Alles abgesichert? - Relevante Sicherheitsaspekte für die Datenübertragung und -speicherung im Verwalteralltag.

Datenübertragung

Bevor die Digitalisierung Einzug in die Hausverwaltung gehalten hat, wur­den Daten in Papierakten gespeichert und per Post, Telefax oder Telefon übertragen. Diese Zeiten sind vor­bei. Heute betreiben viele Verwalter Plattformen, auf die Eigentümer, Mie­ter oder auch Dienstleister zugreifen können. Insbesondere Cloud-Lösungen sind bequem. Die Mitarbeiter im Homeoffice, aber auch die anderen genannten Personen können auf die Daten zugreifen. Diese neue Freiheit und Bequemlichkeit ist aber auch mit Gefahren verbunden. Wenn Berech­tigte von überall aus auf die Daten zugreifen können, können dies auch Unberechtigte. Es gilt daher Unbe­rechtigte auszuschließen und Daten sicher zu übertragen.

Analoge Welt
Dies nur kurz zur Einstimmung: Bestimmte Dokumente bedürfen immer noch der Schriftform. Das bedeutet, sie müssen von dem Aus­steller unterzeichnet (oder qualifiziert elektronisch signiert) sein. Die beiden oft genannten Beispiele aus der Miet­verwaltung sind hier die Kündigung im Wohnraummietverhältnis oder der Gewerberaummietvertrag. Wenn diese schriftlich vorliegen und über­mittelt werden sollen, können sie per Post versandt werden. Das Papierdoku­ment wird durch einen Umschlag vor den Blicken anderer geschützt. Ohne weiteres kann niemand die dort ent­haltenen Daten zur Kenntnis nehmen. Daher gilt die Übermittlung von per­sonenbezogenen Daten in einem ver­schlossenen Umschlag als sicher. Die Kommunikation per Telefax ist wie die per Postkarte unsicher. Eine solche Kommunikation sollte vermieden wer­den, es sei denn, eine andere Kom­munikation ist nicht möglich (z.B. mit dem Gesundheitsamt).

Digitale Welt
Auch bei der digitalen Übertragung kann ohne weiteres niemand die Daten einsehen. Hier sind aber an den Schutz des Übermittlungswegs und die Daten­verarbeitung insgesamt weitere Anfor­derungen zu stellen. Die DSGVO schreibt in Art. 25 vor, dass der Verant­wortliche technische und organisato­rische Maßnahmen zum Datenschutz treffen und hierbei den Stand der Tech­nik berücksichtigen muss. Die Tech­nik und Organisation sollte also darauf ausgerichtet sein, die Risikofaktoren zu verringern.

Der Mensch
Und auch hier beginnen wir wieder mit der analogen Welt. Ein großer Risiko­faktor in der Datenverarbeitung ist der Mensch. Personen, die unsere Daten ausspähen wollen, nehmen uns selbst ins Visier. Sie versuchen Zugänge zu Systemen zu erlangen, indem sie uns austricksen. Eine der einfachsten Möglichkeiten, in ein System einzudrin­gen, ist mithilfe einer Datei in einer E-Mail oder auf einem Stick. Ein ande­rer Weg ist das Ermitteln von Pass­wörtern. Hausverwalter müssen daher in ihrem Alltag dafür sorgen, dass keine offenen Dateien oder Links in E-Mails angeklickt und geöffnet wer­den, es sei denn, sie vertrauen dem Absender. Auch Sticks oder Geräte mit USB-Anschluss sollten nur dann angeschlossen werden, wenn sie dem Absender vertrauen. Ebenso klar ist, dass niemandem die persönlichen Pass­wörter mitgeteilt werden.

Die Technik
Der zweite große Risikofaktor ist die Technik. Die Technik muss datenschutzfreundlich gestaltet und voreingestellt sein. Und hier geht es mit den Passwör­tern weiter. Das häufigste Passwort ist „123456“, gefolgt von „123456789“. Derartige Passwörter und solche, die in einem Wörterbuch zu finden sind, können in weniger als einer Sekunde geknackt werden. Die Technik kann aber so gestaltet werden, dass derartige Passwörter nicht zulässig sind. In einer Passwortrichtlinie sollte festgelegt werden, wie lang das Passwort sein muss, welche Zeichen verwendet werden sol­len oder müssen und wie oft das Pass­wort geändert werden muss.

