≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 32. TB 2022 > 12. Technik und Organisation

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022

12. Technik und Organisation

12.1. Datenschutzrechtliche Anforderungen für Penetrationstests

Täglich neue Meldungen und Hinweise aus dem Bereich der Sicherheit der Verarbeitung und der IT-Sicherheit zeigen, dass auch bayerische öffentliche Stellen in den Fokus der Cyberkriminalität geraten können. Bei digitalisierten Verarbeitungen sind Verantwortliche aufgerufen, Angriffsmöglichkeiten Dritter frühzeitig zu entdecken und durch technisch-organisatorische Maßnahmen wirksam zu verhindern. Sogenannte Penetrationstests sind eine erprobte und geeignete Maßnahme, um das Angriffspotenzial bei digitalisierten Verarbeitungen festzustellen. Bei einem solchen Test werden die Erfolgsaussichten eines vorsätzlichen Angriffs in Form einer Momentaufnahme eingeschätzt und daraus notwendige ergänzende Schutzmaßnahmen abgeleitet bzw. die Wirksamkeit von bereits umgesetzten Schutzmaßnahmen überprüft.

Im Rahmen eines Penetrationstests kann regelmäßig nicht ausgeschlossen werden, dass zumindest die Durchführenden Zugriff auf personenbezogene Daten erhalten und diese verarbeiten. In diesem Fall stellt der Test selbst eine Verarbeitung dar, welche die einschlägigen datenschutzrechtlichen Anforderungen erfüllen muss.

Auch einige Datenpannenmeldungen von bayerischen öffentlichen Stellen bestätigen eindrucksvoll, dass bei einem Penetrationstest datenschutzrechtliche Aspekte vorab zu beachten und Risiken zu reduzieren sind, um auch bei solchen Tests ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Der Verantwortliche kann Penetrationstests entweder selbst vornehmen oder sie durch andere Stellen als Dienstleister durchführen lassen. In beiden Fällen ist insbesondere auf die folgenden Punkte zu achten:

  • Klassifizierung eines Penetrationstests:

    Üblicherweise werden technische Penetrationstests in Blackbox- und Whitebox-Tests unterteilt, wobei Kombinationen aus diesen beiden Tests als Greybox-Test bezeichnet werden. Bei einem Blackbox-Test stehen den durchführenden Personen lediglich die Adressinformationen des Zielsystems zur Verfügung. Mittels der Vorgehensweise "Blackbox-Test" soll der Angriff eines typischen Außentäters simuliert werden, bei dem nur unvollständige und öffentlich zugängliche Kenntnisse über das Zielsystem vorliegen. Dagegen haben die durchführenden Personen bei einem Whitebox-Test umfangreiche Informationen über die zu testenden Systeme. Dazu gehören beispielsweise Informationen über IP-Adressen des internen Netzes und die eingesetzte Soft- und Hardware. Diese Angaben werden den durchführenden Personen zuvor vom Verantwortlichen mitgeteilt.

    Zudem können Penetrationstests in unterschiedlicher Tiefe durchgeführt werden. Zu vermeiden sind dabei destruktive Tests, das heißt Tests, bei denen die Zielsysteme, auf denen personenbezogene Daten verarbeitet werden, zu Schaden kommen können.

  • Zweckfestlegung:

    Die Zweckbestimmung für einen Penetrationstest, bei dem zumindest möglicherweise personenbezogene Daten verarbeitet werden, muss datenschutzrechtlich hinreichend bestimmt und tragfähig sein. Vorab sollte der Verantwortliche den behördlichen Datenschutzbeauftragten und gegebenenfalls auch die Personalvertretung einbinden.

  • Durchführende Stellen und Personen:

    Dem Verantwortlichen sollte bewusst sein, dass die Stellen und Personen, die den Penetrationstest durchführen, gewöhnlich Zugriff auf personenbezogene Daten und die diese schützende Technik erhalten. Je nach Prüfungskontext können mit dieser Offenlegung hohe datenschutzrechtliche Risiken verbunden sein. Neben der Besonderheit, dass sich aus bereichsspezifischen Sonderregelungen zur Auftragsverarbeitung schon ausdrücklich besondere Anforderungen an die Durchführenden ergeben können, ist stets auf eine geeignete technische sowie sonstige fachliche und persönliche Qualifikation der Durchführenden zu achten.

    Beispielsweise darf eine Schule ihre Schülerinnen und Schüler nicht während entsprechender Projektarbeiten veranlassen, relativ selbständig Penetrationstests an produktiven schulischen IT-Systemen durchzuführen. Hier wäre das Risiko viel zu hoch, dass schulische personenbezogene Daten insbesondere auf den für den Penetrationstest genutzten Privatgeräten rechtswidrig verarbeitet werden. Aber auch ohne schulische Veranlassung besteht die Gefahr, dass Schülerinnen und Schüler neu erworbene IT-Kenntnisse anhand schulischer IT-Systeme ausprobieren möchten. Da in diesem Kontext auch eine strafrechtliche Relevanz nicht ausgeschlossen werden kann, sollten Schulen dieses Risiko mit geeigneten Schutzmaßnahmen (zum Beispiel Sensibilisierung der Lehrkräfte, Schülerinnen und Schüler) reduzieren.

  • Speicherbegrenzung:

    Da in der Regel nicht ausgeschlossen werden kann, dass die Durchführenden während des Penetrationstests personenbezogene Daten verarbeiten und diese zur Erstellung bzw. zur Rechtfertigung des Prüfberichts erforderlich sind, muss vorab festgelegt werden, welche Daten in welcher Form (zum Beispiel verschlüsselt und/oder pseudonymisiert) und auf welchen Datenträgern verarbeitet werden. Zudem muss festgelegt sein, nach welcher Zeit die erhobenen Daten gelöscht werden müssen und welche Nachweise für die Löschung zu erbringen sind.

  • Rechenschaftspflicht:

    Wenn ein Penetrationstest mit einer Verarbeitung personenbezogener Daten verbunden ist, muss der Verantwortliche insofern auch seine Rechenschaftspflicht erfüllen (Art. 5 Abs. 2 DSGVO). Im Falle einer Hochrisikoverarbeitung geschieht dies in Form einer Datenschutz-Folgenabschätzung. In anderen Konstellationen kann im Rahmen dieses Nachweises auch auf eine allgemeine datenschutzrechtliche Risikoanalyse zurückgegriffen werden.

  • Weiterführende Literatur:

    Es gibt zahlreiche weitere Anforderungen, Empfehlungen und Hinweise für die Durchführung von Penetrationstests, so etwa den "Praxis-Leitfaden für IS-Penetrationstests" des Bundesamtes für Sicherheit in der Informationstechnik. Darin werden auch Anforderungen, die aus datenschutzrechtlicher Sicht zu beachten sind, dargelegt (zum Beispiel Vier-Augen-Prinzip bei der Durchführung, Dokumentation, Durchführung von Wiederholungsprüfungen, gegebenenfalls Einverständnis von Betreibern der zu testenden IT-Systeme).

Beauftragt der Verantwortliche eine andere Stelle mit der Durchführung von Penetrationstests, müssen regelmäßig die Voraussetzungen der Auftragsverarbeitung gemäß Art. 4 Nr. 8, Art. 28 DSGVO eingehalten werden. Insbesondere muss grundsätzlich ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden, der den Anforderungen von Art. 28 Abs. 3 DSGVO genügt. Dort kann auch als vertragliche Leistungsposition vereinbart werden, dass der beauftragte Dienstleister dem Verantwortlichen bei der Erstellung von datenschutzrechtlichen Nachweisen wie beispielswiese einer Risikoanalyse zuarbeiten muss.

12.2. Datenschutz-Folgenabschätzung (DSFA) und Risikoanalyse in der Praxis

Der Umgang mit Risiken ist nicht immer einfach. Das ist auch im Datenschutzrecht so. Damit bayerische öffentliche Stellen Risiken bei der Verarbeitung personenbezogener Daten noch leichter aufspüren und angemessen reduzieren können, habe ich mein Informationsangebot rund um die Datenschutz-Folgenabschätzung weiter ausgebaut.

Die neue, über 80 Seiten starke Orientierungshilfe "Risikoanalyse und Datenschutz-Folgenabschätzung - Systematik, Anforderungen, Beispiele" bildet nun das Kernstück des umfangreichen Informationspakets. Sie entwickelt für die Datenschutz-Folgenabschätzung und die in Datenschutzliteratur und Datenschutzpraxis weniger im Fokus stehende allgemeine Risikoanalyse einen gemeinsamen methodischen Ansatz. Erweitert wurde das zu diesem Informationspaket gehörende Set von Formularen, welche die Durchführung von Datenschutz-Folgenabschätzungen und allgemeinen Risikoanalysen anleiten und eine ordnungsgemäße Dokumentation unterstützen sollen. Der konkrete Einsatz dieser Formulare wird durch mehrere, in sechs Modulen strukturierte Beispiele veranschaulicht.

