Sicherer Einsatz von Alarm-Apps | Leitstelle Lausitz

Smartphones unterstützen uns im Alltag durch eine Vielzahl von Anwendungen diverser Anbieter. Da verwundert es kaum, dass auch sogenannte Apps zur Alarmierung und Kommunikation existieren, die Einsatzkräfte unterstützen.
Seit einigen Monaten erhalten wir vermehrt Anfragen bezüglich der Rechtssicherheit dieser Systeme. Was uns dazu motiviert hat, diesen Beitrag zu veröffentlichen. Nachfolgend erklären wir die Voraussetzungen für den rechtssicheren Betrieb eines App-Dienstes. Es soll somit die Frage beantwortet werden, was ein interessierter Brandschutzträger beachten sollte, um ein internetbasiertes Kommunikation-System für seine Feuerwehrkräfte bereitzustellen.
Schematische Darstellung internetbasiertes Informationssystem

Die Vorteile dieser Technologie liegen auf der Hand:

sekundenschnelle Zustellung eines Alarms
durch Nutzung von Smartphones müssen keine Alarmempfangsgeräte beschafft werden
Austausch von Einsatzinformationen zwischen den beteiligten Einsatzkräften
Unterstützung bei der Einsatzdokumentation, z.B. durch aufgezeichnete Fotos und Videos
Kenntnis über die Anzahl und ungefähre Eintreffzeit der Einsatzkräfte durch Rückmeldungen
Darstellung auf einem Alarmmonitor in der Wache

Dabei variiert der Funktionsumfang, abhängig von der am Markt angebotenen Systeme. Sofern die erhobenen Daten zusätzlich permanent gespeichert werden, können sie für eine zukünftige Gefahrenabwehrplanung nützlich sein, um so die Einsatzhäufigkeit, -orte und die -bereitschaft der Kräfte und Mittel auszuwerten.

Nach einem kurzen Überblick über die Vielfältigkeit der verfügbaren Techniken im Internet für BOS-Organisation werden einige Bedrohungsszenarien vorgestellt. Anschließend erfolgt eine Einschätzung der derzeitigen rechtlichen Situation und der möglichen Folgen. Schließlich stellen wir einen Lösungsansatz vor, um ein internetbasiertes Alarmierungssystem in Betrieb zu nehmen.
Alle uns bisher erlangten und in diesem Beitrag dokumentierten Erkenntnisse dienen gleichzeitig der zuständigen Kommune – als Träger des Brandschutzes – für eine Entscheidungsfindung und den Betroffenen zur Aufklärung bezüglich ihrer persönlichen Datenschutzrechte.

Internetbasierte Alarmierungssysteme im Überblick

Grundsätzlich gehen internetbasierte Alarm-Apps nach demselben Prinzip vor. Zunächst erfolgt eine Alarmierung, wobei der Alarmursprung dabei verschieden sein kann. Typischerweise sollen aber die Alarmierungsdaten der zuständigen Leitstelle empfangen und über das internetbasierte Kommunikationssystem an die Einsatzkräfte weitergeleitet werden. Alternativ können die zuständige Kommune oder deren Feuerwehrangehörige einen Alarm mit diesem System auslösen. Zum Empfang der Alarmierung durch die Leitstelle wird üblicherweise ein digitaler Meldeempfänger (DME) mit einem Computer verbunden, um die Daten auszulesen. Die ausgelesenen Alarminformationen werden anschließend an einen Server weitergegeben, dies ist entweder eine Anwendung die eigenständig betrieben oder von einem Diensteanbieter im Internet angeboten wird. Alternativ können empfangene Alarmfaxe digital ausgelesen und aufbereitet werden. Die aufbereitete Alarmierung wird durch den Server an die Endgeräte (SmartphoneApp, Wachendisplay, Website, SMS, Email, Alarmanruf, Fax usw.) übermittelt. Die Nutzerverwaltung erfolgt grundsätzlich durch die Servereinheit. Alle von dem Server empfangenen Daten, die Empfangsbereitschaft und Rückmeldungen können gespeichert und für spätere Analysen als Datenbasis genutzt werden. Auf dem Markt existieren zum heutigen Zeitpunkt zahlreiche Diensteanbieter, wie DIVERA24/7, AlarmApp, FF-Agent, BosMon, iPiepser u.v.m., die gegen eine regelmäßige Gebühr den Alarmierungsdienst bereitstellen.

