Um die Relevanz für Cyber-Security in Hotels zu verdeutlichen, erfolgt zunächst eine grundsätzliche Betrachtung. Hotels gibt es in unterschiedlichen Größen und Ausstattungen. Oft bieten sie Beherbergung für über tausend Gäste und ein umfangreiches Serviceangebot. Eine große Anzahl von Mitarbeitern ist verantwortlich für die entsprechende Dienstleistungserbringung. Die jährlichen Umsätze liegen schnell im zwei- bzw. dreistelligen Millionenbereich, wodurch viele Hotels zu den Großbetrieben gehören.

Die Digitalisierung hat auch in Hotels Einzug gehalten. Dabei werden Prozesse effizienter gestaltet und Personal eingespart. Grundsätzlich ist ein Hotel aufgebaut wie jedes andere Unternehmen. Es besteht aus operativen Systemen, welche die Wertschöpfungskette abbilden. Diese werden durch Planungs- und Kontrollsysteme gesteuert. Für den reibungslosen Betrieb tauschen alle Systeme ihre Informationen in digitaler Form vertikal sowie horizontal über die Hoteldateninfrastruktur, deren Schnittstellen und gemeinsam genutzten Datenbanken aus.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!, IT Sicherheit, iAP

Cyber-physische Systeme und Cyber-Attacken​

Designer und Architekten haben seit jeher versucht der Hotelkundschaft besonderen Komfort unter Zuhilfenahme von neuen Technologien zu bereiten. Dazu zählt heutzutage, neben anderen, die zunehmende automatisierte Ausstattung der Hotelgebäudetechnik mit smarten Cyber-Physischen Systemen, auch, um z.B. Zugänge zu Stockwerken, Garagen, Zimmern und Aufzügen, Tagungsräumen, Restaurants sowie Wellness-Bereichen zu kontrollieren bzw. berührungslos freizugeben oder zu sperren.

Das hoteleigene Netzwerk muss neben internen zusätzlich unterschiedliche Arten externer Schnittstellen vorhalten, z.B. für die Kommunikation und den Datenaustausch mit Lieferanten, Logistikpartnern, Reisebüros und Privatkunden. Der Grad der Digitalisierung und Vernetzung schreitet also auch in Hotels unaufhaltsam voran. Allerdings wächst damit ebenfalls die Bedrohungslandschaft, welche vermehrte Angriffsfläche für Cyber-Attacken bietet, und somit neue Herausforderungen für die Gewährleistung der Sicherheit des Hotels und seiner Gäste entstehen.

Sensible Daten und Info-Displays

Jedes Hotel hält nicht nur eigene, sondern auch vertrauliche sowie sensible Daten seiner Gäste, Mitarbeiter und Geschäftspartner vor. Dazu gehören z.B. persönliche Informationen (Name, Anschrift, Nationalität, Geburtsdatum, KFZ-Kennzeichen), Kreditkarteninformationen, Firmennamen und Zahlungskonditionen. Die Gäste können umfangreiche Dienstleistungen über das WLAN, die hoteleigene App, oder interaktive Terminals bzw. Info-Displays buchen sowie bezahlen. Hotels waren für gewisse Kriminelle schon immer ein Tummelplatz, um sich durch verschiedenste Art und Weise am Hotel und seinen Gästen zu bereichern.

Die Schwerpunkte und der Umfang von Sicherheitsmaßnahmen verschieben sich im Zeitalter der Digitalisierung enorm, denn durch sie ergeben sich auch neue Möglichkeiten für kriminelle Handlungen. Ransomware-Angriffe auf Hoteldatenbanken und IT-Anwendungen, DDOS und Bot-Net-Angriffe auf die IT-Infrastruktur, Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware z.B. durch Gäste und interne oder externe Mitarbeiter, Infektionen mit Schadsoftware über das Internet oder Intranet, Einbruch über Fernwartungszugänge der Gebäudeautomatisierung, menschliches Fehlverhalten oder Sabotage, Identitäts- und Kreditkartendatendiebstahl sind nur einige der neuen immateriellen Szenarien.

CYBER-SECURITY IM HOTEL IST CHEFSACHE!,, Internet-Security, iAP

Die Schadensfolgen von Cyber-Attacken können für jedes Hotel schnell existenzgefährdend werden und sind deshalb unbedingt unter Kontrolle zu halten.

  • Der Verlust von Performance und Verfügbarkeit der Dienstleistungsprozesse,
  • der Verlust von Vertraulichkeit durch Abfluss sensibler Gästedaten,
  • mangelhafte Integrität durch Datenverlust oder Manipulation,
  • das Fehlen von Authentizität durch gefälschte Quellnachweise, physischen Schäden bzw. Zerstörung der Hotelanlagen,
  • das Auslösen von Safety-Prozeduren,
  • die Bereinigung und Systemwiederherstellung nach Attacken und
  • der Verlust der Hotelreputation

sind nur wenige Beispiele möglicher Auswirkungen von Primär- und Folgeangriffen. Zum Schutz vor Sicherheitsvorfällen empfiehlt sich eine strukturierte und organisierte Herangehensweise z.B. durch den Aufbau eines Informationssicherheitsmanagementsystems. Mit entsprechenden technischen und organisatorischen, als auch rechtlichen Konzepten wird die Hotelsicherheit analysiert, proaktiv gefestigt und damit Resilienz erzeugt.

