Kontext der Organisation – Teil 1

Niemand ist eine Insel. Auch ein Unternehmen oder eine Organisation ist keine Insel. Es gibt immer einen Kontext, ein Umfeld, Schnittstellen und Abhängigkeiten. Eine Organisation die ein Informationssicherheits-Managementsystem aufbauen möchte muss diese Themen berücksichtigen.
Die Norm ISO/IEC 27001 greift diese Themen richtigerweise gleich zu Beginn der Implementierung auf. In Kapitel 4.1 „Verstehen der Organisation und ihres Kontextes“ wird dazu gesagt:
„Die Organisation muss externe und interne Themen bestimmten, die für ihren Zweck relevant sind und sich auf ihre Fähigkeiten auswirken, die beabsichtigten Ergebnisse ihres Informationssicherheits-Managementsystems zu erreichen“

Warum steht dieses Verständnis am Anfang, was gehört zum Kontext und welche Auswirkung hat es auf die Implementierung?
Wie die Norm selbst sagt, wirkt sich der Kontext auf die Fähigkeit einer Organisation aus, ihre Ziele bzw. beabsichtigten Ergebnisse zu erreichen. Die Ziele müssen aufgrund des Kontextes nicht angepasst werden, aber die Planung zur Erreichung der Ziele muss den Kontext berücksichtigen. Um eine realistische Planung zu machen (und die sollte am Anfang der Implementierung stehen) muss der Kontext verstanden und ausreichend berücksichtigt werden.
Der Kontext selbst wird an zwei wesentlichen Stellen der Norm wieder aufgegriffen. Zum einen können sich aus dem Kontext Risiken und Chancen ergeben, auf die die Organisation angemessen reagieren muss. Zum anderen beeinflusst der Kontext den Geltungsbereich des ISMS. Auf diese beiden Punkte wird in dieser Artikelserie noch eingegangen.

Was ist der Kontext?
Die Norm nennt hier „externe und interne Themen … die relevant sind“. Was das für Themen sein könnten wird in der Norm nicht weiter ausformuliert. Ein Blick über den Tellerrand in Richtung ISO 31000 und ISO 9001 lehrt uns folgendes:
1. „Themen“ können grundsätzlich sowohl positiv als auch negativ, d.h. förderlich oder hinderlich für die Informationssicherheit sein. Beides sollte berücksichtigt werden.
2. Um den externen Kontext zu verstehen sollten folgende Themen betrachtet werden:
a. Gesetze
b. Technologien
c. Wettbewerb
d. Markt
e. Kultur
f. Soziales Umfeld
g. Wirtschaftliches Umfeld
h. International, national, regional oder lokal.
3. Folgende Themen können den internen Kontext erläutern:
a. Unternehmenswerte
b. Kultur
c. Wissen
d. Leistungskultur

Um den Kontext zu verstehen ist es hilfreich diese Themen in einer offenen Diskussion aufzulisten. Dabei sollte großzügig und kreativ gearbeitet werden (was auch sehr lustig sein kann). Es ist immer möglich Themen im Nachgang als irrelevant zu verwerfen. Das ist besser als relevante Themen zu übersehen. Wurden Themen identifiziert, sollte bestimmt werden, inwieweit ein Thema tatsächlichen Einfluss auf die Zielerreichung haben kann. Dabei wird man vielleicht feststellen, dass manche Themen doch nicht so relevant sind, wie zuerst gedacht. Vielleicht werden dabei aber auch weitere relevante Themen identifiziert, die vorher nicht so offensichtlich waren.

Der nächste Schritt der Kontextbetrachtung ist die Identifikation der interessierten Parteien und deren Anforderungen an das Informationssicherheits-Managementsystem der Organisation (Kapitel 4.2 „Verstehen der Erfordernisse und Erwartungen interessierter Parteien“) Oft ergeben sich die interessierten Parteien aus den zuvor identifizierten Themen. Wird z.B. das ISMS in einem regulierten Umfeld umgesetzt, dann könnte die Aufsichtsbehörde zu den interessierten Parteien gezählt werden. Ein bestimmter Kunde mag Anforderungen an das ISMS der Organisation formuliert haben und wird so zur interessierten Partei. In einem anvisierten Marktsegment ist ein bestimmter Standard oder ein Sicherheitsniveau etabliert, das die Organisation mindestens erreichen muss um in diesem Segment Kunden zu gewinnen. Aus solchen Überlegungen ergeben sich die interessierten Parteien und deren Anforderungen. Um diese Anforderungen zu konkretisieren eignet sich eine Einfluss/Auswirkungsmatrix.

Das Verständnis der Organisation und des Kontextes muss bei der Definition des Geltungsbereichs berücksichtigt werden (4.3). Die Norm fordert von der Organisation die Grenzen des Geltungsbereichs zu bestimmen und zu dokumentieren und dabei die Erkenntnisse aus den Schritten 4.1 und 4.2 zu berücksichtigen. Zusätzlich müssen noch Schnittstellen und Abhängigkeiten berücksichtigt werden. Bei diesen geht es explizit um Tätigkeiten die von der Organisatin selbst durchgeführt werden und solchen, die außerhalb der Organisation durchgeführt werden. Hier kann Organisation im Sinne des Geltungsbereichs eher eng gefasst werden. Die Schnittstellen und Abhängigkeiten ergeben sich wiederum aus dem Kontext und den Anforderungen der interessierten Parteien.
Niemand ist eine Insel. Auch ein Unternehmen oder eine Organisation ist keine Insel. Ein Beispiel soll das verdeutlichen.
Ein Unternehmen, dass Software im Kundenauftrag entwickelt, denkt über die Implementierung eines ISMS nach. Die Kontextbetrachtung ergibt folgendes:
Das Unternehmen besteht seit 3 Jahren und wächst schnell. Zur Zeit sind dort über 50 Mitarbeiter beschäftigt. Es gibt mehrere Entwicklerteams, die verschiedene Technologien abdecken und Auftragsentwicklung für verschiedene Kunden machen. Ein Team entwickelt ein Standardprodukt dass in den nächsten Jahren auf den Markt gebracht werden soll. Zusätzlich gibt es den Bereich Projektmanagement, Vertrieb und HR, sowie die Bereiche Marketing, Controlling, Finance und Geschäftsführung. Die interne IT ist an eine lokale IT-Firma outgesourced. Die Betreuung der Anwender der Auftraggeber übernimmt ein externes Callcenter. Dessen Mitarbeiter pflegen auch die Dokumentation der Software und machen die User Acceptance Tests.
Der Branche ist nicht reguliert aber es gibt anwendbare Gesetze wie BDSG (EU-DSGVO), TMG und TKG, da Kunden des Unternehmens bei der Anwendung der entwickelten Software in den Geltungsbereich dieser Gesetze fallen. In der Branche etabliert sich die Norm ISO/IEC 27001 als Standard und einige Kunden haben beim Vertrieb bereits nach einer Zertifizierung gefragt. Es zeichnet sich ab, dass einer der größten Kunden die Zertifizierung für Zulieferer demnächst fordern wird.
Das Unternehmen hat seinen Sitz in einem großen Bürokomplex und teilt sich die Fläche mit einem weiteren Unternehmen, dass einer der Geschäftsführer gegründet hat. Zwei dort beschäftigte Softwaretester unterstützen die Entwickler bei der Qualitätskontrolle. Die Zutrittskontrollen, ebenso wie Versorgungsleitungen (Strom, Wasser, Telefon) werden von der Gebäudeverwaltung gestellt. Das Softwarerepository liegt auf einem GitHub Server bei einem großen RZ-Betreiber. Entwickler verwenden z.T. Funktionen aus zugekauften oder frei verfügbaren Bibliotheken. Die Entwickler stammen aus verschiedenen europäischen Ländern und sprechen untereinander hauptsächlich englisch.
Hier einige Beispiele, welche Auspekte aus dieser kurzen Betrachtung abgeleitet werden können.

