) nicht dar.

Aufmerksamkeit erlangte zudem der Bußgeldbescheid der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen gegenüber notebooksbilliger.de AG über 10,4 Millionen Euro. Nach Auffassung der LfD überwachte das Unternehmen unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche, ohne dass dafür eine Rechtsgrundlage vorlag. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig.

In Sachen H&M ging das Unternehmen nicht gegen den Bescheid des HmbBfDI vor und „akzeptierte“ das verhängte Bußgeld in seiner Höhe. Dies lässt selbstverständlich Raum für Spekulationen.


FAZIT

Es wäre deutlich verfrüht von einem Wanken oder sogar einem Scheitern der aufsichtsbehördlichen Bußgeldpraxis zu sprechen. Allerdings lässt sich aus den Leuchtturmverfahren immer häufiger die Tendenz ableiten, dass die Einspruchsverfahren durchaus von Erfolg gekrönt sein können. Sei es aufgrund des fragwürdigen Konzeptes der Bußgeldberechnung oder aber aufgrund umstrittener Rechtsfragen beim Vorliegen der Tatbestandvoraussetzungen des Art. 83 DS-GVO.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bußgeld
  • Bußgeldmodell
  • Deutsche Wohnen SE
  • Löschung
  • Technische-organisatorische Maßnahmen
Lesen

EINSATZ VON VIDEOKONFERENZSYSTEMEN

Im Zuge der Corona-Pandemie wurde durch Veränderungen im beruflichen Alltag – insbesondere bei der Durchführung von Meetings und Besprechungen – und einer damit gleichlaufenden Verlagerung von Tätigkeiten ins Homeoffice der Bedarf an Videokonferenzen merklich gesteigert. Mit dem Einsatz und der Verwendung von sogenannten Videokonferenzsystemen gehen eine Vielzahl von datenschutzrechtlichen Fragestellungen einher, welche im folgenden Beitrag näher beleuchtet werden sollen.


WELCHE ARTEN VON VIDEOKONFERENZSYSTEMEN SIND ZU UNTERSCHEIDEN?

Für Verantwortliche bieten sich bei dem Einsatz von Videokonferenzsystem grundsätzlich drei Möglichkeiten:

(1) Betrieb der ausgewählten Software auf eigenen Servern. Diese Lösung wird als sogenannte „on-permise-Lösung“ bezeichnet, also ein Nutzungsmodell auf eigenen IT-Ressourcen. Der Veranstalter der Konferenz ist für die jeweilige Videokonferenz demnach auch der Verantwortliche i.S.d Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO).

(2) In Abwandlung zur ersten Alternative kann sich der Verantwortliche bei dem Betrieb der Software der Serverleistung eines externen IT-Dienstleisters bedienen. Der auf diesem Wege eingesetzte Dienstleister ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO.

(3) Schließlich besteht die Möglichkeit, dass Verantwortliche Videokonferenzsysteme über einen cloudbasierten Online-Dienst („Software-as-a-Service“) nutzen. Der Anbieter einer solchen Softwarelösung ist regelmäßig nicht als Verantwortlicher der konkreten Konferenz, sondern als Auftragsverarbeiter zu qualifizieren. Verarbeitet der Anbieter, die im Rahmen der Konferenz übermittelten Daten jedoch zu eigenen Zwecken, ist er für diese Datenverarbeitung insoweit als Verantwortlicher einzustufen.

Je nach Ausgestaltung des Einsatzes der Anwendung müssen Verantwortliche unterschiedlichen Anforderungen nach den Bestimmungen der DS-GVO nachkommen. Dies betrifft allen voran die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, wonach der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können muss. Erforderlich ist mithin die Anlage eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Unter Umständen kann die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO geboten sein. Darüber hinaus ist insbesondere bei dem Einsatz eines Auftragsverarbeiters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO mit dem betroffenen Dienstleister abzuschließen.


AUF WELCHE RECHTSGRUNDLAGE KANN DIE DURCHFÜHRUNG EINER VIDEOKONFERENZ GESTÜTZT WERDEN?

Bei der Durchführung einer Videokonferenz handelt es sich unstreitig um eine Verarbeitung personenbezogener Daten. Zur rechtmäßigen Verarbeitung bedarf es gemäß Art. 5 Abs. 1 lit. a), Art. 6 DS-GVO einer belastbaren Rechtsgrundlage. Die konkrete Erlaubnisnorm ist in Kontext der jeweiligen Verarbeitungssituation zu bestimmen. Erfolgt die Videokonferenz über einen cloudbasierten Dienst, um beispielsweise einen Online-Kurs oder ein Seminar durchzuführen, wird die Verarbeitung regelmäßig zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich sein. Ebenso kommt Art. 6 Abs. 1 lit. f) DS-GVO in Betracht. Abhängig vom Einzelfall wird die Teilnehme von Mitarbeitern in vielen Fällen gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Daneben kann ebenfalls die Einwilligung der Teilnehmer gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO herangezogen werden.

