1.
Einleitung ^
Aufgrund der aktuellen Pandemie-Situation ist es für viele Personen und Unternehmen notwendig oder wünschenswert, Bürotätigkeiten an den Wohnort der MitarbeiterInnen zu verlegen. Dies bedeutet jedoch, dass personenbezogene Daten nun an sehr viel mehr und an (vermutlich zumindest in der konkreten Praxis) deutlich schlechter gesicherten Orten verarbeitet werden, sowie deren Übertragung über das unsichere Internet zunehmen1. Es war/ist/wird daher notwendig sein, die eingesetzten Sicherheitsmaßnahmen anzupassen2, insb da mit einem erhöhten Angriffsvolumen zu rechnen ist3. Dies betrifft sowohl die Geheimhaltung (offensichtlich und im Hinblick auf die reine Übermittlung im Internet relativ leicht zu lösen), als auch Verfügbarkeit (Backups einer Vielzahl dezentraler Systeme sind sehr viel schwieriger als bei einem zentralen Server) und Integrität (mehr Personen besitzen Zugang zu den Geräten und können, absichtlich oder unabsichtlich, Änderungen vornehmen). Doch nach welchen Kriterien hat dies zu erfolgen, dh welche Änderungen an Art, Ort, Geräte etc der Verarbeitung aufgrund der Situation „Home-Office“ dürfen bzw müssen berücksichtigt werden und welche nicht? Darf insb eine schwierige (individuelle) wirtschaftliche Lage bzw eine rasche Änderungsnotwendigkeit4 berücksichtigt werden? Ersteres ist mM nach nicht der Fall, zweiteres schon, wenn auch nur vorübergehend.
Wie können Unternehmen ihre Verarbeitung gestalten, sodass keine rechtlichen Bedenken auftreten, bzw – wie im aktuellen Fall – ein rascher Wechsel von Arbeits-Ort/-Methode möglich ist? Hierbei kann auf vorhandene Techniken zurückgegriffen werden, welche jedoch nicht für jedes Unternehmen gleich umsetzbar sind. Zusätzlich sollte beachtet werden, dass aufgrund der Erfahrungen Heimarbeit uU später dauerhaft (wenn auch zB nicht Vollzeit, sondern nur 1-3 Tage pro Woche) etabliert werden könnte. In einem solchen Fall kann die Berufung auf eine Ausnahmesituation klarerweise nicht erfolgen.
2.
Sicherheitsmaßstab nach DSGVO – Was darf berücksichtigt werden? ^
Wichtig ist die Frage, was die Situation „Home-Office“ rechtlich bedeutet: Ist der Schutz zu erhöhen oder darf er („Notsituation“, „keine Vorbereitung möglich“, „nur vorübergehend“ etc) niedriger liegen? In der DSGVO wird zwar in ErwGr 465 sogar explizit eine Epidemie erwähnt, doch betrifft dies die Rechtmäßigkeit der Verarbeitung von Daten aus lebenswichtigem Interesse. Dies mag für Kontakt-Tracing oÄ relevant sein, jedoch nicht für normale Tätigkeit in der Wirtschaft ohne Bezug zur Seuchengefahr, welche lediglich in einem derartigen Zeitraum durchgeführt wird.
Welche Fakten („Home-Office“, „Corona-Pandemie“, „Gesetzliche Home-Office Anordnung”, „Sonstige Betriebsschließung“…) dürf(t)en hierbei Berücksichtigung (im Sinne eine tatsächlichen Kenntnis der möglichen Maßnahmen, deren fachkundigen Bewertung und einer darauf basierenden Entscheidung6) finden? Nach Art 32 DSGVO sind folgende Punkte bei der Bestimmung des Schutzniveaus zu berücksichtigen7:
- Berücksichtigung des Stands der Technik: Dieser scheint abhängig vom Einsatzort zu sein, sind doch entsprechende Geräte für Firmen und Privat stark unterschiedlich. Allerdings determiniert den Stand der Technik nicht das, was üblicherweise gekauft oder verwendet wird, sondern dieser liegt deutlich höher. Und wenn Private selten Geräte mit hohen Sicherheitsmaßnahmen kaufen, so sind diese doch problemlos erhältlich und auch in Privathaushalten einsetzbar. Der Unterschied ist daher nur gering: Auch sicherste Business-Geräte können in Privathaushalten eingesetzt werden. Erst wenn es sich um grundlegend andere Geräte handelt, zB Rackserver, ist davon auszugehen, dass diese für Privatpersonen nicht zum SdT gehören. Daher kommen Geräte, welche ausschließlich für Rechenzentren tauglich sind, hier nicht in Frage: Diese wurden in „kleinerer Ausgabe“ wohl weder praktisch getestet noch sind sie allgemein für seinen solchen Einsatz anerkannt. Hierbei sind inhaltlich insb (internationale) Standards relevant8, welche auch sehr klar zwischen Rechenzentren und Büroarbeitsplätzen (bzw Arbeitsplätzen „unterwegs“) unterscheiden. Der Stand der Technik ist daher zwischen „Mobilem Arbeitsplatz“ und „Privater Arbeitsplatz zu Hause“ identisch, erst bei technisch unterschiedlichen Anwendungsgebieten (Rechenzentrum), ist er separat zu bestimmen. Praktisch gesehen wird das Ergebnis für Einzelarbeitsplätze an entfernten Orten uU einen etwas niedrigeren Stand vorsehen9. Aufgrund der Definition des SdT wird sich der Unterschied jedoch in kleinem Rahmen halten: Weder „Kaufmöglichkeit von der Stange“ noch „preisgünstig“ oder „leicht zu beschaffen“ ist hierfür erforderlich.