Interne Themen:
internationales Entwicklerteam
Mehrsprachigkeit
Fremdfirma in den selben Räumlichkeiten
Externe Themen:
Branchenstandard ISO 27001
Wesentliche Sicherheitsfunktionen werden extern geliefert
Kunden fordern ISMS
Zugriff auf Kundendaten im Rahmen von Softwareentwicklung

Interessierte Parteien und deren Anforderungen
Aufsichtsbehörden – Kontrolliert die Einhaltung von Regulatorien und gibt Orientierungshilfen heraus
Kunden (evtl. ein besonderer Kunde) – möchte Informationssicherheit in ausgegliederter Softwareentwicklung sicherstellen und fordert ein ISMS nach ISO 27001 (Frage: Gibt es einen Sicherheitskatalog des Kunden, der eingehalten werden muss?)
Mitarbeiter – benötigen Unterlagen und Training in verschiedenen Sprachen
Geschäftsführung – Möchte Prozesse und Methoden auch in anderen Unternehmen übernehmen, Forciert Lean Management, Wirtschaftlichkeit soll bei der Implementierung ISMS berücksichtigt werden, macht konkrete Time/Budget Vorgaben

Schnittstellen/Abhängigkeiten:
Gebäudeverwaltung – stellt Zutrittskontrollen und Versorgungsleitungen zur Verfügung
RZ-Betreiber – hostet GitHub
Hersteller – liefern Bibliotheken für die Softwareentwicklung
Fremdfirma – Qualitätssicherung in der Softwareentwicklung
Fremde IT-Firma – Betreut die lokale IT
Callcenterbetreiber – Anwenderbetreuung, Dokumentation und User Acceptance Test

Bei der Gestaltung des Geltungsbereichs müssen die identifizierten Themen, interessierte Parteien sowie Schnittstellen und Abhängigkeiten berücksichtigt werden.

Im zweiten Teil des Beitrags werden verschiedene mögliche Geltungsbereichsdefinitionen analysiert.

Was macht ein gutes internes Audit aus?

Jedes Managementsystem sollte auf kontinuierliche Verbesserung ausgelegt sein. Ein Managementsystem, dass nur den Status Quo aufrechterhält ist kaum erstrebenswert. So ist kontinuierliche Verbesserung auch eine Kernanforderung eines Informationssicherheits-Managementsystems nach ISO/IEC 27001.
Ein Werkzeug zur Identifikation von Verbesserungspotential kann das interne Audit sein. Per Definition ist ein Audit ein systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiven Auswertung, um zu ermitteln, inwieweit Auditkriterien erfüllt sind. Als „intern“ wird ein Audit bezeichnet, wenn es in der Verantwortung der Organisation selbst liegt, die Auditkriterien und den Umfang des Audits festzulegen. Die obengenannte Definition klingt erst mal nach einer simplen schwarz-weiß Angelegenheit. Vielfach wird unter einem Audit tatsächlich das simple Abhaken von Checklisten verstanden. Dem ist aber nicht so. Die Vorgaben der ISO/IEC 27001 sind bewusst so generisch gestaltet, dass sie von Organisationen aller Art unabhängig von Größe, Struktur und Branche umgesetzt werden können. Dieser enorme Gestaltungsspielraum verlangt vom Auditor eine fachmännische Einschätzung der Umsetzung. Zudem fordert die Norm an vielen Stellen die wirksame Umsetzung. Der Auditor muss daher die Wirksamkeit der Umsetzung beurteilen.
Ein erfahrener Auditor kann also nicht nur erkennen, ob die Anforderungen umgesetzt sind, sondern kann auch die Wirksamkeit der Umsetzung beurteilen und hierzu Verbesserungsvorschläge liefern. Zudem kann er auch die Effizienz der Umsetzung bewerten und Hinweise liefern, die zu tatsächlichen Einsparungen führen. Effizienz wird in der Norm ISO/IEC 27001 nicht berücksichtigt, spielt aber natürlich in vielen Implementierungen eine Rolle und ist zumindest erwünscht, wenn nicht sogar eine Managementvorgabe.
Das Ziel ist demnach ein internes Audit durchführen zu lassen, dass nicht nur die Normkonformität bestätigt, sondern auch Verbesserungsvorschläge zu Effektivität und Effizienz liefert. Wie kann dieses Ziel erreicht werden?
An erster Stelle steht dabei natürlich die Auswahl des richtigen Auditors. Den richtigen Auditor zu finden ist nicht einfach, den falschen dagegen schon. Die Norm fordert in Kapitel 9.2 d) von der Organisation bei der Auswahl von Auditoren auf die Objektivität und Unparteilichkeit des Auditors zu achten. Ein Auditor der nicht unparteilich und objektiv das Audit durchführen kann ist demnach der falsche Auditor. Das kann durchaus auf Mitarbeiter der eigenen Organisation zutreffen. Unter Umständen sind eigene Mitarbeiter nicht unparteilich und objektiv. Dazu zählen Mitarbeiter die selbst an der Implementierung der Norm beteiligt waren. Ganz sicher trifft das auf Berater zu, die im Auftrag der Organisation die Implementierung unterstützt oder sogar verantwortet haben. Den Berater das interne Audit machen zu lassen ist eine wirklich schlechte Idee. Wie wird er wohl seine eigene Arbeit bewerten? Wird er tatsächlich relevante Abweichungen feststellen und Verbesserungspotential identifizieren? Dasselbe mag auch auf einen von ihm persönlich ausgewählten und empfohlenen Auditor zutreffen. (Auditoren die Zertifizierungsaudits durchführen müssen der Zertifizierungsstelle gegenüber erklären, dass sie in den vergangenen 2 Jahren nicht beraterisch für diese Organisation tätig waren, um die Objektivität und Unparteilichkeit des Auditprozesses sicherzustellen. Dasselbe sollte auch auf Auditoren im internen Audit zutreffen.) Es darf nicht vergessen werden, dass ein unparteilich und objektiv durchgeführtes internes Audit eine Normforderung ist und sich daher auf das Ergebnis des Zertifizierungsaudits auswirkt.
Ungeeignet sind auch Auditoren, die mit den Methoden der Audits von Managementsystemen nicht ausreichend vertraut sind und über kein ausreichendes Verständnis der Informationssicherheit verfügen. Leider ist der Begriff „Auditor“ nicht geschützt. Jeder darf sich Auditor nennen, Auditor auf seine Visitenkarte schreiben und in seinem Xing-Profil den Titel Auditor führen. Auch die Begriffe „Lead Auditor“ und „ISO 27001 Auditor“ sowie diverse Variationen davon sind nicht geschützt und werden auch sehr großzügig verwendet. Über die Qualifikation des Auditors geben sie sehr wenig Auskunft. Woran lässt sich die Qualifikation eines Auditors erkennen? Auf diese Frage gibt es keine Pauschalantwort. Sicher lässt sich aber einiges dazu herleiten.
Unter 9.2 c) fordert die Norm ein Auditprogramm in dem unter anderem die Auditmethoden festgelegt sind. Die übliche Methode ist beschrieben in der Norm ISO 19011. Ein qualifizierter Auditor ist mit dieser Norm vertraut und kann über entsprechende Zertifikate seine Fachkenntnis nachweisen. Eine weitere, unabhängige Bestätigung ist die Akkreditierung durch die Dakks, die Deutsche Akkreditierungsstelle. Ein akkreditierter Auditor hat nicht nur seine Kenntnis der Methode nachgewiesen, sondern verfügt über eine ausreichende Berufserfahrung im Bereich der Informationssicherheit.
Die Wahl des richtigen Auditors und der richtigen Methode wirkt sich maßgeblich auf die Qualität des Audits aus. Aber es gibt weitere Aspekte zu berücksichtigen.
In 9.2 werden zwei weitere Aspekte genannt: Auditkriterien (9.2d) und Berichterstattung (9.2c). Üblicherweise liefert die Norm selbst die Auditkriterien für interne Audits, sofern es dabei rein um Normkonformität geht. In vielen Fällen wird auch die Maßnahmenumsetzung oder Konformität zum eigenen Regelwerk als Auditkriterium herangezogen. In beiden Fällen spielt Effizienz eine höchstens untergeordnete Rolle. Gerade im internen Audit kann aber Effizienz als Auditkriterium definiert werden und die Organisation kann den Auditor beauftragen nicht nur Konformität und Wirksamkeit zu bewerten sondern auch ein Auge auf die Effizienz der Prozesse zu haben. Bewertung der Effizienz bzw. Identifikation von Verbesserungspotential kann auch als Auditziel festgelegt werden. Die Auditziele sollten im Vorfeld mit dem Auditor festgelegt werden und der Auditor wird diese nach ISO 19011 sowohl im Auditplan explizit aufführen sowie im Auditbericht bestätigen, dass die Auditziele erreicht wurden (oder auch nicht.)
Das führt zum dritten Aspekt nämlich der Berichterstattung. Ein qualifizierter Auditor liefert einen entsprechend aussagekräftigen Bericht. Die Anforderungen an die Berichterstattung muss aber die Organisation selbst definieren. Wenn mit dem Auditor keine Anforderungen vereinbart wurden, liegt die Auswahl der Inhalte beim Auditor. Die Norm ISO 19011 liefert eine Liste an Mindestbestandteilen eines Auditberichts sowie weitere sehr nützliche Anregungen. Eine dieser Anregungen: „Empfehlungen für Verbesserungen“. Es macht hochgradig Sinn im Auditprogramm festzulegen was in einem Auditbericht alles enthalten sein muss. Der Auditor wird das dann berücksichtigen und den Bericht entsprechend gestalten.
Ein Audit, dass von einem qualifizierten, unabhängigen Auditor durchgeführt wurde, mit dem Auditziel u.a. Möglichkeiten zur Verbesserung zu identifizieren und entsprechend zu berichten kann einen wesentlichen Beitrag zur kontinuierlichen Verbesserung des Managementsystems leisten und erfüllt nicht nur die Anforderung der Norm ein internes Audit durchzuführen. Ein hochwertiges internes Audit liefert auch eine gute Grundlage für das Zertifzierungsaudit und schafft Vertrauen in die Leistung des Managementsystems. Ein hochwertiges internes Audit mag Mehraufwand sowohl intern wie auch extern bedeuten, aber es kann Impulse für Verbesserungen und Effizienzsteigerung liefern, welche wiederum Einsparungen an anderen Stellen bedeuten können.

