September 2022 – Wiesbadener-Kreis

30. September 2022

Vernichten von Datenträgern

Beim Vernichten von Datenträgern müssen bestimmte Anforderungen berücksichtigt werden. Welche genau, wird in der DIN 66399 beschrieben, welche im August 2018 in die internationale Norm ISO/IEC 21964 übernommen wurde.

Sobald sich personenbezogene Daten auf einem Datenträger befinden, fällt dessen Vernichtung in den Anwendungsbereich der Datenschutzgrundverordnung (vgl. Art. 4 Nr. 2 DSGVO). Die Vernichtung ist daher eine technisch-organisatorische Maßnahme, um die Datensicherheit zu gewährleisten.

Die DIN-Norm 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“ wurde im Oktober 2012 veröffentlicht. Hiermit wurde vom zuständigen DIN-Ausschuss ein Standard erarbeitet, der den Stand der Technik in der Vernichtung von Datenträgern abbildet. In der DIN 66399 werden ganzheitliche Ansätze verfolgt, es werden Grundlagen, Begriffe (Teil 1, geschrieben DIN 66399-1) sowie die Anforderung an die Maschinen zur Vernichtung von Datenträgern (Teil 2, geschrieben DIN 66399-2), benannt. Ebenso wird ein sicherer Prozess der Datenträgervernichtung (Teil 3, geschrieben DIN 66399-3) beschrieben.

Die DIN 66399 empfiehlt, die speichernden Datenträger hinsichtlich des Schutzbedarfs wie folgt zu klassifizieren:

Schutzklasse 1 (Normaler Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten beeinträchtigt die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Die Schadensauswirkungen sind begrenzt und relativ leicht durch eigene Aktivitäten des Betroffenen zu heilen.
Schutzklasse 2 (Hoher Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten beeinträchtigt erheblich die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Die Schadensauswirkungen sind beträchtlich („Ansehen“).
Schutzklasse 3 (Sehr hoher Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten gefährdet Leib und Leben oder die Freiheit des Betroffenen. Die Schadensauswirkungen nehmen existenzielles, bedrohliches, katastrophales Ausmaß an („Existenz“).

Die DIN 66399 empfiehlt, Datenträger bestimmter Schutzklassen nach Sicherheitsstufen angemessen zu vernichten. Die Norm bestimmt für verschiedene Materialklassen (z. B. Papier, Mikrofilm oder Halbleiterspeicher) Grenzwerte der Teilchengröße (Partikelgröße), welche bei der Vernichtung des Datenträgers eingehalten werden müssen, um die Wiederherstellung von Informationen aus dem Restmaterial zu verhindern oder zumindest zu erschweren.

23. September 20227. Oktober 2022

Ein Fall aus den USA zeigt die Gefahr der geplanten Chatkontrolle

Es fängt an mit einem Vater, dessen kleiner Sohn Schmerzen im Genitalbereich hat. Im Vorfeld einer Videokonferenz mit dem Kinderarzt sollte der Vater Fotos der schmerzenden Stelle schicken. Der Vater macht also Fotos vom Penis seines Sohnes und verschickt sie. Gleichzeitig landen diese Fotos auf Google-Servern, ein automatischer Scan schlägt Alarm und die Polizei wird hinzugezogen.

Die anonyme Synchronisierung auf Android-Geräten (welche sich ausschalten lässt, – was sie in diesem Fall jedoch nicht war) hat die besagten Fotos auf die Server von Google geladen, wo sie als Kinderpornografie identifiziert wurden.
Auch wenn die Polizei nach ihrer Ermittlung keine Straftat feststellte, wurde dennoch der Google-Account des Vaters gesperrt und ist es bis heute. Die privaten Daten, die darauf lagen, sind verloren.

Es ist ein Fall, der die Kritikpunkte der geplanten Chatkontrolle im Speziellen und von automatischer Bilderkennung durch KI im Allgemeinen illustriert. Eine KI, selbst wenn sie in der Erkennung der Bilder fehlerfrei funktioniert, wird trotzdem keinen Kontext verstehen und wie in diesem illustrierten Fall False Positives ausgeben. Man darf davon ausgehen, dass solche Fälle sich infolge der Chatkontrolle häufen werden. Selbst wenn dies nicht zu tatsächlichen Strafanzeigen oder Verhaftungen führt (wie im Falle des Vaters), werden trotzdem Menschen unter Verdacht von schweren Verbrechen gestellt. Zusätzlich zu der Unsicherheit, wie mit diesem Verdacht vonseiten der Behörden umgegangen wird, müssen Betroffene außerdem noch damit leben, z. B. ihr Google-Konto zu verlieren (ebenfalls wie im Falle des Vaters).

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/falscher-verdacht-gegen-vater-ein-fall-aus-den-usa-zeigt-die-gefahr-der-geplanten-chatkontrolle/

15. September 20227. Oktober 2022

US-Clouddienste nicht pauschal von Aufträgen auszuschließen

Die USA gelten nicht als zuverlässiger Drittstaat, bei denen europäische Daten guten Gewissens gespeichert werden können. Das geht auf ein Urteil des EuGHs (Europäischer Gerichtshof) vom Juli 2020 zurück.
Dieser Beschluss gilt allerdings seit dem Urteil des Oberlandesgerichts Karlsruhe vom Juli 2022 als aufgehoben.

In dem beurteilten Fall ging es um die europäische Tochterfirma eines Anbieters von Cloud-Dienstleistungen mit Sitz in den USA. Eben dieses Tochterunternehmen gibt an, Daten auf Servern in Deutschland zu speichern.

Das Oberlandesgericht sieht nun kein Problem darin, weil man „grundsätzlich davon ausgehen [kann], dass ein Bieter seine vertraglichen Zusagen erfüllen wird.“ Man könne zunächst darauf vertrauen, dass die Vorgaben durch die DSGVO bei der Datenverarbeitung erfüllt werden und müsse dies erst bei Zweifeln nachprüfen.

Kritik, auch von Datenschutzbehörden, dass das Urteil u.a. „rechtlich zweifelhaft“ sei, blieb nicht aus. Man kann gespannt sein, wie sich das Urteil in Zukunft auf die Datenverarbeitung auswirken wird.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/gerichtsurteil-us-clouddienste-nicht-pauschal-von-auftraegen-auszuschliessen-2209-168221.html