06
Kernpunkte:
- Standard-Datenschutzmodell – neue Version, neue Bausteine
- Software-Inventarisierung
- Corona-Handreichungen zu Homeoffice und Videokonferenzen
6 Systemdatenschutz
Der Systemdatenschutz ist ein wichtiger Bestandteil in Verfahren und ihrer IT-Infrastruktur, um die Vorgaben der Artikel 25 und 32 DSGVO zum technisch-organisatorischen Datenschutz und zur Informationssicherheit umzusetzen. Im Berichtsjahr hat sich das ULD neben zahlreichen Einzelfällen und Grundsatzfragen (siehe auch Kapitel 10: „Aus dem IT-Labor“) primär mit den folgenden Bereichen beschäftigt: Zentrale Verfahren der Landesverwaltung (Tz. 6.1), deutschlandweite und internationale Zusammenarbeit der Datenschutzbeauftragten (Tz. 6.2) sowie Prüfungen und Beratungen (Tz. 6.3).
6.1 Landesebene
6.1.1 Zusammenarbeit mit dem Zentralen IT-Management (ZIT SH)
Das ULD wird regelmäßig als Gast zu den Sitzungen der IT-Beauftragten-Konferenz (ITBK) eingeladen. In dieser Konferenz, im Jahr 2020 überwiegend als Videokonferenz abgehalten, werden zentrale und ressortspezifische IT-Entwicklungen geplant und Entscheidungen von ressortübergreifender Bedeutung getroffen. Für das ULD ist die Teilnahme wichtig, um über zentrale IT-Entwicklungen informiert zu werden. Zusätzlich wurden dem ULD Planungen zu einzelnen IT-Vorhaben der Ressorts, die eine besondere Bedeutung oder eine große Reichweite haben, direkt durch das Zentrale IT-Management Schleswig-Holstein (ZIT SH) oder die Ressorts mitgeteilt.
Ein Schwerpunkt lag im Jahr 2020 in der Bereitstellung zusätzlicher IT-Ressourcen im Rahmen der Coronapandemie. Dies waren zum einen spezifische Fachanwendungen, insbesondere im Gesundheitsbereich, zum anderen der Ausbau und Bereitstellungen von Ressourcen für die mobile Büroarbeit: Der Ausbau betraf beispielsweise zusätzliche Kapazitäten für Telefonie, VPN-Einwahl und Netzkapazitäten. Zusätzliche Ressourcen waren ebenfalls für Videokonferenzdienste zur Nutzung von zentralen Videoräumen sowie vom Arbeitsplatz aus nötig.
Wie in den Vorjahren setzt sich die Tendenz zur Zentralisierung von IT-Verfahren weiter fort. Neben den bereits beschriebenen Herausforderungen bei der Umsetzung heterogener Anforderungen durch zentrale Systeme (38. TB, Tz. 6.1.1) gibt es Vorteile durch einheitliche Konfigurationsmöglichkeiten, mit denen sich beispielsweise Mindestsicherheitsanforderungen zentral vorgeben lassen. Ebenso lassen sich Neuentwicklungen, etwa bei der verstärkten Nutzung von Open-Source-Software, leichter für verschiedene Nutzergruppen verfügbar machen – etwa im Rahmen einer Softwarebereitstellung, die für die Büroarbeitsplätze der obersten Landesbehörden nur einmal erarbeitet und konfiguriert werden muss, dann aber bedarfsgerecht auf nahezu allen Rechnern installiert werden kann.
6.1.2 Sicherheitsmanagement der Landesverwaltung
Das Integrierte Sicherheitsmanagement des Landes wurde schon in vergangenen Tätigkeitsberichten dargestellt (z. B. 36. TB, Tz. 6.1). Nach einer Neuorganisation nimmt es nun wieder Fahrt auf. Neben den Informationssicherheitsbeauftragten der Ressorts und einzelner Teile der Landesverwaltung sind auch deren Datenschutzbeauftragte beteiligt. Der Landesrechnungshof und das ULD haben Gaststatus.
Nachdem die Leitlinie zur Informationssicherheit auf Landesebene neu gefasst und erlassen wurde, liegt derzeit der Fokus auf der Arbeit an Richtlinien und weiteren Detaildokumenten, die für die Arbeit vor Ort die Leitplanken vorgeben, gleichzeitig aber Raum für individuelle Besonderheiten lassen.
Auch das ULD beteiligt sich an der Mitarbeit an solchen Richtlinien, u. a. zur Akten- und Datenträgervernichtung: Es reicht beispielsweise nicht aus, per Telefonanruf Datenschutzpapiertonnen oder Aktenvernichtungsbehälter zu bestellen und darauf zu vertrauen, dass diese richtig – d. h. gemäß den jeweiligen Anforderungen des Datenschutzes – befüllt und entleert werden. Vielmehr gibt es je nach Sensibilität und Menge der Daten verschiedene Vernichtungsmöglichkeiten und Angebote der Dienstleister, die von einer besseren Altpapiertonne bis hin zu einer Vernichtung vor Ort unter Aufsicht des Verantwortlichen und ohne Einsichtsmöglichkeit des Dienstleisters reichen. Neben der Auswahl eines passenden Angebots sind vor Ort zahlreiche Details zu bedenken, etwa den Umgang mit Fehleinwürfen in solche Container (Wer darf diese öffnen, um den mutmaßlichen Fehleinwurf wieder herauszuholen?), den Standort in Gebäuden bis hin zur Abholung: Wer prüft beispielsweise, dass der „richtige“ Dienstleister die verschlossenen Container abholt und nicht jemand anders? Eine unbeaufsichtigte Bereitstellung auf dem Parkplatz, wie es bei Mülltonnen der Fall ist, erfüllt die Sicherheitsanforderungen selbstverständlich nicht.
