26. Tätigkeitsbericht des Bayerischen Landesbeauftragten für Datenschutz
Am 20.01.2015 ist der 26. Tätigkeitsbericht des bayerischen Landesbeauftragten für Datenschutz für den Berichtszeitraum 2013/2014 erschienen. Auf 290 Seiten informiert der Landesbeauftragte über seine Tätigkeiten im Bereich der öffentlichen Verwaltung. Trotz der Fokussierung auf öffentliche Stellen des Landes Bayern, enthält der Bericht viele interessante und wichtige Informationen zum Datenschutz, die auch für nicht-öffentliche Stellen von Bedeutung sein können. Auf die drei folgenden Empfehlungen der Aufsicht möchten wir Sie besonders hinweisen:
[nbsp]
TLS/SSL als (Un-)Sicherheitsfaktor
Der Landesbeauftragte weist unter Punkt 2.2.4 darauf hin, dass bei Verschlüsselungstechniken eingesetzte Verschlüsselungsalgorithmen wie RC4 Unsicherheitsfaktoren darstellen können. Diese werden z.B. auf Webseiten zum verschlüsselten Datentransfer eingesetzt. Da die Verschlüsselungsalgorithmen selbst angreifbar sind, kann eine verschlüsselte Verbindung, welche auf RC4 basiert, nicht mehr als sicher angesehen werden. Es wird daher empfohlen, den Verschlüsselungsalgorithmus RC4 nicht mehr zu verwenden. Auf diesen Umstand weist auch das BSI hin und bescheinigt dem Algorithmus RC4 erhebliche Sicherheitsschwächen. Auch im Hinblick auf die später bekannt gewordene Sicherheitslücke „Heartbleed“ wird empfohlen zu prüfen, ob ein Einsatz von SSL/TLS für Internetauftritte möglich oder notwendig ist.
[nbsp]
Gewährleistung eines sicheren Datenträgeraustauschs – Empfehlungen
Unter Punkt 2.3.3 des aktuellen Berichts geht der Landesbeauftragte detailliert auf die Risiken des Transports von personenbezogenen Daten auf Datenträgern ein und gibt Empfehlungen zum sicheren Austausch für öffentliche Stellen in Bayern (Datenträgerkontrolle).
Auch das Bundesdatenschutzgesetz enthält in der Anlage zu § 9 BDSG die Weitergabekontrolle, welche Unternehmen verpflichtet, für einen sicheren Datentransport zu sorgen. Die Empfehlungen des Landesbeauftragten können somit als allgemeingültig angesehen werden können, wenn personenbezogene Daten auf mobilen Datenträgern transportiert werden. So ist zunächst eine Risikoanalyse durchzuführen, die bei Betrachtung der Situation die Vertraulichkeit, die Integrität und die Authentizität der Daten gewährleisten muss. Hierbei sind sowohl der Transportweg, das Medium des Transports als auch die aufgezeichneten Daten zu berücksichtigen. Den entsprechend der Analyse festgestellten Risiken ist durch geeignete Sicherheitsmaßnahmen vorzubeugen. Im Tätigkeitsbericht werden beispielhaft mögliche Sicherheitsmaßnahmen aufgelistet. Der ganze Prozess des Transports sollte in einer Dienstanweisung respektive einer Richtlinie festgehalten und im Unternehmen kommuniziert werden.
[nbsp]
Datenschutzvorfälle nach § 42a BDSG
In Punkt 2.3.10 weist der Landesbeauftragte darauf hin, dass auch in öffentlichen Krankenhäusern Regelungen geschaffen werden müssen, die Datenschutzvorfälle nach § 42a BDSG regeln. Dies verdeutlicht, dass auch bei nicht-öffentlichen Unternehmen Regelungen etabliert werden sollten, wie mit Datenschutzverstößen im Unternehmen umzugehen ist. Fehlende Regelungen können zu Verstößen gegen § 42a BDSG führen, die nach § 43 BDSG bußgeldbehaftet sein können. Es empfiehlt sich daher, sich im Vorfeld Gedanken zu machen, bevor ein Datenschutzvorfall eintritt.
[nbsp]
