Josef Haverkamp Datenschutz Grundlagen und Arbeitshilfen für Betriebs- und Personalräte

Transkript

1

2 Josef Haverkamp Datenschutz Grundlagen und Arbeitshilfen für Betriebs- und Personalräte

3 aktiv im Betriebsrat

4 Josef Haverkamp Datenschutz Grundlagen und Arbeitshilfen für Betriebs- und Personalräte

5 Buch: 2016 by Bund-Verlag GmbH, Frankfurt am Main Herstellung: Kerstin Wilke Umschlag: eigensein, Frankfurt am Main Satz: Dörlemann Satz, Lemförde E-Book: 2016 by Bund-Verlag GmbH, Frankfurt am Main Produktion: Satzweiss.com, Saarbrücken ISBN Alle Rechte vorbehalten, insbesondere die des öffentlichen Vortrags, der Rundfunksendung und der Fernsehausstrahlung, der fotomechanischen Wiedergabe und der Speicherung, Verarbeitung und Nutzung in elektronischen Systemen, auch einzelner Teile.

6 Vorwort Vorwort Es ist eine Zeit der großen Umbrüche bei der Datensicherheit und im Datenschutz: die NSA-Affäre, also die große globale Überwachungs- und Spionageaffäre durch die USA und das Vereinigte Königreich, Hacker, die mit Erpressersoftware beispielsweise Krankenhäuser angreifen, die nächste industrielle Revolution, Industrie 4.0, und die neue EU-Datenschutz-Grundverordnung. Diese sicherlich unvollständige Liste zeigt, dass sich Firmen und Behörden, Betriebs- und Personalräte intensiver mit Fragen der Überwachung und des Arbeitnehmerdatenschutzes auseinandersetzen müssen. Einerseits ist es die Aufgabe von gesetzlichen Interessenvertretern, darüber zu wachen, ob sich ihre Arbeitgeber an die bestehenden Gesetze halten, anderseits geht es aber auch darum, den Datenschutz im Büro und in der Arbeit der gesetzlichen Interessenvertretung einzuhalten. Das ist nicht einfach, denn immer wieder legen Arbeitgeber die Datenschutzparagrafen»nach Belieben«aus, und mal ignorieren sie diese einfach. Neben den durch die Geschäftsführungen und Leitungen verursachten Datenschutzproblemen drohen weitere Gefahren im Datenschutz. So gibt es noch die Wirtschaftsspionage, denn die Unternehmenskonkurrenz schläft nicht. Sie interessiert sich für neue Produkte und Entwicklungen, für die Preisgestaltung bei Angeboten oder für die Strukturen in Betrieben und Behörden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt daher immer wieder fest, dass diese Art der Spionage das wirtschaftliche Überleben vieler Betriebe gefährdet und dass Datenschutz kein Luxus sein darf, sondern ein Bereich ist, der höchste Aufmerksamkeit erfordert, um die Zukunft zu sichern. In der innerbetrieblichen und innerbehördlichen Praxis zeigt sich zudem, dass selbst eine»exzellente«zusammenarbeit mit der Firmen- oder Behördenleitung nur so lange funktioniert, wie es keine größeren Konflikte in Betrieb und Verwaltung gibt. Spätestens in einer harten Tarifrunde oder wenn eine Abteilung bzw. ein Standort geschlossen oder der Betrieb 5

7 Vorwort verlagert werden soll, geht es zur Sache; und der Arbeitgeber wüsste nur zu gerne, welche Aktionen die Interessenvertretung plant oder welche Position diese zu einer personellen Einzelmaßnahme einnimmt. Obwohl die Presse in den letzten Jahren über mehr Datenschutzprobleme berichtet hat und Datensicherheit immer wichtiger wird, ist gleichzeitig festzustellen, dass der persönliche Umgang mit Datenschutzfragen bei vielen Menschen immer lockerer wird. Ein Negativbeispiel ist Facebook, wo sehr viele personenbezogene Daten freiwillig preisgegeben werden. Denn obwohl der Stellenwert eines guten Datenschutzes theoretisch von vielen erkannt und gefordert wird, fühlen sich die meisten Menschen von ihrer praktischen Umsetzung überfordert. Das gilt leider auch für viele Mitglieder von gesetzlichen Interessenvertretungen. Der Datenschutz steht daher in der Praxis oftmals weit hinten auf der To-do-Liste von Interessenvertretungen. Diese Praxis hat natürlich noch weitere Gründe: So hat sich der Arbeitsdruck in den vergangenen Jahren immens erhöht, vielerorts fehlen daher die Zeit und die Kraft, sich dieses wichtigen Themas anzunehmen, und somit auch die Bereitschaft, sich mit oftmals sehr komplexen Inhalten auseinanderzusetzen. Zudem sind viele Interessenvertreter damit beschäftigt, überzogene Forderungen der Arbeitgeber abzuwehren. Dieses Buch will daher eine kurze, aber fundierte Einführung in den Datenschutz aus der Sicht von Interessenvertretungen geben. Schwerpunkte sind dabei eine Einführung in den Datenschutz mit den wichtigsten Begriffen und Bestimmungen des Bundesdatenschutzgesetzes (BDSG) sowie die konkrete Gefahrenlage und die praktische Umsetzung von datenschutzrelevanten Aspekten in der Praxis einer Interessenvertretung. Besonders im Blick sind dabei die Betriebssysteme und Software von Microsoft, da sie zur Standardausstattung von Büros der Interessenvertretung gehören. Bei der Benutzung eines Computers durch die Interessenvertretung, vor allem im Netzwerk, bei mobilen Geräten (z. B. Notebooks, Tablets, USB-Sticks und Smartphones) oder bei einem Intra- und Internetanschluss, ist die Datensicherheit unter anderem gefährdet durch: x ungenügendes technisches und juristisches Fachwissen zum Datenschutz, x ein fehlendes Sicherheitskonzept der Interessenvertretung und seine praktische Umsetzung, x den leichtfertigen Umgang mit personenbezogenen Daten, x den fremden Zugriff auf personenbezogene Daten bei nicht gesicherten Computer, x den fremden Zugriff auf personenbezogene Daten durch eine fehlende oder falsche Benutzerverwaltung, 6