Was bedeutet eine Zertifizierung nach ISO/IEC 27001?

Die internationale Norm ISO/IEC 27001 beschreibt ein Informationssicherheits-Managementsystem (ISMS). Ein Managementsystem besteht aus Leit- und Richtlinien, Prozessen und Verfahren, Dokumenten und Aufzeichnungen, Kontrollmechanismen und Leistungsbewertungen sowie aus Maßnahmenzielen und Maßnahmen. Das ISMS orientiert sich dabei am PDCA-Zyklus um eine kontinuierliche Verbesserung der Informationssicherheit und des Managements der Informationssicherheit zu erreichen.
Die Anforderungen an das Managementsystem sind in den Kapiteln 4 – 10 der Norm beschrieben. Diese stellen die Mindestanforderungen dar und müssen für eine erfolgreiche Zertifizierung erfüllt sein. Der Anhang A definiert Maßnahmenziele und Maßnahmen zur Verbesserung bzw. Aufrechterhaltung der Informationssicherheit. Diese Maßnahmen sind an die spezifischen Anforderungen der Organisation anzupassen und entsprechend umzusetzen.
Zertifiziert wird das Managementsystem und nicht das Sicherheitsniveau. Das zu erreichende Sicherheitsniveau definiert die Organisation, ausgehend von der Bewertung der Informationssicherheitsrisiken, selbst. Das Zertifizierungsaudit bestätigt die Einhaltung der Mindestanforderungen der Norm an das ISMS, sowie die korrekte Umsetzung der Maßnahmen des Anhang A. Korrekt heißt in diesem Zusammenhang, dass die Umsetzung entsprechend den Anforderungen der Organisation selbst erfolgt ist.
Es ist also verkehrt, davon auszugehen, dass die Zertifizierungsreife dadurch gegeben ist, dass ein hohes Sicherheitsniveau besteht. Dieses Missverständnis ist aber leider oft anzutreffen.
Eine neutrale Bewertung im Rahmen eines Vor-Audits kann hier für Klarheit sorgen.

Das Double Opt-In Verfahren und die Nachweispflicht zur Einwilligung

Einleitung

Für den Versand von Werbung per e-mail sieht das Gesetz gegen den unlauteren Wettbewerb (UWG) eine vorliegende Einwilligung als Erlaubnistatbestand vor. Fehlt die Einwilligung, liegt eine Belästigung vor und auch ein Verstoß gegen das Wettbewerbsrecht.

  • 7 UWG sagt auszugsweise:

——————–

(2) Eine unzumutbare Belästigung ist stets anzunehmen

  1. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt, …[1]

——————-

Um der Einwilligung mehr Gewicht zu verleihen hat sich das Double Opt In (DOI) Verfahren weitestgehend durchgesetzt. Das DOI Verfahren ist aber in der überwiegenden Anzahl von Fällen ein rein elektronisches Verfahren und es stellt sich immer wieder die Frage nach einem rechtssicheren Umgang und der Erfüllung der notwendigen Nachweispflichten.

Wie funktioniert DOI?

Betrachten wir das Verfahren anhand einer Newsletterbestellung. Hierbei geht es nicht um die Frage, ob ein Newsletter Werbung darstellt, sondern nur um die Beschreibung des DOI Verfahrens.

Beispielkunde Thomas D. registriert sich auf der Website eines Musikartikelherstellers für dessen Newsletter. Diese Registrierung stellt den ersten Teil des DOI Verfahrens dar und ist für sich genommen schon mal ein Single Opt-In, denn Thomas D. muss seine Daten hinterlassen und seine Einwilligung durch die Bestellung des Newsletters erklären. Der Musikartikelhersteller sendet daraufhin eine E-Mail an Thomas D. mit der Bestätigung der erhaltenen Registrierung und der Bitte/Aufforderung den Wunsch nach Erhalt des Newsletters durch einen Klick auf einen sogenannten DOI Link zu bestätigen. Dieser Link führt in der Regel auf eine besondere Seite (Landingpage) des Versenders des Newsletter. Unter dieser Adresse wird registriert, dass Thomas D. den Link angeklickt hat. Dieser Link wird üblicherweise dynamisch generiert, d.h. für jede registrierte E-Mail sieht der Link etwas anders aus. So kann der Link eindeutig einer E-Mail zugeordnet werden.

Rechtssicherheit?

Im Internet liest man immer wieder Artikel von Leuten die behaupten, sie könnten den Umgang mit DOI rechtssicher gestalten. Das ist mit Vorsicht zu genießen, denn absolute Rechtssicherheit kann es hier nicht geben. Das DOI Verfahren ist gesetzlich nicht geregelt und die wenigen Urteile die es dazu gibt sind zum Teil sehr unterschiedlich und lassen in ihrer Begründung oft weiteren Spielraum. Es ist also schwer eine Anleitung zu verfassen mit dem Anspruch der Rechtssicherheit. Es ist aber möglich die aktuelle Rechtsprechung zu analysieren und daraus Handlungsempfehlungen abzuleiten.

