[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021

12. Technik und Organisation

12.1. Das digitale Bürgerkonto

Das bayerische digitale Bürgerkonto stellt Bürgerinnen und Bürgern insbesondere Möglichkeiten zur Online-Kommunikation mit Behörden zur Verfügung. Es ist integriert in das BayernPortal, dessen Weiterentwicklung ich seit mehreren Jahren immer wieder beratend begleite (siehe 27. Tätigkeitsbericht unter Nr. 12.2). Mittels des digitalen Bürgerkontos kann eine elektronische Identität (BayernID) und ein Servicekonto online eingerichtet werden.

Folgende Registrierungsarten sind derzeit möglich:

  • Registrierung anhand der eID-Funktion des Personalausweises beziehungsweise elektronischen Aufenthaltstitels;
  • Registrierung anhand des Softwarezertifikats authega;
  • Registrierung mit Benutzername/Passwort.

Mit dem digitalen Bürgerpostfach stehen je nach Registrierungsart folgende wichtige Funktionen zur Verfügung:

  • Postfach mit bidirektional verschlüsselter elektronische Kommunikation;
  • optional Identifikation (Prüfung der Identität) und Authentifizierung (Nachweis der Identität);
  • optional Schriftformersatz (digitale Unterschrift).

Allein das Merkmal der verschlüsselten elektronischen Kommunikation stellt bereits einen deutlichen Mehrwert gegenüber der unverschlüsselten E-Mail dar. Kann sich die Behörde über die Identität des elektronischen Gegenübers zu jeder Zeit auf Grund einer sicheren Identifikation und Authentifizierung sicher sein, besteht die Möglichkeit der verschlüsselten elektronischen Antwort durch die Behörde sogar im Erstkontakt, auch wenn hierbei sensible personenbezogene Daten übermittelt werden.

Aus diesem Grund habe ich in meinem 27. Tätigkeitsbericht unter Nr. 8.3.7 insbesondere Sozialbehörden auf die Nutzung dieses Portals zur Kommunikation mit Bürgerinnen und Bürgern hingewiesen.

Basierend auf den unterschiedlichen Registrierungsarten komme ich zu folgender Bewertung für die Kommunikation unter Zuhilfenahme des BayernPortals:

Registrierungsart eID-Funktion des Personalausweises oder elektronischen Aufenthaltstitels:

  • Schriftformersatz (digitale Unterschrift) ist möglich.
  • Identifikation und Authentifizierung: Die Identifikation und die Freischaltung der eID-Funktion erfolgt bei Ausstellung des Personalausweises beziehungsweise des elektronischen Aufenthaltstitels. Die elektronische Identität ist somit zuverlässig der echten Identität zugeordnet und damit auch nicht abstreitbar. Zudem ist davon auszugehen, dass die Person, die über den Personalausweis verfügt (physischer Besitz) und die zugehörige PIN kennt (Wissen), zu jeder Zeit im Verfahren empfangsberechtigt ist. Somit ist auch die korrekte Authentifizierung beim Anmeldeprozess sichergestellt.
  • Einsatz des Postfachs: Die Behörde kann über das Postfach des BayernPortals antworten, auch wenn dabei personenbezogene Daten übermittelt werden.

Registrierungsart Softwarezertifikat authega:

  • Schriftformersatz (digitale Unterschrift): Die Möglichkeit der digitalen Unterschrift hängt von den gesetzlichen Vorgaben ab. In Bayern wurde das Softwarezertifikat authega gemäß Zertifizierungsbekanntmachung-authega als schriftformersetzend zertifiziert. Für Verwaltungsvorgänge, die auf Bundesgesetzgebung basieren, ist eine derartige Zertifizierung bisher noch nicht erfolgt.
  • Identifikation und Authentifizierung: Die Authentifikation erfolgt bei Ausstellung des Zertifikates. Durch den Prozess der Ausstellung ist sichergestellt, dass die korrekte Person das Softwarezertifikat sowie das zugehörige Passwort erhält. Allerdings ist nicht abzustreiten, dass es Konstellationen geben kann, in denen sowohl Softwarezertifikat wie auch Passwort von unbefugten Personen verwendet werden können. So ist üblicherweise ein Softwarezertifikat auf einem Rechner gespeichert, wenn nicht sogar im Browser installiert. Somit kann es für Personen mit Zugriff auf den Rechner (Familienmitglieder oder andere Mitbewohner) sowie für Angreifer (etwa durch Hacking) verfügbar sein. Das zugehörige Passwort kann unsicher sein, unbemerkt abgegriffen ("gephisht") werden oder im Browser ungesichert gespeichert sein. Alle diese Faktoren liegen nicht im Einflussbereich der Behörde, sind aber dennoch bei der Bewertung der Sicherheit der Authentifizierung zu berücksichtigen.
  • Einsatz des Postfachs: Möchte eine Behörde Verfahren betreiben, bei denen eine Rückmeldung mit personenbezogenen Daten erfolgen soll, so sind in jeden Fall bei der Anmeldung zum Fachverfahren Sicherheitshinweise zu geben, so dass das notwendige Wissen vermittelt wird, um sicherzustellen, dass keine unberechtigte Person auf die Rückmeldung der Behörde zugreifen kann.

Registrierungsart Benutzername/Passwort:

  • Schriftformersatz (digitale Unterschrift) ist nicht möglich.
  • Identifikation und Authentifizierung: Die Registrierung mit Benutzername/Passwort erfolgt durch Angabe von einigen persönlichen Daten inklusive E-Mailadresse und Passwort. Eine Authentifikation erfolgt hierbei nicht, es wird lediglich die Existenz einer E-Mailadresse überprüft. Die Behörde kann also zu keiner Zeit sicher davon ausgehen, mit einem identifizierten Gegenüber zu kommunizieren.
  • Einsatz des Postfachs: Eine Antwort der Behörde mit personenbezogenen Daten ist nicht möglich. Folgende Szenarien sind unter anderem dennoch denkbar: Die Kommunikation zu allgemeinen Fragen ohne Übermittlung personenbezogener Daten seitens der Behörde; Anfrage des Bürgers, auch mit personenbezogenen Daten, die aber eine postalische Rückantwort an eine der Behörde bereits auf einem anderen Weg bekannte Adresse erfordert.

Im Berichtszeitraum besonders erfreulich zeigen sich Aktivitäten des Zentrum Bayern Familie und Soziales (ZBFS) zur Anbindung von Fachverfahren an die BayernID. So wurde das Fachverfahren zur Feststellung einer Schwerbehinderung an die BayernID angebunden. Damit kann das ZBFS nun auch elektronische Rückmeldung geben, falls Antragsteller über ein Konto mit eID-Registrierung verfügen. Des Weiteren können nun in einigen Fällen Anfragen über das Kontaktformular mit Nutzung der BayernID gestellt werden. Eine elektronische Antwort wird nur für Konten, die über eID registriert wurden, verschickt, anderenfalls wird die Antwort postalisch versandt.

Begrüßenswert ist, dass in dem zugrundeliegenden Projekt eine Architektur geschaffen wurde, um weitere Fachverfahren und Anwendungsfälle an die BayernID anzuschließen. Ich werte dies als eine deutliche Verbesserung bezüglich der Sicherheit der elektronischen Kommunikation und würde eine sichere Anbindung weiterer geeigneter Fachverfahren begrüßen.

12.2. Leitfaden zum Outsourcing kommunaler IT

IT-Outsourcing, also die Auslagerung von Aufgaben der eigenen IT-Abteilung an einen externen Dienstleister, wird heutzutage auch vermehrt von öffentlichen Stellen in Betracht gezogen. Auch Kommunen ziehen diese Möglichkeit immer häufiger in Erwägung. Da Kommunen auf Grund der Vielfalt der Tätigkeitsfelder auch eine Vielzahl an rechtlichen Regelungen zu beachten haben, habe ich mich dieses Themas angenommen und sowohl die rechtliche Einbettung wie daraus resultierende Anforderungen an den Auftragnehmer in Zusammenarbeit mit einer hierfür durch das Bayerischen Staatsministerium des Innern, für Sport und Integration eingerichteten Arbeitsgruppe erarbeitet. Sowohl rechtliche wie auch die technisch-organisatorische Details finden sich im Beitrag Nr. 7.2 dieses Tätigkeitsberichts. Die Veröffentlichung des vollständigen Kriterienkatalog auf meiner Webseite stand zum Redaktionsschluss dieses Tätigkeitsberichts kurz bevor.

12.3. Räumliche, personelle, technische und organisatorische Trennung zwischen Beauftragten der Staatsregierung und Staatsministerien

Die Bayerische Staatsregierung hat auf der Grundlage von Art. 1 Abs. 1 Satz 1 Bayerisches Beauftragtengesetz (BayBeauftrG) und Art. 15 Abs. 1 Bayerisches Integrationsgesetz für verschiedene Politikbereiche insgesamt acht Beauftragte ernannt, die für Themen wie Integrations-, Asyl- und Migrationspolitik, Patienten und Pflege oder die Belange von Menschen mit Behinderungen zuständig sind. Der nach Art. 33a Verfassung des Freistaates Bayern (im Folgenden: BV) vom Bayerischen Landtag zu wählende Bayerische Landesbeauftragte für den Datenschutz gehört nicht zu diesem Kreis von Beauftragten.

