EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Editorial – Grußwort des Forschungsprojektleiters von «BayWiDI»
Prof. Dr. Dirk Heckmann
Sehr geehrte Leserinnen und Leser,
das Jahr 2020 brachte viele Schwierigkei-
ten mit sich, aber man kann den vergan-
genen 12 Monaten auch positive Seiten
abgewinnen. So lassen sich besonders in
Sachen Digitalisierung zahlreiche neue
Entwicklungen vermerken:
Homeoffice ist – zwangsweise – salon-
fähig geworden und die Erkenntnis, dass
sich Vieles auch virtuell erledigen lässt,
konnte sich durchsetzen. Natürlich ist es
schöner, bei einer Präsenztagung zusam-
men mit Referierenden und Teilnehmen-
den einen Kaffee zu trinken, alte Bekann-
te wiederzutreffen und neue Kontakte zu
knüpfen.
Doch es geht auch online: Im Rahmen Und auch bei BayWiDI gibt es Neuig- Tipps bereithält, wie sich das Ausmaß der
meiner letzten Jahrestagung als Vor- keiten: Wir haben unsere Online-Wis- Verfolgung unserer Online-Aktivitäten
standsvorsitzender der Deutschen Gesell- sensplattform technisch grundlegend minimieren lässt.
schaft für Recht und Informatik (DGRI) überarbeitet und noch nutzerfreundlicher
Anfang November konnte unser Team, gestaltet. Ab sofort finden Sie auf Bay-
Ich wünsche Ihnen eine unterhaltsame
dem auch Mitglieder der Forschungsstelle WiDI.de natürlich die bekannten Inhalte
Lektüre, besinnliche und erholsame Fei-
für IT-Recht und Netzpolitik angehörten, in aktualisierter und überarbeiteter Form,
ertage und einen guten Rutsch ins neue
ein digitales Event auf die Beine stellen, aber auch neue Rubriken und eine er-
Jahr
das neben spannenden Fachbeiträgen weiterte Suchfunktion für Wiki-Artikel,
auch ein großartiges Rahmenprogramm Einträge aus der Rechtsprechungs- und
bot – inklusive virtueller Kaffeepausen Normdatenbank sowie Blog- und Maga-
Ihr Prof. Dr. Dirk Heckmann
und Gelegenheit, mit anderen Teilnehme- zinbeiträge.
rinnen und Teilnehmern zu plaudern. Leiter des Forschungsprojekts
In dieser Ausgabe des BayWiDI-Ma-
«BayWiDI»
Auch wenn ich hoffe, dass persönliche gazins stellt zunächst Felix Sobala die
Treffen vor Ort bald wieder möglich sind; Orientierungshilfe der Konferenz der un-
dank der Digitalisierung lassen sich die abhängigen Datenschutzaufsichtsbehör-
Kontaktbeschränkungen doch sehr viel den des Bundes und der Länder (DSK)
leichter „aushalten“, als es in einer ana- zu Videokonferenzsystemen vor und be- Inhalt
logen Welt der Fall gewesen wäre. leuchtet die Datenschutzanforderungen ■ Überall wird „gezoomt“
an diese. – jetzt auch in die Daten-
Gleiches gilt für Innovationen bei Schu-
len und Universitäten. Natürlich waren Anschließend ist Priska Katharina Büttel schutzbestimmungen! / 2
und sind viele Lösungen noch nicht so mit einem Überblick über die maßgebli- ■ Covid-19: auch für
ausgereift, wie wir sie vielleicht gerne chen IT-Sicherheitsrisiken des vergange-
IT-Systeme gefährlich / 7
hätten, doch eine Erleichterung sind sie nen Jahres vertreten, der auch Möglich-
allemal. Umso wichtiger ist es, bestehen- keiten vorschlägt, wie wir uns besser vor ■ Tracking jenseits des
de Technologien zu nutzen, weiterzuent- Angriffen auf unsere Systeme schützen Rechts / 10
wickeln und neue Möglichkeiten zu ent- können.
■ Leiter des Forschungspro-
decken.
Zuletzt steuert Lóránt Meszlényi einen jekts und AutorInnen / 12
Dabei ist die IT-Sicherheit ein ganz zen- Beitrag zu Tracking aus technischer
■ Impressum / 13
traler Aspekt sowohl für die Anwendung Perspektive bei, der nicht nur zeigt,
selbst als auch für das Vertrauen in die wie Tracking funktioniert und was Ihr
Digitalisierung allgemein. Browser damit zu tun hat, sondern auch
Überall wird „gezoomt“ – jetzt auch in die Datenschutzbestimmungen!
Die DSK veröffentlicht eine „Orientierungshilfe Videokonferenzsysteme“
Die Corona-Pandemie hat viele, wenn
nicht fast alle Aspekte des menschli-
Herausfordernde Situationen er- Orientierungshilfe der DSK
chen Lebens beeinflusst: Arbeit wird
– wenn möglich – per Homeoffice er-
fordern (vorläufige) praktikable
ledigt, Geigenunterricht vor dem Lap- Lösungen, danach kommt die
Zeit der Konsolidierung So kommt es sehr gelegen, dass die
top genommen und Oma und Opa per
Konferenz der unabhängigen Daten-
Tablet „besucht“. Physische Kontakte
schutzaufsichtsbehörden des Bundes
sollen und müssen zur Eindämmung der
Sicherlich ist vielen, wenn nicht gar und der Länder (Datenschutzkonferenz
weiteren Ausbreitung des Sars-CoV-
den meisten Nutzenden zuzugestehen, – DSK) eine „Orientierungshilfe Video-
2-Virus weitestgehend vermieden und
dass die aktuelle Corona-Situation sie konferenzsysteme“5 herausgegeben hat.
eingeschränkt werden.1
unerwartet und unvorbereitet erwischt Wie der Name schon sagt, ermöglicht
Daher liegt es nahe, Kontakte und Tref- hat und kurzfristig praktikable Lösun- dieses 25-seitige Dokument eine Orien-
fen in den virtuellen Raum zu verlagern gen für eine Vielzahl an Situationen tierung hinsichtlich wesentlicher As-
und die Dienste, welche die immer gefunden werden mussten: Praktisch, pekte, die bei Bewertung, Auswahl und
weiter fortschreitende Digitalisierung intuitiv, einfach und (bestenfalls) kos- Einsatz von Videokonferenzlösungen
hervorbringt, zur Bewältigung dieser tenlos sollten und mussten sie sein. durch Unternehmen, Behörden und an-
dere Organisationen zu beachten sind.6
Vor- und Nachteile
verschiedener Betriebsmodelle
Zunächst werden die drei Betriebs-
modelle „Selbst betriebener Dienst“,
„Betrieb durch einen externen IT-
Dienstleister“ sowie „Online-Dienst“
unterschieden und jeweils dargestellt.
Vorteilhaft am selbst betrieben Dienst,
also am Betrieb eines Videokonfe-
renzsystems auf einer selbst betriebe-
nen Infrastruktur, kann sein, dass man
selbst in der Hand hat, welche Software
verwendet wird und welche Daten-
verarbeitungen dadurch veranlasst wer-
den.7 Außerdem kann auf diese Weise
neuen und herausfordernden Situation Aber nach der ersten Zeit der kreativen
sichergestellt werden, dass Daten le-
zu nutzen. und praktikablen Herangehensweisen
diglich wie gewünscht verarbeitet wer-
– und bei sicherlich allseitigem Ver-
Dabei wird auf die bereits schon länger den, da man selber die Kontrolle über
ständnis für die Unvollkommenheit
bekannten Dienste wie Skype oder Fa- die entsprechenden Einstellungen der
vorübergehender (Not-)Lösungen –
ceTime zurückgegriffen, aber insbeson- Systeme hat. Ferner erübrigt sich die
sollte nun auch eine Art Konsolidierung
dere der Videokonferenz-Dienst Zoom Notwendigkeit eines Auftragsverarbei-
der verwendeten Mittel im Hinblick
ist im Zuge der Corona-Pandemie zu tungsvertrages oder eine Vereinbarung
auf ihre rechtliche und insbesondere
einem „Big Player“ in der Szene ge- zur gemeinsamen Verantwortung. Al-
datenschutzrechtliche Konformität ein-
worden. An diesem Dienst scheint man lerdings bedarf es natürlich für Betrieb
setzen.3 Denn auch wenn wir auf die
kaum mehr vorbei zu kommen – fast und Wartung ausreichender technischer
baldige Entwicklung und Zulassung
überall und über alles wird mittlerweile und personeller Ressourcen und es müs-
eines Impfstoffs sowie eine damit ein-
„gezoomt“2. sen geeignete technische und organisa-
hergehende Normalisierung hoffen, so
Fraglich ist, ob dabei auch mal jemand torische Maßnahmen selber ergriffen
werden wir dennoch eine gewisse Zeit
in die Datenschutzbestimmungen werden. Für große Institutionen wird
mit der virtuellen Überwindung phy-
und -vorkehrungen all dieser das möglicherweise zu bewerkstelligen
sischer Kontaktbeschränkungen leben
Videokonferenzdienste „zoomt“, sich sein, für kleinere hingegen kann das ein
müssen.4 Und wer weiß schon, viel-
diese mal genauer ansieht und sich nicht zu bewältigendes Wagnis sein.8
leicht werden sich so manche in der Co-
mit diesen (und ggf. alternativen, rona-Pandemie erprobten Methoden des Anstelle selber einen Dienst zu be-
weniger bekannten Diensten) ernsthaft Homeoffice, des Homeschoolings oder treiben, gibt es die Möglichkeit – und
auseinandersetzt. schlicht der Video-Telefonie dauerhaft kann es daher unter Umständen ratsam
etablieren. sein –, einen Dienstleister mit dem Be-
BayWiDI Magazin Dezember 2020 – Seite 2/13
Überall wird „gezoomt“ – jetzt auch in die Datenschutzbestimmungen!
