Nach vielen Jahren nimmt Herr Vollmer nochmal einen Anlauf, um mit qualifizierten elektronischen Zertifikaten zu arbeiten. Das Ziel ist die verbindliche Signatur von elektronischen Dokumenten (z.B. PDF), die einer handschriftlichen Unterzeichnung gleich kommen.

Weil dieses Thema in der Dezember-Ausgabe des PrivazyPlan® aufgegriffen wurde, hat Herr Vollmer diesen Weg ebenfalls selbst bestritten.

Die ersten Experimente im Jahr 2008 mit einer Karte und einem Reader der Telekom hatten einen gewissen Frustfaktor, aber sie waren letztlich doch erfolgreich. Doch gab es außer Herrn Vollmer niemanden, der sich für diese Technologie interessierte. (In einer PPT-Präsentation hat Herr Vollmer seine Erfahrung konkret zusammengefasst.)

Im Jahr 2012 wurde eine qualifizierte Signaturkarte der Deutschen Post mit einem Cherry-Reader probiert. Auch hier waren verschiedene Schwierigkeiten zu überwinden. Doch letztlich gab es keine wirklich interessante Anwendung für diese Technologie. Für Verträge war immer noch die handschriftliche Unterschrift das Maß aller Dinge.

Jetzt im Jahr 2019 probiert es Herr Vollmer erneut. Das Zertifikat und die Software stammen von www.secrypt.de (Bundesdruckerei). Der Reader ist der ReinerSCT® cyberJack® RFID comfort. Die Installation aller Komponenten war weitgehend frustfrei. (Die Installation des elektronischen Personalausweises hingegen war skurril komplex und nur für Menschen geschaffen, die außerordentlich leidensfähig sind.)

Doch was macht man mit einem qualifiziert signierten Dokument? Man validiert es in einer geeigneten Software, um festzustellen, ob z.B. das betroffene PDF wirklich von Hr. Vollmer unterschrieben wurde. Und dann wurde es nochmal richtig spannend.

• Der digiSeal-Reader erkennt die Signatur sofort und erkennt sie auch an. Perfekt!
• Der Foxit PhantomPDF Reader hingegen sieht die Signatur als ungültig an!
• Eine Prüfung über den Windows-Zertifikats-Speicher akzeptiert das Zertifikat ebenfalls nur teilweise.

Was ist hier los?

Eine erste Analyse zeigt auf, dass das Stammzertifikat der Bundesdruckerei die Ursache ist, weil es im System nicht eingebunden wurde.

Also erkundigt sich Herr Vollmer beim Support von Secrypt und erhält einen Hinweis auf https://www.bundesdruckerei.de/de/2833-repository, wo die Zertifikate der Bundesdruckerei erhältlich sind. Abgesehen davon, dass es nicht gerade trivial ist das richtige Zertifikat zu finden: Jeder Webbrowser reagiert unterschiedlich. Der eine ignoriert die Dateien, der andere lädt sie offensichtlich nur in den eigenen Webbrowser-Zertifikatsspeicher, der letzte bietet immerhin einen ordentlichen Download an.

Doch auch im letzten Fall liegt die Tücke im Detail, denn das Bundesdruckerei-Zertifikat wird nicht in die Rubrik "Vertrauenswürdige Stammzertifizierungsstellen" gespeichert und ist daher in gewisser Hinsicht unsichtbar und wirkungslos. Das ließ sich aber per Drag&Drop beheben.

Nun - endlich - erkennt auch Windows das qualifiziert signierte Dokument.

Aber der Foxit PhantomPDF ist davon nicht beeindruckt. Offensichtlich hat er einen eigenen Zertifikatsspeicher, der aber nur mit US-Amerikanischen Unternehmen gefüllt ist. Zwar kann man manuell die Bundesdruckerei hinzufügen, aber die erhält den Status "not trusted". Schade aber auch!

Fazit: Die qualifizierte elektronische Signatur ist noch immer schwierig anzuwenden. Die beteiligten Hersteller (Bundesdrucker, Microsoft, Reiner, Foxit) machen keine nennenswerten Anstrengungen, um einem normalsterblichen IT-Anwender die Nutzung zu ermöglichen. So wird das nix!

Jetzt gilt es noch die letzte Hürde zu nehmen: Die qualifizierten Zeitstempel sollen dafür sorgen, dass das Datum der Signatur beweisbar korrekt ist (und nicht von der lokalen PC-Zeit abgeleitet wird). Die Bestellung hakt noch etwas, aber vermutlich wird auch das bald funktionieren.

Und wenn das alles funktioniert, dann kann Herr Vollmer seine Datenschutz-Dokumentation mit einem verbindlichen Zeitstempel signieren und somit beweisen, dass diese Dokumentation zum angegebenen Zeitpunkt wirklich in genau dieser Form existierte.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Unser Praxisleitfaden PrivazyPlan® wurde im Dezember 2019 an 47 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 517 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2019_dezember.htm

Somit hat der PrivazyPlan® im Jahr 2019 ca. 60 Seiten "zugelegt"; das sind monatlich durchschnittlich 5 Seiten!

