Um E-Mails auf einem dienstlichen Mobilgerät abzurufen und senden zu können, gibt es mehrere Möglichkeiten:
Wir diskutieren die Vor- und Nachteile der drei Ansätze.
Jede:r kennt das. Ehemals neue IT-Geräte sind schnell veraltet, genügen mit der Zeit nicht mehr den neuen technischen Anforderungen und müssen ersetzt werden.
Aber was hat das mit Datenschutz bzw. Datenschicherheit zu tun? – Sehr viel!
Bei der täglichen Arbeit mit IT-Geräten fallen unentwegt Daten an, die auf den eingebauten Festplatten oder portablen Datenträgern (wie CD, DVD, USB-Stick, SD-Card) abgelegt werden. Bei einer nichtfachgerechten Entsorgung oder einer unbedachten Weitergabe nicht mehr benötigter Geräte besteht immer die Gefahr, dass die darauf noch gespeicherten oder nicht fachgerecht gelöschten Inhalte ungewollt in die Hände Dritter fallen. Das gefährdet nicht nur eigene Daten oder geschäftliche Geheimnisse (nach dem GeschGehG) sondern auch den Datenschutz.
Merke!
Eine unbefugte Offenlegung personenbezogenen Daten (bspw. verursucht durch eine nicht fachgerecht gelöschte Festplatte) führt zu einer Datenschutzverletzung.
Ein fachgerechtes Löschen von Daten sollte daher immer oberste Priorität haben.
Festplatten und portable Datenträger verwenden unterschiedliche Speichertechniken. Diese können bspw. magnetbasiert (HDD), halbleiterbasiert (SDD) oder optischbasiert (CD, DVD) funktionieren. Somit erfolgt auch das Löschen mittels unterschiedlicher Technologie.
Allen Speichertechnologien gemein ist, dass die standardmäßig zur Verfügung gestellten Lösch- oder Formatierungsoptionen in den Betriebssystemen, wie der delete- bzw. format-Befehl, das endgültige Löschen aus dem Papierkorb oder das Quick-Format erst einmal ausschließlich ein Löschen des zugehörenden Eintrags im Dateiverzeichnis bewirken. Die zu löschenden Daten sind danach weiterhin auf dem Speichermedium vorhanden und können problemlos ausgelesen werden. Erst wenn der von diesen „gelöschten“ Daten belegte Speicherplatz tatsächlich benötigt wird, erfolgt ein endgültiges Überschreiben mit den neuen Daten und somit das eigentliche Löschen.
„Vollständing gelöscht werden“ können Daten ausschließlich durch mehrfaches Überschreiben des gesamten Festplatte mittels generierten Zufallswerten. Enstprechende Softwareprodukte werden in Vielzahl am Markt angeboten und sind auch als als Freeware-Versionen erhältlich.
Allerdings verbleibt auch bei diesem Verfahren ein geringes Restrisiko des nicht volständigen Löschens. Schuld daran sind sogenannte „bad blocks“. Bei diesen handelt es sich um schlechte Datenblöcke, die vom Speichermedium nicht mehr angesteuert werden können. Ein Überschreiben der in diesem Bereich gespeicherten personenbezogenen Daten ist somit nicht mehr möglich.
Aber Achtung, mit Hilfe entsprechender Software und entsprechenden Aufwand lassen sich auch die „bad blocks“ noch auslesen. Insofern kann auch nach dem mehrfachen Überschreiben unter Umständen noch auf eine geringe Menge an personenbezogenen Daten bzw. Geschäftsgeheimnissen zugegriffen werden.
Was bedeutet das für die Praxis?
Welcher Aufwand für das Löschen personenbezogener Daten oder Geschäftsgeheimnissen in der Praxis betrieben werden muss, lässt sich am besten im Zusammenhang mit der Sensibilität der gespeicherten Daten in Bezug auf ihre Personenbezogenheit bzw. Geheimhaltungsstufe beantworten.
Weitere Informationen zu diesem Thema finden Sie auf den Webseiten des Bundesamtes für Informationssicherheit unter dem Stichpunkt „Daten endgültig löschen“ (www.bsi.de) und auf den Webseiten der BITKOM unter dem Stichpunkt „Sicheres Datenlöschen“ (www.bitkom.org).
