Haftungsrechtliche Fragen für den Betrieb eines schulischen WLAN

1 file(s) 4.94 MB

Download

Im Jahr 2016 hat die Kultusministerkonferenz ihre Strategie zur „Bildung in der digitalen Welt“ vorgelegt. In diesem Strategiepapier werden sechs Handlungsschwerpunkte vorgegeben, die von den Bundesländern nun in curricularen Lehrplänen umgesetzt werden. Bund und Länder haben in diesem Jahr die Verwaltungsvereinbarung für den DigitalPakt Schule unterzeichnet, so dass dieser seit 17. Mai 2019 in Kraft trat. Zuvor haben Bundestag und Bundesrat Artikel 104c des Grundgesetzes geändert und damit die verfassungsrechtliche Grundlage für den DigitalPakt Schule geschaffen. Die neue Vorschrift ist seit 4. April 2019 in Kraft. Finanziert wird der DigitalPakt aus dem Digitalinfrastrukturfonds, einem sogenannten Sondervermögen, das Ende 2018 errichtet wurde.1 Insgesamt werden bis zum 31. Dezember 2024 den Bundesländern 5 Mrd. Euro bereitgestellt, die nach dem Königssteiner Schlüssel verteilt wurden. 

Aus dem DigitalPakt Schule werden prioritär Maßnahmen in digitale Infrastruktur gefördert, zu denen sowohl die strukturierte Verkabelung von Schulgebäuden als auch der Aufbau von schulischen WLAN-Netzen zählt. 

Für alle Beteiligten an Schule müssen die Rahmenbedingungen für den rechtssicheren Betrieb von WLAN-Netzen geklärt werden.

Auch wenn es immer wieder, gerade durch IT-Spezialisten, anders suggeriert wird, es gibt keine 100 %-ige Sicherheit für IT-Systeme. Der jährliche Schaden durch Cyber-Angriffe wird allein in Deutschland auf ca. 50 Mrd. € geschätzt. Fast jedes Unternehmen war bereits von einem Cyber-Angriff betroffen. Die amtliches Kriminalstatistik ist hier nicht sonderlich aufschlussreich, da fast alle Angriffe auf Unternehmen nicht polizeilich gemeldet werden. Aber warum? Die Antwort ist recht einfach und einleuchtend: Welches Unternehmen möchte, dass nach einem Angriff die Server von der Polizei zum Tatort erklärt werden und dann zu Ermittlungszwecken beschlagnahmt werden?

Die DSGVO sieht vor, dass personenbezogene Daten verschlüsselt übermittelt werden sollen. Mangels technischer Lösungen, wurde daher häufig ein PDF-Dokument mit einem Passwort versehen. Sicherheitsforscher der Ruhr-Universität Bochum haben nun herausgefunden, dass der PDF-eigene Passwort-Schutz sich mit einer Reihe von PDF-Readern aushebeln lässt, ohne dabei das Passwort zu knacken. Daher ist dieser Schutz im Sinne der DSGVO als nicht mehr sicher zu betrachten. Alternative können Verschlüsselung mit PGP oder VeraCrypt-Containern sein.

Ende November ist ein massives Datenleck in einer Arztpraxis aufgefallen. Im Internet waren sämtliche Patienten- und Stammdaten frei zugänglich, immerhin knapp 30.000 Betroffene. Dies ist natürlich unstreitig ein Datenschutz-Verstoß. Allerdings war dieser Verstoß nicht durch den Arzt begründet, sondern wurde durch einen technischen Fehler in seinem Telekom-Router verursacht. Der Arzt hatte eigentlich lediglich die Ports 80 und 443 für den Betrieb eines Webservers im Router weitergeleitet. Der Router aktivierte jedoch nicht nur diese beiden Ports sondern eine Port-Range von jeweils 10 Ports (80 – 89 sowie (440 – 449). Pikant daran ist, dass sich in letzter auch der Port 445 für die Windows-Dateifreigabe befindet. Über diese sollten eigentlich die Patientendaten nur innerhalb der Arztpraxis verfügbar sein und wurden durch den technischen Fehler auch in das Internet freigegeben. Die Telekom bestätigte mittlerweile, dass der Fehler bereits seit Mai 2019 bekannt war und die Router “Digitalisierungsbox Standard”, “Digitalisierungsbox Premium” und “Digitalisierungsbox Smart” betrifft. Sollten Sie diese Router nutzen, aktualisieren Sie bitte dringend die Firmware der Router.

Unstreitig ist, dass der Arzt als Verantwortlicher für die Patientendaten nun entsprechend der DSGVO in der Pflicht ist. Sicherlich wird und muss die Aufsichtsbehörde hier auch ein Bußgeld verhängen. Dieses Bußgeld muss der Arzt dann in einem Verfahren auf Schadenersatz gegen seinen IT-Dienstleister und die Telekom, vielleicht sogar in gesamtschuldnerischer Haftung geltend machen.