trieb zu beauftragen.9 Die DSK emp-
fiehlt insbesondere für die öffentliche
Verwaltung, derlei Systeme selber zu
betreiben oder zentral bereitzustellen,
dadurch könnten die Systeme auf die
jeweiligen Bedürfnisse und Einsatzsze-
narien, beispielsweise für den Einsatz
in Schulen, zugeschnitten werden. Zu
beachten ist dabei aber, dass die ver-
wendete oder angebotene Software auf
Datenübertragungen an die Hersteller
oder Dritte geprüft wird. Dies betrifft
vor allem auch Diagnose- und Telemet-
riedaten oder sonstige „Datenabflüsse“,
die im Falle einer fehlenden Rechts-
grundlage unterbunden werden müs-
sen. Bei diesem Betriebsmodell bedarf
es im Falle der Auftragsverarbeitung
eines entsprechenden Vertrages zur
Auftragsverarbeitung. Unter Umständen liegt aufgrund der
Verarbeitung personenbezogener Daten
Eine alternative – und gegebenenfalls Auswirkungen durch das
durch den Anbieter zu eigenen Zwecken
einfachere – Bereitstellungsmöglich-
oder Zwecken Dritter eine gemeinsa-
„Schrems II-Urteil“
keit ist die Verwendung eines be-
me Verantwortlichkeit mit diesem vor,
reits bestehenden Online-Dienstes.10
dann muss eine entsprechende Verein-
Auch bei dieser Option sind – je nach Ein gravierendes Problem – und
barung darüber geschlossen werden.
Online-Dienst – Datenabflüsse und diesem widmet sich die Orien-
Diese ersetzt nicht die notwendige
Zugriffsrechte zu untersuchen und ge- tierungshilfe ebenfalls13 – ist ins-
Rechtsgrundlage, sondern regelt dabei
gebenenfalls anzupassen. Mindestens besondere, dass die größten und
die jeweiligen Zuständigkeiten und
ist auch dabei ein Auftragsverarbei- bekanntesten Videokonferenzdienst-
Pflichten im Rahmen der gemeinsamen
tungsvertrag zu schließen. Die Auswahl Anbieter ihren Firmensitz in den USA
Verantwortung.
eines geeigneten Anbieters muss ins- haben und dort auch Daten verarbeiten.14
besondere anhand des Kriteriums der In jedem Fall müssen die entsprechen-
Bei Übermittlungen von personenbe-
Einhaltung der Datenschutzgrundsätze den Verantwortlichkeiten den betrof-
zogenen Daten in die USA oder andere
sowie aufgrund des Ergebnisses einer fenen Personen gegenüber transparent
Drittstaaten müssen die Bestimmun-
Prüfung von dessen Auftragsverarbei- gemacht werden.
gen des Kapitels V der DSGVO ein-
tungsvertrages, dessen Nutzungsbe- gehalten werden.15 Durch das „Schrems
dingungen, Sicherheitsnachweisen und II-Urteil“ des EuGH vom 16.07.2020
Datenschutzerklärungen erfolgen. Es Es ist nicht einfach
wurde der Angemessenheitsbeschluss
bedarf mithin eines Anbieters, der ge- zum „Privacy Shield“, der Datenüber-
eignete technische und organisatorische tragungen zwischen der EU und den
Maßnahmen ergreift, dessen Datenver- Die rechtskonforme Ausgestaltung und
transparente Ausweisung der Verarbei- USA ermöglichte, für ungültig erklärt.16
arbeitungen nach den Anforderungen Das „Privacy Shield“ kann daher nicht
der DSGVO erfolgen und der dafür hin- tungsvorgänge und mit diesen einher-
gehenden Verantwortlichkeiten können mehr zur Sicherstellung eines ange-
reichende Garantien bietet. messenen Schutzes von in die USA
sich im Falle der Online-Dienste für
Problematisch wird es allerdings da- Veranstalter in Ermangelung notwen- übermittelten Daten herangezogen
durch, dass sowohl der Veranstalter diger Angaben und Vereinbarungsmög- werden. Bei der Alternative der Ver-
für jede Offenlegung von personenbe- lichkeiten mit den Dienste-Anbietern wendung von Standardvertragsklau-
zogenen Daten an den Anbieter, aber als schwierig bis (realiter) unmöglich seln als Rechtfertigungsinstrument zur
auch der Anbieter für jede Verarbei- erweisen. Es will mithin gut überlegt Übermittlung von Daten in Drittstaaten
tung personenbezogener Daten in eige- sein, welchen Dienst man auswählt weist die DSK ausdrücklich darauf hin,
ner – gegebenenfalls in gemeinsamer und ob „man mal eben ein Zoom-Mee- dass der Verantwortliche die Rechtslage
Verantwortung – eine Rechtsgrund- ting“ veranstaltet. Es bedarf den Ver- im Drittland hinsichtlich behördlicher
lage benötigt, wenn dieser personen- arbeitungsvorgängen entsprechender Zugriffsmöglichkeiten und Rechts-
bezogene Daten der Teilnehmer auch Zuständigkeits- und Verantwortungs- schutzmöglichkeiten untersuchen muss,
zu eigenen Zwecken oder Zwecken verteilungen, klarer Informationen und bei „Defiziten sind zusätzliche Maß-
Dritter, also beispielsweise im Falle vor allem tragfähiger Rechtsgrundlagen. nahmen erforderlich (…). Bei der Ver-
des Einsatz von entsprechenden Ana- Auch diesem Aspekt der Rechtsgrund- wendung von Standardvertragsklauseln
lysetools oder des Trackings für Wer- lagen widmet sich das Dokument.12 und anderen vertraglichen Garantien
bezwecke, verarbeitet.11 Gerade das ist als Grundlage für Übermittlungen per-
bei Online-Diensten häufig der Fall. sonenbezogener Daten in die USA sind
BayWiDI Magazin Dezember 2020 – Seite 3/13
Überall wird „gezoomt“ – jetzt auch in die Datenschutzbestimmungen!
nach der Entscheidung des EuGH zu- nach Art. 5 Abs. 2 DS-GVO nachwei- eingesetzt werden können.
