Passwort-Vorgaben im Unternehmen: Der Vorreiter bereut sein Werk

11. August 2017

Bill Burr ist 72 Jahre alt, mittlerweile im Ruhestand und arbeitete beim National Institute of Standards and Technology, das unter anderem für Technlogiestandards zuständig ist. Er ist auch derjenige, der die Vorgaben für Passwörter verfasst hat, die mehr als ein Jahrzent als das Nonplusultra galten. Im Rahmen seines 2008 verfassten Dokumentes „NIST Special Publication 800-63. Appendix A“ empfahl er, welche Passwort-Richtlinien Behörden, Unternehmen und Webseitenbetreiber für ihre Nutzer und Mitarbeiter einführen sollten.

Konkret regte Burr an, dass Passwörter alle 90 Tage gewechselt werden sowie stets nicht nur kleine und große Buchstaben, sondern auch eine Nummer und ein Sonderzeichen enthalten sollten. Der Schutz, der durch solche Maßnahmen tatsächlich erreicht wird, ist allerdings schon seit längerem fraglich. So schätzte Microsoft-Analyst Cornac Herley schon vor Jahren, dass die Pflicht, das Passwort in regelmäßigen Abständen zu wechseln, mehr koste als eventuelle Angriffe von IT-Kriminellen, vor denen der Wechsel des Kennwortes schützen soll. Auch die Varation zwischen normalen Buchstaben, Zahlen und Sonderzeichen bringt oftmals nicht den gewünschten Effekt der höheren Sicherheit, da Nutzer in vielen Fällen einfach nur einen Begriff variieren und die einzelnen Buchstaben eines Wortes mit Sonderzeichen – wie etwa dem „$“ für ein „S“ – ersetzen. Algorithmen, die dafür genutzt werden, Passwörter erraten zu können, können diese Varationen leicht erraten.

Wie Burr in einem Interview mit dem Wall Street Journal erklärte, bereue er seine Empfehlungen mittlerweile: „Vieles von dem, was ich getan habe, bereue ich.“ Sein Problem war vor allem, dass 2003 der Kenntnisstand über den effektiven Schutz von Passwörtern sehr gering war und er sich daher laut seinen Angaben im Interview auf ein Paper aus den 1980er Jahren stützte. Einem Jahrzent, in dem nur Wenige überhaupt ein Computerpasswort benutzten.

Nicht nur deswegen hat der NIST in diesem Sommer Burrs Empfehlungen komplett überarbeitet. Dabei konnten sie auf die Auswertung von einer Vielzahl von Passwörtern zurückgreifen, die Hacker in den letzten Jahren nach Angriffen auf beliebte Webseiten geknackt und ins Netz gestellt hatten. Dies half dem NIST, zu verstehen, wie Nutzer ihre Kennwörter auswählen und wie leicht sie für Hacker zu knacken sind. Nach Ansicht des NIST empfiehlt es sich daher, Passwörter aus möglichst mehreren Wörter zu bilden, sodass ein langes Passwort entsteht. Die Nutzung von Sonderzeichen und Zahlen ist dabei nicht mehr erforderlich.

Höchstmögliches Bußgeld wegen unerlaubter Telefonwerbung

9. August 2017

Nachdem sich bei der Bundesnetzagentur rund 2.500 Verbraucher über Werbeanrufe der Energy2day GmbH  über rechtswidrige Werbeanrufe für Energielieferverträge beschwert hatten, verhängte die Behörde in der vergangenen Woche ein Bußgeld in Höhe von 300.00 Euro gegenüber dem Unternehmen. Dies ist das nach Gesetz gegen den Unlauteren Wettbewerb (UWG) höchstmögliche Bußgeld.

Energy2day hatte sich in den Anrufen als örtlicher Energieversorger ausgegeben oder behauptet, es würde mit diesem zusammenarbeiten. Ziel war es, die Verbraucher zum Wechsel ihres Stromlieferanten zu bewegen. Das Unternehmen hatte dazu in der Vergangenheit eine komplexe Vertriebsstruktur aufgebaut und mit einer Vielzahl an Untervertriebspartnern u.a. auch im Ausland zusammengearbeitet, die als Subunternehmer derartige Anrufe getätigt haben.

Inwiefern Energy2day ihrer Aussage nachkommt, kein Telefonmarketing gegenüber Verbrauchern mehr betreiben zu wollen, wird die Bundesnetzagentur beobachten.