Digitalisierung und Herausforderungen

Wie andere Unternehmen, haben auch Hotels im Zuge der Digitalisierung mit den Herausforderungen zu kämpfen ihre sicherheitsstrategischen Ziele sowie Sicherheitsprozesse praktisch anwendbar zu definieren bzw. zu gestalten, um Cyber-Angriffe von innen und außen zu vermeiden. Es besteht bei den verantwortlichen Mitarbeitern ein unzureichendes Bewusstsein über die möglichen Angreifer, ihre Angriffsarten, Ziele und damit verbundene Risiken. Meistens mangelt es an Klarheit für die gewünschte Baseline durch insuffizientes Verständnis über den Reifegrad der Ist- und Soll-Zustände. Die Strukturanalyse inklusive der Aufnahme und Beschreibung der IT-Assets ist oft bereits unzureichend.

Unternehmens- und Bedrohungsdaten werden dürftig prozess- und risikobezogen erfasst sowie bewertet, mit der Folge, das organisatorische sowie technische Sicherheitsmaßnahmen nicht an die tatsächlichen Bedürfnisse des Hotels angepasst werden können und damit niemals ein angemessenes Schutzniveau besteht. Budget sowie fähiges bzw. erfahrenes Personal wird in allen Ebenen benötigt, auch um die Auswahl, Integration und Anwendung passender Sicherheitswerkzeuge effizient zu realisieren und somit unnötige Kosten zu vermeiden.

iAP – Independent Consulting + Audit Professionals GmbH bietet externe IT-Prüfungen und Zertifizierungen sowie Beratung mit umfassender Expertise an. Das Portfolio der iAP deckt die Bereiche des Governance Risk & Compliance Management, der IT-Security & Resilienz, IT-Beratung & Data  , Nachhaltigkeit & ESG sowie Datenschutz nach der DSGVO vollumfänglich ab.

 

 

Fotos: iStock.com/da-vooda,  iStock.com/anyaberkut, iStock.com/Tijana Simic

Gesetzliche Maßnahmen wie das Infektionsschutzgesetz machten es notwendig, im Rahmen der Corona Pandemie personenbezogene Daten wie etwa Zutrittskontrollen nach der 3G-Regelung oder auch bei Mitarbeitern den Impfstatus zu erfassen.

Diese gesetzliche Schutzmaßnahme ist ausgelaufen und daher gilt die Aufbewahrung dieser erfassten Daten als sogenannte Vorratsdatenspeicherung.

Bei erfassten Impfdaten oder Kopien der Impfausweise handelt es sich außerdem um sensible Gesundheitsdaten, die besonders schützenswert behandelt werden müssen. Die dauerhafte Aufbewahrung hat keine Rechtsgrundlage mehr und für eine eventuelle spätere Nutzung bei einer neuen Pandemie z. B. im Winter 2022/23 wären sie veraltet.

Die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel fordert federführend alle Unternehmen und Behörden auf, personenbezogenen Daten, die im Zusammenhang mit der Coronapandemie erfasst wurden, jetzt zu löschen. Es ist zu erwarten, dass andere Landesdatenschutzbehörden sich ähnlich dazu positionieren und Sanktionen bei nicht Beachtung androhen.

Prüfen Sie ihre erfassten Daten und löschen Sie alle, die einen Bezug zu Regelungen im Rahmen der Coronapandemie haben. (Hier gilt der Slogan: Weniger ist mehr!)

Vor dem Hintergrund der stetig zunehmenden Gefahren durch Cyberangriffe stehen Unternehmen und Organisationen vor folgenden Fragen:

  • Ist mein Unternehmen ausreichend gegen Cyberangriffe abgesichert?
  • Welche nicht bekannten Lücken und Schwachstellen schlummern in der Unternehmens-IT und gefährden meine Geschäftsprozesse oder stellen ein signifikantes Risiko für mein Unternehmen dar?
  • Wie kann ich die Informationssicherheit in meinem Unternehmen möglichst ohne zusätzliche Kosten erhöhen und auf den Stand der Technik bringen?

Gerade mittelständische und kleinere Unternehmen (KMU) haben oft aufgrund geringer personeller IT-Kapazitäten, fehlender Expertise für IT-Security und begrenzten Budgets Schwierigkeiten, das Thema ganzheitlich anzugehen und die Informationssicherheit durchgängig auf ein angemessenes Schutzniveau zu bringen.

Die Auslagerung von Teilen oder aller wesentlichen Aufgaben für Informationssicherheit an einen externen Spezialisten – ein sogenanntes Security Operation Center (SOC) oder Cyber Defense Center (CDC) – bietet hier einen Lösungsansatz, der flexibel an die Anforderungen jedes Unternehmens angepasst werden kann.

Ein SOC/CDC ist dabei ein auf Informationssicherheit spezialisierter Dienstleister, der an die IT des Unternehmens angebunden ist und als eine Art Sicherheitsleitstelle große Teile oder auch nur selektiv bestimmte Security-Services übernimmt, die normalerweise durch die IT-Abteilung im Unternehmen abgedeckt werden müssten:

  • Sicherheitsbezogene Überwachung der Unternehmens-IT
  • Proaktive Adressierung von Bedrohungslagen durch Threat Intelligence
  • Erkennung und Beseitigung von Schwachstellen in den IT-Systemen und -Prozessen
  • Erkennung und Alarmierung bei Cyber-Angriffen
  • Abwehrmaßnahmen und Schadenbegrenzung
  • Kundenbezogene Unterstützung und Reporting zu Sicherheitsthemen

In den Räumlichkeiten des SOC/CDC-Dienstleister arbeiten dafür im 24×7 Betrieb hochspezialisierte Experten für Cybersecurity, u.a. Security Architekten, Analysten, Forensiker, die wie in einem Kommandostand in realtime auf Bildschirmen sämtliche sicherheitsbezogene Informationen angezeigt bekommen und bei Auffälligkeiten sofort reagieren können.  Die Arbeitsweise ist dabei durch optimale und integrierte Toolunterstützung, hohen Automatisierungsgrad der Analysen als auch durch die optimale Teamstruktur und Kommunikation des SOC-Teams gekennzeichnet.