Alle diese Hilfen legen besonderen Wert auf die Durchführung in der Praxis und versetzen auch kleinere Staatsbehörden und Kommunen in die Lage, mit Datenschutzrisiken adäquat umzugehen. In diesem Zusammenhang erwähnenswert ist etwa der Gedanke der Skalierung: Risikoanalysen müssen nicht in jedem Fall aufwändig sein; je nach Anlass sind verschiedene "Ausbaustufen" möglich. Das wird anhand mehrerer konkreter Anwendungsfälle beispielhaft dargestellt.

Zudem kann eine zweigeteilte Datenschutz-Folgenabschätzung oder eine zweigeteilte allgemeine Risikoanalyse den Aufwand verantwortlicher Stellen deutlich reduzieren. Wirken bei einer Verarbeitungstätigkeit mehrere Stellen zusammen, kann im Einzelfall die formale Aufteilung nach Wissens- und Zuständigkeitssphären sowie aus Effizienz-, Konsistenz- und Aktualitätsgründen sinnvoll sein. Ein solches Zusammenwirken kann insbesondere im Verhältnis zwischen einem Verantwortlichen und dem Hersteller eines Betriebsmittels oder einem Auftragsverarbeiter, ebenso in Fällen gemeinsamer Verantwortlichkeit sinnvoll sein. Die jeweiligen Teile einer Datenschutz-Folgenabschätzung oder einer allgemeinen Risikoanalyse können in solchen Konstellationen in einer vorab geplanten Verweisstruktur synergetisch miteinander verbunden werden.

In meiner Beratungspraxis konnten noch weitere typische Optimierungspotenziale bei der Durchführung von Datenschutz-Folgenabschätzungen und allgemeinen Risikoanalysen identifiziert werden, die in den Arbeitshilfen neben den bereits genannten Aspekten aufgezeigt werden.

12.3. Arbeitsgruppe zu Ethik und Datenschutz bei Künstlicher Intelligenz

Künstliche Intelligenz (KI) verbreitet sich rasant in Wirtschaft und Gesellschaft und hält in immer mehr Lebensbereichen Einzug. Bisher noch auf Spezialanwendungen beschränkte künstliche Intelligenzen sind selbst in Smartphone-Apps keine Seltenheit mehr, bei denen diese im Hintergrund auf dem Server des Anbieters oder als vortrainierte Machine-Learning-Modelle sogar lokal auf dem Gerät des Anwenders oder im Browser laufen. Die Auseinandersetzung mit den verschiedenen Spielarten dieser Technologie und den damit jeweils einhergehenden Risiken für die Rechte und Freiheiten der Nutzer und der Gesellschaft wird auf absehbare Zeit wachsende Bedeutung gewinnen.

Die Internationale Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (International Conference of Data Protection & Privacy Commissioners - ICDPPC) benannte sich zum Jahr 2020 in "Internationale Datenschutzkonferenz" (Global Privacy Assembly - GPA) um. Dieses Gremium bildete per Beschluss eine ständige Arbeitsgruppe, die sich mit ethischen Fragen und speziell dem Thema Datenschutz im Bereich künstlicher Intelligenz befasst ("Working Group on Ethics and Data protection in Artificial Intelligence").

Anfang 2021 einigte sich die Arbeitsgruppe auf ihre Jahresziele und organisierte sich für die Umsetzung ihrer Arbeitspakete in Teams von Berichterstattern und Mitberichterstattern. Ich beteiligte mich in der Rolle eines Beobachters an dieser Gruppe und kann von folgenden Arbeitsergebnissen der Arbeitsgruppe berichten:

  • Es wurde eine gemeinsame Sammlung von KI-bezogenen Dokumenten geschaffen, auf die alle GPA-Mitglieder und Beobachter zugreifen können.
  • Bei der Entwicklung künstlicher Intelligenzen gilt es, Bias (Voreingenommenheit) und Diskriminierung auszuschließen. Dazu kann es aber aus statistischen Gründen nötig sein, die damit zusammenhängenden Eigenschaften zu sammeln. So entsteht aber durch dafür nötige zusätzliche Datenerhebungen möglicherweise ein neues Datenschutzrisiko. Zu diesem Aspekt wurden Risikoanalysen durchgeführt, die relevante und insbesondere gesamtgesellschaftliche Risiken aufdecken und grundlegende Hinweise für den Umgang mit diesen Risiken in Bezug auf die verschiedenen beteiligten Interessengruppen geben sollen.
  • Es wurde eine Umfrage zu Kapazitäten und der Expertise der Behörden im Umgang mit Ethik- und Datenschutzfragen in KI-Systemanwendungen durchgeführt. Diese Umfrage stellte einen ersten Schritt dar, um die Arbeit der Arbeitsgruppe in Zukunft hinsichtlich Kapazitäten und Expertise im Bereich KI festzustellen. Die Ergebnisse sollen für eine Gap-Analyse genutzt und es sollen entsprechende Empfehlungen gegeben werden, um den Wissensaustausch und den Kapazitätsaufbau im Bereich KI innerhalb der GPA zu verbessern.
  • Die Arbeitsgruppe erstellt einen Bericht zum Thema Datenschutz im Beschäftigungskontext im Allgemeinen und zur Arbeitgeberüberwachung im Besonderen. Auch hierzu wurde eine Umfrage durchgeführt.
  • Aufgrund der besonderen datenschutzrechtlichen Brisanz und gesamtgesellschaftlichen Auswirkung gründete die Arbeitsgruppe eine eigene Untergruppe zum Thema Gesichtserkennung (Face Recognition Technologies - FRT) und beauftragte diese mit der Erarbeitung von Grundsätzen und Anforderungen bei der Verwendung personenbezogener Daten in diesem Bereich. Die diesbezügliche "Entschließung über Grundsätze und Erwartungen für die angemessene Nutzung personenbezogener Daten in der Gesichtserkennungstechnologie" wurde auf der 44. Sitzung der GPA verabschiedet.
  • Weitere Informationen über die Arbeit und Ergebnisse der Gruppe werden im offiziellen Bericht ausführlicher dargestellt. Im Allgemeinen scheinen die ursprünglich identifizierten Prioritäten aber weiterhin Gültigkeit zu besitzen. Die nächste Arbeitsphase der Gruppe wird einerseits durch die Überwachung konkreter Gesetzesinitiativen einiger nationaler, regionaler und internationaler Stellen gekennzeichnet sein und andererseits durch die Notwendigkeit, langfristige Herausforderungen für die Menschenrechte zu berücksichtigen, wie etwa Umweltentwicklungen und globale Ungleichheit.

12.4. Unzulässige Veröffentlichung von personenbezogenen Daten im Internet

Immer wieder musste ich im Berichtszeitraum feststellen, dass öffentliche Stellen auf Grund von Fehlern ihrer Beschäftigten unzulässig auf ihren Webseiten personenbezogene Daten veröffentlichten. Regelmäßig gibt es hierfür drei mögliche Ursachen:

  • Veröffentlichung auf Grund von Unwissenheit oder mangelnder Sensibilität, dass ein personenbezogenes Datum nicht veröffentlicht werden darf: Im Berichtszeitraum wurde beispielsweise ein Gemeinderatsprotokoll auf die Webseiten einer Gemeinde eingestellt, in dem Gesundheitsdaten einer Person enthalten waren, die durch die genannte Amtsbezeichnung identifizierbar war.
  • Veröffentlichung auf Grund von Unachtsamkeit: Im Berichtszeitraum wurden beispielsweise nicht für die Öffentlichkeit bestimmte Dokumente aus einer Gemeinderatssitzung versehentlich auf den Webseiten der Gemeinde veröffentlicht, die zugleich personenbezogene Daten von Bürgerinnen und Bürgern enthielten.
  • Veröffentlichung auf Grund der falschen Konfiguration eines Webservers: Auch beispielsweise zu weit reichende Berechtigungen für interne Verzeichnisse zum Datenaustausch können zur unzulässigen Veröffentlichung führen.

Unabhängig von den möglichen Ursache ist die verantwortliche Stelle verpflichtet zu prüfen, ob es sich um einen meldepflichtigen Vorfall gemäß Art. 33 DSGVO handelt und ob die betroffenen Personen gemäß Art. 34 DSGVO benachrichtigt werden müssen. Hierfür verweise ich auf meine Orientierungshilfe "Meldepflicht und Benachrichtigungspflicht des Verantwortlichen".

Wie ich in meiner Orientierungshilfe "Das Recht auf Löschung nach der Datenschutz-Grundverordnung" ausgeführt habe, können Betroffene vom Verantwortlichen verlangen, den für die Datenverarbeitung Verantwortlichen, die diese personenbezogenen Daten verarbeiten (also beispielsweise Suchmaschinen), mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen.

