Home / Aktuelles & Termine / it.sec blog

Art. 88 Datenschutzgrundverordnung (DSGVO) gibt den Mitgliedstaaten die Möglichkeit, spezifischere Vorschriften zum Schutz der Beschäftigten bei Verarbeitung ihrer personenbezogenen Daten durch den Arbeitgeber zu erlassen.

Dabei müssen mindestens die folgenden Bereiche geregelt werden, damit durch die damit verbundene Datenverarbeitung die Grundrechte und schutzwürdige Interessen der Beschäftigten gewahrt bleiben:

- Datenübermittlungen innerhalb einer Unternehmensgruppe

- Überwachungssysteme am Arbeitsplatz

Die Vorschriften müssen zudem für die Beschäftigten verständlich und in leicht zugänglicher Form in einer klaren und einfachen Sprache verfasst sein und Vorgaben enthalten, dass der Arbeitgeber seinen Informationspflichten gegenüber den Beschäftigten nachzukommen und die Verarbeitungsprozesse transparent zu machen hat. Die Beschäftigten müssen nachvollziehen können, ob, von wem und zu welchen Zwecken ihre Daten verarbeitet werden.

Derzeit sieht ein entsprechender Gesetzesentwurf die Regelung des Beschäftigtendatenschutzes in Deutschland mit folgenden Neuerungen vor:

- An die Wirksamkeit von Einwilligungen der Beschäftigten in die Verarbeitung ihrer Daten werden strengere Anforderungen gestellt.

- Die Datenverarbeitung ist auch auf Grundlage von Kollektivvereinbarungen (d.h. Tarifverträge und Betriebsvereinbarungen gemäß Erwägungsgrund 155 DSGVO) oder zur Erfüllung der Rechte und Pflichten der Interessenvertretungen der Beschäftigten zulässig.

- Die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) soll zudem zulässig sein, wenn dies zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist.

- Leiharbeiter werden als Beschäftigte des entleihenden Unternehmens definiert.

Die weiteren Anforderungen aus Art. 88 DSGVO wurden dabei jedoch nicht berücksichtigt. So sind beispielsweise keine Regelungen hinsichtlich der Datenverarbeitung innerhalb eines Konzerns, zum Schutz des Eigentums des Arbeitgebers oder zur Aufdeckung von Pflichtverletzungen, die noch keine Straftaten darstellen, aber zur Kündigung des Mitarbeiters durch den Arbeitgeber berechtigen, enthalten.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) hat am 1. Juni 2017 ein Positionspapier veröffentlicht, das datenschutzrechtliche Empfehlungen zum automatisierten und vernetzten Fahren ausspricht (vgl. https://www.bfdi.bund.de/SharedDocs/Publikationen/Allgemein/DatenschutzrechtlicheEmpfehlungenVernetztesAuto.html?nn=5217154).

Die 13 Empfehlungen sind im Wesentlichen Umsetzungen der Datenschutzgrundverordnung für den Betrieb intelligenter Fahrzeuge. So darf die Datenverarbeitung im Fahrzeug und für datenbasierte Dienste nur im notwenigen Umfang auf personenbezogene Daten zugreifen (Empfehlung 3). Nach dem Grundsatz "Privacy by default" müssen datenschutzfreundliche Voreinstellungen etabliert werden (Empfehlung 9). Die Systeme müssen einen wirksamen Schutz vor Cyber-Angriffen bieten (Empfehlung 13). Die Empfehlungen gehen nicht ins Detail, sind aber hilfreiche Richtlinien bei der Gestaltung datenschutzkonformer IT-Systeme in intelligenten Fahrzeugen.

Die 13 Empfehlungen wurden anlässlich eines Symposiums zum Datenschutz im automatisierten und vernetzten Fahrzeug auf Einladung der BfDI veröffentlicht. In ihrer Eröffnungsrede wies die BfDI darauf hin, moderne Fahrzeuge würden bereits jetzt Daten zum Fahrverhalten und den zurückgelegten Wegen sammeln, aus denen sich Persönlichkeitsprofile erstellen ließen. Fahrer müssten daher die volle Hoheit über die Verwendung personalisierter Fahrzeugdaten haben. Über jede Datenverwendung müsse im Sinne einer vollständigen Transparenz unterrichtet werden (Näheres finden Sie unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2017/13_SymposiumAutomatisiertesFahren.html).

