Behörden Spiegel Februar 2020

Page 36

IT-Sicherheit

Seite 36

Baum oder Borke?

D

ie Landesdatenschutzbeauftragten (LfD) und auch der Bundesdatenschutzbeauftragte sind sich einig: Infolge von Urteilen des Europäischen Gerichtshofes sehen sie keine Möglichkeit, eine Facebook-Fanpage rechtskonform zu betreiben. Die LfD von Niedersachsen und Mecklenburg-Vorpommern erklären explizit, dass die Haltung im Grundsatz auch auf andere Netzwerke übertragbar ist. Die Aufsichtsbehörde Sachsen-Anhalts argumentiert, auch bei Twitter sei von einer gemeinsamen Verantwortlichkeit von Plattform und Account-Inhaber auszugehen. Dem schließt sich Berlin an. Aus der saarländischen Aufsicht heißt es mit Bezug auf alle Plattformen, derzeit spreche mehr gegen eine Nutzung als dafür. Klare Kante zeigt der LfD Hessens, Prof. Michael Ronellenfitsch. Für ihn ist die Nutzung aller Sozialen Netzwerke im Rahmen der Hoheitsverwaltung rechtswidrig. Er rät von Anfang an von der Nutzung ab, mit der Begründung, dass Bürgerinnen und Bürger sonst zur Nutzung angehalten würden, um mit dem Staat zu kommunizieren. Ronellenfitsch: “Die Sozialen Medien haben eine Tendenz zum Unsozialen. Der Staat sollte sich eine Alternative einfallen lassen.” Seine Amtskollegin aus Schleswig-Holstein, Dr. Marit Hansen, geht mehr ins Detail. Facebook sei immer wieder mit Datenpannen und als Plattform für “manipulative Einflussnahme” aufgefallen, so im Zusammenhang mit dem Brexit-Votum. “Die Nutzung derartiger Dienste kann sogar schädigend für unsere Gesellschaft und demokratischen Prozesse sein”. Die brandenburgische LfD Dagmar Hartge ist überzeugt, “dass öffentliche Stellen aufgrund ihrer besonderen Bindung an Recht und Gesetz die Nutzerinnen und Nutzer nicht in die Lage bringen sollten, ihre Daten an Facebook übermitteln zu müssen.” An das Rechtsstaatsprinzip und die Vorbildfunktion von Behörden appellieren auch die Aufsichten in Bremen, Niedersachsen, Nordrhein-Westfalen, RheinlandPfalz und Sachsen-Anhalt.

Für Behörden wird die Luft in Sozialen Netzwerken dünner (BS/Benjamin Stiebel) Die Debatte läuft schon seit Jahren. Datenschützer sehen Auftritte von Behörden in Sozialen Netzwerken kritisch. Behörden halten sie im Rahmen ihrer Informationspflichten für sinnvoll oder gar notwendig. Die Diskussion hat noch einmal Fahrt aufgenommen, als der Landesdatenschutzbeauftragte Baden-Württembergs, Dr. Stefan Brink, sich kürzlich von Twitter zurückgezogen und Sanktionen ins Spiel gebracht hatte (siehe Behörden Spiegel Januar 2020, S. 33). Die anderen Aufsichtsbehörden teilen die kritische Haltung. Aber nicht alle wollen mit harten Bandagen kämpfen. Wer zeitgemäße Öffentlichkeitsarbeit betreiben möchte, kann im Moment trotzdem nur verlieren.

Effektiv vs. rechtskonform?

Auf der anderen Seite ist auch klar: Behörden haben Informationspflichten und müssen sie da erfüllen, wo sie die Bürger erreichen. Soziale Netzwerke sind schnell, effizient und für viele eine maßgebliche Informationsquelle. Das sieht auch die niedersächsische Landesbeauftragte Barbara Thiel: “Die Forderung, vollständig auf diese Art der Kommunikation zu verzichten, wäre realitätsfern und wird deshalb auch nicht von uns erhoben.” Das dürfe aber nicht über die gravierenden datenschutzrechtlichen Probleme in dem Bereich hinwegtäuschen. Da derzeit kein rechtskonformer Betrieb von Facebook-Fanpages möglich sei, müsse sie zur Deaktivierung raten. Auch die Aufsicht in Nordrhein-Westfalen zeigt Verständnis für das Erfordernis zeitgemäßer Öffentlichkeitsarbeit. Bürger würden Behörden-Auftritte in Sozialen Netzwerken erwarten. Sie dürften den Kontakt aber nicht mit ihren personenbezogenen Daten bezahlen müssen. Für Prof. Thomas Petri, LfD Bayerns, kann es keine Abwägung zwischen Erfordernissen der Öffentlichkeitsarbeit und Datenschutzkonformität geben. Maßstab sei das Rechtsstaatsprinzip. “Dies gilt unabhängig davon, wie “in” ein Soziales Netzwerk ist, ob es besondere Chancen eröffnet oder es von anderen Stellen und Personen genutzt wird”, so Petri. Die Aufsicht in Rheinland-Pfalz fordert von den öffentlichen Stellen eine Darlegung, warum ein Verzicht ihre Aufgabenerfüllung einschränken würde. Aus MecklenburgVorpommern heißt es dagegen klar, eine Facebook-Fanpage sei für die Öffentlichkeitsarbeit nicht erforderlich. Auf ein berechtigtes

muss nun noch das Oberverwaltungsgericht Schleswig entscheiden. Dieses Urteil will die saarländische Aufsichtsbehörde zunächst analysieren, bevor eigene Maßnahmen erwogen werden.

Die Wurzel bekämpfen Am Sinn von Sanktionen zweifelt der LfD MecklenburgVorpommerns, Heinz Müller. Verbote würden wenig helfen, da Anordnungen gegenüber öffentlichen Stellen nicht im Wege des Verwaltungszwangs durchgesetzt werden könnten. “Daher beschränken wir uns derzeit da­ Bei der Öffentlichkeitsarbeit stehen Behörden zwischen Baum und Borke. Viele rauf, Überzeugungsarbeit zu leisBürger erreicht man am besten in den Sozialen Netzwerken. Die sind rechtlich ten. Parallel dazu setzen wir uns gesehen aber tabu. Foto: BS/mikeosphoto, stock. adobe.com auf europäischer Ebene dafür ein, dass der Druck auf Irland, Interesse könnten sich Behörden rechtliche Schritte vor allem wo ja die großen Internetkonzernicht berufen. Einige der Amts- im Falle von Beschwerden er- ne sitzen, erhöht wird.” In die kollegen verweisen auf mögliche griffen werden müssten, sofern Kerbe schlägt auch die Berliner Alternativen wie Webseiten. “In rechtswidrige Auftritte nicht de- Aufsicht: “Es ist natürlich vor diesem Zusammenhang gewinnt aktiviert würden. Hessens LfD allem wichtig, dass die Betreiber die Idee an Charme, eine eigene, erwägt rechtliche Schritte, zum dieser Plattformen zur Rechenöffentlich betriebene Plattformin- Beispiel wenn Soziale Netzwer- schaft gezogen werden”, stellt die frastruktur für den öffentlichen ke als Ersatz für ein amtliches LfD Maja Smoltczyk klar. Bereich zu schaffen”, so die Bre- Verlautbarungsorgan verwendet Davon ist allerdings auch fast mer LfD Dr. Imke Sommer. würden. In Brandenburg wurden zwei Jahre nach WirksamwerMit der Androhung von Sank- Stellen mit Facebook-Fanpage den der europäischen Datentionen sind die meisten Daten- aufgefordert, darzulegen, auf schutzgrundverordnung nichts schutzbeauftragten zurückhal- welcher Rechtsgrundlage der zu spüren. Datenschutzoasen tend. Die meisten verweisen Auftritt betrieben werde und wie wie Irland trockenzulegen, war darauf, dass sie den öffentli- die gemeinsame Verantwortung eines der erklärten Ziele des chen Stellen von der Nutzung mit dem Unternehmen geregelt neuen Regimes. Bis Irland zur Sozialer Netzwerke abrieten und sei. Nach der Auswertung wä- Rechtsdurchsetzung gegen Faceim – mehr oder weniger intensi- ren rechtliche Schritte denkbar. book bewogen wird, setzen einige ven – Dialog mit ihnen stünden. Auch in Berlin laufen seit 2018 Aufsichtsbehörden auf andere Manchmal fruchtet das auch. So Anhörungsverfahren. Zur Twit- Druckmittel. So die niedersächhat die Staatskanzlei in Sachsen- ter-Nutzung könnten weitere fol- sische LfD Thiel: “Würden sich Anhalt den Landesauftritt auf gen. Die schleswig-holsteinische öffentliche Stellen durch einen Facebook nach der Beratung LfD Hansen erwägt Sanktionen. (temporären) Rückzug aus den durch den LfD deaktiviert. Nach Ihre Behörde hatte 2011 als ers- betreffenden Medien klar posiwir vor sind aber zahlreiche öf- te eine Anordnung gegen einen tionieren, könnte das ein Hebel fentliche Stellen aller föderalen privaten Fanpage-Betreiber aus- sein, um zu bewirken, dass die Ebenen auf den Plattformen gesprochen. Der Fall ging durch Betreiber ihre Dienste den gesetzanzutreffen. Sanktionen wollen mehrere Instanzen und führte lichen Vorschriften anpassen.” Eigene Auftritte in den Sozialen die Datenschützer entsprechend letztlich zur höchstgerichtlichen nicht ausschließen. Der bayeri- Klärung der gemeinsamen Ver- Netzwerken sind übrigens die sche LfD verweist darauf, dass antwortlichkeit. Den Einzelfall absolute Ausnahme. Der baden-

Es geht auch sicher

F

ür Unverständnis sorgte im letzten Jahr das Europaparlament. Der technische Betrieb untersagte es Abgeordneten, die Desktop-Variante des als sehr sicher geltenden Messengers Signal auf ihren Bürorechnern zu installieren. Es handele sich nicht um Standard-Software. Eine Installation setze aus Sicherheitsgründen Tests und eine Zulassung seitens der ITAbteilung voraus. So vernünftig diese Begründung ist, so absurd war der Alternativvorschlag: Die Abgeordneten sollten die WebVersion von WhatsApp nutzen. Die erfordert als Online-Dienst keine Installation und muss daher nicht zugelassen werden. Betreiber von WhatsApp ist allerdings Facebook, ein amerikanischer Anbieter. Daten laufen über US-Server und müssen nach dortigem Recht auf Verlangen an Sicherheitsbehörden gegeben werden. Zwar werden Inhalte verschlüsselt. Doch hat es immer wieder Zweifel an der Sicherheit gegeben, Zudem sollen laut Bericht der Londoner Times USA und Großbritannien an einer Hintertür arbeiten. Klar ist, dass Metadaten wie Standorte oder Profilfotos an den Mutterkonzern Facebook gehen. Kontaktdaten werden in dem Messenger unweigerlich Dritten zugänglich gemacht. All das ist nach Datenschutzgrundverordnung (DSGVO) nicht erlaubt. Hinzu kommen praktische Datenschutzprobleme. Es gibt kein Rollen- und Rechtemanagement, der Arbeitgeber hat keine

Behörden Spiegel / Februar 2020

Zeitgemäße und rechtskonforme mobile Kommunikation (BS/Benjamin Stiebel) Sich verabreden, kurz etwas nachfragen, die neuesten Informationen aus der Besprechung weitergeben oder auch einfach den neuesten Klatsch teilen. Das alles findet häufig über Messenger-Dienste statt, meist WhatsApp. Dass auch beruflich über den praktischen Dienst kommuniziert wird, ist nur menschlich. Sicher und datenschutzkonform ist das aber nicht. Bei öffentlichen Stellen ist das Bild uneinheitlich. Einige glauben, die dienstliche Nutzung verhindern zu können, andere scheinen das Problem nicht zu erkennen und lassen die Mitarbeiter gewähren. Viele Stellen setzen aber auch schon auf rechtskonforme Alternativen im Eigenbetrieb. Fertige kommerzielle Lösungen stehen dabei Eigenentwicklungen auf Open-Source-Basis gegenüber. Kon­trolle über die WhatsAppNutzung der Mitarbeiter. Wenn ein Kollege ausscheidet oder die Abteilung wechselt, kann es leicht passieren, dass er weiter unbemerkt in Gruppenchats mitlesen kann, was nicht für ihn bestimmt ist. Die WhatsApp-Empfehlung hat das Europaparlament inzwischen zurückgezogen und will Signal nun auf seine Sicherheit prüfen. Dass dort offenbar erst jetzt über sichere Alternativen nachgedacht wird, ist bedenklich, aber nicht außergewöhnlich. Auch die Abgeordneten des Deutschen Bundestags gehen individuell sehr unterschiedlich mit dem Thema um. Viele nutzen frei verfügbare Dienste wie Dropbox für den Datenaustausch oder eben WhatsApp. Eine sichere, vom Parlament selbst betriebene Lösung ist auch da nicht in Sicht. Allerdings gibt es solche Ansätze bei einzelnen Fraktionen.

Lösungen sind da “Der Umgang von einigen Behörden, Parlamenten und anderen öffentlichen Stellen mit mobiler Kommunikation ist unsicher und nicht mehr zeitgemäß – insbe-

Man tauscht sich aus, besonders gerne über Messenger-Dienste. Das geht auch sicher und datenschutzkonform. Foto: BS/Hamza Butt, CC BY 2.0, flickr.com

sondere die Nutzung amerkanischer Cloud-Dienste”, sagt Sascha Wellershoff, Vorstand bei Virtual Solution. Es gebe längst sichere Lösungen von deutschen Anbietern mit DSGVO-konformer Datenhaltung in Deutschland. “In aller Regel können diese Dienste auch zentral gemanagt werden”, so Wellershoff weiter. “Und auch die Installation auf Privatgeräten ist möglich. Das erhöht die Mitarbeiterzufriedenheit bei strikter Trennung von privaten oder persönlichen und dienstlichen Daten.” Bekannte kommerzielle Messenger sind Stashcat oder Teamwire,

die vor allem von Sicherheitsbehörden eingesetzt werden. Virtual Solution bietet einen Messenger als Teil von SecurePIM an. Das Rundum-Angebot zum sicheren mobilen Arbeiten in Behörden ermöglicht auch Surfen, E-Mail, Kalender- und Dokumentenbearbeitung in gesicherter Umgebung und ist für Verschlusssachen bis zur Stufe VS-NfD zugelassen. Zu den Kunden gehören Ministerien und Behörden von Bund und Ländern. Von einem flächendeckenden Einsatz im Öffentlichen Dienst sind wir aber noch weit entfernt. Häufig werden Lösungen

nur für die “Entscheider”, also Abteilungsleiter und aufwärts angeschafft. Der Einführung gehen oft langwierige Planungen und Probebetriebe voraus – auch wenn eigentlich auf Erfahrungen anderer Ressorts zurückgegriffen werden könnte. “Dass die Beschaffungsvorgänge bei Behörden so langwierig und kompliziert sind, ist für die Datensicherheit ein großes Problem”, gibt Wellershoff zu bedenken. “Das Rad dreht sich bei mobilen Risiken durch Angriffe und Datenlecks besonders schnell.”

Kaufen oder selber bauen? Teils wird statt auf Lösungen von der Stange auf Eigenentwicklungen auf Open-Source-Basis gesetzt. Beim Bund sind mehrere Projekte im Gang. Bei der Bundespolizei wird der Messenger “MOKA” mit 4.500 Smartphones erprobt. Damit können auch Standortdaten, Bilder, Videos und Sprachnachrichten im Einsatz sicher ausgetauscht werden. Basis ist das offene Protokoll XMPP, früher als Jabber bekannt. So können MOKA-Nutzer auch mit Nutzern anderer XMPPMessenger kommunizieren.

württembergische LfD Brink hat seinen Twitter-Account jüngst geschlossen. Der Bundesbeauftragte Ulrich Kelber prüft derzeit, ob sein Twitter-Account und die der öffentlichen Stellen in seinem Zuständigkeitsbereich weiterbetrieben werden können. Außerdem unterhält die Aufsichtsbehörde in MecklenburgVorpommern für das Jugendprojekt Medienscouts MV einen Instagram-Account. Der werde aber wegen rechtlicher Bedenken in Kürze geschlossen. Von diesen Einzelfällen abgesehen haben die deutschen Datenschutzbeauftragten konsequent die Finger von den Sozialen Netzwerken, vor allem Facebook, gelassen. Die Kollegen in den europäischen Nachbarländern sind da weniger zimperlich. Viele haben trotz einschlägiger Rechtsprechung des Europäischen Gerichtshofes nach wie vor eigene FacebookFanpages, so Großbritannien, Frankreich, Spanien oder Polen. Vor diesem Hintergrund sei es schwierig, Behörden zu überzeugen, dass mit solchen Angeboten datenschutzrechtliche Risiken für die Bürger verbunden seien, räumt die saarländische LfD Monika Grethel ein. “Eine einheitliche Rechtsauffassung nicht nur der deutschen, sondern aller europäischen Aufsichtsbehörden wäre daher unbedingt wünschenswert.” Bleibt festzuhalten: Öffentliche Stellen in Europa können Facebook derzeit nicht rechtskonform nutzen, andere Plattformen höchstwahrscheinlich ebenso wenig. Ob sie mit Sanktionen rechnen müssen, hängt davon ab, wo sie ihren Sitz haben. Die eigentlichen Übeltäter sind die Plattformbetreiber, die personenbezogene Daten intransparent und teils ohne ausreichende Berechtigung verarbeiten. Eine Rechtsdurchsetzung ihnen gegenüber lässt auf sich warten. Bis dahin stehen die Behörden weiter zwischen Baum und Borke: Wollen sie zeitgemäß digital mit dem Bürger in Dialog treten, müssen sie den Boden der Rechtsstaatlichkeit mit einem Fuß verlassen und sich dem Vorwurf aussetzen, fragwürdige Geschäftsmodelle zu unterstützen.

Im Verteidigungsressort laufen parallel zwei Projekte. Zum einen wird mit rund 3.000 Bundeswehrangehörigen die Akzeptanz der WhatsApp-Alternative Stashcat auf den Privatgeräten getestet. Zum anderen wurde durch den bundeseigenen ITDienstleister BWI ein Messenger auf Basis des offenen “Matrix”Protokolls entwickelt. Die Erprobung hat begonnen und soll ab März auch Kommunikation im Bereich VS-NfD umfassen. Ab Herbst soll die Pilotnutzung auf bis zu 30.000 dienstliche Smartphones ausgeweitet werden. Ab Anfang 2021 soll der Matrix / “Riot.im” getaufte Dienst über ein neues “ExtraNet Bundeswehr” für die offene Kommunikation auch auf Privatgeräten laufen können. Solche Eigenentwicklungen sind aber nicht für alle der Weisheit letzter Schluss, wie Georg Ringmayr findet. “Eigene Entwicklungsressourcen sind beschränkt”, so der Sachgebietsleiter IuK der Bayerischen Polizei. “Wir tun gut daran, sie in die speziellen Fachanwendungen zu stecken.” Bei Basisanwendungen dagegen sei es meist sinnvoller, zu kaufen. “Es gibt mittlerweile bewährte Messenger-Lösungen am Markt”, so Ringmayr weiter. “Wenn Sie Mittel investieren, um nachzubauen, was es schon gibt, laufen Sie am Ende nur der Entwicklung hinterher.” So oder so: Zeitgemäße und gleichzeitig rechtskornforme mobile Kommunikation geht und setzt sich im Öffentlichen Dienst zunehmend durch.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.
Behörden Spiegel Februar 2020 by propress - Issuu