Nachdem im Folgenden zunächst die Weiterverarbeitung von im Internet veröffentlichten Daten durch Suchmaschinenbetreiber und Webarchive dargestellt wird, werden sodann Wege aufgezeigt, wie dort aus praktischer Sicht eine Löschung veranlasst werden kann.

12.4.1. Suchmaschinen und Webarchiv

Suchmaschinen indexieren laufend das World Wide Web. Hierfür durchsuchen sie die öffentlich erreichbaren Webseiten nach bestimmten Kriterien ("Crawling"). Diese Kriterien unterscheiden sich von Suchmaschine zu Suchmaschine und sind wohlgehütete Geschäftsgeheimnisse der jeweiligen Suchmaschinenbetreiber. Durch das Crawling können Suchmaschinen ihre Suchindizes - das verschlagwortete Verzeichnis der Webseiten - aktuell halten. Hierbei werden neue Webseiten oder veränderte Inhalte im Suchindex berücksichtigt; ebenso wird erkannt, wenn Inhalte auf Webseiten nicht mehr verfügbar sind. Die Aktualisierung der Suchindizes erfolgt laufend, allerdings kann es unter Umständen mehrere Monate dauern, bis sich Änderungen an Webseiten im Suchindex auswirken.

Eine Suchmaschine gibt auf Grund der Anfrage eines Nutzenden und des darauf erfolgten Nachschlagens im Suchindex eine Suchergebnisliste an den Nutzenden zurück. Die Suchergebnisliste enthält üblicherweise nicht nur Links mit möglichen passenden Webseiten, sondern auch Auszüge aus den Inhalten der Webseiten. Bereits in den Suchergebnissen können somit die unzulässig veröffentlichten Daten sichtbar sein. Da Suchergebnisse durch die laufende, aber verzögerte Aktualisierung nicht immer den aktuellen Veröffentlichungsstand der Webseite widerspiegeln, werden diese Daten hier in der Regel auch nach der Löschung von der eigenen Webseite weiterhin für einige Zeit angezeigt.

Neben der Bereitstellung der Suchergebnisse gibt es Suchmaschinen, die Webseiten in ihren Cache aufnehmen, das heißt die Seiten in Gänze kopieren und den Nutzenden zur Verfügung stellen. Somit kann beispielsweise bei Ausfall eines Webservers ein Inhalt dennoch abgerufen werden oder gegebenenfalls auch eine Vorversion des aktuellen Inhalts betrachtet werden. Letzteres ist in erweiterter Form Strategie der WayBack-Maschine, die sich als eine digitale Bibliothek für Webseiten versteht und dafür unterschiedliche Versionsstände aller zugänglichen Webseiten im World Wide Web ("Snapshots") speichert und frei zugänglich zur Verfügung stellt. Während Suchmaschinen Suchergebnisse und auch Cache-Versionen nach einiger Zeit entfernen, wenn die Ursprungsquelle nicht mehr vorhanden ist, ist eine automatische Löschung bei der WayBack-Maschine nicht vorgesehen. Während sich also Suchmaschinen mit der Zeit selbst bereinigen, ist dies bei der WayBack-Maschine nicht der Fall. Sollen Daten aus ihr entfernt werden, muss explizit eine Löschung beantragt werden.

Google ist in Deutschland derzeit die marktführende Suchmaschine, gefolgt von Bing (Microsoft). Sowohl Google wie auch Bing legen eigene Suchindizes an, die auch von anderen Suchmaschinen genutzt werden. Ebenso erstellen diese beiden Suchmaschinen Cache-Kopien der Webseiten. Daher erscheint es sinnvoll, zumindest diese beiden Anbieter über ein Löschbegehren zu informieren. Sind die Suchmaschinenbetreiber tätig geworden und haben die Suchindizes aktualisiert, werden weder über die Suchergebnisse noch über den Cache die entsprechenden Daten preisgegeben.

12.4.2. Praktisches Vorgehen

Will eine verantwortliche Stelle Daten bei einer Suchmaschine löschen lassen, besteht der erste Schritt darin zu prüfen, ob Suchmaschinen die betreffenden Seiten bereits gecrawlt haben, die fraglichen personenbezogenen Daten bereits in den Suchindizes gelistet sind und gegebenenfalls in den Suchmaschinencache kopiert wurden.

Hierzu kann in den meisten Suchmaschinen mit dem Operator "site:" gesucht werden, der die Suchergebnisse auf die nach ihm eingegebene Webseite einschränkt. Mit dieser Suche ist auch die korrekte URL (Uniform Resource Locator) ermittelbar, die möglicherweise aus dem Suchindex gelöscht werden muss.

Um - wie im Folgenden beschrieben - tätig werden zu können, ist jeweils ein sogenannter Webmaster-Account und der administrative Zugriff auf die betreffende Webseite Voraussetzung.

Bei beiden Suchmaschinenbetreibern erscheint es derzeit als das schnellste Vorgehen, zunächst die entsprechende (genaue) URL aus den Suchergebnissen temporär entfernen zu lassen (Google: "Tool zum Entfernen und für SafeSearch-Meldungen"; Bing: "Block URLs"). Google zeigt diese URL für etwa sechs Monate nicht mehr an, Bing für 90 Tage. Nach diesem Zeitraum können die Seiten wieder angezeigt werden, wenn sie noch auf dem ursprünglichen Webauftritt verfügbar sind. Beide Suchmaschinenbetreiber erklären allerdings, die entsprechenden Seiten neu zu indexieren. Sind also die betreffenden Daten von der jeweiligen Seite entfernt, wird der neue Seiteninhalt indexiert; ist die Seite mit korrektem HTTP-Status (404 oder 401) komplett entfernt, wird sie nicht wieder in den Suchindex aufgenommen. Über den Webmaster-Account wird laut Suchmaschinenanbieter Rückmeldung über den Stand der Antragsbearbeitung gegeben.

Google gibt an, dass die Bearbeitung eines Antrags auf temporäres Entfernen einer Seite aus dem Suchindex einen Tag dauern könne und die Gefahr bestehe, dass der Antrag abgelehnt würde. Alternativ könne auch die komplette Neuindexierung der Webseite beantragt werden. Das Crawling könne jedoch einige Tage oder auch mehrere Wochen dauern.

Auch das Internetarchiv WayBack-Maschine sollte daraufhin überprüft werden, ob die unzulässig veröffentlichten Daten bereits ihren Weg dorthin gefunden haben, insbesondere, da die WayBack-Maschine nicht vorsieht, die Daten von selbst zu löschen. Auch bei der WayBack-Maschine können Löschanträge gestellt werden.

Prinzipiell können Vorkehrungen getroffen werden, so dass die WayBack-Maschine gar nicht erst Snapshots erstellt. Da eine Webseiten-Kopie bei WayBack im Vergleich zu einer Auflistung von Suchergebnissen bei Suchmaschinen für öffentliche Stellen keinen deutlichen Mehrwert bietet, stellt dies durchaus eine in Betracht zu ziehende Möglichkeit dar. Anleitungen hierfür finden sich bei der WayBack-Maschine selbst oder über eine entsprechende Websuche.

12.4.3. Portale zur Überprüfung auf Schadsoftware

Neben den drei oben beschriebenen Arten der unzulässigen Veröffentlichung auf der Webseite des Verantwortlichen gibt es noch eine weitere, auf die ich hier kurz eingehen möchte.

Verschiedene Portale bieten eine kostenlose Überprüfung von Dateien auf Schadsoftware an. Im Berichtszeitraum wurde mir gemeldet, dass mehrere Dokumente offenbar eines Landratsamts auf einem derartigen Portal veröffentlicht waren. Anscheinend hatte mindestens eine nutzende Person Dokumente des Landratsamts zur Prüfung auf Schadcode hochgeladen. Häufig veröffentlichen entsprechende Portale - zumindest in der kostenlosen Nutzungsvariante - die Dokumente zusammen mit dem Prüfergebnis, so dass dort eine Vielzahl von Dokumenten auffindbar ist, die sensible Inhalte preisgeben.

Derartige Portale warnen im Normalfall ausdrücklich davor, sensible Inhalte hochzuladen, und weisen darauf hin, dass die Dateien anderen Nutzenden zur Verfügung gestellt werden. Leider scheinen diese Hinweise häufig nicht zu fruchten. Je nach Portal und gebuchtem Service können die hochgeladenen Dokumente von allen Nutzenden oder von einer eingeschränkten Nutzergruppe eingesehen werden. Auch wenn diese Dokumente nicht gänzlich frei zugänglich zur Verfügung stehen, stellt die Übermittlung von personenbezogenen Daten an derartige Portale eine unrechtmäßige Offenlegung dar.