Die Fahrzeugindustrie, die nach dem Diesel-Abgasskandal viel Vertrauen verloren hat, versucht solches wiederzugewinnen.
BMW hat in einer Pressemitteilung vom 30. Mai 2017 erklärt, der „Schutz der Fahrzeugdaten gehöre zum Verständnis von Premium beim hochvernetzten Fahrzeug“ (vgl. unter https://www.press.bmwgroup.com/deutschland/article/detail/T0271366DE/bmw-group-startet-bmw-cardata:-neue-und-innovative-services-fuer-den-kunden-%E2%80%93-sicher-und-transparent?language=de). Kunden sollten die Möglichkeit erhalten zu entscheiden, was mit den Daten passiere. Das soll mit BMW CarData möglich sein. Fahrzeugdaten, wie der durchschnittliche Kraftstoffverbrauch, würden verschlüsselt über eine im Fahrzeug eingebaute SIM-Karte an BMW-Server übertragen, von wo Service-Anbieter nach Einwilligung des Kunden diejenigen Daten verschlüsselt beziehen könnten, die sie für ihre Dienstleistungen benötigen. Per Mausklick könne der Fahrer Datenfreigaben erteilen, sie ablehnen oder bereits erteilte Freigaben entziehen. Der Fahrer könne auch jederzeit über ein Portal einen Report über weitergegebene Daten anfordern.

Die weitere Diskussion um durch Fahrzeuge bzw. in Fahrzeugen generierte Daten bleibt spannend.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Die Aufsichtsbehörden für den Datenschutz der Länder Frankreich, Niederlande, Belgien, Spanien und des Bundeslandes Hamburg, haben in einer gemeinsamen Aktion die Praktiken von Facebook bezüglich des Datenschutzes geprüft.

Im Ergebnis (https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act) befand die CNIL, dass sowohl Facebook Inc. als auch Facebook Ireland Ltd. mehrere schwere Verstöße gegen geltendes französisches Datenschutzrecht begangen haben.

Unter anderem wirft die Behörde dem Unternehmen vor, dass die Sammlung von Nutzerdaten, um sie zu bündeln und für personalisierte Werbung zu verwenden, auf keiner Rechtsgrundlage gründet und die Sammlung der Daten durch unzulässiges Tracking mittels des ‚datr‘ Cookies erfolgt.

Eine angemessene Widerspruchslösung für die betroffenen Personen sei nicht ausreichend vorhanden. Weiterhin seien die Informationen bezüglich des Trackings vom Nutzerverhalten auf weiteren Websites für die betroffenen Personen nicht einwandfrei transparent, um nachvollziehen zu können wo und in welchem Umfang Daten erhoben werden.

Somit sei das Vorgehen des Unternehmens rechtswidrig und auch in so umfangreichem Maß begangen, dass es das höchstmögliche Bußgeld von 150.000 Euro aufgrund einer Datenschutzrechtsverletzung rechtfertigt.

Facebook beruft sich darauf, dass für das Unternehmen lediglich das irische Datenschutzrecht gelte, da es nur in Irland einen Sitz habe und somit Frankreich nicht für das Unternehmen zuständig sei.

Diesem Einwand wird von der CNIL aber ebenfalls Rechnung getragen (https://www.cnil.fr/fr/node/23602). Sie begründet ihre Zuständigkeit damit, dass Facebook im Zuge des Verkaufs von Werbung zahlreiche Büros in verschiedenen europäischen Ländern unterhalte und dieses Geschäft untrennbar mit der Verarbeitung der personenbezogenen Daten verbunden sei. Einzelstaatliches Datenschutzrecht eines jeden Mitgliedstaats komme damit zur Anwendung, in welchen diese Niederlassungen ihre Tätigkeit ausüben. Auf die Art der Niederlassung, also ob es sich dabei um Tochtergesellschaften mit eigener Rechtspersönlichkeit, unselbständige Zweigstellen oder lediglich kleine Büros handele, sei dabei unerheblich.

Dem Unternehmen stehen noch 4 Monate zu, in denen es Widerspruch gegen den Beschluss der CNIL einlegen kann.

Spätestens aber ab dem 25. Mai 2018 wird sich Facebook Inc. nicht mehr darauf berufen können, dass für andere Behörden keine Zuständigkeit besteht. Denn mit der DSGVO tritt das Marktortprinzip in Kraft, womit auch für jedes außereuropäische Unternehmen, das im Gebiet eines Mitgliedstaats agiert, die DSGVO zwingend gilt. In diesen Fällen ist jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats zuständig.