Gegenstand der Richtlinie wird sein, alle wesentlichen Punkte anzusprechen, sodass für einen konkreten Einsatz entsprechende Entscheidungen getroffen werden. In anderen Detailfragen, bei denen es keine örtlichen Unterschiede gibt, können zentrale Festlegungen erfolgen.
Auch mit zunehmender Digitalisierung sind moderne Multifunktionsgeräte (Drucker, Kopierer, Scanner) mit ihren vielfältigen Funktionen und Diensten nicht mehr aus den Arbeitsabläufen wegzudenken. Dazu gehört z. B. das Kopieren von Dokumenten in unzähligen Varianten, das Drucken im Netz, das Scannen von Dokumenten mit Versand des gescannten Dokuments als E-Mail oder Fax. Häufig wird jedoch vergessen, dass es sich bei Multifunktionsgeräten um leistungsfähige Server handelt. Sie sind u. a. mit einem Prozessor, Arbeitsspeicher, Speichermedien, einer Netzkarte und einem Betriebssystem ausgerüstet und stellen Dienste für die angeschlossenen Clients (z. B. Arbeitsplatz-PC) zur Verfügung. Aus diesen Gründen sind sie sicherheitstechnisch als Server zu bewerten und müssen daher sorgfältig geplant, installiert, konfiguriert, implementiert, gewartet und dokumentiert werden. Neben den Aspekten der Datensicherheit muss zusätzlich gewährleistet sein, dass bei der Verarbeitung von Daten mit Multifunktionsgeräten die Betroffenenrechte nicht verletzt werden (37. TB, Tz. 10.4).
Daher wird für den Einsatz von Druckern, Kopierern und Multifunktionsgeräten eine „Rahmensicherheitsrichtlinie Kopierer, Scanner und Drucker“ für Mindeststandards auf Grundlage des IT-Grundschutz-Kompendiums des BSI erstellt. Sie soll bei der Verarbeitung von Daten mit diesen Geräten sicherstellen, dass ein Sicherheitsniveau gewährleistet wird, das dem jeweiligen Schutzbedarf angemessen ist. Für die Berücksichtigung von Datenschutzaspekten in dieser Rahmensicherheitsrichtlinie ist das ULD in der Konzeptionsphase beteiligt.
6.1.3 Landesverordnungen zu Basisdiensten
Das Zentrale IT-Management des Landes (ZIT SH) stellt für die unmittelbare Landesverwaltung, aber auch für andere öffentliche Stellen des Landes und für Kommunen, IT-Verfahren als sogenannte Basisverfahren zur Verfügung.
Primär für die Landesverwaltung werden beispielsweise zentrale interne Verfahren wie E-Mail, Zeiterfassung und E-Akte bereitgestellt. Details hierzu werden in der Zentrale-Stelle-Basisdiensteverordnung (ZStBaDiVO) geregelt. Einen ähnlichen Namen hat die Basisdiensteverordnung (BasisdiensteVO). Regelungsgegenstand hier sind IT-Verfahren im Bereich des E-Governments, also solche Verfahren, bei denen Bürgerinnen und Bürger bzw. Unternehmen mit der Landes- oder Kommunalverwaltung in Kontakt treten. Dazu gehören u. a. zentral bereitgestellte Verfahren zur Umsetzung des Online-Zugangsgesetzes (OZG).
In beiden Fällen legt das ZIT SH wesentliche technische Details fest und verantwortet die Ordnungsmäßigkeit der Verfahren („Wie“). Für die mit diesen Verfahren verarbeiteten Inhalte („Was“) sind die einsetzenden Verwaltungen in datenschutzrechtlicher Hinsicht verantwortlich. Somit sind das ZIT SH einerseits als auch die einsetzenden Stellen andererseits gemeinsam verantwortlich. Diese gemeinsame Verantwortlichkeit ist schon seit vielen Jahren gelebte Praxis, was sich u. a. in der Regelungsbefugnis des § 7 Abs. 4 LDSG ausdrückt.
Die Verantwortlichkeitstrennung, aber insbesondere die Schnittmengen und Überlappungen in einzelnen Teilbereichen sind regelungsbedürftig. Dies reicht von Festlegungen zu Test und Freigabe, zur Dokumentation, zu einer gegebenenfalls erforderlichen Datenschutz-Folgenabschätzung bis hin zur Vorgehensweise und zu gegenseitigen Informationspflichten bei Datenschutzverletzungen, damit u. a. eine Meldung an die Datenschutzaufsichtsbehörde und, wenn erforderlich, eine Benachrichtigung der betroffenen Personen erfolgt. Wesentliche Festlegungen werden im Wege der Verordnung getroffen; für Detailregelungen kommen Nutzungsvereinbarungen zum Einsatz.