Die Löschung hochgeladener Dokumente ist laut Angaben auf den Webseiten entweder nicht möglich oder dem Nutzenden vorbehalten, der die Dokumente hochgeladen hat. Derartige Portale erläutern häufig nicht, wie Löschanträge gestellt werden können. Sofern diese Portale von Anbietern außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung betrieben werden, gestaltet sich die Durchsetzung von Betroffenenrechten gegebenenfalls schwierig. Dennoch sollte eine Kontaktaufnahme über die bekanntgemachten Kontaktwege erfolgen. Im Übrigen müsste bei der Nutzung derartiger Portale gegebenenfalls auch die Datenübermittlung ins Nicht-EU-Ausland den rechtlichen Vorgaben von Art. 44 ff. DSGVO genügen.

Auf Grund einer möglichen Verletzung von Rechten betroffener Personen, die möglicherweise nicht behoben werden kann, rate ich öffentlichen Stellen, derartige Dienste nicht zu nutzen und gegebenenfalls die Nutzung zu sperren, um nicht Gefahr zu laufen, sensible Dokumente zu veröffentlichen. Die Möglichkeit der Prüfung von Dokumenten auf Schadsoftware sollte stattdessen von der eigenen IT-Abteilung deutlich kommuniziert werden. Sollen derartige Dienste dennoch genutzt werden, so sollte ein dediziertes Portal ausgewählt und dessen Bedingungen insbesondere in Bezug auf einen datenschutzkonformen Einsatz ausführlich überprüft werden.

12.5. Sachstandserhebung zur elektronischen Datenverarbeitung im Zusammenhang mit der COVID-19-Pandemie in den Gesundheitsämtern

Wie bereits in meinem 31. Tätigkeitsbericht unter Nr. 10.2 ausgeführt, waren seit Beginn der Pandemie in den bayerischen Gesundheitsämtern nicht nur neue Aufgaben des Infektionsschutzes zu bewältigen und dafür weitere Kräfte zu integrieren; die bayerische Gesundheitsverwaltung hat auch flächendeckend und teils ohne größere Vorbereitungszeit neue IT-Verfahren eingeführt. Dabei entstanden spezifische datenschutzrechtliche Risiken, die durch geeignete Schutzmaßnahmen auf ein angemessenes Niveau reduziert werden mussten. Das gilt insbesondere für die Verarbeitung von Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO.

Vor diesem Hintergrund wandte ich mich im Frühjahr 2022 mit einer Online-Befragung an die bayerischen Gesundheitsämter, um eine Bestandsaufnahme hinsichtlich der personellen und technischen Ausstattung und der damit verbundenen datenschutzrechtlichen Erfordernisse zu gewinnen. Diese Erhebung wurde per Online-Formular auf freiwilliger Basis durchgeführt, um im direkten Kontakt mit den Gesundheitsämtern eventuell datenschutzbezogene Handlungsbedarfe zu identifizieren.

Die Umfrage umfasste die Themenbereiche:

  • personelle Ausstattung, mit Angaben zur Anzahl der internen und externen Personen, die im Zusammenhang mit der Pandemie im Einsatz sind, sowie zu datenschutzrelevanten Vereinbarungen, die externes Personal betreffen;
  • Einsatz von Privatgeräten, mit Fragestellungen zur Nutzung von Privatgeräten und zu Regelungen oder spezifischen technisch-organisatorischen Maßnahmen zur Absicherung der Nutzung von Privatgeräten;
  • Eingesetzte Software, die im Zusammenhang mit der Pandemie operativ genutzt wird. Hier wurde sowohl nach Software, die speziell zur Pandemiebewältigung zur Verfügung stand, wie auch nach Standardsoftware gefragt;
  • Kontaktnachverfolgung, mit Angaben zur Häufigkeit der Anforderung von Kontaktlisten und der dabei eingesetzten IT-Systeme;
  • Elektronische Kommunikation mit Bürgerinnen und Bürgern, mit Fragen zum Einsatz von Fax, verschlüsselter und unverschlüsselter EMail und weiteren Kommunikationsmitteln;
  • Datenschutzmanagement, ein Frageblock zu Dokumentation im Verarbeitungsverzeichnis, Risikoanalyse, Datenschutz-Folgenabschätzung und Datenpannen;
  • Herausforderungen, Handlungsbedarfe und bestehende Good Practice-Umsetzungen.

Zu allen Themenbereichen gab es die Möglichkeit, zusätzliche Kommentare und Erläuterungen mitzuteilen.

An der Umfrage beteiligten sich 37 der 76 bayerischen Gesundheitsämter. Die hohe Beteiligung von fast 50 % begrüße ich sehr, auch wenn ich es bedauere, dass die restlichen Gesundheitsämter nicht die Gelegenheit genutzt haben, an der Erhebung teilzunehmen.

Nachfolgend möchte ich die Ergebnisse der Umfrage kurz zusammenfassen.

12.5.1. Personelle Ausstattung

In diesem Themenabschnitt sollte ein Gesamteindruck zur personellen Ausstattung in Bezug auf die Anzahl der Beschäftigten, die im Rahmen der Bewältigung der Pandemie zum Einsatz kamen und kommen, und die Unterstützung durch Externe sowie die datenschutzrechtlichen Rahmenbedingungen vor Ort für die externe Unterstützung entstehen.

Sieben Gesundheitsämter gaben an, zum Zeitpunkt der Umfragebeantwortung noch Unterstützung durch Externe erhalten zu haben. Da ein Teil der externen Unterstützung durch Beschäftigte anderer öffentlicher Stellen geleistet wurde, für die die Verschwiegenheit zu den Dienstpflichten zählt, wurden nur wenige datenschutzrelevante Vereinbarungen getroffen (zwölf Verschwiegenheitsvereinbarungen, ein Auftragsverarbeitungsvertrag, sechs Regelungen zu Weisungsbefugnissen), zusätzlich gab es Belehrungen über die Dienstpflichten nach der Datenschutz-Grundverordnung und dem Bayerischen Datenschutzgesetz.

Im Rahmen von Meldungen nach Art. 33 DSGVO und Beschwerden hat sich jedoch gezeigt, dass externe Mitarbeitende in Einzelfällen durchaus mangelnde Sensibilität in Sachen Datenschutz gezeigt haben. So wurden beispielsweise die im Zusammenhang mit der Kontaktverfolgung erhobenen Kontaktdaten genutzt, um junge, an COVID-19 erkrankte Frauen auch privat zu kontaktieren. Dies zeigt, wie wichtig auch hier regelmäßige Sensibilisierungsmaßnahmen oder Konsequenzen für die externen Beschäftigten nach Eintreten eines Verstoßes sind.

12.5.2. Einsatz von Privatgeräten

Da insbesondere in Gesundheitsämtern durch die Verarbeitung von sensiblen Gesundheitsdaten ein hohes Sicherheitsniveau bei der Verarbeitung notwendig ist, stellt der Einsatz von Privatgeräten und deren Absicherung am Heimarbeitsplatz ein besonderes Problem dar.

In zehn Gesundheitsämtern kamen der Umfrage nach Privatgeräte wie Tablet, Laptop, Rechner, Smartphone oder Drucker zum Einsatz. In sieben der Stellen gab es eine Dienstvereinbarung zum Einsatz der Privatgeräte, nur ein Gesundheitsamt teilte mit, weder eine Dienstvereinbarung abgeschlossen, noch technisch-organisatorische Maßnahmen für den Einsatz von Privatgeräten gemacht zu haben. Als absichernde Maßnahmen wurden VPN-Tunnel mit Authentifizierung durch Token, die Nutzung einer gekapselten Umgebung und das Verbot zur Speicherung von Daten auf den Privatrechnern genannt.

Auch wenn ich gerade zu Beginn der Pandemie bei der Frage der der Nutzung von Privatgeräten auch bestehenden Gerätemangel und organisatorische Zwänge (rasches Aufwachsen von Personalkörpern in den Gesundheitsämtern) berücksichtigt habe, mache ich nochmals auf die nach wie vor bestehenden besonderen Risiken und die Ausführungen in meinem 25. Tätigkeitsbericht unter Nrn. 2.1.3 und 7.3 aufmerksam.

Eine Meldung nach Art. 33 DSGVO zeigte zudem, dass eine regelmäßige Sensibilisierung der Beschäftigten zum korrekten Umgang mit privater IT notwendig ist. Demnach schickte sich eine Beschäftigte per E-Mail Dokumente an ihre private E-MailAdresse, um diese am privaten Drucker ausdrucken zu können. Hierunter waren auch E-Mails mit personenbezogenen Daten von Geflüchteten. Erst im Nachgang wurde der Beschäftigten klar, dass dies einen Datenschutzverstoß darstellte, und sie informierte ihre Vorgesetzte.

12.5.3. Eingesetzte Software

Neben der eingesetzten Hardware war auch die konkret eingesetzte Software von besonderem Interesse, gerade da diese häufig sehr kurzfristig eingeführt werden musste.

Die bayerischen Gesundheitsämter verwenden hier eine weite Bandbreite an Softwareprodukten. Hierunter fallen die Produkte, die speziell zum Infektionsschutz oder zur Pandemie-Bekämpfung entwickelt wurden, wie BaySIM, SORMAS, R23, CISS - digitaler Kollege und Äskulab, sowie die SORMAS-Schnittstellen SurvNet, DEMIS, Climedo, SORMAS2SORMAS und Luca.