8 Vorwort x illegales Lesen von s und Dateien, beispielsweise durch den Systemverwalter, x Sicherheitslücken im Betriebssystem oder in der benutzten Software, x Verschlüsselungssoftware, die unsichere Schlüssel benutzt oder einen betrieblichen Nachschlüssel enthält, x Kontrollprogramme, die z. B. jeden Tastaturanschlag protokollieren und regelmäßig Bildschirmfotos machen, x Hintertürprogramme, sogenannte»trojanische Pferde«, die die vollkommene Kontrolle über fremde Rechner erlauben, x Fernwartungstools (tool = Werkzeug), die die gleichen Funktionsmöglichkeiten wie Hintertürprogramme haben, x Viren, die Daten zerstören können. Selbst wenn die Computer der Interessenvertretung nicht an das Intranet oder Internet angeschlossen sind, bedeutet das nicht automatisch, dass der notwendige Datenschutz gegeben ist. Ein unverschlossenes Büro der Interessenvertretung und ein nicht durch Passwörter, Verschlüsselung oder andere Sicherheitsmaßnahmen geschützter PC ist vergleichbar mit einem unverschlossenen Auto mit steckendem Zündschlüssel, das auf der Straße parkt ein lohnendes Objekt, selbst für Gelegenheitsdiebe. Schon die normale Weitergabe von Dateien kann ein Datenschutzproblem sein. Denn Office-Dateien enthalten Informationen, die für den Arbeitgeber von Interesse sein können, und sie sind problemlos auszulesen. Diese unvollständige Zusammenstellung der Risiken zeigt, wie wichtig der Datenschutz auch für eine gesetzliche Interessenvertretung ist. Und das ist keine Frage der Freiwilligkeit, denn das Bundesdatenschutzgesetz (BSDG) gilt auch für die Interessenvertretung. Es schreibt unter anderem zwingend den Schutz personenbezogener Daten vor unbefugtem Zugriff vor. Einen laxen Umgang mit Daten darf es daher auch und gerade bei einer Interessenvertretung nicht geben. Natürlich kann und soll das vorliegende Buch nicht die großen Kommentare zum BDSG und anderer wichtiger datenschutzrelevanter Gesetze ersetzen. Es möchte vielmehr dabei helfen, das Problembewusstsein für den Datenschutz zu schärfen und diesen in der Interessenvertretung zu verankern, und praxisbezogene Anregungen zur Umsetzung geben. Daher enthält das Buch viel praktisch umsetzbare Hinweise und Tipps. Josef Haverkamp 7

9 Vorwort 8

10 Inhaltsverzeichnis Inhaltsverzeichnis Vorwort Abkürzungsverzeichnis/Quellenverzeichnis Verzeichnis ausgewählter Literatur Verzeichnis der Checklisten Datenschutz in Deutschland a. Gefährdungslage b. Grundlagen des Datenschutzes in Deutschland aa. Datenschutzziele bb. Datenschutzregelungen cc. Aufbau des BDSG dd. Begriffsklärungen ee. Alles, was nicht ausdrücklich erlaubt ist, ist verboten. 32 c. Datenvermeidung, Datensparsamkeit und die Datenerhebung aa. Zweckbindung bb. Datenerhebung cc. Vorabkontrolle dd. Übermittlung von Daten ee. Übermittlung ins Ausland d. Auftragsdatenverarbeitung e. Technische und organisatorische Maßnahmen f. Datenschutzpannen g. Rechte der Betroffenen h. Beteiligungsrechte des BR und PR zur Sicherung des Beschäftigtendatenschutzes i. Die Europäische Datenschutz-Grundverordnung

11 Inhaltsverzeichnis 2. Betriebliche und behördliche Datenschutzbeauftragte (bdsb) a. Keine Kontrolle durch den bdsb b. Das Büro der Interessenvertretung, eine datenschutzfreie Zone? Der Datenschutzbeauftragte der gesetzlichen Interessenvertretung (DGIV) Das Datenschutzsicherheitskonzept der Interessenvertretung Angriffe von außen und innen a. Das Firmennetzwerk b. Kontrolle über das Netzwerk c. Sicherheitsrisiko»Sniffer« aa. Das Ausschnüffeln konkret bb. Sniffer abwehren d. WLAN e. Thin Client/Cloud f. Überwachung durch das Betriebssystem g. Zugriff des Systemverwalters auf sensible Daten h. Fazit Überwachen und Ausspionieren a. Hintertür-, Fernwartungs- und Kontrollprogramme aa. Die Hintertürprogramme bb. Die wichtigsten Schnüffelfunktionen der Hackertools: 73 cc. Gegenwehr b. Die Fernwartungsprogramme c. Bot-Netze d. Der Chef liest mit Überwachungsprogramme aa. Big Brother im Betrieb bb. Die Praxis e. Kontrollprogramme entdecken f. Überwachungssoftware auf Handys aa. Handykontrolle total bb. Auswerten der Daten cc. Rechtliche Fragen dd. Was tun? g. Alles rechtens?