Das ULD war beim (Neu-)Erlass der Verordnungen und auch bei einzelnen Nutzungsvereinbarungen beteiligt und konnte die Regelungen im Hinblick auf Klarheit und Informationspflichten nachschärfen. Dabei ist festzuhalten, dass zentrale Festlegungen zwar im Hinblick auf die örtlichen Gegebenheiten zu überprüfen, zu hinterfragen und gegebenenfalls anpassbar zu gestalten sind, aber zentrale Verfahren eben auch zentral gestaltet und verantwortet werden. So ist nicht jeder technische Anpassungswunsch erfüllbar; möglicherweise sind örtliche Prozessanpassungen notwendig.
Was ist zu tun?
Bei zentralen Verfahren, die für eine Vielzahl von beteiligten Stellen bereitgestellt werden, sind zahlreiche Fallkonstellationen und Besonderheiten zu beachten. Dies sollte von den zentralen Stellen bereits bei der Konzeption berücksichtigt werden, beispielsweise durch die Einbindung ausgewählter beteiligter Stellen. Sofern diese Besonderheiten nicht im Vorfeld erkannt und geregelt wurden, sind entsprechende Detailregelungen vorzunehmen.
6.2 Deutschlandweite und internationale Zusammenarbeit der Datenschutzbeauftragten
6.2.1 Arbeitskreis Technik
Auch im vergangenen Berichtszeitraum hat der Arbeitskreis Technik der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine Reihe von Orientierungshilfen und Anwendungshinweisen erstellt, an deren Erarbeitung das ULD beteiligt war. In einigen Fällen waren dies eigenständige Unterlagen des AK Technik, in anderen Fällen technische Beiträge zu Dokumenten der Datenschutzkonferenz, z. B. zum Telemetrieverhalten des Betriebssystems Windows 10.
Herauszuheben ist die „Orientierungshilfe Videokonferenzsysteme“, die sich mit rechtlichen und technischen Fragestellungen von Videokonferenzsystemen (Tz. 6.3.2) befasst und für die konkrete Auswahl eines Systems eine Checkliste bereithält:
https://www.datenschutzzentrum.de/artikel/1343-Orientierungshilfe-Videokonferenzsysteme.html
Kurzlink: https://uldsh.de/tb39-6-21a
Ein weiterer Schwerpunkt war die Arbeit an einer Orientierungshilfe zur E-Mail-Verschlüsselung, die verschiedene Fallkonstellationen aufführt. Eine der Besonderheiten bei E-Mail-Verschlüsselung ist, dass Verschlüsselung sowohl bei der Sendung als auch beim Empfang (als Entschlüsselung) implementiert werden muss. Wie soll aber vorgegangen werden, wenn einer der Kommunikationspartner nicht „mitspielt“? Von Verantwortlichen wird zumindest erwartet, dass sie in der Lage sind, verschlüsselte E-Mails empfangen und senden zu können und bei bestimmten Inhalten die Verschlüsselung auch durchzusetzen, wenn sie das Medium E-Mail einsetzen wollen.
https://www.datenschutzkonferenz-online.de/media/oh/20200526_orientierungshilfe_e_mail_verschluesselung.pdf
Kurzlink: https://uldsh.de/tb39-6-21b
Ein weiterer Schwerpunkt waren das Standard-Datenschutzmodell (SDM) und Bausteine für die praktische Umsetzung von Datenschutzmaßnahmen (Tz. 6.2.2).
6.2.2 Das Standard-Datenschutzmodell – neue Version, neue Bausteine
Seit Ende 2019 haben sich deutschlandweit mit der Umsetzung von Datenschutzanforderungen befasste Institutionen zur Anwendung des Standard-Datenschutzmodells ausgesprochen. Die beharrliche Arbeit der letzten Jahre an einer Standardisierung der Prüfmethode zur Vermittlung von Recht und Technik und der Erstellung eines Referenzkatalogs mit Schutzmaßnahmen zahlt sich allmählich aus.
Das ULD hat das Standard-Datenschutzmodell (SDM) seit dem Entstehen 2012 maßgeblich geformt. 2016 hatte der Arbeitskreis Technik (AK Technik) der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine Unterarbeitsgruppe SDM (UAGSDM) eingerichtet, die das ULD seitdem leitet.
Das SDM ist ein standardisiertes Prüf- und Beratungsverfahren (vgl. Art. 32 Abs. 1 Buchst. d DSGVO), mit der normative Anforderungen in funktionale Anforderungen überführt werden. Normative Anforderungen des Datenschutzrechts sind als Gebote und Verbote formuliert, während funktionale Anforderungen anhand ihrer Wirksamkeit oder Nichtwirksamkeit zu prüfen und zu beurteilen sind. Das SDM führt diese beiden Seiten, die rechtliche und die technische, systematisch und methodisch zusammen. Dabei hilft auf der technischen Seite der Ausweis von konkreten Standardschutzmaßnahmen zur Verminderung der Risiken für die Rechte und Freiheiten natürlicher Personen.
