Druckersicherheit: Verantwortlich ist immer der Chef

0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
1349 Aufrufe  

Thilo Weichert beklagt, dass bei Datenschutzvorfällen im Druckerumfeld immer die „Verantwortlichen“ haftbar sind, in Unternehmen also die Geschäftsleitung. Die Anbieter von Druckern und Multifunktionsgeräten seien dagegen aus dem Schneider. Der ehemalige Datenschutzbeauftragte des Landes Schleswig-Holstein fordert stattdessen „Privacy by Default“: Die Anbieter sollten verpflichtet werden – oder sich selbst verpflichten –, ab Werk größtmögliche Sicherheitsvorkehrungen zu treffen.

Von Bernd Müller, freier Journalist

Dr. Thilo Weichert (61) hat Rechts- und Politikwissenschaften studiert und mit einer Arbeit zum Datenschutz promoviert. Nach Stationen als Landtagsabgeordneter in Baden-Württemberg, Rechtsanwalt, Dozent und Referent wurde er 2004 Datenschutzbeauftragter des Landes Schleswig-Holstein und Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ein Amt, das er bis 2015 innehatte. Bekannt wurde Weichert durch seinen Kampf gegen Facebook, das seiner Meinung nach Daten deutscher Nutzer nicht in den USA speichern dürfte – eine Position, für die er von Datenschützern viel Zustimmung erhielt. Weichert hält das bisherige Geschäftsmodell von Facebook für unvereinbar mit deutschen und europäischen Datenschutzregeln.

Bernd Müller: Wie sind Sie auf das Thema Druckersicherheit aufmerksam geworden?

Thilo Weichert: Vor einigen Jahren kam eine Redaktion eines TV-Senders auf meine Dienststelle, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, zu. Die Journalistin hatte gehört, dass man Daten sehr leicht von Druckern auslesen kann und wollte das bei einem Test in unserer Dienststelle prüfen, sozusagen in der Höhle des Löwen. Dazu schickte sie einen Penetrationstester zu uns, der im Stil eines Hackers am Drucker die Festplatte mit den gespeicherten Druckdaten ausgelesen hat. Das hat nicht länger als eine Viertelstunde gedauert, das hat uns schon verblüfft. Alle unsere Sicherungsmaßnahmen waren erfolglos. In diesem Fall wussten wir Bescheid, aber ein richtiger Hacker mit finsteren Absichten hätte unbeobachtet Zugriff auf den Drucker gehabt. Der TV-Sender hat dann ausführlich über den Test berichtet und wir haben zusätzlich Öffentlichkeitsarbeit gemacht, um für das Problem zu sensibilisieren. Leider mit wenig Erfolg.

Was hatten Sie sich erhofft?

Wir hatten uns erhofft, dass es Auflagen für die Anbieter von Druckern und Multifunktionsgeräten gibt, damit diese für einen besseren Schutz sorgen und die Verantwortung nicht allein auf Seite der Anwender liegt. Das EU-Parlament hatte auch versucht, die Anbieter stärker in die Pflicht zu nehmen, es konnte sich aber schließlich bei der Neufassung des Datenschutzrechts – auch gegen die Lobbyarbeit der Hersteller – nicht durchsetzen. Der Ansatz, die Anbieter der Drucker in die Verantwortung zu nehmen, wäre neu gewesen und das war der Kommission und dem Rat am Ende dann doch zu innovativ.

Wie hätte der von Ihnen favorisierte Ansatz ausgesehen?

Der Wunsch vieler Datenschutzrechtler ist ein rechtlich beim Hersteller durchsetzbares „Privacy by Default“ beziehungsweise „Privacy by Design“. Die Datenschutzvorkehrungen müssen dabei so eingestellt sein, dass Dritte nicht ohne Unterstützung etwa durch einen Mitarbeiter in einer Firma Zugriff auf Daten bekommen können. Im Fall von Druckern würde das zum Beispiel heißen, dass man das Passwort zum Einstellen der Geräteparameter gleich bei der ersten Installation verändern muss oder dass man zumindest bald danach dazu aufgefordert wird. Und dass das Passwort nach einer gewissen Zeit automatisch verfällt und man regelmäßig zur Eingabe eines neuen Passworts aufgefordert wird. Nicht geänderte Standardpasswörter sind eines der größten Einfallstore für Hacker.