Allerdings wird mit der DSGVO auch der One Stop Shop-Mechanismus (OSS) eingeführt. Danach ist im Normalfall bei einer Datenverarbeitung, die grenzüberschreitend in mehr als einem Mitgliedstaat erfolgt, die Aufsichtsbehörde des Mitgliedstaates zuständig, in dem das Unternehmen seine Hauptniederlassung oder seine einzige Niederlassung innerhalb der Europäischen Union hat – in diesem Fall wäre dann wohl doch die irische Aufsichtsbehörde zuständig. Allerdings entscheidet diese Behörde nicht allein, sondern muss die anderen Aufsichtsbehörden einbinden. Zudem ergibt sich das maßgebliche Datenschutzrecht in Irland dann ebenso aus der DSGVO.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

 

Nun ist es noch knapp 1 Jahr, bis die Datenschutzgrundverordnung der Europäischen Union unmittelbar in allen EU-Mitgliedsstaaten in Kraft tritt. Der Stichtag ist mittlerweile sicher allen bekannt. Es ist der 25.5.2018.

Ein Jahr klingt lang, ist es aber nicht. Bedenken Sie, dass Sie im kommenden Jahr in Sachen Datenschutz weitaus mehr Arbeit leisten müssen als die vergangenen Jahre. Ihr Ziel sollte es sein, bis Ende des Jahres einen Großteil der neuen Vorschriften umgesetzt zu haben, damit Sie dann noch genügend Zeit für den Feinschliff haben.

Die Vorbereitung auf die Datenschutzgrundverordnung ist mit viel zusätzlichem Aufwand Ihrerseits und Ihres Datenschutzbeauftragten verbunden. Sollten Sie noch keinen Datenschutzbeauftragten haben, ist es an der Zeit sich darum zu bemühen. Ohne qualifizierte Unterstützung ist die Umsetzung der Datenschutzgrundverordnung nur schwer zu meistern.

Bedenken Sie, es muss nicht nur der Datenschutz aktuell am Laufen gehalten werden, sondern die neuen Vorschriften sind Stück für Stück in Ihrem Unternehmen zu integrieren. Da kommt, je nachdem wie Sie bisher den Datenschutz in Ihrem Unternehmen gehandhabt haben, viel Arbeit auf Sie zu. Diese sollten Sie aufgrund der drohenden sehr hohen Bußgelder aber nicht scheuen.

Ein Jahr ist noch ein gutes Zeitpolster, zu sehr trödeln sollte man mit der Umsetzung der neuen Vorschriften jedoch nicht.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Im Rahmen der eSafety-Initiative der Europäischen Kommission zur Erhöhung der Straßenverkehrssicherheit durch Nutzung von Informations- und Kommunikationstechnologien (vgl. unter http://ec.europa.eu/information_society/doc/factsheets/048-esafety-de.pdf) soll die Ausstattung von Neufahrzeugen mit der eCall-Technologie verbindlich werden. Ein eCall ist ein vom PKW im Falle eines Unfalls automatisch oder manuell ausgehender Notruf an die Rufnummer 112. Die automatische Auslösung erfolgt über im Fahrzeug eingebaute Sensoren. Über das Mobilfunknetz werden Daten zum Unfall übermittelt und es wird eine Tonverbindung hergestellt (Art. 2 der Delegierten Verordnung (EU) Nr. 305/2013 der Kommission).

Ursprünglich sollte nach einem entsprechenden Beschluss der Europäischen Kommission die Verfügbarkeit dieser Technologie für Neuwagen ab Oktober 2015 verbindlich sein (vgl. unter http://europa.eu/rapid/press-release_IP-13-534_de.htm). Aufgrund datenschutzrechtlicher Bedenken kam es jedoch zu Verzögerungen im Gesetzgebungsverfahren. Nun sollen erst ab Ende März 2018 Neuwagenkäufer von dem System profitieren können.