Die Aufsichtsbehörde bittet darum:
„… die neue Hausadresse in ihren Datenschutzerklärungen anzugeben, falls dort die BlnBDI als Kontakt genannt wird.“
Diese lautet:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt–Moabit 59–61
10555 Berlin
Die Telefon– und Faxnummern sowie die E–Mail–Adressen bleiben unverändert.
Sofern nicht bereits geschehen, sollte in den Datenschutzerklärungen der Einrichtungen der TU Berlin als Verantwortliche als Präsidentin Prof. Dr. Geraldine Rauch benannt werden.
Am 6. Oktober wählte das Berliner Abgeordnetenhaus Meike Kamp als Berliner Datenschutzbeauftragte – sie tritt die Nachfolge Maja Smoltczyks nach fast einjähriger Vakanz der Position an.
Meike Kamp ist Informatikrechtlerin mit den Schwerpunktthemen E-Privacy, Datenschutzgrundverordnung sowie Medien- und Informationsfreiheit und war bis 2019 bereits als Referatsleiterin bei der Berliner Aufsichtsbehörde.
Neben der Begleitung der Berliner Umsetzung des Berliner Transparenzgesetzes stehen einige Datenschutzthemen auf der Tagesordnung – ihre Vorgängerin setzte sich beispielsweise intensiv mit der Nutzung von Videokonferenzdiensten während der Pandemie auseinander, ein Thema, welches an den Berliner Hochschulen auch nach der Pandemie seine Bedeutung behält.
Cloud-Lösungen werden künftig für staatliche Einrichtungen, Behörden und Bildungseinrichtugnen eine große Rolle spielen. Auf dem Weg zu digitaler Souveränität sind deshalb angemessene Vorgaben wichtig, um Sicherheit und Datenschutz der Anwendungen garantieren zu können. Diese sollten fester Bestandteil öffentlicher Ausschreibungen werden.
Die OSB-Alliance, der Bundesverband von Open Source Anbietern und Anwendern, hat dazu ein Positionspapier veröffentlicht.
Dieses formuliert aus ihrer Sicht erfüllbare Kriterien, die bei der Umsetzung von Cloud-Diensten im öffentlichen Sektor berücksichtigt werden sollen.
Diese beiden Fähigkeiten zur (1) Kontrolle von Datenflüssen sowie zur (2) Nutzung und Gestaltung von Informationstechnologie tragen entsprechend dem Papier zur digitalen Souveränität einer Organisation, einer Einzelperson oder von ganzen Staaten bei.
Wenig überraschend benennen sie Transparenz, Nachvollziehbarkeit und Überprüfbarkeit auf Code-Basis als wesentliche Aspekte für die Sicherheit von Cloud-Diensten. Mögliche Ableitungen von Daten sind nur dadurch zu vermeiden – Open Source Code sei (auch) deswegen für alle Teile von Cloud-Anwendungen zu bevorzugen.
Neben vielen weiteren Punkten wird (Daten-)portabilität eingefordert, um dem Lock-in-Problem zu begegnen: Es muss möglich sein, den Cloud-Anbieter zu wechseln (sonst gern als Multi-Cloud-Strategie bezeichnet).
Leider sieht es bei Cloud-Anwendungen zur Zeit nicht danach aus, dass die oben genannten Punkte erfüllt werden können.
Der Cloud-Markt wird derzeit durch die großen US-Firmen bestimmt, d.h. Amazon mit AWS, Microsoft mit Azure und Google mit Google Cloud. Sie bieten nur Garantien vertraglicher Art – unabhängige und regelmäßige Code-Überprüfungen, wie sie in etablierten Open Source Projekten üblich sind, gibt es nicht.
Die Auftraggeber müssen darauf vertrauen, dass in den Rechenzentren der Anbieter alles mit rechten Dingen zugeht.
Die dort eingesetzte Cloud-Technologie ist -zumindest bei Platform as a Service (PaaS) und Software as a Service (SaaS)– Anbieter-spezifisch, proprietär und nicht Open Source. Der Auftraggeber kann somit keine echte Kontrolle über die Verarbeitungstätigkeiten haben, d.h. wer Zugriff auf Daten und Code hat und wo diese verarbeitet werden. Ein Wechsel von Anwendungen weg von einem dieser Anbieter ist ein unvorhersagbares Mammut-Projekt – es ist ein Lock-in gegeben.