Die Beauftragten sind Beraterinnen und Berater der Staatsregierung, gehören ihr aber nicht an. Sie sollen die Staatsregierung unterstützen, indem sie in ihrem fachlichen Bereich Verbesserungsvorschläge erarbeiten, und Ansprechpartner für die Bürgerinnen und Bürger sein, die sich unbeschadet des verfassungsrechtlich verbürgten Petitionsrechts mit ihren Anliegen an die Beauftragten wenden können. Rechtlich und fachlich verantwortlich bleiben im jeweiligen Ressort aber die Staatsministerien (vgl. Art. 51 Abs.1, Art. 55 Nr. 5 bis 7 BV).

Zur Erfüllung der Aufgaben verfügt jede und jeder Beauftragte über eine gemäß Art. 3 Abs. 2 BayBeauftrG "auf das Notwendige beschränkte Geschäftsstelle", die in der Regel bei dem fachlich zuständigen Staatsministerium angesiedelt ist und die dort vorhandenen Ressourcen nutzt. Angesichts dieser organisatorischen Vorgaben sind ausschließlich in der Geschäftsstelle eingesetzte Beschäftigte die Ausnahme. Regelmäßig sind die Beschäftigten der Geschäftsstelle zugleich in einem entsprechenden Fachreferat des Staatsministeriums tätig.

Diesbezüglich erhielt ich eine Beschwerde hinsichtlich der Trennung von Aktenführung, IT-Systemen und insbesondere hinsichtlich der Tatsache möglicher Interessenkonflikte bei Beschäftigten, die nicht ausschließlich für die Beauftragte oder den Beauftragten tätig sind. Aus Datenschutzsicht waren folgende Hinweise veranlasst:

Gemäß Art. 1 Abs. 3 Satz 1 BayBeauftrG sind die Beauftragten trotz ihrer "Zuordnung" zu einem Staatsministerium eigenständige öffentliche Stellen im Sinne des Bayerischen Datenschutzgesetzes. Die Beschäftigten ihrer Geschäftsstellen sind in dieser Rolle den Beauftragten unterstellte Personen im Sinne von Art. 29 DSGVO. Als öffentliche Stellen dürfen die Beauftragten zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten (vgl. Art. 4 Abs. 1 BayDSG). Im Gegenzug sind sie für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich (vgl. Art. 3 Abs. 2 BayDSG).

Als datenschutzrechtlich Verantwortliche müssen die Beauftragten insbesondere eine eigene behördliche Datenschutzbeauftragte oder einen eigenen behördlichen Datenschutzbeauftragten benennen (dies kann auch die oder der behördliche Datenschutzbeauftragte des jeweiligen Staatsministeriums sein, vgl. Art. 37 Abs. 3 DSGVO) sowie für die Einhaltung der Anforderungen des technisch-organisatorischen Datenschutzes und der Vertraulichkeit personenbezogener Daten auch gegenüber dem Staatsministerium sorgen.

12.3.1. Allgemeine Vorgaben zur Vertraulichkeit personenbezogener Daten

Der Sicherung der Vertraulichkeit personenbezogener Daten dient vor allem Art. 1 Abs. 3 Satz 1 BayBeauftrG, der die Beauftragten selbst zur Verschwiegenheit verpflichtet.

Die Beauftragten müssen die Vertraulichkeit auch mit Blick auf ihre Geschäftsstellen gewährleisten. Insofern gilt zunächst, dass die den Beauftragten unterstellten Personen personenbezogene Daten nur nach deren Weisung verarbeiten dürfen (vgl. Art. 29, 32 Abs. 4 DSGVO). Die notwendigen Weisungen zum Umgang mit Vorgängen sollten die Beauftragten schon deshalb schriftlich erteilen, um der in Art. 5 Abs. 2 DSGVO geregelten Rechenschaftspflicht zu genügen, die Einhaltung datenschutzrechtlicher Vorgaben jederzeit nachweisen zu können.

Die Beschäftigten der Geschäftsstelle unterwirft Art. 11 BayDSG darüber hinaus dem Datengeheimnis, das auch nach dem Ende der Tätigkeit fortbesteht. Das Datengeheimnis verbietet es den Beschäftigten einer öffentlichen Stelle, personenbezogene Daten unbefugt zu verarbeiten. Der Begriff der Verarbeitung schließt insbesondere die Offenlegung personenbezogener Daten durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung ein (vgl. Art. 4 Nr. 2 DSGVO). Die Beschäftigten sollten über ihre datenschutzrechtlichen Verpflichtungen aufgeklärt werden (siehe auch mein 28. Tätigkeitsbericht 2018 unter Nr. 12.2). Dabei sollte insbesondere darauf hingewiesen werden, dass die Geschäftsstelle datenschutzrechtlich eine eigenständige öffentliche Stelle ist und das Datengeheimnis deshalb auch im Verhältnis zur sonstigen Tätigkeit im Staatsministerium gilt.

12.3.2. Technisch-organisatorische Maßnahmen der Beauftragten

Insbesondere zur Umsetzung der Vertraulichkeitsanforderungen sollten die Beauftragen in technisch-organisatorischer Hinsicht Folgendes berücksichtigen (Empfehlungen für Maßnahmen nach Art. 24 und 32 DSGVO):

12.3.2.1. Räumliche Trennung der Beauftragten innerhalb des Ministeriums

Den Beschäftigten des Beauftragten sollten während dieser Tätigkeit idealerweise eigene Räumlichkeiten zur Verfügung gestellt werden. Diese sollten beispielsweise durch eine eigene Schließanlage abgesichert werden.

12.3.2.2. Getrennte Papieraktenführung

Die Verwaltung und insbesondere Aufbewahrung der Papierakten von Personen, die sich an den Beauftragten gewandt haben, muss getrennt von den sonstigen Akten des Staatsministeriums, etwa in gesonderten, verschließbaren Schränken, erfolgen. Die Akten dürfen nur den Beschäftigten der Geschäftsstelle des Beauftragten zugänglich sein.

12.3.2.3. IT-Systeme

Sollen IT-Systeme wie beispielsweise die E-Akte des jeweiligen Staatsministeriums mitbenutzt werden, so ist eine Mandantentrennung oder die Umsetzung äquivalenter Schutzmaßnahmen erforderlich. Der technische Begriff "Mandant" und, eng damit verbunden, der Begriff der "Mandantenfähigkeit" eines IT-Systems kommt zum Tragen, wenn es Organisationen ermöglicht werden soll, Daten logisch beziehungsweise physikalisch zu trennen und zu verwalten. Der abgeschlossene Datenhaltungs- und Verarbeitungskontext einer im datenschutzrechtlichen Sinne verantwortlichen Stelle wird nachfolgend als Mandant bezeichnet, die getrennte Speicherung und Verarbeitung als Mandantentrennung. Ein Verfahren ist mandantenfähig, wenn es eine Mandantentrennung umsetzen kann.

In der Praxis sollte die Mandantentrennung zwischen fest definierten Organisationseinheiten oder Rollen vollzogen werden, wie beispielsweise Abteilungen oder bestimmten Personengruppen. Personenbezogene Daten, die von unterschiedlichen Verantwortlichen oder zu unterschiedlichen Zwecken erhoben und verarbeitet werden, sollten grundsätzlich getrennt verarbeitet werden, wie dies in Art. 5 Abs. 1 Buchst. b DSGVO gefordert ist. Die getrennte Verarbeitung betrifft sowohl die Speicherung als auch die Verarbeitungsfunktionen wie etwa Datenbanktransaktionen und Datensatzbuchungen.

Aus wirtschaftlichen oder organisatorischen Gründen kann es in begründeten Fällen sinnvoll sein, Ressourcen wie Hard- und Software für verschiedene Datenbestände gemeinsam zu nutzen. Voraussetzung hierfür ist, dass die Daten mandantenbezogen geführt und die Verarbeitungsfunktionen, die Zugriffsberechtigungen und die Konfigurationseinstellungen eigenständig je Mandant festgelegt werden können.

Aus technischer Sicht existieren unterschiedliche Ansätze zur Umsetzung der Mandantentrennung, beispielswiese:

  • Trennung in der Datenhaltung: In den eingesetzten Datenspeichersystemen werden die Daten der Mandanten getrennt voneinander vorgehalten. Der Zugriff sollte über mandantenspezifische Benutzerzugänge beziehungsweise Accounts erfolgen. Diese Trennung gilt ebenso für schriftlich geführte Akten. Außerdem muss auch die Datensicherung und Erstellung von Backups mandantenfähig umgesetzt werden. Idealerweise werden die Dienste für verschiedene Mandaten in logisch getrennten Bereichen gehalten.
  • Trennung der Umgebungen: Die Dienste gegenüber den Mandanten werden auf verschiedenen virtuellen oder physischen Systemen angeboten. Dabei müssen auch Berechtigungskonzepte zur Regelung des Zugriffs von personenbezogenen Daten erarbeitet werden.
  • Mandantenspezifische Verschlüsselung: Um einen unbefugten mandatenübergreifenden Zugriff zu verhindern, kommen kryptografische Verfahren mit individuellen Schlüsseln für verschiedene Mandanten zum Einsatz.
  • Applikationsseitige Trennung: Es wird auf Programmebene entschieden, welche Daten erhoben werden und für wen diese zugänglich sind. Den Benutzern werden jeweils nur die Daten angezeigt, die ihren Berechtigungen entsprechen.

