IT-Sicherheitstips

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Daher geben wir Ihnen gerne ein paar IT-Sicherheitstips.

IT-Sicherheit ist für Unternehmen unerlässlich

Heutzutage ist ein Unternehmen ohne die Nutzung von Informations- und Kommunikationstechnologien (IKT) nicht mehr vorstellbar. Dabei spielen die Größe und die Tätigkeit des Unternehmens keine Rolle. Jeder nutzt sie. Und genau deswegen ist der Aufbau und vor allem aber auch der Ausbau sicherer IKT-Systeme eine lohnenswerte Investition in die Zukunft eines Unternehmens.

Das Sicherheitsniveau muss passen

Damit auch kleine und mittelständische Unternehmen für das Thema IT-Sicherheit sensibilisiert und unterstützt werden, hat das Bundesministerium für Wirtschaft eine Abteilung zum Thema “IT-Sicherheit in der Wirtschaft” eingerichtet. Diese soll durch IT-Sicherheitstips helfen, das Niveau zu steigern.

Schutz der Unternehmensdaten durch IT-Sicherheitstips

Daten sind die Währung in unserer Zeit. Und um Ihr Unternehmen ausreichend zu schützen, sind hier 10 Punkte von führenden Sicherheitsexperten für den sicheren Umgang mit Unternehmensdaten im Netz zusammengefasst:

  1. Stellen Sie für Ihre Mitarbeiter Richtlinien für den Social Media Umgang mit den Regelungen auf, welche Daten dort veröffentlicht werden dürfen.
  2. Es sollten verständliche Sicherheitsrichtlinien für Bereiche wie Datenträger, Schnittstellen und weitere erlassen werden. Stellen Sie Notfallpläne für Ihre IT-Systeme auf. Regeln Sie dabei insbesondere auch relevante Dinge für Mobile Devices.
  3. Erstellen Sie ein klares Berechtigungskonzept für Ihre IT-Systeme. Dort muss genau geregelt sein, welche Zugriffsbefugnisse einzelne Mitarbeiter haben.
  4. Führen Sie regelmäßige Updates auf Ihren IT-Systemen, mobilen Geräten und Diensten aus. Dabei ist eine regelmäßige Virenprüfung vorteilhaft.
  5. Sensibilisieren Sie Ihre Mitarbeiter in regelmäßigen Schulungen zum Thema IT-Sicherheit
  6. Seien Sie besonders vorsichtig beim Versand oder bei der Speicherung von Daten. Nutzen Sie nur die qualifizierte elektronische Signatur. Verschlüsseln Sie sensible Daten. Darunter zählen vor allem Ihre Geschäftsgeheimnisse.
  7. Bei der Auswahl von IT-Dienstleistern oder Softwareanbietern achten Sie auf seriöse und vertrauenswürdige Angebote. In den Allgemeinen Geschäftsbedingungen sollte auf die Einhaltung des europäischen Datenschutzstandard hingewiesen sein.
  8. Bei der Benutzung von IT-Geräten sollten stets verschlüsselte Übertragungswege wie VPN, Proxy-Server oder auch Metasuchmaschinen genutzt werden, die keine Nutzerdaten speichern.
  9. Daten müssen nach Ihrer Sensibilität eingestuft werden und wie hoch das Risiko für diese Daten ist. Danach sollte die Organisationsform der Cloud ausgewählt werden. Zusätzlich sollten Daten verschlüsselt werden. Für die Cloudauswahl spielt daher der Standort der Cloudanbieter eine wichtige Rolle und die Umsetzung der EU-Datenschutzgrundsätze. Bei Cloud-Service-Providern außerhalb der EU muss durch einen Vertrag das angemessene Datenschutzniveau gewährleistet sein.
  10. Lagern Sie Ihre Daten räumlich getrennt voneinander. Es ist wichtig, dass die Datenverfügbarkeit garantiert ist. Sichern Sie daher Ihre Daten regelmäßig und archivieren Sie diese. Bei einem Fehler im System müssen die Daten schnell wiederherstellbar sein.

Gerade jetzt, wo die DSGVO in der Umsetzungsphase ist, stoßen viele Unternehmen auf die ersten Probleme. Fangen Sie daher früh an, Ihre IT an die kommende DSGVO anzupassen. Es drohen empfindliche Bußgelder, wenn Sie die Regelungen der DSGVO nicht einhalten.

Datenschutz beim Carsharing

Carsharing ist gerade in großen Ballungsräumen und mit wenig Parkmöglichkeiten der Renner. Jedoch werden diese Fahrzeuge per Tracking genauestens im Bewegungsprofil analysiert. Somit stellt sich die Frage, ob dem Datenschutz in Sachen Carsharing entsprochen werden kann.

Carsharing – Was ist das genau ?

In einer Stadt platziert ein Anbieter eine gewisse Anzahl an Fahrzeugen. Dieses Autovermietungsmodell gibt dem Nutzer die Möglichkeit, per Handyapp ein für ihn in seiner Nähe verfügbares Fahrzeug zu finden. Über die Handyapp kann der Nutzer dieses Auto dann bezahlen und für sich freischalten. Nach dem Ende des Mietzeitraums stellt man das Auto einfach am Straßenrand ab, wo der nächste Nutzer das Fahrzeug an dieser Stelle dann abholt. Durch diese Flexibilität werden natürlich spezielle Fahrzeuge benötigt, die der Nutzer dann nicht an dem Sitz des Vermieters abholen muss, sondern je nach geparkter Lage.

In diesen Fahrzeugen sind sog. E- Steuerungsmodule eingebaut, die sämtliche Daten protokollieren, die während des Führens des Fahrzeugs auslesbar sind. Dazu gehört z.B. die aktuelle GPS Position des Autos.

Rekonstruktion der Fahrt führt zu Verurteilungen

Ein Nutzer erzeugte während der Mietzeit einen Verkehrsunfall. Der andere Unfallbeteiligte verstarb nach dem Unfall im Krankenhaus. Das LG Köln verurteilte in seinem Urteil vom 23.05.2016 den Nutzer aufgrund einer Bewertung der Log-Dateien durch einen Sachverständigen. Durch das genaue Aufzeichnen aller verfügbaren Daten konnte der Sachverständige den Geschehensablauf genau wiederherstellen. Die Urteilsbegründung überzeugt durch eine genaue Darstellung des Ablaufs.

Der Angeklagte befuhr zunächst die P-Straße, wo er sein Fahrzeug auf 57,8 km/h beschleunigte, bevor er – nach Verringerung der Geschwindigkeit auf rund 25 km/h – an der grünes Licht zeigenden Lichtzeichenanlage nach links auf die zweispurige S-Straße abbog. Dort beschleunigte er das Fahrzeug auf der rechten Spur bis zum Erreichen einer Geschwindigkeit von 95,5 km/h um 20:12:19 Uhr wiederum stark. […] Um 20:12:28 Uhr kamen der Angeklagte und der Zeuge S1 nebeneinander an einer Rotlicht zeigenden Lichtzeichenanlage an der Kreuzung S-Straße/G-Straße zum Stehen. Nach Beendigung der Rotphase fuhr der Angeklagte auf die Kreuzung S-Straße/E-Straße (F-Platz) zu, wobei er um 20:12:58 Uhr kurzzeitig eine Geschwindigkeit von 72,9 km/h erreichte, die er vor Erreichen des F-Platzes auf rund 30 km/h verringerte.

Problematisch in diesem Fall war, dass die Log-Dateien auch nach über einem Jahr von BMW noch vorhanden waren und von der Staatsanwalt herausverlangt wurden.

Bei dieser Problematik stellt sich somit die Frage, ob die Erhebung und Speicherung durch BMW datenschutzrechtlich überhaupt zulässig ist.

Gibt es im BDSG einen passenden Erlaubnistatbestand ?

Um Daten in dieser Form nach § 4 Abs. 1 BDSG erheben, speichern und nutzen zu dürfen, bedarf es eines Erlaubnistatbestandes nach BDSG oder einer Einwilligung des Betroffenen.

Erlaubnistatbestand § 28 Abs. 1 S. 1 Nr. 2 BDSG

Als Erlaubnistatbestand kommt § 28 Abs. 1 S. 1 Nr. 2 BDSG in Betracht. Er erlaubt das Erheben, Verarbeiten und Nutzen zur Erfüllung eigener Geschäftszwecke, wenn

  • es zur Wahrung berechtigter Interessen BMWs als verantwortliche Stelle erforderlich ist und
  • kein überwiegendes schutzwürdiges Interesse des Betroffenen vorliegt, die Daten nicht verarbeiten zu dürfen.

Der Erlaubnistatbestand zur Erfüllung eigener Geschäftszwecke mag zwar Daten umfassen, die für die Berechnung der Preise oder z.B. den Standort des Fahrzeugs notwendig sind, jedoch spätestens mit einer umfassenden Bewegungsanalyse wird dies zu verneinen sein. Dort wird in der Abwägung der erhobenen Daten zu dem schutzwürdigen Interesse des Nutzers (Betroffenen) stets das Interesse des Betroffenen überwiegen. Der Betroffene muss nicht mit der umfassenden Bewegungserfassung rechnen, da dies nicht zur Abwicklung des Mietvertrages erforderlich ist.

Einwilligung aufgrund der AGB

Allerdings könnte durch die Vertrags-AGB eine informierte Einwilligung vorliegen. Durch die Unterschrift unter dem Vertrag könnte der Nutzer der umfassenden Bewegungsanalyse zugestimmt haben. Ein Blick in die AGB von BMW zeigte keine Informationen umfassenden Bewegungserfassung.

AGB Auszug Stand: 13.06.2017

15.1. DriveNow ist berechtigt, Ihre personenbezogenen Daten einschließlich der kundenbezogenen Nutzungs- und Fahrzeugdaten (einschließlich Daten zur Lokalisierung des Fahrzeugs) zu erheben, zu verarbeiten und zu nutzen, soweit dies zum Zweck der Durchführung des DriveNow Rahmenvertrages und der Einzelmietverhältnisse erforderlich ist. Die einzelnen Mietvorgänge werden mit Start- und Zielort, Start- und Zielzeitpunkt, Dauer der Nutzung erfasst und in der Rechnung aufgeführt.

15.2. DriveNow behält sich vor, Nutzungs- und Fahrzeugdaten (einschließlich Daten zur Lokalisierung des Fahrzeugs) zu erheben, zu verarbeiten und zu nutzen, soweit dies zum Zweck der Ermittlung und Behebung von Fehlern oder Störungen, zur Ermittlung und Abwicklung von Regressansprüchen oder zur Weiterentwicklung der DriveNow Dienste erforderlich ist. Soweit möglich, werden die Nutzungs- und Fahrzeugdaten zu vorgenannten Zwecken getrennt von Ihren Vertragsdaten verarbeitet, so dass nur in begründeten Ausnahmefällen […] ein Rückschluss auf Sie als Fahrer möglich ist. […]

15.6. Die anzumietenden Fahrzeuge werden durch den Einsatz von Floating Car Data (FCD) als „mobile Verkehrsmelder“ eingesetzt. Die während der Fahrt ermittelten, individuellen Positions- und Sensordaten der Fahrzeuge werden zusammen mit den aktuellen Zeitangaben anonymisiert an die BMW ConnectedDrive Zentrale und einen Verkehrsservice Provider übertragen. […]

15.8. DriveNow schaltet im Zusammenhang mit den in Ziffer 15 genannten Datenverwendungen beauftragte Dienstleister ein, welche personenbezogene Daten ausschließlich nach Weisungen und unter Kontrolle von DriveNow verarbeiten.

Sind Datenschutz und Carsharing vereinbar?

BMW informiert in dem Auszug der AGB vom 13.06.2017 zwar über die Positions- und Sensordaten, jedoch lässt sich aus den oben aufgezeigten Angaben nicht herleiten, dass eine umfassende Bewegungsanalyse einfach herstellbar ist. Weiterhin ist auch nicht ersichtlich, wielange Daten von BMW gespeichert bzw. kombiniert werden können. In einer informierten Einwilligung muss aber gerade darüber Auskunft gegeben werden.

Durch die lange Speicherung der Daten ist die bisherige Form rechtswidrig. Dabei wäre sowohl ein unverzügliches Löschen der Daten nach Ablauf der Mietvertragszeit als auch eine Trennung der Datensätze ohne weiteres möglich. Die Speicherung der Daten von einem Jahr war hier jedenfalls unverhältnismäßig.

Falls Sie auch Fragen zur Speicherung von Daten haben, können Sie sich gerne jederzeit an uns wenden.

Dashcams als Beweismittel

Deutsche Richter lassen Dashcams als Beweismittel erstmals in einem Schadensersatzprozess zu. Bisher war eine Verwertung solcher Kameras, die den Verkehr durch die Windschutzscheibe filmen, eher umstritten. Das Oberlandesgericht Stuttgart ließ in seinem Urteil nun die Bilder einer sog. Dashcam zur Ermittlung des Schadensersatzes zu.

Der Fall:

Es ging um eine Schadensregulierung bei einem Zusammenstoß zweier Autos an einer Engstelle:

Der Kläger fuhr an rechts parkenden Autos links vorbei. Die entgegenkommende Fahrzeugführerin bemerkte ihn zu spät, so dass es folglich zu einer Kollision und einem Blechschaden kam. Die Dashcam lieferte Bilder, auf denen im Gerichtssaal zu sehen war, wie die Frau kurz vor Aufprall das Lenkrad nach rechts riss. Zudem ließ sich die Geschwindigkeit des Autos aus den Aufzeichnungen ablesen. Ein Sachverständiger stellte im Verfahren fest, dass eine Aufklärung des Unfalls ohne die Bilder der Dashcam nicht möglich gewesen wäre.

Was sind sog. Dashcams?

Der Begriff “Dashcam” wird aus mehreren englischen Worten zusammengesetzt. Bestandteile sind die englischen Worte “dash board” – das Armaturenbrett –  und das Wort “camera” –  die Kamera an sich. Dashcam bezeichnet eine Videokamera, die meist die Fahrt vorne auf dem Armaturenbrett oder an der Windschutzscheibe eines Fahrzeugs aufzeichnet.

Bei einer Dashcam werden fortlaufend Aufnahmen in einer Schleife gespeichert, die nach dem Verstreichen einer programmierbaren Zeit oder bei Erreichen der Speicherkapazität des Speichermediums werden ältere Aufnahmen überschrieben. Für Gerichtsprozesse können unter anderem Dashcams eine entscheidende Rolle spielen, die über einen integrierten GPS-Empfänger verfügen. Daten, die die aktuelle Position und die Geschwindigkeit wiedergeben, können dabei je nach Typ mit in die Aufnahmen integriert oder zur späteren Auswertung genutzt werden.

Wo liegt das Problem bei Dashcams?

Durch eine permanente Beobachtung des Straßenverkehrs mittels einer Dashcam werden ständig personenbezogene Daten erhoben. Somit besteht stets der Konflikt zwischen dem beobachtender Person und den schutzwürdigen Interessen der betroffenen Verkehrsteilnehmer.

Entgegen oftmals vorgebrachter Argumente, dass Dashcams für den privaten Gebrauch sind und somit nicht dem Datenschutzrecht unterliegen, teilte das VG Ansbach diese Ansicht nicht.

Werden Erhebung und Verarbeitung personenbezogener Daten unter dem erklärten Zweck vorgenommen, sich Beweismittel in möglichen straf- oder zivilgerichtlichen Verfahren zu beschaffen und die Aufnahmen im Bedarfsfall bei Behörden vorzulegen, wird dadurch der persönliche und familiäre Bereich verlassen.

Auch würde es in einer etwaigen Interessenabwägung oftmals zu Problemen kommen, wenn nun jeder grundlos alles mitfilmt und so als “Hilfspolizei” fungiert. Aus datenschutzrechtlicher Sicht ist stets ein Zweck bzw. die Wahrnehmung berechtigter Interessen gefordert. Diesen bei den Dashcams festzulegen, wurde von den Gerichten bisher nicht akzeptiert.

Das Problem mit den Dashcams ist die „totale Überwachung“ bei dauerhaft eingeschalteter Kamera.

Zusammenfassung

In dem Urteil des Oberlandesgerichts Stuttgart sieht man, dass Dashcams nicht nur dem Fahrer helfen, sondern auch den Betroffenen. In diesem Fall musste der Fahrer ein Drittel des Schadens selbst übernehmen, da er vorsichtiger an den parkenden Autos hätte vorbeifahren müssen. Es bleibt aber abzuwarten, wie der Bundesgerichtshof so eine Sache entscheiden wird. Durch die permanente Überwachung durch Dashcams im Straßenverkehr drohen deutliche Datenschutzlücken. In diesem Fall schlossen die Parteien unter Einbeziehung der Dashcamaufnahmen einen Vergleich.