Die amerikanische Federal Trade Commission (FTC) hat sich mit dem Anbieter einer Verwaltungssoftware für Zahnärzte auf eine Strafzahlung von 250.000 Dollar geeinigt. In einer Pressemitteilung vom 5. Januar 2016 gab die FTC bekannt, dass der Softwareanbieter sein Produkt, mit dem unter anderem auch Patientendaten verarbeitet werden können, für mehrere Jahre mit der Eigenschaft bewarb (u.a. in Broschüren und Newslettern), dem Industriestandard entsprechende Verschlüsselungsverfahren einzusetzen. Zudem sollten hierdurch gesetzliche Anforderungen an den Umgang mit Patientendaten des Health Insurance Portability and Accountability Act (HIPAA) eingehalten werden können.
Nach Auffassung der FTC war dem Softwareanbieter jedoch bekannt, dass in der Software ein weniger komplexes Verschlüsselungsverfahren als jenes des Advanced Encryption Standard (AES) zum Einsatz komme, welches jedoch durch das National Institute of Standards and Technology (NIST) (einer Bundesbehörde, die sich um Standardisierungsprozesse kümmert) gerade als Industriestandard empfohlen werde.
Auch in Deutschland verlangt etwa § 9 BDSG in Verbindung mit der Anlage zu § 9 Satz 1 BDSG, dass bei der Verarbeitung personenbezogener Daten Maßnahmen zu treffen sind, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, die Daten technisch etwa gegen unbefugten Zugriff oder eine unbefugte Weitergabe zu schützen. Das BDSG führt als Beispiel einer solchen Maßnahme insbesondere die Verwendung von dem Stand der Technik entsprechender Verschlüsselungsverfahren an. Speziell im Bereich des Internets oder von Apps findet sich eine ähnliche Regelung in § 13 Abs. 7 TMG. Zu beachten ist jedoch, dass diese Maßnahmen jeweils unter einer Verhältnismäßigkeitsvorbehalt stehen und die Verschlüsselung nicht gesetzlich verpflichtend (etwa als Minimumvoraussetzung) vorgeschrieben wird (hierzu auch ein Beitrag von Adrian Schneider).
Unabhängig davon könnte ein Verhalten, wie jenes des Softwareanbieters in den USA, in Deutschland durch Mitbewerber angegriffen werden, wenn der Anbieter Verbraucher (Zahnärzte würden im Rahmen ihrer beruflichen Tätigkeit nicht hierunter fallen) bewusst über eine besondere Verschlüsselungseigenschaft seines Produkts täuscht. Nach § 5 Abs. 1 S. 2 Nr. 1 UWG liegt z.B. eine sog. irreführende geschäftliche Handlung vor, wenn sie unwahre Angaben über die wesentlichen Merkmale der Ware wie Vorteile, Zwecktauglichkeit oder Beschaffenheit enthält. Dies würde eine unzulässige unlautere geschäftliche Handlung darstellen (§ 3 Abs. 1 UWG), die etwa mit einem Unterlassungsanspruch nach § 8 Abs. 1 UWG angegriffen werden kann.
Dem Grunde nach ist das Ergebnis ja einleuchtend: man darf nicht mit falschen Produkteigenschaften werben. Interessant ist in diesem Zusammenhang eher die Frage danach, was denn dem „Stand der Technik“ entsprechende Verschlüsselungsverfahren sind, mit denen ein Produkt beispielsweise beworben wird. Etwa allein AES? Sind in der Praxis bewährte Verfahren ausreichend? Diesbezüglich bestünde im Streitfall sicherlich Argumentationsspielraum.
Pingback: Die Woche im Datenschutz (KW01 2016) | Externer Datenschutzbeauftragter Bayern |
Die Werbelügen lasse ich mal weg, das erschütternde Bußgeld für ein Nasdaq-Unternehmen stimmt milde 🙂
Ein feines Beispiel zur Frage „Stand der Technik – AES genügt?“ Denn gründelt man etwas in den z.T. verlinkten Dokumenten, dann sieht man neben lange bekannten technischen Mängeln auch, dass es Technik ohne Organisations wenig bringt (TV5 Monde wäre nun ein Paradebeispiel).
Der Streit ist alt (mindestens 3 Jahre?), Vulnerability Note der Carnegie Mellon Univ 2013 zu c-treeACE database weak obfuscation = https://www.kb.cert.org/vuls/id/900031.
Dort findet man einen Angriffsvektor (Abschnitt ‚Impact‘ und davor): es genügt eine Kopie der Datenbank, um die Verschlüsselung aufzubrechen. Ohne das Passwort zu kennen. Ein Schelm, wer an die Backups denkt.
Kein seriöses Unternehmen würde sich darauf einlassen, wenn es das wüßte – und schon garnicht, wenn es kritische Daten wären (jenseits DS). Stand der org-techn Lösung ist, dass auch kein Admin Zugriff hat.
Als Beispiel für „Kochrezepte“ für schwache Verschlüsselung kann man etwa in ‚Use of a Broken or Risky Cryptographic Algorithm‘ = http://cwe.mitre.org/data/definitions/327.html für den Standard DES finden.
Den kommerziellen (End-) Kunden bleibt das Problem, dass sie das kaum herausfinden können, selbst ein ISO-Auditor oder ein DSB dürfte daran scheitern ohne technischen Support (und welcher Kunden würde das bezahlen?). Und wer eine SW einführt, der kann nur schwerlich wechseln.
PS: als Nicht-Jurist vermisse ich einige Anmerkungen zum Kaufrecht / BGB aus dt. Sicht, es ist ja nicht nur UWG. Ein möglicher Anwender hat hier schließlich ein Problem zu lösen, was erhebliche Kosten auslösen kann.
Pingback: Datenwoche im Datenschutz (KW1 2016) | Das Datenschutz-Blog