Zudem sind neben den üblichen Office-Produkten selbsterstellte Formulare sowie Cloudlösungen für die Kommunikation und den Datenaustausch im Einsatz.

12.5.4. Kontaktnachverfolgung

Von besonderem Interesse waren aus meiner Sicht auch die Ergebnisse zur Nutzung von Luca und der in Papierform angeforderten Listen zur Kontaktnachverfolgung, die in Restaurants, bei Veranstaltungen etc. geführt werden mussten.

Seit Juni 2021 wurden von 16 der an der Umfrage teilnehmenden Gesundheitsämter insgesamt 140 Listen angefordert. Einige Gesundheitsämter gaben an, dass gar keine Listen angefordert werden mussten, da Kontaktpersonen entweder über die Indexperson ermittelt wurden oder das Infektionsrisiko bei Veranstaltungen, die in fraglichen Zeitraum stattfinden durften, vernachlässigbar war. Lediglich sechs Gesundheitsämter gaben an, zehn oder mehr Listen angefordert zu haben, überwiegend scheinen die Listen auf Papier oder Excel eingegangen zu sein, wobei sie gegebenenfalls eingescannt und elektronisch übermittelt wurden. Sieben Gesundheitsämter gaben an, Listen über Luca angefordert zu haben, wobei auf ein Gesundheitsamt insgesamt zwölf Anforderungen entfielen, die anderen Gesundheitsämter forderten zwischen ein und dreimal Listen an, jedoch lag der Fokus eher darauf, die Software zu testen.

Die geringe Nutzung von Luca in der Praxis bestätigt exemplarisch, dass häufig von der Politik kurzfristig getroffene Entscheidungen für den Einsatz eines bestimmten Produkts im konkreten Einsatz nicht zu dem gedachten Nutzen führen, wenn die Einsatzszenarien und auch die Einbindung in die konkrete Systemlandschaft nicht vorab mit den Nutzern abgestimmt und konzipiert werden. Die Ergebnisse der Umfrage bestätigen daher meine schon im 31. Tätigkeitsbericht unter Nr. 10.2.4 geäußerte Kritik.

12.5.5. Elektronische Kommunikation mit den Bürgerinnen und Bürgern

Auf Grund der Sensibilität der Daten und der Eilbedürftigkeit war und ist die Kommunikation mit den Bürgerinnen und Bürgern eine besondere Herausforderung. Dieser Themenblock des Fragebogens sollte die Möglichkeiten der Gesundheitsämter zur elektronischen Kommunikation mit Bürgerinnen und Bürgern beleuchten.

Als elektronische Kommunikationsmittel zum Kontakt mit Bürgerinnen und Bürgern wurde 13-mal das Fax genannt, 31-mal die E-Mail, davon sechsmal mit der Möglichkeit einer Ende-zu-Ende-Verschlüsselung, fünfmal mit Transportverschlüsselung, sechzehnmal mit der Möglichkeit, verschlüsselte Anhänge bereitzustellen, und 15-mal ohne Verschlüsselung. Fünf Gesundheitsämter gaben an, die E-Mail als Kommunikationsweg nicht zu verwenden.

Bei zwei Gesundheitsämtern besteht die Möglichkeit, De-Mail einzusetzen, allerdings teilte uns ein Gesundheitsamt mit, dass diese Möglichkeit unter den Bürgern nicht weit verbreitet sei. An zwei Gesundheitsämtern kommt das Bayernportal zum Einsatz. Zudem gibt es die folgenden weiteren Kommunikationsmöglichkeiten: Selbstgehostete Formulare, Up- und Download über eine selbstgehostete Cloud, Kommsafe, BePo und BayernBox, Verschlüsselter Versand von E-Mails über Cryptshare, sowie Versand über Hybrid-Brief, Postbrief und SMS.

Eine besondere Herausforderung für die Gesundheitsämter war und ist teilweise immer noch die Bereitstellung einer Kommunikationsinfrastruktur, die auch in Zeiten von Hochlasten für die Beschäftigten ohne großen Zusatzaufwand benutzbar ist und trotzdem den Anforderungen des Datenschutzes entspricht. Derzeit gibt es keine bayernweit eingeführte Möglichkeit, Bürger elektronisch und vertraulich zu kontaktieren.

Aus diesem Grund begrüße ich es sehr, dass das Bayerische Staatsministerium für Gesundheit und Pflege angekündigt hat, im Laufe des Jahres 2023 eine zentrale Kommunikationsmöglichkeit für die Gesundheitsämter zur Verfügung zu stellen. Auch wenn dieses Projekt meines Erachtens etwas verspätet gestartet wurde, werden die Gesundheitsämter auch in Zukunft sichere Kommunikationsmöglichkeiten benötigen.

Meine Anregung für dieses Projekt ist die Verknüpfung mit dem Digitalen Bürgerkonto/BayernID, sodass Bürgerinnen und Bürger sich in Bayern nicht mehrmals an unterschiedlichen Portalen registrieren müssen, sondern sämtliche Kommunikation mit Behörden über das Digitale Bürgerkonto/BayernID abgewickelt werden kann.

12.5.6. Datenschutzmanagement

Insbesondere in Zeiten mit hohem Arbeitsaufkommen und der Notwendigkeit einer hohen Flexibilität zeigt sich, ob das etablierte Datenschutzmanagement ausgereift ist. Das Datenschutzmanagement ist dabei eine bewährte Methode, um systematisch alle datenschutzrechtlichen Anforderungen in einem Gesundheitsamt zu planen, zu organisieren, zu steuern sowie die dauerhafte Wirksamkeit der relevanten Prozesse und Schutzmaßnahmen zu kontrollieren. Denn jedes Gesundheitsamt ist muss den Nachweis erbringen können, dass die Vorgaben für die Verarbeitung personenbezogener Daten eingehalten werden. Da die jeweilige "Verarbeitungslandkarte" der bayerischen Gesundheitsämter einen hohen Übereinstimmungsgrad aufweist, bietet sich mit Blick auch auf das Datenschutzmanagement an, bestehende Synergiepotenziale zu realisieren.

21 der Gesundheitsämter gaben an, dass die Verarbeitungstätigkeiten im Zusammenhang mit der Aufgabe der Pandemiebekämpfung beschrieben und im Verzeichnis der Verarbeitungstätigkeiten erfasst seien, 16 gaben an, die dazugehörigen Risikoanalysen ganz oder teilweise durchgeführt, und 13, eine Datenschutz-Folgenabschätzung ganz oder teilweise erstellt zu haben.

Nicht meldepflichtige Datenpannen wurden in sieben Gesundheitsämtern erfasst. Bei drei Gesundheitsämtern wurden seit Juni 2021 in größerem Umfang (in mehr als fünf Fällen) Betroffenenrechte nach Art. 12 bis 23 DSGVO geltend gemacht.

12.5.7. Herausforderungen, Handlungsbedarfe und bestehende Good Practice-Umsetzungen

Die datenschutzrechtlichen und technisch-organisatorischen Herausforderungen im Zusammenhang mit der Bekämpfung der COVID-19-Pandemie wurden überwiegend als hoch oder sehr hoch eingeschätzt.

Als besondere Herausforderung wurde die extrem hohe Belastung über einen langen Zeitraum empfunden mit stark wechselnden Teambesetzungen und suboptimalen Softwarelösungen. Hinzu kam die Notwendigkeit einer großen Flexibilität bezüglich den andauernd notwendigen Anpassungen der Prozesse. Die Möglichkeiten, aber auch Notwendigkeiten, die Prozesse und eingesetzte Software selbst festzulegen, wurde teilweise als Belastung empfunden, ebenso wie die Verpflichtung, SORMAS einzusetzen - unabhängig davon, ob möglicherweise bereits gut funktionierende Softwarelösungen im konkreten Einsatz waren.

Da auch die Umsetzung der Belange des Datenschutzes vor Herausforderungen stellte, wurde insbesondere der Wunsch nach einem zentralen Portal zum datenschutzkonformen Austausch mit Bürgerinnen und Bürgern geäußert. Außerdem wurde zusätzliche personelle Unterstützung im Bereich des Datenschutzes und der IT zur besseren Unterstützung der Gesundheitsämter als sinnvoll erachtet.

Es konnten daher nur wenige Beispiele für Good Practice gefunden werden. So wurde von einem Gesundheitsamt die Möglichkeit für Bürger zur datenschutzkonformen Kontaktaufnahme mit Eingabe der Kontaktdaten sowie die Möglichkeit zum Hochladen des Testergebnisses über die Internetseite des Gesundheitsamts genannt. Die Daten werden anschließend so weiter verarbeitetet, dass das Gesundheitsamt diese direkt in SORMAS einspielen kann.

