Mehr Rechtssicherheit im Bereich Auftragsverarbeitung – standardisierte Verhaltensregeln bieten Unternehmen Unterstützung bei der Anwendung der Datenschutz-Grundverordnung

LfDI Dr. Stefan Brink: „Selbstregulierung ist eine hervorragende Möglichkeit, Datenverarbeitung maßgenau auf die Bedürfnisse von Branchen abzustimmen – die DS-GVO gibt diese Möglichkeit, die wir jetzt umsetzen.“

Wer in Baden-Württemberg personenbezogene Daten verarbeitet, muss die europäischen Regeln der Datenschutz-Grundverordnung (DS-GVO) beachten. Für den Datenschutz verantwortliche Stellen nutzen regelmäßig Dienstleister, die in ihrem Auftrag personenbezogenen Daten verarbeiten – sogenannte Auftragsverarbeiter. Um hier mehr Übersichtlichkeit und Rechtssicherheit zu schaffen, hat der LfDI daher die neue nationale Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ genehmigt. Unternehmen können sich fortan diese Verhaltensregeln zu eigen machen und nutzen damit die Möglichkeit, für sich mehr Rechtssicherheit zu schaffen.

Durch die Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ machen Auftragsverarbeiter nach außen sichtbar, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sich deren Überwachung durch eine vom LfDI akkreditierte Überwachungsstelle unterwerfen. Die Überwachungsstelle ist Anlaufstelle für Beschwerden und kontrolliert regelmäßig die Einhaltung der Verhaltensregel. An der Entwicklung der „Trusted Data Processor“ wirkten maßgeblich Experten der Fachverbände „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ mit.

Die DS-GVO kennt das Instrument der Verhaltensregeln (Code of Conduct), welche der Konkretisierung von datenschutzrechtlichen Anforderungen dienen soll. Mit der Anerkennung der Verhaltensregel wurde auch die DSZ Datenschutz Zertifizierungsgesellschaft mbH als neue Überwachungsstelle akkreditiert. Die DSZ bearbeitet die Anträge auf Selbstverpflichtung und übernimmt die Kontrolle und Bearbeitung von Beschwerden.

Weitere Informationen:

Der Landesbeauftragte berät Bürger_innen, Behörden, Unternehmen und bei Fragen des Datenschutzes. Seinen Beratungsansatz hat er zudem gestärkt, in dem er hauseigene Bildungszentrum BIDIB aufgebaut und erfolgreich etabliert hat, Handreichungen und Orientierungshilfen herausgibt und zuletzt etwa mit der Vorlage von Datenschutzicons die übersichtliche Gestaltung von Datenschutzhinweisen fördert. Mit seinem Tool DS-GVO.clever ermöglicht der Landesbeauftragte Vereinen und kleinen Unternehmen zudem, einfach und schnell Datenschutzhinweise zu erstellen.

Mit der Akkreditierung DSZ Datenschutz Zertifizierungsgesellschaft mbH folgt der Landesbeauftragte seinem praxisorientierten Ansatz zur einheitlichen und konsequenten Umsetzung und Anwendung der DS-GVO und bietet damit auch baden-württembergische Unternehmen die Möglichkeit, ihrer datenschutzrechtlichen Verantwortung mit der Einhaltung der Selbstverpflichtung wirksam nachzukommen. Auf der Webseite der DSZ unter https://www.verhaltensregel.eu/ finden Interessierte die Verhaltensregel Trusted Data Processor.

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.

Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden. Auf Grund der technikneutralen Formulierung des DS-GVO finden sich darin keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können. Stattdessen steht es grundsätzlich jedem Verantwortlichen frei, selbst diejenigen TOM auszuwählen, die passend zu der eigenen Art der Verarbeitung und Unternehmensgröße sind, sofern damit ein wirksames angemessenes Schutzniveau erreicht werden kann.

Diese TOM können und werden von Verantwortlichen in sog. „Clean-Desk-Policies“ zusammengefasst und für die Einhaltung durch die Beschäftigten in Kraft gesetzt. Die Etablierung von TOM ist nicht nur für den Schutz von personenbezogenen Daten ein notwendiges Muss, sondern kann auch für den Schutz von sog. Geschäftsgeheimnissen eingesetzt werden.