Mittlerweile sind die Open Source Cloud-Technologien wie Open Stack weit ausgereift, mit ihrer Leistungsfähigkeit sind sie eine echte Alternative zu den kommerziellen US-amerikanischen Diensten. Auch in Deutschland gibt es kommerzielle Anbieter Open Source-basierter Cloud-Lösungen, so dass größere Anwendungen auch außerhalb des eigenen Rechenzentrums betrieben werden können.
Insofern sollten öffentliche Einrichtungen bei Cloud-Technologien von vornherein auf Open Source statt auf proprietäre Lösungen setzen.
Möglicherweise sind die US-amerikanischen Cloud-Anbieter durch Vergaberichtlinien für öffentliche Aufträge davon zu überzeugen, dass sie künftig (auch) auf Open Source setzen (Open Source bedeutet an dieser Stelle, dass der Code transparent ist, die Software jedoch u.U. nur mit Lizenzkosten nutzbar).
Der Eingriff in die Grundrechte sei nicht verhältnismäßig, insbesondere die anlasslose Vorratsspeicherung von Verkehrs- und Standortdaten. Eine allgemeine Speicherung von IP-Adressen und die gezielte Vorratsdatenspeicherung zur Bekämpfung schwerer Kriminalität kann aber von den Mitgliedsstaaten geregelt werden.
Die seit Jahren anhaltende Diskussion um die allgemeine Vorratsdatenspeicherung sollte mit dem Urteil ein Ende finden – auch wenn immer wieder vereinzelt Forderungen danach zu hören waren, zuletzt von der Innenministerin Faeser. Eine Nachfolgeregelung wird es wohl geben, diese muss aber deutlich weniger Daten speichern, wenn sie das EuGH-Urteil umsetzen soll.
Aus der Pressemitteilung:
„Ein solcher Satz von Verkehrs– und Standortdaten, die zehn bzw. vier Wochen lang gespeichert werden, kann aber sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden – etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren –, und insbesondere die Erstellung eines Profils dieser Personen ermöglichen.“
In den Medien kocht die Kritik an Datenschützern hoch – sie seien die Verhinderer von Innovation und bremsen die Wirtschaft aus.
Ganz im Sinne der FDP, die es mit Ihrem Wahlspruch auf den Punkt brachte:
Digitalisierung first, Bedenken second
(Am Rande: Erfreulicherweise werden mittlerweile auch in der FDP wieder vermehrt Grundrechte eingefordert, beispielsweise um den Überwachungsstaat einzuhegen.)
Aktuell polemisiert Sascha Lobo im Spiegel gegen den Datenschutz, dabei geht es ihm inhaltlich insbesondere um die Unfähigkeit der deutschen (Ministerial-)Bürokratie und das Scheitern öffentlicher IT-Projekte wie dem E-Rezept.
Dafür Datenschützer verantwortlich zu machen ist jedoch weit hergeholt.
Richtig ist, dass der Schutz von Persönlichkeitsrechten oft nicht ernst genug genommen wird und Datenschutz in der langsam voranschreitenden Digitalisierung meist nicht von Anfang mitgedacht wird.
Sascha Lobo greift Thilo Weichert, den ehemaligen obersten Datenschützer Schleswig-Holsteins persönlich an und bezeichnet ihn als „Hohepriester der radikalen schleswig-holsteinischen Datenschutzschule“, die er als die Verhinderer ausgemacht haben will.
Datenschutz ist kein Supergrundrecht, es gibt immer wieder Abwägungen gegenüber anderen Grundrechten – in der Pandemie beispielsweise die physische Unversehrtheit. Jedoch sollten nicht unternehmerische Vermarktungsinteressen oder Kontrollbedürfnisse des Staates der Maßstab sein, der mündige Bürger sollte im Zentrum stehen:
Privates soll auch privat bleiben!
Dieses sicherzustellen ist Aufgabe demokratisch verfasster Staaten. Die EU strebt einen angemessenen Schutz personenbezogener Daten an, und hat dafür 2016 einen Rechtsrahmen geschaffen, die DSGVO. Es gilt, sie mit Leben zu füllen und die Bürger vor der maßlosen Sammelwut von Unternehmen und den Überwachungsfantasien staatlicher Behörden zu schützen.
Dafür lohnt es sich zu kämpfen, das sollte auch Sascha Lobo wissen!