sätzliche Maßnahmen zu ergreifen, die sen können, dass sie diese Prüfung vor-
Konkrete Produktempfehlungen wird
sicherstellen, dass für diese Daten auch genommen haben und die Daten im
man zwar in der DSK-Orientierungs-
bei und nach ihrer Übermittlung ein im Drittland nach diesen Maßstäben aus-
hilfe vergeblich suchen, da kann jedoch
Wesentlichen gleichwertiges Schutz- reichend geschützt sind.“21 Fast beiläu-
eine Publikation der Berliner Beauftra-
niveau wie das in der EU gewährleistet fig merkt sie bereits an vorhergehender
gen für Datenschutz und Informations-
wird.“17 Stelle an: „Bei Defiziten sind zusätzli-
freiheit weiterhelfen, die im Rahmen
che Maßnahmen erforderlich; ggf. muss
Doch wer kann in der Praxis diesem einer Untersuchung eine Reihe an
der Datenexport unterbleiben.“22
Analyse-Erfordernis schon wirklich verfügbaren Diensten (zumindest kur-
entsprechen? Nicht nur, dass es enor- Insgesamt sind die Folgen des „Schrems sorisch) analysiert und übersichtlich
mer personeller Kapazitäten und eines II-Urteils“ noch nicht abschließend ge- bewertet hat.27 Auch das Magazin STIF-
entsprechenden Know-hows bedarf, klärt; die Positionen reichen im Großen TUNG WARENTEST hat einen Test
sondern auch die dazu nötigen Einbli- und Ganzen von vollständiger Ein- der gängigsten Videokonferenz-Dienste
cke in die tatsächlichen Abläufe dürften stellung der Datenübermittlung in die vorgenommen.28
den meisten Kunden der Videokonfe- USA, da auch Standardvertragsklauseln
renz-Dienste verborgen bleiben. Und kein ausreichendes Schutzniveau bieten
vor allem: Wie genau sehen „zusätzli- könnten,23 bis zur Nutzung zusätzlicher
che Maßnahmen“ aus, was könnten zu- Maßnahmen, wobei man dabei in der
sätzliche Schutzvorkehrungen sein, die Regel der Erklärung schuldig bleibt, wie
ein Verantwortlicher treffen muss, um genau diese aussehen könnten.24 Zwar
ein „im Wesentlichen gleichwertiges hat der Europäische Datenschutzaus-
Schutzniveau“ sicherzustellen? Darauf schuss (EDPB) mittlerweile Empfeh-
gibt die Orientierungshilfe leider noch lungen zu zusätzlichen Maßnahmen, die
keine Antworten, sondern behält kon- das Datenschutzniveau der EU im Rah-
krete Aussagen dazu – ebenfalls wie men von Datentransfers in Drittstaaten
die vom Europäischen Datenschutzaus- sicherstellen sollen, herausgegeben25.
schuss herausgegebenen FAQs18 zu den Diese ermöglichen auch eine gut struk-
Folgen des „Schrems II-Urteils“, auf turierte Auseinandersetzung mit dem
die auch verwiesen wird19 – weiteren Problemkreis ergänzender Maßnahmen Die Berliner Beauftragte für Daten-
Analysen vor, rät jedoch insgesamt eher im Kontext von Drittstaaten-Daten- schutz und Informationsfreiheit kommt
zur Vorsicht: transfers insbesondere im Zusammen- zum Ergebnis, dass „einige verbreitet
hang mit Standardvertragsklauseln und eingesetzte Anbieter zu Redaktions-
„Es bedarf noch weiterer Analysen,
sind in jedem Fall eine Auseinanderset- schluss (3. Juli 2020) nicht alle Recht-
um im Lichte dieser vom EuGH klar-
zung wert, führen jedoch im Ergebnis mäßigkeitsvoraussetzungen erfüllen,
gestellten Anforderungen konkretere
ebenfalls zu keinem anderen Ergebnis darunter die Dienste Blizz, Cisco
Aussagen dahingehend treffen zu kön-
als die bereits zuvor dargestellten Aus- WebEx, Cisco WebEx über Telekom,
nen, ob und unter welchen zusätzlichen
führungen der DSK im Zusammenhang Google Meet, GoToMeeting, Micro-
Schutzvorkehrungen personenbezoge-
mit Videokonferenzdiensten, wenn die soft Teams, Skype, Skype for Business
ne Daten in die USA oder an US-An-
Anbieter eben auf besagte Rahmen- Online und zoom. Mit NETWAYS
bieter übermittelt werden können. Aus
daten zugreifen können.26 Web Services Jitsi, sichere-video-kon-
diesem Grund empfiehlt die DSK der-
zeit, die Nutzung von Videokonferenz- ferenz.de, TixeoCloud, Werk21 Big-
produkten US-amerikanischer Anbieter Welchen Dienst kann ich denn BlueButton und Wire stehen allerdings
sorgfältig zu prüfen. Dies gilt auch, Alternativen bereit, die die datenschutz-
nun (bedenkenlos) nutzen?
wenn Vertragspartner eine europäische rechtlichen Anforderung erfüllen.“29 Im
– Darauf gibt es keine Zusammenhang mit Informationen mit
Tochtergesellschaft ist. Das gleiche gilt
pauschale Antwort hohem Schutzbedarf kommt sie zum
für europäische Anbieter, sofern sie ih-
rerseits personenbezogene Daten in die ernüchternden Ergebnis: „Leider sind
USA übermitteln.“20 nach derzeitigem Entwicklungsstand
Die Orientierungshilfe der DSK bietet alle betrachteten Dienste mit Ausnahme
Die DSK gibt jedoch zu: „Wenn das insgesamt einen guten (gegebenenfalls von Wire in der Standardkonfiguration
unzureichende Schutzniveau aus be- ersten) Überblick über die Betriebs- für den Austausch von Informationen
hördlichen Zugriffsmöglichkeiten her- modelle, rechtlichen Anforderungen, mit hohem Schutzbedarf nicht geeig-
rührt, sind ausreichende zusätzliche Pflichten des Verantwortlichen so- net.“30 Wie man unschwer erkennen
Maßnahmen im Bereich von Video- wie die technischen und organisato- kann, gibt es nicht hinsichtlich aller An-
konferenzdiensten schwer denkbar, rischen Anforderungen beim Einsatz forderungen und Konstellationen den
denn mindestens bestimmte Rahmen- von Videokonferenz-Systemen durch perfekten Dienst – den Dienst, der ohne
daten der Konferenzen müssen dem Unternehmen, Behörden und andere Or- Aufwand, intuitiv, allumfassend daten-
Anbieter aus technischen Gründen zu- ganisationen. Schließlich bliebe jedoch schutzkonform und zu alledem auch
gänglich sein. Verantwortliche, die Vi- der Wunsch nach einer Art „Positivlis- noch kostenlos und für einen großen
deokonferenzdienste nutzen, müssen te“, welche Dienste nun (bedenkenlos) Teilnehmendenkreis geeignet ist. Somit
BayWiDI Magazin Dezember 2020 – Seite 4/13
Überall wird „gezoomt“ – jetzt auch in die Datenschutzbestimmungen!
„das Datenschutzrecht“, erkennt man,
dass es sich dabei um ein Gesetz ge-
wordenes Bollwerk handelt, um die
Ausübungsmöglichkeiten von Grund-
rechten in einer digitalisierten Gesell-
schaft zu ermöglichen und zu bewahren.
Nutzen wir kreative Ideen in diesen
außergewöhnlichen Zeiten; nutzen wir
Mittel wie Videokonferenz-Software
und -Dienste, die uns die Digitalisie-
rung glücklicherweise in dieser Pande-
mie „an die Hand“ gibt; aber vergessen
wir dabei nicht, dass wir sie im Einklang
mit den grundrechtlichen Werten (und
dem daraus erwachsenen „einfachen“
Datenschutzrecht) verwenden sollten.
Nicht nur, um uns gesetzestreu zu ver-
halten und Sanktionen zu vermeiden,
gibt es (leider) nicht die pauschale Ant- Vereinen, die aufgrund ihrer personellen sondern um zu erhalten, weswegen es
wort auf die Frage, welcher Dienst nun und finanziellen Kapazitäten oder fach- sich zu „zoomen“ lohnt: die Ausübung
„der Beste“ ist. lichen Expertise nicht im Stande sind, grundrechtlich geschützter Freiheit.
eigenständig einen Dienst zu betreiben,
Klar erkennbar ist jedoch, dass aus
betreiben zu lassen oder hinsichtlich
datenschutzrechtlicher Sicht manche
des (sicheren) rechtskonformen Ein- Felix Sobala
Aspekte (derzeit) für bestimmte Diens-
satzes von Video-Onlinediensten über-
te sprechen und bei anderen Diensten
fordert sind. Denn es klingt wie mit
eher zum vorsichtigen Einsatz mahnen
– oder gar von einer Verwendung abse-
„gespaltener Zunge gesprochen“, wenn Literaturnachweise
einerseits von öffentlicher Seite – und
hen lassen sollten.31 1 Siehe dazu auch erst kürzlich nochmals
sicherlich auch richtigerweise – Daten- den Beschluss der Videoschaltkonferenz
schutz angemahnt wird, gleichzeitig der Bundeskanzlerin mit den Regierungs-
Keine leichte Situation aber die eigentlich Datenschutzwilligen chefinnen und Regierungschefs der Länder
– da sind gute Ideen und mit einer unüberschaubaren Flut an An- am 16. November 2020 (zuletzt abgerufen
Kreativität gefragt forderungen alleine gelassen werden.34 am: 19.11.2020) sowie die Erklärung der
Das trägt eher nicht zu einer Verbesse- Bundeskanzlerin nach erneuten Beratungen
rung (oder gar Einhaltung) des Daten- mit den Ministerpräsidenten, „Der Durch-
schutzniveaus bei, sondern verstärkt schnitt hilft uns nicht“ – Merkel zu ver-
Zweifelsohne hat die Corona-Pandemie längertem Teil-Lockdown, Tagesschau.de
vielmehr die eigentlich (zumindest in
viele Menschen, Unternehmen, Be- (zuletzt abgerufen am: 26.11.2020).