Je nach konkreter Anforderungslage eines Kunden können verschiedene Service-Modelle der Zusammenarbeit definiert werden, die es ermöglichen, nur bestimmte Teile, oder nahezu alle Sicherheitsleistungen an den SOC/CDC-Dienstleister auszulagern. Die Vorteile der Nutzung eines SOC/CDC liegen dabei klar auf der Hand:

  • Schnelle und wirksame Reaktion durch Automatisierung und Einsatz von Spezialisten
  • Schutz gegen die aktuelle Bedrohungslage
  • Kontinuierliche Dokumentation und Nachvollziehbarkeit
  • Kein Aufbau von internem Personal erforderlich
  • Ganzheitliches Absicherungskonzept und maßgeschneiderte Lösungen möglich je nach Kundenanforderungen
  • Nachweisbare Einhaltung der gesetzlichen Vorgaben und Compliance

Insbesondere für kleinere Unternehmen und Mittelständler (KMU) eröffnet die Auslagerung wesentlicher Leistungen für IT-Sicherheit an einen externen Spezialisten die Möglichkeit zur Erreichung eines hohen Schutzniveaus und IT-Security nach Stand der Technik. Durch die unterschiedlichen Servicemodelle und großer Flexibilität können die Leistungen eines SOC-Dienstleisters ideal auf die Kundenanforderungen zugeschnitten werden. Ein Aufbau zusätzlicher interner Ressourcen bzw. Experten für Informationssicherheit ist in der Regel nicht erforderlich.

Für manche Unternehmen sind höhere Investitionen in die Cybersicherheit möglicherweise nur ein Tropfen auf den heißen Stein. Das liegt oft daran, dass die Strukturen der Organisation zu komplex sind, um sie adäquat absichern zu können. Diese Komplexität der Strukturen entsteht oftmals erst im Laufe der Zeit. Gründe dafür sind z.B. Wachstum, Fusionen, Übernahmen und vor allem aber die Einführung neuer Technologien. Damit einhergehend kommt die Verzahnung von Compliance und Governance oft zu kurz.

Ein weiterer Punkt ist das Risikoniveau im Unternehmen, das durch Komplexität entsteht, z.B. durch komplexe Multi-Vendor-Umgebungen wie Cloud, neuartige technologische Lösungen oder Interoperabilität und Dateninfrastruktur.

Eine Vereinfachung oder Verschlankung von Datenstrukturen und Prozessen sind allein schon eine große Herausforderung. Komplexität führt zu Trägheit, da Entscheidungsträger eine Transformation aufschieben oder Schwierigkeiten haben, eine Dringlichkeit zu erkennen und Priorisierung vorzunehmen, obwohl den Unternehmen bewusst ist, dass Komplexität in den Prozessen auch Schwachstellen schafft. Diese Schwachstellen können von Ransomware und anderen Bedrohungstools ausgenutzt werden.

Die Folgen betrieblicher Komplexität sind neben finanziellen Verlusten, Datenschutzverletzungen und erfolgreiche Cyber-Angriffe (die auch wiederum Reputationsverluste bedeuten können). Es besteht das Risiko einer fehlenden Cyber-Resilienz (also einer mangelnden betriebliche Belastbarkeit), sich nach einem Cyberangriff oder einem Technologiefehler zu erholen. Unternehmen sind dann unfähig, schnell und angemessen zu agieren, um am Markt weiterhin bestehen zu können.

Komplexität wird also gerne ausgenutzt und sind bevorzugte Ziele von Cyber-Angriffen. Die Kunst besteht darin, die Risiken zu identifizieren, zu priorisieren und entsprechend mit wirksamen Maßnahmen zu begegnen. Insbesondere auch, wenn die diese Cybersicherheitsrisiken durch verbundene Unternehmen (Dienstleister und Lieferanten) entstehen. Hier muss man besonders auf die Schnittstellen schauen, welche Angriffsziele darstellen können. Drittanbieter (Third-Parties) sind alle Organisationen oder Personen, zu denen eine Geschäftsbeziehung besteht. Hier besteht sowohl ein Informations- als auch Datenabtausch und damit auch Risiken bei Schnittstellen die gezielt angegriffen werden können. Hier sollte auch auf eine Harmonisierung der Betrachtung von Third-Parties im Unternehmen erfolgen, damit nicht jede Abteilung eine eigene Vorgehensweise hat. Eine Synchronisierung der Sicherheitsmaßnahmen und damit eine ganzheitliche Betrachtung der Lieferkette und Third-Party Management sind unumgänglich, um eine höhere Cybersicherheit zu erreichen.

