Inhalt:

• Ärger mit der Beauftragung des Datenschutzbeauftragten
• Erfolgreiche Hacks durch Social Engineering
• Öffentliches Eingeständnis: Microsoft bricht europäisches Recht

 

 

Ärger mit der Beauftragung des Datenschutzbeauftragten

Ob ein Datenschutzbeauftragter von einem Unternehmen gem. Art. 37 DSGVO bestellt werden muss, ist manchmal schwierig zu entscheiden. Werden in einem Unternehmen allerdings sensible Daten, also u.a. Gesundheitsdaten verarbeitet, könnte eine Pflicht zur Bestellung vorliegen. Dies trifft allerdings ausdrücklich nicht auf einen einzelnen Arzt oder einen einzelnen Rechtsanwalt zu - sehr wohl hingegen auf Krankenanstalten oder größere Anwaltskanzleien.

Ein offenbar wiederkehrender Problemfall ist die Notwendigkeit der formgerechten Bestellung des Datenschutzbeauftragten und seine Unabhängigkeit, die ihm erst die Erfüllung seiner Aufgabe ermöglicht. So wurde etwa beispielsweise bereits 2019 die Entscheidung des Datenschutzbehörde (DSB) gegen die Betreiber der Allergietagesklinik u.a. mit erheblichen Mängeln bei der Bestellung des Datenschutzbeauftragten begründet. Die vorgeschriebene Meldung an die DSB ist nämlich nicht vorgenommen worden.

Auch eine Entscheidung der DSB vom Oktober 2024 betrifft den Datenschutzbeauftragten. Ein Vorwurf der Behörde gegenüber dem medizinischen Labor, das COVID-19- Proben auszuwerten hatte, lautete, dass die Bestellung des Datenschutzbeauftragten nicht ordnungsgemäß der DSB angezeigt wurde. Viel schwerer aber hat die DSB den Umstand bewertet, dass der Geschäftsführer des Labors sich selbst gleichzeitig als Datenschutzbeauftragten eingesetzt hat.

Gemäß Art. 38 Abs. 6 DSGVO muss der Datenschutzbeauftragte seine Funktion unabhängig ausüben können. Angestellte Mitarbeiter eines Unternehmens können zwar für ihren Arbeitgeber auch die Funktion des Datenschutzbeauftragten übernehmen. Für die Erfüllung ihrer Aufgabe muss allerdings gewährleistet sein, dass sie frei und unabhängig arbeiten können.

Die Innehabung einer Führungsrolle in einem Unternehmen schließt generell aus, dass die gleiche Person auch die Funktion des Datenschutzbeauftragten übernimmt, da damit die gesetzlich geforderte Unabhängigkeit nicht aufrechterhalten werden kann. Wer in einem Unternehmen u.a. die Aufgabe hat, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen, kann nicht gleichzeitig eben diese Maßnahmen kontrollieren.

 

 

Erfolgreiche Hacks durch Social Engineering

Der von den Medien kürzlich prominent berichtete Fall, bei dem Angreifer auf ein Computersystem die notwendigen Passworte einfach beim Helpdesk des betroffenen Unternehmens erfragten, hat einige Aufmerksamkeit erlangt. Das überrascht einigermaßen, denn die Methode ist weder neu, noch wird sie besonders selten angewandt. Was dadurch aber zum wiederholten Mal bewiesen wurde, ist die immens wichtige Rolle geschulter, aufmerksamer und loyaler Mitarbeiter, die abseits aller technischen Sicherheitsvorkehrungen ein Unternehmen wirksam schützen können.

Bei internen Sicherheitsüberprüfungen wird die Vorgangsweise immer wieder von Testern erfolgreich eingesetzt: Ein vorgetäuschter, Fehler im IT-System soll von einem gespielten externen Techniker behoben werden, der Zeitnot vorschützt und dringend ein Passwort benötigt. Dazu wendet er sich, oft telefonisch, an einen Mitarbeiter des betreffenden Unternehmens. Erstaunlich: In aller Regel wird der Tester weder nach Details seines Auftrages gefragt, noch werden die von ihm behaupteten Sachverhalte, weshalb er jetzt dringend das Passwort benötigt, überprüft, bevor er die Zugänge zum Computersystem erhält.