Drei Institutionen haben sich für die Umsetzung von Datenschutzanforderungen mithilfe des SDM ausgesprochen: Die DSK hat in ihrer 98. Konferenz am 19.11.2019 ohne Gegenstimme die Anwendung des SDM-V2b bei Prüfungen und Beratungen empfohlen. Der IT-Planungsrat – ein politisches Steuerungsgremium von Bund und Ländern (vgl. Art. 91c GG), das deren Zusammenarbeit im Bereich der Informationstechnik regelt – hat in dem Beschluss 2020/6 auf der 31. Sitzung am 25.03.2020 das SDM für die Planung, Anwendung und den Betrieb von personenbezogenen Verarbeitungen empfohlen. Ebenso verweist das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen der Modernisierung des Bausteins CON.2 „Datenschutz“ bei der Umsetzung von operativen Datenschutzanforderungen deutlich auf das SDM.
Katalog mit Bausteinen für Schutzmaßnahmen
Der AK Technik hat Anfang Oktober 2020 den folgenden Bausteinen zur Umsetzung von Schutzmaßnahmen gemäß DSGVO deutschlandweit zugestimmt:
- Aufbewahren
- Dokumentieren
- Protokollieren
- Trennen
- Löschen
- Berichtigen
- Einschränken
Das Handbuch zur Methode und die Texte zu den Bausteinen sind unter diesem Link abrufbar:
https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/
Kurzlink: https://uldsh.de/tb39-6-22a
Aktuell wird an vorliegenden Entwürfen von Bausteinen gearbeitet, die auf der AK-Technik-Sitzung im Frühjahr 2021 verabschiedet werden sollen:
- Rollen zuteilen und berechtigen
- Planen und spezifizieren
- Anonymisieren
- Pseudonymisieren
- Sichern und wiederherstellen
Zu den folgenden Bausteinen sollen zur Frühjahrssitzung 2021 erste Entwürfe vorliegen:
- Daten minimieren
- Kryptokonzept
- Single Point of Contact
- Bereitstellen von Informationen
Die SDM-Methodik beschreibt in ihrer aktuellen Version den an einem permanenten Verbesserungsprozess orientierten Aufbau eines Datenschutzmanagementsystems (SDM-V2b, Seite 50 f.). Darüber hinaus sind Hinweise zur Umsetzung eines obligatorischen Einwilligungsmanagements (SDM-V2b, Seite 23) und zur Umsetzung aufsichtsbehördlicher Anweisungen (SDM-V2b, Seite 24) enthalten.
Das SDM enthält keine Hinweise zu den Projektphasen und der methodischen Durchführung einer Datenschutz-Folgenabschätzung (DSFA, vgl. Artikel 35 DSGVO), weil diese bereits vom Kurzpapier Nr. 5 aus dem Jahr 2018 abgedeckt sind. Das SDM hilft jedoch bei der methodischen Risikobearbeitung und der daraus folgenden Bestimmung der Maßnahmen für einen DSFA-Bericht.
Das Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO:
https://www.datenschutzzentrum.de/artikel/1162-.html
Kurzlink: https://uldsh.de/tb39-6-22b
Geltung von „Muss-Anforderungen“
Zu den in den SDM-Bausteinen aufgeführten Maßnahmen wird häufig die Frage gestellt, welche Geltung die Anforderungen des SDM auf der Ebene der Referenzmaßnahmen zur Umsetzung der Anforderungen der DSGVO beanspruchen. Muss ein Verantwortlicher unmittelbar eine Sanktion erwarten, wenn er nicht eine Maßnahme aus dem SDM-Katalog umsetzt?
Das SDM lehnt sich methodisch an den IT-Grundschutz des BSI an. Dort findet sich eine Sprachregelung zum Grad der Verpflichtung, mit dem eine Maßnahme umzusetzen ist, nämlich die Unterscheidung von MUSS (oder ähnlich: Formulierungen wie „darf nur“, „darf nicht“) und SOLLTE (ebenso: „sollte nicht“). Dieser Sprachregelung folgt das SDM. Ein MUSS bedeutet, dass „so gekennzeichnete Anforderungen unbedingt erfüllt werden müssen“. Ein SOLLTE bedeutet, „dass eine Anforderung zwar normalerweise erfüllt werden muss, bei stichhaltigen Gründen aber auch davon abgesehen werden kann“.
Beim IT-Grundschutz des BSI ist die Geltung einer „Muss-Maßnahme“ – abgesehen vom Kontext kritischer Infrastrukturen und dem BSI-Gesetz – nicht mit gesetzlichen Vorgaben begründet. Jedoch leiten sich solche Umsetzungsverpflichtungen des IT-Grundschutzes aus dem Bekenntnis der Geschäftsleitung zur Informationssicherheit und materiell aus dem Stand der Technik ab, wovon auch „Good Practice“ in Bezug auf Regeln und Prozesse umfasst wird. In einigen Fällen verweisen IT-Sicherheitsbeauftragte zusätzlich auf Artikel 32 der DSGVO. Allerdings werden diese Maßnahmen typischerweise zur Sicherung der Geschäftsprozesse genutzt und haben die Durchsetzung der Rechte der Betroffenen – wie in der DSGVO gefordert – nicht im Fokus.