Mögliche Gefährdungen für den sicheren Betrieb von internetbasierten Alarmierungsdiensten

Das Internet ist wohl das stabilste Kommunikationsnetz, dies ist kein Wunder, denn zu diesem Zweck wurde es u.a. entwickelt [1]. Jedoch können regionale Unterbrechungen der Internetkommunikation, aufgrund von technischen Störungen oder aktiven Cyberangriffen, nicht zu 100% ausgeschlossen werden. Nahezu täglich berichten Medien über neue Vorfälle. Als Beispiel sei das Schadprogramm „WannaCry“ genannt, welches weltweit Störungen verursachte. So waren u.a. mehrere Krankenhäuser in Großbritannien und der spanische Telekommunikationsanbieter „Telefónica“ davon betroffen. Im Dezember 2016 erfolgte ein Hackerangriff, von dem DSL-Router der Deutschen Telekom betroffen waren und für zahlreiche Endkunden kein Internet zur Verfügung stand.
Neben den zuvor genannten Bedrohungen für die Verfügbarkeit sind weitere sogenannte Schutzziele für die Gestaltung eines internetbasierten Kommunikationssystems für Feuerwehren zu beachten. Dazu zählen u.a. die Vertraulichkeit und Integrität der Daten und des eingesetzten Systems. Unter der Vertraulichkeit wird das Ziel verstanden, dass eine Information ausschließlich für die Nutzungsberechtigten verfügbar sein soll und für alle anderen kein Zugriff möglich ist. Die Integrität verfolgt die Aufgabe, Daten vor Manipulation, also der ungewollten Veränderung zu schützen. Dies ist für jeden Brandschutzträger und jede Einsatzkraft von Bedeutung, da eine falsche, manipulierte oder verlorene Alarmmitteilung erhebliche Auswirkungen auf einen Einsatz haben kann.

Durch die Verletzung der Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität können u.a. finanzielle, gesundheitliche und Image-Schäden für die Feuerwehr entstehen. Aus diesen Gründen sollten mögliche Bedrohungen für den sicheren Betrieb einer internetbasierten Alarmierung bekannt sein und bei der Entscheidungsfindung berücksichtigt werden. Nachfolgend stellen wir einige wesentliche Gefährdungen vor.

Unterbrechung der Erreichbarkeit der Einsatzkräfte
Im Vergleich zum Alarmrufempfänger verfügen Smartphones über verschiedene Kommunikationswege, z.B. WLAN, LTE. Abhängig vom Standort des Gerätes wird eines der jeweiligen Kommunikationsprotokolle genutzt und andere stehen ggf. nicht zur Verfügung. Ohne einen alternativen Alarmierungsweg, ist bei Ausfall der Netzinfrastruktur die Erreichbarkeit der Einsatzkraft nicht mehr gewährleistet. Ist die Netzinfrastruktur regional unterbrochen, kann dies mehrere oder alle Einsatzkräfte in der Region betreffen. Beispiele für mögliche Ausfallursachen sind:

Technische Störungen / Ausfall einer zentralen Komponente des Telekommunikationsanbieters oder Internetdienstanbieter, der Leitstelle
Technische Störungen / Ausfall der Empfangseinheit (Meldeempfänger, lokaler Computer, Faxgerät etc.)
Flächendeckender Stromausfall
Technische Störung / Ausfall der lokalen Mobilfunkzelle, des Digitalen Alarmumsetzers
Keine oder geringe Akkuleistung des Smartphones
Überschreitung des begrenzten Datenvolumens des Besitzers
Schadcode auf einer der Netzkomponenten
Verlust / Zerstörung des Smartphone

Im Vergleich zur digitalen Alarmierung sind bei der internetbasierten Kommunikation zahlreiche Diensteanbieter in der Kommunikationskette anzutreffen. Dabei kann jeder Einzelne einen erheblichen Einfluss auf die Verfügbarkeit eines internetbasierten Alarmierungsdienstes haben.