Das OLG Naumburg hat in seinem Urteil (Az. 9 U 6/19) entschieden, dass Verstöße gegen die DSGVO als wettbewerbswidrig einzustufen sind und auch abgemahnt werden können. Es kommt jedoch immer auf die im Einzelfall verletzte Norm an. Das OLG Naumburg befand, dass § 9 DSGVO eine Marktverhaltensregel gemäß §3a lit. a UWG darstelle und Verstöße hiergegen abgemahnt werden können.

Das LG Dresden hat sich in seinem Urteil (Az. 1a O 1582/18) mit dem Einsatz von Google Analytics ohne aktivierte IP-Anonymisierung beschäftigt. Auch wenn der Fall noch nicht in den Anwendungsbereich der DSGVO fiel, greift das Urteil die von Aufsichtsbehörden angesehene Pflicht zur Aktivierung der IP-Anonymisierung auf und bestätigt dieses als etablierte Best-Practice.

Internetnutzer müssen aktiv der Verwendung sogenannter Cookies zustimmen. Der Europäische Gerichtshof in Luxemburg stellte klar, dass eine automatische voreingestellte Zustimmung nicht genügt. Im konkreten Fall ging es um einen deutschen Gewinnspielanbieter. In der Rechtssache C-673/17 urteilte der EuGH, dass eine voreingestellte Zustimmung zum Speichern von Daten auf dem Rechner des Nutzers unzulässig sei. Laut dem Urteil macht es auch keinen Unterschied, ob es sich bei den gespeicherten Nutzer-Informationen um personenbezogene Daten handelt oder nicht. Das EU-Recht solle den Nutzer „vor jedem Eingriff in seine Privatsphäre“ schützen. Dies betrifft in der Konsequenz auch die Nutzung von Tracking-Systemen, wie z. B. Google Analytics, da auch hier ein Cookie gesetzt wird.

Durch die Änderungen, die sich durch das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (2. DSAnpUG-EU) im Datenschutzrecht ergeben, haben wir in letzter Zeit häufiger zum Thema zu beraten, ob ein Datenschutzbeauftragter (DSB) überhaupt noch notwendig ist.

Leider gehen mit der Gesetztesänderung auch ein paar Mythen einher, mit denen wir regelmäßig konfrontiert sind, z. B.:

„Wir haben ja nur 12 Mitarbeiter, dann brauche ich ja keinen DSB mehr.“
Das ist möglich, aber die Anzahl der Mitarbeiter*innen ist nur ein Faktor für eine etwaige Bestellpflicht. Eine Orientierungshilfe haben wir hier als Checkliste bereit gestellt.

„Wenn ich keinen DSB brauche, dann muss ich ja nichts weiter machen, weil der DSB ja alles dokumentiert.“
Leider ist diese Annahme in mehrfacher Hinsicht falsch! Denn die Benennungspflicht eines DSB hat leider gar nicht mit den Dokumentations- und Rechenschaftspflichten des Verantwortlichen zu tun. Der DSB ist in seiner Stellung im Unternehmen ohnehin Berater und nicht Umsetzer und Entscheider. Ein Unternehmen das also keinen DSB hat, hat dennoch die selben Pflichten zu erfüllen, wie mit DSB – entscheidender Unterschied: Das Unternehmen hat leider auch keinen Datenschutz-Fachmann der ordentlich beraten kann.

Zum Patchday hat Microsoft eine kritische Lücke im Remote-Desktop-Protokoll (RDP) geschlossen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht die Gefahr von Malware-Angriffen durch Würmer wie WannaCry.

Betroffen sind alle Windows-Client- und Windows-Server-Versionen bis einschließlich Windows 7 und Windows-Server 2008. Die Versionen Windows 8 und 10 sind nicht betroffen.

Microsoft bestätigte heute die Einschätzung des BSI mit einem eigenen Sicherheitshinweis. Die Sicherheitslücke sei tatsächlich „wormable“.

Es müssen daher dringend in den betroffenen Windows-Systemen die aktuellen Microsoft-Patches eingespielt werden. Ebenfalls in dieser Woche wurde ein WhatsApp-Hack bekannt. Facebook empfiehlt daher allen WhatsApp-Nutzern dringend, sowohl App als auch Betriebssystem auf den aktuellsten Stand zu bringen. Betroffen sind sowohl Android als auch iOS. Die Sicherheitslücke erlaubt Unbefugten Fernzugriff auf das betroffene Gerät. Angreifer können über einen WhatsApp-Anruf Spyware in das Gerät einschleusen, auch wenn der Angerufene gar nicht abhebt.

Im 15. Tätigkeitsbericht, der am 26. März 2019 veröffentlicht wurde, nimmt der Landesbeauftragte für den Datenschutz Stellung zum Sachstand der Microsoft Cloud Dienste. Bereits im vorangegangenen Tätigkeitsbericht informierte er über seine rechtlichen Bedenken der Speicherung von Daten außerhalb der EU und möglicher Zugriffe Dritter auf diese Daten. Bereits seit 31. August 2018 werden keine neuen Kunden für die Dienste der Microsoft Cloud Deutschland (MCD) zugelassen.