Die Geltung der Maßnahmen des operativen Datenschutzes leitet sich dagegen unmittelbar aus den Datenschutzgesetzen (Spezialgesetzen, DSGVO, BDSG, LDSG) sowie den bilateralen Einwilligungen und Verträgen ab. Materiell ist dabei ebenfalls der Stand der Technik (nicht der Stand von Wissenschaft und Forschung) der verpflichtende geltende Maßstab zur Umsetzung angemessen wirkungsvoller Maßnahmen (Artikel 25 und Artikel 32 DSGVO).
Im SDM wird ganz überwiegend die Formulierung „SOLLTE“ gewählt, wenn es um die konkrete Ausgestaltung spezifischer Schutzmaßnahmen geht. Das heißt also, dass in begründeten Fällen von einer Standardmaßnahme, wie sie das SDM in seinem Katalog generischer Maßnahmen ausweist, abgewichen werden darf. Wesentlich ist aber, dass die Datenschutzanforderung – ob über den Weg einer Standardmaßnahme oder auf andere Weise – erreicht wird. Das SDM will auch in diesen Fällen dabei helfen, dass „die funktionale Äquivalenz der Wirksamkeit“ auch der Alternativmaßnahmen nachgewiesen werden kann (SDM-V2b, Seite 58).
Was ist zu tun?
Um ihre Rechenschaftspflicht zu erfüllen, müssen Verantwortliche Sorge dafür tragen, dass die Datenschutzanforderungen umgesetzt werden. Dabei ist der Einsatz eines standardisierten, methodisch-systematischen Verfahrens zur Prüfung und operativen Umsetzung der DSGVO angeraten.
6.3 Ausgewählte Ergebnisse aus Beratungen und Prüfungen
6.3.1 Zusammenarbeit mit den Spitzenorganisationen der Gewerkschaften:
Software-Inventarisierung, Internet- und E-Mail-Nutzung
Die Einbindung des ULD in die Zusammenarbeit der Landesbehörden, insbesondere des ZIT SH, mit den Spitzenorganisationen der Gewerkschaften setzte sich auch im Berichtszeitraum fort.
Zu den Schwerpunkten im Jahr 2020 gehörte eine geplante Regelung zur Software-Inventarisierung auf Arbeitsplatzrechnern. Hintergrund ist die Tendenz von Softwareanbietern, eine verlässliche Auskunft über die Anzahl der tatsächlich installierten Software-Instanzen einzufordern und mit der Anzahl der beschafften Lizenzen zu vergleichen, um eventuelle Unterlizensierungen feststellen zu können – diese Anforderung ist häufig Bestandteil von Software-Rahmenverträgen. Eng damit zusammenhängend ist die effektive Nutzung vorhandener Softwarelizenzen auf Arbeitsplatzrechnern, indem zentral nicht mehr benötigte Software erkannt, deinstalliert und dann auf den Arbeitsplatzrechnern bereitgestellt wird, auf denen sie erforderlich ist.
Für beide Fälle ist es erforderlich, die auf Arbeitsplatzrechnern installierte Software zu inventarisieren und in einer Übersicht zusammenfassen zu können. Zwar gibt es Werkzeuge zum Inventarisieren und Verwalten von Software, doch haben diese meist einen anderen Fokus: etwa technische Übersichten zur Konfiguration eines Geräts, haushalterische Inventarisierungen oder Mechanismen, um erforderliche Sicherheitsupdates bereitstellen zu können.
Datenschutzrechtlich spannend wird es, wenn neben dem Vorhandensein von Software auf dienstlichen Rechnern auch deren Nutzung nachvollzogen wird, etwa in der Form „letzte Nutzung am XXX um YYY“. Da Arbeitsplatzrechner heutzutage meist individuell einzelnen Personen zugeordnet sind, wären Rückschlüsse auf das individuelle Arbeitsverhalten möglich. Dies ist nicht Zweck der Inventarisierung.
Hier ist geplant, den Detaillierungsgrad der Einsichtsrechte zu staffeln: Für einige Beteiligte ist nur die Anzahl der installierten Lizenzen relevant, für andere ist es wesentlich, um welche Rechner es sich handelt, auf denen die Software tatsächlich installiert ist und dort gegebenenfalls deinstalliert wird. Das ULD begleitet die Erstellung einer Regelung.
Ein weiterer Schwerpunkt war wie im Vorjahr (38. TB, Tz. 6.3.1) die Überarbeitung der 59er-Vereinbarung zur privaten Nutzung von Internet und E-Mail am Arbeitsplatz, da sich hier die Protokollierungsdauer für Internetzugriffe deutlich verlängern soll.