der öffentlichen Wahrnehmung) zu Un-
hörden und Organisationen eiskalt er- 2 Dieser Beitrag fokussiert nicht den
recht bestehende Dichotomie: entweder
wischt, es mussten schnell praktische Video-Konferenzdienst Zoom, sondern
Praktikabilität und Nutzerfreundlich-
und unkomplizierte Lösungen her – da bezieht sich grundsätzlich auf alle Video-
keit oder rechtskonformer Datenschutz.
waren (und sind weiterhin) gute Ideen konferenz-Dienste. Lediglich aufgrund
und Kreativität gefragt. Ein besonders des Phänomens, dass das Wort „zoomen“
schönes Beispiel kommt aus der Stadt mittlerweile (fast gänzlich) als Synonym
Aber Datenschutz hat (auch in
Bühl, die ihren Bürgerinnen und Bür- für das Veranstalten eines Videotelefonats
Corona-Zeiten) seinen Sinn oder einer -konferenz verwendet wird, wird
gern, Musikschulen und Vereinen sowie
dieses Wortspiel im Rahmen dieses Bei-
Unternehmen, aber auch über die Gren- trags verwendet.
zen der Stadt Bühl hinaus eine kostenlo-
Und ohne zum Schluss wieder mit er- 3 Vgl. in diesem Sinne auch Berliner
se Videotelefonie-Möglichkeit namens Beauftragte für Datenschutz und Informati-
„Palim! Palim!“, welche auf der freien hobenem Zeigefinger die Bedeutung
des Datenschutzes anmahnen zu wol- onsfreiheit, Berliner Datenschutzbeauftrag-
Software „Jitsi Meet“ basiert, zur Verfü- te zur Durchführung von Video-Konferen-
gung stellt.32 Das Tolle ist, es „benötigt len – Datenschutz ist kein „Schönwet-
zen während der Kontaktbeschränkungen,
nicht mehr als einen aktuellen Brow- ter-Recht“, das man halt beachten kann,
Stand 03.07.2020 (zuletzt abgerufen am:
ser, um in Kontakt zu bleiben. Ganz wenn es denn halt keine Umstände 03.12.2020), S. 1, aber dennoch die Dring-
ohne Registrierungszwang oder Erhe- macht! Es ist geltendes und anzuwen- lichkeit datenschutzrechtlicher Abhilfe
bung von sensiblen Metadaten.“ Das dendes Recht – und keine Empfehlung! nochmals betonend auf S. 5; gleichfalls
wäre ein schönes Beispiel,33 dem viele „Zoomen“ ist kein Selbstzweck, son- dieselbe, Checkliste für die Durchfüh-
Städte und Kommunen oder öffentliche dern ein Mittel für eine Vielzahl von rung von Videokonferenzen während der
Einrichtungen folgen könnten, um ins- Zwecken – auch für die Ausübung von Kontaktbeschränkungen, Stand 03.07.2020
Grundrechten, wie zum Beispiel der (zuletzt abgerufen am: 03.12.2020), S. 2.
besondere kleineren Unternehmen und Im Rahmen der datenschutzrechtlichen Be-
Meinungsfreiheit. „Zoomen“ wir in
BayWiDI Magazin Dezember 2020 – Seite 5/13
Überall wird „gezoomt“ – jetzt auch in die Datenschutzbestimmungen!
wertung von Videokonferenz-Diensten sind be, Hinweise für Berliner Verantwortliche technische Prüfung und in der Regel auch
jedoch die jeweiligen Einsatzszenarien, zu Anbietern von Videokonferenz-Diensten, keine Prüfung der Datenschutzerklärungen;
insbesondere auch im Hinblick auf ihre Stand 03.07.2020 (zuletzt abgerufen am: für einen Überblick kann diese Übersicht
jeweiligen Einsatzkontexte, zu berück- 03.12.2012), S. 1). gleichwohl dienen. Diese Liste soll zwar
sichtigen. So finden die Bestimmungen der 9 Siehe Fn. 5, S. 6, dort auch zum Fol- laufend ergänzt werden, der letzte Stand ist
DSGVO im Kontext ausschließlich persön- genden. (derzeit) jedoch der 03.07.2020 und damit
licher oder familiärer Tätigkeiten keine 10 Siehe Fn. 5, S. 6f., dort auch zum noch vor dem – bereits zuvor thematisierten
Anwendung, Art. 2 Abs. 2 lit. c) DSGVO. Folgenden. – „Schrems II-Urteil“ des EuGH; dadurch
Nach ErwGr. 18 S. 1 DSGVO fallen dar- resultierende Konsequenzen sind dem-
11 Siehe Fn. 5, S. 9, dort auch zum
unter auch „Online-Tätigkeiten“. Allerdings entsprechend (derzeit) noch nicht berück-
Folgenden.
stellt ErwGr. 18 S. 3 DSGVO ausdrücklich sichtigt.
klar, dass diese Einschränkung natürlich 12 Siehe dazu Fn. 5, S. 9–13.
28 Stiftung Warentest – test.de, Die besten
nur für das private oder familiäre Innenver- 13 Siehe dazu Fn. 5, S. 7f. und S. 17f. Tools für Video-Telefonie – Videochat-
hältnis der Nutzenden gilt, die Rechte und 14 Siehe Fn. 5, S. 7. Programme im Test, 13.05.2020 (zuletzt
Pflichten der Nutzenden im Außenverhält- 15 Siehe dazu Fn. 5, S. 7f. und S. 16–18. abgerufen am: 27.11.2020).
nis zum Diensteanbieter beziehungsweise 29 Siehe die ersten beiden Nachweise in
16 EuGH, Urt. v. 16.07.2020, C-311/18 –
dessen Verantwortlichkeit davon unberührt Fn. 3, dort bei erstem S. 4 bzw. bei zweitem
„Schrems II“.
bleiben: „Diese Verordnung gilt jedoch für S. 2, jeweils mit anschließendem Verweis
die Verantwortlichen oder Auftragsverar- 17 Siehe Fn. 5, S. 7.
auf letzten Nachweis in Fn. 8.
beiter, die die Instrumente für die Verarbei- 18 EDPB – European Data Protec-
tion Board, Häufig gestellte Fragen zum 30 Siehe den letzten Nachweis in Fn. 8,
tung personenbezogener Daten für solche
Urteil des Gerichtshofs der Europäischen S. 1.
persönlichen oder familiären Tätigkeiten
bereitstellen.“ Dieser Beitrag fokussiert Union in der Rechtssache C-311/18 – Data 31 Aufgrund der Schnelllebigkeit in die-
Einsatzszenarien der Durchführung von Protection Commissioner gegen Face- ser Branche – sowohl was technische Ent-
Videokonferenzen durch Unternehmen, Be- book Ireland Ltd und Maximillian [sic] wicklungen und Veränderungen wie auch
hörden und andere Organisationen und mit Schrems, 23.07.2020 (zuletzt abgerufen rechtliche Rahmenbedingungen, wie zum
diesen Konstellationen einhergehende An- am: 26.11.2020), siehe zu den zusätzlichen Beispiel durch das „Schrems II-Urteil“ des
forderungen (siehe auch bei Fn. 6), für die Maßnahmen dort insbesondere S. 6f. EuGH, anbelangt – wird hier bewusst auf
zuvor genannte Ausnahmen für private oder 19 Siehe Fn. 5, S. 17f. die aktuelle Benennung oder Empfehlung
familiäre Tätigkeiten gerade nicht gelten. konkreter Dienste verzichtet. Die Aussagen
20 Siehe Fn. 5, S. 7f.
Gleichwohl mag er auch bei Privatpersonen der Berliner Beauftragen für Datenschutz
21 Siehe Fn. 5, S. 17. und Informationsfreiheit betrafen jeweils
zu kritischem Hinterfragen des Einsatzes
22 Siehe Fn. 5, S. 7. den Stand 03.07.2020, siehe Fn. 27, bei
entsprechender Dienste im privaten oder
familiären Kontext anregen. 23 Davon sind Konstellationen ausge- Fn. 29 und 30.
nommen, in denen andere Rechtsgrund- 32 Siehe dazu das Interview mit dem Di-
4 Vgl. Covid-19 und Zahlen - Pande-
lagen als das für ungültig erklärte „Privacy gitalisierungsbeauftragten der Stadt Bühl,
mie-Modelle: Warum wir unsere Kon-
Shield“ oder Standardvertragsklauseln des Eduard Itrich, bei Reuter/Mehring, Wie
takte weiter maximal reduzieren sollten,
Kapitels V die Datenübertragung in die freie Software die Menschen im badischen
Deutschlandfunk Nova, 25.11.2020 (zuletzt
USA rechtfertigen können. Bühl begeistert, Netzpolitik.org, 15.07.2020
abgerufen am: 26.11.2020).