Außerdem sind weitere Rechtsgrundlagen zu überprüfen, wenn neben der eigentlichen Durchführung der Videokonferenz andere Verarbeitungstätigkeiten durchgeführt werden, beispielsweise die Aufzeichnung der Konferenz oder die Übermittlung personenbezogener Daten in Drittländer.


WER MUSS DIE DATENSCHUTZINFORMATION ERFÜLLEN?

Der Veranstalter einer Videokonferenz muss die Informationspflichten gemäß Art. 13 DS-GVO gegenüber allen Betroffenen erfüllen. Nicht ausreichend ist hierbei auf die Datenschutzinformationen des Diensteanbieters zu verweisen. Diese Hinweise können nicht die Informationspflichten des Verantwortlichen ersetzen. Dieser muss gegenüber den Betroffenen für seinen Verantwortungsbereich den Informationspflichten nachkommen und unter Umständen Betroffenenrechte umsetzen. Von der Informationsverpflichtung werden unter anderem Hinweise zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten, zu den Verarbeitungszwecken sowie zur Rechtsgrundlage für die Verarbeitung, und den berechtigten Interessen, die bei einer Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO umfasst werden sowie der Speicherdauer. Ferner muss über die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde informiert werden.

Im Rahmen der Informationspflichten ist insbesondere zu beachten, dass gemäß Art. 13 Abs. 1 lit. f) DS-GVO anzugeben ist, wenn eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und ob diese Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder andere Garantien gestützt wird.

Möglich ist es bspw. den Teilnehmenden einer Videokonferenz im Vorfeld per E-Mail die Informationen zur Verfügung zu stellen. In Betracht gezogen werden kann auch, dass der Text auf der Organisationswebseite zur Verfügung gestellt wird und in der Konferenzeinladung eine entsprechende Verlinkung erfolgt.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN MÜSSEN VERANTWORTLICHE TREFFEN?

Der Verantwortliche muss dafür Sorge tragen, dass nach den Grundsätzen der Art. 5 Abs. 1 lit. f) DS-GVO, Art. 24, Art. 25 und Art. 32 DS-GVO geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mittlerweile haben sich folgende generische technische und organisatorische Maßnahmen herausgebildet (Auflistung nicht abschließend):
– Wird keine on-permise-Lösung genutzt, müssen Serverstandorte überprüft werden,
– Verschlüsselte Übertragung (Transportverschlüsselung oder ggf. Ende-zu-Ende-Verschlüsselung),
– Aufzeichnungsfunktion der Konferenz deaktivieren,
– Verhaltensüberwachung beziehungsweise Aufmerksamkeitstracking ausschalten,
– Zugangsbeschränkungen durch Login,
– Zutritt zur Konferenz regeln (beispielsweise über Warteraumfunktionen),
– Möglichkeiten zu Hintergründen und Weichzeichnern (»background blur«) aufzeigen,
– Privacy by Default (Kamera und Mikrofon deaktivieren, Freigabe durch Teilnehmer selbst ermöglichen),
– Löschung von Protokollen und Aufzeichnungen, sobald sie nicht mehr erforderlich sind,
– Datensparsame Zugangsmöglichkeiten (beispielsweise über den Browser oder per Telefon).


WELCHE HERAUSFORDERUNGEN ERGEBEN SICH BEI DEM EINSATZ VON DIENSTLEISTERN IN SOGENANNTEN DRITTSTAATEN?

Herausforderungen ergeben sich außerdem bei einer mit dem Einsatz von Konferenzsystemen verbundenen Übermittlung von personenbezogenen Daten in sogenannte Drittländer, insbesondere die USA, durch beispielsweise den Einsatz eines entsprechenden Dienstleisters. Hierbei rücken – durch die Unzulässigkeitserklärung des sog. Privacy-Shields durch den Europäischen Gerichtshof – die sogenannten Standarddatenschutzklauseln als Legitimationsgrundlage in das Blickfeld der Verantwortlichen. Diese sind jedoch zur Sicherstellung geeigneter Garantien nicht ausreichend. Vielmehr bedarf es der Sicherstellung weiterer technische und organisatorischer sowie rechtlicher Maßnahmen.


FAZIT

Vor der Inbetriebnahme eines entsprechenden Videokonferenzsystems müssen Verantwortliche einzelfallbezogen eine Reihe von datenschutzrechtlichen Anforderungen umsetzen. Nur so kann der rechtkonforme Einsatz gewährleistet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzinformation
  • Drittstaaten
  • Technische-organisatorische Maßnahmen
  • Videokonferenzen
Lesen