Nicht alle Ansätze bieten das gleiche Maß an Sicherheit bezüglich der Datentrennung an. Bei einer rein applikationsseitigen Trennung kann beispielsweise eine Fehlkonfiguration von Berechtigungen leichter zu unbefugten Zugriffsmöglichkeiten führen als bei einer Trennung der Datenhaltung beziehungsweise der Umgebungen. Es ist daher vor der Umsetzung der Mandantentrennung zu prüfen, welche Variante dem Schutzbedarf der verarbeitenden Daten (insbesondere Gesundheits- und Sozialdaten) gerecht wird.

In jedem Fall sollte eine Trennung von Entwicklungs-, Test- und Produktivsystem erfolgen. Es sollten nur anonymisierte oder pseudonymisierte Testdaten für Software-Tests verwendet werden. Andernfalls sind für die Test- und Entwicklungsumgebungen die gleichen Schutzmaßnahmen anzuwenden wie für die Produktivsysteme.

12.4. Einsatz von Videokonferenzsystemen

Die Nutzung von Videokonferenzsystemen ist während der COVID-19-Pandemie auch im öffentlichen Bereich nicht mehr wegzudenken. Dabei können die Grundanforderungen an ein Videokonferenzsystem ganz unterschiedlich sein. Bei Online-Großveranstaltungen, wie etwa Vorlesungen an Hochschulen oder Webseminaren, müssen insbesondere viele teilnehmende Endgeräte performant und in bestimmten Funktionen zentral steuerbar (etwa bei der Deaktivierung der Mikrofone) vom Videokonferenzsystem verwaltet werden. In anderen Konstellationen hingegen sollen personenbezogene Daten mit einem besonderen Schutzbedarf, beispielsweise sensible Gesundheitsdaten bei einer Videokonferenz zwischen Ärztin oder Arzt und Patientin oder Patient oder nur unter medizinischem Personal und mit einer damit einhergehenden hohen Verfügbarkeitserwartung mittels Videokonferenz ausgetauscht werden.

Solche unterschiedlichen Einsatzbereiche haben nicht nur Auswirkung auf die technische Ausprägung von Videokonferenzsystemen, sondern auch auf datenschutzrechtliche Aspekte. Wie jede der 17 anderen deutschen Datenschutzaufsichtsbehörden werde auch ich in der alltäglichen Beratungspraxis mit unterschiedlichen Videokonferenzlösungen und Fragen zu deren datenschutzrechtlichen Zulässigkeit konfrontiert. In diesem Zusammenhang möchte ich insbesondere auf die Empfehlungen hinweisen, welche die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in ihrer "Orientierungshilfe Videokonferenzsysteme" gibt.

Die Auswahl eines bestimmten Videokonferenz-Produkts führt nicht schon zur datenschutzrechtlichen Zulässigkeit von Verarbeitungsvorgängen, die das Videokonferenzsystem als Betriebsmittel nutzen. Vor dem Hintergrund, dass eine bestimmte Videokonferenzlösung unterschiedlich betrieben, konfiguriert, gehandhabt und ganz unterschiedliche Kategorien von personenbezogenen Daten verarbeiten kann, ist nochmals hervorzuheben, dass der Einklang mit der Datenschutz-Grundverordnung nur mit dem datenschutzrechtlichen Dreiklang rechtmäßiger Zweck, tragfähige Rechtsgrundlage sowie rechtmäßige Art und Weise der Verarbeitung nachgewiesen werden kann.

Mit Blick auf die Rechtsgrundlage für eine Datenübermittlung ist besonders erwähnenswert, dass bei Datenübermittlungen in die USA oder andere Drittstaaten die Anforderungen des Kapitels V der DSGVO einzuhalten sind. Der Europäische Gerichtshof hat den Angemessenheitsbeschluss zum EU-US Privacy Shield für ungültig erklärt (siehe Beitrag Nr. 11.2.1). Dieser Regelungsrahmen steht daher als Instrument für die Sicherstellung eines angemessenen Schutzes in die USA übermittelter Daten nicht mehr zur Verfügung.

Aus diesem Grund empfehle ich derzeit die Nutzung von Videokonferenzprodukten US-amerikanischer Anbieter sorgfältig zu prüfen. Dies gilt auch, wenn Vertragspartnerin eine europäische Tochtergesellschaft ist.

Im Fall, dass ein Videokonferenzsystem durch einen Auftragsverarbeiter betrieben wird, ist mit ihm ein Auftragsverarbeitungsvertrag abzuschließen, der die Anforderungen des Art. 28 DSGVO erfüllt. Unklarheiten im Auftragsverarbeitungsvertrag sind daher regelmäßig Ausschlusskriterium für die Nutzung des jeweiligen Anbieters.

Ob die Art und Weise der Verarbeitung mit Hilfe eines Videokonferenzsystems in einer betrachteten Konstellation rechtskonform erfolgt, kann erst nach Erstellung einer datenschutzrechtlichen Risikoanalyse beurteilt werden.

Wie ich bereits anhand der Risikoanalyse im Kontext der Datenschutz-Folgenabschätzung dargelegt habe (siehe Beitrag Nr. 12.8), besteht eine Risikoanalyse mindestens aus den Bestandteilen Schwachstelle, Risikoquelle, Risikoszenario, technisch und organisatorische Maßnahmen sowie die Bewertung des Ausgangs- und des Restrisikos.

Generell hat bei der Bereitstellung von Kommunikationsmitteln die jeweils einsetzende bayerische öffentliche Stelle darauf zu achten, dass der Einsatz datenschutzkonform erfolgt. Denn öffentliche Stellen sind in besonderem Maße Recht und Gesetz verpflichtet. Daher sollten sie ein Vorhaben nicht nur bei allgemein erwiesener Unzulässigkeit unterlassen, sondern bereits bei offenen datenschutzrechtlichen Fragen, die sie selbst nicht rechtssicher ausräumen können.

12.5. Löschung von Datenkopien aus Backup-Systemen

Nach Art. 17 Abs. 1 Buchst. a DSGVO sind personenbezogene Daten zu löschen, wenn sie für den ursprünglichen Verarbeitungszweck nicht mehr notwendig sind. Zum Thema Löschung von personenbezogenen Daten habe ich mich in meinen Tätigkeitsberichten bereits mehrfach im Hinblick auf unterschiedliche fachliche Zusammenhängen geäußert (siehe 29. Tätigkeitsbericht 2019 unter Nr. 3.2 und 18. Tätigkeitsbericht 1998 unter Nr. 3.3.3, Nr. 7.2.1.1, Nr. 7.2.4 sowie Nr. 8.1). Diese Thematik wurde nun durch die Fragestellung erweitert, wie die Löschung von Datenkopien, die in Backup-Systemen ausschließlich der Datensicherung dienen, in zeitlicher Hinsicht erfolgen muss.

Der Begriff "Löschung" wird in der Datenschutz-Grundverordnung nicht näher definiert. Das bisherige deutsche Datenschutzrecht verstand darunter das "Unkenntlichmachen gespeicherter Daten" (vgl. § 3 Abs. 4 Nr. 5 Bundesdatenschutzgesetz in der bis zum 24. Mai 2018 geltenden Fassung). Somit hat ein datenschutzrechtlicher Löschvorgang eines bestimmten personenbezogenen Datums die Folge, dass dieses nach der Löschung in den Dateisystemen, die dem betroffenen Verantwortlichen zurechenbar sind, weder vorhanden ist noch wiederhergestellt werden kann. Diese Anforderung trifft folglich nicht nur den aktiven produktiven Datenbestand, sondern auch die Datenkopien, die in Backup-Systemen aus Verfügbarkeitsgründen (vgl. Wiederherstellungsanforderung in Art. 32 Abs. 1 Buchst. c DSGVO) verarbeitet werden. Da eine zeitgleiche Löschung des aktiven personenbezogenen Datums und seiner im Backup-System gespeicherten Kopie oftmals insbesondere aus technischen Gründen nicht zeitgleich, sondern nur zeitversetzt möglich ist, stellt sich die Frage, wie die datenschutzrechtliche Forderung mit dem derzeit technisch sowie organisatorisch Möglichen in Einklang gebracht werden kann.

Nach Erwägungsgrund 26 DSGVO dürfen gelöschte personenbezogene Daten nicht oder nach allgemeinem Ermessen nur mit geringer Wahrscheinlichkeit wiederherstellbar sein. Das bedeutet in der betrachteten Konstellation, dass nach der datenschutzrechtlichen Löschung von Daten im Primärsystemen diese nun nicht mehr vorhandenen personenbezogenen Daten nur mit geringer Wahrscheinlichkeit durch eine Kopie aus dem Backup-System (Reliktdaten) im gerade genannten Sinn wiederherstellbar sein dürfen. Idealerweise sollte daher bei der Neukonzeption von IT-Systemen die Anforderungen einer zeitgleichen Löschung von Daten aus dem Backup mit berücksichtigt werden.

Sollte eine zeitgleiche Löschung trotz Berücksichtigung aller relevanten Schutzmaßnahmen nach Art. 32 DSGVO, also insbesondere nach dem aktuellen Stand der Technik und Organisation nicht möglich sein, ist dies entsprechend zu begründen. Diese dokumentierte Begründung muss auch die umgesetzten Schutzmaßnahmen enthalten oder auf diese verweisen, die ergriffen wurden, damit eine zeitlich verzögerte Löschung der Reliktdaten nur mit geringer Wahrscheinlichkeit zur Reproduzierbarkeit der aus dem Primärsystem gelöschten Daten führen kann.