24 Siehe dazu schon Sobala, Eins, zwei, (zuletzt abgerufen am: 27.11.2020), dort
5 Konferenz der unabhängigen Daten-
hoffentlich nicht drei – Schrems ist noch auch zum Folgenden.
schutzbehörden des Bundes und der
nicht vorbei. Reaktionen und Konsequen- 33 Ein anderes Beispiel ist die offene
Länder (DSK – Datenschutzkonferenz),
zen nach dem „Schrems II-Urteil“ im vor- Videokonferenz-Plattform „FFMeet“, die
Orientierungshilfe Videokonferenzsysteme,
hergehenden BayWiDI-Magazin 3/2020. Freifunk München (ebenfalls basierend
Stand 23.10.2020 (zuletzt abgerufen am:
19.11.2020). 25 EDPB – European Data Protection auf einer Jitsi-Infrastruktur) zur Verfügung
Board, Recommendations 01/2020 on stellt, siehe dazu das Interview mit den
6 Siehe Fn. 5, S. 4.
measures that supplement tranfer tools to beiden Betreibenden, die diese Plattform zu
7 Siehe Fn. 5, S. 5f., dort auch zum ensure compliance with the EU level of zweit eingerichtet haben und in ihrer Frei-
Folgenden. protection of personal data, 10.11.2020, zeit betreiben, Beckedahl, München spricht
8 Auch die Berliner Beauftragte für Adopted: Version for public consultations online – Offene Videokonferenzplattform,
Datenschutz und Informationsfreiheit (zuletzt abgerufen am: 11.12.2020). Netzpolitik.org, 22.06.2020 (zuletzt abgeru-
präferiert das eigene Betreiben einer Video- 26 siehe Fn. 25, insbesondere Rn. 76 und fen am: 27.11.2020).
konferenzlösung, am besten sogar einen die Use Cases 1 und 2 in den Rn. 79–83 34 Zur Problematik mangelnder Video-
eigenen Dienst betrieben mit Software, konferenz-Lösungen im Schulkontext
27 Siehe den letzten Nachweis in Fn. 8.
deren Quelltext öffentlich zugänglich ist sowie erster Versuche, landeseigene Lösun-
Dabei handelt es sich um eine Kurzprüfung
(Open Source-Software), sieht gleichzeitig gen zur Verfügung zu stellen siehe Barthel,
der Videokonferenz-Dienste verschiedener
aber auch die Problematik, es sei „insbe- Es fehlt die direkte Kommunikation – Digi-
Anbieter in Form von Software-as-a-Ser-
sondere für kleine Institutionen kaum mit taler Unterricht in Zeiten von Corona, Netz-
vice (SaaS), der Schwerpunkt der Prüfung
verhältnismäßigem Aufwand leistbar, eine politik.org, 12.05.2020 (zuletzt abgerufen
lag jedoch auf der Bewertung der Rechts-
gut funktionierende datenschutzgerechte am: 27.11.2020).
konformität der von den Anbietern an-
Lösung zu betreiben oder betreiben zu
gebotenen Auftragsverarbeitungsverträgen,
lassen“ (siehe den ersten Nachweis in Fn. 3,
teilweise erfolgten dabei auch kursorische
S. 1, 3). Sie kommt gar zum Ergebnis, in
Untersuchungen einiger technischer
„Abhängigkeit von Umständen und Risiko-
Aspekte. Es wird ausdrücklich darauf hin-
lage kann dies ggf. auch die einzig verfüg-
gewiesen, dass keine umfassende Prüfung
bare rechtskonforme Lösung sein“ (diesel-
erfolgte, insbesondere keine umfassende
BayWiDI Magazin Dezember 2020 – Seite 6/13
Covid-19: auch für IT-Systeme gefährlich
helfe es zum einen, das Bewusstsein
der Anwenderinnen und Anwender zu
fördern, zum anderen müsse aber auch
in der Digital-Industrie mehr denn je
auf Security by Design gesetzt, also bei
neuen Technologien, Dienstleistungen
und Produkten schon in der Entwick-
lung auf eine sichere Gestaltung geach-
tet werden.5
Dass nicht nur Unternehmen und Be-
hörden im Visier der Cyberkriminellen
sind, sondern auch private Ziele an-
gegriffen werden, zeigt auch eine Um-
frage des Branchenverbands Bitkom,
der herausfand, dass 61% der Internet-
nutzerinnen und -nutzer 2020 Opfer
von Cyberkriminalität in unterschied-
licher Ausformung geworden waren.6
Am häufigsten – bei fast der Hälfte der
Im vergangenen Jahr stand das The- hat das Jahr nachhaltig geprägt, aber Befragten – wurden Schadprogramme
ma Digitalisierung – und damit auch auch der Digitalisierung „einen erhebli- in Smartphone- oder Computerpro-
Homeoffice, Homeschooling, virtuelle chen Vorschub geleistet und eindrucks- grammen gemeldet, den nicht weni-
Meetings mit Kollegen und Familie, voll gezeigt, dass funktionierende ger unrühmlichen zweiten Platz nahm
Online-Handel und digitale Freizeit- und sichere Informationstechnologie die unbefugte Weitergabe persönlicher
gestaltung in Form von Streaming zur Lebensader der modernen Gesell- Daten an Dritte ein. 17% gaben an, ihre
oder Online-Gaming – besonders im schaft geworden ist“2. Natürlich sind Zugangsdaten für Online-Shops oder
Fokus von Politik, Wirtschaft und die Auswirkungen der Covid-19-Pan- soziale Netzwerke seien ausspioniert
Gesellschaft. demie auch auf die IT-Sicherheit spür- worden. Abseits der IT-Sicherheit an
bar: Zahlreiche Arbeitnehmer wurden sich wurden jedoch auch Online-Mob-
Damit einher gingen zahlreiche Fra-
ins Homeoffice geschickt, wodurch die bing, Hate Speech und sexuelle Belästi-
gen: Wie soll, wie darf man von zu-
Grenze zwischen privater und beruf- gung im digitalen Raum genannt.
hause aus arbeiten, ohne Datenlecks
licher Nutzung von Endgeräten weiter
oder Schlimmeres zu riskieren? Welche Obgleich sich die letztgenannten Prob-
aufgeweicht wurde; häufig fehlten Re-
Maßnahmen müssen ergriffen werden, lemkreise nicht unbedingt mit sichere-
gelungen zum datenschutzkonformen
damit ein angemessenes Schutzniveau ren Systemen lösen lassen, gilt es damit
Umgang mit digitalen Unterlagen, teil-
für die privaten Endgeräte und etwaige doch zumindest diejenigen Risiken zu
weise haperte es an der Umsetzung.