59er-Vereinbarung
Vereinbarungen gemäß § 59 Mitbestimmungsgesetz zwischen den Spitzenorganisationen der Gewerkschaften und der zuständigen obersten Landesbehörde, die als allgemeine Mitbestimmungsregelungen über den Geschäftsbereich einer obersten Landesbehörde hinausgehen („Dienstvereinbarung auf Landesebene“).
Protokolliert werden Daten zur Verbindung (welches Gerät hat wann zu welchem Server eine Verbindung; Inhaltsdaten sind nicht Gegenstand der Protokolle). Dabei ist zwischen verschiedenen Gründen einer Protokollierung zu unterscheiden:
- Gründe der Arbeitsorganisation (z. B. zur Feststellung von Art und Umfang der Nutzung und zur Missbrauchskontrolle),
- Gründe der Systemtechnik (z. B. zur Fehlerverfolgung),
- Gründe der Daten- und Systemsicherheit.
Aus Sicht der Arbeitsorganisation geht es um Internetzugriffe durch Beschäftigte, die sich hinsichtlich Art und Umfang außerhalb des festgelegten Rahmens bewegen. Hierzu gibt es schon seit vielen Jahren ein erprobtes Vorgehen mit einer gestuften Protokollauswertung, die zunächst aggregierte Daten betrachtet. Sollten Warnungen fruchtlos bleiben, ist bei fortgesetzten Verstößen eine Protokollierung bis hin zu einzelnen Personen möglich. Diese Mechanismen und zeitlichen Beschränkungen der Zugriffsmöglichkeiten sollen nicht verändert werden.
Bei der Protokollierung aus sicherheitstechnischer Sicht geht es in erster Linie um Internetzugriffe, die von einem Gerät aus erfolgen, um Schadcode aus dem Internet herunterzuladen. Dies kann versehentlich durch einen Nutzer beim Browsing erfolgen, aber auch ohne Nutzerinteraktion durch eine Schadsoftware geschehen, die zeitverzögert und eigenständig weitere Bestandteile aus dem Internet nachlädt (Stichwort: Emotet). Um diese Rechner im Netz identifizieren und von Schadcode bereinigen zu können, ist eine längerfristige Protokollierung der Internetzugriffe auf Geräteebene erforderlich: Von bestimmten Internetadressen wird erst mit einer zeitlichen Verzögerung bekannt, dass sie zur Bereitstellung von Schadcode genutzt wurden.
In beiden Fällen werden die Verbindungen der Geräte protokolliert. Die Zuordnung zu handelnden Personen bzw. zu den Personen und Nutzerkonten, die die Geräte benutzt haben, erfolgt in einem zweiten Schritt. Dies erlaubt es, die Zugriffsmöglichkeiten auf die Protokolle eng zu begrenzen und eine Zuordnung zu Personen nur im Bedarfsfall vorzunehmen – etwa in dem gestuften Verfahren zur Missbrauchskontrolle oder wenn tatsächlich das Risiko besteht, dass Rechner oder Nutzerkonten infiziert sind.
Aus Datenschutzsicht ist eine längerfristige Protokollierung von überwiegend „harmlosen“ Zugriffen der Beschäftigten kritisch zu betrachten. Besser wäre eine effiziente Blockade aller Zugriffe auf Schadsoftware, die allerdings derzeit nicht realistisch ist (u. a. deshalb, weil sich bestimmte Zugriffe erst Tage oder Monate später als schadensstiftend herausstellen). Auf der anderen Seite ist die Integrität der Hard- und Software der Landesverwaltung ein hohes Gut, denn bei einem Befall mit Schadcode sind personenbezogene Daten von Bürgerinnen und Bürgern unmittelbar betroffen – solche Fälle kennen wir von zahlreichen Meldungen zu Datenschutzvorfällen gemäß Artikel 33 DSGVO über Verschlüsselungstrojaner und Co. Dies ist bei der Abwägung zum Detaillierungsgrad der Protokollierung und zur Dauer der Speicherung einzubeziehen.
6.3.2 Dauerbrenner Videokonferenzen
Ein Dauerthema war im vergangenen Berichtszeitraum das Thema Videokonferenzen. Insbesondere gab es zahlreiche Anfragen zu einzelnen Anbietern, zu technischen Details sowie Bitten um Produktempfehlungen für spezifische Anwendungsfälle.
Vor der Auswahl eines Produkts ist es sinnvoll, zunächst die Anwendungsfälle genauer zu betrachten. Bei der Analyse hilft oft ein Vergleich mit einer realen Konferenz: Handelt es sich um eine hochvertrauliche Besprechung von wenigen Personen (vergleichbar einem ärztlichen Gespräch), um eine Besprechung mit begrenztem Nutzerkreis (etwa ein Bewerbungsgespräch, eine Arbeitsgruppenbesprechung oder ein Klassenraumszenario), einen Vortrag (d. h. im Wesentlichen nur eine Rednerin oder ein Redner) oder eine Veranstaltung, die auch an die Öffentlichkeit übertragen werden soll (etwa eine öffentliche Sitzung, Tz. 4.1.3)?