Gesetze

Relevant für die Beurteilung des DOI Verfahrens sind vorrangig das UWG und das TMG. Betrachten wir zuerst den §7 UWG:

 

„(2) Eine unzumutbare Belästigung ist stets anzunehmen

  1. bei Werbung unter Verwendung einer automatischen Anrufmaschine, eines Faxgerätes oder elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt,“

 

Es ist also eindeutig: liegt eine vorherige ausdrückliche Einwilligung nicht vor, so gilt die Bewerbung per E-Mail als unzumutbare Belästigung[2]. Die „ausdrückliche Einwilligung“ schließt auch die Vorbelegung des Häkchen zur Bestellung eines Newsletters oder der Zustimmung zu Werbung aus, denn dann wäre keine Willenserklärung des Empfängers mehr zu erkennen.

 

Da es sich bei dem Versand von E-Mail um einen Telemediendienst handelt müssen wir als Nächstes die Anforderungen an eine wirksame Einwilligung im Sinne des Telemediengesetzes ansehen[3]. §13 TMG definiert die Anforderungen an elektronische Einwilligung wie folgt:

 

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  2. die Einwilligung protokolliert wird,
  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

 

Für diese Betrachtung ist im Besonderen der Punkt 2. wichtig, denn darauf stützt sich die Nachweispflicht. Gerade diese Nachweispflicht ist immer wieder Gegenstand von Diskussionen und auch Gerichtsverhandlungen, denn das Gesetzt macht keine Vorgaben auf welche Weise und in welchem Umfang die Einwilligung zu protokollieren ist.

Die Nachweisproblematik

Um die Problematik begreiflich zu machen, müssen wir das DOI Verfahren in seine einzelnen Bestandteile zerlegen. Da wäre zu Beginn die erste Einwilligung. Beispielkunde Markus H. registriert sich für den Newsletter. Der Musikartikelhersteller hat jedoch keine Möglichkeit zu verifizieren, dass es sich bei dem Beststeller tatsächlich um Markus H. handelt, oder ob jemand anders im Namen von Markus H. (vielleicht ohne dessen Wissen) diesen Newsletter an die E-Mail Adresse von Markus H. schicken lassen möchte. In diesem Schritt ist also ein Nachweis, das Markus H. den Newsletter bestellt hat nicht möglich.

Schauen wir uns den zweiten Schritt an. Der Musikartikelhersteller versendet eine E-Mail an Markus H. mit der Bitte um Bestätigung der Registrierung. Diese Mail wird üblicherweise von einem Versandportal generiert und verschickt. Es handelt sich hierbei also nicht um eine von einem Menschen geschriebene und verschickte E-Mail, die man zum Nachweis mal einfach so aus einem Postfach ziehen kann, sondern um eine flüchtige, nur für diesen Zweck generierte E-Mail, die üblicherweise auch nicht beim Versender irgendwo gespeichert ist. Der Nachweis, dass Markus H. die Bestätigungsmail bekommen hat ist nicht unmöglich, aber schwierig.

Der finale Schritt besteht nun daraus, dass Markus H. den Bestätigungslink anklickt. Dieser Klick kann protokolliert werden, d.h. ich kann protokollieren, dass jemand den Link angeklickt hat, der nur für die E-Mail Adresse von Markus H. gültig war. Diese Aktion kann ich mit einem Zeitstempel und der IP-Adresse die zu dem Rechner gehört, auf dem der Link geklickt wurde, abspeichern. Hieraus lässt sich also ein gewisser Nachweis ableiten, denn ich muss davon ausgehen können, dass Markus H. tatsächlich der Besitzer des E-Mail Postfachs ist und dass er bewusst auf den Bestätigungslink geklickt hat. Die Speicherung der IP-Adresse bringt allerdings nur bedingt einen Mehrwert, denn die Zuordnung kann nur über einen begrenzten Zeitraum (üblicherweise 6 Monate) durchgeführt werden.

Wie sieht die Rechtsprechung dazu aus?

Am wesentlichsten ist sicher die Entscheidung des BGH aus dem Jahr 2011 (Volltext). Grundsätzlich betrachtet der BGH das DOI Verfahren als geeignet um eine Einwilligung auf elektronischem Weg zu dokumentieren.

 

„Nach der Rechtsprechung des Senats hat der Werbende mit einem solchen Verfahren ausreichend sichergestellt, dass es nicht aufgrund von Falscheingaben zu einer Versendung von E-Mail-Werbung kommt (vgl. BGH, GRUR 2004, 517, 519 – E-Mail-Werbung I). „

 

In der Urteilsbegründung führt der BGH folgendes aus:

 

„Für den Nachweis des Einverständnisses ist es erforderlich, dass der Werbende die konkrete Einverständniserklärung jedes einzelnen Verbrauchers vollständig dokumentiert. Im Fall einer elektronisch übermittelten Einverständniserklärung setzt das deren Speicherung und die jederzeitige Möglichkeit voraus, sie auszudrucken. Die Speicherung ist dem Werbenden ohne weiteres möglich und zumutbar. Verfahren, bei denen unklar ist, ob eine Einverständniserklärung tatsächlich von dem angerufenen Verbraucher stammt, sind für den erforderlichen Nachweis ungeeignet.“

 

Hier liefert der BGH tatsächlich relevante Stichpunkte:

  1. … konkrete Einverständniserklärung …
  2. … jedes einzelnen Verbrauchers …
  3. … vollständig dokumentiert …
  4. … jederzeitige Möglichkeit …, sie auszudrucken.

 

Betrachtet man fortfolgende Urteile zu DOI von anderen Gerichten (Siehe Anhang A), so stellt man fest, dass die Beklagten vorrangig an diesen Anforderungen scheitern. D.h. es kann regelmäßig nicht ausreichend belegt werden, dass eine wirksame Einwilligung des Betroffenen vorliegt. Allerdings sagt auch der BGH nicht eindeutig, wie denn so ein Nachweis auszusehen hat. Der BGH merkt nur an, dass „Insbesondere … die Beklagte … keinen Ausdruck einer Bestätigungsmail vorgelegt …“ habe. Daraus kann man schließen, dass der BGH den Ausdruck einer Bestätigungsmail des Betroffenen als Nachweis akzeptieren würde. Allerdings sieht das DOI Verfahren keine Bestätigungsmail des Betroffenen vor, sondern nur eine Bestätigungsmail der verantwortlichen Stelle und eine „geklickte“ Bestätigung des Betroffenen.

 

Die Schwierigkeit liegt also darin, konkrete Nachweise für Vorgänge zu schaffen, die in der Praxis weitestgehend automatisiert sind, auf verschiedenen Systemen ablaufen und kaum Nachweise produzieren. Viele Anbieter speichern neben den Daten, die der Betroffene bei der Registrierung angibt noch die Adresse des Bestätigungslinks und die Uhrzeit bzw. Datum an dem der Betroffene den Link geklickt hat. Aus richterlicher Sicht fehlen hier aber wesentliche Bestandteile:

 

  1. Wie wurde der Betroffene angesprochen?
  2. Wie sah Registrierungsseite aus?
  3. Wie sah die Bestätigungsmail aus?
  4. Wurde dieser Link tatsächlich in diesen Betroffenen geschickt?
  5. Wie sah die Seite mit dem Bestätigungslink aus?
  6. Kann der Betroffene seine Einwilligung jederzeit einsehen und widerrufen?

 

Für jeden dieser Schritte gibt es rechtliche Vorgaben. Das Gericht möchte relativ lückenlos den gesamten Vorgang nachvollziehen können um zu akzeptieren, dass das DOI Verfahren im Fall des Betroffenen tatsächlich richtig angewandt wurde. Dazu gehört mehr als ein Timestamp in einer Datenbank. Wenn z.B. nicht nachvollziehbar ist, dass dieser Link tatsächlich an den Betroffenen geschickt wurde, wird das Gericht den Zeitstempel kaum als Nachweis akzeptieren. Auch die gespeicherte IP-Adresse ist an sich ausreichend, weil oftmals kein Bezug mehr zum Endgerät hergestellt werden kann. Auch eine exemplarische Darlegung des DOI Prozesses genügt regelmäßig nicht zur Erfüllung der Nachweispflicht.