Schnittstellen zu unternehmens- oder minimieren, bei denen dies möglich
behördeninternen Netzwerken gewähr- Ein Aspekt, der im Lagebericht hervor- ist. Im Fall von Identitätsdiebstahl –
leistet werden kann? Je besser man in- gehoben wird, ist die Notwendigkeit also der rechtswidrigen Aneignung der
formiert ist, welche Risiken bestehen zur Flexibilität (nicht nur) angesichts Identifikations- (z.B. Benutzername)
und auf welche möglichen „Einfalls- der Pandemie – und die Tatsache, dass und Authentisierungsdaten (z.B. Pass-
tore“ zu achten ist, desto eher ist eine auch Kriminelle sich im vergangenen wort) einer Person – lässt sich das Ri-
Prävention – und im Ernstfall die Scha- Jahr adaptionsfähig gezeigt haben:3 Es siko bereits durch eine erhöhte digitale
densminimierung – möglich. Der fol- gab zahlreiche Vorfälle, beispielsweise Eigenverantwortung, einen sorgfältigen
gende Beitrag soll einen Überblick über mit Spam-Mails vermeintlich staatli- Umgang mit den eigenen persönlichen
die maßgeblichen aktuellen Gefahren cher Institutionen zur Beantragung von Informationen und – wo möglich – der
für die IT-Sicherheit liefern und das Soforthilfegeldern oder mit falschen Nutzung der Zwei-Faktor-Authentisie-
Bewusstsein für etwaige Schwachstel- Online-Shops, die die erhöhte Nach- rung mindern; dennoch ist auch hier die
len im eigenen System, privat oder im frage nach Schutzbekleidung und ins- Mitwirkung der Unternehmen nötig, die
Unternehmen, schärfen. besondere Atemmasken ausnutzten. Verfahren zur sicheren Identifizierung
Derartige Phishing-Kampagnen, die und Authentisierung vorhalten müssen.7
sich gerne aktueller Themen (Steuer- Identitätsdiebstahl und die zunehmende
Pandemie als Risikofaktor rückzahlungen, Rabatt-Aktionen zum Anzahl frei verfügbarer Identitätsdaten
Black Friday usw.) bedienen, um die im Netz erhöhen die bestehenden Risi-
Spam-Mails möglichst erfolgreich „an ken und stellen eine „bedrohliche Basis
Das Bundesamt für Sicherheit in der den Mann zu bringen“, nutzen häufig für weitere Angriffe“ dar.8 Im Zusam-
Informationstechnik (BSI) hat auch menschliche Schwächen und emotio- menhang mit dem bekannten Schadpro-
für das Jahr 2020 einen Lagebericht nale Sujets – Katzenbabys, Sorge um gramm Emotet etwa nutzen Angreifer
zur IT-Sicherheit in Deutschland ver- Angehörige, Zukunftsängste, ein poten- die Kontaktbeziehungen und E-Mail-
öffentlicht.1 Darin wird resümierend zieller Lotteriegewinn? – aus.4 Dagegen Inhalte erfolgreich infizierter Systeme
festgestellt: Die Covid-19-Pandemie
BayWiDI Magazin Dezember 2020 – Seite 7/13
Covid-19: auch für IT-Systeme gefährlich
ganz gezielt, um den Trojaner daraufhin können auch unzureichend gesicherte ein ganzes Kapitel gewidmet wird,
– in entsprechend authentisch wirkende IoT-Geräte unerkannt als Teil eines Bot- spricht ebenfalls Bände: provisori-
E-Mails eingebettet – weiter verbreiten netzes für DDoS-Angriffe missbraucht sche, unsichere Lösungen, die plötz-
zu können. Dabei ist deutlich eine „neue werden, wobei vor allem die erhöhte liche Zunahme der Online-Aktivitäten
Qualität“ der Angriffe festzustellen. Qualität und intelligente Strategie sol- allgemein und speziell der Nutzung
cher Angriffe zunehmend besorgnis- von Remote-Zugängen16, aber auch
Doch auch vermeintlich vertrauens-
erregend ist.13 das Ausnutzen von Ängsten oder auch
würdige Programme können ein Risiko
Hilfsbereitschaft führen zu einem merk-
darstellen. Eine Erweiterung eines be- Im Bereich der Kritischen Infrastruk-
lichen Anstieg der ohnehin bestehenden
kannten Herstellers für IT-Sicherheits- turen scheinen die strengen Vorgaben
Risiken.17
software für Firefox wurde Ende 2019
von Mozilla gesperrt, weil sie umfang-
reiche Datensammlungen angelegt und
für Marketingzwecke verwendet hatte.9
Schließlich müssen auch kryptografi-
sche Systeme korrekt implementiert
und je nach konkretem Anwendungsfall
gegen Ausspähen des beobachtbaren
Verhaltens (Fehlermeldungen, Antwort-
zeiten, aber auch Stromverbrauch und
andere Informationen) abgesichert
werden.10
Zunehmende Vernnetzung führt
zu größerer Angriffsfläche
Weiterhin ist zu beobachten, dass sich
die Angriffsfläche infolge der zuneh-
menden Anzahl vernetzter Geräte – und (u.a.) des BSIG Wirkung zu zeigen.
der zunehmenden Vernetzung an sich Zwar sind die Gefahren etwa durch
Handlungsempfehlungen
– stetig vergrößert.11 Das gibt natür- Malware ungebrochen, doch sorgt ein
lich vorwiegend in besonders sensiblen tief verankertes Verständnis über den
Bereichen wie im Gesundheitswesen Stellenwert der Informationssicherheit
Ganz allgemein ist festzustellen, dass
Anlass zur Sorge, aber auch bei Wea- bei KRITIS-Betreibern für vergleichs-
der Faktor Mensch nach wie vor das
rables, Smart Home und im Internet of weise umfassende und teils langjährig
riskanteste Einfallstor für Schadpro-
Things (IoT).12 Insbesondere bei Smart etablierte IT-Sicherheitsmanagement-
gramme darstellt, die digitale Eigen-
Watches sind Schwachstellen, die teil- systeme (ISMS).14
verantwortung daher einen besonders
weise sogar ohne besondere technische Insgesamt ist festzuhalten, dass sowohl hohen Stellenwert einnimmt. Das un-
Kenntnisse ausgenutzt werden können, die Angriffsfläche durch die fortschrei- überlegte Klicken auf Links oder un-
keine Ausnahme. Durch Smart De- tende Digitalisierung steigt, die An- geprüfte Weiterleiten zweifelhafter
vices werden eine Vielzahl sensibler griffe oft von höherer Qualität sind als E-Mails steckt hinter den meisten er-
persönlicher Daten gespeichert, was bisher und manche Einfallstore auch folgreichen Angriffen auf IT-Syste-
sie zu einem verlockenden Angriffs- technischen Laien offenstehen. Auch me. Damit ist das bekannte Mantra zu
ziel macht. Im Zusammenhang mit IoT- die Kombination verschiedener Ansät- wiederholen: Links und Anhänge in
Geräten plant das BSI die Einführung ze – von Schadprogrammen, die wie ein E-Mails sollten nur bei wirklich ver-
eines IT-Sicherheitskennzeichens für Schneeballsystem effizienter werden, trauenswürdigen Absendern geöffnet
Verbraucherprodukte. Durch die trans- je öfter sie sich weiterverbreiten kön- werden, es empfiehlt sich jedoch auch
parente Darstellung produktspezifischer nen, bis hin zu hybriden Bedrohungen, dann vor dem Anklicken ein kurzer
IT-Sicherheitseigenschaften soll einer- bei welchen durch das Zusammenspiel Check, ob „alles stimmt“: Erwarte ich
seits ein verstärktes Bewusstsein für von Cyberangriffen, wirtschaftlichem solche Mails mit Links oder Anhängen
IT-Sicherheit bei den Verbrauchern, an- Druck, Desinformationskampagnen von diesem Absender? Kommt mir et-
dererseits ein Instrument für Hersteller und/oder verdeckten militärischen Ope- was daran seltsam vor? Hat das The-
entwickelt werden, um die Sicherheit rationen Staaten destabilisiert werden15 ma der Mail (und des Links/Anhangs)
ihrer Produkte besser – und für Kunden – und der vermehrte Einsatz von Künst- einen sinnvollen Bezug zu vergange-
nachvollziehbar – bewerben zu kön- licher Intelligenz (KI) geben Anlass zur nen Gesprächen? Erhöhte Vorsicht ist
nen. Als maßgebliche Anforderungen Sorge. besonders bei vermeintlich dringen-
nennt das BSI insbesondere Security by den und wichtigen Mails geboten, bei-
Design und Security by Default in der Dass den Gefährdungen für die IT-Si-
cherheit durch die Covid-19-Pandemie spielsweise wenn sich der Absender als
Produktentwicklung. Unter anderem Bank, Versicherungsunternehmen oder
BayWiDI Magazin Dezember 2020 – Seite 8/13
Covid-19: auch für IT-Systeme gefährlich
Literaturnachweise
1 Bundesamt für Sicherheit in der Infor-
mationstechnik (BSI) (Hrsg.), Die Lage der
IT-Sicherheit in Deutschland 2020, Stand:
September 2020 (zuletzt abgerufen am:
04.12.2020).
2 BSI, Die Lage der IT-Sicherheit in
Deutschland 2020 (Vgl. Fn. 1), S. 79; dass
die Digitalisierung in Deutschland unauf-
haltsam fortschreitet wird auch von anderen
Studien bestätigt, vgl. für einen Überblick
Initiative D21 e.V. (Hrsg.), D21 Digital
Index 19/20 – Wie digital ist Deutsch-
land?, 2020, S. 8f. (zuletzt abgerufen am:
04.12.2020).