Aus Sicht des Datenschutzes ist aber das Folgende zu beachten: Der automatisch im Falle eines Verkehrsunfalles übertragene Mininmaldatensatz (vgl. unter http://standards.globalspec.com/std/1383302/cen-en-15722) ist standardisiert und enthält unter anderem den Unfallzeitpunkt, die Koordinaten des Unfallortes, die Fahrtrichtung und die Fahrzeugidentifikationsnummer. Zu den damit einhergehenden datenschutzrechtlichen Gefährdungen hat sich bereits im Jahr 2014 die Süddeutsche Zeitung geäußert (vgl. unter http://www.sueddeutsche.de/auto/speicherung-von-bordcomputerdaten-der-spion-in-meinem-auto-1.1875596). Artikel 6 "Privatsphäre und Datenschutz" der Verordnung (EU) 2015/758 enthält bereichsspezifische datenschutzrechtliche Regelungen. Danach dürfen z.B. die erhobenen personenbezogenen Daten nur für die Handhabung von Notfallsituationen verwendet werden (vgl. unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015R0758&from=DE). Die internen Speicher des eCall-Systems müssen automatisch und kontinuierlich gelöscht werden.

Es versteht sich von selbst, dass die über die eCall-Technologie erhobenen Daten auch für Versicherungen (zur Erstellung von Risikoprofilen) und für Drittanbieter (Angebot von kostenpflichtigen Diensten) sehr interessant sind. Daher bleibt abzuwarten, ob Lobbyisten den Erlass von Öffnungsklauseln durchsetzen können.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Laut heute veröffentlichter Pressemitteilung Nr. 74/2017 hat der VI. Zivilsenat des BGH mit Urteil ebenfalls vom heutigen Tage (Aktenzeichen VI ZR 135/13) im Rechtsstreit eines Piratenpolitikers gegen die Bundesrepublik Deutschland auf die Revisionen des Klägers und der Beklagten das Urteil des Landgerichts Berlin (Aktenzeichen 57 S 87/08) aufgehoben und den Rechtsstreit zur erneuten Entscheidung zurückverwiesen.

Hintergrund des Streits ist die Speicherung von dynamischen IP-Adressen durch Webseiten-Betreiber, hier durch verschiedene Bundesministerien. Diese speichern Nutzerdaten wie IP-Adressen, Zugriffszeiten und aufgerufene Seiten. Kern des Rechtsstreits war die Frage, ob dynamische IP-Adressen personenbezogene Daten sind, so dass diese Speicherung unzulässig sein könnte.

Der BGH ist laut Pressemitteilung der Auffassung, dynamische IP-Adressen seien personenbezogene Daten. Daher dürften IP-Adressen nur unter den Voraussetzungen des § 15 Abs. 1 Telemediengesetz gespeichert werden:

Ohne Einwilligung des Nutzers dürfen von diesem genutzte IP-Adressen über den Nutzungsvorgang hinaus nur dann erhoben und gespeichert werden, soweit die Erhebung und Verwendung erforderlich ist, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es laut BGH einer Abwägung mit den Interessen und den Grundrechten und Grundfreiheiten der Nutzer. Da der BGH diese Abwägung nicht vornehmen konnte – es sind noch tatsächliche Feststellungen zu treffen –, hat er den Rechtsstreit zur Klärung dieser Frage zurückverwiesen.

Schon jetzt kann festgehalten werden, dass ohne Einwilligung des Nutzers die Speicherung von IP-Adressen bei kostenfreien Webseiten im Grundsatz unzulässig sein dürfte. Der Nutzungsvorgang ist mit Abruf und Auslieferung einer Webseite, also in der Regel binnen weniger Zehntelsekunden, beendet. Im Einzelfall kann anderes gelten, dazu sind die näheren Umstände zu beurteilen.

Wir beraten hierzu nach ausführlicher Analyse der hoffentlich bald vorliegenden Urteilsgründe gerne.

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Gemäß Art. 33 und 34 Datenschutzgrundverordnung (DSGVO) ist ein Unternehmen verpflichtet, eingetretene Datenschutzverletzungen (z.B. Liegenlassen des Notebooks im Zug, E-Mail-Versand an falschen Empfänger, Hacker-Angriffe) der Aufsichtsbehörde unverzüglich zu melden und ggf. die Personen, deren personenbezogene Daten hiervon betroffen sind, zu benachrichtigen. Ein Verstoß gegen diese Melde- und Benachrichtigungspflichten ist bußgeldbewehrt.

Die Regelungen in Art. 33 und 34 DSGVO sind dabei strenger als die bisherige Regelung in § 42a BDSG, die lediglich eine Meldepflicht vorsah, wenn durch die Datenpanne besonders sensible Daten (z.B. Gesundheitsdaten oder Bankdaten) Dritten zur Kenntnis gelangt sind und den betroffenen Personen dadurch schwerwiegende Beeinträchtigungen drohen.

Mit der Datenschutzgrundverordnung muss der Verantwortliche nämlich nun jede Datenschutzverletzung der Aufsichtsbehörde melden, unabhängig davon ob die Datenschutzverletzung fahrlässig oder vorsätzlich herbeigeführt wurde oder ob dabei Unbefugten tatsächlich personenbezogene Daten offengelegt wurden oder ein Zugang zu personenbezogenen Daten nur eventuell ermöglicht wurde.

Die Meldung muss dabei unverzüglich und innerhalb von 72 Stunden erfolgen. Eine Meldung darf nur dann unterbleiben, wenn der Verantwortliche nachweisen kann, dass die betroffenen Personen durch die Datenschutzverletzung gegenwärtig und zukünftig keinen physischen, materiellen oder immateriellen Schaden (z.B. Identitätsdiebstahl oder -betrug, finanzielle Verluste, Diskriminierung, Rufschädigung) erleiden werden.

Es empfiehlt sich daher, einen entsprechenden Ablaufplan im Unternehmen zu implementieren, um auf solche Datenschutzverletzungen unverzüglich reagieren und die Fristen zur Meldung bzw. Benachrichtigung einhalten zu können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Oftmals wird innerhalb einer Unternehmensgruppe nicht zwischen den einzelnen Unternehmen unterschieden und es werden personenbezogene Daten unüberlegt ausgetauscht, z.B. im Personalwesen oder bei der Einbindung von Kollegen aus anderen Unternehmen in den Kundensupport.

Dabei sind auch die einzelnen Unternehmen einer Unternehmensgruppe zueinander grundsätzlich Dritte. Auch die Datenschutzgrundverordnung (DSGVO) enthält kein Konzernprivileg. Sofern ein Unternehmen personenbezogene Daten, für die es verantwortlich ist, gegenüber anderen Unternehmen, die derselben Unternehmensgruppe angehören, offenlegt, muss diese Offenlegung daher datenschutzrechtlich abgesichert werden:

Der Verantwortliche kann die anderen Unternehmen, die derselben Unternehmensgruppe angehören, als Auftragsverarbeiter einsetzen und diese Auftragsverhältnisse über Verträge zur Auftragsverarbeitung absichern. Hierzu muss der Verantwortliche einen Vertrag zur Auftragsverarbeitung mit jedem Unternehmen oder mit dem Mutterkonzern, welcher wiederum die anderen Unternehmen als weitere Auftragsverarbeiter einsetzt, abschließen. Dies kann über einen Intercompany-Vertrag geregelt werden. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO i.V.m. der bestehenden Datenschutzvereinbarung bzw. dem Intercompany-Vertrag i.S.v. Art. 28 Abs. 3 DSGVO.

Der Datenaustausch innerhalb eines Konzerns ist durch den Erwägungsgrund 48 der DSGVO als „berechtigtes Interesse“ privilegiert. Der Verantwortliche, der Teil einer Unternehmensgruppe ist, darf daher personenbezogene Daten innerhalb der Unternehmensgruppe übermitteln, sofern die empfangenden Unternehmen dieser Unternehmensgruppe ebenso angehören, die empfangenden Unternehmen dieser Unternehmensgruppe ihren Sitz innerhalb der EU/EWR haben, es internen Verwaltungszwecken dient und im Falle einer gemeinsamen Verarbeitung eine Vereinbarung i.S.v. Art. 26 Abs. 1 S. 2 DSGVO geschlossen wurde. Im Fall der gemeinsamen Verarbeitung kann dies in den Intercompany-Vertrag aufgenommen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.

Sofern mit dem konzerninternen Datenaustausch Datenübermittlungen in Drittstaaten verbunden sind (z.B. weil ein Unternehmen seinen Sitz in den USA hat), müssen zusätzlich die Vorgaben der Art. 44 ff DSGVO beachtet werden.

Wir empfehlen, die konzerninternen Datenflüsse zu ermitteln, zu prüfen, auf welcher Rechtsgrundlage diese beruhen und etwaige damit verbundene Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau datenschutzrechtlich abzusichern.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Da die Datenübermittlung an Dritte und die dadurch bedingte Offenlegung personenbezogener Daten eine für die betroffene Person besonders belastende Datenverarbeitung darstellt, muss der Verantwortliche prüfen, ob diese Datenverarbeitung zulässig ist.

Dritte sind dabei Personen oder Stellen außerhalb des Verantwortlichen, davon ausgenommen sind die betroffene Personen selbst sowie die Auftragsverarbeiter.

Die Zulässigkeit der Übermittlung personenbezogener Daten an Dritte bestimmt sich ebenso nach Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO). Danach ist die Übermittlung personenbezogener Daten an Dritte nur zulässig

  • mit wirksamer Einwilligung der betroffenen Person,
  • zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist,
  • zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person,
  • zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses,
  • zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt,
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht schutzwürdige Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person am Ausschluss einer solchen Übermittlung überwiegen,
  • zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person oder
  • zur Erfüllung hoheitlicher Aufgaben, die dem Verantwortlichen übertragen wurden.

Eine mit der Datenübermittlung verbundene Begründung gemeinsamer Kontrolle ist abzusichern über einen Joint Control-Vertrag nach Art. 26 DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Sobald in einem Unternehmen oder einer Behörde eine Verletzung der Informationssicherheit vorliegt, kann es erforderlich sein, eine IT-forensische Untersuchung einzuleiten. Für das methodische Vorgehen derartiger Analysen bestehen zahlreiche Anforderungen, insbesondere zum Datenschutz. Wichtig ist aber auch, die Nachweispflichten im Blick zu haben.

Nachweispflichten bei IT-forensischen Untersuchungen

Zu jedem Zeitpunkt muss die mit der Durchführung der IT-forensischen Untersuchung beauftragte Stelle nachweisen können, dass die analysierten Datenbestände (inkl. Metadaten!) nicht manipuliert wurden bzw. werden konnten. Daher sichert diese Stelle stets zu Beginn Ihrer Tätigkeit relevante Datenbestände in einer Form (üblicherweise mittels bitweiser Imagesicherung und Angabe der zugehörigen Hashwerte), die eine Veränderung infolge von Analysearbeiten faktisch ausreichend ausschließt. Bei einer Post-Mortem-Analyse erfolgt die detaillierte IT-forensische Untersuchung im Labor, bei Live-Forensik muss dagegen direkt am System während der Laufzeit gearbeitet werden („Operation am offenen Herzen“). Deshalb werden bei der Live-Forensik vor allem flüchtige Statusdaten (zu Speicherinhalten, Netzwerkverbindungen und laufenden Prozessen) entsprechend (aber ohne Verwendung der üblichen Systembefehle) gesichert.

Jeder einzelne Analyseschritt muss nachvollziehbar dokumentiert werden. Die Dokumentationen selbst müssen allerdings datensparsam sein und dürfen nur dann personenbezogene bzw. ‑beziehbare Daten angeben, wenn dies für den zu erbringenden Nachweis erforderlich ist. Wenn also beispielsweise bei einem Screenshot ein Personenbezug entbehrlich ist, sind die irrelevanten Stellen, die personenbezogene bzw. ‑beziehbare Daten ausweisen, zu verpixeln. Aus der Dokumentation muss jederzeit zudem ersichtlich sein, dass die durchgeführten Analysen verhältnismäßig waren.

Grundsätzlich sind IT-forensische Untersuchungen ergebnisoffen durchzuführen, so dass sowohl nach belastenden als auch nach entlastenden Belegen zu suchen ist. Ergebnisse durchgeführter IT-forensischer Untersuchungen sind schließlich von dem durchführenden Spezialisten hinsichtlich ihrer Aussagekraft verständlich und für Dritte nachvollziehbar zu bewerten.

DOs and DON’Ts zur IT-Forensik

Zu den absoluten DOs zählen:
  • Vorfall dokumentieren: Was? Wann? Wer? Wie? Wo?
  • Vorfall gemäß Meldewege kommunizieren!
  • Alle Schritte dokumentieren!
  • Keine Daten verändern!
  • Kompetente Beweissicherung einleiten
Zu den absoluten DON’Ts zählen dagegen:
  • NIEMALS den Vorfall außerhalb der Meldewege kommunizieren
  • KEINE direkte Information des/der Betroffenen oder Verursachers
  • KEIN vorschnelles Abschalten von Systemen
  • KEIN zu langes Abwarten vor der Analyse
  • KEIN Zerstören von Beweisen durch gut gemeinte, aber unqualifizierte Handlungen

Bernhard C. Witt
Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit
bcwitt@it-sec.de

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Brexit Bundesarbeitsgericht Bußgeld Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft One Stop Shop Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31