12 Inhaltsverzeichnis 7. Windows-Datenschutz a. Datenschleuder Windows b. Windows-Benutzerkonten Die»Brandschutzmauer«zum Internet persönliche Firewalls a. Die eingebaute Firewall in Windows b. Protokolle einer Firewall c. Fazit Seuchengefahr: Computerviren a. Was ist ein Virus? b. Kleine Gattungskunde: Virenarten aa. Bootviren bb. Dateiviren cc. Makroviren dd. Würmer ee. Trojanische Pferde ff. Ransomware gg. Polymorphe Viren, Stealth-Virus c. Schäden durch Viren d. Antivirenprogramme e. Bitdefender Internet Security f. Andere Antivirenscanner g. Antivirenscanner testen h. Fazit i. Informationen im Internet Sicher ins Internet a. Cookies b.»schweißspur«im Internet c. Datensammler Suchmaschinen d. Selbsttest Browser, , Netzwerk e. Spuren auf dem Rechner f.»spyware«und»phonehome« g. Internetspuren verhindern und löschen h. Die Alternative: anonymes Surfen? i. Internetarchiv s und Newsgroups a. Gefahren und Abwehr

13 Inhaltsverzeichnis aa. Ungesicherter Zugang zum Computer und - Programm bb. Ungesichertes Postfach und ungeschützte s cc. Ungeschütztes Passwort beim Abrufen der s dd. Falsche -Zustellung ee. Falsche Absenderadresse ff. Falsche Eingabe bei Weiterleitung einer gg. Fehlende Sicherheitseinstellungen im - Programm hh. Hintertüren und Viren ii. Fehlende Sicherungen b. Soziale Netzwerke und Newsgroups auf ewig gespeichert? 131 c. Chatten: WhatsApp oder Threema d. Verschleierte und geschützte s aa. Tipps bb. Die geschützte Posteo e. -Sicherheit f. Telefonieren übers Internet g. Videokonferenzen Topsecret! Dateien und s verschlüsseln a. Sichere Verschlüsselung? b. Zwei große Verfahren zur Verschlüsselung c. Verschlüsselung von Office-Dateien d. Verschlüsseln von PDF-Dateien Verschlüsseln mit dem Betriebssystem a. Festplatte mit Windows 10 verschlüsseln b. USB-Stick verschlüsseln c. Sicherheitsprobleme d. Betrieblicher Nachschlüssel e. Microsoft den Bitlocker-Nachschlüssel entziehen f. Daten versenden g. Sicherheit durch die»digitale Signatur« h. Microsoft Edge, Chrome, Firefox und Outlook i. Tipps für sichere s Die Verschlüsselungsspezialisten a. PGP der Verschlüsselungsklassiker b. Die PGP-Verschlüsselungsverfahren aa. Der betriebliche Nachschlüssel

14 Inhaltsverzeichnis bb. Gewichtige Gründe für den Nachschlüssel cc. Vereinbarung abschließen, Kontrolle behalten dd. Fazit c. Kostenlose Verschlüsselung mit TrueCrypt oder VeraCrypt 167 d. VeraCrypt im Einsatz aa. Verschlüsseltes Laufwerk oder Containerdatei erstellen 169 bb. Verschlüsselten Container öffnen e. Steganos Privacy Suite aa. Verschlüsseln und verstecken bb. s verschlüsseln cc. Daten verstecken dd. Spuren per Mausklick vernichten ee. Shredder ff. Passwort-Manager gg. Fazit f. Volksverschlüsselung Kryptografie verstehen mit JCrypTool Was Office-Dateien und PDFs so alles verraten a. Kommentare b. Änderungen nachverfolgen c. Ausgeblendet der verborgene Text d. Versteckte Infos die Dokumenteigenschaften e. Versteckte Infos in Office-Programmen löschen f. Dateien richtig löschen g. Office h. Vertrauliche Informationen in PDF-Dokumenten Sicherheit bei USB-Sticks a. Viren und Trojaner bei USB-Sticks b. Verlust und Diebstahl c. Verschlüsselung von Daten auf USB-Sticks d. PC-Zugriff per USB-Stick e. Fazit Multifunktionsgeräte als Sicherheitsrisiko Datensicherung und Archivierung

15 Inhaltsverzeichnis 20. Der sichere Zugang zum Computer der Interessenvertretung a. Sicherheit bei PC-Start b. Energiesparmodus und Bildschirmschoner mit Passwort. 209 aa. Energiesparmodus mit Passwort bb. Bildschirmschoner mit Passwort c. Passwortschutz nach dem Zuklappen des Notebooks d. Sicherer Zugang mit Smartcard oder USB-Token e. Sichere Passwörter das kleine Passwort-ABC Daten sicher löschen a.»wirkliches«löschen gar nicht so einfach b. Richtig schreddern im Büro der Interessenvertretung aa. Sichere Vernichtung bb. Schutzklassen, Sicherheitsstufen unter Materialklassifizierungen cc. Richtiges Vorgehen dd. Material finden ee. Schredder prüfen ff. Hardware vernichten gg. Vernichtung durch Dritte c. Fazit Sicherheit bei Tablet und Notebook a. Diebstahlschutz b. Seitenblicke c. Notebookschutz bei kurzzeitiger Abwesenheit d. Integrierte Sicherheit e. WLAN-Hotspots f. Verschlüsselung Sicherheit bei Smartphones Organisationslösungen für das Büro der Interessenvertretung Wichtige Internetseiten zum Datenschutz Stichwortverzeichnis

16 Abkürzungsverzeichnis/ Quellenverzeichnis Abkürzungsverzeichnis/Quellenverzeichnis Abs. ADK AES AiB Aufl. BAG BBC Bcc bdsb BDSG BetrVG BIOS BSI BPersVG Cc CF CuA DGIV DOS DSGVO DSS EDV EFS ENISA Absatz Additional Decryption Key Advanced Encryption Standard Arbeitsrecht im Betrieb (Zeitschrift) Auflage Bundesarbeitsgericht British Broadcasting Corporation Blind Carbon Copy = blinder Durchschlag betrieblicher oder behördlicher Datenschutzbeauftragter Bundesdatenschutzgesetz Betriebsverfassungsgesetz Basic Input Output System Bundesamt für Sicherheit und Informationstechnik Bundespersonalvertretungsgesetz Carbon Copy = Durchschlag Computer Fachwissen (Zeitschrift) Computer und Arbeit (Zeitschrift) Datenschutzbeauftragte der gesetzlichen Interessenvertretung (= Datenschutzbeauftragter des Betriebs- bzw. Personalrats) Disk Operating System Europäische Datenschutz-Grundverordnung Data Storage Server (= ein Server zur Speicherung von Daten) Elektronische Datenverarbeitung Encrypting File System Europäische Agentur für Netz- und Informationssicherheit 15

17 Abkürzungsverzeichnis/Quellenverzeichnis FAT File Allocation Table FBI Federal Bureau of Investigation f. folgende ff. die nachfolgenden (Seiten) FoeBuD Verein zur Förderung des öffentlich bewegten und unbewegten Datenverkehrs e. V. GAN GB HTML ID IDC IP IPSec ISDN IT LAN MAV Nr. NSA NTFS OLE PC PGP PIN POP RTF Global Area Network = Weltweites Netzwerk Gigabyte Hypertext Markup Language Identifikation/Benutzerkennung International Data Corporation Internetprotokoll Internet Protocol Secure Protocol = Internetsicherheitsprotokoll Integrated Services Digital Network Informationstechnologie Local Area Network = Lokales Netzwerk Mitarbeitervertretung Nummer National Security Agency New Technology File System Object Linking and Embedding = das Verknüpfen und Einbetten von Objekten Personal Computer Pretty Good Privacy Persönliche Identifikationsnummer Post Office Protocol Rich Text Format S. Seite SMS Short Message Service SRTP Secure Real Time Protocol 16

18 Abkürzungsverzeichnis/Quellenverzeichnis SSD SSL StGB TSL USB usw. VoIP WLAN WPA WWW Solid State Drive Secure Socket Layer Strafgesetzbuch Transport Layer Security Universal Serial Bus = Universelle, externe Schnittstelle und so weiter Voice over IP = Sprachübermittlung über das Internetprotokoll Wireless Local Area Network = drahtloses lokales Netzwerk Wi-Fi Protected Access World Wide Web z. B. zum Beispiel Quellen Fotos/Grafiken: BSI, Blockmaster, KYOCERA, Nitrakey, Computer und Arbeit, Kensington. 17

19 Abkürzungsverzeichnis/Quellenverzeichnis 18

20 Verzeichnis ausgewählter Literatur Verzeichnis ausgewählter Literatur Beutelspacher, Kryptologie, Eine Einführung in die Wissenschaft vom Verschlüsseln, Verbergen und Verheimlichen, 10. Auflage, 2015 Bott/Siechert/Stinson, Windows 10 für Experten, 2015 BSI (Hrsg.), Die Lage der IT-Sicherheit in Deutschland 2015, 2015 BSI (Hrsg.), IT-Grundschutz-Kataloge, 15. Ergänzungslieferung, 2016 Däubler, Gläserne Belegschaften. Handbuch zum Arbeitnehmerdatenschutz, 6. Auflage, 2015 Däubler, Internet und Arbeitsrecht, 5. Auflage, 2016 Däubler/Klebe/Wedde/Weichert, Bundesdatenschutzgesetz, Kompaktkommentar, 5. Auflage, 2016 Gieseke, Windows 10 Das Kompendium, 2016 Gola/Schomerus, BDSG. Bundesdatenschutzgesetz, Kommentar, 12. Auflage, 2015 Saumweber, Windows 10. Das große Handbuch, 2016 Wedde (Hrsg.), Handbuch Datenschutz und Mitbestimmung,

21 Verzeichnis ausgewählter Literatur 20

22 Verzeichnis der Checklisten Verzeichnis der Checklisten Checkliste zur Rechtmäßigkeit der Nutzung personenbezogener Daten durch die Interessenvertretung Checkliste DGIV Checkliste Datensicherheitskonzept der Interessenvertretung Checkliste Netzwerkkontrolle Checkliste Fernwartungssoftware Checkliste Gefahrenabwehr Bot-Netze Checkliste Kontrollprogramme Checkliste Firewall Checkliste Viren Checkliste sicheres Internet Checkliste s Checkliste Videokonferenz Checkliste Verschlüsselung mit Windows Checkliste PGP Checkliste verräterische Informationen in Dokumenten Checkliste sichere USB-Sticks Checkliste Drucker und Kopierer Checkliste Datensicherung und Archivierung Checkliste Passwörter

23 Verzeichnis der Checklisten 22

24 1. Datenschutz in Deutschland Gefährdungslage Der gesetzliche Datenschutz hat keine sehr lange Geschichte. Das erste formelle Datenschutzgesetz der Welt war 1970 das Hessische Datenschutzgesetz trat dann das erste Bundesdatenschutzgesetz (BDSG) in der alten Bundesrepublik in Kraft und die letzte große Novellierung des Gesetzes war Seitdem hat sich aber die Technik so rasant weiterentwickelt, dass es der aktuellen Entwicklung oftmals hinterherhinkt. Zudem ist das große Problem beim Datenschutz in Deutschland, dass er nicht nur im Bundesdatenschutzgesetz festgelegt ist, sondern auch in vielen anderen Gesetzen. Sie alle zu überblicken ist selbst für Fachleute ein Problem. In den vergangenen Jahren gab es daher immer wieder die Forderung (u. a. durch den DGB) nach einem Arbeitnehmerdatenschutzgesetz. Es sollte die datenschutzrelevanten Vorschriften bündeln und damit in einem Gesetz zusammenfassen, um die Datenschutzfragen im Zusammenhang betrachten zu können. Dazu ist es bislang leider noch nicht gekommen. Daher bleibt jetzt nur die Möglichkeit, sich mit dem bestehenden BDSG, der aktuellen Gefährdungslage und den praktischen Maßnahmen für mehr Datenschutz auseinanderzusetzen. a. Gefährdungslage Die Datenschutzskandale der vergangenen Jahre, insbesondere die globale Überwachungs- und Spionageaffäre des amerikanischen Geheimdienstes National Security Agency (NSA), dürften wohl allen Menschen deutlich gemacht haben, dass es mit dem Datenschutz in Deutschland nicht gut steht. Wenn selbst die Bundeskanzlerin Angelika Merkel ausspioniert wird, so dürfte klar sein, dass es kaum eine Grenze bei der Spionage gibt. 23

25 Datenschutz in Deutschland Anfang Juni 2013 enthüllte der ehemalige Geheimdienstmitarbeiter Edward Snowden, wie die Vereinigten Staaten und das Vereinigte Königreich weltweit die Telekommunikation und das Internet überwachen. Und das nicht erst nach dem Terroranschlag auf die USA am 11. September Schon vor dieser Überwachung setzten die USA und andere Staaten das weltweite Spionagenetz»Echelon«ein, und spätestens 2007 das neue, viel effektivere System, das Edward Snowden aufdeckte. Angeblich dient dieses neue System dazu, so die Begründung der USA und des Vereinigten Königreiches, terroristischen Anschlägen vorzubeugen. Es stellt sich hier die Frage, was die USA wirklich interessiert? Sicherlich sind alle Fragen von Belang, die mit politische Geschehnissen und Entwicklungen zusammenhängen, insbesondere die im Zusammenhang mit terroristischen Bedrohungen stehen. Andererseits interessieren sich die USA aber auch für wirtschaftliche Entscheidungen und ganz konkret für technische Entwicklungen. Die USA haben ihre Spionagetätigkeit schon immer auch als konkrete Hilfe für amerikanische Firmen verstanden, also als Wirtschaftsspionage. Die weltweiten Gefährdungen der Menschen in diesem Land und des Wirtschaftsstandortes Deutschland muss die Bundesregierung einschätzen und entsprechend handeln. Abbildung 1: Das Nationale IT-Lagezentrum im BSI Quelle: Bundesamt für Sicherheit in der Informationstechnik 24

26 Gefährdungslage Um die aktuelle Sicherheit beim Datenschutz in Deutschland zu erhöhen, betreibt das»bundesamt für Sicherheit in der Informationstechnik«(BSI) das Nationale IT-Lagezentrum. In ihm werden ständig nationale und internationale Quellen zum Datenschutz und zu Datenschutzlücken ausgewertet. Es dient dazu, schneller auf aktuelle Bedrohungen reagieren zu können. Daher sind die Webseiten des BSI ( eine wichtige Informationsquelle über Gefährdungen. Zudem finden sich dort ausführliche technische und organisatorische Information zum richtigen Umgang mit der Technik rund um den Datenschutz. 1 Die konkreten Gefährdungen des Datenschutzes und der Datensicherheit laufen auf verschiedenen Ebenen. Einerseits gibt es die gerade genannte weltweite Bedrohung durch Regierungen, anderseits durch sie oder andere (Konkurrenzfirmen, Hacker, ) durchgeführte Angriffe auf IT-Systeme. Das BSI zeigt einen Teil der Probleme in der Grafik Datenschutzlücken: Gefährdungen und Wege bei Computern, Tablets, Smartphones etc. auf. Das Schaubild auf S. 26 verdeutlicht, auf welchen Ebenen das»bundesamt für Sicherheit in der Informationstechnik«(BSI) Gefahren sieht: x Schwachstellen in Hard- und Software x die Anwender im sorglosen Umgang mit Daten sowie Hard- und Software x Social Engineering 2 x Spam (Werbemüll) x Schadsoftware x Hacker x Botnets (Bot-Netze) 3 Das Schaubild ist insgesamt eine sehr technische Sicht, denn es fehlen andere, gleichwohl wichtige Aspekte, wie x unzureichendes Datenschutzwissen von Arbeitgebern und Betroffenen, x die fehlende Einhaltung von Datenschutzgesetzen durch Arbeitgeber, x unzureichend aus- und fortgebildete betriebliche und behördliche Datenschutzbeauftragte (bdsb), x veraltete und schlecht gewartete IT-Systeme, 1 Z.B. BSI, IT-Grundschutz-Kataloge, 15. Ergänzungslieferung, Der englische Begriff bedeutet»angewandte Sozialwissenschaft«oder auch»soziale Manipulation«. Konkret: Jemand versucht, durch zwischenmenschliche Beeinflussungen andere Personen bspw. dazu zu bringen, vertrauliche Informationen preiszugeben, bis hin zu Passwörtern für Computersysteme. 3 Hintertürprogramme, die Tausende von Rechnern befallen können. 25

27 Datenschutz in Deutschland Abbildung 2: Datenschutzlücken: Gefährdungen und Wege Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland

28 Grundlagen des Datenschutzes in Deutschland x zu wenige Datenschutzkontrollen durch die staatlichen Datenschutzbehörden, x zu milde Sanktionen bei Datenschutzverstößen und damit eine zu geringe Abschreckung. Die unzureichenden Datenschutzkontrollen ergeben sich zwangsläufig aus der schlechten personellen Ausstattung der Datenschutzbehörden. Doch selbst wenn Datenschutzverstöße bekannt werden, haben die Strafverfolgungsbehörden oftmals wenig Interesse daran, sie vor Gericht zu bringen. Eine Verurteilung wegen Datenschutzverstößen ist somit sehr unwahrscheinlich. 4 Die Arbeit des BSI ist sinnvoll und wichtig, aber für den konkreten Datenschutz in Betrieben und Behörden ist dieses Amt nicht zuständig, auch wenn sie Empfehlungen zum Datenschutz erarbeiten. Zuständig ist zuerst der Arbeitgeber (= die verantwortliche Stelle) und in der praktischen Umsetzung, die von ihm bestellten betrieblichen und behördlichen Datenschutzbeauftragten (bdsb). Darüber hinaus sind Betriebs- und Personalräte und die Aufsichtsbehörden (Bundes- und Landesdatenschutzbeauftragte) dazu verpflichtet, die Einhaltung bestehender Gesetze zu kontrollieren (siehe S. 29 und S. 46f.). In Betrieben und Behörden stellen sich ganz konkret die Fragen nach dem praktisch umzusetzenden Datenschutz. Also: Wer geht wie mit welchen personenbezogenen Daten um und wie wird der Datenschutz technisch und organisatorisch gewährleistet? b. Grundlagen des Datenschutzes in Deutschland Die Erfahrungen mit der Zeit des Nationalsozialismus haben gezeigt, wie wichtig der Schutz personenbezogener Daten sein kann. Je mehr ein Staat über seine Bewohner erfährt, umso mehr kann er sie kontrollieren, unterdrücken und verfolgen. Auch um dies zu verhindern, leitet sich der Datenschutz in Deutschland aus den ersten beiden Artikeln des Grundgesetzes ab:»die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist die Verpflichtung aller staatlichen Gewalt.«(Artikel 1 Absatz 1 Grundgesetz) 4 Christiane Schulzki-Haddouti, Papiertiger. Kaum Strafen für Verstöße gegen Datenschutzvorschriften, c t 2016, Heft 10, S

29 Stichwortverzeichnis Stichwortverzeichnis A ActiveX 79 Additional Decryption Key 15, 163 ADK 163f., 167 Administrator 35, 49f., 60ff., 69, 75, 78, 80, 90, 96, 112, 128, 137, 155f., 163, 197, 208 Advanced Encryption Standard 172 AES 172, 179, 199 Aktive Inhalte 95, 126 Allzuständigkeit 47 Änderungen nachverfolgen 93, 184 Anonymes Surfen 122ff., 126 Anonymisierung 33, 44 Anordnung über den kirchlichen Datenschutz (KDO) 29 Anti-Spyware-Programm 78, 90 Antivirenprogramm 101, 106f., 112 Antivirenscanner 110f. Antivirensoftware 75, 100, 105, 107f., 113 Archivierung 204ff. Asymmetrische Verschlüsselung 145f., 161, 174, 177 Aufgaben eines Datenschutzbeauftragten der gesetzlichen Interessenvertretung (DGIV) 51ff., 93, 98, 112, 142, 165, 203, 227 Aufsichtsbehörde 31, 41ff., 50 Auftragsdatenverarbeitung 38ff. Auftragskontrolle 40 Ausgeblendeter Text 184ff. Automatisierte Einzelentscheidungen 44 Automatisierte Verarbeitung 30, 44 B Back-up-Software 205 Behaviour Blocker 107 Behördlicher Datenschutzbeauftragter 25, 32, 36, 42, 49ff., 56ff., 67, 75, 84, 89f., 93, 112, 202f. Benutzerkonten 55, 69, 78, 196, 207f. Besondere Arten personenbezogener Daten 42 Beteiligungs- und Mitbestimmungsrechte des BR und PR 45ff. Betrieblicher Datenschutzbeauftragter 25, 32, 36, 42, 49ff., 56f., 67, 75, 84, 89f., 93, 112, 202f. Betrieblicher Nachschlüssel 7, 155ff., 161f., 171 Betriebssystem 7, 68, 78, 99, 116, 118, 151ff., 158, 167, 195, 197, 204f., 208,

30 Stichwortverzeichnis Bildschirmschoner 74f., 209, 211 BIOS 99, 197, 208, 225 BIOS-Passwort 208 BitLocker 151ff., 167, 171, 197 Blickschutz 225 Bootviren 102 Bot-Netz 25, 77f. Brute Force-Programm 213 Bundesbeauftragte für den Datenschutz (BfDI) 41, 49, 53, 230 Bundesdatenschutzgesetz (BDSG) 6, 23, 25ff., 54, 61, 87, 193, 218f., 228 Bundespersonalvertretungsgesetz (BPersVG) 29, 43, 46f., 51, 57 C Client-Server-Modell 67 Cloud 67f., 105, 156, 191 Cookies 95, 115, 120ff., 126, 174f. D Dateieigenschaften 186ff. Dateien löschen 215ff. Dateien verstecken 171ff. Dateischredder/Dateishredder 59, 215 Dateiviren 102 Daten verstecken 74, 76 Datenerhebung 29, 31, 33, 35, 37 Datenpanne 42 Datenschutzbeauftragter der gesetzlichen Interessenvertretung (DGIV) 51ff., 93, 98, 112, 142, 165f., 202f., 227 Datenschutz-Grundverordnung (DSGVO) 45ff. Datensicherheitskonzept ( siehe Sicherheitskonzept) 55 Datensicherung 31, 35, 56, 61, 69, 87, 105, 113, 139, 204ff. Datensparsamkeit 33, 35, 37, 39, 44 Datenübermittlung 36ff. Datenvermeidung 29, 31, 33, 44 Defragmentierung 217 Digitale Signatur 107, 129, 158, 165, 179 Dritter 32, 38, 42 DuckDuckGo 119 E Echtzeitmonitoring (siehe Monitoring) 80 Edge 122, 136 Eingabekontrolle 40 Einwilligung 31, , 61f., 64, 67, 69, 75, 78ff., 86, 89, 100, 102, 105ff., 114, 118f., 123f., 126, 128, 130f., 158ff., 171ff., 177, 180, 196, 201f., 207, 212, 217, 228 s 129 Encrypting File System (EFS) 151ff., 167 Erhebung personenbezogener Daten 30ff. Erlaubnisvorbehalt 32 EU-Datenschutzrichtlinie (siehe Europäische Datenschutz- Grundverordnung) 5 Europäische Datenschutz-Grundverordnung 45ff. Excel 75, 188 F Fernwartung 71f., 77, 88 Fingerabdruck 107, 195, 225 Fingerprint-Reader 195 Firefox 122f., 125, 136f. Firewall 61, 73, 75, 95ff., 109ff., 114, 117f., 126, 131, 139, 165, 167, 228 Firmennetzwerk 59, 69, 71, 126, 201, 203 Fre er 128, 136, 139 Funkmaus

31 Stichwortverzeichnis GAN 60 Global Area Network 60 Google 118f., 132f., 198 Gutmann-Methode 199, 215 H Heimnetzgruppe 93 Hintertür 71ff., 164, 197 Hub 62f., 229 I Informationelles Selbstbestimmungsrecht 28f. Informationspflichten 41f. Integrität 41, 55 Internet Explorer 122 Internetarchiv 126 Intervenierbarkeit 41 IP-Adresse 97, 114ff., 123f. IPsec 157 J Java 79, 95, 130 JCrypTool 179f. K Kensington-Schloss 224 Keylogger 81 Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD- Datenschutzgesetz DSG- EKD) 29 Kommentar (in Office) 93, 148f., 182ff. Kontrollprogramm 7, 71ff., 83, 86, 89f., 96 Konzernprivileg 32, 38 L LAN 60 Landesdatenschutzbeauftragte 27, 49f. Landesdatenschutzgesetz 29, 45 Local Area Network 60, 66 Log 61, 78, 112 Löschen 188ff., 215, 217 Löschtool 122 M Mailserver 128f. Makroviren 102 Malware 100, 106 Mikrofon 73, 141f. Mitbestimmungs- und Beteiligungsrechte 45ff., 57, 87, 89, 163 Monitoring 63, 80, 83 Multifunktionsgerät 201ff. N Nachschlüssel (siehe betrieblicher Nachschlüssel) 7 Nationales IT-Lagezentrum 24f. Netzwerk 55, 58ff. Netzwerkadministrator (siehe Administrator) 49 Netzwerkadresse 62 Netzwerkkontrolle 69, 73 Newsgroups 128, 131f., 139 Notebook 42, 55, 60, 66, 72, 141, 194, 210, 223 NSA 5, 23, 84, 144, 156 Nutzung personenbezogener Daten 30ff., 38ff., 217 O Office 93, 103, 105, 147f., 182ff., 212 On-Access-Scanner 107 On-Demand-Scanner 107 Onlinemeeting (siehe Videokonferenzen) 141 P Passwort 63, 69, 77, 80f., 86, 88, 129, 138, 141, 147f., 154, 157, 164, 170, 172ff., 197, 199, 208f., 212ff., 223, 225,

32 Stichwortverzeichnis Passwortmanager 176 Personenbezogene Daten 6, 31ff., 36, 39ff., 45, 49, 61, 87, 128, 143, 193, 217f. PGP 160ff., 171, 173f., 176, 217 Phonehome 120f. Polymorphe Viren 105 Port 95, 98 Posteo 129, 136ff. Promiscuous Mode 62 Protokoll 61, 73, 123 Protokolldatei 61, 73 Protokollierung 69 Provider 114, 116, 123f., 136, 139f. Pseudonymisierung 33, 44 R Ransomware 78, 99, 104f. Rechte der Betroffenen 31, 43 Recovery-Schlüssel 155, 157, 213 Referrer 116 Risiko- und Schwachstellenanalyse 58 Rückruf-Funktion 77 S Schlüsselrekonstruktion 197 Schnittstelle 98, 211 Schredder (siehe Shredder) Screenshots 73, 80ff., 87, 89 Sensible Daten 68f., 220f. Server 61, 63, 86, 128f., 134, 137, 140, 147, 166, 196 Shredder 159, 173, 175, 199, 215ff. Sicherheitskonzept 55ff., 142, 227 Sicherheitslücke 61, 130, 168, 195 Sicherheitsrichtlinien (siehe Sicherheitskonzept) 53 Sicherung (siehe Datensicherung) 35 Sicherungssoftware (siehe auch Firewall und Verschlüsselung) 205 Smartcard 210 Sniffer 62ff. Soziale Netzwerke 131 Spam 25f., 78, 111, 137, 139 Sperren 32, 43, 77, 82, 86, 89, 149, 154, 214, 226 Spuren vernichten 71, 120, 126, 174ff. Spyware 78, 84, 90, 120f. SRTP-Protokoll 16, 140 SSL-Login 129, 136 Statistik 82, 97 Stealth-Modus 81, 85 Stealth-Virus 105 Steganos 122, 171ff., 197, 215, 217 Surfverhalten 120 Switch 62ff. Symmetrische Verschlüsselung 145f., 161f., 173, 199 Systemadministrator (siehe Administrator) 35 Systeminformation 73 Systemverwalter (siehe Administrator) 7 T Tastaturaufzeichnung 71f., 81ff., 87, 89, 103, 108, 144 Technische und organisatorische Maßnahmen 39, 41, 221f., 228 Telefonieren übers Internet (siehe Voice over IP) 139 Thin-Client-Modell 67f. Threema 133ff. Tor 117, 123f. Tracking 87, 122 Transparenz

33 Stichwortverzeichnis Trojaner 73f., 78f., 103ff., 109, 194 Trojanische Pferde (siehe Trojaner) 7 TrueCrypt 167, 171 U Übermittlung ins Ausland 31, 37f., 48 Überwachungssoftware 64ff., 79, 83ff. Unrechtmäßige Kenntniserlangung 41 Unverkettbarkeit 41 Update 53, 55f., 71, 75, 78f., 91, 98, 104f., 109f., 113, 126, 139, 191, 227 USB-Stick 102, 109, 125, 153f., 157, 166, 173, 190, 193ff., 209, 221 USB-Token 198, 211 V VeraCrypt 154, 167ff., 176, 197 Verantwortliche Stelle 27, 32, 34, 37 Verarbeitung personenbezogener Daten (siehe auch automatisierte Verarbeitung) 30ff., 43, 61, 87 Verfügbarkeit 40 Verfügbarkeitskontrolle 40 Verschlüsselung 40, 143ff., 195 Verschlüsselungsstandard 66 Versionen 53, 89, 103, 108, 126, 139, 163, 168, 172, 182, 185, 191 Vertraulichkeit 41, 55, 140, 201 Videokonferenz 141f. Videoüberwachung 31, 44 Viren 99ff. Virendatenbank 108 Virenscanner (siehe Antivirenprogramm) 74 Virenschutzprogramm (siehe Antivirenprogramm) 78 Voice over IP 17, 139f. Volkszählungsurteil 28 Vorabkontrolle 36 W Webcam 73, 141 Webkonferenz (siehe Videokonreferenzen) 141 Weitergabekontrolle 40 WhatsApp 85, 133ff. Wiederherstellungsschlüssel 156f. Windows 68, 74, 81, 83, 86, 91ff., 100, 102f., 116, 135, 151ff., 215ff. WLAN 17, 60, 66f., 72, 92, 223, 226 WLAN-Hotspots 226 Word 75, 109, 147f., 160, 182ff., 192, 228 Würmer 103 Z Zugangskontrolle 40 Zugriffskontrolle 40 Zutrittskontrolle 40 Zweckbindung 34f.,

34 Stichwortverzeichnis 239