Früher wurde es als ausreichend betrachtet, dass der Inhaber eines Geschäftsgeheimnisses den subjektiven Willen hatte, eine Information als Geschäftsgeheimnis zu schützen. Mit dem neuen Geschäftsgeheimnisgesetz reicht dies nicht mehr aus, da eine Information nur noch als Geschäftsgeheimnis betrachtet wird, sofern diese zum Gegenstand von tatsächlichen angemessenen Schutzmaßnahmen gemacht und explizit durch diese geschützt wird (vgl. (§ 2 Nr 1 a) GeschGehG). Bestandteil des organisatorischen Geheimnisschutzes ist in Unternehmen daher oftmals eine „Clean-Desk-Policy“, die den Mitarbeiter dazu verpflichtet, bei Verlassen des Schreibtisches keine Geschäftsgeheimnisse offen oder erkennbar liegen zu lassen.

Das LAG Sachsen hat in einer kürzlich verkündeten Entscheidung klargestellt, dass die wiederholte Verletzung organisatorischer Schutzmaßnahmen, die zum Schutz von Geschäftsgeheimnissen etabliert wurden, die Kündigung des Arbeitnehmers rechtfertigt (Urteil vom 07.04.2022 – 9 Sa 250/21).

Im Kern ging der Kündigungsschutzklage ging es auch um die Frage, wann die Nichtbeachtung einschlägiger Clean-Desk-Policies zu einer Abmahnung oder aber auch in wiederholten Fällen zu einer Kündigung führen kann. Im Fall des LAG Sachsen war die Klägerin bei der Beklagten als Kreditsachbearbeiterin beschäftigt. Die von der Beklagten in Kraft gesetzter umfassende Richtlinie zur Informationssicherheit und Clean-Desk-Policy wurde von der Klägerin (der Kündigungsschutzklage) zum wiederholten Male verletzt. Die Richtlinien enthielten Regelungen mit dem Inhalt, dass Beschäftigte schützenswerte Daten stets wegzusperren oder ordnungsgemäß zu entsorgen haben, ihre Arbeitsgeräte beim Verlassen des Arbeitsplatzes zu sperren sind und sensible Dokumente keinesfalls offen einsehbar liegen gelassen werden dürfen.
Nach Auffassung des Gerichts habe die Klägerin gegen die Hauptpflichten aus ihrem Arbeitsvertrag verstoßen. Unter Beachtung der vorhergehenden Abmahnungen handele es sich laut Gericht insgesamt um erhebliche Pflichtverletzungen. Der Arbeitgeber sei nicht verpflichtet gewesen, erst noch eine weitere Abmahnung auszusprechen.

Der Fall macht die Bedeutung von verschriftlichten Regelungen rund um den Schutz von personenbezogenen Daten und auch Geschäftsgeheimnissen deutlich:
Verantwortliche finden wichtige Hinweise, welche Inhalte eine Clean-Desk-Policy enthalten sollte, u.a. auch in den Umsetzungshinweisen zum Baustein INF.7 Büroarbeitsplatz. Diese können selbstverständlich auch im Rahmen einer Home-Office-Regelung genutzt werden, wo das Thema Clean-Desk-Policy ebenfalls seine Daseinsberechtigung haben kann, wie am Arbeitsplatz im Unternehmen selbst. Hierfür kann das Dokument „Datenschutzrechtliche Regelungen bei Homeoffice – Checkliste mit Prüfkriterien nach DS-GVO“ des BayLDA empfohlen werden. Eine noch allgemeinere und umfangreichere Checkliste finden Interessierte in dem Dokument “ Good Practice bei technischen und organisatorischen Maßnahmen – Generischer Ansatz nach Art. 32 DS-GVO zur Sicherheit„, welches ebenfalls vom BayLDA angeboten wird.

„Die Bedrohung im Cyber-Raum ist damit so hoch wie nie“, stellt das BSI in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland“ fest, der am vergangenen Dienstag veröffentlicht wurde. Grund dafür ist nicht nur eine „hohe Bedrohung durch Cybercrime“, sondern auch „verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine“. Zu den Top-Bedrohungen für die Gesellschaft zählt das BSI Identitätsdiebstahl, Sextortion (die Erpressung mit Nacktbildern oder -videos) und Fake-Shops im Internet. Mit Blick auf die Wirtschaft bergen Ransomware-Schwachstellen, offene oder falsch konfigurierte Online-Server und zu große Abhängigkeiten in den Lieferketten die größten Gefahren. Staat und Verwaltung leiden dem Bericht zufolge vor allem unter Ransomware-Schwachstellen, unter komplexen, fortlaufenden Angriffen auf die IT-Infrastrukturen und, wie in der Wirtschaft, unter offenen oder falsch konfigurierten Online-Servern. (Weitere Zahlen aus dem Bericht finden Sie in unserer Rubrik „Gut zu wissen“.)

Weitere Informationen zum BSI zum Lagebericht 2022 (mit Download-Möglichkeit): https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

Am 28. September veröffentlichte das Cyber-Sicherheitsunternehmen GTSC einen Blogbeitrag zu neuen
Zero-Day Exploits in Microsoft Exchange Servern [GTSC2022]. Demnach wurden im Rahmen einer Analyse
eines Vorfalls Hinweise auf eine aktive Ausnutzung von zwei Sicherheitslücken entdeckt. Diese waren in der
Lage, auch vollständig gepatchte Systeme zu kompromittieren.
Microsoft hat hierzu einen Beitrag auf seiner Webseite veröffentlicht [MSRC2022]. Darin wird angegeben,
dass die Schwachstellen eine Server-Side Request Forgery (CVE-2022-41040) sowie eine Remote Code
Execution (CVE-2022-41082) ermöglichen, wenn der Angreifer Zugriff auf PowerShell hat. Hierfür sei
allerdings ein authentifizierter Zugriff auf den verwundbaren Server nötig.
Verwundbar seien laut Microsoft die Microsoft Exchange Server 2013, 2016, und 2019.
Gemäß Common Vulnerability Scoring System (CVSS) wurden die Schwachstellen hinsichtlich ihres
Schweregrads mit 8.8 bzw. 6.3 von 10 Punkten als „hoch“ bzw. „mittel“ eingestuft.
Update 1:
In Anlehnung an die im vergangenen Jahr entdeckten Sicherheitslücken in Microsoft Exchange werden
die nun bekannt gewordenen Schwachstellen in den Sozialen Medien unter dem Namen „ProxyNotShell“
diskutiert [TWIT2022a].

Bewertung
Komponenten der E-Mailinfrastruktur stellen grundsätzlich attraktive Ziele für Angreifer dar. In diesem
Zusammenhang stehen auch Microsoft Exchange Server immer wieder im besonderen Fokus der Täter.
Da die Schwachstellen bereits aktiv von Angreifern ausgenutzt werden, besteht auch für deutsche Institutionen die
erhöhte Gefahr einer Kompromittierung.

Maßnahmen
Nutzer von Microsoft Exchange Online sind nach Aussage von Microsoft nicht betroffen.
Kunden mit On-Premise Lösungen sollten die im Microsoft-Blog aufgeführten Mitigationsmaßnahmen umsetzen,
da zum jetzigen Zeitpunkt noch kein Sicherheitsupdate bekannt ist, welches die Schwachstellen behebt. Dabei wird
eine Regel unter dem „IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions“ erstellt, welche die
bekannten Exploits blockiert:
• IIS Manager öffnen
• „Default Web Site“ erweitern
• „Autodiscover“ auswählen
• In der Feature-Übersicht auf „URL Rewrite“ klicken
• In der Aktions-Spalte auf der rechten Seite eine neue Regel hinzufügen
• „Request Blocking“ auswählen und OK drücken
• Die Zeichenkette „.*autodiscover\.json.*\@.*Powershell.*“ (ohne Anführungszeichen) einfügen und OK drücken
• Unter „Using“ die Option „Regular Expression“ auswählen
• Die neue Regel unter „Bedingungen“ editieren
• Die Bedingung von {URL} zu {REQUEST_URI}{UrlDecode:{REQUEST_URI}} ändern
Diese Anleitung befindet sich bebildert unter [MSRC2022]. Nach Aussagen von Microsoft sind keine
Funktionseinschränkungen beim Betrieb von Exchange Server zu erwarten. Hinweise zur Erkennung einer bereits
erfolgten Kompromittierung werden ebenfalls aufgeführt.
Unabhängig von den konkreten Schutzmaßnahmen in diesem Sachverhalt sollten IT-Sicherheitsverantwortliche
stets dafür sorgen, dass die Patchstände der betriebenen Systeme aktuell sind [BSI2022]. Untermauert wird diese
Notwendigkeit auch damit, dass Microsoft Out Of Band Patches in der Vergangenheit bei ähnlichen Situationen
zunächst priorisiert für das aktuellste CU (Cumulative Update) von Exchange zur Verfügung gestellt hat.

Link zur Warnung: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-258168-1032.pdf?__blob=publicationFile&v=4