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Am 25.11.2019 wurde die BDSG-Novelle im Bundesgesetzblatt veröffentlicht und ist somit in Kraft gesetzt. Demnach besteht nun für Unternehmen mit bis zu 19 Beschäftigten keine Pflicht zur Benennung eines Datenschutzbeauftragten.

Über dieses Thema berichteten wir bereits im Oktober 2018 und ganz ausführlich im September 2019.

Den relevanten Ausschnitt aus dem 93-seitigen Artikelgesetz finden Sie hier.

Die Stelle des betrieblichen Datenschutzbeauftragten wurde (wie der Datenschutz überhaupt) in Deutschland erfunden. Die Benennungsgrenze war schon immer ein Politikum... mal 5, mal 10, mal 20 Beschäftigte.

Übrigens: Es zählen hierbei nur diejenigen Beschäftigten, die "ständig" personenbezogene Daten verarbeiten.

Dies neue Gesetzeslage ändert aber rein gar nichts daran, dass

• die Persönlichkeitsrechte der Artikel 12-22 erfüllt werden müssen,
• das Verarbeitungsverzeichnis geführt werden muss,
• der "Nachweis der Einhaltung der Grundsätze" geführt werden muss,
• Zweckänderungen geprüft und ggf. kommuniziert werden müssen,
• ein konsequentes Einwilligungs-Management betrieben werden muss,
• ein IT-Sicherheits-Managementsystem eingerichtet werden muss,
• Datenschutzverletzungen zu dokumentieren und ggf. zu melden sind,
• im Einzelfall eine Datenschutz-Folgenabschätzung durchgeführt werden muss,
• Auftragsverarbeitungen vertraglich geregelt werden müssen.

All dies muss jetzt eben nur ohne die Expertise und das Engagement des Datenschutzbeauftragten durchgeführt werden.

Was passiert mit den bereits benannten Datenschutzbeauftragten in den Unternehmen, die weniger als 20 Beschäftigte haben? Seitens der Aufsichtsbehörden und der Fachpresse wurde diese Frage leider noch nicht thematisiert.

Wie sieht es aus speziell für den Fall eines externen Datenschutzbeauftragten, der einen Dienstleistungsvertrag mit jährlicher Laufzeit geschlossen hat?

Wir gehen davon aus, dass die Benennung bis zum Ende des Vertragsjahres bestehen bleibt. Diese Konsequenz ist naheliegend, weil der Dienstleistungs-Vertrag erfüllt werden muss. Diese Meinung würden wohl auch jene Unternehmen vertreten, die die Leistung des Datenschutzbeauftragten dringend benötigen und dieser seinerseits (vielleicht aufgrund des Arbeitsaufwands) fristlos kündigt.

In den wenigsten Verträgen wird wohl stehen "wir benennen Sie, sofern es gemäß § 38 BDSG zwingend vorgeschrieben ist".

Insofern ändert sich nur der interne Status auf eine freiwillige Benennung gemäß Artikel 37 (4) DS-GVO.

Zum Ende der Vertragslaufzeit kann dann verhandelt werden, ob die freiwillige Benennung fortgeführt werden soll.

Aber auch im Falle einer freiwilligen Benennung gilt: Der Datenschutzbeauftragte muss seine Pflichten zu 100% erfüllen; da gibt es kein Rosinenpicken.

Auch wenn in Ihrem Unternehmen weniger als 20 Beschäftigte "ständig" mit personenbezogenen Daten arbeiten, so ist die (freiwillige) Benennung eines Datenschutzbeauftragten Ihre einzige Chance den Datenschutz einzuhalten. Andernfalls gehen Sie auf "Risiko" hinsichtlich der Bußgelder, Schadenersatzforderungen und Abmahnungen.

So oder so drücken wir Ihnen die Daumen!

P.S. In Kürze werden wir den veränderten Gesetztestext unter www.bdsg2018.de berücksichtigen.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Microsoft Windows 10 sendet täglich tausende "Diagnose-Daten" an US-amerikanische Server. Die deutschen Aufsichtsbehörden sehen das kritisch. Seit dem 07.11.2019 gibt es ein Prüfschema, um die Rechtmäßigkeit von Windows 10 zu beurteilen. Das Ergebnis ist wohl: Keine Chance. Was tun?

Das Prüfschema befindet sich hier, die weitergehenden technischen Aspekte hier.

In den obigen Dokumenten geht es allein um die "Diagnose-Daten", die Windows 10 an Microsoft versendet ("Telemetrie"). Es geht nicht um die Cloud (z.B. OneDrive) und es geht auch nicht um temporäre Dateien, die ggf. personenbezogen sind und unbemerkt jahrelang gespeichert sind. Es geht auch nicht um die verschiedenen Apps (wie z.B. Cortana) und deren Umgang mit Daten. Auch das Verhalten aller anderen Anwendungssoftware (wie MS-Office und anderer Programme) wird nicht erwähnt.

Nein, es dreht sich (zunächst) alles nur um das Ergebnis der Studie der niederländischen Datenschutz-Aufsichtsbehörde vom Oktober 2017.

