DatenschutzInternetSoftware

Datenschutz bei Alarm-Apps

Datenschutz bei Alarm-Apps und Verfügbarkeiten-Apps

Datenschutz ist seit dem 25. Mai 2018 in aller Munde und auch in den Feuerwehren angekommen. Das ist gut und wichtig, da die Einsatzkräfte meistens mit sensibleren Informationen und Daten umgehen müssen als Otto Normalverbraucher. In diesem Artikel behandle ich die wichtigsten Punkte im Bereich Datenschutz, auf die man bei der Benutzung von Alarmierungs- und Verfügbarkeiten-Apps achten sollte.

Einverständnis der Benutzer

Das wichtigste für die Nutzung von Alarm-Apps ist, dass das Einverständnis von jedem Benutzer vorliegt, noch bevor man den Benutzer in der App anlegt. Der Administrator oder Verwalter der App haftet auch für Datenschutzverstößen ab mindestens „normaler bzw. mittlerer Fahrlässigkeit“, selbst! Das sind alle Verstöße, in denen man einen Schaden voraussehen müsste. Also zum Beispiel die Benutzung von Personenbezogenen Daten der Kameraden, in einer App, ohne deren Einverständnis.

Um sich gegen solche Datenschutzverstöße zu schützen, ist es sinnvoll sich das Einverständnis der Kameraden schriftlich geben zu lassen und dieses sicher zu archivieren.

Sobald ein Kamerad aus der Wehr ausscheidet oder sein Einverständnis widerruft, müsst ihr den Datenbestand dieser Kameraden sofort entfernen.

Werbung

Auftragsverarbeitungs-Vertrag mit dem Dienstanbieter

Die meisten Alarm-Apps werden von einem Dienstanbieter betrieben. Dadurch werden eure Daten in einer Datenbank auf einem Server des Dienstanbieters gespeichert. Die Verbindungen laufen dann ebenfalls über die Server des Dienstanbieters oder sogar eines Drittanbieters, wenn zum Beispiel die Push-Messages über einen weiteren Service ausgeführt werden.

Ihr seid gesetzlich gesehen der Besitzer der Daten, der sogenannte Data Owner und somit für diese Daten verantwortlich. Mit einem Auftragsverarbeitungs-Vertrag regelt ihr die Verarbeitung eurer Daten beim Dienstanbieter. Zum Beispiel könnt ihr mit einem AV-Vertrag ausschließen, dass eure Daten außerhalb der EU verarbeitet werden.

Was für Folgen kann es haben, wenn ihr keinen AV-Vertrag mit dem Anbieter abschließt? Im Prinzip haftet ihr mindestens zur Hälfte oder gegebenenfalls sogar komplett für einen Datenschutzverstoß. Wenn ihr aber zum Beispiel die Verarbeitung außerhalb der Europäischen Union ausgeschlossen habt und der Dienstanbieter verarbeitet trotzdem außerhalb der EU eure Daten, dann liegt der Datenschutzverstoß und die Haftung bei dem Dienstanbieter, der sich nicht an den AV-Vertrag gehalten hat. Dies ist nur ein Beispiel für die Wichtigkeit eines AV-Vertrages. Er regelt unter anderem auch, was der Auftragsverarbeiter für Weisungen und von wem annehmen muss, sowie was bei einer Prüfung durch die Aufsichtsbehörde geregelt ist.

Datenschutzbeauftragter

Wenn euer Dienstherr einen Datenschutzbeauftragten ernannt hat, sollte dieser bei der Konzeptionierung mit einbezogen werden. Das hat mehrere wichtige Gründe. Zum einen sollte ein Datenschutzbeauftragter wissen, wo und welche personenbezogenen Daten in seinem Wirkungskreis verarbeitet werden. Außerdem können diese Daten in den Alarm-Apps als vertrauliche Daten eingeordnet werden, dann muss der Datenschutzbeauftragte eine sogenannte Datenschutzfolgeabschätzung erstellen. Und generell muss der Betreiber ein Verfahrensregister führen, in dem alle seine Systeme aufgeführt werden, die personenbezogene Daten verarbeiten. In dieses Verfahrensregister sollte die Alarm-App ebenfalls aufgeführt werden.

Stand der Technik

Seit der DSGVO ist der Punkt „Stand der Technik“ noch wichtiger geworden. Dies bedeutet, dass jegliche Hardware die in eurem Wirkungsbereich eingesetzt, um die Alarm-App zu betreiben, darf nicht veraltet sein. Also zum Beispiel das Betriebssystem muss noch Sicherheitsupdates erhalten. Damit zählen alle Windows Rechner mit installierten Windows XP oder älter, nicht mehr zum Stand der Technik. Der Support für Windows 7 endet am 14. Januar 2020, spätestens dann müssen auch diese Betriebssysteme auf mindestens Windows 8 upgedatet werden.