12.6. Elektronische Kommunikation im Rahmen des COVID-19-Pandemiemanagements

Bereits in meinem 30. Tätigkeitsbericht 2020 unter Nr. 3.5 und im 31. Tätigkeitsbericht 2021 unter Nr. 10.3 befasste ich mich mit der elektronischen Kommunikation in Bezug auf die Bekämpfung der COVID-19-Pandemie. In diesen beiden Beiträgen gab ich viele Hinweise zur elektronischen Kommunikation mit sensiblen Inhalten wie beispielsweise mit Gesundheitsdaten.

Die elektronische Kommunikation von Gesundheitsdaten ist weiterhin ein zentrales Thema meiner Prüfungs- und Beratungspraxis.

Bürgerinnen und Bürger wie auch Behörden nehmen den Versand von E-Mails als schnelle und unkomplizierte Kommunikationsmöglichkeit wahr. Gerade bei der Übermittlung von Gesundheitsdaten müssen aber einige Anforderungen an diese Kommunikationsform gestellt werden, um die Vertraulichkeit der sensiblen Daten zu gewährleisten.

Zum besseren Verständnis erläutere ich zunächst die Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung (auch E2E- Verschlüsselung).

Eine Übersicht der möglichen Angriffspunkte im Anschluss zeigt die Risiken beim Versand einer E-Mail in unverschlüsselter, transportverschlüsselter und E2E-verschlüsselter Form. Wie sich aus meiner Prüfpraxis ergab, zeigen mögliche Erweiterungen des Prozesses der E-Mail-Kommunikation Lösungsansätze auf.

Transportverschlüsselung:

Die Transportverschlüsselung sichert die Kommunikation auf den Wegen zwischen Empfänger und Sender ab, allerdings nicht durchgängig. Überall dort, wo die EMail (zwischen-)gespeichert wird, liegt sie unverschlüsselt vor. Dies ist regelmäßig inE-Mail-Programmen und auf den E-Mail-Servern von Sender und Empfänger der Fall. Auf dem Transportweg selbst kann bei einer korrekt eingerichteten Transportverschlüsselung ein Angreifer den Inhalt einer E-Mail nicht mitlesen.

Betreiber eines E-Mail-Servers müssen darauf achten, dass die Transportverschlüsselung korrekt konfiguriert wird, eine alleinige Aktivierung der Transportverschlüsselung mit der Übernahme von Voreinstellungen kann zu einer unsicheren Konfiguration führen. Im Rahmen des Kommunikationsaufbaus handeln die EMailServer eine konkrete Protokoll-Version mit konkretem kryptografischen Algorithmus für die Transportverschlüsselung aus. Welche Protokoll-Versionen und Algorithmen jeweils zur Verfügung stehen, entscheidet der Administrator bei der Einrichtung des eigenen Servers. Um auch mit älteren E-Mail-Servern, die gegebenenfalls nicht aktuell gehalten werden, kommunizieren zu können, werden häufig ältere Protokoll-Versionen und veraltete Algorithmen auch auf neueren E-Mail-Servern unterstützt. Alte Protokoll-Versionen und veraltete Algorithmen weisen allerdings bekannte Schwachstellen auf, die es einem Angreifer ermöglichen, die verschlüsselte Kommunikation zu entschlüsseln und somit Inhalte mitzulesen und möglicherweise sogar zu verändern. Beim Versenden einer E-Mail ist es für den Absender grundsätzlich nicht erkennbar, welche Protokoll-Version und welchen Algorithmus die E-Mail-Server aushandeln oder ob überhaupt eine Transportverschlüsselung erfolgt. Dies bedeutet, dass - selbst wenn bekannt sein sollte, dass eine Transportverschlüsselung eingerichtet ist - unklar ist, ob ein Angreifer gegebenenfalls durch Manipulation des Aushandelns einer "unsicheren" Verschlüsselung oder gar einer unverschlüsselten Kommunikation (sog. Downgrade-Attacke) dafür sorgen kann, dass er Kenntnis vom Kommunikationsinhalt erhält.

In der Praxis wägen Administratoren aber oft technische Sicherheit gegen die Möglichkeit ab, dass E-Mails mit einem unsicher eingerichteten E-Mail-Server nicht ausgetauscht werden können, und öffnen so eventuell ein Tor für Downgrade-Attacken, um einen zuverlässigen Empfang und die Zustellung von E-Mails nicht zu gefährden.

Hinweise für Technikerinnen und Techniker:

Zur sicheren Implementierung der Transportverschlüsselung kann die Orientierung an den Richtlinien des Bundesamts für Sicherheit in der Informationstechnik BSI TR-02102-2 "Kryptographische Verfahren: Verwendung von Transport Layer Security (TLS)" und "BSI TR-03108 Sicherer E-Mail-Transport" hilfreich sein. Es sollten nur solche TLS-Versionen auf dem Webserver angeboten werden, die vom BSI als ausreichend sicher angesehen werden.

Die Transportverschlüsselung wird heute als eine allgemein anerkannte Regel der Technik betrachtet. Eine allgemein anerkannte Regel der Technik ist der niedrigste Technikstandard in einer dreistufigen Abstufung und spiegelt die überwiegende Auffassung unter technischen Praktikern wieder. Hiervon grenzt sich der Stand der Technik ab, der unterhalb des Stands der Wissenschaft und Technik anzusiedeln ist. Allgemein anerkannte Regeln der Technik nicht umzusetzen bedeutet in der Regel, fahrlässig zu handeln.

Auf Grund der Einordnung der Transportverschlüsselung als eine allgemein anerkannte Regel der Technik kann und muss heutzutage auch von öffentlichen Stellen eine Transportverschlüsselung bei Versand und Empfang von EMails per entsprechender Konfiguration technisch erzwungen werden, so dass der Versuch von Angreifern, dennoch einen unverschlüsselten oder "unsicher" verschlüsselten Versand durch Downgrade-Attacken zu erreichen, unterbunden werden kann.

Weder E-Mail-Server von öffentlichen Stellen noch EMail-Provider sollten für Privatpersonen auf Transportverschlüsselung verzichten. Die Umsetzung der Transportverschlüsselung ist dabei die Aufgabe der Administratoren der E-Mail-Server, ein Anwender hat hierauf im Allgemeinen keinen Einfluss. Zudem kann er nicht ohne weiteres erkennen, ob eine E-Mail transportverschlüsselt versandt wurde oder nicht.

Da E-Mails, die ausschließlich transportverschlüsselt übertragen werden, auf E-Mail-Servern im Klartext vorliegen, können diese beispielsweise im Supportfall von Beschäftigten des E-Mail-Providers zur Kenntnis genommen werden. Es machen aber auch immer wieder E-Mail-Provider auf sich aufmerksam, die private Daten ihrer Kunden automatisiert scannen, um strafbare Inhalte zu finden oder kontextbezogene, an Nutzerinteressen angepasste Werbung einzublenden. Auch wenn laut Angaben der Anbieter ausschließlich automatisierte Scans ohne Kenntnisnahme der Inhalte durch Menschen erfolgen, zeigt dies, dass eine Kenntnisnahme von sensiblen Inhalten durch den Diensteanbieter nicht ausgeschlossen ist und eine Verarbeitung von personenbezogenen Inhaltsdaten erfolgen kann.

Zudem hat der Sender nicht immer Wissen darüber, welche Personen tatsächlich Zugriff auf einen E-Mail-Account haben. Während bei personalisierten behördlichenE-Mail-Adressen anzunehmen ist, dass diese im Regelfall nur von empfangsberechtigten Personen gelesen werden können, ist dies bei Privatpersonen nicht der Fall. Häufig werden E-Mail-Adressen als Familienadressen verwendet oder haben im Haushalt lebende Personen unbeschränkten Zugriff auf Rechner, Tablet oder auch Smartphone. Somit kann ein Zugriff einer nicht empfangsberechtigten Person im Allgemeinen nicht ausgeschlossen werden. Dies kann beispielsweise der Fall sein, wenn für die Tätigkeit im Gemeinderat private E-Mail-Adressen verwendet werden.

Ende-zu-Ende-Verschlüsselung:

Die E2E-Verschlüsselung sichert die Kommunikation durchgängig auf dem kompletten Weg von der Person des Senders zur Person des Empfängers ab. Lediglich in den E-Mail-Clients ist der Klartext der E-Mail einsehbar. Vor dem Zugriff auf eine verschlüsselte E-Mail im E-Mail-Client findet eine Authentifizierung beispielsweise durch Eingabe eines Passworts statt. Eine E2E-Verschlüsselung für E-Mails wird heute als Stand der Technik betrachtet. Es gibt praxisnahe Lösungen, die Verbreitung ist allerdings immer noch nicht weit genug fortgeschritten. Die fehlende Nutzer-Akzeptanz und die zahlreichen, mit der E2E-Verschlüsselung einhergehenden Alltagsprobleme sorgen dafür, dass sie kaum zur Sicherung der alltäglichen Kommunikation eingesetzt wird.

