ISM: die Klammer um die IT-Sicherheit und den Datenschutz

Veröffentlicht am: 2022-07-29
Dieser Blogeintrag wurde 96 mal gelesen

Vielen Dank an Dr. Klaus Meffert, daß wir seinen Artikel hier verlinken dürfen.

Informationssicherheit betrifft die Sicherheitsmaßnahmen für alle schutzbedürftigen Informationen eines Informationsverbundes.

IT-Sicherheit handelt vom Schutz der Verfügbarkeit, Integrität und Vertraulichkeit automatisiert verarbeiteter Daten.

Datenschutz handelt von der Transparenz des Schutzes der Integrität und Vertraulichkeit von Daten, die personenbezogen sind oder in nutzerbezogenen Endgeräten verwaltet werden, sofern die Datenverarbeitung mindestens teilautomatisiert erfolgt oder die Daten gespeichert werden.

IT-Security und Datenschutz sind gemäß Definition abhängig voneinander. Das steht in Art. 32 DSGVO, dort ist die Sicherheit der Verarbeitung thematisiert. Ebenda ist auch der Stand der Technik erwähnt. Der Sachverständige weiß, dass damit eine fortschrittliche Technologie gemeint ist, die unter Experten anerkannt ist und erfolgreich erprobt wurde.

IP-Adressen sind Netzwerkadressen. Weil diese als personenbezogen anzusehen sind, sofern Nutzer Zugang zu einem Netzwerk haben, fällt jegliches Netzwerk mit Nutzerzugang unter die Regeln der DSGVO. Netzwerke fallen aufgrund ihrer Prägung der automatisierten Verarbeitung ebenso immer auch in die Sphäre der IT-Sicherheit.

Endgerätzugriff

Diese Definition von Datenschutz ist etwas weiter gefasst, als oft anderswo zu lesen ist. Es geht eben nicht nur um personenbezogene oder personenbeziehbare Daten, sondern auch um den Zugriff auf das Endgerät eines Nutzers oder sogar auf eine Endeinrichtung, die einem Nutzer zugeordnet ist. Das ist in § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz TTDSG definiert. Somit ist allerdings ein Endgerät (Smartphone, Tablet, Desktop PC) auch personenbezogen. Das TTDSG setzt die ePrivacy-Richtlinie für Deutschland um. Es geht beim Endgerätzugriff nicht nur um Cookies, sondern auch um viele andere Arten des Zugriffs. Hier ein Auszug, was Endgerätezugriffe oder Zugriffe auf Endeinrichtungen (Smart Home Geräte, netzwerkfähige Sensoren etc.) z.B. sein können:
  • Cookies für Local Web Storage, Indexed DB
  • Auslesen der Größe des Browser-Fensters via JavaScript
  • Canvas Fingerprinting
  • Updates bei Smart Home Geräten
Um es direkt zu sagen: Cookies machen den kleineren Teil der einwilligungspflichtigen Datenverarbeitungen aus. Insofern ist der Begriff des Cookie Popups Bullshit. Gemäß DSGVO ist jegliche Verarbeitung personenbezogener Daten verboten, außer, sie ist ausnahmsweise erlaubt (siehe Art. 6 Abs. 1 DSGVO).

Was sind personenbezogene Daten?

Personenbezogene Daten haben oft einen direkt herstellbaren Bezug zu einer Person. Beispiele hierfür sind:
  • Vorname, Nachname
  • Adresse
  • KFZ-Kennzeichen
  • Handy-Nummer
  • E-Mail-Adresse
  • GPS-Standort des Smartphones (einziger Mensch am Standort)
  • Netzwerkadresse, IP-Adresse (vgl. Urteil „Breyer“)
Wichtig hierbei ist, dass die Person an sich bekannt ist. Angenommen, es gibt eine Gruppe von 1000 Menschen. Mit einer der eben genannten Datenwerte kann diese eine Person aus den 1000 Personen herausgefunden werden. Zu dieser Person ist dann deren Identität bekannt oder kann bekannt sein. Dann handelt es sich um personenbezogene Daten. Die Identität ist bekannt, wenn die Person genau bezeichnet werden kann, etwa über ihren Namen und ihre Anschrift. Die Identität kann (objektiv, theoretisch, ggf. unter Zuhilfenahme Dritter und Vierter) bekannt sein, wenn ein Datenwert zur Person existiert, mit dem man bei einem Dritten, ggf. unter Zuhilfenahme eines Vierten, die Identität der Person herausfinden könnte. Beispielsweise reicht somit ein Kfz-Kennzeichen aus, um einen Personenbezug annehmen zu müssen. Wohl kaum jemand kann anhand eines Kfz-Kennzeichens herausfinden, wer der Fahrzeughalter oder aktuelle Fahrer ist. Allerdings wäre es möglich, sofern ein Unfall passiert. Somit ist der Personenbezug gegeben. Es spielt keine Rolle, dass der Unfall nicht stattgefunden hat. Analog verhält es sich mit einer Netzwerkadresse und einer möglichen, meist nicht gegebenen, Strafverfolgung. Ein indirekter Personenbezug ist ein Begriff, den ich hier einführe. Er verhilft über die Kenntnis einer Person aufgrund des gegebenen Kontextes. Beispiele hierfür können sein:
  • Häufiger Vorname + Nachname + Ort + Uhrzeit
  • Häufiger Vorname + Ort + Uhrzeit
  • Initialen + (mäßig große) Menge von Menschen
  • GPS-Standort des Smartphones (vielen Menschen am Standort) + Standort-Historie oder weitere Daten
  • Adresse im Hochhaus + Nachname (einmalig im Hochhaus) Historie der Anwendungsnutzung (Username, IP-Adresse …)
Diese Beispiele sind nur als Andeutung zu verstehen. In meinem Vortrag für die Deutschen Studentenwerke habe ich die Beispiele genauer erörtert.

Den Artikel: IT-Sicherheit und Datenschutz weiterlesen.