Datenschutz-Grundverordnung in Großbritannien trotz Brexit?

8. August 2017

Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung „Government to strengthen UK data protection law“ veröffentlicht.

Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit „retten“. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.

Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes „Drittland“) verlangt die Datenschutz-Grundverordnung in Art. 45 ein „angemessenes Schutzniveau“ in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.

Bedenken des EU-Datenschutzbeauftragten zum „Once-Only“-Prinzip

4. August 2017

Im Rahmen der Realisierung des digitalen Binnenmarkts wurde im April 2016 von der EU-Kommission ein „E-Government Action Plan“ veröffentlicht. Eines der Grundprinzipien dieses Plans lautet „Once-Only“-Prinzip. Es soll den Bürgern bürokratischen Aufwand ersparen, indem sie in Zukunft nur einmal ihre persönlichen Daten bei Behörden angeben müssten. Nach der einmaligen Eintragung bei einem Amt würden die Daten auch von anderen Behörden verwendet werden können.
In einer am ersten August 2017 verfassten Stellungnahme des EU-Datenschutzbeauftragten hat der EU-Datenschutzbeauftragte Giovanni Buttarelli mehrere Bedenken bezüglich des „Once-Only“-Prinzips geäußert. Er hob insbesondere die noch zu unklare Rechtsgrundlage für die Verarbeitung der nur einmal eingetragenen Daten durch mehrere Ämter und die mögliche Gefährdung der Einhaltung der Grundsätze der Zweckbestimmung und der Datensparsamkeit hervor. Ferner wünschte sich der EU-Datenschutzbeauftragte, dass in dem Verordnungsentwurf verdeutlicht wird, wie die Anforderungen an eine wirksame Einwilligung nach der EU-Datenschutzgrundverordnung berücksichtigt werden.

Datenschutzrechtliche Aspekte bei der Nachrüstung von Dieselfahrzeugen

Mitte dieser Woche fand in Berlin der sogenannte Diesel-Gipfel statt. Auf diesem Gipfel haben die deutschen Hersteller von Diesel-Fahrzeugen zugesagt, rund 5,3 Millionen Autos mit einer neuen Abgas-Software auszustatten. Mit diesem kostenlosen Update soll der Ausstoß des Atemgifts Stickoxid verringert werden.

Neben der Frage, ob dieses Software-Update wirklich zu einer relevanten Absenkung des Stickoxidausstoßes führt, zeigt sich nun, dass die Autohersteller möglicherweise auch grundsätzliche datenschutzrechtliche Aspekte nicht mitbedacht haben. Die entsprechende Software-Nachrüstung betrifft vor allem ältere Dieselfahrzeuge. Gerade solche älteren Modelle sind oftmals aber schon an neue Besitzer weiterverkauft, sodass die Hersteller in den meisten Fällen die neuen Besitzer der Fahrzeuge nicht kennen werden. Demnach müsste für eine Nachrüstung das Kraftfahrtbundesamt der Industrie den Herstellern Namen und Adresse der Käufer übermitteln.

Eine Sprecherin der Bundesdatenschutzbeauftragten Andrea Voßhoff bestätigte, dass eine solche Datenweitergabe durch das Kraftfahrtbundesamt einer ausdrücklichen Einwilligung der Betroffenen oder einer einschlägigen gesetzlichen Grundlage bedürfe. Eine ausdrückliche Einwilligung dürfte jedoch in kaum einem Fall vorliegen. Demnach prüft das Verkehrsministerium aktuell, ob es eine gesetzliche Grundlage für die Übermittlung der Daten der Fahrzeugbesitzer gibt. Eine Datenübermittlung käme eventuell dann in Betracht, wenn ein Fahrzeugrückruf aufgrund erheblicher Mängel für die Verkehrssicherheit oder die Umwelt rechtlich geboten sei.

Automatische Gesichtserkennung durch Kameras – Modellversuch in Berlin

3. August 2017

In Berlin ist diese Woche ein Pilotprojekt zur Gesichtserkennung gestartet. Am Bahnhof Südkreuz wird mit mehreren Kameras ein optisches Überwachungssystem getestet. Die Testphase ist für ein halbes Jahr angelegt.