Nachweise schaffen

Betrachten wir die einzelnen Schritte des DOI Prozesses und wie (beispielhaft) entsprechende Nachweise geschaffen werden können.

Erstansprache: Der Betroffene ist in irgendeiner Weise auf das Angebot aufmerksam gemacht worden. Das kann in einer Printwerbung, Online Anzeige oder sonstiges gewesen sein. Zu Beginn des DOI Prozesses sollte erfasst werden, wie der Betroffene auf das Angebot aufmerksam gemacht wurden. Dies kann durch die Verwendung von kanalspezifischen Links erreicht werden. Es muss ein Archiv vorhanden sein, in dem eine Kopie der entsprechenden Werbung, Banners oder sonstiges vorhanden ist und in dem Nachweis muss ein Bezug erkennbar sein. Damit kann ich dem Gericht entsprechend belegen, dass die Ansprache (hoffentlich) alle rechtlichen Vorgaben erfüllt und nicht gegen das UWG verstößt. Vor allem auf Transparenz sollte hier geachtet werden.

Registrierungsseite: Das Nutzerprofil des Betroffenen sollte einen Hinweis enthalten welche Version der Registrierungsseite der Nutzer verwendet hat und diese Version sollte dem Gericht vorgelegt werden können. Idealerweise lässt sich daraus die Seite mit den Angaben des Nutzer wieder befüllen und dem Gericht als Nachweis vorlegen. Auch hier wird das Gericht auf die Einhaltung rechtlicher Vorgaben wie Impressumspflicht, Transparenz usw. achten.

Bestätigungsmail: Eine Kopie der Bestätigungsmail kann als Nachweis dienen, dass der entsprechende Link tatsächlich an den Betroffenen geschickt wurde. Leider reicht hier als Nachweis ein Logeintrag im Mailserver nicht aus, weil daraus der Inhalt der Mail nicht rekonstruiert werden kann. Eine Rekonstruktion der Mail aus den vorhandenen CRM Daten reicht evtl. nicht als Nachweis. Eine Kopie der Mail an ein Archiv zu schicken schafft hier den nötigen Nachweis. Vielleicht kann die Mail auch an den entsprechenden Eintrag im CRM System gekoppelt werden, das erleichtert das Suchen. In Kombination mit dem Eintrag aus der Logdatei des Mailservers lässt sich hier ein fester Nachweis schaffen.

Bestätigungsseite: Die Bestätigungsseite sollte jederzeit wieder aufrufbar sein und den Status der Einwilligung zeigen sowie die Möglichkeit bieten die Einwilligung zu widerrufen. Idealerweise lässt sich diese Seite noch aus der Bestätigungsmail heraus aufrufen. Die Seite sollte jedoch auf einen geschützten Bereich verweisen und nicht ohne Authentifizierung personenbezogene Daten anzeigen. Eine Möglichkeit wäre, auf dieser Seite nur den Zeitpunkt der ursprünglichen Bestätigung und die registrierte E-Mailadresse anzuzeigen mit der Möglichkeit die Einwilligung zu widerrufen. Der Bestätigungslink sollte so aufgebaut sein, dass er nicht leicht erraten oder rekonstruiert werden kann. Der Link sollte auch keine personenbezogenen Daten wie E-Mailadresse oder Kundennummer enthalten.

 

Fazit

Das DOI Verfahren ist grundsätzlich das richtige Verfahren zu Verfizierung der Richtigkeit einer gemeldeten Empfängeradresse und zur Erlangung einer wirksamen Einwilligung in Werbemaßnahmen per E-Mail. Die meisten Implementierungen des DOI Verfahrens produzieren aber nicht die von Gerichten geforderten Nachweise. Die Schwachstelle liegt also nicht im DOI Verfahren an sich, sondern in der Implementierung und der Schaffung von Nachweisen. Da es keine gesetzliche Definition des DOI Verfahrens und der zu führenden Nachweise gibt, ergibt sich diese aus der Erwartungshaltung der angerufenen Gerichte. Die Schaffung dieser Nachweise ist aufwendig, aber nicht unmöglich. Durch eine lückenlose Kette an Nachweisen, die es dem Gericht ermöglichen die korrekte Implementierung des DOI Verfahrens nachzuvollziehen und eine korrekte Anwendung des DOI Verfahrens im zu beurteilenden Einzelfall zu erkennen, steigt die Wahrscheinlichkeit eine entsprechende Klage abzuweisen.

Eine unabhängige Prüfung des implementierten DOI Verfahrens durch einen Experten kann Schwachstellen in der Nachweiskette aufzeigen und helfen diese wirksam zu schließen. Dadurch können vorbeugend Nachweise geschaffen werden, die im Fall einer Klage vor Gericht verwandt werden können.

 

 

[1] Das UWG definiert im §7 weitere Erlaubnistatbestände. Sie sind aber nicht Gegenstand dieser Betrachtung. Zur Vereinfachung gehen wir davon aus, dass diese Erlaubnistatbestände nicht erfüllt. Im Einzelfall ist das natürlich zu prüfen, da sich durch diese Erlaubnistatbestände evtl. nicht mehr die Notwendigkeit des Double Opt-In Verfahrens ergibt.

[2] Die Ausnahmen zu dieser Regelung sind nicht Gegenstand dieser Betrachtung.

[3] Die Anforderungen an eine Einwilligung nach BDSG kommen hier nicht zum Tragen, da das TMG vorrangig ist.

 

Relevante Urteile:

Amtsgericht Düsseldorf, 23 C 3876/13

 

Auszug aus der Urteilsbegründung:

Die Versendung eines Rundbriefs mittels E-Mail ist als E-Mail Werbung einzuordnen. Unerbeten ist diese, solange kein Einverständnis vorliegt.

 

Die Beklagtenseite trägt die Darlegungs- und Beweislast für eine wirksame vorherige ausdrückliche Einwilligung eines Verbrauchers in Marketing- oder Werbemaßnahmen in Form von Telefonanrufen oder über andere elektronische Kommunikationsmittel.

 

Wird der Absender durch eine E-Mail um eine Bestätigung seines Teilnahmewunsches gebeten und geht diese Bestätigung beim Werbenden ein, so ist durch dieses Double-Opt-In Verfahren zwar grundsätzlich hinreichend sichergestellt, dass er in E-Mail Werbung an diese E-Mail-Adresse ausdrücklich eingewilligt hat. Für den Nachweis des Einverständnisses ist es jedoch erforderlich, dass der Werbende die konkrete Einverständniserklärung jedes einzelnen Verbrauchers vollständig dokumentiert. Ein Zeuge, der nur die ordnungsgemäße Durchführung des Double-Opt-In Verfahrens bezeugen, aber keine konkreten Angaben dazu machen kann, ob ein Einverständnis mit Werbeanrufen erklärt wurde, kann die erforderliche konkrete Dokumentation des Einverständnisses nicht ersetzen

 

 

LG Bonn, Urteil vom 10.01.2012, Az. 11 O 40/11

 

Auszug aus der Urteilsbegründung

Die Beklagte trägt die Darlegungs- und Beweislast für eine wirksame vorherige ausdrückliche Einwilligung eines Verbrauchers in Marketing- oder Werbemaßnahmen in Form von Telefonanrufen oder über andere elektronische Kommunikationsmittel.