So wie auch in der analogen Welt für diese Anwendungsfälle verschiedene Räume (z. B. Büro, Sitzungszimmer, Vortragssaal) und verschiedene Arten der Eingangskontrolle (z. B. mit Anmeldung, öffentlich zugänglich) genutzt werden, eignen sich die verschiedenen angebotenen Videokonferenzsysteme in unterschiedlichem Maße. Die Analogie setzt sich fort in der Frage, ob eigene oder fremde Räumlichkeiten verwendet werden sollen – bei Videokonferenzsystemen ist es die Frage, ob ein selbst betriebenes System zum Einsatz kommt oder ob auf einen der zahlreichen Anbieter, die solche Dienste auf dem Markt bereitstellen, zurückgegriffen werden soll.
Es gibt relativ einfache selbst betriebene Konferenzsysteme, bei dem Menschen wie bei einem spontanen Treffen in einer Kaffeeküche oder unter Nachbarn auf der Straße zusammenkommen und dann miteinander interagieren. Es gibt komplexere selbst betreibbare Systeme, die beispielsweise einen virtuellen Vorraum bieten, bei denen neue Teilnehmende virtuell anklopfen müssen, bevor eine Leitung oder Moderation die neuen Teilnehmenden in die Konferenz hineinnimmt und dann obendrein die Sendung der Videobilder und Audiodaten steuern kann. Solche Konferenzsysteme kommen zunehmend in Bildungsplattformen zum Einsatz. Weitere Beispiele sind Messengerdienste, die Echtzeitübertragung von Audio- und Videodaten ermöglichen – zumindest in einem Zwei-Personen-Gespräch.
Eine zusätzliche Parallele lässt sich bei der Frage der Zugänglichkeit und Sicherheit ziehen: Können alle Teilnehmenden den realen Sitzungsraum einfach erreichen und drohen beim Aufenthalt keine Risiken, etwa durch Baumängel? In der Welt der Videokonferenzen lauten diese Fragen sinngemäß, ob spezielle technische Voraussetzungen wie Hard- und Software (etwa Apps) erforderlich sind und ob die Informationssicherheit, etwa durch schadhafte Software, gefährdet ist.
Es gibt aber auch Grenzen der Analogie: Anders als bei der Anmietung von Räumlichkeiten für eine Veranstaltung stellen sich bei Videokonferenzsystemen unmittelbar Fragen der datenschutzrechtlichen Verantwortlichkeit, denn es werden Video- und Audiodaten von Teilnehmenden verarbeitet, teilweise die Sitzungen auch eigens gespeichert. Hinzu kommen in jedem Fall technische Metadaten darüber, welche Person wann von welchem IT-System an welcher Konferenz teilgenommen hat. Darüber hinaus kann es sich bei den Inhaltsdaten um vertraulich zu haltende Informationen wie personenbezogene Daten Dritter handeln, wenn beispielsweise in einer Konferenz über Personen gesprochen wird.
Dies führt relativ schnell zu der Frage, inwieweit der technische Betreiber eines Videokonferenzsystems Kenntnis von den Inhalten nehmen kann. Zumindest bei Zwei-Personen-Gesprächen bieten die meisten Systeme eine Ende-zu-Ende-Verschlüsselung der Gesprächsinhalte an; mittlerweile gibt es auch Systeme, die bei Mehr-Personen-Konferenzen die Daten so verschlüsseln, dass der technische Betreiber keine Einsicht in die Daten bekommt. Somit sollten Verantwortliche ein System bzw. einen Anbieter wählen, das bzw. der diese Funktionalität bereitstellt. Allerdings sind bei einer effektiven Ende-zu-Ende-Verschlüsselung einer Videokonferenz bestimmte Funktionen wie Telefoneinwahl oder zentrale Aufzeichnung (derzeit) nicht möglich.
Während eine eigenständig betriebene Konferenzplattform aus datenschutzrechtlicher Sicht vergleichsweise einfach ist, stellen sich bei der Nutzung von Systemen Dritter zahlreiche Fragen – bis hin zu der Frage, welche Datenverarbeitung in Bezug auf (Meta-)Daten der Teilnehmenden erfolgt und inwieweit der Systemanbieter dafür allein oder gemeinsam verantwortlich ist. Teilweise berufen sich außereuropäische Anbieter auf (mittlerweile ungültige) Rechtsgrundlagen wie Privacy Shield.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat Anforderungen an Videokonferenzsysteme in einer Orientierungshilfe sowie einer Checkliste zusammengestellt:
https://www.datenschutzzentrum.de/artikel/1343-Orientierungshilfe-Videokonferenzsysteme.html
Kurzlink: https://uldsh.de/tb39-6-32
Was ist zu tun?
Die zu Beginn der Coronakrise oft recht hemdsärmelig eingeführten Verfahren für Videokonferenzen müssen auf ein solides rechtliches und technisches Fundament gestellt werden.
6.3.3 Corona-Handreichungen zu Homeoffice und Videokonferenzen
Plötzlich … arbeitet man im Homeoffice oder nimmt an Videokonferenzen teil. Die Coronapandemie hat den Arbeitsalltag und die Arbeitsabläufe von einem Tag auf den anderen verändert, und viele Beschäftigte fanden sich unvermittelt im Homeoffice wieder.