Mit knapp 300 Teilnehmern, die häufig die speziellen Videokameras passieren, soll getestet werden, ob ihre Gesichter automatisch von den Kameras identifiziert werden. Dafür wurde eine Datenbank mit biometrischen Fotos der Teilnehmer angelegt. Um den Test datenschutzrechtlich abzusichern ist der Testbereich durch Schriftzüge und Hinweisschilder markiert, so dass Passanten, die nicht erfasst werden wollen, den Bereich umgehen können. Ob dies tatsächlich den datenschutzrechtlich Anforderungen entspricht, ist stark umstritten. Das Bundesverfassungsgericht hatte am 23.02.2007 zu dieser Thematik folgendes festgestellt:

„Von einer einen Eingriff ausschließenden Einwilligung in die Informationserhebung kann selbst dann nicht generell ausgegangen werden, wenn die Betroffenen aufgrund einer entsprechenden Beschilderung wissen, dass sie im räumlichen Bereich der Begegnungsstätte gefilmt werden. Das Unterlassen eines ausdrücklichen Protests kann nicht stets mit einer Einverständniserklärung gleichgesetzt werden.“

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk kritisiert das Projekt genauso wie der Deutsche Anwaltverein (DAV) .“Es gibt keine grundgesetzliche Basis dafür, diese Methode flächendeckend einzuführen“, sagte der Präsident des DAV, Ulrich Schellenberg. Eine Software, die Gesichter in der Öffentlichkeit automatisch erkennt, verletze die Persönlichkeitsrechte der Bürger. Eine wasserdichte Norm, die diesen Angriff auf die informationelle Selbstbestimmung rechtfertige, gäbe es nicht.

Nach Ansicht von Innenminister Thomas de Maizière kann durch das optisches Überwachungssystem das Sicherheitsgefühl der Bevölkerung gestärkt werden. Der technische Fortschritt dürfe bei den Sicherheitsbehörden nicht haltmachen. Die Polizei brauche nicht nur Personal und Befugnisse, sondern auch gute Ausrüstung und intelligente Technik.

 

Unzulässiger Einsatz von Keylogger-Software

31. Juli 2017

Das Bundesarbeitsgericht hat mit Urteil vom 27.07.17 entschieden, dass die verdeckte Überwachung eines Arbeitnehmers mittels Keylogger-Software gemäß § 32 Abs. 1 Bundesdatenschutzgesetz (BDSG) unzulässig ist, solange kein hinreichend konkreter Verdacht einer Straftat oder einer anderen schweren Straftat besteht. (vgl. BAG, Urt. v. 27.03.2003 Az. 2 AZR 51/02)

In dem konkreten Fall hatte ein Arbeitnehmer gegen die außerordentliche, fristlose Kündigung seines Arbeitgebers geklagt. Dieser hatte auf den PCs seiner Mitarbeiter Keylogger installiert, die das Verhalten der Angestellten kontrollierte, indem alle Tastatureingaben protokolliert, sowie regelmäßig Screenshots angefertigt wurden. Hierdurch kam zum Vorschein, dass der betroffene Mitarbeiter den PC, während seiner Anwesenheit, mehrere Stunden außerdienstlich genutzt hatte, um unter anderem ein Computerspiel zu programmieren, darüber hinaus hatte er täglich Aufträge des Unternehmens seines Vaters bearbeitet.

Bereits das Landesarbeitsgericht Hamm hatte in der Vorinstanz entschieden, dass der Einsatz von Keylogger Software unverhältnismäßig sei, da es beispielsweise auch möglich gewesen wäre, den Computer in Anwesenheit des Angestellten zu durchsuchen bzw. zu kontrollieren. Das BAG bestätigte das Urteil und entschied, dass es durch den Einsatz der Software zu einem Eingriff in das informationelle Selbstbestimmungsrecht des Angestellten gekommen sei.
Der Verstoß des Arbeitgebers gegen § 32 BDSG führt zu einem Verwertungsverbot. Eine Überwachung des Mitarbeiters war nach § 32 Abs. 1 BDSG nicht zulässig gewesen, da kein auf konkreten Tatsachen beruhender Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung bestand.

Notwendigkeit einer Betriebsvereinbarung für die Einführung von Microsoft Office 365

28. Juli 2017

Microsoft Office 365 kann auch in der Cloud betrieben werden. Und genau dies macht die Einführung dieses Systems im Unternehmen spannend wie auch datenschutzrechtlich kompliziert. Dies geht zurück auf aktuelle Praxisprobleme rund um die Cloud, insbesondere aus datenschutzrechtlicher Sicht. Hier ist noch eine Menge in Bewegung. Vor allem ist bereits jetzt abzuschätzen, dass die Rechtslage durch die DSGVO noch weiter an Komplexität zunehmen wird. Mit Microsoft Office 365 ist es jedenfalls möglich nicht nur alle Dokumente, sondern auch Telefonverbindungen, Termine, Emails usw. in die Cloud zu übertragen.

Dadurch wird möglich, dass alle Mitarbeiter auf alle Daten zugreifen und von überall auch bearbeiten können. So schön das auch klingt, ist der Datenschutz dabei nicht zu vernachlässigen. Denn möglich ist eben auch eine fast vollständige Überwachung der Mitarbeiter, so dass dem Begriff der Leistungskontrolle dadurch eine völlig neue Tragweite zukommt. Der Arbeitgeber kann nämlich beispielsweise nachvollziehen, wer wie lange an einem Dokument gearbeitet hat oder wer, wem, wie lange eine Email geschrieben hat. Ausgeschlossen ist überdies nicht, dass Daten miteinander verknüpft werden können. Auf diese Weise können aussagekräftige Bewegungsprofile des Mitarbeiters erstellt werden.

Aus Sicht der Unternehmen geht es freilich um wertvolle Informationen, wollen sie herausfinden wie viel ein Mitarbeiter leisten kann, um daraus wiederum Leistungsvorgaben definieren zu können. Gerade diese Vor- und Nachteile je nach einzunehmender Sichtweise, macht es erforderlich, dass der Betriebsrat die Einführung von Microsoft Office 365 bestätigt. Insofern hat der Betriebsrat hier ein Mitbestimmungsrecht.

  • 87 Betriebsverfassungsgesetz

 

(„1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen (…)

6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (…)“

 

Dieses Recht sichert letztlich das Persönlichkeitsrecht der Mitarbeiter und ist somit eng verbunden mit dem Datenschutzrecht, da das Persönlichkeitsrecht hier wegen der unfreiwilligen Preisgabe personenbezogener Daten der Mitarbeiter verletzt werden kann.

Im Rahmen der Betriebsvereinbarung kommt es maßgeblich darauf an, darauf zu achten, dass insbesondere die IT-Sicherheit gewährleistet ist. Daneben müssen Mitarbeiter darüber informiert werden, welche Daten von ihnen erhoben, verarbeitet und genutzt werden.

 

 

 

 

 

 

Themenreihe DSGVO: Abschlussbeitrag

Der heutige Beitrag stellt den Abschluss der Themenreihe zur DSGVO dar.

Die DSGVO als Hybrid zwischen Richtlinie und Verordnung stellt sich der Herausforderung, ein harmonisiertes und effektives europäisches Datenschutzniveau auf den Weg zu bringen und den digitalen Rahmenbedingungen des 21. Jahrhunderts gerecht zu werden.

Wie in den letzten Wochen vorgestellt bringt die DSGVO einige Neuerungen und Änderungen mit sich, die den nationalen Gesetzgeber vor einen Anpassungsprozess stellen. Beispielsweise wird den Rechten der Betroffenen eine größere Wichtigkeit gegenüber den vorher geltenden Richtlinien eingeräumt.

In Deutschland musste das Bundesdatenschutzgesetz (BDSG) an die DSGVO angepasst werden. Es kam zu einer Novellierung des BDSG, welche aufgrund des Zeitdrucks, wegen der anstehenden Bundestagswahl, schnell durchgeführt werden musste. Kürzlich wurde das umgangssprachlich BDSG-neu genannte Gesetz verabschiedet. Wir berichteten bereits ausführlich über den Gesetzgebungsprozess und die Kritik, die auf die Verabschiedung folgte. Das BDSG ist aber nicht das einzige Gesetz das angepasst werden muss, es wird noch mit Anpassungen von beispielsweise dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) gerechnet. Bis in der europäischen Datenschutzrechtlandschaft Ruhe einkehrt wird es noch einige Jahre dauern, zumal auch Rechtsprechung das neue Datenschutzrecht prägen wird.

Die DSGVO enthält einige Öffnungsklauseln, die der nationale Gesetzgeber ausfüllen kann und unter Umständen muss. Öffnungsklauseln eröffnen den nationalen Gesetzgebern zwar einen Handlungsspielraum allerdings ist der Gesetzgeber nicht komplett frei. Grundlage für die Öffnungsklauseln ist, dass das EU-Recht nach der Rechtsprechung des EuGH Vorrang vor den jeweiligen nationalen Gesetzen hat. Das bedeutet, dass die nationalen Gesetze so angepasst werden müssen, dass sie der DSGVO nicht widersprechen. Ein Widerspruch würde gegen die Verpflichtung aus dem europäischen Primärrecht zur loyalen Zusammenarbeit des Art. 4 Abs. 2 des Vertrags über die Europäische Union (EUV) verstoßen. Allen voran ist Art. 88 DSGVO zu nennen, der dem nationalen Gesetzgeber die Möglichkeit eröffnet die Datenverarbeitung im Beschäftigungskontext zu regeln. Der Beschäftigtendatenschutz kann, mangels Gesetzgebungskompetenz, nicht von der EU geregelt werden.

Ziel der DSGVO war unter anderem eine Vollharmonisierung des Datenschutzrechts in Europa, ob dieses Ziel wirklich erreicht werden kann, ist zweifelhaft. Durch die oben angesprochenen Öffnungsklauseln haben die nationalen Gesetzgeber einen großen Entscheidungsspielraum, der einer Harmonisierung zu wider läuft und wieder zu einer, zumindest teilweisen, Zerstreuung des datenschutzrechtlichen Niveaus führen wird. Demnach wird wohl eine der gewünschten Errungenschaften der DSGVO nicht erfüllt werden können.

Neben der DSGVO wird am 25.Mai 2028 auch die neue ePrivacy-Verordnung, die momentan noch nicht verabschiedet ist, in Kraft treten. Zurzeit liegt bereits ein Entwurf der neuen Verordnung vor. Zweck der ePrivacy-Verordnung ist die Anpassung der elektronischen Kommunikation an das Schutzniveau der DSGVO. Damit einhergehen soll dass das Vertrauen der Bürger in den digitalen Binnenmarkt gestärkt wird. Die ePrivacy-Verordnung flankiert die DSGVO und ersetzt die bis dahin geltende E-Privacy-Richtlinie und die Cookie-Richtlinie. Sobald es Neuigkeiten im Gesetzgebungsprozess der ePrivacy-Verordnung gibt, werden wir selbstverständlich darüber berichten.

Die DSGVO wird am 25. Mai 2018 in Kraft treten. Der deutsche Gesetzgeber hat seine Aufgabe mit der Novellierung des BDSG getan, jetzt müssen noch die Unternehmen in Deutschland ihre Hausaufgaben bis zum Stichtag erledigen.

Wie sich die DSGVO und die Rechtsprechung zu der Verordnung entwickeln wird und ob dem Tempo der Digitalisierung und Weiterentwicklung tatsächlich standgehalten werden kann bleibt allerdings noch abzuwarten.

Cyberangriff auf UniCredit-Bank: Informationen von 400.000 Kunden ausgelesen

Hackern gelang es durch einen Cyberangriff an Kontodaten von über 400.000 italienischen Kunden der UniCredit-Bank zu kommen. Das Unternehmen bestätigte den Angriff, unterstreicht allerdings auch, dass keine besonders kritischen Daten, wie Passwörter, kopiert wurden, die für einen Zugriff auf Kundenaccounts oder illegale Transaktionen genutzt werden könnten. Sicher ist jedoch, dass persönliche Informationen und die IBAN-Nummern der Kunden abhanden gekommen sind.

Bereits Ende 2016 war die UniCredit-Bank in das Visier von Hackern geraten und erlebt damit nun bereits den zweiten Cyberangriff innerhalb von zehn Monaten. Nach Angaben des Unternehmens soll der Zugriff auf die Daten über einen „unautorisierten Zugang durch einen italienischen Dienstleister“ erfolgt sein.

Die UniCredit-Bank will nun 2,3 Milliarden Euro investieren, um die eigene IT-Sicherheit zu stärken. Zu beachten ist hierbei, dass das Unternehmen für die Datensicherheit ihrer Kunden und Partner stets selbst verantwortlich bleibt, auch wenn verschiedene Prozesse – wie hier – durch Outsourcing von anderen Unternehmen im Wege der Auftragsdatenverarbeitung übernommen werden. Das Outsourcing stellt aber oftmals auch ein erhöhtes Sicherheitsrisiko dar, weshalb bei der Auswahl des Dienstleisters und den zu treffenden Sicherheitsvorkehrungen höchste Sorgfalt geboten ist. Erst recht, wenn 2018 die DSGVO in Kraft tritt und solche Datenpannen mit erhöhten Bußgeldern geahndet werden können.

1 17 18 19 20 21 163