Machen wir es kurz: In den technischen Aspekten kommt das Gremium auf Seite 13 zu dem folgenden Ergebnis:

Die Datenschutzaufsichtsbehörden [...] haben diese Problematik untersucht und sind zu dem Ergebnis gekommen, dass eine vollständige Übertragung mit systembasierten Abhilfemaßnahmen allein nicht verhindert werden kann.

Auch Netzwerkbasierte Abhilfemaßnahmen scheinen nur über den Umweg, eine direkte Internetanbindung von Windows 10 Systemen zu unterbinden und den Internetzugang (über Browser oder Fachanwendungen) über eine Virtualisierungs- oder Terminallösung erfolgen zu lassen, noch erfolgversprechend.

Insofern kann man sich das Prüfschema eigentlich sparen und überlegen, wie man für jeden Mitarbeiter sein Windows 10 in einen "Container" packt, der jegliche ungewollte Telemetrie unterbindet.

Oder das Unternehmen sucht sich ein datenschutzfreundlicheres Betriebssystem. Jetzt wäre wohl die Zeit für Linux gekommen (vorausgesetzt, dass dort keine Telemetriedaten gibt).

Wie man es auch immer dreht und wendet: Ein blinder Fleck im Datenschutz wurde nun offiziell adressiert. Der Geist ist aus der Flasche. Das Betriebssystem und die darin installierte Anwendungssoftware ist kein "Neutrum" mehr, sondern stellt in sich selbst möglicherweise eine Verarbeitung personenbezogener Daten dar.

Ein sehr ähnliches Problem kam im November 2018 mit MS Office 365 auf. Seitdem ist nicht ganz klar, ob Schulen in Hessen noch mit Office arbeiten dürfen.

Natürlich sind auch alle anderen Betriebssysteme (wie z.B. iOS und Android) betroffen. Ebenso alle installierten Apps bzw. Anwendungsprogramme (Webbrowser, Bildbearbeitungsprogramme, Buchhaltungsprogramme, Customer-Management-Systeme, WhatsApp, ...).

Sie fragen sich, was Windows 10 so alles an Daten übermittelt? Nutzen Sie den "MS Diagnostic Data Viewer". Das ist recht interessant (in meinem Fall wurde immerhin der Hersteller und die Modellnummer meines PC gesendet). Die entsprechenden Einstellungen in Windows 10 können Sie vornehmen unter "Einstellungen | Datenschutz | Diagnose und Feedback". Hier können Sie immerhin die vollständige Datenübermittlung abschalten; außerdem lassen sich hier mit einem Mausklick alle Diagnosedaten löschen.

Jetzt ist Kreativität gefragt.

[Als Datenschützer frage ich mich: Welche Diagnose-Daten sind denn personenbezogen bzw. personenbeziehbar? Kann Microsoft letztlich sagen WELCHE Person da welche Daten gesendet hatte? Auf diese sehr wichtige Detailfrage gehen die Datenschutz-Aufsichtsbehörden nicht ein. Man bedenke: Die IP-Adresse der Rechner ist für ALLE Beschäftigten im Unternehmen identisch. Die Windows-Lizenz läuft auf den Unternehmens-Namen. Aus dem reinen Rechner-Name lässt sich meist keine Beschäftigten-Name ableiten. Warum also sollten die Diagnose-Daten als personenbezogenen gewertet werden?
Es könnte von entscheidender Bedeutung sein, ob sich die Nutzer von Office 365 mit ihrer persönlichen E-Mail Adresse bei Microsoft anmelden. Hierdurch kann ein Personenbezug entstehen. Daher vermeiden Sie besser die Anmeldung, sofern Sie die Microsoft-Cloud nicht nutzen; alternativ sollten Sie über "anonyme" E-Mail-Adressen nachdenken nach dem Muster "office365_001@securedataservice.de".]

Ach, das wird spannend! Dagegen ist das jüngste EuGH-Urteil zu den einwilligungsbedürftigen Cookies ja ein Kinderspiel. Es gibt keinen abwechslungsreicheren Job als den des externen Datenschutzbeauftragten... ;-)

Apropos Datenschutzbeauftragter: Wenn nicht alle Diagnose-Daten abgeschaltet werden können, dann ist laut der Datenschutz-Konferenz eine Datenschutzfolgenabschätzung gemäß Artikel 35 durchzuführen. Und diese ist gemäß § 38 BDSG nur unter Einbeziehung eines betrieblichen Datenschutzbeauftragten möglich. Sie sind also nicht allein... wir helfen Ihnen gerne.

[Nachtrag am 20.11.2019: Das BSI führt gerade das Projekt SiSyPHuS Win 10 durch, um die Konfigurationsmöglichkeiten herauszufinden.]

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

Und natürlich stehen wir Ihnen gerne als externer Datenschutzbeauftragter zur Verfügung. Rufen Sie uns an!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Unser Praxisleitfaden PrivazyPlan® wurde im November 2019 an 24 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 504 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2019_november.htm

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.