Diese Schutzzweckerwägungen führen indes zu der prozessualen Konsequenz, dass der Nachweis einer wirksamen Einwilligung des Verbrauchers mittels des hier zur Diskussion stehenden sogenannten „Double-Opt-In-Verfahrens” grundsätzlich voraussetzt, dass der Werbende die konkrete Einverständniserklärung des betroffenen Verbrauchers vollständig dokumentiert.

Da die Beklagte die von ihr behauptete konkrete Einverständniserklärung des Zeugen N indes nicht gespeichert hat, was deren jederzeitigen Ausdruck und Vorlage im Prozess mitbeinhaltet … fehlt es an der nach alledem erforderlichen überprüfbaren Darlegung einer wirksamen Einwilligung des Zeugen. Die vorgelegten exemplarischen Ausdrucke eines „Double-Opt-In-Verfahrens” (Anlage B #) sowie einer Auflistung der nach dem streitigen Beklagtenvortrag durch den Zeugen N eingetragenen Daten nebst einer IP-Nummer (Anlage B #), die einen übereinstimmenden Standort des entsprechenden Servers mit dem Wohnort des Zeugen dokumentieren soll, genügen – nicht zuletzt in Anbetracht der verbleibenden Dokumentationslücken – nicht.

Der Marktschreier (iBeacon)

Früher gab es Marktschreier. Auf einigen Märkten, z.B. Fischmärkten gibt es die manchmal noch. Die stehen vor ihrem Stand und schreien in die Menge was sie zu verkaufen haben. In Fürth, wo ich wohne, gibt es auf der Michaeliskirchweih den billigen Jakob. Der ist so ähnlich. Mit einem schicken Mikrofon um den Hals preist er in bestem fränkisch seine Waren an, erzählt Geschichten, macht sich über die Leute lustig. Es ist schon ein Erlebnis einfach nur vor seinem Stand zu stehen und ihm zuzuhören. Irgendwann kauft man dann doch was bei ihm. Marktschreier sind eine Seltenheit geworden. Man stelle sich nur mal einen Marktschreier in einem Einkaufszentrum vor, der die neueste Kollektion von X&Y beschreit. Wäre sicher mal lustig, aber auf Dauer nervig. Eine Alternative gab es bislang nur in Form von Schaufensterdekoration. Die muss auch „schreien“ damit der Kunde in den Laden kommt.
Seit einiger Zeit gibt es noch eine andere, neue Form des Markschreiers: Location Based Marketing. Im Grundsatz sitzt da der Markschreier im Handy/Tablet. Man geht an einem Laden vorbei und plötzlich popt eine Werbebotschaft des entsprechenden Ladens auf und lockt einem mit einem unwiderstehlichen Angebot herein. Der Traum eines jeden Marketers. Sollte man meinen. Es kann auch leicht der Albtraum werden, weil es ja auch noch Gesetzte gibt, die zu beachten sind. An der Zeit hier mal für Klarheit zu sorgen. Was ist erlaubt, was ist nicht erlaubt? Wo muss man vorsichtig sein und wie macht man Location Based Marketing ohne die Rechte der Betroffenen zu verletzen?

Wie funktioniert iBeacon?

Ein iBeacon (andere Technologien funktionieren ähnlich) ist ein Sendegerät. Es sendet einfach eine Kombination von Zahlen und Zeichen aus. Empfängt das Handy so einen Beacon, gibt es diesen an die Apps auf dem Gerät weiter. Die Apps gleichen den Code mit einer Datenbank ab in der dann steht, was sie jetzt machen sollen.

Ich stell mir das so vor: Ich entwickle eine Datenschutzapp (ein tolles Beispiel, oder?) und die App soll den Nutzer auf Dinge in der Stadt aufmerksam machen die interessant für den Datenschutz sind. Also platziere ich diverse iBeacons in der Stadt. Erkennt meine App einen iBeacon, dann bekommt sie von der Datenbank z.B. den Text geliefert „An dieser Stelle wurde 1911 der erste Datenschutzbeauftragte in Deutschland von einer wütenden Meute erschossen.“. Dieser Text erscheint dann in einer Nachricht auf dem Handy und der Nutzer freut sich, hat er doch was Neues gelernt.

Wo ist der Haken?

Das Telekommunikationsgesetz (TKG) regelt im § 98 die Nutzung von Standortdaten zur Bereitstellung von Diensten mit Zusatznutzen (relevante Stellen sind markiert).

  • Standortdaten, die in Bezug auf die Nutzer von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten verwendet werden, dürfen nur im zur Bereitstellung von Diensten mit Zusatznutzen erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Teilnehmer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat. In diesen Fällen hat der Anbieter des Dienstes mit Zusatznutzen bei jeder Feststellung des Standortes des Mobilfunkendgerätes den Nutzer durch eine Textmitteilung an das Endgerät, dessen Standortdaten ermittelt wurden, zu informieren. Dies gilt nicht, wenn der Standort nur auf dem Endgerät angezeigt wird, dessen Standortdaten ermittelt wurden. Werden die Standortdaten für einen Dienst mit Zusatznutzen verarbeitet, der die Übermittlung von Standortdaten eines Mobilfunkendgerätes an einen anderen Teilnehmer oder Dritte, die nicht Anbieter des Dienstes mit Zusatznutzen sind, zum Gegenstand hat, muss der Teilnehmer abweichend von § 94 seine Einwilligung ausdrücklich, gesondert und schriftlich gegenüber dem Anbieter des Dienstes mit Zusatznutzen erteilen. In diesem Fall gilt die Verpflichtung nach Satz 2 entsprechend für den Anbieter des Dienstes mit Zusatznutzen. Der Anbieter des Dienstes mit Zusatznutzen darf die erforderlichen Bestandsdaten zur Erfüllung seiner Verpflichtung aus Satz 2 nutzen. Der Teilnehmer muss Mitbenutzer über eine erteilte Einwilligung unterrichten. Eine Einwilligung kann jederzeit widerrufen werden.
  • Haben die Teilnehmer ihre Einwilligung zur Verarbeitung von Standortdaten gegeben, müssen sie auch weiterhin die Möglichkeit haben, die Verarbeitung solcher Daten für jede Verbindung zum Netz oder für jede Übertragung einer Nachricht auf einfache Weise und unentgeltlich zeitweise zu untersagen.

D.h. möchte ich den Standort eines Nutzers erfassen, dann muss ich ihn um Erlaubnis fragen, ich muss ihm jedes Mal, wenn ich seinen Standort erfasse eine Textnachricht schicken und ich muss ihm die Möglichkeit geben diese Funktion auszuschalten. Jeder hat das Recht sich anonym und unbeobachtet zu fühlen.

Diese Vorgaben machen den Einsatz von iBeacon oder anderen Location Based Services schwierig, denn auf den ersten Blick erscheint es unmöglich Location based, also Standortbasiert anzubieten ohne den Standort zu kennen.

Außerdem gibt es da noch das Gesetzt gegen den unlauteren Wettbewerb (UWG) das im § 7 definiert, das jede Werbung mittels elektronischer Post eine Belästigung darstellt, solange der Empfänger nicht vorher eingewilligt hat.

Das sind eine ganze Menge Einwilligungen und mit jeder Einwilligung muss man dem Nutzer ja auch ausführlich erklären was man denn genau mit seinen Daten macht. Das schreckt schon so manchen Marketer ab.

Wie macht man es richtig?

Der iBeacon an sich erfasst also schon mal überhaupt keine Daten, er sendet nur brav seinen Beacon und sein Einsatz steht nicht im Konflikt mit irgendwelchen Gesetzen. Der Standort wird nur erfasst, wenn die App sich bei der Datenbank oder dem Server meldet um zu fragen, was es denn jetzt tun soll. Genau an dieser Stelle muss man ansetzen. Grundsätzlich ist es ja gar nicht nötig den Standort zu erfassen. Es reicht ja der App die Message zu übergeben, die es jetzt dem Nutzer zeigen soll. Ist also der iBeacon in der App nicht mit einem Standort verknüpft und erfolgt die Abfrage der App in der Datenbank anonym, dann erfasse ich den Standort des Nutzers nicht und damit muss ich auch seine Einwilligung dazu nicht einholen. Trotzdem kann ich ihm einen Standortbasierten Mehrwert anbieten. Zugegeben das ist schon ein schmaler Grat, denn der Griff nach mehr Daten über den Nutzer ist sehr verlockend. Aber das hat nichts mit iBeacon zu tun, sondern mit dem Informationshunger der Marketingabteilung. Willst Du Information über den Nutzer, dann frag ihn danach. Willst Du ihn nicht danach fragen, dann respektiere seine Anonymität. Man kann iBeacon einsetzen ohne das TKG anwenden zu müssen.

Wie sieht es mit dem UWG aus? Darf ich Push-Mitteilungen verschicken? Bislang ist gerichtlich noch nicht geklärt, ob Push-Mitteilungen „elektronische Post“ im Sinne des UWG sind und damit als Belästigung anzusehen sind. Das mit der Belästigung von email kam ursprünglich mal davon, dass dadurch Ressourcen (Festplattenplatz) des Nutzers verschwendet wurden, weil die Mail ja auf dem Gerät des Nutzers gespeichert wird. In diesem Sinne kann man sagen, das Push-Mitteilungen da nicht darunter fallen, weil sie ja nicht auf dem Gerät des Nutzers gespeichert werden. Ob diese Ansicht aber zeitgemäß ist und ob die Gerichte diese Ansicht teilen bleibt abzuwarten. Ich denke nicht, dass die Sache so ausgehen wird. Ich empfehle meinen Kunden  die Einwilligung des Nutzers zum Versand von Push-Mitteilungen einzuholen. Das macht man bei der Installation der App. Dort werden in den AGB die Push-Mitteilungen erklärt und explizit die Zustimmung dazu (getrennt von der Zustimmung zu den AGB) eingeholt.

Fazit?

Moderne Marktschreierei ist möglich. Noch unterstützen wenige Geräte den iBeacon. Es gibt aber auch andere Ansätze, die von mehr Geräten unterstützt werden: Bluetooth, WiFi um nur einige zu nennen. Sie alle arbeiten mehr oder weniger nach dem selben Prinzip. Solange der Standort des Nutzers nicht erfasst und gespeichert wird und man die Einwilligung des Nutzers in den Empfang von Push-Mitteilungen hat kann man wie hier beschrieben gesetzeskonform Location Based Marketing betreiben. Hat man den Kunden dann in seinen Laden gelockt und zum Kauf bewegt, dann wird er an der Kasse sicher auch seine Mitgliedskarte, Clubkarte oder sonstiges Identifikationsmedium herzeigen und schon habe ich völlig legal seinen Standort erfasst, denn ich weiß ja jetzt wo (und was) er gekauft hat.

Was ist Datenschutz?

„Datenschutz? Na klar, unsere Daten sind sicher.“ Solche Aussagen höre ich in Gesprächen immer wieder. Viel zu oft wird der Begriff Datenschutz aber falsch verstanden oder angewandt. Es gibt dazu natürlich viel Information im Internet, aber mein Blog wird nicht vollständig sein, ohne Grundlagenartikel. Das hier ist so einer.

Zugegeben, der Begriff Datenschutz ist missverständlich. Die Franzosen haben es da etwas einfacher. Dort heißt der Datenschutz „Informatique et Libertés“, frei übersetzt „Informatik und Freiheiten“. Hier kommt der Gedanke rüber, dass durch die Informatik, also die automatisierte Verarbeitung von Daten die Freiheit bedroht sein könnte. Derselbe Gedanke liegt natürlich auch dem Datenschutzgesetz zu Grunde. Als 1970 das Hessische Datenschutzgesetz verabschiedet wurde sagte der damalige Ministerpräsident Albert Osswald: „Die Orwellsche Vision des allwissenden Staates, der die intimsten Winkel menschlicher Lebenssphäre ausforscht, wird in unserem Land nicht Wirklichkeit werden.“ (http://www.spiegel.de/spiegel/print/d-43176393.html). Das hessische Datenschutzgesetz war das weltweit erste formelle Datenschutzgesetz und diente als Vorbild sowohl für das Bundesdatenschutzgesetz, als auch die Landesdatenschutzgesetze. Wie der Aussage Osswalds zu entnehmen ist, ging es darum den Bürger vor dem Ausspionieren durch den Staat zu schützen. Ein Thema das heute so aktuell ist, wie damals, wenn nicht sogar noch aktueller. Es sollte die Daten des Bürgers vor unbeschränktem und vor allem unkontrolliertem Zugriff durch den Staat schützen. Darum Datenschutzgesetz.

Das Bundesdatenschutzgesetz ist nach wie vor ein Schutzgesetz (Gola/Schomerus BDSG §1 RN 3). Das BDSG selbst nennt als Schutzgegenstand das allgemeine Persönlichkeitsrecht. §1 (1) BDSG: „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Was ist das allgemeine Persönlichkeitsrecht? Da muss ich etwas weiter ausholen. Der Artikel 2 des Grundgesetzes sagt: „Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“ Der Bundesgerichtshof entschied 1958 dass dieser Artikel in Verbindung mit dem Artikel 1 GG „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.“ das allgemeine Persönlichkeitsrecht darstellt. Also: das Recht auf freie Persönlichkeitsentfaltung ist Teil der Würde des Menschen und daher vom Staat zu schützen.

Was aber braucht der Mensch zur freien Persönlichkeitsentfaltung? Die Liste umfasst im Moment 7 Punkte:

  • Recht am eigenen Namen
  • Recht am eigenen Bild
  • Recht am selbst Geschaffenen
  • Recht auf Achtung
  • Recht auf Vertraulichkeit von Wort und Schrift
  • Recht auf informationelle Selbstbestimmung
  • Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Diese Punkte sind seit 1958 vom BGH in verschiedenen Urteilen definiert worden und der Staat ist verpflichtet (Art. 1 GG) diese Rechte zu schützen. Der Datenschutz gründet sich natürlich überwiegend auf das Recht der informationellen Selbstbestimmung. Dieses Recht wurde im Volkszählungsurteil des BGH vom 15. Dezember 1983 etabliert. Der BGH kam zu dem Schluss dass die Volkszählung in der geplanten Form gegen Art. 2 GG in Verbindung mit Art. 1 GG verstösst.

Und wo ist jetzt die Relevanz für mich? Ein Mensch kann sich nur frei Entfalten, wenn er selber bestimmen kann, wer welche Information über ihn bekommt. Ein Mensch existiert immer in verschiedenen Kontexten, dem Arbeitsplatz, der Familie, dem Fußballverein usw. Ein Mensch muss die Möglichkeit haben diese Kontexte, auch informationstechnisch voneinander abzugrenzen. Sonst kann er sich nicht frei entfalten. Dieses Recht gehört zur Menschenwürde. Ein beobachteter Mensch wird sich anders verhalten, als jemand der nicht unter Beobachtung steht. Das ist völlig wertfrei zu sehen.

Wenn ich also nicht selbst bestimmen kann, welche Information über mich ich mit wem teile, ist meine Menschenwürde angetastet. Und genau das zu verhindern ist Aufgabe des Datenschutzes.

Meine Aufgabe als Datenschutzbeauftragter ist, dafür zu sorgen, dass ein Unternehmen die Rechte der Mitarbeiter und Kunden bzgl. Datenschutz wahrt.