Im Ergebnis darf die Löschung der Datensicherungskopie nur bei kumulativer Erfüllung folgender Anforderungen zeitlich verzögert von der Löschung des entsprechenden personenbezogenen Datums im Primärsystem erfolgen:

  • Technische Unmöglichkeit oder Unzumutbarkeit: Bei dem betroffenen Backup-System ist aus Sicht eines verständigen Betrachters oder einer verständigen Betrachterin nachvollziehbar die gleichzeitige Löschung der Datensicherungskopie technisch nicht möglich oder im Hinblick auf den vorliegenden Schutzbedarf der personenbezogenen Daten unverhältnismäßig aufwändig.
  • Löschfrequenz im Backup-System: Die Wiederholungsfrequenz der allgemeinen Löschung sowie gegebenenfalls außerordentliche Löschungen nicht mehr benötigter Datensicherungskopien richtet sich im Backup-System nach dem Schutzbedarf der betroffenen personenbezogenen Daten. Die umgesetzte Löschstrategie für die Datensicherungskopien im Backupsystem wird in Form eines Datensicherungskonzeptes nachgewiesen. Dieses Konzept enthält insbesondere auch wichtige Aspekte zum datenschutzrechtlichen Grundsatz der Erforderlichkeit, wie etwa das zum Einsatz kommende Sicherungsverfahren (zum Beispiel vollständig, differenziell, inkrementell, Spiegelung) und das gegebenenfalls verwendete Generationenprinzip. Erläuterungen hierzu und weitergehende Informationen sind etwa in den "Umsetzungshinweisen zum Baustein CON.3 Datensicherungskonzept" des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu finden.
  • Verfügbarkeit nur mittels Wiederherstellung: Es ist hinreichend sichergestellt, dass die Datensicherungskopien ausschließlich über die vorgesehene Wiederherstellungsfunktionalität aus dem Backup-System ausgelesen werden können. Zur Absicherung der ausschließlichen Verwendung dieser Wiederherstellungsfunktion sind geeignete Schutzmaßnahmen umzusetzen, wie insbesondere der Einsatz kryptografischer Verfahren für die Datensicherungskopien im Backup-System (vgl. Art. 32 Abs. 1 Buchst. a DSGVO und den Punkt "CON.3.A13 Einsatz kryptografischer Verfahren bei der Datensicherung" aus dem IT-Grundschutz-Baustein "CON.3 Datensicherungskonzept" des Bundesamts für Sicherheit in der Informationstechnik).
  • Löschung bei Wiederherstellung: Bei jeder Wiederherstellung von Daten aus dem Backup-System muss gewährleistet sein, dass alle Daten, die im Primärsystem aus Datenschutzgründen bereits gelöscht wurden (Reliktdaten), nicht wiederhergestellt oder - falls technisch nicht anders möglich - so nach der Wiederherstellung wieder gelöscht werden, so dass ihre rechtswidrige Verarbeitung ausgeschlossen ist.
  • Dokumentation und Umsetzungsnachweis: Der Verarbeitungsvorgang "Backup-System verwenden" ist geeignet zu dokumentieren und dessen wirksame Umsetzung nachzuweisen. Dabei ist insbesondere darauf zu achten, dass jede Wiederherstellung von Daten unter Angabe des Wiederherstellungsgrundes und der gegebenenfalls rechtzeitig durchgeführten Löschung von Reliktdaten dokumentiert wird.

12.6. Altsysteme und veraltete Softwarearchitekturen

Viele in öffentlichen Stellen genutzte Fachverfahren haben eine sehr lange Einsatz- und Lebensdauer, nicht zuletzt aufgrund des großen Aufwands für die Einführung neuer Software sowohl für den Anbieter als auch für die Nutzerinnen und Nutzer. Dies führt dazu, dass in der Zwischenzeit veraltete Programmiersprachen, Softwarekomponenten und architekturen zum Einsatz kommen, die Sicherheitslücken bezüglich aktueller Angriffsszenarien aufweisen. Zudem stellt insbesondere für die Fehlerbehebung und Wartung die Rekrutierung geeigneter Beschäftigter ein Problem dar.

Im aktuellen Prüfzeitraum wurde mir ein Angriffsszenario auf Software für Fachverfahren gemeldet, die noch auf einer Zwei-Schichten-Architektur (klassische Client-Server-Architektur) basiert. Bei dieser Architektur übernimmt der Client sowohl die Darstellung der Benutzerschnittstelle als auch die Logik der Anwendung, das heißt unter anderem die Steuerung des Datenbankzugriffs. Dadurch entsteht das Risiko, dass clientseitig Sicherheitsmaßnahmen wie beispielsweise das Berechtigungskonzept umgangen und Seitenkanäle geöffnet werden können. Bei Drei-Schichten-Architekturen übernimmt diese Funktion eine eigene Logik-Schicht (Middleware), so dass eine Umgehung der Sicherheitsmaßnahmen durch den Client nicht mehr möglich ist, sondern alle Zugriffe nur noch über die Middleware als zentrale Stelle gesteuert werden.

Letztendlich sollten die betroffenen Fachverfahren vom Anbieter zeitnah auf eine Drei-Schichten-Architektur gehoben werden. Der Aufwand für derartige Umstellungen ist hierbei nicht unerheblich. In dem oben erwähnten konkreten Fall musste nicht nur von Seiten des Herstellers die Software angepasst werden, für den Übergangszeitraum mussten auch zahlreichen Hilfsmaßnahmen entwickelt, umgesetzt und an die Nutzer der Software kommuniziert werden, so dass hierdurch umfangreich Ressourcen gebunden wurden. Zudem muss sichergestellt sein, dass die nutzenden Stellen entsprechende Updates auch zeitnah einspielen, um die Sicherheitslücken auch vor Ort zu schließen.

Im Baustein OPS.1.1.3 "Patch- und Änderungsmanagement" des IT-Grundschutzkompendiums des Bundesamts für Sicherheit in der Informationstechnik wird bereits in der Einleitung dargestellt, wie wichtig es ist, die Komponenten der Informationstechnik aktuell zu halten. Dies begründet das BSI mit der immer schneller werdenden Entwicklung in der Informationstechnik. Der Baustein beschränkt sich zwar auf Systeme und Anwendungen, zu denen Patches und Änderungen von Herstellern bereitgestellt werden. Die schnelle Fortentwicklung der Informationstechnik begründet aber auch, dass Systeme oder Anwendungen, die angepasst an den eigenen Bedarf oder den einer Kundengruppe entwickelt werden, ebenfalls regelmäßig darauf überprüft werden müssen, ob die eingesetzten Technologien noch auf dem Stand der Technik sind.

Wie bereits erwähnt, können im Verlauf des Nutzungszeitraums der Software Angriffsmöglichkeiten bekannt geworden sein, so dass nachträglich Sicherheitsmechanismen installiert werden müssen, die den Angriffsvektor schließen. Ob dies vollumfänglich möglich ist, hängt von vielen Faktoren ab, die unter Umständen vom Nutzer nicht zu beeinflussen sind.

Neben der Sicherheit stellt aber auch die Umsetzung neuer Anforderungen an Systeme eine Herausforderung dar. So entstanden beispielsweise im Zuge der Datenschutzreform zusätzliche Anforderungen bezüglich der Betroffenenrechte oder der Rechenschaftspflichten von Seiten des Verantwortlichen.

In diesem Zusammenhang empfehle ich sowohl den Herstellern von Fachverfahren als auch öffentlichen Stellen, die selbst Software entwickeln oder auch im Auftrag entwickeln lassen, regelmäßig zu prüfen, ob die eingesetzten Technologien noch dem Stand der Technik entsprechen. Zudem sollte eine rechtzeitige Auseinandersetzung mit der Notwendigkeit einer Neu- oder Weiterentwicklung erfolgen.

Zusätzlich sollten insbesondere Altsysteme und anwendungen, die noch nicht aktualisiert oder ausgetauscht werden konnten, im besonderen Fokus von regelmäßigen Penetrationstests stehen, um neu entstandene Angriffsszenarien schnellstmöglich erkennen und Gegenmaßnahmen einleiten zu können. Desweiteren muss regelmäßig geprüft werden, ob im Rahmen des Betriebs des Altverfahrens zusätzliche Sicherheitsmaßnahmen ergriffen werden können, die die bestehenden Risiken und Gefährdungen abschwächen können ("Workaround"). Hierfür bietet sich beispielsweise die Virtualisierung von Arbeitsplätzen an.

12.7. Sicherheitslücken in Lernplattform

Bezüglich der Lernplattform "mebis" wurde ich von einem Bürger auf mehrere möglicherweise sicherheitskritische Schwachstellen der Webanwendung hingewiesen. Er gab an, diese bereits vor einiger Zeit an den Verantwortlichen gemeldet zu haben, eine Behebung sei aber noch nicht erfolgt. Durch eigene Tests konnte das Bestehen der Lücken bestätigt werden.

Um die Schwachstellen möglichst zeitnah zu beheben, informierte ich das Landesamt für Sicherheit in der Informationstechnik, das umgehend Sicherheitsmaßnahmen zur Abmilderung der Lücken ergriff. Zeitnah wurden dann auch vom Bayerischen Staatsministerium für Unterricht und Kultus die Sicherheitslücken schrittweise behoben.

Dies zeigt erneut, wie wichtig es ist, dass Verantwortliche insbesondere auch schon länger im Betrieb befindliche Webanwendungen in regelmäßigen Abständen auf Sicherheitslücken prüfen, damit diese möglichst gefunden und behoben werden können, bevor potentielle Angreifer sie ausnutzen. Auch sollte Hinweisen auf mögliche sicherheitsrelevante Schwachstellen eine hohe Priorität eingeräumt werden.

12.8. Umsetzung einer Datenschutz-Folgenabschätzung (DSFA)

Immer mehr bayerische öffentliche Stellen führen eine Datenschutz-Folgenabschätzung (DSFA) in den für sie relevanten Verarbeitungsbereichen durch. Die in Art. 35 DSGVO geregelte Datenschutz-Folgenabschätzung (dazu bereits mein 28. Tätigkeitsbericht 2018 unter Nr. 3.1.3 sowie mein 29. Tätigkeitsbericht 2019 unter Nr. 12.2) ist ein Verfahren, in welchem Risiken aus Blick des Datenschutzes strukturiert ermittelt und bewertet sowie risikoreduzierende Gegenmaßnahmen festgelegt und wirksam umgesetzt werden.

Die Datenschutz-Grundverordnung selbst gibt mit den relativ abstrakt formulierten Anforderungen an die DSFA keine Antworten auf wichtige Methodenfragen und konkrete Vorgehensschritte. Die Entscheidung für eine bestimmte DSFA-Methode, die dann auch praxisgerecht durchführbar ist, ist für den einen oder anderen Verantwortlichen noch mit Schwierigkeiten verbunden. Zwar finden sich in der Literatur immer häufiger Fundstellen hierzu. Aus Praxissicht sind diese Hinweise aber oft noch sehr theorielastig und bieten keine anschaulichen Beispiele.

Da eine veröffentlichte DSFA oder auch nur veröffentlichte Ausschnitte einer DSFA immer noch recht schwer zu finden sind, werden die von mir publizierten Arbeitshilfen, die einzelne DSFA-Arbeitsschritte anhand von konkreten Beispielen veranschaulichen und erleichtern, als Arbeitsgrundlage von bayerischen öffentlichen Stellen und weiteren Einrichtungen gerne angenommen. Dabei hilft die darin enthaltene Fokussierung auf das Wesentliche und die Konkretisierung der Mindestanforderungen an eine DSFA.

Die von mir empfohlene Methode, die auf bereits Bestehendes und Anerkanntes Bezug nimmt und dieses kombiniert, erscheint in der Praxis als ausreichend verständlich, flexibel und skalierbar. So dienen meine Empfehlungen bereits als Basis für die DSFA von einfacheren und komplexeren folgenabschätzungspflichtigen Verarbeitungsvorgängen sowie als Grundlage für eine gesetzliche DSFA nach Art. 14 Abs. 1 Nr. 2 BayDSG.

Auf entsprechende Nachfragen hin habe ich diesen "Werkzeugkasten" nun um ein weiteres Formular ergänzt, mit dessen Hilfe die Durchführung einer DSFA-Erforderlichkeitsprüfung dokumentiert und nachgewiesen werden kann. Die DSFA-Erforderlichkeitsprüfung ist eine notwendige Vorprüfung, die nicht mit der eigentlichen Durchführung einer DSFA verwechselt werden darf.

Wie in der Orientierungshilfe "Datenschutz-Folgenabschätzung" ausführlich dargestellt, muss das Ergebnis dieser Erforderlichkeitsprüfung insbesondere auch dann dokumentiert werden, wenn der Verantwortliche zu der Auffassung gelangt, dass ein Verarbeitungsvorgang nicht folgenabschätzungspflichtig ist.

Die Bereitstellung von Arbeitshilfen ist eine Möglichkeit, die Durchführung einer DSFA zu erleichtern. Weitere Synergiepotenziale könnten genutzt werden, wenn durchgeführte DSFA-Beispiele in geeigneter Art und Weise durch den jeweiligen Verantwortlichen publiziert werden würden. Denn ist eine DSFA erforderlich, kann eine weitere DSFA-Durchführung im Einzelfall insbesondere dann unterbleiben, falls eine DSFA für einen ähnlichen Verarbeitungsvorgang mit ähnlich hohen Risiken bereits vorhanden ist (Art. 35 Abs. 1 Satz 2 DSGVO). Der Verantwortliche hat diese Voraussetzungen zu prüfen. Das Ergebnis der Prüfung, einschließlich einer Begründung für den Verzicht auf die Durchführung einer weiteren DSFA, ist zu dokumentieren. Ist die Voraussetzung des Art. 35 Abs. 1 Satz 2 DSGVO erfüllt, kann der Verantwortliche die vorhandene, bereits durchgeführte DSFA auch für seinen geplanten Verarbeitungsvorgang mit gegebenenfalls unwesentlichen Anpassungen übernehmen.

Zudem kann nach Art. 14 BayDSG die Durchführung einer weiteren DSFA durch den Verantwortlichen unterbleiben, soweit

  • eine solche für den Verarbeitungsvorgang bereits vom fachlich zuständigen Staatsministerium oder einer von diesem ermächtigten öffentlichen Stelle durchgeführt wurde und dieser Verarbeitungsvorgang im Wesentlichen unverändert übernommen wird (Art. 14 Abs. 1 Nr. 1 BayDSG),
  • ein automatisiertes Verfahren, das zum Einsatz durch öffentliche Stellen bestimmt ist, durch eine öffentliche Stelle (zum Beispiel die Anstalt für Kommunale Datenverarbeitung in Bayern - AKDB) entwickelt wurde, die entwickelnde Stelle eine DSFA durchgeführt hat und das Verfahren im Wesentlichen unverändert übernommen wird (Art. 14 Abs. 2 BayDSG), oder
  • der konkrete Verarbeitungsvorgang in einer Rechtsvorschrift geregelt ist und im Rechtsetzungsverfahren bereits eine DSFA erfolgt ist, es sei denn, dass in der Rechtsvorschrift etwas anderes bestimmt ist (Art. 14 Abs. 1 Nr. 2 BayDSG).

Durch die Regelungen des Art. 14 BayDSG und Art. 35 Abs. 1 Satz 2 DSGVO entfällt also nicht das Erfordernis einer DSFA als solches. Vielmehr wurde diese bereits im Gesetzgebungsverfahren (Art. 14 Abs. 1 Nr. 2 BayDSG) beziehungsweise durch eine andere Stelle (Art. 14 Abs. 1 Nr. 1, Abs. 2 BayDSG) durchgeführt, oder es kann eine DSFA für einen ähnlichen Verarbeitungsvorgang mit ähnlich hohen Risiken verwendet werden (Art. 35 Abs. 1 Satz 2 DSGVO). Eine weitere DSFA durch den Verantwortlichen kann somit unterbleiben, wenn dieser eine bereits entsprechend durchgeführte DSFA "als eigene" übernimmt.

12.9. Best-Practice-Prüfkriterien zur Cybersicherheit für medizinischeEinrichtungen

Auch in diesem Berichtszeitraum nahm die Zahl der Angriffe mit Schadsoftware auf öffentliche Stellen weiter zu. Gerade Angriffe auf Gesundheitseinrichtungen in Zeiten der Pandemie zeigen, wie wichtig es ist, hier ausreichende technische und organisatorische Sicherheitsmaßnahmen umzusetzen. Grundlegendes hierzu habe ich bereits meinem 29. Tätigkeitsbericht unter Nr. 12.3 dargestellt.

Zudem haben der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht gemeinsam eine Checkliste mit Best-Practice-Maßnahmen zur Sicherstellung der Verfügbarkeit bezüglich Cyberattacken in medizinischen Einrichtungen erstellt. Diese ist auf meiner Homepage abrufbar.

Diese Handreichung ermöglicht einen Überblick über einige Praxismaßnahmen zur Cybersicherheit für medizinische Einrichtungen - inklusive eines Themenblocks speziell für Labore - entsprechend den geltenden gesetzlichen Datenschutzvorgaben. Im Sinne einer gezielten Prävention soll damit eine gesteigerte Sensibilisierung für sicherheitsrelevante Themen erreicht und aktiv ein störungsfreier Betrieb dieser Einrichtungen unterstützt werden. Der Fokus des Dokuments liegt auf der Verfügbarkeit der Daten und Dienste bezüglich Angriffen aus dem Internet und weniger auf deren Vertraulichkeit und Integrität, die aus Datenschutzsicht jedoch ebenfalls zu beachten sind. Die aufgeführten Maßnahmen sind nicht als abschließend zu betrachten, sondern stellen einen Best-Practice-Ansatz dar, der einen effektiven Schutz gegen aktuelle Cybersicherheitsbedrohungen unterstützen kann.

12.10. Meldungen von Verletzungen des Schutzes personenbezogener Daten

Die Zahl der Meldungen nach Art. 33 DSGVO ist auch in diesem Berichtszeitraum weiterhin steigend und zeigt, dass die bayerischen öffentlichen Stellen die gesetzlichen Pflichten dahingehend ernst nehmen. Erfreulich ist zudem, dass diese beinahe ausschließlich über das Online-Formular auf meiner Homepage unter https://www.datenschutz-bayern.de abgegeben wurden und lediglich eine geringe Zahl an Meldungen über einen anderen Weg einging.

Ein großer Anteil von Meldungen lässt sich auch dieses Mal wieder auf Bereiche zurückführen, in denen sensible medizinische Daten oder Sozialdaten verarbeitet werden. Bedauerlicherweise handelt es sich zum Großteil um die gleichen Probleme, die ich schon in meinem letzten Tätigkeitsbericht dargestellt habe:

Datenfehlübermittlungen

Die Hauptlast der gemeldeten Datenpannen betraf die Thematik, dass Daten oder Unterlagen per Postversand oder auch elektronisch unbeabsichtigt an unberechtigte Empfänger übermittelt wurden.

Papierversand

Diesen Vorfällen lagen meist eine unkorrekte Adressierung und eine fehlerhafte Zusammenstellung oder falsche Kuvertierung von Unterlagen zugrunde, sowohl durch fehlerhafte Konfiguration von Kuvertiermaschinen als auch bei der händischen Zusammenstellung. Dies fiel insbesondere häufiger in Krankenhäusern auf, wenn den Patientinnen oder Patienten Unterlagen mitgegeben wurden.

Falscheingabe der Telefaxnummer

Zu meinem Leidwesen nahmen in diesem Berichtszeitraum Meldungen eines unsachgemäßen Versands von vertraulichen Unterlagen an unberechtigte Empfängerinnen und Empfänger über Telefax nicht ab. An dieser Stelle möchte ich weiterhin betonen, dass gerade für die Übermittlung sensibler Daten wie Gesundheits- oder Sozialdaten der Telefaxversand lediglich in Ausnahmefällen, und wenn, dann exakt und kontrolliert, genutzt werden sollte. Ferner sollte stets geprüft werden, ob nicht auch ein alternatives Kommunikationsmedium zur Verfügung steht und eine verschlüsselte elektronische Übersendung der Daten möglich ist.

(Unverschlüsselte) E-Mails an falsche Adressaten

Ebenso blieb die fehlerhafte Adressierung von E-Mail ein leidiges Thema. Hierbei trat häufiger das Problem auf, dass bei der Eingabe der E-Mail-Adresse nicht ausreichend überprüft wurde, ob es sich tatsächlich um die gewünschte Empfängerin oder den gewünschten Empfänger handelte (beispielsweise "Autovervollständigen"). Dadurch wurden die E-Mails an falsche Empfängerinnen und Empfänger versandt. Hinzu kommt die Problematik, dass E-Mails mit sensiblen Inhalten unverschlüsselt über das Internet verschickt wurden, wenn die eigentlich vorgesehene Empfängerin oder der eigentlich vorgesehene Empfänger eine andere Beschäftigte oder ein anderer Beschäftigter der öffentlichen Stelle war.

"cc" statt "bcc"

Obwohl schon vielfach darauf hingewiesen, kommt es auch weiterhin beim elektronischen Versand von Unterlagen an mehrere Adressatinnen und Adressaten zu einem Versand per "cc", so dass jeweils alle Empfängerinnen und Empfänger Kenntnis der E-Mail-Adressen aller vom Verteiler umfassten Personen erhalten haben. Dies ist insbesondere kritisch zu sehen, wenn es sich dabei nicht um dienstliche E-Mail-Adressen handelt. Wie zuletzt in meinem 27. Tätigkeitsbericht unter Nr. 2.1.3 hinreichend erläutert, lässt sich diesem Umstand ohne zusätzlichen Aufwand dadurch begegnen, dass bei der Eingabe in den Header der E-Mail das "bcc"-Feld anstelle des "cc"-Feldes verwendet wird.

Hackerangriffe, Schadsoftware oder Systemausfälle

Zu meinem Bedauern blieben auch weiterhin Behörden, Kliniken, Universitäten und andere öffentliche Stellen von Hackerangriffen, Schadsoftware oder Systemausfällen nicht verschont. Gerade kleinere öffentliche Stellen wie Gemeinden oder freiwillige Feuerwehren sind zunehmend von Schadsoftware betroffen. Wie die Meldungen auch zeigen, sind die Ausfall- und Bereinigungszeiten bei einem Schadcodebefall sehr unterschiedlich.

Dass manche öffentliche Stellen gegenüber dem Angriff durch die feindliche Schadsoftware besser aufgestellt waren als andere und nur wenig bis gar keine Ausfallzeiten hatten, beruhte hauptsächlich auf zwei Gründen: Zum einen standen ihnen geschulte und sicherheitsbewusste Mitarbeiterinnen und Mitarbeitern zur Verfügung, die E-Mail-Eingänge bei Unklarheiten durch Nachfrage bei einer (angeblichen) Absenderin oder einem (angeblichen) Absender auf deren Korrektheit überprüften und keine ausführbaren Anhänge ohne Verifikation öffneten. Zum anderen verfügten sie über eine funktionstüchtige Basis-IT, in deren Sicherheit investiert wurde. Wie bereits in meinem 29. Tätigkeitbericht 2019 unter Nr. 12.3 dargestellt, sollte in jedem Fall die Verwendung von aktuellen Betriebssystemversionen, das Einspielen von Sicherheitsupdates sowie der Einsatz von aktueller Virenschutzsoftware sichergestellt sein und eine Netzwerksegmentierung unterstützt werden, um gefährdete Bereiche abzuschotten. Zudem müssen Maßnahmen hinsichtlich des Umgangs mit E-Mails und der Internet-Nutzung ergriffen werden.

Um gegenüber Verschlüsselungstrojanern gut aufgestellt zu sein, sind eine gut funktionierende Back-Up-Lösung und Notfallpläne zwingend notwendig.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zum Thema Cyber-Sicherheit einen umfassenden und regelmäßig aktualisierten Themenkatalog auf seiner Homepage veröffentlicht.

Bei einem Befall mit Schadsoftware rate ich dringend, das Bayerische Landeskriminalamt für weitere Ermittlungen einzuschalten. Ebenso empfiehlt es sich, das Bayerische Landesamt für Sicherheit in der Informationstechnik von den Vorfällen in Kenntnis zu setzen.

"Neugierzugriffe"

Eine weitere Problematik trat durch die COVID-19-Pandemie verschärft hervor, nämlich sogenannte Neugierzugriffe durch Beschäftigte in Krankenhäusern auf Patientenakten, insbesondere von Verwandten und anderen Personen aus dem sozialen Umfeld. Im Berichtszeitraum ging eine erhöhte Zahl von Meldungen solcher Datenschutzverstöße bei mir ein. Die Bandbreite dieser Verstöße reichte von Meldungen über Beschäftigte, die unberechtigt über das Krankenhausinformationssystem auf Daten von Kolleginnen oder Kollegen zugegriffen hatten, bis hin zu Meldungen über Beschäftigte, die aus Sorge um Angehörigen handelten, die Patientinnen oder Patienten in ihrer Einrichtung waren.

Auch wenn ich die Sorgen und Absichten der Beschäftigten verstehe, möchte ich dennoch darauf hinweisen, dass Datenzugriffe durch Personal in Krankenhäusern nur dann erfolgen dürfen, wenn dies für dienstliche Zwecke wie beispielsweise im Rahmen einer Heilbehandlung erforderlich ist. Ein Zugriff aus familiären oder freundschaftlichen Gründen fällt nicht hierunter, selbst wenn die "ausgeforschte" Person (im Nachhinein) ihre Zustimmung zu gegeben hat. In allen Fällen wurden dienstliche Verwarnungen oder Abmahnungen an die betreffenden Beschäftigten ausgesprochen.

Gerade in Krisenzeiten wird offenkundig, ob das Personal im Vorfeld genügend für den Datenschutz sensibilisiert worden ist und die Datenschutzthemen auch im täglichen Berufsalltag umsetzt. Deshalb sind Datenschutzschulungen und ein funktionstüchtiges Datenschutzmanagement die Basis für eine funktionierende Zusammenarbeit innerhalb der Organisation.

12.11. Beanstandungen wegen technisch-organisatorischer Mängel

12.11.1. Beanstandung nach unbeabsichtigtem Versand einer Bewerberdatei

Eine Beanstandung betraf den Versand von Bewerberdaten. Mittels E-Mail mit unverschlüsseltem Dateianhang wurden personenbezogene Daten von mehr als tausend Bewerbern für die Warteliste der Gymnasiallehrkräfte an hunderte unbefugte Empfängerinnen und Empfänger übermittelt.

Bei dem Dateianhang handelte es sich um ein Excel-Dokument, das unter anderem die jeweils unterrichteten Fächerkombinationen der Bewerberinnen und Bewerber enthielt. Diese Liste sollte im Hinblick auf die Vergabe von weiteren Beschäftigungsmöglichkeiten zur internen Verwendung genutzt werden.

Beabsichtigt war, die auf der Warteliste stehenden Personen über die noch bestehenden Personallücken und die Möglichkeit der Anstellung mit einem Aushilfsvertrag an einer Förderschule zu informieren. Tatsächlich wurde die Liste dabei dann versehentlich als Anhang mit versandt.

Der Versand erfolgte blockweise für jeweils 50-150 Empfängeradressen ohne Verwendung der "bcc"-Funktion.

Insbesondere da das Anhängen der Excel-Datei versehentlich erfolgte, wurde dementsprechend keine Verschlüsselung der E-Mails vorgenommen.

Es handelte sich aus technisch-organisatorischer Sicht unter mehreren Gesichtspunkten um einen Datenschutzverstoß:

  • Durch den Versand mittels mit "cc" anstatt "bcc" wurden alle Empfängeradressen der E-Mail den anderen Empfängern bekannt.
  • Durch den unbeabsichtigten Anhang der Excel-Datei erfolgte ein Versand von Daten an unberechtigte Empfänger.
  • Durch den unverschlüsselten Versand hätte deren Inhalt grundsätzlich von allen technisch zwischen Sender und Empfänger liegenden Zwischenstationen des E-Mail-Versandes eingesehen werden können.
  • Zudem hätten vom Empfänger genutzte Dienstanbieter möglicherweise die Daten einsehen oder auswerten können.

Von Seiten der verantwortlichen Stelle wurden insbesondere der Grundsatz der Vertraulichkeit der Kommunikation Art. 5 Abs. 1 Buchst. f in Verbindung mit Art. 32 Abs. 1 Buchst. b DSGVO nicht beachtet.

Zugleich verstieß der Versand gegen die besonderen beamtenrechtlichen Datenschutzregeln. Gemäß Art. 103 Satz 1 Nr. 1 Bayerisches Beamtengesetz (BayBG) darf der Dienstherr personenbezogene Daten über Bewerber und Bewerberinnen sowie aktive und ehemalige Beamte und Beamtinnen nur verarbeiten, soweit dies zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist. Sollen die Daten für andere Zwecke verarbeitet werden, erfordert dies regelmäßig eine Einwilligung der betroffenen Person (vgl. § 50 Satz 4 Beamtenstatusgesetz - BeamtStG). Dieser Maßstab gilt auch für vertraglich beschäftigte Personen im öffentlichen Dienst (vgl. Art. 145 Abs. 2 BayBG).

Der Versand der Tabelle erfüllt die Voraussetzungen einer Verarbeitung im Sinne des Art. 103 BayBG, da als Verarbeitung jede Form der Verbreitung oder Bereitstellung personenbezogener Daten gilt (vgl. Art. 4 Nr. 2 DSGVO). Diese Datenverarbeitungen waren aber nicht zu einem der in Art. 103 Satz 1 Nr. 1 BayBG genannten Zwecke erforderlich, insbesondere nicht für die Personalverwaltung oder die Personalwirtschaft, und damit unzulässig. Im Übrigen fehlte es an einer Einwilligung im Sinne des § 50 Satz 4 BeamtStG.

Da auch die Fächerkombination der Lehrkräfte enthalten war, könnten im Falle von Religionslehrerinnen und Religionslehrern auch religiöse Überzeugungen betroffen sein. Diese gehören nach Art. 9 Abs. 1 DSGVO zu besonderen Kategorien personenbezogener Daten, deren Verarbeitung besonderen Schutzes bedarf.

Weiterhin war festzustellen, dass zwar eine Meldung der Datenschutzverletzung an mich erfolgte, allerdings nicht innerhalb der nach Art. 33 Abs. 1 DSGVO vorgegebenen 72 Stunden nach Bekanntwerden. Ein Grund für die Verzögerung wurde mir nicht dargelegt.

Den Verstoß gegen datenschutzrechtliche Vorschriften habe ich daher förmlich beanstandet (Art. 16 Abs. 4 Satz 1 BayDSG).

12.11.2. Beanstandung eines Landratsamts wegen des Verlusts von Festplatten

Beim Kauf einer gebrauchten Festplatte auf ebay musste der Käufer feststellen, dass darauf in großem Umfang personenbezogene Daten eines Landratsamts gespeichert und ohne technische Hindernisse auslesbar waren. Unter den Daten fanden sich unter anderem eine Vielzahl von Unterlagen der Zulassungsstelle, aber auch E-Mails des Jugendamts sowie erstmalige Zugangsdaten für neue Benutzer zu verschiedenen Online-Diensten.

Das betroffene Landratsamt war bis zu diesem Vorfall davon ausgegangen, dass auf den Festplatten der Arbeitsplatz-PCs keine personenbezogenen Daten gespeichert würden, sondern diese nur in den jeweiligen Fachverfahren, im Dokument-Management-System oder auf zentralen Fileservern abgelegt seien. Daher wurde aufgrund befürchteter praktischer Probleme bis zu diesem Vorfall auf eine Verschlüsselung der Festplatten verzichtet.

Ursache des Vorfalls war, dass das Landratsamt Leasing-PCs für seine Arbeitsplätze einsetzte, bei denen Festplattendefekte auftraten. Aufgrund dieser Defekte mussten mehrere Festplatten ausgetauscht werden. Entgegen dem eigentlich üblichen Vorgehen, wurden diese Festplatten nicht vor der Rückgabe an den Leasingdienstleister im Landratsamt datenschutzgerecht gelöscht. Die Löschung sollte stattdessen durch den Lieferanten der PCs erfolgen.

Allerdings musste im Nachgang des Kaufs der Festplatte auf ebay festgestellt werden, dass zwischen dem Landratsamt und dem Dienstleister vertraglich keine Zerstörung der Festplatten vereinbart worden war, wenn diese bei einem Austausch an den Hersteller zurück gesandt wurde. Somit gingen die Festplatten wieder in das Eigentum des Herstellers über, der sie dementsprechend auch weiterverkaufen durfte. Wurden die Festplatten zuvor etwa auf Grund von Defekten nicht vollständig gelöscht, so waren die darauf befindlichen Daten weiterhin gespeichert.

Es handelt sich bei diesem Vorfall um einen gravierenden Datenschutzverstoß insbesondere gegen die Anforderungen an die Vertraulichkeit gemäß Art. 5 DSGVO. Erschwerend kommt hinzu, dass es sich zumindest im Falle der Daten des Jugendamtes um besonders schützenswerte Sozial- und Gesundheitsdaten handelt.

Insgesamt wurden somit keine ausreichenden technischen und organisatorischen Maßnahmen gemäß Art. 25 und 32 DSGVO umgesetzt, da die ausgetauschten Festplatten weder verschlüsselt waren noch im Landratsamt vorab gelöscht wurden. Zudem ist das Landratsamt seinen Pflichten als Verantwortlicher gemäß Art. 24 DSGVO nicht nachgekommen, da zusätzlich zu den technischen Mängeln auch kein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO vorhanden war.

Daher habe ich das Landratsamt förmlich gemäß Art. 16 Abs. 4 Satz 1 BayDSG beanstandet. Zudem habe ich das Landratsamt aufgefordert, Maßnahmen zu ergreifen, um eine Wiederholung derartiger Probleme zu verhindern und die Betroffenen über den Vorfall gemäß Art. 34 DSGVO zu informieren. Dem ist das Landratsamt nachgekommen.

12.11.3. Beanstandung nach dem Verlust einer Personalratsakte

Ein Personalratsmitglied einer bayerischen Gemeinde hat nach einer Personalratssitzung seinen Aktenordner, der die vom Personalratsmitglied selbst zusammengestellten Unterlagen für die Personalratssitzung enthielt, auf dem Rückweg in sein Büro an einem unbekannten Ort verloren. Trotz intensiver Suche konnte der Aktenordner nicht wieder gefunden werden.

Nach den Erinnerungen des Personalratsmitglieds konnte der Inhalt des verlorenen Aktenordners rekonstruiert werden. Die Begutachtung dieser Unterlagen ergab, dass im Hinblick auf den Datenschutz insgesamt über 30 Personen vom Verlust der verlorenen Unterlagen betroffen waren. Die gemeindliche Risikoeinschätzung führte zum Ergebnis, dass der Ordnerverlust für über zehn betroffene Personen voraussichtlich ein hohes oder sehr hohes Risiko zur Folge hatte. Nach der gemeindlichen Information der Personen, die von diesem Verlust betroffen waren, reichte eine der betroffenen Personen Beschwerde bei mir ein, die aufgrund organisatorischer Defizite zu einer datenschutzrechtlichen Beanstandung der betroffenen Gemeinde führte.

Das in diesem Fall eingetretene datenschutzrechtliche Risiko zeigt, dass der Personalrat auf die wirksame Umsetzung technischer und organisatorischer Schutzmaßnahmen genau achten muss. Insbesondere der Transport von Papierunterlagen mit sensiblen Personalratsangelegenheiten birgt ein Verlustrisiko, das unter anderem durch folgende Maßnahmen deutlich reduziert werden kann:

  • Risikoanalyse durchführen: Das Risiko, sensible Personalratsunterlagen zu verlieren, ist eines von mehreren Risikoszenarien, das bei der entsprechend durchzuführenden datenschutzrechtlichen Risikoanalyse zu betrachten ist. In aller Regel sind nach der Bewertung des Ausgangsrisikos geeignete Schutzmaßnahmen wirksam umzusetzen, um dieses Risiko auf ein vertretbares Niveau zu reduzieren.
  • Transport vermeiden: Bestehende Potenziale, sensible Personalratsunterlagen nicht unnötig zu transportieren, sind zu realisieren. Dabei können digitale Hilfsmittel, beispielsweise eine zentrale digitale Ablage mit geeignetem Zugriffsschutz und weiteren Sicherheitsvorkehrungen, von Nutzen sein.
  • Transport absichern: Sensible Personalratsunterlagen, bei denen ein Transport unverzichtbar ist, müssen geeignet abgesichert transportiert werden. Je nach Risikolage ist etwa bei Papierunterlagen auf verschlossene Sicherheitstransportbehälter und bei Digitalunterlagen auf geeignete Verschlüsselung zu achten.
  • Konsequent löschen: Sobald Personalratsunterlagen für den ursprünglichen Verarbeitungszweck nicht mehr notwendig sind, sind diese zu löschen oder zu anonymisieren.

Dieser Anforderung folgend hat etwa der Personalrat der vom Verlust betroffenen Gemeinde einen Aktenvernichter in dem Raum, in dem die Personalratssitzungen stattfinden, aufstellen lassen. Unmittelbar nach jeder Personalratssitzung werden nun die relevanten Papierunterlagen sofort vernichtet.

Digitale Personalratsunterlagen müssen entsprechend organisiert gelöscht werden.

Bei dieser Angelegenheit ersuchte eine vom Verlust besonders betroffene Person zudem um Auskunft gegenüber dem Personalrat. Die dabei aufgeworfenen datenschutzrechtlichen Fragestellungen behandle ich ebenfalls in diesem Tätigkeitsbericht (siehe Nr. 9.3).

12.11.4. Beanstandung einer Klinik wegen Weitergabe von Gesundheitsdaten an den Arbeitgeber eines Patienten

Die beanstandete Klink hat ein Gutachten über einen Arbeitnehmer erstellt, das von dessen Arbeitgeber in Auftrag gegeben wurde. Auftragsgemäß wurde dieses Gutachten anschließend an das zuständige Gesundheitsamt übermittelt.

Gleichzeitig wurde das Gutachten zusammen mit der Kostenrechnung an den Arbeitgeber versandt. Dadurch war es dem Arbeitgeber möglich, detaillierte Gesundheitsdaten der betroffenen Person zur Kenntnis zu nehmen. Dieser Vorfall ist aufgrund besonderer Umstände des Einzelfalls geeignet, die Ehre der betroffenen Person empfindlich zu verletzen, seinen Ruf zu schädigen sowie ihn nicht nur beruflich, sondern auch sozial und gesellschaftlich in Misskredit zu bringen.

Hierbei spielte es keine Rolle, ob der Arbeitgeber des Betroffenen nach Übermittlung des Gutachtens tatsächlich den Inhalt des Gutachtens zur Kenntnis nahm. Allein die Möglichkeit, dass höchst sensible Daten der betroffenen Person für den Arbeitgeber, der vorliegend nicht unmittelbarer Adressat des Gutachtens war, verfügbar waren und dadurch sowohl privat als auch insbesondere beruflich Nachteile entstehen können, genügte im vorliegenden Fall, um eine erhebliche Datenschutzverletzung anzunehmen.

Die Klinik hat gemäß Art. 5 Abs. 1 Buchst. f, 24 Abs. 1, 25 Abs. 1, 32 Abs. 1 Buchst. a und b DSGVO technisch-organisatorische Maßnahmen festzulegen, um den Schutz vor unbefugter und unrechtmäßiger Verarbeitung zu gewährleisten und im vorliegenden Fall insbesondere hochsensible Gesundheitsdaten des Betroffenen im Sinne des Art 9 Abs. 1 vor unbefugter Kenntnisnahme zu schützen.

Gerade auch bei einem Postversand von Unterlagen sollte durch geeignete organisatorische Maßnahmen wie beispielsweise ein Vier-Augen-Prinzip, bei der Kuvertierung und Adressierung der Unterlagen sichergestellt werden, dass das erstellte Gutachten nur an die befugte Stelle (Gesundheitsamt) gelangt. Da dies versäumt worden war, habe ich die Klinik gemäß Art. 16 Abs. 4 Satz 1 BayDSG förmlich beanstandet.

12.11.5. Beanstandung einer Stadt wegen unterlassener Pseudonymisierung

Im Vorfeld einer von der Volkshochschule einer bayerischen Stadt geplanten Buchvorstellung hatte die für diese Veranstaltung eingeladene Autorin eines autobiografischen Werkes darum gebeten, dass statt ihres Namens ausschließlich ein Pseudonym verwendet und bekannt werden sollte. Der Grund hierfür war, dass die Autorin im Laufe der Buchvorstellung über eine bei ihr diagnostizierte Schizophrenie berichten wollte, die sie noch nicht vollständig überwunden hatte. Ein Bekanntwerden des "echten" Namens und die damit logischerweise verbundene Möglichkeit von Rückschlüssen auf die gesundheitliche Disposition der Autorin konnten in der Gesamtschau sowohl im privaten als auch beruflichen Umfeld der Autorin negative Folgen nach sich ziehen, die es aus Sicht der Betroffenen unbedingt zu vermeiden galt.

Gemäß Art. 5 Abs. 1 Buchst. f, 24 Abs. 1, 25 Abs. 1, 32 Abs. 1 Buchst. a und b DSGVO hatte die Stadt technisch-organisatorische Maßnahmen festzulegen, um den Schutz vor unbefugter und unrechtmäßiger Verarbeitung zu gewährleisten und insbesondere personenbezogene Daten vor unbefugter Kenntnisnahme zu schützen.

Dem Wunsch der Autorin entsprechend wurde bei der Drucklegung des Programmheftes nur das Pseudonym als Datensatz abgespeichert, verwendet und abgedruckt. Allerdings musste dieser Datensatz im Zusammenhang mit der Erstellung und dem Ausdruck des Honorarvertrages auf deren amtlichen Namen geändert werden. Nach Vertragsdruck wurde von Seiten der Stadt vergessen, den amtlichen Namen der Autorin wieder zu löschen und lediglich das Pseudonym zu belassen. Hierbei sowie in ähnlichen oder gleichgelagerten Fällen ist durch entsprechende technische und organisatorische Maßnahmen sicherzustellen (zum Beispiel Anlage von zwei Datensätzen - "Pseudonym" und "amtlicher Name", Erstellung des Honorarvertrages ohne Zugriff auf einen vorhandenen Datensatz), dass die Persönlichkeitsrechte gewährleistet sind.

Da der in der Verwaltungssoftware gespeicherte Datensatz auch die Grundlage für die Homepage der Volkshochschule bildet, wurde neben dem Pseudonym ab diesem Zeitpunkt auch der amtliche Namen der Autorin im Zusammenhang mit dem geplanten Vortrag auf der Homepage der Volkshochschule angezeigt. Der Fehler wurde erst nach einer Woche bekannt und der Datensatz unmittelbar korrigiert.

Zwar war nun auf der Homepage der Volkshochschule wieder lediglich das Pseudonym der Autorin sichtbar, allerdings wurde nicht bemerkt, dass bei einer Suchmaschinenrecherche im Internet noch immer auch der "echte" Name der Autorin zu finden war. Die betroffene Autorin hat dies etwa sieben Wochen nach der Veranstaltung selbst bemerkt und bei der Volkshochschule reklamiert, woraufhin umgehend die Löschung des entsprechenden Links beim Suchmaschinenanbieter beantragt wurde.

Bei der Preisgabe des Namens der Autorin durch die Versäumnísse bei der Anlage der Datensätze handelt es sich um einen erheblichen Datenschutzverstoß, da es jeder Person, die im Internet nach dem Pseudonym der Autorin gesucht hätte, möglich gewesen wäre, die wahre Identität der Autorin zu erfahren, was unbedingt vermieden werden sollte.

In der Gesamtschau spielte es keine Rolle, ob sich tatsächlich jemand per Suchmaschinenrecherche den "echten" Namen der Autorin anhand ihres Pseudonyms verschaffte.

Aus diesen Gründen habe ich diesen Verstoß gegen datenschutzrechtliche Vorschriften förmlich gemäß Art. 16 Abs. 4 Satz 1 BayDSG beanstandet.

  1. Vom 24. März 2017 (FMBl. S. 254). [Zurück]
  2. Internet: https://www.datenschutzkonferenz-online.de/orientierungshilfen.html (externer Link). [Zurück]
  3. Bundesamt für Sicherheit in der Informationstechnik, Umsetzungshinweise zum Baustein CON.3 Datensicherungskonzept, Internet: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/Umsetzungshinweise/umsetzungshinweise_node.html (externer Link). [Zurück]
  4. Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Baustein CON.3 Datensicherungskonzept, Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/03_CON_Konzepte_und_Vorgehensweisen/CON_3_Datensicherungskonzept_Edition_2021.html (externer Link). [Zurück]
  5. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/04_OPS_Betrieb/OPS_1_1_3_Patch_und_Aenderungsmanagement_Edition_2021.pdf (externer Link). [Zurück]
  6. Vgl. das Modul 2 „DSFA-Erforderlichkeitsprüfung“, Internet: https://www.datenschutz-bayern.de, Rubrik „DSFA“. [Zurück]
  7. Vgl. Bayerischer Landesbeauftragter für den Datenschutz, Datenschutz-Folgenabschätzung, Orientierungshilfe, Internet: https://www.datenschutz-bayern.de, Rubrik „DSFA“. [Zurück]
  8. Der Bayerische Landesbeauftragte für den Datenschutz/Bayerisches Landesamt für Datenschutzaufsicht, Cybersicherheit für medizinische Einrichtungen, Stand 5/2020, Internet: https://www.datenschutz-bayern.de, Rubrik „Corona-Pandemie – Cybersicherheit für medizinische Einrichtungen“. [Zurück]
  9. Internet: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/oeffentliche-verwaltung_node.html (externer Link). [Zurück]