- Berücksichtigung der Implementierungskosten: Gerade in für viele Firmen wirtschaftlich schweren Zeiten ist dies ein wichtiger Punkt. Hier ist zu berücksichtigen, dass die Kosten im Vergleich zu den Risiken und Gefahren zu sehen sind, und nicht im Hinblick auf Leistungsfähigkeit (oder Gewinnspanne) des für die Verarbeitung Verantwortlichen10. Ein Verweis auf eine schlechte wirtschaftliche Lage ist daher nicht möglich, sondern es dürfen lediglich Maßnahmen entfallen, deren Kosten in einem schlechten Verhältnis zum Sicherheitsgewinn steht (siehe ErwGr 83). Siehe dazu auch ErwGr 94 bzw Art 36 DSGVO: Ergibt die Datenschutz-Folgeabschätzung, dass bei Berücksichtigung (uA) der Implementierungskosten ein hohes Risiko verbleibt, so soll die Aufsichtsbehörde vor Beginn der Tätigkeit konsultiert werden. Dh wenn es zu teuer ist, die Sicherheit zu gewährleisten, ist die Aufsichtsbehörde zu konsultieren. Daraus geht hervor, dass es auf das Risiko ankommt, und nicht auf die finanziellen Möglichkeiten. Ein geringes Risiko muss nicht durch hohe Aufwendung noch weiter reduziert werden, aber wenn ein Geschäftsmodell nur durch Verzicht auf essentielle Sicherheitsmaßnahmen finanziell möglich ist, kann es eben nicht umgesetzt werden. Ob hierzu nur die Anfangskosten zählen, oder auch laufende Kosten, ist umstritten.11 Meiner Meinung nach sind unter „Implementierungskosten“ nicht nur die anfänglichen Kosten zusehen, sondern alles, was über die voraussichtliche Lebenszeit der Sicherheitsmaßnahme anfällt. Ansonsten wären zB die Anforderungen an Sicherheitsmaßnahmen durch Vertragsgestaltung12 trivial manipulierbar.
- Berücksichtigung von Art und Zweck der Verarbeitung: Der Inhalt der Tätigkeit und wozu personenbezogene Daten verarbeitet werden, ändert sich durch einen unterschiedlichen Ort der Verarbeitung nicht, sodass sich hier keine Unterschiede ergeben.
- Berücksichtigung der Umstände der Verarbeitung: Im Gegensatz zu Art und Zweck sind die Umstände der Verarbeitung jedoch unterschiedlich: Die Daten werden uU nicht mehr auf einem zentralen Server gespeichert, der Zugriff darauf erfolgt von „außerhalb“ des Unternehmens über das Internet, externe Personen sind regelmäßig in der Nähe bzw verwenden das Gerät uU ebenso etc. Daraus ergeben sich zusätzliche Möglichkeiten für Probleme: Verlust von Daten, zB Zerstörung, da (noch) kein Backup erfolgte, Bekanntwerden an Dritte (zB Mitbewohner, Besucher), Veröffentlichung im Internet (Fehler, mangelndes DLP13, Hacking durch Angreifer) usw. Selbst wenn man aufgrund zusätzlicher/veränderter Sicherheitsmaßnahmen von einem gleich hohen Risiko ausgeht, ändern sich doch die Umstände auf umfangreiche Art14. Eine Neubewertung des Risikos und Aktualisierung der Dokumentation ist jedenfalls erforderlich. Eine rasch notwendige Umstellung ohne Vorbereitungsmöglichkeit ist allerdings ebenso ein besonderer und berücksichtigungswürdiger Umstand. Dies ist jedoch nur eine vorübergehende Hilfe, denn die permanente Überwachungs- und Adaptierungspflicht führt dazu, dass (in akzeptabler Zeit, dh kurzfristig, aber uU unter Berücksichtigung längerer Lieferzeiten) temporäre – evtl schwache – Maßnahmen durch ausreichend starke permanente Maßnahmen abzulösen sind.
- Eintrittswahrscheinlichkeit und Schwere des Risikos15: Wie bereits diskutiert ist von einem anderen16 sowie erhöhten Risiko im Vergleich zur Verarbeitung innerhalb des Unternehmenssitzes auszugehen. Daher sind zusätzliche Sicherheitsmaßnahmen zu ergreifen. Diese können trivial und automatisch sein (VPN um firmeninterne Server überhaupt erreichen zu können), aber auch zusätzliche technische (Host-basierte Firewall; unterbinden direkter Internetkommunikation außerhalb der Verbindung zum Unternehmen) oder organisatorische (Anweisungen für Backups, Ausdrucke, Bildschirmsperre etc) Maßnahmen erfordern. Auch die Eintrittswahrscheinlichkeiten ändern sich: Dass kleine Kinder an einem Kabel ziehen oder Getränke verschütten, Katzen über die Tastatur laufen etc ist in Privatwohnungen sowie während eines Lockdowns ohne externe Kinderbetreuung sehr viel wahrscheinlicher. Auch durch den häufigen Einsatz von Laptops wird Diebstahl attraktiver. Gefahren können sich ebenso verringern, zB da sich durch die Möglichkeit nur einen Laptop anstatt einer Vielzahl an Geräten zu erbeuten, die Motivation für Angreifer verändert.
- Technische und Organisatorische Maßnahmen müssen geeignet sein: Ungeeignete Maßnahmen (die keinen Datenschutz-Vorteil bringen), sind nicht erforderlich. Dies scheint offensichtlich, doch bedeutet dies im Hinblick auf Home-Office, dass uU gewisse Maßnahmen innerhalb der Firma entfallen könnten. Da Home-Office allerdings eher nicht 100% der Belegschaft auf unabsehbare Zukunft betrifft, dürfte dies keine Rolle spielen. Praktisch können sich gewisse Einsparungen erzielen lassen, zB Reduktion von Lizenzkosten für (derzeit ungenutzte, zB Antivirus) Software auf Büro-PCs. Dem stehen jedoch zusätzliche Ausgaben für entsprechende Software an Heimarbeitsplätzen gegenüber. Vereinzelt könnten diese entfallen, wenn zB entsprechende Software auf den eingesetzten Privatgeräten bereits vorhanden ist17.
Bestimmte Pflichten können sich vom Unternehmen auf die MitarbeiterInnen verlagern, sodass zwar die Sicherheitsmaßnahmen gleichbleiben, aber andere Personen dafür verantwortlich sind. So ist zB in einem Betriebsgebäude die Zutrittskontrolle18 (auch zu Benutzer-Geräten) Aufgabe des Unternehmens, kann jedoch im Home-Office ausschließlich durch die MitarbeiterInnen selbst ausgeübt werden. Diese sind darüber entsprechend zu informieren. Ähnliches gilt für die Weitergabekontrolle19 (zB shoulder-surfing, Wegschließen von Datenträgern, Entsorgung von Ausdrucken).
3.
Potentielle zusätzliche Sicherheitsprobleme im Home-Office ^
Da sich Home-Office nicht nur physisch, sondern auch vielfach logisch außerhalb20 des Unternehmens stattfindet, entstehen zusätzliche Gefahren aus Sicht der IT.21 Dies beinhaltet zB:
- Eine typische Sicherheitspolitik für Unternehmen sieht auch heute so aus, dass eine „Mauer“ gegenüber der „Außenseite“, dh dem Internet, gezogen wird. Hierzu werden Firewalls, Angriffserkennungssysteme (IDS), DLP etc eingesetzt. Dies ist jedoch viel komplexer, wenn Geräte einzeln und verteilt in vielen Wohnungen aufgestellt sind. „Externe“ Geräte sind daher entweder mit einer separaten Mauer zu umgeben (schwierig, aber zB in Grundfunktionen bereits in Windows enthalten und aktiv), oder sind virtuell in die Firma, und damit innerhalb die professionelle sowie gut gesicherte und überwachte Mauer hereinzuholen, zB über ein VPN. Hier ist daher vermehrt auf das aus der Cloud-Technologie stammende Prinzip „zero trust“ umzustellen – jedes System hat für sich selbst und alleine sicher zu sein, da keinem anderem Element vertraut werden kann (es könnte fehlerhaft oder bereits unterwandert worden sein)22.
- Die Umgebung ist nicht unter der Kontrolle des Unternehmens. Weder der Internet-Zugang noch sonstige Geräte im lokalen Netzwerk werden vom Unternehmen kontrolliert. Auch eine Beeinflussung ist unmöglich, zB dass bestimmte Geräte (Fernseher, Spielkonsolen, ans Internet angebundene Smart-Home-Geräte) nicht vorhanden sein dürfen oder (physisch) ausgeschaltet werden müssen, während Arbeitsgeräte des Unternehmens in Betrieb sind. Auch hieraus folgt die Notwendigkeit einer möglichst starken Abschirmung gegenüber der „unsicheren“ Umgebung. Dies gilt auch umgekehrt: Das Arbeitssystem darf andere Geräte nicht stören. Dies erscheint zwar unwahrscheinlich, kann aber nicht völlig ausgeschlossen werden.
- Qualitätsgarantien sind nicht einhaltbar: Firmen besitzen typischerweise einen symmetrischen Internetzugang (Up- und Download-Geschwindigkeit sind gleich), während in Privathaushalten die Upload-Geschwindigkeit meist sehr viel geringer ist23. Auch ist die Zuverlässigkeit, sowohl des Zugangs selbst wie auch der eingesetzten Geräte, oft schlechter. Dazu kommt, dass in Privathaushalten WLAN sehr viel öfter zum Einsatz kommt, und dieses oft nicht speziell für Zuverlässigkeit konfiguriert wird und leichter von Dritten gestört werden kann (in Firmen wird zB die Abdeckung häufig berechnet/gemessen, um überall gleich gute Anbindung zu erreichen; weiters sind aufgrund der physischen Größe der meisten Firmen Fremd-Netze gering an Zahl bzw aufgrund der Entfernung schwache Störer).
- Zusätzliche Pflichten können entstehen. Firmen-IT-Systeme sind (hoffentlich) besser abgesichert und können uU eingehende Angriffe erkennen. Wird ein solcher aus dem lokalen Netzwerk der MitarbeiterInnen erkannt, so besteht eine Hinweispflicht des Unternehmens. Dies einerseits aus Eigenschutz, um etwaige spätere bessere Angriffe zu verhindern, andererseits aus der Fürsorgepflicht gegenüber den Angestellten. Erkannt Probleme sind daher weiterzuleiten, ggf sogar Hilfestellung bei der Behebung zu leisten (zumindest im Hinblick auf die Übergabe von Detail-Informationen). Ebenso besteht durch die oft schlecht gesicherte Privatumgebung eine erhöhte Belastung der IT-Abteilung sowohl mit Helpdesk-Anfragen wie auch zu behandelnden Warnmeldungen.
- Zusätzliche Datenübertragungen zwischen Büro und Home-Office bzw vor-Ort-Speicherung. Nicht alle Programme bzw Daten sind ohne weiteres über eine gesicherte Verbindung zugänglich bzw eignen sich für eine Online-Verarbeitung. Es ist daher damit zu rechnen, dass zusätzliche „Datenträger“ (CD/DVD, meist jedoch USB-Sticks; uU auch Online-Varianten wie Cloud-Speicherdienste) eingesetzt werden. Dies bedeutet bei physischen Datenträgern, dass diese gegen Verlust und Diebstahl abzusichern sind (zB durch Verschlüsselung, was bei USB-Sticks im Privatbereich kaum bekannt/eingesetzt werden dürfte). Online-Dienste bedürfen hingegen genauer Regelung der Zugriffskontrolle, sowie bewusster Auswahl (zB im Hinblick auf den Ort der Speicherung bzw den Sitz des Unternehmens). Auch ist damit zu rechnen, dass bei schlechter Internetverbindung Daten Offline „vorgehalten“ werden, um mit diesen schneller oder überhaupt Arbeiten zu können.
- BYOD – Einsatz von Geräten der MitarbeiterInnen ist äußerst problematisch, da diese nicht (oder nur sehr eingeschränkt) der Kontrolle durch das Unternehmen unterliegen. So kann zB ein MitarbeiterInnen-PC verwendet werden, selbst mit einem separaten und neuen „Büro-Account“, doch wird weiterhin ein privat zugänglicher Administrator-Account existieren – welcher Sicherheitsmaßnahmen konterkarieren oder umgehen kann. Dies bedeutet vielfach gleichzeitig, dass auch andere Personen Zugang zum Gerät besitzen. Je nach Verwendung können diese daher (mehr oder weniger leicht) Zugang zu Firmendaten erlangen und diese (gezielt oder versehentlich) löschen, weiterleiten etc. Davon ist daher aus Sicherheitssicht abzuraten und im Hinblick auf Datenschutz nur in besonderen Szenarien (zB virtueller Desktop im Unternehmen, angezeigt auf dem Privatgerät) einsetzbar.
- Offline-Angriffe, wie zB Shoulder-Surfing werden relevanter. Das Beobachten des Bildschirms durch Dritte ist innerhalb eines Unternehmens vielfach schwer/selten. Im Home-Office, ist jedoch mit Mitbewohnern, neugierigen Nachbarn (Fenster!), oder sonstigen Dritten (Home-Office kann auch „Kaffeehaus“ oder „Park“ bedeuten) zu rechnen. Weiters werden Ausdrucke, Notizen etc nicht mehr geschreddert/gesichert entsorgt, sondern landen im Hausmüll – dumpster diving wird vielversprechender. Auch im Hinblick auf Social Engineering entstehen neue Risiken, sowohl durch den Ort als auch die Ausnahmesituation selbst.
- Entstehen von zusätzlichem Schulungsbedarf. Einige Sicherheitsaufgaben, bzw eine veränderte Bedienung, müssen zu Hause durch die MitarbeiterInnen erfolgen – was bedeutet, diese hierüber zu informieren und gegebenenfalls zu schulen. Umgekehrt folgt daraus, dass die Sicherheitsmaßnahmen so eingerichtet werden sollten, dass Fehlbedienung für Laien erkennbar ist24.
4.
Umsetzungsvarianten des Home-Office im Hinblick auf den Datenschutz ^
Eine „einfache“ Variante ist, vorhandene Geräte der Angestellten „mitzubenutzen“: BYOD. Aus den oben dargestellten Gründen ist dies in den meisten Fällen datenschutzrechtlich äußerst problematisch (i.e. nicht konform), da keine angemessenen Sicherheitsvorkehrungen vorhanden sind/sein können. Doch auch hier sind legale Szenarien durchaus möglich. Einerseits können „dumme“ Geräte, dh ohne relevante Speicherung wie zB Drucker genützt werden – aus dem Gerät selbst (unterschiedlich daher der Ausdruck selbst) ergibt sich keine zusätzliche Gefahr, da keine andere Verarbeitung als im Unternehmen stattfindet und kaum zusätzliche Gefahren existieren. Bei PCs/Laptops ist dies analog möglich: Dienen die Geräte nur dazu, einen entfernten Desktop anzuzeigen (Virtueller Desktop), so ist lediglich die Übertragung abzusichern. Bei derartigen Systemen ist dies ohnehin üblich bzw leicht einzurichten. Die Privatgeräte dienen daher nur als verlängerter Bildschirm bzw Tastatur, welche mit einem entfernten Computer (auch zB in der Cloud) verbunden sind. Die zusätzliche Gefahr reduziert sich daher auf wenige Elemente, wie die Darstellung der Daten außerhalb eines geschützten räumlichen Bereichs (meistens nicht relevant; leicht lösbar), sowie die Absicherung der Kommunikation. Letztere betrifft zB das Abhören von Funktastaturen, das Vorspiegeln einer zusätzlichen Tastatur um selbst Eingaben an das entfernte System zu senden25 bzw die Infiltration des Privatgerätes, um Screenshots aufzunehmen. Dies ist daher für Daten ohne besonderen Schutzbedarf problemlos geeignet, da derartige Angriffe ein sehr hohes kriminelles Potential und hohe Kenntnisse und Aufwand voraussetzen. Verhindert werden können diese nur durch Sicherheitsmaßnahmen auf dem Privatgerät, wie zB aktuelle Virenscanner und regelmäßige Prüfungen – was bei aktuellen Systemen leicht bzw ohnehin aktiviert ist26. Dies bedarf jedoch einer Untersuchung durch Technikexperten – was bei Privatgeräten naturgemäß ein (diesfalls umgekehrtes) Datenschutz-Problem darstellt. Gelöst werden könnte dies durch automatisierte Prüfprogramme, welche nur das Ergebnis „(Nicht) OK“ an die Firma weiterleiten, und detaillierte Ergebnisse, zB inkl Behebungsmöglichkeiten bzw notwendigen Änderungen, nur lokal, dh ausschließlich für die Angestellten sichtbar, anzeigen.
Ein ähnliches Problem stellt sich, wenn die Firma ohnehin nur Web-Dienste verwendet, welche uU in der Cloud gehostet werden. Hier ist für eine sichere Verbindung zu sorgen, was technisch trivial ist. Ansonsten stellen sich die gleichen Probleme wie im vorigen Szenario. Wird hingegen ein Firmen-Laptop/-PC eingesetzt, so kann dieser entsprechend überprüft, konfiguriert und abgesichert werden. Damit reduziert sich das Gefahrenpotential weiter. Da das Gerät aber weiterhin mit dem gesamten Internet kommunizieren muss, ist es sowohl für eine Privatnutzung interessant, als auch stärker verwundbar. Da es nicht über die Firmen-Infrastruktur abgesichert ist, müssen zusätzliche Sicherheitsmaßnahmen eingesetzt werden, wie zB regelmäßige Sicherheits-Audits oder Beschränkung/Überwachung des Internet-Verkehrs. Auch der Export von Daten auf mobile Medien muss überwacht bzw verhindert werden.
Zur Reduktion dieses Problems kann die Kommunikation des entfernten Geräts über eine verschlüsselte Verbindung zum Unternehmen (VPN) erfolgen und zusätzlich jede andere Kommunikation unterbunden werden. Dies bedeutet einen erhöhten Ressourcenbedarf im Unternehmen (doppelte Bandbreite erforderlich), doch spielt dies heute nur mehr eine geringe Rolle. Damit ist sichergestellt, dass sich das Gerät zwar physisch außerhalb aber logisch innerhalb des Unternehmens befindet. Dies sollte immer gelten, dh kein manueller Aufbau der Verbindung, sondern permanent vom Start bis zum Ausschalten des Gerätes. Dann verbleiben nur mehr physische Angriffe, welche praktisch identisch auch innerhalb der Firmengebäude möglich wären – das Sicherheitsniveau ist daher auch bei Home-Office gleich.
Es sind daher im Prinzip zwei Ansätze möglich: Erstens, das Gerät mag zwar physisch außerhalb sein, doch im Hinblick auf die Sicherheit wird es durch technische Maßnahmen in das Unternehmen „hineingeholt“. Zweitens könnten die Anwendungen so gestaltet werden, dass das Endgerät kaum/keine Rolle mehr im Hinblick auf die Sicherheit spielt. Aufgrund der aktuellen Trends, wie zB Cloud-Computing, erscheint der zweite Ansatz zukunftsträchtiger. Er setzt jedoch entsprechende Anwendungen voraus, welche nicht in kurzer Zeit programmiert bzw umgestellt werden können. Dies entspricht einem Zurückgehen in den Paradigmen: von vielen intelligenten PCs, jeweils am Arbeitsplatz, zurück zu „dummen“ Terminals, welche lediglich Ein- bzw Ausgabe zu/von starken zentralen Systemen leiten (wobei die „zentralen Großrechner“ heute weder ein einzelner Computer noch zentral sind). Aus Sicht des Datenschutzes bedeutet dies, dass auch die Sicherheitsmaßnahmen zentralisiert werden: Das „Kernsystem“ ist an einem – wenn auch nicht physischen – Ort (zB einem Cloud-Anbieter) konzentriert und kann genauestens gemanagt und überwacht werden, während die Vielzahl der darauf zugreifenden Geräte kaum mehr Sicherheitsvorkehrungen erfordern und fast beliebig auswechselbar sind. Als Sicherheitsmaßnahmen aus Datenschutzsicht sind dann besonders wichtig:
- Kommunikation mit dem Kernsystem absichern: Einfach mit bekannten Techniken zu lösen und ohne großen Aufwand sehr sicher möglich.
- Verhinderung des Datenabgriff auf lokalen Geräten: Da nur „Bilder“ zum Client übertragen werden, muss verhindert werden, dass diese kopiert und gespeichert/weiterübertragen werden. Dies ist (zB zum Stehlen von Konten-Logins) eine typische Funktionalität von Malware, daher muss diese nach Möglichkeit verhindert werden, zB durch aktuelle Antivirus-SW mit regelmäßigen Updates und Scans. Weiters relevant ist lokales Ausdrucken von servergespeicherten Daten, da dies auch auf virtuelle Drucker (zB PDF) möglich ist, was als weitere Exfiltrationsmöglichkeit dienen kann. Dies sollte daher überwacht (geloggt) bzw eingeschränkt werden.
- Verhinderung der Eingabe/Verfälschung von Daten: Software (aber auch zB speziell präparierte USB-Sticks) können eine Tastatur emulieren und damit beliebige Eingaben an das System senden, auch von zu Hause aus. Dies ist dort ein etwas größeres Problem, da mehr (evtl auch private) Geräte angeschlossen werden27. Dies kann fast nur durch lokale Sicherheitsmaßnahmen unterbunden werden, da auf dem Server eine Unterscheidung nur mehr nach dem Inhalt der Eingabe erfolgen kann, aber nicht mehr nach deren Quelle.
- Korrekte Administration: In Unternehmen erfolgt die Wartung der Endgeräte oft automatisch bzw außerhalb der Arbeitszeit. Im Home-Office kann dies jedoch vielfach nur durch Fernwartung erfolgen. Dies ist eine Möglichkeit für Dritte, sich Zugang zu verschaffen. Hier ist organisatorisch (bzw technisch) vorzubeugen, dass nur autorisierte Personen die verteilten Geräte verändern können.
Handelt es sich daher nicht um Daten mit besonders hohem Schutzbedarf, kann Home-Office auf diese Art problemlos durchgeführt werden und erfordert nur geringen zusätzlichen Aufwand. Der Knackpunkt liegt daher in entsprechenden Anwendungen – sind diese derart zentralisiert, spielen der Ort der Arbeit und das konkrete Gerät nur mehr eine untergeordnete Rolle im Hinblick auf die Sicherheit.
5.
Zusammenfassung ^
Im Falle einer derartigen Pandemie ist daher eine rasch notwendige Umstellung auf Home-Office auch legaler Weise mit einem (vorübergehend) geringerem Sicherheitsniveau verbunden, sofern keine besonders schützenswerten Daten (bzw ein hohes Risiko) vorliegen. Dies gilt jedoch selbst dann nur vorübergehend und es ist umgehend das veränderte Sicherheitsniveau zu untersuchen und entsprechende Maßnahmen zur Behebung der neuen Gefahren zu ergreifen. Hierbei ist insbesondere auf die technischen Änderungen durch den neuen Arbeitsort (veränderte Umstände, unterschiedliche Bearbeitungsvorgänge, anderes Risiko…) einzugehen, ebenso wie auf den Vorgang des Wechselns (in beide Richtungen, zB Aus-/Rückgabe von Geräten und deren Überprüfung/Vorbereitung). Denn sollten die erforderlichen Sicherheitsmaßnahmen fehlen, so ist bei Vorfällen Art 83 Abs 2 lit d DSGVO relevant, wonach die Verhängung bzw Höhe der Geldbußen auch von den Sicherheitsmaßnahmen (oder deren Fehlen/Inadäquanz/…) abhängt. Direkt mit Strafe bewehrt ist mangelnde Sicherung in Art 83 Abs 4 lit a: Geldbuße bis € 10 Millionen bzw 2 % Jahresumsatz. Ebenso sind Maßnahmen der Aufsichtsbehörde möglich. Prinzipiell ist empfehlenswert, das Sicherheitsmodell grundsätzlich zu überdenken und sich an folgenden Grundsätzen zu orientieren: Jedes Gerät sollte für sich alleine sicher sein, dh seine Sicherheit nur in möglichst geringem Ausmaß von seiner Umgebung bzw dem Einsatzort abhängen. Weiters sollten Daten und ihre Verarbeitung soweit wie möglich logisch zentralisiert werden, sodass dort ein hoher Aufwand der Sicherung betrieben werden kann, und die Sicherheit der Endgeräte weniger Bedeutung besitzt. Schließlich sollten Endgeräte automatisiert vorbereitet und gewartet werden, sowie leicht ersetzbar sein28.
- 1 Škiljic, Cybersecurity and remote working: Croatia’s(non-)response to increased cyber threats, Cybersecurity Law Review, 1/2020, 51–61.
- 2 Diese sind ohnehin regelmäßig zu evaluieren; umso mehr jedoch bei jeder relevanten Änderung der Verarbeitung: Prüf- und Aktualisierungspflicht. Thiele/Wagner, DSG, 655.
- 3 Diese gesteigerten Angriffe können zumindest in Teilen bereits gemessen werden: Lallie et al, Cyber Security in the Age of COVID-19: A Timeline and Analysis of Cyber-Crime and Cyber-Attacks during the Pandemic, arXiv:2006.11929v1 [cs.CR] 21 Jun 2020, https://arxiv.org/pdf/2006.11929.pdf.
- 4 So müssen zB Sicherheitslücken nicht sofort geschlossen werden, sobald sie bekannt werden. Nach einigen Monaten hätte jedoch jedenfalls eine Reaktion erfolgen müssen (siehe Hedley/Jacobs, The shape of things to come: the Equifax breach, the GDPR and open-source security, Computer Fraud & Security 11/2017, 5-7) – während daher für den ersten Lockdown noch uU geringere Maßnahmen ausreichend gewesen waren, kann dies nun nicht mehr gelten.
- 5 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ABl. L 119/1 vom 4.5.2016.
- 6 Bartels/Backer, Die Berücksichtigung des Stands der Technik in der DSGVO, DuD 4/2017 214-219.
- 7 Siehe schon Jahnel, Datenschutzrecht, Wien: Jan Sramek 2010, RZ 5/18 zum (vorherigen) DSG.
- 8 Siehe Jost, Die risikobasierte Umsetzung von Datensicherheitsmaßnahmen in der Praxis von Unternehmen und Behörden, In: Pachinger (Hrsg), Datenschutz. Recht und Praxis. Wien, LexisNexis 2019, 441.
- 9 Technologien, die für Rechenzentren bzw Gebäude mit einer großen Anzahl an einheitlich zu verwaltenden Geräten vorhanden, eingesetzt und getestet wurden, sind für Einzelarbeitsplätze uU weder gedacht noch getestet. Ein Beispiel hierfür ist LAN-Zugangskontrolle mittels 802.1X. Für einen Einzel-Arbeitsplatz ist ein separater Switch mit Zugangskontrolle kaum sinnvoll, insb da er meist ohnehin mit einem ungesicherten anderen Switch/Router verbunden werden muss und ein etwaiges VPN meist auf dem PC selbst beginnt und nicht erst auf einem externen Gerät, wie zB in Unternehmen (und unerlaubt angesteckte Geräte schneller auffallen – zumindest wenn dies durch Dritte erfolgt).
- 10 Eine Abschätzung basierend auf den Kosten für das Unternehmen (zB RoSI: Return on Security Investment) kann daher ausschließlich als Teil der Implementierungskosten eingesetzt werden, jedoch nicht zur Risikoabschätzung selbst (in dieser Hinsicht unklar: Isele et al, Sicherheit personenbezogener Daten: Umgang mit Art. 32 DS-GVO, bvitg, https://www.bvitg.de/wp-content/uploads/Art.32_SicherheitVerarbeitung.pdf).
- 11 Probst, Datensicherheit nach der DS-GVO, Wien: Jan Sramek Verlag 2019, 51. Insb durch den Ersatz von Kauf-Software durch Miet-Software, bzw laufenden Sicherheits-Dienstleistungen (zB Kosten für Antivirus-Updates) ist dies ein sehr wichtiges Thema.
- 12 Beispiel: Lizenzkosten auf x Jahre im Voraus bezahlen führt dazu, dass eine Sicherheitsmaßnahme keinesfalls umzusetzen ist, da enorm teuer. Handelt es sich dabei jedoch um Gratis-Software plus monatliche Lizenzkosten (zB für regelmäßige Aktualisierungen von Sicherheits-Signaturen, zB Antivirus-Software), so wäre diese (da die Kosten exakt 0 sind!) auf jeden Fall immer einzusetzen, unabhängig von der Höhe der jährlich anfallenden Kosten, selbst wenn diese extrem hoch wären.
- 13 Data Loss Prevention: Systeme zur Verhinderung der Exfiltration von Daten nach einem erfolgreichen (uU nicht verhinderbaren, da zB zero-day) Angriff.
- 14 Siehe Probst, Datensicherheit nach der DS-GVO, Wien: Jan Sramek Verlag 2019, 39.
- 15 Es ist keine Angemessenheitsbewertung mehr möglich wie früher, sonders es ist explizit auf das Risiko abzustellen: Rieß, Innovationen der DSGVO in der Praxis, DuD 8/2019, 498-501.
- 16 Kinast/Stanonik (Hrsg), Praxishandbuch Datenschutz für KMU, Wien, LexisNexis 2019: Regelmäßig geht die Bedrohung von Mitarbeitern und Gegebenheiten im Gebäude aus. Beides ist im Home-Office naturgemäß deutlich anders.
- 17 Da allgemein Privatgeräte nicht empfehlenswert sind (siehe unten), sowie genau zu prüfen wäre, ob es sich um Lizenzen handelt die auch gewerblich eingesetzt werden dürfen (keine Privat-Lizenzen!), wird dies nur selten zutreffen.
- 18 Siehe zB Kunnert, Datenschutz in Fragen & Antworten, Wien: LexisNexis 2019, 77
- 19 Siehe BDSG Anlage 1 zu § 9 (Alte Fassung vor 2018!): „zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist“.
- 20 Privatgeräte, privates Internet, etc. Also kein reines Firmengerät innerhalb des Schutzbereichs der Organisation wie zB in einem Außenbüro oder einem nach außen abgeschirmten mobilen Arbeitsplatz.
- 21 Siehe dazu Abschnitt 7.4 Datensicherheitsmaßnahmen in Pachinger/Beham (Hrsg): Datenschutz-Audit. Wien: LexisNexis 2020, 156-178.
- 22 Dies könnte auch als „Resilienz“ angesehen werden: Eine Vielzahl unterschiedlicher Schutzmaßnahmen (Gonscherowski/Hansen/Rost, Resilienz – eine neue Anforderung aus der Datenschutz-Grundverordnung, DuD 7/2018, 442-446), sodass bei einem Fehler nur Teile der Schutzziele (oder für Teile von Daten) entfallen.
- 23 Weiters ist die Bandbreite in Unternehmen deutlich höher. Diese wird zwar nur selten permanent benötigt (insb nicht von einzelnen MitarbeiterInnen), doch bei vielen Nutzungsarten ist eine, wenn auch immer nur sehr kurz genutzte, hohe Bandbreite hilfreich. Darüber hinaus ist innerhalb von Firmen die Bandbreite immer noch viel höher als nach außen: LAN Untergrenze ist heute 1 Gbit/s, was selbst große Unternehmen kaum als Internet-Anbindung besitzen.
- 24 Beispiel: Der Internetverkehr sollte ausschließlich über das VPN und damit die Firmen-Server erfolgen – dann sollte sichergestellt werden, dass das Internet nicht erreicht werden kann, wenn das VPN nicht aufgebaut bzw aktiv ist. Denn vergisst ein Mitarbeiter darauf es zu starten und alles funktioniert wie gewohnt (aber unsicher), so kann ihm höchstens ein minimaler Vorwurf gemacht werden.
- 25 ZB mittels eines vorgetäuschten USB-Sticks, welcher Mitarbeitern untergeschoben wird.
- 26 Im Privatbereich finden sich jedoch weiterhin viele veraltete Systeme (Windows 7), Computer ohne Updates (deaktiviert, aufgrund irgendeines Problems angehalten etc), sodass eine Vorabprüfung (ist das Gerät geeignet) bzw eine regelmäßige Überwachung erforderlich ist.
- 27 Siehe auch BfDI: Telearbeit und Mobiles Arbeiten, https://www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.pdf Einige dort angeführten “Mindestmaßnahmen“ sind jedoch vielfach kaum umsetzbar, insbesondere für normale Büroarbeit (welche zweifellos personenbezogene Daten verwendet). So ist zB Zwei-Faktor-Authentifizierung sehr sinnvoll, doch sind auch heute noch viele Geräte und Anwendungen nicht dafür ausgelegt. Auch das Komplett-Verbot von Druckern ist nicht überall machbar. Vollkommen unrealistisch ist zB die „Sperrung von USB-Zugängen und anderen Anschlüssen“: Wie soll eine Tastatur oder Maus (durchaus übliche Arbeitsgeräte, auch bei Laptops, gerade im Home-Office) anders mit einem modernen Gerät verbunden werden? Nicht jeder besitzt derartige Bluetooth Geräte (welche ihre eigenen Sicherheitsprobleme besitzen!).
- 28 Dies bedeutet dass zB der Verlust eines Gerätes dadurch ausgeglichen werden kann, das ein neues Gerät mit dem Firmennetzwerk verbunden wird, und alles folgende (Sicherheitsüberprüfung, Einrichtung von Software wie auch Sicherheitsmaßnahmen, Personalisierung etc) automatisch erfolgt.