Bei der Technik gilt: Die Auswahl der Tools und der Partner ist sorgfältig vorzunehmen. Wenn Sie als Verwalter entscheiden, den Server auszulagern und eine Cloud-Lösung zu verwenden, ist wichtig, dass dabei die Regelungen der DSGVO eingehalten werden. Dies beginnt bei der Entscheidung über den Serverstandort, aber auch über die Auftragsverarbeiter. Mehr dazu erfahren Sie im Abschnitt „Daten­speicherung“.

Bei der Technik gilt weiter und es klingt trivial: Updates sollten unbe­dingt heruntergeladen werden. Die Technik muss auf dem neuesten Stand gehalten werden.

Nicht zuletzt ist es wichtig, dass – wann immer möglich – verschlüs­selt kommuniziert wird. Ein Weg der digitalen Kommunikation ist die per E-Mail. Bei der Kommunikation per E-Mail kann sowohl die Übertragung als auch die E-Mail selbst ver­schlüsselt werden. Bei der Über­tragung ist dies standardmäßig der Fall. Aber auch die E-Mail selbst sollte verschlüsselt werden. Hier gibt es verschiedene Wege, wie die clientbasierte Verschlüsselung, die serverbasierte Verschlüsse­lung, die passwortbasierte Ver­schlüsselung oder die PKI-basierte Verschlüsselung. Tatsächlich ist bei diesen Arten der Kommunikation immer die Voraussetzung, dass bei beiden Kommunikationspartnern die entsprechenden technischen Voraussetzungen erfüllt sind. Um dieses Problem zu umgehen, kön­nen Sie auch so vorgehen: Sie ver­senden personenbezogene Daten nicht in der E-Mail, sondern als verschlüsselten Anhang zur E-Mail und hier am besten nicht als offene Datei, sondern zum Bei­spiel als pdf-Dokument. Dieses können Sie mit einem Passwort ver­sehen. Dieses Passwort teilen Sie dann dem Empfänger der E-Mail mit, sodass dieser das Dokument öffnen kann. Die Mitteilung sollte aber nicht per E-Mail erfolgen, sondern auf einem anderen Kommunikationsweg, z.B. per Telefon.

Eine verschlüsselte Kommunikation ist in der Regel auch über die entsprechen­den Portale möglich. Die Daten wer­den hierbei nicht „versendet“, sondern der Empfänger der Daten schaut sich diese nur an. Hier ist es ebenso wich­tig, Unberechtigte auszuschließen. Dies geschieht über die Anmeldung bzw. Authentifizierung auf diesem Portal. Stand der Technik ist die so genannte Zwei-Faktor-Authentifizierung. Das bedeutet, der Nutzer hat einen Benut­zernamen und ein Passwort. Bei der Anmeldung wird dann aber noch ein weiteres Merkmal abgefragt, wie eine PIN, die per SMS versandt wurde. Die Faktoren können aber auch andere sein, wie ein Fingerabdruck, eine Bankkarte oder ein Sicherheits-Token.

Abschließend sei darauf hingewie­sen, dass die Kommunikation über einen Messenger-Dienst meist datenschutzrechtlich bedenklich ist. Die Nutzung von WhatsApp wird von Hamburgs Datenschutzbehörde kritisiert, weil Daten wie Standort­daten und Adressdaten ungefragt an Facebook weitergegeben werden. Es sind aber auch Messenger auf dem Markt verfügbar, über die ver­schlüsselt und ohne personenbezo­gene Angaben kommuniziert werden kann. Allerdings haben diese Dienste oft den Nachteil, dass sie nicht weit verbreitet sind.

FAZIT
Wählen Sie unter den prak­tikablen Tools diejenigen aus, die in den Anwendungs­bereich der DSGVO fallen und über die verschlüsselt kommuniziert werden kann! Schulen Sie Ihre Mitarbeiter im Umgang mit personen­bezogenen Daten und der Technik! Sensibilisieren Sie sie für die Gefahren!

Datenspeicherung

Viele Unternehmen lagern den physi­schen Standort ihres Servers aus dem eigenen Unternehmen aus oder nut­zen Cloud-Dienste als Datenspeicher. Bei der Wahl des Hosting-Anbieters stellt sich die Frage, ob der Server-standort eine Rolle für den Daten­schutz spielt – und gegebenenfalls welche.