Mit einer E2E-Verschlüsselung ist es sehr unwahrscheinlich, dass unberechtigte Dritte vom E-Mail-Inhalt Kenntnis nehmen können. Natürlich ist nicht auszuschließen, dass ein Empfänger sein Endgerät mit anderen Personen teilt und den Zugriff auf verschlüsselte E-Mails so eingerichtet hat, dass keine weitere Authentifizierung erfolgen muss. Meiner Auffassung nach widerspricht eine derartige Einrichtung allerdings dem Ziel einer E2E-Verschlüsselung und ist mit geringer Wahrscheinlichkeit anzunehmen. Das Risiko ist bei einer Abwägung daher nicht dem Sender, sondern dem Empfänger zuzurechnen.

Hinweise für Technikerinnen und Techniker:

Für die Übermittlung einer E2E-verschlüsselten E-Mail müssen sowohl der Sender als auch der Empfänger über die Möglichkeit der Ver- und Entschlüsselung verfügen, zudem müssen beide den gleichen Standard für die Verschlüsselung beherrschen. Hier gibt es zwei unterschiedliche, nicht kompatible Produkte / Standards (PGP und S/MIME). Üblicherweise muss der Sender beim Versenden der E-Mail aktiv werden, also auswählen, dass die E-Mail verschlüsselt werden soll. Außerdem muss der Sender den öffentlichen Schlüssel des Empfängers kennen.

Idealerweise wird in der öffentlichen Stelle die Möglichkeit der E2E-Verschlüsselung so eingerichtet, dass die Anwender in der öffentlichen Stelle möglichst wenig Aufwand betreiben müssen, um E2E-verschlüsselte EMails verschicken zu können (zum Beispiel Integration in Outlook, Zugriff auf Adressbücher, gegebenenfalls ein passendes Add-In, dass die Aufgabe der Verschlüsselung übernimmt).

In der folgenden Tabelle findet sich ein Vergleich der beiden Verschlüsselungsmöglichkeiten.

Gegenüberstellung:

Transportverschlüsselung E2E-Verschlüsselung 
Absicherung Verschlüsselte Transportwege, unverschlüsselt mindestens in den E-Mail-Clients und auf den E-Mail-Servern Komplettverschlüsselung von der Person des Senders zur Person des Empfängers
Technikstandard Stand der allgemein anerkannten Regeln der Technik Stand der Technik
Zuständigkeit für die Einrichtung der Verschlüsselung Für E-Mail-Server verantwortliche Stellen

In der öffentlichen Stelle:

  • verantwortliche Stelle: für die Bereitstellung der Infrastruktur
  • Absender: Verschlüsseln der einzelnen E-Mails

Privatperson:

in der Regel selbst für Einrichtung und verschlüsselten Versand verantwortlich.
Einflussmöglichkeit des Anwenders In der Regel keine Beschäftigte der öffentlichen Stelle:

Auswahl der Verschlüsselung bei Versand einer E-Mail insbesondere mit sensiblen Inhalten

Privatperson:

Gegebenenfalls Einrichtung, Bekanntgabe des öffentlichen Schlüssels, Auswahl der Verschlüsselung bei Versand einer E-Mail mit sensiblen Inhalten

Zum besseren Verständnis zeigt die nachfolgende Tabelle zusammenfassend die möglichen Ansatzpunkte für einen Angriff oder einen möglichen Zugriff durch Dritte:

Angriffspunkte:

Unverschlüsselter Versand  Versand ausschließlich mit Transportverschlüsselung  Versand mit E2E-Verschlüsselung 
Zugriff auf dem Transportweg Ja In der Regel nein, gegebenenfalls über Downgrade-Attacken Nein
Möglicher Zugriff auf den E-Mail-Servern Ja Ja Nein
Zugriff auf den E-Mail-Client durch Dritte Ja Ja In der Regel nein

Bei den Angriffspunkten zeigt sich, dass ein Risiko für eine unrechtmäßige Kenntnisnahme in der Regel nur beim Versand von E-Mails mit E2E-Verschlüsselung ausgeschlossen werden kann. Für E-Mails mit sensiblen Inhalten wie Gesundheitsdaten sollte daher eine E2E-Verschlüsselung umgesetzt werden. Soll oder muss auf den Einsatz einer E2E-Verschlüsselung verzichtet werden, müssen bei sensiblen Daten zusätzliche Sicherheitsmaßnahmen ergriffen werden, die den Angriffspunkten bei der Transportverschlüsselung oder einem komplett unverschlüsselten Versands entgegengestellt werden.

Gerade in der Kommunikation mit Bürgerinnen und Bürgern fehlt häufig die Möglichkeit der E2E-verschlüsselten Kommunikation per E-Mail sowohl auf Seiten der öffentlichen Stellen als auch bei den Empfängern.

Aus diesem Grund sind - wie ich durch die Umfrage unter den Gesundheitsämtern (siehe Nr. 12.5) sowie meine Prüfungs- und Beratungspraxis weiß - entweder zusätzliche Sicherheitsmaßnahmen, wie der Versand einer unverschlüsselten E-Mail mit verschlüsselten Anhang, oder die Bereitstellung eines Dokuments zum Download über einen sicheren Clouddienst als Alternativen im Einsatz. Zu diesen Einsatzszenarien gab ich bereits in meinem 31. Tätigkeitsbericht 2021 unter Nr. 10.3.1 Hinweise.

Zudem etablierten einige Gesundheitsämter die Möglichkeit zur Kontaktaufnahme durch Bürger über ein sicheres Formular - gegebenenfalls mit der Möglichkeit zum Upload von Dokumenten.

Ein Landratsamt bat mich um Einschätzung, ob im Zuge einer derartigen Kontaktaufnahme durch den Bürger die Übermittlung eines Passworts zur Verschlüsselung zukünftiger Kommunikation über das Formular möglich wäre. Konkret wurde hier erwogen, einen Captcha-Mechanismus zur Passwortgenerierung zu verwenden und dem Bürger mitzuteilen, dass er sich dieses Captcha als Passwort für zukünftig übermittelte verschlüsselte Anhänge notieren solle.

Aus meiner Sicht stellt die Übermittlung eines Passworts bei der Kontaktaufnahme über ein (mittels SSL/"https" gesichertes) Online-Formular einen sicheren Kommunikationsweg dar, der sich vom Kommunikationsweg mittels unverschlüsselter E-Mail unterscheidet und einen höheren Schutz bietet. Somit könnten in diesem Zuge Passwörter übermittelt werden, die in der Folge zum Beispiel für die Verschlüsselung von E-Mail-Anhängen zum Einsatz kommen könnten. Ob dieses Passwort per Captcha-Mechanismus generiert wird, erscheint in diesem Fall als nachranging. Wichtig ist, dass die übermittelten Passwörter ausreichend sicher sein sollten, beispielsweise gemäß den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik. Allerdings rege ich auf Grund der Sensibilität der Daten eine Mindestlänge von zehn Zeichen an.

12.7. Software für das Kontaktpersonen- und Fallmanagement

12.7.1. SORMAS

Bereits in meinem 31. Tätigkeitsbericht 2021 berichtete ich unter Nr. 10.2.1 über das Verfahren SORMAS-ÖGD (Surveillance Outbreak Response Management Analysis System im Öffentlichen Gesundheitsdienst), das die Gesundheitsämter bei ihrer Aufgabe des Falldaten- und des Kontaktpersonenmanagements unterstützen soll.

In Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und den Datenschutz-Aufsichtsbehörden der Länder stimmte ich nach Erörterung der eingereichten Unterlagen im Januar 2021 dem Betrieb von SORMAS in den Gesundheitsämtern unter Vorbehalt zu.

Um eine Ablösung des Papier- und Telefaxversands zu erreichen und zu einer effizienten und datenschutzkonformen digitalen Kontaktnachverfolgung in den Gesundheitsämtern zu gelangen, war eine intensive Begleitung des Projektes in Abstimmung mit den anderen Datenschutz-Aufsichtsbehörden auch in diesem Berichtszeitraum erforderlich. Für folgende Aspekte ergab sich nach wie vor Klärungsbedarf:

  • Das Kryptographiekonzept blieb größtenteils unvollständig.
  • Das Löschkonzept war noch lückenhaft.
  • Bei einigen Merkmalen und Datenfeldern strittig, ob sie dem Grundsatz der Datenminimierung bzw. der Datensparsamkeit gemäß Art. 5 Buchst. c DSGVO entsprechen würden.
  • Die Datenschutz-Folgenabschätzung lag lediglich als Entwurf vor.

Dies zeigt wiederum, wie wichtig es ist, nicht nur die Einführung einer bestimmten Software politisch zu beschließen, sondern diesen Prozess von Seiten der zuständigen Ministerien auch inhaltlich zu unterstützen, beispielsweise im Hinblick auf die von allen Stellen zu nutzenden Datenfelder.