3 Vgl. Fn. 1, S. 80, dort auch zum Fol-
genden.
Online-Shop ausgibt, der Betreff (Mah- Systemcrash kommen.
4 Vgl. Fn. 1, S. 18.
nungen, Gutschriften, Erneuerung eines
Schließlich kann nur eine Strategie, die 5 Vgl. Fn. 1, S. 80.
Passworts und Vergleichbares) einen
auch umgesetzt wird, effektiv schützen. 6 Vgl. Bitkom, 6 von 10 Internetnutzern
raschen Handlungsbedarf vorgibt oder
Ob Drucker, Smartphone, Fitness-Tra- von Cyberkriminalität betroffen, Pressemit-
im Text besonders vehement auf das
cker oder Kühlschrank: Wo immer ein teilung vom 03.12.2020 (zuletzt abgerufen
Anklicken genau dieses Links gepocht am: 04.12.2020), dort auch zum Folgenden.
Netzwerk genutzt wird, das nicht ab-
wird. Überwiegt am Ende die Skepsis,
solut und kategorisch vom Internet ab- 7 Vgl. Fn. 1, S. 18.
sollte die Mail sofort in den Spam-Ord-
geschottet ist (und das dürfte selten der 8 Vgl. Fn. 1, S. 20, dort auch zum Fol-
ner verschoben bzw. gelöscht werden.
Fall sein), muss hinterfragt werden, ob genden.
Je nach unternehmensinterner Regelung
und welche Maßnahmen zur Gewähr- 9 Vgl. Fn. 1, S. 20.
sollte ggf. auch die IT-Abteilung infor-
leistung eines angemessenen IT-Sicher- 10 Vgl. Fn. 1, S. 30.
miert werden.
heitsniveaus zu ergreifen sind. Die Zeit 11 Vgl. Bitkom, 6 von 10 Internetnutzern
Neben Schwachstellen oder möglichen und Mühe, diese Maßnahmen auch tat- von Cyberkriminalität betroffen, Pressemit-
Einfallstoren, die beispielsweise über sächlich praktisch umzusetzen, sind in teilung vom 03.12.2020 (zuletzt abgerufen
das betriebsinterne ISMS bekannt wer- jedem Fall gut investiert. am: 04.12.2020); vgl. auch Fn. 1, S. 16.
den, sollten auch allgemeine, in der 12 Vgl. Fn. 1, S. 44f., dort auch zum
Tagespresse besprochene Sicherheits- Folgenden.
risiken beobachtet, geprüft und ge- Fazit 13 Vgl. Fn. 1, S. 29.
gebenenfalls zeitnah reagiert werden. 14 Vgl. ausführlich Vgl. Fn. 1, S. 53ff.
Mögliche Maßnahmen sind je nach Situ- 15 Vgl. Vgl. Fn. 1, S. 32.
ation etwa das Einspielen von Software- Eine funktionierende und vor allem
16 Vgl. Fn. 1, S. 24f.
updates und -patches, das Blockieren sichere digitale Infrastruktur auf allen
17 Vgl. Fn. 1, S. 33ff.
bestimmter Absender von E-Mails, aber Ebenen – zuhause, im Unternehmen,
in öffentlichen Stellen und überall da- 18 Vgl. Fn. 1, S. 23f., dort auch zum
auch das Aktualisieren des Betriebs- Folgenden.
systems, sobald der Support eingestellt zwischen – ist eine unerlässliche Vor-
aussetzung dafür, sich der eigentlichen 19 Fn. 1, S. 24.
wird. Letzteres gilt beispielsweise – und
gleichzeitig ganz besonders – für Win- Arbeit widmen und Kontakte im virtu-
dows 7: das Betriebssystem kann zwar ellen Raum aufrechterhalten zu können.
noch installiert werden und funktioniert Richtig implementiert und sorgfältig
auch noch, ist allerdings nicht mehr vor gepflegt ermöglichen digitale Lösungen
neuen Risiken geschützt und so ausge- die Vereinfachung oder gar vollständi-
sprochen verwundbar.18 ge Automatisierung von Randaufgaben,
sparen Zeit sowie finanzielle und perso-
Generell ist auch ein gewisses Maß an nelle Ressourcen und können durchaus
Minimalismus zu empfehlen; ein Sys- auch die Nerven schonen.
tem sollte stets nur diejenigen Program-
me und Schnittstellen enthalten, die
tatsächlich benötigt werden. So kann Priska Katharina Büttel
die Angriffsfläche verringert werden
(„Härtung“)19. Eine vernünftige Back-
up-Strategie kann dank regelmäßiger
Datensicherungen den Schaden begren-
zen, sollte es – durch Ransomware, aber
auch wegen allgemeiner technischer
Probleme – zu einem Datenverlust oder
BayWiDI Magazin Dezember 2020 – Seite 9/13
Tracking jenseits des Rechts
Technische Möglichkeiten der Nutzerverfolgung in Webbrowsern
Tracking (zu Deutsch: Verfolgung) on-
line ist heutzutage allgegenwärtig. Ob
und wie wir uns davor schützen kön-
nen, ist eine der wichtigsten Fragen, die
uns in Verbindung mit der Internetnut-
zung begegnet. Die Kernaufgabe eines
Trackers ist, das Verhalten mensch-
licher Besucher auf einer Webseite zu
messen bzw. aufzuzeichnen. Die Mög-
lichkeiten der Messung reichen von
einem einfachen Besucherzähler bis zur
Feststellung der Identität über mehrere
Seiten und Domains hinweg.
Mit der Zunahme des Trackings auf
Internetseiten und Apps wurden auch
die Techniken fortlaufend perfektio-
niert. So stieg beispielsweise die Zahl
der Trackinganfragen, die eine Web-
lichkeiten für Apps und Programme Webseite nennen wir heute “Cookies”.
seite im Hintergrund ausführt, von 0-1
gehen weit über die Möglichkeiten des
(1996) auf bis zu 30 (2016)1. Während Zusätzlich zum Inhalt des Cookies
Trackings auf Webseiten hinaus, denn
die Verfolgung von Benutzern oft mit merkt sich der Browser, welche Seite
diese Programme verfügen über erhöh-
der angezeigten Werbung und deren (Domainname) dieses gesetzt hat. Die
te Rechte und können (meist ohne Be-
kommerziellen Nutzen in Verbindung Cookies der besuchten Seite werden
grenzung) Dateien auf dem Computer
gebracht wird, kann Tracking durch- Erstanbietercookies genannt. Diese
oder Smartphone lesen und schreiben
aus auch für kriminelle Ziele eingesetzt dienen meistens dazu, individuelle Ein-
sowie Hintergrunddienste ausführen.
werden. Ein harmloses Beispiel ist die stellungen der Webseite zu speichern,
Dadurch sind Programme in der Lage,
individualisierte Preisbildung bei On- können aber auch beispielsweise in
Benutzerinteraktionen viel detaillier-
lineshops, aber das Spektrum ist breit. einem Onlineshop den Inhalt des Wa-
ter zu erfassen als Webseiten. Dem-
Mit ausreichend vielen Daten über eine renkorbs speichern.
gegenüber werden Webseiten durch
Person lässt sich sogar deren Identität
den Browser in einer sehr stark einge- Im Gegensatz zu den Erstanbietercoo-
stehlen.2 Die zunehmende Verbreitung
grenzten Umgebung (sog. Sandkasten) kies werden Drittanbietercookies nicht
der großflächigen Datensammlung
ausgeführt. Dies soll verhindern, dass durch die besuchte Seite, sondern durch
veranlasste auch den Gesetzgeber, die
böswillige Webseiten Schaden auf dem dritte Parteien gesetzt. Ein bekanntes
rechtlichen Rahmenbedingungen zu
Endgerät anrichten können. Nach dem Beispiel dafür sind YouTube-Videos,
präzisieren und die erlaubten Praktiken
Verlassen der Webseite wird dieser die in einem Blog eingebunden sind.
einzugrenzen. So entstand unter ande-
Sandkasten vernichtet und es gibt keine Das Video wird über eine Querver-
rem die DSGVO, die die Sammlung,
Möglichkeit für die Webseite, weiterhin linkung in die Webseite eingebunden.
Speicherung und Verarbeitung perso-
Programmcode auf dem Endgerät aus- Dabei kann YouTube nach Belieben ver-
nenbezogener Daten regelt.
zuführen. schiedene Drittanbietercookies setzen.