Komplexität von Strukturen und Prozessen können somit für die Cybersicherheit eine Falle sein. Monitoring cybersicherheitsrelevanter Events sind ein wichtiger Bestandteil, um das Cybersicheitsrisiko zu minimieren, Angriffe frühzeitig zu erkennen und mit erprobten Krisenplänen entgegenzutreten.

Cyber-Risiken stellen KMU (Kleine Mittelständische Unternehmen) vor eine große Herausforderung. Die Auswirkungen nehmen zu. Für die Geschäftsführung muss diese Tatsache als ein Risiko mit höchster Priorität angesehen werden.

Ransomware-Angriffe, bei denen Unternehmen von ihren Computersystemen „lahmgelegt“ werden, haben dramatisch zugenommen und sich im ersten Halbjahr 2021 fast verdoppelt, während das durchschnittliche Lösegeld, um aus dem Dilemma zu entkommen, um 82 % gestiegen ist.  Weltweit werden Unternehmen jeder Größe und Art von kriminellen Ransomware angegriffen. Diese Angriffe führen oft zum Stillstand des Geschäftsbetriebs. Die Wiederherstellung braucht Zeit, wird teuer, führt zu Imageverlust und kann den Geschäftsbetrieb stören oder gar aufhalten.

Beispielsweise musste JBS, das weltweit größte Fleischverarbeitungsunternehmen, ein Lösegeld in Höhe von 11 Millionen US-Dollar zahlen, um wieder Zugriff auf seine Daten und Systeme zu erhalten. Ransomware führte beim norwegischen Energietechnologieunternehmen Volue zu Stilllegungen von Wasser- und Wasseraufbereitungsanlagen, von denen 85 % der norwegischen Bevölkerung betroffen waren. Transnet, ein südafrikanische Hafenbetreiber, war ebenfalls von Ransomware betroffen, was zu Störungen und Verzögerungen in einem der wichtigsten Häfen Südafrikas führte. In Deutschland führten Angriffe auf Krankenhäuser zu Netzwerkproblemen und tagelangen Ausfällen an der Uni-Klinik Düsseldorf oder im Klinikum Neuss. In Krankenhäuser der USA sollen in den ersten sechs Monaten 2021 Netzwerke aufgrund von Ransomware getrennt worden sein – entweder durch eigene Maßnahmen, um eine Sicherheitsverletzung zu vermeiden, oder weil sie durch eine schwere Malware-Infektion dazu gezwungen wurden.

Das Problem bei KMU ist, im Gegensatz zu großen Unternehmen, dass sie keine Abteilungen für Cybersicherheit verfügen. Demnach reagieren sie oftmals erst nach einem Angriff, was für viele mittelständische Unternehmen das Geschäft einfach lahmlegen kann.

Ein besonders besorgniserregender Trend ist, dass Kriminelle Cyberangriffe derart Gestalt annehmen, was früher staatlichen Akteuren vorbehalten war. Dies kommt vor allem bei sogenannten „Supply Chain Angriffen“ vor, welche die Lieferkette betreffen. Dabei werden unbekannten Fehler in der Technologie von Unternehmen ausgenutzt, die Kunden des Unternehmens infizieren und traditionelle Abwehrmaßnahmen wie Antivirensoftware dabei umgehen.

Cyber Technologien werden von Staaten ausgenutzt, um hauptsächlich Wirtschaftsspionage und Diebstahl von geistigem Eigentum zu betreiben. Die Cyberoperationen der Staaten hat sich seit 2017 verdoppelt, wobei ein Drittel dieser Angriffe offenbar auf Unternehmen abzielen. Eines der bekanntesten Beispiele aus jüngster Zeit war der russische Angriff auf das US-amerikanische Technologieunternehmen SolarWinds, das Sicherheitslücken in vertrauenswürdigen Technologieprodukten ausgenutzt hat.

Der Mittelstand ist der Motor unserer Gesellschaft und leider auch der wunde Punkt. Umso wichtiger ist, dass die Geschäftsführung das Risiko erkennt und ein gutes Verständnis dafür entwickelt, was er schützen muss und wie viel Risiko er eingehen möchte.

Wichtig für die Einschätzung ist eine unabhängige Bewertung des Cyber-Risikoprofils und der Wirksamkeit der aktuellen Cyber-Sicherheitsvorkehrungen im Unternehmen. Auf dieser Grundlage sollten KMU in ein Cyber-Verbesserungsprogramm investieren und sicherstellen, dass sie Zugang zu den benötigten Cyber-Kompetenzen haben, einschließlich unabhängiger Expertenberatung durch Dritte.

Wie sieht die Zukunft für Cyber-​​Sicherheit im Mittelstand aus? Der Mittelstand, insbesondere Wachstumsunternehmen, werden bei ihrer Expansion potenziell reale Angriffsziele. KMU müssen in Sachen Cyber-Sicherheit mehr Engagement zeigen, um die Herausforderungen effektiv und zeitnah zu bewältigen. Das Risiko Management System (RMS) mit all seinen Prozessen muss neu überdacht und implementiert werden. Die Verankerung einer Sicherheitskultur im Unternehmen ist der beste Schutz vor Cyberbedrohungen und diese muss von oben, Top-Down vorgelebt werden.