Auch für viele Behörden und Unternehmen wie auch für ihre Mitarbeiterinnen und Mitarbeiter war das neu. Sie mussten innerhalb kurzer Zeit die Heimarbeitsplätze mit der entsprechenden Technik ausrüsten und auch die Arbeitsabläufe und die Kommunikation mit den Kolleginnen und Kolleginnen untereinander organisieren. Das bedeutete in vielen Fällen Improvisation. Damit die Arbeit im Homeoffice nicht zu einem Datenschutzrisiko wird, hat das ULD zwei Handreichungen veröffentlicht. Beide geben einen Überblick darüber, wie man mithilfe von einfachen Maßnahmen in der Übergangszeit – zwischen der improvisierten Aufrechterhaltung des Arbeitsalltags bis hin zu einem technisch und organisatorisch geregelten Arbeitsablauf – personenbezogene Daten gegen eine unberechtigte Kenntnisnahme schützen kann.
Die Veröffentlichung „Datenschutz: Plötzlich im Homeoffice – und nun?“ beschreibt einfache Regeln und Hinweise für den Umgang mit personenbezogenen Daten, die alle Mitarbeitenden an ihren Homeoffice-Arbeitsplätzen umsetzen können. Dabei werden verschiedene praktische und organisatorische Szenarien betrachtet, wie
- der Transport von Dokumenten und IT-Geräten vom Arbeitsplatz ins Homeoffice,
- die Einrichtung des Arbeitsplatzes im Homeoffice,
- organisatorische Fragestellungen, die in der Kommunikation mit Vorgesetzten und im Kollegium geklärt werden müssen, und
- Sicherheitsmaßnahmen, die am Arbeitsplatz im Homeoffice umgesetzt werden können, auch wenn es noch keine allgemeinen Maßnahmen in Form von Betriebs- bzw. Dienstanweisungen gibt.
Die Veröffentlichung „Datenschutz: Plötzlich Videokonferenzen – und nun?“ beschäftigt sich im Gegensatz zu anderen Veröffentlichungen (siehe auch Tz. 6.3.2) nicht mit den Vor- bzw. Nachteilen einzelner Videokonferenzsysteme, sondern legt den Schwerpunkt auf einfache Regeln und Hinweise für den Umgang mit personenbezogenen Daten beim Einsatz von Videokonferenzen.
Mit der Übertragung von Bildern und Tönen von Personen werden automatisch personenbezogene Daten übertragen, je nach Inhalt der Konferenz können noch sensiblere oder weitere Daten von Dritten hinzukommen. Personen, die eine Videokonferenz organisieren, und Personen, die an einer Videokonferenz teilnehmen, können unterschiedliche Maßnahmen zum Schutz personenbezogener Daten treffen. Aus diesem Grund werden sie in dieser Handreichung differenziert betrachtet.
Nach einer grundsätzlichen Betrachtung, ob eine Videokonferenz für einen bestimmten Zweck das richtige Kommunikationsmittel darstellt, und einer Identifizierung, welche personenbezogenen Daten während der Videokonferenz betroffen sein können, orientiert sich die Handreichung an einem typischen Ablauf einer Videokonferenz:
- Schon bei der Vorbereitung können viele datenschutzrechtliche Probleme vermieden werden, z. B. bei der Auswahl der Technik oder der Gestaltung des Umfelds.
- Sowohl vor als auch während der Videokonferenz sollten die angebotenen Funktionen daraufhin überprüft werden, ob eine datenschutzfreundliche Voreinstellung möglich ist, z. B. Aufnahmefunktion, Integration von sozialen Medien usw.
- Auch mit dem eigenen Verhalten während einer Videokonferenz kann vermieden werden, dass sensible Informationen weitergegeben werden, z. B. durch das Ausschalten der Kamera, wenn unbeteiligte Personen in das Sichtfeld der Kamera kommen.
Schon der Name dieser Corona-Veröffentlichungen „Plötzlich … – und nun?“ gibt einen Hinweis auf die zeitliche Eingrenzung dieser Hinweise. Sie dienen lediglich zur Überbrückung
- einer improvisierten Lösung,
- einer konzeptionellen Phase, in der eine der Datenverarbeitung angemessene Erforderlichkeits- und Risikobetrachtung durchgeführt wird sowie technische und organisatorische Maßnahmen zu Datenschutz und Datensicherheit festgelegt werden,
- bis hin zu dokumentierten Betriebs- bzw. Dienstanweisungen, die die Mitarbeitenden über die zu treffenden Verhaltensregeln informieren.
Die Veröffentlichungen können auf der Webseite des ULD heruntergeladen werden:
https://www.datenschutzzentrum.de/uploads/it/uld-ploetzlich-homeoffice.pdf
Kurzlink: https://uldsh.de/tb39-6-33a
https://www.datenschutzzentrum.de/uploads/it/uld-ploetzlich-videokonferenzen.pdf
Kurzlink: https://uldsh.de/tb39-6-33b
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |