Phishing erkennen

Wie erkennt man gefälschte E-Mails und gefälschte Webseiten war gestern das Thema bei einer internen Runde von Führungskräften bei einem Auftraggeber. Ich fasse die wichtigsten Erkenntnisse hier zusammen.

Links prüfen

Links prüfen! Gibt man in Google einen Suchbegriff ein, sollte man vor dem Aufruf einer der angezeigten Seiten zunächst einmal mit der Maus über den Link fahren – noch ohne die Seite aufzurufen. Dabei wird dann unten links im Browser die Adresse der jeweiligen Webseite angezeigt. Handelt es sich also zum Beispiel um eine deutsche Wikipedia Seite, müsste dann unten links im Browser wikipedia.de stehen. Stimmt die Überschrift in dem Link aus der Suche nicht mit dem überein, was unten im Browser angezeigt wird, ist Vorsicht geboten. Es könnte sich um eine gefälschte Webseite handeln.

Adressen prüfen

Auf Absender Adressen in E-Mails achten! Erhalten Sie eine E-Mail mit dem Absender Amazon. Service.com würde man denken, diese stammt von Amazon. Tut sie aber nicht. Entscheidend ist der Teil, der vor dem „com“ bzw. der entsprechenden Länderkennung (de etc.) steht. Es ist relativ einfach, zu Betrugszwecken eine Webseite zu bauen und in der Adresse irgendeine bekannte Firma davor zu setzen. So wie im Beispiel eben Amazon. Wir landen dann allerdings nicht bei Amazon, sondern bei Betrügern, die unsere Zugangskennungen und Kontodaten abfangen wollen.

Nicht unter Druck setzen lassen

Nicht unter Druck setzen lassen! Alle E-Mails oder auch Meldungen auf Webseiten, die irgendwie Druck ausüben, sind verdächtig. Beispiele sind Rechnungen, die am Freitagnachmittag ganz dringend schnell überwiesen werden müssen, oder Zugangsdaten, die sofort geändert werden sollen. Oder auch: Ihr Zugang wurde gesperrt! Klicken Sie hier und ändern Sie Ihre Zugangsdaten, ansonsten ist ihr Account nicht mehr nutzbar. Dabei ist es egal, ob diese Nachrichten von einer Adresse stammen, die Sie kennen. Möglicherweise sieht die Mail mit der dringlichst zu überweisenden Rechnung aus als käme sie tatsächlich aus der Buchhaltung Ihrer Firma. Das muss aber nicht so sein. Im Zweifel gilt: lieber fragen.

Dateiformate prüfen

Seltene Dateiformate erkennen! Dateianhänge an E-Mails werden in der Regel als PDF, Word Dokument oder auch Excel Dokument verschickt. Hat eine E-Mail einen Anhang in einem Dateiformat, dass Sie noch nie gesehen haben, öffnen Sie es vorsichtshalber nicht.

Fortsetzung folgt. Haben Sie Fragen oder benötigen Sie ein Datenschutztraining für Ihre Mitarbeitenden? Kontaktieren Sie uns gerne.

Datenschutz Adventskalender (2)

Der online Trickdiebstahl, dem meine Schwester kürzlich zum Opfer fiel, zeigte mir einmal mehr, wie viel Wissenslücken es in Sachen digitale Bildung immer noch gibt. Die Schreiben, mit denen Erben eines angeblichen Verstorbenen gesucht werden, der angeblich Millionen hinterlassen hat, sind sehr, sehr alt. Meistens gingen sie aber per E-Mail ein. Zufällig heißt der Verstorbene dann immer wie die Person, die angeschrieben wird. Eigentlich, so dachte ich, weiß jeder, dass das ein Betrugsversuch ist.

Meine Annahme „das weiß doch jeder“ wurde auch von meinen Erfahrungen in meinen Datenschutz Schulungen für Mitarbeitende in Unternehmen bestärkt. Da zeichnet sich seit ein paar Jahren die deutliche Tendenz ab, dass die Leute gut informiert sind. Merkmale einer gefälschten Mail können die meisten sofort beschreiben.

Datensicherheit üben

Anscheinend ist dieser Befund aber nicht ganz repräsentativ. Hinzu kommt, dass wir schwerwiegende Fehler nur durch immer wieder Üben vermeiden können, selbst wenn wir eigentlich gut Bescheid wissen. Wir müssen immer wieder hören, was eine Phishing Mail ist. Wir müssen die neusten Entwicklungen der Betrugsmethoden kennen.

Schließlich: wir müssen auch Praxistests machen. Insofern sind in Unternehmen Tests sinnvoll, die kontrolliert Phishing Mails verschicken. Wenn jemand draufklickt, landet diese Information bei dem IT-Dienstleister, der den Test aufgesetzt hat. Die Ergebnisse können zum Anlass genommen werden, in der Belegschaft nochmals das Bewusstsein für Sicherheitsthemen zu schärfen. Dabei geht es nicht darum, einzelne Beschäftigte bloßzustellen, die den Fehler gemacht haben, auf die Mail zu klicken, sondern um genau das: Sicherheitsmaßnahmen ins Gedächtnis zu rufen.

Privacy Training

„Müssen wir wirklich unsere Mitarbeitenden jährlich im Datenschutz schulen?“, fragen mich Auftraggeber oft. Meine Antwort ist ja, aus genau diesen Gründen. Im Englischen spricht man vom "Privacy Training", was ich sehr treffend finde. Wir müssen im Training bleiben.

Melden Sie sich gerne bei uns, wenn Sie für sich oder Ihre Beschäftigten ein Privacy Training brauchen.

Datenschutz Adventskalender (1)

Meine Schwester fiel kürzlich auf einen fiesen Trick der Cybermafia herein und verlor eine erhebliche Summe Geld. Sie klickte auf einen Link in einer iMessage: „Hier ist ihre Sparkasse. Klicken Sie auf diesen Link und ändern Sie die Zugangsdaten für Ihr online Banking“.

Das Millionenerbe

Ungefähr drei Tage später bekam ich einen Anruf von ihrem Mann, meinem Schwager. Seine Mutter habe ein Schreiben von einem englischen Anwalt bekommen, der suche einen Erben für ein Millionenvermögen. Ob ich mir das mal ansehen könne. Ich ahnte, was kommen würde.

Der Brief war an den Vater meines Schwagers adressiert, der aber schon gut 20 Jahre tot ist. Allein das hätte misstrauisch machen müssen. Mein Schwager aber meinte, das wirke schon alles seriös, die Briefeschreiber hätten „auch eine Webseite“. Lieber Schwager, sagte ich. Eine Webseite fälschen kann sogar ich.

Wieder drei Tage später bekam ich eine Nachricht aufs Telefon. „Hallo Papa, dies ist meine neue Nummer, bitte schreib' mir auf Whatsapp“. Mein angebliches Kind brauchte dringend 1.800 EUR, noch dieses Wochenende.

Diese Vorfälle zeigen, warum es keine unwichtigen Daten gibt. Anders als immer noch viele Menschen annehmen. Jeder Diebstahl auch nur einer E-Mail-Adresse oder einer Telefonnummer wird dazu genutzt, die Information mit anderen zu verknüpfen (die in der Regel auch gestohlen wurden). Damit können dann wieder neue Opfer attackiert werden. Deshalb: es ist nie „nur eine E-Mail“, wenn irgendwo Daten gestohlen werden. Die E-Mail ist nur der Anfang.

Hier hatte man offenbar aus den Daten meiner Schwester weitere Verbindungen hergestellt. Frei nach dem Motto, vielleicht gibt es ja noch mehr Dumme in der Familie.

Ach und übrigens, Stichwort Dummheit. Schuld an solchen Taten haben immer die Täter, nie die Opfer. Wir mögen es als dumm ansehen, auf solche Tricks hereinzufallen. Passieren kann es jedem von uns.

Sie möchten mehr über das Thema erfahren? Sprechen Sie uns gerne an.

Adventskalender

Ich habe für 2025 drei Vorsätze gefasst, mehr schreiben, mehr Vorträge halten und meine Webseiten schöner machen (lassen). Letzteres ist noch nicht gelungen, daher fange ich mit dem ersten an. Mehr schreiben. Offen gesagt, kann ich der Weihnachtszeit nicht viel abgewinnen. Zu dunkel, zu hektisch. Aber ich mag Adventskalender. Ab dem 1. Dezember gibt es deshalb hier im Blog einen Adventskalender Datenschutz mit täglich einem Beitrag zu einem Thema aus dem Datenschutz und der Informationssicherheit. Von schlicht bis speziell. Und mit KI generierten Bilder.

Wenn Sie in 2025 Rat und Tat in Sachen Datenschutz und Informationssicherheit brauchen, melden Sie sich gerne schon jetzt bei uns.

(Dank für die Generierung der Bilder geht an Oliver Welling von KInews24.)

Das Buch zum Datenschutz

Bald ist es ein Jahr her, dass mein Buch zum Datenschutz erschien: "Nützliches Wissen über Datenschutz. Ein beratender Erfahrungsbericht".

Erhältlich hier und überall, wo es Bücher gibt - als Taschenbuch oder eBook.

Stimmen von Leserinnen und Lesern:

"Eine gelungene Mischung aus Essay und Sachbuch!"

"Ich finde, Sie haben ein schönes, informatives, politisch wichtiges und lesenswertes Buch geschrieben, dem ich möglichst viele Leser wünsche. Die persönlichen Aspekte machen es besonders und das abstrakte Thema greifbar."

"Dieses Buch sollten bei mir im Unternehmen alle lesen."

"Großes Kompliment, es liest sich sehr unterhaltsam – und das trotz des ja sehr komplexen Themas."

"So bildhaft und mit amüsanten Beispielen unterlegt, sind Sachbücher sehr, sehr selten. Zumal du auch das Können von Top-Textern beherrscht, knappe, klare Sätze. Brilliant."

SORMAS-X Datenschutz: einzelne Themen (5)

Der fünfte Teil der Reihe zum Thema SORMAS-X Datenschutz und Sicherheit nimmt heute die Zusammenarbeit mit den Datenschutzaufsichtsbehörden in den Blick.

Holperiger Start

Die Zusammenarbeit zwischen dem Projekt SORMAS@DEMIS und den Datenschutzaufsichtsbehörden zum Thema SORMAS-X gestaltete sich anfangs holperig und wurde aber im Verlauf immer besser. Der mühselige Start war insofern nicht verwunderlich, als Behörden und mittelständische Unternehmen sehr grundsätzlich andere Arbeitsweisen haben. Behörden erwarten einen Sachverhalt, der ihnen vollständig vorgelegt wird, und dann nehmen sie sich Zeit diesen zu prüfen, dann geben sie Rückmeldung und dann kann weiterdiskutiert werden. Auf diese Weise können Wochen, wenn nicht Monate ins Land gehen – Zeit, in denen in Unternehmen die Entwicklung weitergeht. Dies galt umso mehr in einem Projekt, das unter so hohem Zeitdruck arbeitete, wie SORMAS@DEMIS. Nach Wochen diskutierten wir mit den Vertretungen der Behörden immer einen alten Stand.

Paralleles Vorgehen nötig

Es gibt in Digitalisierungsprojekten aber auch keine Alternative zum parallelen Vorgehen. Wartet man mit der Umsetzung bis eine 100%ige Planung steht, bei allen beteiligten Stellen alle Informationen vorliegen und alle eine finale Stellungnahme abgegeben haben, erhält man am Ende des Projekts eine Software, die schon bei der Kiel-Legung der Arche Noah veraltet war (wie mein Kollege einmal sagte). Das heißt nicht, dass ohne Plan und Konzept einfach irgendwas gemacht werden sollte. Es heißt aber, dass auch eine parallele Entwicklung von Anforderungen und deren Umsetzung stattfinden kann und muss. Diesbezüglich müssen nicht nur Datenschutzbehörden umdenken, wenn wir Digitalisierung beschleunigen wollen, meine ich. Wir sahen uns allerdings in dem SORMAS@DEMIS Projekt anfangs beständig dem Vorwurf ausgesetzt, dass die Dokumentation unvollständig sei und man auf diese Weise auf Behördenseite viel Mühe mit der Beurteilung habe. Die Behörden erwarteten einen Sachverhalt, den sie prüfen könnten, wir erwarteten die Begleitung eines Projekts mit einem sehr hohen Arbeitstempo.

Klare Vorgaben vermisst

Davon abgesehen vermissten wir an mehreren Stellen eine gut begründete, klare Vorgabe der Anforderungen, die von der Datenschutzaufsicht als Maßstab für das Urteil „datenschutzkonform“ oder „nicht datenschutzkonform“ zugrunde gelegt wurde. Das Vorgehen der Landesdatenschutzbeauftragten wirkte mitunter wie aus dem Gefühl heraus entschieden, anstatt auf der Grundlage nachvollziehbarer, strukturierter Vorgaben. Die Zusammenarbeit mit den Mitarbeitenden der Landesdatenschutzbeauftragten wurde in dem Augenblick besser, als diese unser Vorgehen der parallelen Entwicklung und Prüfung akzeptierten. Vielleicht hatte die Macht des Faktischen gesiegt, aber jedenfalls riefen wir kleinere Arbeitskreise zu speziellen technischen und rechtlichen Themen ins Leben und fortan gab es einen zielführenden Austausch.

SORMAS-X Datenschutz: Einzelne Themen (3)

Wie in den vorangegangenen Beiträgen bereits erwähnt, besteht die Datenschutz-Dokumentation aus über 50 einzelnen Dokumenten. Nachfolgend stellen wir die Wichtigsten kurz vor. Dies ist die letzte Folge zum Thema Datenfelder und Zwecke. Heute geht es um das Löschkonzept für die SORMAS-X Software.

Löschkonzept

Zu Beginn des SORMAS@DEMIS Projektes konnten Daten aus der Software nur manuell gelöscht werden. Unklar war zunächst auch, ob sie tatsächlich gelöscht wurden, oder ob sie nur aus dem Sichtfeld der Anwenderin in einen verborgenen Teil der Datenbank verschoben wurden. So oder so war klar, dass dies nicht so bleiben konnte. Wir brauchten eine Idee für die Umsetzung des automatisierten Löschens von Daten aus der SORMAS-X Software.

Wir setzen für unsere Auftraggeber schon länger eine Vorlage für ein Löschkonzept ein, die mein technischer Sachverständiger entwickelt hat. Sie basiert auf der Grundlage der DIN 66398 "Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten". Die Vorlage ermöglicht eine Schritt-für-Schritt Erstellung eines Löschkonzepts.

Eine Vorlage für die Gesundheitsämter

Wir passten diese Vorlage an die SORMAS-X Anforderungen an und füllten sie mit Vorschlägen zu Löschfristen. Die Löschfristen sollten, so der Plan, den Gesundheitsämtern als Leitlinie für die Entwicklung und Ergänzung eigener Löschfristen dienen. Die endgültige Festlegung der Löschfristen stand anfangs noch unter dem Vorbehalt der Abstimmung mit den Landesdatenschutzbeauftragten. Die Löschfristen zu definieren war nicht ganz einfach, aber verglichen mit der anschließenden Entwicklung eines Plans für die tatsächliche Umsetzung dieser Anforderungen in der Software war dieser Teil ein kleiner Spaziergang. Die Datenbank-Logik der SORMAS-X Software arbeitet nicht personenzentriert, sondern ereignisbasiert. Würde man für das Löschen bei den Informationen über die Person ansetzen, liefe man Gefahr Informationen entweder zu kurz oder viel zu lange aufzubewahren.

Die Softwareentwickler sahen uns ratlos an, als wir ihnen die datenschutzrechtlichen Anforderungen vorstellten. „Was glaubt ihr, wie das gehen soll? Wie sollen wir das denn machen?“ Ich war versucht zu antworten, dass sie das doch wissen müssten? Seid ihr die Programmierer oder wir? Damit wären wir aber keinen Millimeter weiter gewesen. Entweder, wir würden mit ihnen einen Weg finden, oder wir würden keine Umsetzung unseres Konzepts bekommen.

Vorteil Schwarmintelligenz

An dieser Stelle zeigte sich wieder einmal der Vorteil der „Schwarmintelligenz“, die im SORMAS Datenschutzteam zusammengefunden hatte. Zwei der technischen Sachverständigen aus dem Team überführten in teils langwierigen Verhandlungen mit den Entwicklern unser formal-theoretisches Konzept in die Beschreibung der praktischen Umsetzung. Sie wählten einen innovativen Ansatz. Die Aufbewahrungsfristen sollen nicht „übergreifend“ an den (Personen-) Datensatz gebunden sein, sondern an jedes einzelne Datenfeld.

Feldweises Löschen

Auf diese Weise ist es möglich, dass jeder Datensatz automatisiert feldweise „von hinten nach vorne“ gelöscht werden kann, beginnend mit dem Feld mit der kürzesten Aufbewahrungsfrist. Erst, wenn auch das letzte Feld mit der längsten Aufbewahrungsfrist gelöscht ist, wird der Datensatz einer Person gelöscht. Die Aufbewahrungsfristen werden dementsprechend für jedes einzelne Datenfeld hinterlegt. Auf diese Weise wird jede Information automatisch zu exakt dem Zeitpunkt gelöscht, zu dem die Löschung rechtlich vorgegeben ist. Die Löschfristen werden direkt in der Software hinterlegt. Sie können von den Stellen, die SORMAS-X einsetzen, ergänzt und verändert werden.

Umsetzung folgt

Wie bei anderen Themen auch, verhinderte die Fülle der Aufgaben und die Knappheit der Zeit die tatsächliche Umsetzung des Plans, aber aufgeschoben ist nicht aufgehoben. Netzlink hat es sich zur Aufgabe gemacht, die Implementierung des automatisierten Löschens in der SORMAS-X Software gleich im ersten Quartal 2023 auf den Weg zu bringen.

SORMAS-X Datenschutz: Einzelne Themen (2)

Wie in den vorangegangenen Beiträgen bereits erwähnt, besteht die Datenschutz-Dokumentation aus über 50 einzelnen Dokumenten. Nachfolgend werden die wichtigsten kurz vorgestellt. Nach der Datenschutz-Folgenabschätzung geht es hier um Datenfelder und Zwecke in der SORMAS-X Software.

Datenfelder und Zwecke

Ich erinnere den Anfang und den Grund nicht mehr genau, aber jedenfalls erhielten wir von der Projektleitung eine Excel-Tabelle mit allen Datenfeldern, die in der SORMAS-X Software enthalten waren. Zu diesem Zeitpunkt waren es rund 500 Datenfelder, später wuchs die Zahl auf fast 800.

Fast 800 Datenfelder

Die Tabelle war unübersichtlich und mit Anmerkungen versehen, deren Sinn sich uns in Teilen nicht erschloss. Wir bauten die Tabelle so um, dass wir sie nutzen konnten. Wir fügten Rechtsgrundlagen, Zwecke und später auch Löschfristen ein. Die Idee war, auf diese Weise eine umfassende Übersicht und Überprüfbarkeit der Zulässigkeit der Datenerhebung mittels der SORMAS-X Software zu erhalten.

Ich habe diese Datenfeldertabelle mehr als einmal verflucht. So sehr ich von dem Sinn und Nutzen überzeugt war, so schwierig war die praktische Handhabung.

Dadurch, dass nicht nur das Datenschutzteam damit arbeitete, sondern auch die Projektleitung und die Programmierer Rückmeldung und Informationen einfügen mussten, war die Tabelle bald ein Fall von „viele Köche können schnell den Brei verderben“. Wir hätten sie in eine Datenbank überführen müssen, aber das war aus verschiedenen Gründen nicht möglich. Als weitere Herausforderung erwies sich die Tatsache, dass mitunter nicht sicher war, ob das, was in der Tabelle abgebildet, auch wirklich in der Software vorhanden war. Der Prozess des Hinzufügens und der Herausnahme von Feldern lief ja parallel weiter.

Die Datenfeldertabelle diente als Grundlage für die Diskussion mit den Landesdatenschutzbeauftragten über die Zulässigkeit des Betriebs der Software aus datenschutzrechtlicher Sicht. Und sie diente als interne Kontrolle der Rechtmäßigkeit der Datenverarbeitung (Art. 5 DSGVO).

Rechtsgrundlagen bis zum letzten Halbsatz zitiert

„Wir fügten Rechtsgrundlagen ein“, schreibt sich jetzt im Nachhinein einfach hin, aber es war eine wahre Sisyphusarbeit. Auf Wunsch der Landesdatenschutzbeauftragte zitierten wir nicht nur die Vorschriften des IfSG bis in den letzten Halbsatz, sondern auch die Landesdatenschutzgesetze und die Gesetze über den öffentlichen Gesundheitsdienst (so vorhanden). Rückblickend betrachtet meine ich, dieses Vorgehen war im Prinzip gut, hätte aber besser koordiniert umgesetzt und technisch abgebildet werden müssen.

Es sind noch Fragen offen

Ebenfalls rückblickend stelle ich fest, dass uns einige Fragen der Zulässigkeit der Datenerhebung von der Agenda gefallen sind. So haben wir beispielsweise die Frage der Zulässigkeit des Erfragens von Symptomen von Fallpersonen und Kontaktpersonen über ein sog. online Symptomtagebuch überhaupt nicht thematisiert. (Auch die Aufsichtsbehörden fragten nicht danach). Wie problematisch das sein konnte, zeigte eine Beanstandung des bayerischen Landesdatenschutzbeauftragten gegen Ende des Projekts. Die Einzelheiten werden noch Gegenstand eines weiteren Blogartikels.

Stand jetzt muss auch dieses Dokument grundlegend überarbeitet werden, um für den Datenschutz in der SORMAS-X Software eine belastbare Grundlage zu sein. Dies schon deshalb, weil sich derzeit am Übergang von der Pandemie zur endemischen Phase viele rechtliche Grundlagen erneut verändert werden.

SORMAS-X Datenschutz: Die Dokumentation

Die SORMAS-X Datenschutz-Dokumentation besteht aus über 50 Dokumenten, die alle Datenschutz/Informationssicherheit Themen abdecken, die aus rechtlicher und technischer Sicht zu regeln waren. Diese Themen reichten von einer Datenschutz-Folgenabschätzung, einem umfassenden Sicherheitskonzept über eine Tabelle mit allen Datenfeldern, die in der Software vorhanden sind, bis zu einer Darstellung des Datenmodells und der Anforderungen an die sichere Gestaltung von Schnittstellen.

Unser Ziel war es dabei von Anfang an, die Dokumentation auch für die Gesundheitsämter nutzbar zu machen, die die SORMAS-X Software einsetzen.

Viele der Dokumente sind daher so gestaltet, dass sie von den Gesundheitsämtern als Vorlage genutzt und mit eigenen Inhalten ergänzt werden können, so zum Beispiel die Datenschutz-Folgenabschätzung und das Verzeichnis Verarbeitungstätigkeiten. Dies war insbesondere vor dem Hintergrund bestehender länderspezifischer Vorgaben in den einzelnen Bundesländern erforderlich.

Privacy by Design umsetzen

Ein weiteres Ziel, das wir im Verlauf der Arbeiten entwickelt haben, war die möglichst weitgehende Berücksichtigung und Umsetzung des Grundsatzes von Privacy by Design in der Software.

Aus unserer Sicht hat sich nicht nur dafür, aber generell ein dreistufiges Vorgehen als das Beste erwiesen. Pro Thema haben wir zunächst ein formales Konzept erstellt, das die formalen datenschutzrechtlichen Anforderungen (beispielsweise an das automatisierte Löschen von personenbezogenen Daten) beschreibt. Daneben haben wir dann ein technisches Umsetzungskonzept entwickelt, das die technischen Möglichkeiten der Umsetzung beschreibt, wie sie im formalen Konzept definiert sind. Um im obigen Beispiel des automatisierten Löschens von personenbezogenen Daten zu bleiben heißt das: im technischen Umsetzungskonzept ist beschrieben, wie das automatisierte Löschen von Daten aus der Software konzipiert und ermöglicht werden soll und kann. Als dritter Schritt war geplant, die Beschreibung der technischen Umsetzung zu dokumentieren, um den Nachweis führen zu können, dass die in den Konzepten niedergelegten Anforderungen eingehalten sind. Dieser dritte Schritt ist in Bezug auf einige Themen der SORMAS Software bis Projektende noch offengeblieben, was den begrenzten zeitlichen, personellen und auch finanziellen Ressourcen des Projektes geschuldet ist.

Im Ergebnis ist SORMAS-X am Ende des Projekts die Software, die von allen IfSG-Fachanwendungen am sorgfältigsten und gründlichsten im Hinblick auf Datenschutzfragen geprüft und dokumentiert ist.

Sie kann damit Vorbild für alle anderen IfSG-Fachanwendungen sein. Dies gilt unabhängig von der Tatsache, dass es weiterhin Bedarf für die Weiterentwicklung gibt. Der ist identifiziert, benannt und die nötigen Arbeiten für die Umsetzung von weiteren Privacy by Design Merkmalen durch Netzlink haben bereits begonnen.

Ausblick

In den nächsten Artikeln werden einzelne Dokumente zu Datenschutz- und Sicherheitsthemen, die im Verlauf des Projektes besonders wichtig waren, etwas weiter im Detail erläutert.

Den ersten Artikel aus der Reihe "SORMAS-X Datenschutz" finden Sie hier.

Sie brauchen Unterstützung bei der Umsetzung von Datenschutz im Gesundheitswesen? Sprechen Sie uns gerne an und wir finden in einem kostenlosen Erstgespräch heraus, was wir für Sie tun können.

SORMAS@DEMIS. Datenschutz

SORMAS@DEMIS. Das Projekt

Die letzten zweieinhalb Jahre meiner Beratungstätigkeit waren von meiner Arbeit im SORMAS@DEMIS Projekt geprägt. Ich habe das Datenschutzteam geleitet, das im Rahmen des Projektes bei meinem langjährigen Kooperationspartner, der Firma Netzlink, angesiedelt war. Zusammen mit dem Team habe ich die Dokumentation zu Datenschutz und Informationssicherheit für die SORMAS-X Software entwickelt. Das Datenschutzteam SORMAS@DEMIS bestand aus insgesamt acht erfahrenen Sachverständigen mit juristischem und technischem Wissen.

Das Projekt endete mit dem Jahr 2022 und ich habe mich entschlossen, hier in einer Reihe von mehreren Artikeln von dieser Arbeit zu berichten. Das Projekt ist beendet, aber die Arbeiten zur Verbesserung des Datenschutzes und der Sicherheit an der SORMAS-X Software gehen weiter. Netzlink betreibt auch in Zukunft die Software als Dienstleister für zahlreiche Gesundheitsämter bundesweit und europaweit, und das Datenschutzteam führt seine Arbeit unter veränderten Vorzeichen fort.

Zu Beginn der COVID-19 Pandemie Anfang des Jahres 2020 wurde sehr schnell klar, dass Deutschland über keine digitale Ausstattung verfügte, die die Gesundheitsämter bei der Kontrolle der Infektionen hätte unterstützen können. Eine Zuordnung von infizierten Personen zu Kontaktpersonen war nicht möglich und damit auch nicht die Auswertung von Infektionsketten. Auch konnten mit den bestehenden Instrumenten die Infektionszahlen nur mit tagelanger Verzögerung an das Robert-Koch-Institut gemeldet werden, um nur zwei Beispiele zu nennen.

SORMAS@DEMIS: Der Beginn

Vor diesem Hintergrund setzte das Bundesgesundheitsministerium ein Forschungsprojekt mit dem Ziel auf, die SORMAS-Software für alle Gesundheitsämter in Deutschland anwendbar zu machen. SORMAS ist die Abkürzung für

„Surveillance Outbreak Response Management and Analysis System“

und der Name beschreibt die Funktion. Das „X“ steht für Exchange und bezeichnet die Möglichkeit des automatisierten Datenaustausches zwischen den Stellen, die die Software einsetzen. Die Software ist ursprünglich ein Open Source Projekt des Helmholtz Instituts in Braunschweig. Sie war bereits seit vielen Jahren in Westafrika als Teil der Bekämpfung von Epidemien erfolgreich im Einsatz und sollte nunmehr für Deutschland weiterentwickelt und an die hiesigen Prozesse des öffentlichen Gesundheitsdienstes angepasst werden. Dabei stand zunächst die Verbesserung des Managements von Kontaktpersonen im Vordergrund, sowie die Möglichkeit des automatisierten Datenaustausches zwischen den einzelnen Gesundheitsämtern. Im weiteren Verlauf des Projektes ging die Entwicklung jedoch immer weiter in Richtung einer IfSG-Fachanwendung, die aber auf die für die Covid-Pandemie erforderlichen Abläufe beschränkt blieb.

SORMAS-X Datenschutz: Die Herausforderung

Als ich im Herbst 2020 die Leitung des Datenschutzteams übernahm, befand sich die Software einerseits in der Weiterentwicklung und Anpassung an deutsche Erfordernisse, gleichzeitig aber war sie in zahlreichen Gesundheitsämtern bundesweit schon im laufenden Betrieb eingesetzt. Wir hatten daher keine Zeit, erst Konzepte zu erstellen, die im zweiten Schritt umgesetzt würden.

Die Definition der Anforderungen, die Ausarbeitung der Konzepte, die Umsetzung im laufenden Betrieb, die Änderungen aufgrund von Datenschutz- oder Sicherheitsanforderungen … alles das erfolgte in weiten Teilen parallel.

Es bestand eine Datenschutz-Dokumentation, die aber aus Sicht des Dienstleisters Netzlink im Rahmen der Auftragsverarbeitung für die Gesundheitsämter geschrieben war. Es galt, diese in eine Dokumentation zu erweitern, die die Software als Ganzes und alle beteiligten Stellen in den Blick nahm. Konkrete Vorgaben von Seiten der Urheber des Projekts gab es nicht, außer, dass das ganze Vorhaben „datenschutzkonform“ sein sollte.

Wir trafen auf massiven zeitlichen Druck, der sich Anfang 2021 noch verstärkte, als die Konferenz der Kanzlerin und der Ministerpräsidentinnen und -präsidenten der Länder beschloss, dass SORMAS-X bis Ende Februar 2021 in allen Gesundheitsämtern bundesweit laufen sollte. Die Informationsflüsse zwischen uns Datenschutzverantwortlichen und den übrigen Projektbeteiligten mussten innerhalb des Projekts erst organisiert werden. Hinzu kam die weitverbreitete „ja, aber“ Haltung gegenüber den Anforderungen an Datenschutz und Informationssicherheit.

Ja, Datenschutz ist wichtig. Aber müsst ihr uns wirklich damit Arbeit machen?

Das gegenseitige Verständnis und die Informationsflüsse wurden im weiteren Verlauf des Projekts immer besser, der zeitliche Druck blieb. Parallel dazu wurden wir immer mehr zu einer Art allgemeinem Datenschutzkummerkasten. Wenn bei einer der projektbeteiligten Stellen etwas schief lief oder schief zu laufen drohte, wurde nicht der/die Datenschutzbeauftragte der jeweiligen Stelle gefragt, sondern wir. Ebenso landeten alle Anfragen aus Gesundheitsämtern zu Datenschutzthemen bei uns.

Alles in allem kam die Arbeit in diesem Projekt meiner Liebe für die Ordnung komplexer Probleme entgegen, und auch wenn ich manchmal der Verzweiflung nahe war, konnten wir viel gestalten. Wie bereits erwähnt, nutzen wir heute die Erfahrungen aus dem Projekt weiter. Zusammen mit Netzlink in Braunschweig und Vossel Solutions in Soest unterstützen wir nicht nur die Weiterentwicklung von SORMAS, sondern bieten auch speziell auf den öffentlichen Gesundheitsdienst und den privaten Gesundheitssektor zugeschnittene Beratungsangebote an.

Fortsetzung folg: Im nächsten Artikel beschreibe ich die Einzelheiten der Datenschutz-Dokumentation für SORMAS-X.

Mein Buch über Datenschutz und Informationssicherheit

„Schreib‘ ein Buch!“, sagten die Frauen aus dem Marketing mir damals, als ich anfing Beraterin zu sein. „Ein Buch ist die beste Eigenwerbung für Kleinselbstständige!“. Schön wär’s, dachte ich. Ich hatte zwei noch sehr kleine Kinder, für die ich alleine verantwortlich war, und hielt die PrivCom Datenschutz mit viel Mühe gerade so am Laufen. Etwas später musste ich dann das (schnelle) Wachstum der Firma organisieren, was sich auch als keine ganz leichte Aufgabe herausstellte. Zusammen mit der Sorgearbeit zu Hause gab es für alles Drumherum nach wie vor wenig bis keinen Platz. Ein Buch über Datenschutz zu schreiben war ein guter Gedanken in ganz weiter Ferne.

Hinzu kam, dass ich lange nur wusste, was ich nicht schreiben wollte. Ich wollte nicht der großen Anzahl von „Wie organisieren Sie Datenschutz im Unternehmen“ Ratgebern einen weiteren hinzufügen.

Nun aber, fast 18 Jahre nach dem ersten Gedanken an ein Buch, ist es jetzt soweit. Das Manuskript ist so gut wie fertig und das Buch wird 2023 erscheinen. „So kompliziert ist das ja gar nicht – Geschichten und nützliches Wissen über Datenschutz“ lautet der vorläufige Titel.

Datenschutz und Informationssicherheit

Ich möchte Leserinnen und Leser erreichen, die sich für Datenschutz, Informationssicherheit und Digitalisierung interessieren (müssen), sich aber mit den Details nicht auskennen und einen verständlichen und unterhaltsamen Überblick über die Materie erhalten wollen. Das Buch ist für diejenigen, die kein Fachbuch im herkömmlichen Sinn lesen, sondern einen ungewohnten Blick auf diese ungeliebten Themen erhalten wollen. Eingeflossen sind gut 20 Jahre Erfahrung aus der Beratung zu Datenschutz und Informationssicherheit und mein Anspruch, diese als „trocken“ oder „extrem kompliziert“ angesehene Materie leicht und in Geschichten verpackt darzustellen. In meinem Alltag als Beraterin gelingt mir das aller Regel - ob es mir auch mit dem Buch gelungen ist, müssen dann diejenigen beurteilen, die es lesen. Ich bin gespannt. Vorbestellungen nehme ich gerne jetzt schon hier entgegen.

Hinweisgeberschutzgesetz verabschiedet

Wir haben in den letzten Wochen und Monaten ein neues Geschäftsmodell entwickelt. Die Frau meines Kollegen nennt es unsere „Petzer-Hotline“, aber, mit Verlaub, das trifft es nicht ganz. Die formale Bezeichnung ist „Meldestelle nach Hinweisgeberschutzgesetz“. Die Pflicht zur Einrichtung einer solchen findet sich in dem Hinweisgeberschutzgesetz (HinSchG), das vor ein paar Tagen vom Bundestag verabschiedet wurde. Das Gesetz dient der lange überfälligen Umsetzung der "EU-Whistleblower-Richtlinie" in deutsches Recht. Die Zustimmung des Bundesrats steht derzeit noch aus, aber trotzdem ging die Verabschiedung nun viel schneller als allgemein erwartet.

Worum geht es genau?

Es hat sich die Erkenntnis durchgesetzt, dass „Petzen“ in Unternehmen und Behörden ein erwünschter Vorgang sein kann, wenn er interne Missstände in den Blick rückt, die vorher nicht bekannt waren – oder die vielleicht bekannt waren, aber unter den sprichwörtlichen Teppich gekehrt werden sollten. Diejenigen, die in Unternehmen und Behörden Fehlentwicklungen, Gesetzesverstöße, Risiken und auch Straftaten melden, sollen mit dem HinSchG besser geschützt werden, beispielsweise vor Kündigungen oder Abmahnungen, die auf die Meldung eines Vorfalls zurückzuführen sind. Besser geschützt werden sollen aber auch die, die von den hinweisgebenden Personen beschuldigt werden. Die Meldungen sollen durch die Einrichtung entsprechender interner Prozesse aufgearbeitet und einer Lösung zugeführt werden.

Was müssen Unternehmen jetzt tun?

Mit der Verkündung des Gesetzes voraussichtlich im Februar 2023 haben Arbeitgeber mit 250 oder mehr Beschäftigen drei Monate Zeit, die Vorgaben des HinSchG umzusetzen und interne oder externe Meldestellen aufzubauen. Unternehmen mit 50 bis 249 Beschäftigten haben länger Zeit für die Umsetzung: sie müssen bis zum 17. Dezember 2023 fertig sein. Öffentliche Stellen sind bereits seit dem 18. Dezember 2021 verpflichtet, interne Meldestellen vorzuhalten, weil die EU-Whistleblower-Richtlinie seit dem Ablauf der Umsetzungsfrist für die öffentliche Verwaltung unmittelbar gilt.

Risikomanagement im Unternehmen

Bei genauerem Hinsehen zeigt sich, dass das Gesetz ein weiterer Baustein der Compliance und des Risikomanagements in Unternehmen ist. Dort sind dann auch die Schnittstellen zum Datenschutz und zur Informationssicherheit zu verorten. Als Datenschutzbeauftragte und Manager von Informationssicherheit sind wir täglich und ständig mit Risikobewertung und Compliancefragen befasst. Hier wie dort geht es um die Frage der guten Unternehmensführung durch Einhaltung der gesetzlichen Vorgaben und Etablierung angemessener interner Prozesse.

Deshalb empfehlen wir auch, diese neuen Vorgaben nicht nur als eine weitere lästige Pflicht zu betrachten, die der Gesetzgeber den Unternehmen ärgerlicherweise auferlegt, sondern sie für die Fortentwicklung des Unternehmens und der Unternehmenskultur positiv zu nutzen.

Darüber hinaus stellen sich bei der Einrichtung einer solchen Meldestelle, wie sie das Gesetz jetzt verpflichtend macht, zahlreiche Datenschutzfragen. Sie reichen von der Sicherstellung der Anonymität einer hinweisgegebenden Person (sofern gewünscht) über die Umsetzung der Löschfristen bis zur Erstellung einer Datenschutz-Folgenabschätzung für das Verfahren.

Was können wir für Sie tun?

Wir unterstützen Sie bei der Einrichtung der Meldestelle und beraten Sie zu allen damit einhergehenden Fragen. Sie können uns auch als externe Beauftragte für den Betrieb Ihrer Meldestelle beauftragen. Wir sind eine Kooperation mit LegalTegrity eingegangen und setzen die schon langjährig erprobte LegalTegrity Software für die Bearbeitung der Meldungen ein. Sprechen Sie uns gerne an und vereinbaren einen Termin.

Weitere, detaillierte Informationen finden Sie auch in diesem Beitrag von LegalTegrity:

https://legaltegrity.com/hinweisgeberschutzgesetz/

Startseite NEU