Unternehmens-IT im stetigen Wandel

Getrieben durch den technologischen Wandel und unternehmerisches Wachstum besteht für viele Unternehmen die Notwendigkeit, ihre IT-Landschaft und Applikationsumgebung an die neuen Gegebenheiten anzupassen. Solche Anpassungen beinhalten fast immer die Veränderung der zugrunde liegenden Geschäftsprozesse als auch die Einführung neuer Technologien, sei es die Ablösung von Altsystemen oder die Entwicklung/Einführung neuer Software und Anwendungen (wie z.B. ein ERP-System), die Auslagerung der IT-Infrastruktur in die Cloud oder aber die Einführung komplexere Themen wie Blockchain-Technologie oder Künstliche Intelligenz.

Die Änderung bestehender oder die Einführung neuer IT-Systeme ist jedoch stets mit erheblichen Herausforderungen verbunden. Dies gilt sowohl im Kleinen als auch im Großen und ist z.T. unabhängig von der Art des jeweiligen Projekts, wobei die Risiken insbesondere bei mittleren und Großprojekten aufgrund ihrer gesteigerten Komplexität zunehmen.

Herausforderungen bei IT-Projekten

Die Herausforderungen bei der Durchführung von IT-Projekten bestehen dabei zuallererst aus den typischen Projektrisiken wie Termin-, Budgetüberschreitungen und Qualitätsrisiken. Jedoch kommen auch weitere Risiken hinzu wie z.B.

  • Risiko von Fehlentwicklungen und Nichterfüllung von Anforderungen
  • Lücken bei der Informationssicherheit und fehlende oder ungeeignete Kontrollen
  • Migrations-Risiken

Des Weiteren bestehen bei der Einführung neuer Prozesse und Technologien in der Regel fast immer Unsicherheiten über die regulatorischen und gesetzlichen Anforderungen, woraus sich entsprechende Compliance-Risiken ergeben.

Möglichkeiten der Risiko-Mitigation auf Basis IDW PS 850

Zur Adressierung dieser Risiken sind eine Vielzahl projektbezogener Maßnahmen möglich. Angefangen von klassischen Projektmanagement-Aktivitäten wie der Auswahl einer geeigneten Projektmethodik, ordentlicher Projektplanung und Steuerung sowie Ressourcen-Ausstattung, einem sauberen Anforderungs- und Qualitätsmanagement, bis hin zu einem angemessenen Testing und der formalen Projektabnahme.

Darüber hinaus gibt es aber auch die Möglichkeit, Projektrisiken durch das Hinzuziehen einer externen, neutralen Instanz zu minimieren, die das Projekt punktuell für die Abnahme von bestimmten Projektmeilensteinen oder aber über die gesamte Projektdauer bis hin zur Endabnahme prüfend begleitet.

Die Etablierung einer solchen projektbegleitenden Prüfung durch eine externe und neutrale Instanz bietet dabei folgende Chancen:

  • Frühzeitige Absicherung der Berücksichtigung aller Anforderungen im Pflichtenheft
    • Compliance-Anforderungen
    • Einhaltung relevanter Ordnungsmäßigkeitsanforderungen (u.a. Bilanzkontinuität)
    • Security by Design
    • Angemessene IT-Kontrollen
    • Abdeckung von Anforderungen für zukünftige Prüfungen
  • Neutrale unabhängige Einschätzung zum Projektstatus (Liefergegenstände und Meilensteine)
  • Neutrale unabhängige Einschätzung zu Risiken und Maßnahmen bei der Projektumsetzung
  • Zusätzliche Qualitätssicherung
  • Gesamt-Abnahme des Projekts durch unabhängige externe Instanz

Das Vorgehen für eine solche projektbegleitende Prüfung richtet sich dabei an dem vom Institut der Wirtschaftsprüfer ausgegebenen Prüfungsstandard IDW PS 850 aus. Dieser Standard beinhaltet wichtige Vorgaben für die Prüfung über den gesamten Projektlebenszyklus:

  • Projektplanung und Projektorganisation
  • Systemdesign, Entwicklung und Testphasen
  • Datenmigration
  • Rollout und Produktivsetzung

Darüber hinaus macht der PS 850 auch Vorgaben zur Verwertung von Untersuchungen oder Prüfergebnissen Dritter sowie zur Dokumentation und Berichterstattung.

Fazit

Die frühzeitige Einbeziehung eines externen unabhängigen Experten gewährleistet die Einhaltung der Ordnungsmäßigkeitsanforderungen und Bilanzkontinuität, fungiert als neutrale Instanz für Qualitätssicherung und Risiko-Monitoring und kann ggf. sogar als Institution für die Abnahme des Gesamtprojekts dienen.

Die externe prüferische Instanz kann dabei auf Erfahrungen aus ähnlich gelagerten Projekten zurückgreifen, wertvolle Hinweise und Empfehlungen bei der Projektumsetzung liefern und dadurch den Gesamt-Projekterfolg maßgeblich unterstützen.

Homeoffice ist seit Covid-19 der politische Lösungsansatz, um die Ausbreitung durch social-distance am Arbeitsplatz zu mi­ni­mie­ren. In der Vergangenheit war es undenkbar und negativ behaftet aus dem Homeoffice zu arbeiten. Dies liegt daran, dass der Arbeitgeber kaum Vertrauen in die Mitarbeiter:in setzt. Selbstdisziplin ist hier nämlich ein Muss genauso wie die Trennung von Arbeit und Privatleben. Es ist festzustellen, dass nach der Corona-Pandemie deutlich mehr Menschen mobil arbeiten können als zuvor und wollen dies auch so beibehalten. In Großraumbüros will nach Corona fast niemand mehr zurück. New Work oder Workation heißt das neue Schlagwort. Man konnte feststellen, dass die Produktiv- und Arbeitsleistung aus dem Homeoffice nicht nachgelassen hat, weshalb viele Unternehmen offener zu diesem Thema stehen.