 

Social Engineering? WhatsApp? Facebook? Ein Paradies für Hacker

Social Engineering? Was ist das? Schon mal gehört, aber betrifft mich das? Unter „Social Engineering“ versteht man das Erarbeiten von wichtigen Informationen durch Nutzung des sozialen Umfelds einer Person. Social Engineering ist eine der wichtigsten Methoden von Hackern. Die einfachste und oft in Filmen gezeigte Variante ist das Erraten des Passworts durch die Bilder, die so auf dem Schreibtisch rumstehen. Name vom Haustier, Geburtsdatum eines Kindes, Kosename des Partners usw. Das ist, naja sagen wir mal die Hollywoodvariante. Social Engineering ist aber tatsächlich sehr verbreitet. Warum? Weil Menschen mehr verraten als Computer. Das Ziel eines Hackers ist ja im Normalfall die Information die auf einem Computer gespeichert ist. Computer sind aber meistens nicht besonders geschwätzig. Sie sind so gebaut, dass sie ihre Information nur preisgeben im Tausch gegen ein Passwort oder andere Sicherheitsmechanismen. Aber in jedem Sicherheitskonzept ist immer der Mensch das schwächste Glied. Darum wird ein Hacker meistens versuchen über den Menschen an den Computer bzw. die Info zu kommen. Das hat aber nichts mit dem Erraten von Passwörtern zu tun. Ich versuche hier beispielhaft aufzuzeigen, wie ein Hacker vorgehen kann und wird. Dabei geht es mir nicht darum bestimmte Plattformen als unsicher zu verdammen, oder Panik bzw. Paranoia zu sähen, sondern zu zeigen, wie Hacker heute arbeiten.

Der Erstkontakt

Stell Dir vor Du blätterst in den Kleinanzeigen Deiner Zeitung. Dort verkauft Jaqueline aus Münster ihren alten Schülerschreibtisch und hat ihre Handynummer angegeben damit Du sie kontaktieren kannst. Jetzt wissen wir schon eine ganze Menge: Jaqueline wohnt in Münster, Name und Schülerschreibtisch lassen darauf schließen, dass sie ca. 20 Jahre alt ist und sie erwartet, dass Leute sie über ihre Handynummer kontaktieren. Wunderbar, genau was wir brauchen.

Recherche

Jetzt wollen wir ein bisschen was über Jaqueline wissen. Wir speichern die Handynummer in unserem Handy und da Jaqueline WhatsApp nutzt wird ihr Profilbild automatisch angezeigt. Mit Vorname, Wohnort, Handynummer und Foto ist es ein Kinderspiel Jaqueline auf Facebook zu finden. Ein paar Suchanfragen später habe wir sie. Ihr Profil sagt nicht allzuviel aus, weil sie ihre Privatsphäreneinstellungen richtig gesetzt hat. Aber wir erfahren wo sie zur Schule gegangen ist. Das ist ein sehr nützliches Detail, denn wer würde schon die Freundschaftsanfrage eines ehemaligen Klassenkameraden ablehnen, hehehe. Also erstellen wir uns schnell ein falsches Facebookprofil mit dem Namen eines anderen Schülers von dieser Schule (um welche zu finden, reicht ein Mausklick in Facebook, alternativ kann man auch Yasni oder ähnliches bemühen) und schicken Jaqueline eine Freundschaftsanfrage. Wir sind ein ehemaliger Mitschüler aus der Nachbarklasse. Freundschaftsanfrage ankzeptiert, wunderbar. Jetzt haben wir Zugang zu Jaquelines innerem Freundeskreise. Im Fall von Jaqueline sind das vielleicht 250 Freunde. Eine wahre Fundgrube.

Der Angriff

Was wir jetzt brauchen ist ein nicht besonders aktiver Freund. Da wir als Freund unbeschränkten Zugriff auf die Chronik und die Freundesliste von Jaqueline haben, können wir uns uneingeschränkt umschauen. Wir suchen jemanden der nicht viel postet und vielleicht schon länger nichts mehr gepostet hat. Vielleicht jemand mit einem gleichen Interessensgebiet wie Jaqueline. Ein Musikfan vielleicht, jemand der bestimmte Beiträge Jaquelines kommentiert. Wir finden Roman. Es scheint die beiden haben sich auf einem Konzert kennengelernt und für einige Zeit hat er auf Jaqueline Chronik Einträge hinterlassen, aber der letzte ist über 6 Monat alt. Ratet Mal: wir werden Roman. Ausgerüstet mit Romans Bild, einem Handy und Jaquelines Handynummer schicken wir Jaqueline eine WhatsApp Message als Roman. In dieser Message schicken wir Jaqueline ein bisschen Blabla, Bezug zu dem Konzert auf dem wir uns getroffen haben und das das Handy weg war, darum war so lange Funkstille, aber jetzt haben wir ein neues Handy und hier ist der Link zu einem Konzert unserer Lieblingsband in Deiner Nähe. Vielleicht können wir uns da treffen. Bäm. Der Link führt zu einer Website die einen Virus auf das Handy von Jaqueline lädt und dann zu der Konzertseite weiterleitet. Ein sogenannter Drive-By-Download. Das Ganze geht so schnell, das Jaqueline davon natürlich nichts merkt.
Mehrere Gründe sprechen dafür dass das funktionieren wird. 1. Jaqueline vertraut Roman, denn sie kennt ihn (er weiß gewisse Dinge, er hat ihre Handynummer, sie sieht sein Bild). 2. Jaqueline hat keinen Virenschutz auf ihrem Handy (denn das hat so gut wie niemand) 3. Handyviren kann man sich für ein paar hundert Euro im Internet kaufen.

Jetzt geht’s los

Und was machen wir jetzt? Wir haben Kontrolle über Jaquelines Handy. Damit haben wir Kontrolle über ihre Kontaktliste, ihr email usw. Wir werden Jaqueline. Jaqueline arbeitet als Auszubildende in einer Rechtsanwaltskanzlei. Wir schicken in ihrem Namen Emails an Kollegen, Kunden usw. Alle erhalten einen Link z.B. auf neueste relevante Informationen usw. Dahinter steckt ein Drive-By-Download und schon haben wir Zugriff auf die Dateien ihres Chefs und einiger wichtiger Kunden. Und das war genau das, was wir wollten. Jaqueline ist uninteressant. Ihr Chef und ihre Kunden sind es nicht. Denn mein Kunde bezahlt mich dafür wichtige Information zu besorgen, die auf dem Rechner des Rechtsanwalts gespeichert sind.

Fazit

Was lernen wir daraus? Bezahlte Hacker sind heute weit davon entfernt im dunklen Kämmerchen zu sitzen und sich die Zähne an irgend einer Firewall auszubeissen. Es gibt viel einfachere Wege in das Netzwerk einer Firma zu kommen. Die Angriffe von heute sind zielgerichtet, raffiniert und wurzeln im sozialen Umfeld des Opfers. Leider wird darüber viel zu wenig veröffentlicht, darum sollte sich jeder selber fragen ob er gegen so einen Angriff, wie den hier beschriebenen gefeit wäre.

Was bedeutet das für Firmen? Es sollte klare Regelungen für die Angestellten geben, wie Firmengeräte genutzt werden dürfen (keine private Nutzung von Firmenhandies) usw. Firmengeräte einschl. Handies müssen Virenschutz haben. Mitarbeiter müssen die Risiken kennen. Sogenannte Awarenesskampagnen können da Wunder wirken müssen aber auch regelmäßig wiederholt werden. Wenn Sie mehr darüber wissen wollen, kontaktieren Sie mich: David Gabel, David.Gabel@audit27001.de

David Gabel arbeitet freiberuflich als Datenschutzbeauftragter und Auditor/Berater für Informationssicherheitsmanagement. Sein Schwerpunkt ist der Bereich Marketing und Kundenbindung. Er berät Firmen im Umgang mit personenbezogenen Daten sowie im Schutz der eigenen Daten bzw. des geistigen Eigentums. Kontaktieren Sie ihn unter David.Gabel@audit27001.de