12.7.2. Climedo

Neben der eigentlichen Kontaktnachverfolgung ist eine wesentliche Aufgabe der Gesundheitsämter und zentrale Säule in der Pandemiebekämpfung auch die Betreuung und Verwaltung der betroffenen, positiv getesteten Personen durch die tägliche Abfrage ihres Gesundheitszustandes.

Um eine Entlastung bei der telefonischen bzw. postalischen Nachfrage zu erreichen, bietet SORMAS die Interoperabilität mit weiteren Software-Modulen externer Anbieter zur elektronischen Kontaktaufnahme und Bescheiderstellung bzw. zur Anbindung eines sogenannten elektronischen Symptomtagebuchs für Indexfälle.

Hierbei kommt zunehmend die Software-Lösung Climedo zum Einsatz, die in Abstimmung mit dem Bundesministerium für Gesundheit, dem Robert-Koch-Institut und der Entwicklerfirma Climedo unter Einbeziehung des Bundesamtes für Sicherheit in der Informationstechnik, des Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und der Akademie für öffentliches Gesundheitswesen entstand.

Die Einführung der Software Climedo verlief jedoch in vielen Gesundheitsämtern nicht reibungsfrei, wie ich durch den vermehrten Eingang von Beschwerden beobachten konnte:

In einigen Fällen wurden betroffene Personen von einem E-Mail-Server der Firma Climedo, an den im Vorfeld Daten von SORMAS übermittelt wurden, mittels E-Mail oder SMS darüber informiert, dass sie COVID-19-positiv seien, ohne dass von Seiten des Gesundheitsamts entsprechende Datenschutzhinweise vorgeschaltet waren. Ein solches Verfahren ist für die betroffenen Personen völlig intransparent. Dementsprechend erhielt ich eine Vielzahl von Beschwerden, wonach in den entsprechenden Gesundheitsämtern besonders sensible Gesundheitsdaten an externe Dritte weitergegeben würden.

Auch in diesem Fall zeigte sich, dass die Prozessstruktur bei SORMAS-ÖGD noch lückenhaft ist, insbesondere die Anbindung von weiteren Software-Modulen und Schnittstellen zu anderen Softwarelösungen. Es genügt nicht, die Schnittstellen nur technisch einzurichten, sondern es müssen auch entsprechende vertragliche Regelungen und Datenschutzinformationen bereitgestellt werden. Auch hier bietet es sich an, dass diese nicht - wie derzeit üblich - jeweils eigenständig von den Gesundheitsämtern erarbeitet werden müssen, sondern dass diese zentral bereitgestellt werden.

Ich werde das Projekt SORMAS auch weiterhin aufmerksam begleiten. Insbesondere werde ich weiterhin kritisch prüfen, ob bei der Entwicklung der Software dem Datenschutz durch Technikgestaltung gemäß Art. 25 Abs. 2 DSGVO entsprochen wird.

12.8. Meldungen von Verletzungen des Schutzes personenbezogener Daten

Ein Einblick in die bei mir eingegangenen Meldungen ist seit Inkrafttreten der Datenschutz-Grundverordnung zu einer festen Größe geworden und erhält auch in diesem Tätigkeitsbericht wieder ihren Platz.

Das im Vergleich zum Jahr 2021 beinahe gleichgebliebene Meldeaufkommen zeigt auch im aktuellen Berichtszeitraum, dass es den meisten bayerischen öffentlichen Stellen gelungen ist, ein gut funktionierendes Meldewesen zu etablieren und die nach Art. 33 DSGVO erforderlichen Meldungen an die Datenschutz-Aufsichtsbehörde erfolgreich in ihre Geschäftsprozesse zu integrieren.

Auf die spezifischen Arten der Verletzungen ging ich bereits in meinen früheren Tätigkeitsberichten ein. Insbesondere in meinem 31. Tätigkeitsbericht 2021 unter Nr. 10.9 befasste ich mich eingehend mit dem Thema.

Ein besonderes Augenmerk lag in diesem Jahr auf den Meldungen aus dem Gesundheitsbereich, da auch 2021 von der COVID-19-Pandemie geprägt war. Hierbei wurde vorrangig der Schutz der Vertraulichkeit von personenbezogenen Daten verletzt, insbesondere bei der Übermittlung von medizinischen Informationen wie Quarantänebescheide und Testergebnissen, aber auch bei sogenannten Neugierzugriffen, bei denen sich außerhalb eines Behandlungsverhältnisses Klinikpersonal Kenntnis vom Inhalt einer Patientenakte verschafft, etwa, um unberechtigt festzustellen, ob eine COVID-19-Erkrankung vorliegt. Die Thematik der Neugierzugriffe beleuchtete ich bereits eingehend in meinem 30. Tätigkeitsbericht 2020 unter Nr. 12.10.

Meldungen erreichten mich jedoch gleichermaßen aus anderen Teilen des bayerischen öffentlichen Sektors. Auch die Themen Hackerangriffe und Schadsoftware haben nach wie vor hohe Relevanz und bedeuten eine große Gefahr für die Sicherheit bei der Verarbeitung personenbezogener Daten. Zunehmend häuft sich hier das Problem, dass größere, überregionale Dienstleister angegriffen werden und somit eine Vielzahl von öffentlichen Stellen von Sicherheitsvorfällen bis hin zu längeren Ausfällen von IT-Systemen betroffen ist. Dies macht noch einmal deutlich, wie wichtig neben eigenen Sicherheitsmaßnahmen (siehe in meinem 29. Tätigkeitbericht 2019 unter Nr. 12.3) auch die sorgfältige Auswahl von Dienstleistern ist. Insbesondere muss festgelegt werden, wie ein Dienstleister die Verletzung des Schutzes personenbezogener Daten seiner Kunden zeitnah und zuverlässig an seinen Auftraggeber meldet, so dass dieser innerhalb der vorgegebenen Zeitspanne seinerseits eine Meldung bei mir abgeben kann.

Bezüglich der Cybersicherheit relevante und wesentliche Meldungen fließen im Rahmen der Cyberabwehr Bayern - grundsätzlich ohne Nennung der betroffenen öffentlichen Stellen - in ein bayernweites Lagebild ein, so dass eine Meldung bei mir auch anderen öffentlichen und nicht-öffentlichen Stellen helfen kann. Nur durch ein möglichst umfangreiches Lagebild können alle Behörden mit Cybersicherheitsaufgaben die richtigen Entscheidungen treffen und Maßnahmen ergreifen, so dass sich zukünftige Schadensereignisse reduzieren lassen. Auch wenn dies hohe personelle Ressourcen meiner Dienststelle bindet, kann ich damit dazu beitragen, die Cybersicherheit in Bayern proaktiv zu erhöhen.

  1. Der "Praxis-Leitfaden für IS-Penetrationstests" des BSI ist im Internet veröffentlicht unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Pentest_Webcheck/Leitfaden_Penetrationstest.html (externer Link). [Zurück]
  2. Vgl. zu einzelnen Regelungen Bayerischer Landesbeauftragter für den Datenschutz, Leitfaden zum Outsourcing kommunaler IT, Stand 3/2021, S. 6 ff., Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung". [Zurück]
  3. Bayerischer Landesbeauftragter für den Datenschutz, Risikoanalyse und Datenschutz-Folgenabschätzung, Stand 5/2022, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Datenschutz-Folgenabschätzung". [Zurück]
  4. Vgl. ausführlich zu den allgemeinen Anforderungen zur Zulässigkeit von Auftragsverarbeitungen Bayerischer Landesbeauftragter für den Datenschutz, Auftragsverarbeitung, Stand 4/2019, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung". [Zurück]
  5. Internet: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/GPA/2022_44GPA_facial-recognition.html (externer Link). [Zurück]
  6. Bayerischer Landesbeauftragter für den Datenschutz, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Stand 06/2019, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Melde- und Benachrichtigungspflicht". [Zurück]
  7. Bayerischer Landesbeauftragter für den Datenschutz, Das Recht auf Löschung nach der Datenschutz-Grundverordnung, Stand 06/2022, Rn. 65, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Recht auf Löschung". [Zurück]
  8. Internet: https://archive.org/web (externer Link). [Zurück]
  9. Internet: https://support.google.com/webmasters/answer/9689846?hl=de (externer Link). [Zurück]
  10. Internet: https://www.bing.com/webmasters/help/block-urls-264e560b (externer Link). [Zurück]
  11. Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2.html (externer Link). [Zurück]
  12. Internet: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03108/tr-03108.html (externer Link). [Zurück]
  13. Internet: beispielsweise unter https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html (externer Link). [Zurück]
  14. Internet: https://www.bundesgesundheitsministerium.de/service/begriffe-von-a-z/o/oeffentlicher-gesundheitsheitsdienst-pakt/digitale-unterstuetzung-gesundheitsaemter.html (externer Link). [Zurück]