Das zunehmende Interesse von Remote work lässt auch die Versuchung wachsen, das Homeoffice ins Ausland zu verlegen. Für einen möglichen Aufenthalt greifen jedoch bestimmte Regelungen und es bedarf einer schriftlichen Zustimmung des Arbeitgebers. Innerhalb der EU ist Remote work am unkompliziertesten. Grund dafür ist, dass wir keinen Aufenthaltstitel und Arbeitserlaubnis benötigen. Ausgenommen hiervon sind Drittstaaten wie beispielsweise das Vereinigte Königreich. Damit So­zi­al­ver­sich­erungs­bei­trä­ge nicht doppelt berechnet werden, ist eine A1 Bescheinigung notwendig. Mit einer A1 Bescheinigung weist ein Angestellte:r nach, dass er/sie während einer Dienstreise ins europäische Ausland über das Heimatland sozialversichert sind. Diese Be­schei­ni­gung gilt innerhalb der EU, des Europäischen Wirtschaftsraums (EWR) und der Schweiz. Es besteht jedoch eine so­zial­ver­sicherungs­tech­nische Heraus­for­derung und Risiko für das Arbeiten aus dem Ausland. Der Arbeitgeber muss sich hierbei mit den Sozialver­sicherungsvorschriften des anderen Landes vertraut machen und die Registrierungs-, Melde- und Bei­trags­pflich­ten korrekt und fristgerecht umsetzen. Es drohen Sanktionen seitens der zuständigen Behörden, sollten die So­zial­ver­sich­erungs­bei­trä­ge zum falschen So­zial­ver­sich­erungs­sys­tem geleistet werden.

Damit das mobile Arbeiten im Ausland rechtlich ordnungsgemäß geregelt werden kann, sollte gemeinsam mit der Per­so­nal­ab­tei­lung eine vorausschauende Planung erstellt und entsprechende Regelungen, festgehalten in einer Zu­satz­ver­ein­ba­rung, getroffen werden. Bei eventuellen Bedenken, dass die Produktivität oder Erreichbarkeit des Mitarbeiters im Ausland leidet, können Sie eine Art Testlauf vereinbaren.

Für Selbständige trifft dies nicht zu, da Selbständige freier in der Auswahl Ihres Arbeitsplatzes sind.

Wichtige News zum Thema Datenschutz und Impfstatus

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) befasste sich mit dem sensiblen Thema der Verarbeitung des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber. Seit dem 19. Oktober 2021 liegt hierzu ein Beschluss der DSK vor.

Mit ihrem Beschluss verdeutlicht die DSK, dass es auch im Rahmen einer Covid-19-Pandemie keine gesetzliche Grundlage für ein grundsätzliches Abfragen des Impfstatus bei Beschäftigten gibt, weil gemäß der Datenschutz-Grundverordnung (DS-GVO) der Impfstatus – als ein Gesundheitsdatum – zur besonderen Kategorie personenbezogener Daten gehört. Die DSK betont in ihrem Beschluss, dass ein Verarbeiten dieser Datenkategorie grundsätzlich verboten ist.

Daher dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten lediglich ausnahmsweise auf Grundlage einer ausdrücklichen gesetzlichen Erlaubnis erfragen bzw. verarbeiten.

In welchen Ausnahmefällen erachtet die DSK eine Verarbeitung des Impfstatus für gesetzlich möglich?

Hierfür zieht die DSK das Infektionsschutzgesetz (IfSG) heran und listet folgende Einzelfälle auf, bei welchen sie eine Verarbeitung des Impfstatus für gesetzlich möglich beurteilt:

  • Bestimmte im IfSG genannte Arbeitgeberinnen und Arbeitgeber aus dem Gesundheitsbereich ( B. Krankenhaus, Arztpraxis) dürfen den Impfstatus ihrer Beschäftigten erfragen bzw. verarbeiten, sofern die in §§ 23a, 23 Absatz 3 IfSG genannten Voraussetzungen vorliegen.
  • Bestimmte im IfSG genannte Arbeitgeberinnen und Arbeitgeber in Gemeinschaftseinrichtungen für Kinder, Jugendliche und Erwachsene (z. B. Kindertageseinrichtungen, Wohneinrichtungen) dürfen im Zusammenhang mit Covid-19 den Impfstatus ihrer Beschäftigten erfragen bzw. verarbeiten, sofern die in 36 Absatz 3 IfSG genannten Voraussetzungen vorliegen.
  • Wenn Beschäftigte als mögliche Träger übertragbarer Krankheitserreger einen Verdienstausfall erleiden und deshalb nach § 56 Absatz 1 IfSG einen Anspruch auf Lohnersatz geltend machen, dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus der jeweiligen Beschäftigten verarbeiten. Die in § 56 Absatz 1 IfSG genannten Voraussetzungen können laut DSK-Beschluss im Einzelfall auch bei einer möglichen Infektion mit Covid-19 und einer anschließenden Quarantäne vorliegen.
  • Abschließend führt die DSK auf, dass Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten verarbeiten dürfen, falls Rechtsverordnungen zur Pandemiebekämpfung auf Grundlage des IfSG diese Datenverarbeitung vorgeben.

Was ist gemäß dem DSK-Beschluss bei der Verarbeitung des Datums „Impfstatus“ zu beachten?

Hierfür zieht die DSK Artikel 5 DS-GVO mit folgenden Grundsätzen heran, welche bei der Verarbeitung des Impfstatus zu beachten sind:

  • Der Grundsatz der „Datenminimierung“ hinsichtlich der Abfrage (z. B. eine reine Abfrage erfüllt auch ohne Datenspeicherung ihren Zweck) und hinsichtlich der Speicherung (z. B. lediglich ein Vermerk des Impfstatus ohne eine Kopie des Impfausweises in der Personalakte).
  • Der Grundsatz der Speicherbegrenzung“ erfordert, gespeicherte Daten zu löschen, sobald der Grund hierfür weggefallen ist.
  • Der Grundsatz der „Rechenschaftspflicht“ besagt: Arbeitgeberinnen und Arbeitgeber müssen bei einer Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten nachweisen können, dass diese tatsächlich freiwillig erfolgt sind.

Für eine Datenverarbeitung auf Grundlage von Einwilligungen der Beschäftigten hebt die DSK ausdrücklich hervor, dass lediglich freiwillig erfolgte Einwilligungen rechtswirksam sind. In diesem Zusammenhang verweist die DSK auf die Problematik des abhängigen Arbeitsverhältnisses von Beschäftigten in Anlehnung an § 26 Absatz 3 Satz 2 und Absatz 2 BDSG (Bundesdatenschutzgesetz).

 

Den vollständigen Wortlaut der Beschlussfassung der DSK finden Sie auf der Internetseite der DSK.

Rund 40 Unternehmen in Berlin erhielten im August 2021 Post von der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk, mit der Aufforderung, das Tracking auf ihren Webseiten den Datenschutzregelungen anzupassen. Anbei die dazugehörige Pressemitteilung.

In der DSGVO ist eindeutig geregelt: Wer als Webseiten-Betreiber mit Hilfe von Cookies und anderen Technologien das Nutzerverhalten verfolgen möchte, benötigt eine Rechtsgrundlage. Viele Cookie Banner auf den Webseiten differenzieren die Cookies, jedoch wird häufig keine wirksame Einwilligung eingeholt.

Jedem Nutzer muss es einfach möglich sein, Tracking abzulehnen oder darin einzuwilligen. Trackingvoreinstellungen zur Forcierung der Einwilligung sind nicht rechtskonform.

Die Hinweisaktion der Behörde war eine erste Verwarnung an ausgewählte Unternehmen. Die Verantwortlichen wurden aufgefordert, die Datenvereinbarung unverzüglich nach DSGVO Vorgaben zu gestalten. Eine zweite Prüfung der Webseiten der gerügten Unternehmen, kann Maßnahmen der Behörde nach sich ziehen.

Suchen Sie sich kompetente Beratung bei der Gestaltung und Prüfung Ihrer Cookie Banner. Hier die wichtigsten Anforderungen für ein praxistaugliches und datensparsames Opt-In-Verfahren:

  • Nur wenn notwendig, Einwilligungen einholen.
  • Unterschiedliche Verarbeitungsvorgänge differenziert darstellen.
  • Geht es um eine Einwilligung, sollten die Optionen nicht zu umfangreich sein. Der Nutzer sollte mit wenigen Klicks die Einstellungen nach seinen Wünschen vornehmen können.
  • Die Nutzung des Dienstes der Webseite darf nicht von der Einwilligung abhängen.
  • Für das Modul gilt: leicht zu bedienen, auf die Nutzergruppe abgestimmt und mit unterschiedlichen Endgeräten kompatibel.
  • Alle Informationen zur Verarbeitung der Daten müssen transparent, leicht zu verstehen und neutral gestaltet sein.
  • Eine datensparsame Voreinstellung sollte vorgesehen sein.
  • Gestaltung darf den Nutzer von Wesentlichem nicht ablenken und dahin manipulieren, dass die Einstellungen verändert werden können.
  • Ein Datenschutz-Cockpit sollte eine nachträgliche Verwaltung der erteilten Ermächtigungen ermöglichen.
  • Das Thema mit Icons und Piktogrammen verständlicher machen.

Fazit: Transparenz bei der Einwilligung stärkt Ihre Vertrauenswürdigkeit.

Endlich sind die Standardvertragsregelungen an die DS-GVO angepasst und berücksichtigen die EuGH-Rechtsprechung zum Privacy Shield.

Achtung, alle bereits abgeschlossenen Standardvertragsklauseln müssen innerhalb von 18 Monaten, bis zum 27. Dezember 2022 aktualisiert werden.  Bei allen neu geschlossenen Verträgen müssen ab dem 29. September 2021 die neuen Standardvertragsklauseln berücksichtigt werden.

Wie werden die Standardvertragsklauseln in der Praxis abgeschlossen?

In der Praxis werden die Standardvertragsklauseln in der Regel von den Dienstleistern in diesen Formen bereitgestellt:

  • Individueller Vertrag – Vor allem bei Vertragsschlüssen mit Unternehmen, welche nicht im großen Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in Form eines Vertrages vorgelegt (meistens als PDF-Datei), welcher dann individuell unterschrieben oder signiert wird.
  • Bestandteil von AGB – Große US-Anbieter bieten Standardvertragsklauseln als Teile oder Anhänge zu ihren AGBs an, so dass die Standardvertragsklauseln automatisch mit dem Vertragsschluss abgeschlossen werden (Beispiel der E-Mail-Plattform MailChimp).

Allerdings ist der Abschluss der Standardvertragsklauseln allein noch nicht ausreichend. Es muss das Datenschutzniveau im Einzelfall geprüft werden. So lehnt der EuGH und die Datenschutzaufsichtsbehörden den Datentransfer in Drittländer (z. B. USA) nicht ab, möchte jedoch die Sicherheit geprüft wissen.

  • Prüfung des Vertragstextes – Sie müssen prüfen, ob die für die jeweilige Vertragskonstellation richtige Standardvertragsklauseln gewählt und inhaltlich nicht verändert wurden. Ebenso muss geprüft werden, ob die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des tatsächlichen Datenschutzniveaus – Sie müssen ebenfalls prüfen, ob die Zusagen das adäquate Datenschutzniveau, auch tatsächlich eingehalten werden. Das heißt, Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird. Zur Sicherung eines angemessenen Datenschutzniveaus tragen z. B. Verschlüsselungsverfahren, Pseudonymisierung, Serverstandort in der EU oder auch ein geringes Risiko für die Daten der Betroffenen bei.

Allerdings gibt es Interpretationsmissverständnisse in den Erwägungsgründen der neuen Standardvertragsklauseln, enthalten in der Ziffer 7:

Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt.

Dieser Erwägungsgrund würde bedeuten, dass die Standardvertragsklauseln immer dann nicht abzuschließen wären, wenn z. B. ein US-Cloud-Dienst der DSGVO darunterfällt. Das wäre z. B. der Fall, wenn Dropbox, Microsoft- oder die Google Cloud sich auch an EU-Bürger richten würden. Wenn dann ein EU-­Unternehmen z. B. Kundendaten in dieser Cloud speichert, dürften / müssten mit Dropbox, Microsoft oder Google keine Standardvertragsklauseln abgeschlossen werden. Dieses Ergebnis widerspricht jedoch dem Wortlaut des Art. 44 ff. DSGVO, welcher bei Verarbeitung im Drittland keine solche Ausnahme vorsieht. Es bleibt also zu hoffen, dass die EU-Kommission bald eine Interpretationshilfe für ihre erratischen Interpretationsvorgaben veröffentlicht.

D. h., dass Sie aktiv werden und folgende Maßnahmen ergreifen müssen:

  • Bestandsaufnahme beim eigenen Unternehmen – Prüfung, ob Daten von Kunden, Nutzern, Mitgliedern, etc. in Drittländern und insbesondere den USA verarbeitet werden (bzw. von Unternehmen, welche in diesen Ländern sitzen).
  • Bestandsaufnahme bei Subunternehmern – Ebenso muss geprüft werden, ob Subunternehmer und Dienstleister, z. B. der Webhoster oder Buchhaltungsdienst, Anbieter aus Drittländern / USA einsetzen (z. B. Server von Amazon Webservices mieten).
  • Anfrage nach neuen Standardvertragsklauseln – Die Anbieter aus Drittländern müssen um die Vorlage der neuen Standardvertragsklauseln gebeten werden (alternativ, auch wenn weniger üblich, können ihnen Standardvertragsklauseln zur Prüfung und Unterschrift gestellt werden). Ebenso müssen Subunternehmer gefragt werden, ob entsprechende Standardvertragsklauseln wiederum mit deren Subunternehmern in Drittländern geschlossen wurden (im Optimalfall sollte um Kopien gebeten werden).
  • Anfrage nach Sicherheitsmaßnahmen – Die Anbieter aus Drittländern müssen um Nennung von Sicherheitsmaßnahmen gebeten werden, mit welchen die besonderen Risiken des Drittlandtransfers aufgefangen werden (z. B. Verschlüsselung, Serverstandort EU, Pseudonymisierung). Ebenso müssen Subunternehmer gefragt werden, ob wiederum deren Subunternehmer aus Drittländern entsprechende Schutzmaßnahmen nachgewiesen haben (im Optimalfall sollte auch hier um deren Auflistung und Kopien der Bestätigungen gebeten werden).
  • Prüfung der Standardvertragsklauseln – Sie müssen überprüfen, ob die Module der Standardvertragsklauseln richtig ausgewählt sind, deren Text nicht modifiziert wurde und die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des Datenschutzniveaus – Sie müssen anhand der mitgeteilten Sicherheitsmaßnahmen prüfen, ob bei der jeweiligen Verarbeitung der Daten durch Dienstleister und Subunternehmer ein hinreichendes Datenschutzniveau gesichert ist.
  • Protokollierung – Sie müssen die Prüfverfahren aus Nachweisgründen festhalten (z. B. in einer Tabelle mit Anbietern, Zeitpunkten der Anfragen, Ergebnissen und Begründung Ihres Prüfungsergebnisses).

Empfehlung

Auch wenn Ende 2022 noch weit in der Zukunft liegt, sollten Sie Ihre Vertragspartner darauf drängen, die Standardvertragsklauseln möglichst schnell auszutauschen. Vor allem, weil die neuen Standardvertragsklauseln die Forderungen der Datenschutzaufsicht nach Ergänzung der bisherigen Klauseln in Folge der Rechtsprechung des EuGHs zu US-Datentransfers umsetzen. Daher ist davon auszugehen, dass Aufsichtsbehörden den Einsatz von US-Anbietern auf Grundlage alter Standardvertragsklauseln, sehr bald für unzulässig erklären werden.