Aktuelle Stichworte sind:
Chatkontrolle, Steuer-ID, angreifbare IT-Systeme dank geheimgehaltener Sicherheitslöcher, Staatstrojaner, Microtargeting, Nutzerprofile, Videoüberwachung mit biometrischen Verfahren u.v.m.
Sehr oft hört mensch im beruflichen Kontext die Aussage: „Das dürfen wir so nicht machen, unser*e Datenschutzbeauftragte*r hat das verboten.
Aber hat er* sie das wirklich?
Kurze Antwort vorab: Nein, dieses Recht steht ih*r nicht zu!
Aber wozu gibt es dann die Datenschutzbeauftragten?
De*m Datenschutzbeauftragten eines Betriebs, einer Behörde oder eines Unterbehmens obliegt u.a. die Aufgabe der Beratung der Leitungsebene sowie der gesamten Belegschaft in allen datenschutzrechtlichen Fragen. Auch hat sie*er die Einhaltung aller datenschutzrechtlichen Bestimmungen zu überwachen. Allerdings steht de*r Datenschutzbeauftragten kein Weisungsrecht zu.
Demnach muss Er*Sie nicht datenschutzkonforme Verarbeitungsvorgänge beanstanden, hat aber kein Recht diese zu verbieten oder zu erlauben.
Entscheidungen über die Umsetzung von Verarbeitungsvorgängen trifft ausschließlich die Leitungsebene, ggf. die nachgeordneten Führungskräfte. Sie sind Verantwortliche im Sinne der Datenschutzgrundverordnung und somit auch verantwortlich für die Einhaltung der bei der Verarbeitung personenbezogener Daten gebotenen organisatorischen und technischen Sicherheit und aller datenschutzrechtlichen Vorschriften.
Fazit:
Verbieten oder erlauben dürfen nur die Leitungsebene, bzw. die nachgeordneten Führungskräfte.
D*ie Datenschuztbeauftragte darf ausschließlich Empfehlungen abgeben.
Vielleicht ist es manchmal einfach bequemer oder leichter d*en Datenschutzbeauftragte*n als Buhmenschen vorzuschieben.
Behörden-Ausschreibungen für Cloud-Dienste dürfen in Baden-Württemberg nicht an US-amerikanische Tochterfirmen vergeben werden, auch wenn diese in der EU registriert sind.
Offenbar ist die Vergabekammer mit ihrem Beschluss zu weit gegangen und sollte ihn nun revidieren.
Pauschale Verbote sind unangebracht.
Kaum hat der Supreme Court -der oberste Gerichtshof der Vereinigten Staaten- sein Urteil verkündet, werden die Zensoren vorauseilend aktiv.
Meinungs- und Pressefreiheit heißt zwar nicht, das jede*r alles sagen darf – aber solange es keine strafrechtliche Relevanz hat sollte jede Meinungsäußerung möglich sein.
Die (sozialen) Medien sind in privater Hand und dazu angehalten, Inhalte die als problematisch eingeschätzt werden zu sperren und ggf. an Strafverfolgungsbehörden zu melden. In Deutschland greift hier unter anderem das umstrittene Netzwerk-Durchsetzungsgesetz.
Problematisch ist jedoch nicht dass Inhalte gesperrt werden, sondern warum etwas gesperrt wird und wie mensch sich dagegen wehren kann. Der Willkür ist meist Tür und Tor geöffnet.
Zudem behalten sich die Anbieter in den Nutzungsbedingungen vor, bestimmte Inhalte nach Gutdünken zu sperren und – da es private Unternehmen sind – fehlt vor allem eine praktikable rechtliche Handhabe um dagegen vorzugehen.
Es bleibt spannend, ob die Zensur ein weltweites Revival erlebt und „die gute alte Zeit“ wieder aufersteht – dank des Ukrainekriegs wird in Russland und in der Ukraine zensiert. Aber auch in der Türkei und vielen anderen Staaten stehen (kritische) Meinungsäußerungen unter dem aufmerksamen Blick der Zensur- und Strafverfolgungsbehörden.
Oder wird Orwells 1984 Realität, in der das Wahrheitsministerium in guter stalinistischer Manier die (archivierten) Dokumente nachträglich korrigiert, damit sie der neuen Wahrheit entsprechen?