Privacy by Default hat sich also nicht durchgesetzt. Wie sieht die rechtliche Lage nun aus?

Ganz so Schwarz sehe ich die Sache nicht. Privacy by Design und by Default sind in den Artikeln 25 und 32 der Datenschutz-Grundverordnung enthalten, die 2016 verabschiedet wurde und ab 25. Mai 2018 angewendet wird. Allerdings adressieren diese Datenschutzregeln die Verantwortlichen für Datenschutz. Und das sind immer die Verantwortlichen für das Unternehmen, also die Geschäftsleitung. Aber eben weiterhin nicht die Anbieter der Geräte.

Das heißt, der Geschäftsführer haftet, wenn Daten abhandenkommen?

Im Prinzip ja. Es kommt natürlich darauf an, um was für Daten es sich handelt. Wenn wir über das Datenschutzrecht reden, sprechen wir immer über personenbezogene Daten. Das können zum Beispiel Kundendaten sein oder Informationen über Mitarbeiter. Wenn solche Informationen in falsche Hände geraten, greift das Datenschutzgesetz und Gerichte verstehen hier keinen Spaß. Etwas Anderes ist es, wenn Hacker Geschäftsgeheimnisse wie den Bauplan für eine neue Maschine abgreifen. Das kann auch ein großer Schaden für das Unternehmen sein, aber das ist allein das Problem des Unternehmens, hier greift das Datenschutzrecht nicht, weil keine Personen betroffen sind. Das ist dann ein Straftatbestand und man kann zivilrechtlich gegen den Angreifer vorgehen. Dazu muss man ihn aber erstmal finden und greifbar machen. Wenn der Spion in China oder Russland sitzt, ist das praktisch unmöglich. Wenn der Täter in Deutschland sitzt, kann man ihn strafrechtlich schon belangen.

Was ist, wenn die Schuld an einem datenschutzrechtlichen Vorfall einem Mitarbeiter nachgewiesen werden kann? Es gab ja schon Fälle, wo Ausdrucke nicht abgeholt wurden und im Ausgabeschacht liegen blieben, wo sie dann jemand anders mitgenommen hat.

Die datenschutzrechtliche Verantwortung liegt auch hier beim Chef. Er muss dafür sorgen, dass so etwas nicht vorkommt, etwa durch organisatorische Regeln. Dazu gehört, dass man die Mitarbeiter anweist, Ausdrucke sofort nach Druckbeginn abzuholen. Oder noch besser durch technische Vorkehrungen, etwa dadurch, dass der Ausdruck erst beginnt, wenn sich der Mitarbeiter mit einer PIN oder einer Karte am Drucker angemeldet hat. Aber natürlich hat das Grenzen. Der Chef kann nicht bei jedem Ausdruck neben dem Mitarbeiter stehen. Er muss lediglich dafür sorgen, dass Vorkehrungen getroffen werden. Auch die Anweisung, dass sich jemand anderes um den Datenschutz im Unternehmen kümmert, etwa die IT-Administration, reicht dazu aus.

Kann die Geschäftsleitung ihre Verantwortung auf die Mitarbeiter abwälzen?

Das Unternehmen kann Mitarbeiter in Regress nehmen und zum Beispiel Schadenersatz fordern, abmahnen oder kündigen. Kündigungen wegen Vergehen gegen den Datenschutz gab es schon häufiger. Dann war aber bei den betroffenen Mitarbeitern in der Regel Vorsatz mit im Spiel und es bestand eine konkrete Schädigungsabsicht. Oder der Mitarbeiter hat grob fahrlässig gehandelt. Dass jemand wegen einfacher Fahrlässigkeit gekündigt wurde, ist mir nicht bekannt.

  • 1
  • 2
Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.