Unternehmenssitz und Server innerhalb von Deutschland oder der EU
Wenn das Hosting-Unternehmen sei­nen Sitz in Deutschland hat und der Server sich ebenfalls in Deutschland befindet, dann ist die DSGVO und das deutsche Bundesdatenschutzgesetz (§ 1 Abs. 4 Nr. 1 BDSG) anwendbar. Dasselbe gilt, wenn das verarbeitende Unternehmen mit Sitz in Deutsch­land einen Serverstandort im EU-Aus­land hat. Über die Anwendbarkeit des deutschen Datenschutzrechts ent­scheidet – unabhängig vom Ort der Datenverarbeitung – nämlich der Sitz des Unternehmens (§ 1 Abs. 4 S. 2 Nr. 2 BDSG).

Hat das Unterneh­men eine Niederlas­sung außerhalb von Deutschland, aber innerhalb der EU, dann ist zwar die DSGVO anwendbar (Art. 3 Abs. 1 DSGVO). Ansonsten gilt hier aber das natio­nale Datenschutzrecht des EU-Staates, in wel­chem sich die Nieder­lassung befindet.

Server in Dritt­staaten außer­halb der EU oder Hosting-Anbieter in Drittstaaten
Wenn sich der Unter­nehmenssitz oder der Serverstandort in einem Drittstaat außerhalb der EU befindet, z.B. in den USA, dann gilt aus­schließlich das Datenschutzrecht des jeweiligen Drittlands, also z.B. ameri­kanisches Recht. Einige Drittstaaten verfügen nicht über dasselbe Datenschutzniveau wie die EU, insbesondere auf Grund von Rechtsvorschriften, die Zugriffsmöglichkeiten von Behörden auf personenbezogene Daten zulassen. Der EuGH hat in seinem Urteil in der Sache C-311/18 (Schrems II) insoweit u. a. festgestellt, dass die damaligen Standardvertragsklauseln keine geeigneten Garantien zur Legitimation des Daten­transfers von der EU in ein Drittland wie die USA darstellen, weil der Daten­importeur, d. h. das US-Unternehmen, seine Verpflichtung zur Gewährleistung eines adäquaten Datenschutzniveaus wegen der behördlichen Zugriffsrechte gar nicht erfüllen kann.

Im Nachgang zu diesem Urteil stellte sich die Frage, ob bei der Beauftra­gung eines Unternehmens in einem unsicheren Drittstaat wie den USA die Wahl eines Serverstandorts innerhalb der EU eine wirksame Maßnahme dar­stellen kann, um behördliche Zugriffe zu vermeiden und damit den Daten­transfer auf der Basis der neuen EU-Standardvertragsklauseln legal zu ermöglichen. Die Antwort lautet aber leider nein! Amerikanische Unter­nehmen sind nach den nationalen Gesetzen grundsätzlich verpflich­tet, US-Behörden Zugriff auf die von ihnen verarbeiteten Daten zu erlau­ben, ohne dass es eine Rolle spielt, an welchem physischen Standort sich der Server für die Daten befindet.

Vom Europäischen Datenschutzausschuss EDSA wird klargestellt, dass auch der Fernzugriff aus einem Dritt­land auf Daten innerhalb der EU als Übermittlung im Sinne der DSGVO anzusehen ist. Damit wurde gleichzei­tig geklärt, dass für Hosting-Anbieter aus Drittländern keine Ausnahmere­geln gelten, auch wenn diese ihre Serverstandorte in die EU verlagern.

FAZIT
 Wenn man mit dem auf die Datenverarbeitungsvorgänge anzuwendenden Recht vertraut sein will, dann muss der Unternehmenssitz des verarbeitenden Unternehmens in Deutschland liegen und der Standort des Servers muss sich jedenfalls innerhalb der EU befinden. In diesem Fall gilt das deutsche BDSG. Handelt es sich bei dem verarbeitenden Unternehmen allerdings um eine Niederlassung außerhalb von Deutschland (aber innerhalb der EU), dann gilt das nationale Recht des EU-Staats, in welchem sich der Serverstandort befindet. In diesem Fall findet neben der DSGVO das jeweilige nationale Recht Anwendung.

Um Rechtssicherheit in Bezug auf Datentransfers in Drittländer zu haben, sind also Server bzw. Hosting-Anbieter, die ihren Sitz in der EU haben, die beste Option. Bei einem Sitz des Anbieters außerhalb der EU sind das Datenschutzniveau und die gegebenenfalls zu ergreifenden rechtlichen Transfermaßnahmen sehr sorgfältig zu prüfen und mit dem Anbieter zu vereinbaren. Allein der Standort des Servers innerhalb der EU oder innerhalb von Deutschland stellt keine geeignete Garantie für die Rechtmäßigkeit des Datentransfers dar.