Verletzung der Vertraulichkeit der Alarminformation
Durch die Landesdatenschutzbeauftragte Brandenburg wurde der Informationsgehalt der Alarmierung durch die Leitstelle als ein vertraulicher Datensatz bestimmt [2]. Daher ist die Vertraulichkeit der Alarminformation im Interesse der Hilfesuchenden zu gewährleisten. Es existieren folgende Gefährdungen für die Wahrung der Vertraulichkeit:

Bekanntwerden der Information durch Dritte, z.B. durch Ausspionieren
Weitergabe der Information durch den Diensteanbieter an Interessierte, z.B. Versicherungen, Unternehmen mit dem Interesse der gezielten Werbung, Arbeitergebern u.v.m.
Schadcode zum Ausspionieren des Smartphones oder einer Netzkomponente
Verletzung der Schweigepflicht durch Einsatzkräfte – Hierunter sind auch Mitteilungen über soziale Nachrichtendienste (Facebook, Whatsapp, Twitter, Instagram etc.) zu verstehen.

Anmerkung: Die Leitstelle Lausitz alarmiert seit Mitte 2016 datenschutzkonform.

Verlust der Integrität (Unversehrtheit) der Alarmierungsdaten
Neben dem Datenschutz haben der Brandschutzträger und dessen Einsatzkräfte ein erhebliches Interesse an der Echtheit der Alarmierung. Verfälschte oder unberechtigte Alarmierungen können einen Schaden für die Einsatzbereitschaft der Einsatzkräfte verursachen. Mögliche Bedrohungen sind:

Kompromittierung des Alarmdienstes oder des Smartphones (Unterdrückung des Alarms, Falsche Alarmierungen, unberechtigte Veränderung der Alarmierung, Positionsdaten bei Ortungsfunktion oder der Rückmeldung durch Einsatzkräfte) durch unbekannte Dritte (z.B. Hacker usw.)
Grobe Fahrlässigkeit oder Vorsatz durch einen Zugangsberechtigten (z.B. Betreiber des Alarmdiensteanbieters, Mitglied der Feuerwehr)
Fehlerhafte Konfiguration des Alarmsystems

Rechtliche Bewertung von internetbasierten Alarmierungsdiensten

Mit Schreiben vom 15. August 2006 hat das Ministerium des Innern des Landes Brandenburg klargestellt, dass die nach technischer Richtlinie der Behörden und Organisationen mit Sicherheitsaufgaben für Geräte für die digitale Funkalarmierung (TR-BOS-DA) zulässigen Alarmierungsformen anzuwenden sind [3]. Aus diesem Grund verwendet die Integrierte Regionalleitstelle Lausitz primär die digitale Alarmierung. Um ein internetbasiertes Alarmsystem zu betreiben, existieren neben dieser Vorgabe des Landes, das Haftungsrecht und weitere rechtliche Anforderungen, die neben den AGBs der Internetdienstanbieter in diesem Kapitel nähere Beachtung finden.

Datenschutzrecht
In § 17 Brandenburgisches Brand- und Katastrophenschutzgesetz (BbgBKG) wird die Zulässigkeit der Datenverarbeitung von personenbezogenen Daten näher beschrieben. Grundsätzlich sind die Anforderungen des brandenburgischen Datenschutzgesetzes (BbgDSG) durch den Brandschutzträger einzuhalten. Für einzelne Arbeitsvorgänge ist eine Datenverarbeitung unter den Vorgaben des Datenschutzgesetzes ohne eine schriftliche Einwilligung des Betroffenen zulässig (z.B. Mitgliederverzeichnis, Erstattungs- und Entschädigungsvorgänge, Alarm- und Einsatzpläne) [4].
Sofern eine Feuerwehr nach dem Empfang der digitalen Alarmierung ein internetbasiertes Alarmierungssystem anbinden und betreiben möchte oder einen Diensteanbieter mit dieser Aufgabe beauftragt, ist sie eine datenverarbeitende Stelle. [5] Die Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung seiner personenbezogenen Daten durch eine datenverarbeitende Stelle in unzulässiger Weise in seinem Grundrecht der informationellen Selbstbestimmung beeinträchtigt wird. Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn die betroffene Person freiwillig und in Schriftform zugestimmt hat oder eine Rechtsvorschrift dies zulässt. Neben der Übermittlung von Alarmierungsdaten werden durch das internetbasierte Alarmierungssystem Daten der Feuerwehrangehörigen verarbeitet, da sich diese am Alarmierungsserver anmelden müssen und abhängig vom genutzten Funktionsumfang deren Rückmeldungen und Positionsdaten dauerhaft gespeichert werden. Spätestens diese Form der Datenerhebung ist ohne eine schriftliche Einwilligung rechtlich nicht zulässig.
Bei der Unterhaltung eines internetbasierten Alarmierungssystems hat die Feuerwehr rechtlich folgende Anforderungen zu erfüllen [5]:

Führen eines Verfahrensverzeichnisses,
Entwicklung eines auf einer Risikoanalyse basierten IT-Sicherheitskonzept [6a, 6b]
Umsetzung technisch-organisatorischer Sicherheitsmaßnahmen und
Schriftliche Freigabeerklärung zur Beherrschbarkeit des IT-Systems.
Betroffene Personen haben Rechte bezüglich der Verarbeitung ihrer personenbezogenen Daten. Dazu zählen:
- Auskunfts- und Einsichtsrecht zu ihren gespeicherten Daten,
- Gegenvorstellung aufgrund eines schutzwürdigen besonderen persönlichen Interesses,
- Einsichtsrecht in das Verfahrensverzeichnis,
- Ein Recht auf Berichtigung, Löschung oder Sperrung der zu seiner Person gespeicherten Daten und
- das Recht auf Anruf des Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht.

Internetdiensteanbieter arbeiten im Auftrag! Unabhängig davon ob Gebühren anfallen, schließen der Anbieter und die Feuerwehr eine Vereinbarung, dies erfolgt oft unbewusst durch die Registrierung und Bestätigung der Allgemeinen Geschäftsbedingungen (AGBs). Die Feuerwehr trägt dabei die Verantwortung zur Sicherstellung des Datenschutzes und kann sich dieser nicht durch die Beauftragung eines Dritten entziehen [5].

Achtung: Die Betreiber jener Dienste verpflichten sich nur marginal zur Einhaltung des Bundesdatenschutzes. Prüfen Sie daher als Auftraggeber vorab sorgfältig die Nutzungsbedingungen dieser Anbieter. Häufig wird z.B. die Verfügbarkeit des Dienstes ausgeschlossen, die Speicherung aller Daten erfolgt oft im Ausland, sie werden für die Inhalte in Verantwortung gezogen oder ihre Daten werden für andere Zwecke verwendet. Insbesondere die Aufhebung der Zweckbindung ist rechtlich sehr kritisch anzusehen, da Interessenten, wie Versicherer, Medienanstalten, Arbeitgeber die Nutznießer der Daten sein können. Eine Lösung ist es, den Auftragnehmer über einen Vertrag zur Auftragsdatenverarbeitung zur Einhaltung des brandenburgischen Datenschutzrechts zu verpflichten [7]. Idealerweise führt ein Brandschutzträger eine öffentliche Ausschreibung durch und legt vorab die Kriterien für eine Auftragsvergabe fest.

Am 25.5.2018 tritt die europäische Datenschutzgrundverordnung in Kraft [8] und ersetzt die bisher geltende datenschutzrechtliche Bestimmungen. Mit Inkrafttreten der Rechtsnorm werden u.a. die bisherigen Rechte für Betroffenen gestärkt, verantwortliche datenverarbeitende Stellen werden zu weiteren Schutzmaßnahmen verpflichtet und können bei Verstößen stärker sanktioniert werden.

Strafrecht
Sofern ein internetbasiertes Alarmierungssystem ohne Zustimmung durch den Brandschutzträger betrieben wird, liegt ein Straftatbestand nach § 148 Abs. 1 Telekommunikationsgesetz (TKG) vor und kann mit einer Freiheitsstrafe von bis zu zwei Jahren oder mit einer Geldstrafe bestraft werden. Zum eigenen Schutz raten wir aus diesem Grund dringend von einem Betrieb einer solchen Diensterbringung ohne die Kenntnis der zuständigen Ordnungsbehörde bzw. des Bürger- bzw. Amtsleiters, als Träger des örtlichen Brandschutzes ab.

Lösungsansätze für einen rechtskonformen Betrieb eines internetbasierten Alarmierungsdienstes

Die Sicherstellung des primären digitalen Alarmweges ist durch den Brandschutzträger in jedem Falle sicherzustellen. Der Betrieb eines zusätzlichen internetbasierten Informationsdienstes ist rechtlich unter Einhaltung der bisher genannten Rechtsnormen möglich und kann bei einer vorsorglichen Planung die Erreichbarkeit der Feuerwehrangehörigen stärken. Dabei ist es sehr wahrscheinlich, dass die Nutzung einer App den digitalen Meldeempfängern entbehrlich macht und ihn mittelfristig verdrängen wird. Umso schwieriger ist die Aufgabe der Sicherstellung des primären digitalen Alarmsystems im Zuständigkeitsgebiet des Brandschutzträgers. Als ein geeignetes Mittel seien stationäre Sirenen zu nennen. Moderne Sirenen können zusätzlich über einen Akkumulator auch bei einem längeren Stromausfall genutzt werden, um die Einsatzkräfte über einen Einsatz zu informieren und trägt somit zur grundsätzlichen Verfügbarkeit der Alarmierung bei. Im Anhang erhalten Sie eine Checkliste, die für den Einsatz eines internetbasierten Kommunikationssystems beachtet werden sollten.

Fazit:

Rechtlich ist die digitale Alarmierung über Sirenen und Meldeempfänger durch den Brandschutzträger für seine Einsatzkräfte stets sicherzustellen. Eine Ergänzung um zusätzliche Informationssysteme ist durchaus sinnvoll, da Einsatzkräfte effizienter an die Einsatzstelle herangeführt werden können und die Verfügbarkeit durch ein weiteres Medium erhöht wird. In seinem Alarmkonzept hat der Aufgabenträger aber stets eine Alarmierung sicherzustellen, die auch in Ausnahmesituationen, z.B. längeren Stromausfällen funktioniert.
Sofern eine internetbasierte Alarmierung eingesetzt werden soll, handelt der Brandschutzträger als eine datenverarbeitende Stelle, ist somit zur Einhaltung des Datenschutzes verpflichtet und hat dadurch die nach Brandenburgischen Datenschutzgesetz erforderlichen Anforderungen sicherzustellen. Vor der Auswahl eines geeigneten Diensteanbieters sollten dessen AGB‘s genauestens geprüft werden. Es ist ein Vertrag zur Auftragsdatenverarbeitung abzuschließen, um die Datenschutzrechte der Betroffenen zu wahren und möglich rechtliche Sanktionen auszuschließen. Zusätzlich ist schriftlich die Einwilligung zur Verarbeitung der persönlichen Daten der Einsatzkräfte einzuholen.
Der Betrieb eines internetbasierten Alarmierungssystems ohne schriftliche Zustimmung des Brandschutzträgers, stellt einen Straftatbestand dar und kann im schlimmsten Falle eine Freiheitsstrafe von bis zu 2 Jahren zu Folge haben.

Checkliste

Planungsphase:

Entwickeln Sie ein wirksames und ausfallsicheres Alarmkonzept.
Sofern Sie einen Diensteanbieter beauftragen möchten, prüfen Sie vorab dessen AGB‘s und erstellen Sie einen Vertrag zur Auftragsdatenverarbeitung [7].
Legen Sie die Verantwortlichkeiten für die Umsetzung und den Betrieb des Systems fest.
Treffen Sie zusammen mit allen Führungskräften der Feuerwehr, der Verwaltung und dem zuständigen Datenschutzbeauftragten eine Entscheidung zur Umsetzung ihres Entwurfes eines Alarmkonzepts.

Umsetzung:

Erstellen Sie ein Verfahrensverzeichnis [5].
Entwickeln Sie ein IT-Sicherheitskonzept [6].
Holen Sie die schriftliche Einwilligung der Feuerwehrangehörigen ein.
Stellen Sie eine Alternative für jene Kräfte bereit, die nicht einwilligen, bzw. ihre Einwilligung widerrufen.
Führen Sie das Beschaffungsverfahren durch (Tipp: Vertrag zur Auftragsdatenverarbeitung als Vergabekriterium).
Installieren Sie das beschaffte System und setzen die aus dem IT-Sicherheitskonzept resultierenden technischen-organisatorischen Maßnahmen zur Sicherstellung der Datensicherheit / -schutzes um.

Betrieb: