Home / Aktuelles & Termine / it.sec blog

Die Möglichkeit einer automatischen Weiterleitung von der geschäftlichen auf die private E-Mail-Adresse erscheint als Vereinfachung für den Arbeitnehmer, da er damit alle notwendigen Mails an einem Ort abrufen kann.

Ein solches Vorgehen ist allerdings datenschutzrechtlich äußerst bedenklich. Eine automatische Weiterleitung auf die private E-Mail-Adresse stellt eine Datenübermittlung an Dritte dar, da der Anbieter des privaten Accounts in der Regel nicht auch Teil des Unternehmens des Mitarbeiters ist. Darüber hinaus kann durch eine solche Übertragung auch eine Übermittlung in einen Drittstaat ohne angemessenes Datenschutzniveau stattfinden, weil z.B. die Server des Dritten dort angesiedelt sind.

Eine solche Übermittlung wäre nur mit der Einwilligung der betroffenen Person (also des Absenders) oder mit einer anderen geltenden Rechtsgrundlage zulässig. Beides liegt regelmäßig nicht vor. Daher sollte von einer derartigen Weiterleitung unbedingt abgesehen werden.

Daher sollte der Verantwortliche solche unbefugten Datenübermittelungen verhindern und den Mitarbeitern die Einrichtung und Nutzung einer solchen Weiterleitung nachweislich verbieten. Dies ist insbesondere wichtig, da unbefugte Datenübermittlungen gemäß der Datenschutzgrundverordnung (DSGVO) bußgeldbewehrt sind.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Ein Passwort ist eines der wichtigsten Mittel, die eigenen oder betrieblichen personenbezogenen Daten zu schützen. Dabei steht doch aber immer auch die Frage im Raum, wie ein solches Passwort zu gestalten ist, damit es die Daten auch nachhaltig schützen kann.

Bisher waren die Vorgaben, was ein sicheres Passwort ausmacht, recht klar. Die Verwendung von Passwörtern mit mind. 8 Zeichen bestehend aus einer Kombination von Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen sowie ein Passwortwechsel alle 90 Tage sollten einem Hacker die Arbeit besonders erschweren.

Vor Kurzem hat jedoch das National Institute of Standard and Technology (NIST), welches diese Regeln erst ins Leben rief, diese Annahme revidiert. Der ursprüngliche Autor dieser Vorgaben, Bill Burr, hatte dazu auch erklärt, dass die damaligen Annahmen ein Irrtum gewesen seien.

Dies ist nicht darauf zurückzuführen, dass die Vorgaben damals generell falsch waren, doch aber darauf, dass sich seit 2003, das Veröffentlichungsdatum der alten Passwort-Regeln, die Technik erheblich weiterentwickelt hat. Auch haben die zahlreichen Hackerangriffe der letzten Zeit dafür gesorgt, dass es ausführliche Wörterbücher von verwendeten Passwörtern gibt, in welchen Angreifer „nachschlagen“ können.

Es ist also in der heutigen Zeit um vieles einfacher als noch vor 14 Jahren, Passwörter mithilfe einer Software auszulesen.

Daher ist ein neues Herangehen an die Passworterstellung angebracht. Das NIST hat in seinem neu veröffentlichten Leitfaden festgestellt, dass besonders die Passwortlänge eine entscheidende Rolle bei der Sicherheit spielt.

Es wird geraten, möglichst lange Passwörter mit mindestens 12 Zeichen und einer zufälligen Zeichenabfolge zu vergeben, also z.B. eine Wortreihe, die logisch keinen Sinn ergibt, wie SchuhDatenschutzRegen. Sonderzeichen können ebenso nützlich sein, aber auch beim Einsatz dieser gilt, ein Muster bei der Passwortvergabe, das einfach zu identifizieren ist, sollte vermieden werden. Denn Software, welche versucht Passwörter auszulesen, kann dies schneller tun, wenn dem Passwort ein Muster zugrunde liegt.

Auch sollten zu jeder Zeit für unterschiedliche Portale oder Anwendungen verschiedene Passwörter verwendet werden. Denn sollte doch einmal ein Passwort in unbefugte Hände geraten, sind nicht auch noch alle anderen Anwendungen oder Benutzerkonten in Gefahr, ausgespäht zu werden.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Am 22.08.2017 hatten wir über die bekannt gewordene Datenschutzverletzung der Berliner Verkehrsbetriebe (BVG) berichtet.

Mittlerweile hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Prüfaktion bei der BVG herausgefunden, dass dem leitenden Angestellten Zugangsrechte für ein Laufwerk eingerichtet wurden, das nicht nur vom Personalrat, sondern ebenso von der Schwerbehindertenvertretung sowie der Frauenbeauftragten genutzt wird, und auf welchem sich auch Dateien befanden, die besondere Kategorien personenbezogener Daten enthielten. Der Führungskraft waren damit Zugriffe auf die dort liegenden Unterlagen möglich, wobei mindestens ein Dokument auch „geöffnet, angesehen und ausgedruckt“ worden sein soll (die Pressemitteilung ist abrufbar unter https://datenschutz-berlin.de/content/nachrichten/pressemitteilungen).

Die Aufsichtsbehörde stellte des Weiteren fest, dass nicht nur ein unbeabsichtigter Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen, sondern „erhebliche Mängel in der Datenschutzorganisation“ zu der Datenschutzverletzung geführt hätten. Neben mangelnder Maßnahmen zur Trennungskontrolle, gebe es keinen ausreichend definierten Prozess, nach welchem Berechtigungen dokumentiert vergeben werden. Auch die zum Zwecke der Datenschutzkontrolle notwendigen Protokollierungen, um Zugänge zum Laufwerk sowie Zugriffe auf die dort enthaltenen Dateien aufzuzeichnen, wurden nicht vorgenommen. Zudem sei die BVG auch ihren Melde- und Benachrichtigungspflichten nach Bekanntwerden der Datenschutzverletzung nicht unverzüglich nachgekommen.

Richtigerweise betont die Aufsichtsbehörde in ihrer Pressemitteilung, dass die BVG kein Einzelfall sei, sondern viele Unternehmen immer noch zu wenig für den Schutz personenbezogener Daten, für die sie verantwortlich sind, täten. Diese sollten sich bewusst sein, dass ab dem 25.05.2018 hierfür Bußgelder in Höhe von bis zu 10.000.000 Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Am Freitag der vergangenen Woche hat die Gewerkschaft Verdi den Berliner Verkehrsbetrieben (BVG) vorgeworfen, sich Dateien der Personalvertretung nicht nur zugänglich gemacht, sondern diese dann auch genutzt zu haben.

Einem leitenden Angestellten sollen Zugangsrechte für Laufwerke eingerichtet worden sein, die von den Personalräten für ihre Aufgaben genutzt werden und auf welchen zahlreiche Dokumente, u.a. mit sensiblen Beschäftigtendaten, zu finden gewesen sind.

Die Pressestelle der BVG dementiert eine vorsätzliche Handlung; es soll sich vielmehr um einen unbeabsichtigten Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen gehandelt haben. Dieser Fehler wurde 14 Tage später bekannt, woraufhin die Zugangsrechte umgehend wieder entzogen wurden. Einsicht sei in die dort gespeicherten Dateien nicht genommen worden.

Dieser Darstellung des Vorfalls als einen bloßen IT-Fehler, folgt Verdi nicht. Im Gegenteil, es wird von der Gewerkschaft sogar die Erstattung einer Strafanzeige gegen die BVG geprüft.

Zumindest kann man hier wohl eine Datenschutzverletzung i.S.v. Art. 4 Nr. 12 Datenschutzgrundverordnung (DSGVO) annehmen, da personenbezogene Daten unbefugt offengelegt wurden; hierbei ist es unerheblich, ob dies fahrlässig oder vorsätzlich geschah oder ob der leitende Angestellte, dem die Daten angeblich offengelegt wurden, tatsächlich Einsicht genommen hat oder nicht. Daher bedarf es auf jeden Fall der Verbesserung der Datensicherheit, damit ein solcher Vorfall sich nicht wiederholt.

Sofern es sich tatsächlich um eine absichtliche Zugangs- und Zugriffsbeschaffung durch die BVG handelt, wäre dies allerdings eine schwerwiegende Datenschutzverletzung.

 

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Sowohl bei Arbeitgebern als auch bei Arbeitnehmern wird das Home-Office immer beliebter. Es bringt sehr viele Vorteile für beide Seiten mit sich! Jedoch sollte aus datenschutzrechtlicher Sicht so einiges beachtet werden. Um nur ein paar Punkte zu nennen, sollten sowohl Arbeitgeber als auch Arbeitnehmer in Sachen Datenschutz zusammenarbeiten und folgende Vorgaben beachten:

  • Der zur Verfügung gestellte PC/Notebook ist in einem von den anderen Wohnungsräumen klar separierten Arbeitszimmer aufzustellen, wobei das Arbeitszimmer verschließbar sein muss.
  • Der Bildschirm ist so aufzustellen, dass keine unbefugte Einsichtnahme (weder im Zuge des Betretens des betreffenden Arbeitszimmers noch durch Beobachtung durch etwaige Fenster) stattfinden kann.
  • Ordnungsgemäße Entsorgung datenschutzrelevanter Datenträger und Unterlagen, wenn diese nicht mehr benötigt werden.
  • Sollten Unterlagen mit Daten, die dem Datengeheimnis unterliegen, am häuslichen Arbeitsplatz bearbeitet werden, dürfen diese außerhalb der Telearbeit ausschließlich in verschließbaren Behältnissen gelagert werden. Dies gilt auch für den Transport von Unterlagen zwischen Dienststelle und häuslichem Arbeitsplatz.
  • Die mit Telearbeit betrauten Mitarbeiter haben für ihre betriebliche Tätigkeit im Home-Office ausschließlich IT-Komponenten (Hardware und Software) vom Arbeitgeber einzusetzen und dürfen an den Einstellungen keine Änderungen vornehmen sowie keine weiteren IT-Komponenten anschließen.
  • Auf dem PC/Notebook ist ein aktueller Virenscanner zu installieren.
  • Die Zugangs- und Zugriffspassworte sind unter Einhaltung der Komplexitätsvorschriften nach 90 Tagen zu ändern.
  • Die Bildschirmsperre wird bei einer fehlenden Aktivität von 5 Minuten automatisch aktiviert und darf nur gegen entsprechende Authentifizierung (Passworteingabe) aufgehoben werden.

Damit Ihnen datenschutzrechtlich auch im Home-Office nichts anbrennt, sollten Sie einheitliche Regelungen implementieren und diese auch regelmäßig kontrollieren. Andernfalls machen Sie sich schnell haftbar, wenn im Home-Office Datenpannen passieren. Dies kann mit In-Kraft-Treten der Datenschutzgrundverordnung im Mai 2018 richtig teuer werden.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Bei Anmeldungen an Datenverarbeitungssystemen müssen die Benutzer eindeutig identifiziert und authentisiert werden, um eine ausreichende Vertraulichkeit und Integrität der Daten (Zugangs-, Zugriffs- und Eingabekontrolle), wie es in Art. 32 Datenschutzgrundverordnung (DSGVO) gesetzlich vorgeschrieben ist, zu gewährleisten. Dies ist mit einem unpersonalisierten Benutzer-Account nicht ohne Weiteres möglich:

  • Bei nicht-personalisierten Benutzerkonten ist es nicht möglich, je nach Aufgabenstellung oder Tätigkeitswechsel, die Zugriffsrechte der einzelnen Benutzer innerhalb des Datenverarbeitungssystems differenziert zu vergeben (Lesen, Ändern, Löschen).
  • Eine Eingabekontrolle kann effektiv nur erfolgen, wenn Benutzerkonten nicht von verschiedenen Personen verwendet werden, da nur so nachvollziehbar ist, wer wann auf welche Daten Zugriff genommen hat.
  • Die Vertraulichkeit der Passwörter als auch Passwortlänge, -komplexität sowie ein regelmäßiger Passwortwechsel sind so ebenfalls nicht gewährleistet: Bei einem Passwortwechsel müsste das Passwort den anderen Benutzern, die ebenfalls über diese Kennung, Zugang erhalten, mitgeteilt werden. Die Gefahr, dass Passwörter durch Dritte ausgespäht werden, ist hierbei sehr hoch. Insbesondere wenn die Passwörter aus pragmatischen Gründen notiert und z.B. per E-Mail weitergegeben werden. Zudem besteht die Gefahr, dass einfache Passwörter gewählt werden, da sie leichter mitteilbar und für diejenigen Benutzer, die das Passwort nicht selbst gewählt haben, besser zu merken sind oder aus Bequemlichkeit das Kennwort oft nicht zeitnah bzw. gar nicht mehr geändert wird oder Wiederholungen vergangener Passwörter verwendet werden. Hierbei ist die Gefahr, dass potentielle Angreifer durch Ausprobieren das Passwort leicht erraten, sehr hoch.
  • Bei einem ggf. erfolgten missbräuchlichem Einsatz von Zugangsdaten, die von mehreren Benutzern gleichzeitig genutzt werden können, kann niemals zweifelsfrei nachgewiesen werden, wer nicht den festgestellten Missbrauch begangen hat, da die Kennung und auch das Passwort nicht eindeutig einem Benutzer zugeordnet werden können. Nicht-personalisierte Benutzerkonten werden in der Praxis daher bevorzugt von Unbefugten genutzt, um zu verschleiern, wer für ein entsprechendes Handeln verantwortlich ist.

Sabrina Kieselmann
Beraterin für Datenschutz

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse Irland IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31