Immer wieder gelingt es Prüfern, sich problemlos Zugang zu gesicherten Räumen von Unternehmen zu verschaffen, indem sie Hinterausgänge nutzen, die z.B. von Rauchern oder Reinigungskräften frequentiert werden. Selten werden die "Eindringlinge" nach ihrer Legitimation oder ihren Aufträgen befragt bzw. auf die für externe Personen vorgesehenen Wege zurückgebracht. An der Aufdeckung von Eindringversuchen müssen aber alle Mitarbeiter eines Unternehmens aus innerer Überzeugung mitwirken.

Ein paar Vorkehrungen können helfen, die Gefahr von Social Engineering zu reduzieren:

1. Wichtigste Voraussetzung ist ein vertrauensvolles Arbeitsklima im Unternehmen. Nur Mitarbeiter, die sich mit dem Unternehmen identifizieren, werden sich auch für ihre Firma und ihre Kollegen einsetzen.
2. Gesundes Misstrauen hat nichts mit Paranoia oder dem Hang zu Verschwörungstheorien zu tun. Nicht hinter jedem Mauervorsprung lauert ein Bösewicht, aber bestimmte Handlungsweisen einer Person sollten dazu führen, dass die Gründe dafür hinterfragt werden. Wenn sich eine unbekannte Person an einem IT-Gerät zu schaffen macht, sollte sich kein Mitarbeiter im Unternehmen scheuen, nach den näheren Umständen der Tätigkeit zu fragen und die Antwort auch zu überprüfen. Es hilft auch, an externe Personen Legitimationskarten auszugeben, die sichtbar zu tragen sind.
3. Erfolgreiche Unternehmen haben eine positive Fehlerkultur. Wenn ein Mitarbeiter den Vorstand, dem er am Gang begegnet, nicht erkennt und ihn nach dem Woher und Wohin fragt, sollte er nicht gemaßregelt, sondern belobigt werden. Ebenso sollten die Vorgesetzten positiv reagieren, wenn ein Mitarbeiter frühzeitig einen Fehler, den er gemacht hat, meldet, weil durch rasche Reaktion meistens die Folgen eines Missgriffs gering gehalten werden können. Der Versuch der Vertuschung macht meistens alles nur noch schlimmer.

Zum Thema "Social Engineering" gibt es ein amüsantes und sehr informatives Youtube-Video (Vortragsmitschnitt von der 37. Konferenz des Chaos Computer Clubs), das wir bereits in der Klienteninformation Nr. 41 (25.2.2024) erwähnt haben und aus gegebenem Anlass nochmals in Erinnerung rufen (s.u.)

 

 

Öffentliches Eingeständnis: Microsoft bricht europäisches Recht

Microsoft (MS) könne nicht garantieren, dass Daten europäischer Bürger vor der Weitergabe an die US-amerikanische Regierung geschützt seien. Das gab Anton Carniaux, Chefjurist von Microsoft France, im Juni 2025 in einer öffentlichen Anhörung vor dem französischen Senat des Parlaments zu. Damit ist erstmals offiziell bestätigt, wovor Experten jahrelang gewarnt haben: Wer personenbezogene Daten mit MS-Programmen verarbeitet, muss

1. davon ausgehen, dass seine Daten ganz oder in Teilen von MS widerrechtlich und entgegen ständiger Beteuerungen abgesaugt und für eigene Zwecke verwendet werden und
2. gewärtig sein, dass die US-Geheimdienste Erfolg haben, wenn sie von MS die Herausgabe des gesamten Datenbestandes verlangen.

Die Folgen dieses offiziellen "Geständnisses" sind weitreichend. Da wären zunächst die Rechtsfolgen für die Personen und Einrichtungen, die als Verantwortliche i.S.d. Artikels 4 DSGVO personenbezogene Daten mit MS-Anwendungen verarbeiten. Es geht z.B. um MS-365, jene Nachfolgeanwendung von MS-Office, die Daten ihrer Nutzer ungeniert für eigene Zwecke verwendet. Es gibt auch es eine Reihe von Spezialanwendungen, die nur auf MS-Betriebssystemen oder auf MS-Servern laufen. Wenn es sich dabei um Software für Ärzte, Anwälte, Steuerberater und andere Berufsgruppen handelt, die zur besonderen Verschwiegenheit verpflichtet sind, stellt angesichts der Offenlegung von Carniaux alleine schon die Verwendung der Programme ein gravierendes Problem dar, das auch berufsrechtliche Folgen haben kann. Immerhin hat das Oberlandesgericht Köln bereits geurteilt, dass die Verarbeitung personenbezogener Daten durch europäische Unternehmen in den USA rechtswidrig ist (s.u., Quellen)

Abgesehen von den juristischen Konsequenzen muss sich aber jeder Anwender von MS-Programmen die moralische Frage stellen, ob er nichtsahnende Dritte, Klienten, Patienten etc. dem Risiko einer rechtswidrigen Verfolgung durch US-Geheimdienste aussetzen will.

Auf wirtschafts- und rechtspolitischer Ebene ist die Lage angesichts des Eingeständnisses von MS ziemlich verfahren: Eine Änderung der US-Gesetzgebung - soll heißen: eine Angleichung der US-Gesetze an das Niveau von demokratischen Rechtsstaaten - steht wenigstens derzeit nicht zur Diskussion, weil es dazu sogar einer Änderung der US-amerikanischen Verfassung bedürfte. Wollte man eine Wende anstreben, könnte Europa politisch von US-amerikanischen Softwareherstellern abrücken, ähnlich, wie es bei russischem Öl und Gas geschehen ist. Gleichzeitig muss man jedoch realistisch sein und sich eingestehen, dass es angesichts des Stellenwertes und der aktuell großen Verbreitung von MS-Software keinesfalls möglich ist, alle Anwender pauschal zu kriminalisieren. Und ein Ersatz für ausnahmslos alle verdächtigen US-Softwareprodukte (das US-Recht betrifft ja nicht nur MS, sondern z.B. auch Amazon, Google, Meta, X etc!) ist nicht in Sicht.

Die EU-Kommssion, die im Juli 2023 bezüglich des Datentransfers in die USA einen "Angemessenheitsbeschluss" gefasst hat (soll heißen: sie hat trotz eines gegenteiligen Urteils des EuGH vom Juli 2020 - "Schrems II" - die Datenübermittlung in die USA für zulässig erklärt), wird sich Fragen von Datenschützern stellen müssen. Wie schon unmittelbar nach Bekanntgabe der Maßnahme der Kommission sogar von verschiedenen Datenschutzbehörden vermutet, werden Gerichte ab jetzt bei einschlägigen Datenschutzverletzungen kaum mehr auf den Kommissionsbeschluss Rücksicht nehmen können und die Verantwortlichen bestrafen müssen. Einen Schritt in diese Richtung hat, wie bereits erwähnt, das Oberlandesgericht Köln in einem Urteil gesetzt.

Als Anwender, der an MS-Produkte zwingend gebunden ist, gibt es wenig, was man tun kann, um aus der Illegalität herauszukommen. Es gibt lediglich kleine Möglichkeiten, sich aus der Umklammerung der US-Softwareriesen zu lösen, um auf das Verständnis von Richtern hoffen zu können:

1. Keine Verwendung von Massenspeichern und Clouds, die von Amazon, Google, Meta, Apple u.a. angeboten werden. Es gibt ausreichende europäische Alternativen, auch solche, die kostenlos zur Verfügung stehen.
2. Verschlüsselung aller Daten. Damit wird zwar die Gefahr der Datenschutzverletzung durch US-amerikanische Behörden und andere "unfreundliche" Drittstaaten nicht gänzlich beseitigt, sie wird aber deutlich vermindert.
3. Bei der Auswahl der Software sollte man Hersteller bevorzugen, die keine Niederlassung in den USA, China oder Russland haben. Unternehmen in den genannten Ländern unterliegen nämlich nicht nur der Gesetzgebung, sondern müssen auch mit wirtschaftlicher Erpressung durch die Staatsführung rechnen, wenn sie politische Wünsche der Regierungen im Interesse ihrer Kunden zurückweisen.