Doch das Gesetz vermag die tech- Cookies, die von externen Parteien ge-
nischen Möglichkeiten nicht einzu- setzt werden, eignen sich hervorragend
schränken. In diesem Beitrag werden Cookie ≠ Cookie für Werbezwecke. Ein Online-Werbe-
ausgewählte Methoden zum Tracking unternehmen kann beispielsweise eine
im Internet dargestellt und anschließend bestimmte Querverlinkung bereitstel-
die Frage untersucht, bis zu welchem Doch auch in dieser eingeschränk- len, die von vielen Webseitenbetreibern
Grad diese mittels technischer Maßnah- ten Umgebung bleibt die Verfolgung eingebunden wird, und damit einen
men durch den Endnutzer verhindert trotzdem grundsätzlich möglich. Da Benutzer über mehrere Seiten hinweg
werden können. der Sandkasten nach dem Schließen tracken.
der Seite vernichtet wird, musste eine
Möglichkeit geschaffen werden, um
Tracking im Internet zwischen mehreren verschiedenen Auf- Tracking ohne Cookies
rufen der Webseite Informationen spei-
chern zu können. Dies war insbesondere
Obwohl die Verfolgungstechniken für nützliche Funktionen gedacht, wie Während sich Browserhersteller früher
durch Webseiten den meisten bekannt z.B. das Speichern benutzerdefinierter eher zurückhaltend gezeigt haben, wenn
sind, findet man Datensammler auch Einstellungen oder einer Sitzung. Das es darum ging, mehr Privatsphäre beim
in Mobilen Applikationen und Compu- Speichern von Informationen auf dem Surfen zu ermöglichen, haben sie in
terprogrammen. Die Verfolgungsmög- Computer des Benutzers durch eine jüngerer Vergangenheit vermehrt Funk-
BayWiDI Magazin Dezemer 2020 – Seite 10/13Tracking jenseits des Rechts
tionen zur Blockierung von Drittan- sehr effektiv minimieren kann, da ein
bietercookies implementiert. Dadurch Großteil der Tracker auf Drittanbieter-
Gegenmaßnahmen
gestaltet es sich für Werbefirmen immer cookies setzen. Wie eindeutig der eige-
schwieriger, Werbung über Drittanbie- ne Browser-Fingerabdruck ist, lässt sich
tercookies abzuwickeln. Damit rücken auf der Seite der Electronic Frontier
Während die Möglichkeiten für
Lösungen in den Vordergrund, die keine Foundation (EFF) testen5. Nach einigen
Tracking sehr breit gefächert sind,
Cookies benötigen und den Benutzer Testschritten bekommt der Benutzer
existieren selbstverständlich auch
durch andere Methoden erfassen kön- Informationen über seinen Browser, so
Gegenmaßnahmen, die die Verfolgung
nen. wie ihn ein Tracker sehen würde. Die
einschränken können. Strebt man nach
einzelnen Merkmale sind jeweils mit
möglichst absoluter Anonymität, sollte
einer Erläuterung versehen. Zu jedem
man beispielsweise den Tor-Browser in
Merkmal werden außerdem Möglich-
Betracht ziehen. Bei diesem Browser ist
keiten vorgeschlagen, wie der Fingerab-
standardmäßig JavaScript deaktiviert.4
druck weiter verschleiert werden kann.
Fingerprinting durch JavaScript ist so
Diese Maßnahme ist jedem zu empfeh-
durch den Tor-Browser praktisch aus-
len, denn sie fördert die Anonymität im
geschlossen. Zudem sind auch weitere
Netz ohne große technische Kenntnisse
Browsermerkmale so eingestellt, dass
und Aufwand.
sie bei allen Tor-Browsern gleich sind.
Dabei können Webseiten zwar erkennen,
dass es sich um einen Tor-Browser Fazit
handelt, jedoch nicht, um welche
Das Stichwort dazu ist Browser-Fin- Variante. Diese Einschränkungen haben
gerprinting. Dabei nutzen Tracker die aber auch ihre Schattenseiten. Ein Zusammenfassend ist zu sagen, dass
Tatsache aus, dass jeder Browser beim Großteil der heute verfügbaren Web- es fast unmöglich ist, sich als Durch-
Anfragen einer Webseite Informationen seiten ist ohne JavaScript nicht oder schnittsnutzer des Internets komplett
über sich preisgibt: Zum einen werden nur bedingt funktionstüchtig. Daher ist vor Tracking zu schützen. Mit einigen
beim Laden der Webseite Informatio- der Tor-Browser nur für deutlich fort- wenigen, einfach durchführbaren Maß-
nen über Browser und Betriebssystem geschrittene Anwender zu empfehlen. nahmen lässt sich der Umfang, in dem
gesendet (User Agent String), zum an- Eine Alternative dazu bieten Erweite- man getrackt wird, trotzdem minimie-
deren kann das Verhalten eines Brow- rungen, mit denen bestimmte Teile einer ren. Sowohl auf der Seite der EFF als
sers nach dem Laden der Seite erfasst Webseite blockiert werden können. Man auch in zahlreichen anderen Informa-
werden. Dies passiert mit der Program- könnte sie auch als Website-Firewall tionsangeboten lassen sich gängige Me-
miersprache ECMAScript, die von allen bezeichnen, denn der Benutzer kann thoden finden, die eigenen Spuren im
modernen Browsern ausgeführt werden für jede Webseite seine eigenen Präfe- Netz zumindest zu reduzieren.
kann. ECMAScript (auch JavaScript renzen einstellen. Ein Beispiel für ein
genannt) dient dazu, dem Benutzer ein solches Programm ist uMatrix. Diese
interaktives Webseitenerlebnis zu bie- Erweiterung erlaubt es dem Benutzer, je Lóránt Meszlényi
ten. nach Anbieter und Typ der Querverlin-
Bei einfachen Webseiten kann das die kung zu entscheiden, ob die Ausführung
Überprüfung der Eingaben in Formu- zugelassen wird oder nicht. Ein wichti- Literaturnachweise
laren sein, aber auch fortgeschrittene ger Unterschied zu Werbeblockern ist, 1 Vgl. Lerner et al., Internet Jones and the
Programme und sogar Spiele sind da- dass Blocker primär das Ziel verfolgen, Raiders of the Lost Trackers: An Archaeo-
mit möglich. So können auch z. B. die Werbeanzeigen zu entfernen, aber dabei logical Study of Web Tracking from 1996
Bildschirmauflösung mittels JavaScript die Funktionalität der Webseite zu er- to 2016, in: 25th USENIX Security Sympo-
ermittelt sowie die Position des Maus- halten. Im Gegensatz dazu erlaubt uM- sium (USENIX Security 16), Austin, TX:
zeigers in Echtzeit erfasst werden. Mit atrix jede Art von Blockierung, sodass USENIX Association, August 2016 (zuletzt
die Seiten u.U. durch die Blockierung abgerufen am: 04.12.2020).
diesen Möglichkeiten lassen sich selbst-
verständlich auch Verfolgungsmaßnah- „kaputtgehen“ können. Der Entwickler 2 Vgl. Bujlow et al., A Survey on Web
selbst erwähnt auf der Projektseite, dass Tracking: Mechanisms, Implications, and
men realisieren. Beispielsweise kann
Defenses, in: Proceedings of the IEEE,
man einen eindeutigen Wert für einen es sein kann, dass je nach Einstellung
Vol. 105 Nr. 8 (2017), S. 1476–1510.
bestimmten Browser berechnen, also gewisse Aspekte einer Seite nicht mehr
3 Tremmel, Browser-Fingerprinting
seinen Fingerabdruck.3 funktionieren. Dies ist auch der Grund,
gestern und heute, Golem.de, 20.06.2019
warum diese Methode ebenfalls eher für (zuletzt abgerufen am: 04.12.2020).
Kombiniert der Tracker die durch
technisch versierte Benutzer empfohlen
JavaScript gewonnenen Daten mit 4 Vgl. die Webseite des Tor-Projekts (zu-
wird. Wie im vorherigen Abschnitt be- letzt abgerufen am: 04.12.2020)
weiteren Informationen, die beim
schrieben, können Drittanbietercookies
Laden der Webseite durch den Browser 5 EFF, Cover Your Tracks – See How
auch durch den Browser blockiert wer- Trackers View Your Browser, A Project of
gesendet werden, ist der Fingerabdruck
den. Die Funktion ist in allen populären the Electronic Frontier Foundation (zuletzt
noch exakter.
Browsern verfügbar. Sie ist eine ein- abgerufen am: 04.12.2020).
fache Maßnahme, die Tracking jedoch
BayWiDI Magazin Dezember 2020 – Seite 11/13Sie können auch lesen