Dies ist auch ein wichtiger Punkt für die Smartphones der Kameraden bzw. Kollegen. Die Handys, auf denen die Alarm App installiert sind, müssen auch immer auf dem Stand der Technik sein. Ist ein Betriebssystem lange nicht mehr aktualisiert worden, hat es Sicherheitslücken die eigentlich schon längst durch neuere Updates behoben wurden. Somit ist das Smartphone eine Sicherheitslücke für das ganze IT-Sicherheitskonzept. Nutzer alter Smartphones, für die es keine Updates mehr gibt, sollten vorsorglich von der Nutzung der Alarm App ausgeschlossen werden. Ansonsten sind wir wieder wie oben beschrieben, bei dem Punkt der Haftung bei einem Datenschutzverstoß.

Werbung

Rollensystem

Beim Datenschutz gilt das minimale Prinzip, jeder Nutzer darf nur das sehen, was für die Ausübung seiner Funktion notwendig ist. Dies muss auch bei Alarm- und Verfügbarkeitenapps möglich sein.

Es sollte sich schon vor der Grundkonfiguration Gedanken gemacht werden, welche Gruppen benötige ich und welche Einsatzkraft darf auf gewisse Punkte in der App zugreifen.

Auch dieses sogenannte Rollenkonzept sollte man dokumentieren. Es muss bei jedem späteren hinzufügen von neuen Nutzern wieder angewendet werden.

Löschkonzept

Genauso wichtig wie das Rollenkonzept ist das Löschkonzept.

In einem Löschkonzept wird beschrieben, wann und wie ein Nutzer aus der App gelöscht wird. Dieser Prozess sollte dokumentiert werden und von allen Beteiligten gelebt werden. Der Wehrführer oder Dienstherr hat umgehend dem Administrator oder Verwalter der App mitzuteilen, wenn ein Kamerad ausscheidet und aus der App entfernt werden muss. Es muss ebenfalls sichergestellt und in dem Löschkonzept fixiert werden, was mit den lokalen Daten der Alarm App auf dem Smartphone des Nutzers geschieht.

Es gibt Apps, die können auch offline genutzt werden, diese speichern die Daten meist lokal in dem Speicher des Smartphones, auf diese hätte der ausgeschiedene Benutzer weiterhin Zugriff.

Andere Alarm Apps machen einen Online Abgleich bevor der Nutzer die Daten in seiner App sehen kann. Sollte dann keine Berechtigung mehr zum Ansehen der Daten vorhanden sein, werden diese dem Nutzer auch nicht mehr angezeigt.

Sichtschutz im Gerätehaus, auf Laptops und im ELW

Der letzte Punkt in diesem Artikel behandelt den einfachsten und offensichtlichsten Punkt im Datenschutz. Die Monitore und Laptops auf denen die Anzeigen der Alarme oder Rückmeldungen angezeigt werden.

Monitore in den Feuerwachen sollten, wenn möglich nicht von außen einsehbar sein. Falls dies nicht anders realisierbar ist, kann man einen Sichtschutz zum Beispiel durch Milchglas Folie anbringen.

Die Scheiben der Einsatzleitwagen sollten von außen ebenfalls nicht einsehbar sein, damit Passanten und vorrangig Pressevertreter nicht ungewollten Einblick auf diese sensiblen Daten erhalten.

Fazit

Die Einführung der DSGVO und die Überarbeitung des Bundesdatenschutzgesetzes hat den Verwaltungsaufwand hinter der Nutzung solch einer Software wesentlich erhöht. Aber wenn man sich mit diesem Thema beschäftigt, merkt man auch, dass viele Vorschriften im Bereich Datenschutz, seine Berechtigungen haben.

Dies ist nur ein kleiner Teil an Punkten, die es zu beachten gilt, wenn man eine Alarm- und Verfügbarkeits-App im Feuerwehrwesen nutzen möchte.

In Zukunft werde ich weitere Artikel zu diesem Thema veröffentlichen. Habt ihr ebenfalls Punkte aus dem Bereich Datenschutz die Euch interessieren oder gibt es etwas, was Euch in diesem Artikel fehlt? Schreibt es einfach in die Kommentare.

Werbung

Maik

Maik ist der Gründer von www.feuerwehr-digital.info und ist seit Anfang 2005 in der Freiwilligen Feuerwehr aktiv tätig. Er ist der Webmaster mehrere Feuerwehrwebseiten und in einer Technischen Einsatzleitung tätig.

Ähnliche Artikel

2 Kommentare

  1. Hallo Maik,

    vielen Dank für den Artikel, welcher meiner Meinung auch die Sachlage besser trifft, als die FwDV800. Vielen Dank dafür.

    Gibt es bzgl. dem AV-Vertrag ein Unterschied, dass die Daten nicht außerhalb der EU verarbeitet werden dürfen und einer möglichen Einschränkung nur auf Deutschland ?

    Viele Grüße
    Jörg

    1. Hallo Jörg,
      vielen Dank für die netten Worte.
      In der Regel lässt man die Verarbeitung in der Europäischen Union zu, da für diese Länder die DSGVO bindend ist. Die Verarbeitung nur auf Deutschland zu beschränken könnte es für einige SaaS Anbieter ziemlich schwierig machen, geeignete Subunternehmer und Rechenzentren für deren genutzte Services zu finden.
      Viele Grüße
      Maik

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen