Was sind Metadaten und was gehen sie den Datenschutz an?

Metadaten in E-Mails und Dateien

Sie suchen eine bestimmte E-Mail in Outlook oder eine bestimmte Datei im Explorer. Sie wissen noch ungefähr, um was es dabei ging. Je mehr Daten Sie auf ihrem Rechner gespeichert haben, desto länger kann es dauern, bis Sie die Mail oder Datei finden. Wenn Sie mittels Informationen suchen, die Sie oder die Software zu den Dateien oder Mails in Kurzform eingegeben haben, nutzen Sie Metadaten.

Was sind Metadaten?

Metadaten sind Informationen über Daten. Alle Datensammlungen benötigen Metadaten zur Strukturierung. Eigentlich praktisch, denn so kann eine lange Datei mit wenigen Worten beschrieben und rasch wiedergefunden werden. Stellen Sie sich vor, Sie suchen eine Mail, in der Ihnen die Kollegin die Projektpartner für ein bestimmtes Projekt geschickt hat. Aus der Erfahrung heraus nutzt man die Betreff-Zeile oder den Dokumententitel für wichtige Informationen zum Inhalt, die die Zuordnung und das Wiederfinden erleichtern. Ein Dateititel lautet beispielsweise: „Projektbeteiligte im Projekt Werner Schulze für Kunden Müllerschön“.

Wenn es sich bei Werner Schulze und Kunde Müllerschön um Personen handelt, dann sind das personenbezogene Daten. Das kommt häufiger vor, als man vermutet. Und wir alle haben gelernt: Je genauer wir es schaffen, den wesentlichen Inhalt des Dokuments in den Metadaten, also in die Betreffzeile, den Dokumententitel usw. in aller Kürze einzutragen, desto rascher sind diese Dokumente später auffindbar.

Vorteile von Metadaten

Metadaten zeichnet aus, dass sie nicht Bestandteil der verarbeiteten Datei sind und daher getrennt von den eigentlichen Daten aufbewahrt werden können. So ist es beispielsweise beim Stichwortkatalog einer Bibliothek. Dort kann man suchen, erfährt Titel und Verfasser eines Buches und kann es sich aus dem Regal holen. Ähnlich klappt das bei elektronischen Daten. Die meisten Dateisysteme arbeiten mit festgelegten Metadaten, wie etwa die Meta-Information des Dateityps, der Teil des Dateinamens ist, beispielsweise bei Word-Dokumenten die Erweiterung .docx oder bei Word-Vorlagen .dotx. Man sieht: Viele Metadaten sind hinsichtlich Datenschutz und Informationssicherheit unkritisch. Aber: Manche können auch kritisch sein.

Nachteile von Metadaten

So praktisch sie sind, Metadaten haben nicht nur Vorteile. Sie sind einer der wesentlichen Kritikpunkte von Aufsichtsbehörden beispielsweise an Videokonferenzsystemen. Wenn diese in US-amerikanischen Rechenzentren verarbeitet werden, haben darauf US-amerikanische Behörden Zugriff, und das ist spätestens seit dem EuGH-Urteil zu Schrems II kritisch. Im Umkehrschluss gilt: Je allgemeiner man Metadaten formuliert, desto geringer sind die Gefahren für den Datenschutz.
Allerdings gehören zu den Metadaten auch die an der Kommunikation beteiligten Personen, das lässt sich nicht vermeiden. Aber diese Informationen lassen sich pseudonymisieren. So kann beispielsweise eine Mail-Adresse statt mit vollem Vornamen und Nachnamen so angelegt werden, dass nur befugte Personen den Namen zuordnen können.
Das Gemeine an Metadaten ist: Selbst wenn das Dokument vorbildlich verschlüsselt ist, seine Metadaten bleiben für gewöhnlich unverschlüsselt. So wird etwa die Betreff-Zeile einer E-Mail im Regelfall nicht chiffriert. Und selbst wenn sie, beispielsweise bei TLS-Verschlüsselung, auf dem Weg zwischen zwei Servern unkenntlich gemacht wird, so wird sie „nur“ auf dem Weg verschlüsselt und liegt auf den Servern jeweils offen. Metadaten werden also nicht konsequent geschützt, bleiben grundsätzlich einsehbar und können von Unbefugten genutzt werden.

Metadaten als kaum bekanntes Risiko

Metadaten sind unverzichtbar und fallen bei allen elektronischen Dokumenten an. Neben Mails und Dokumenten auch bei Fotos, Tondateien, Videos, Webseiten usw. Sie unterstützen die Verwaltung, Archivierung und insgesamt das Management der verarbeiteten Daten und informieren unter anderem über die Datenstruktur, die Dateigröße, das Dateiformat oder den Speicherort. Wenn die beteiligten beschäftigten Personen nicht vorsichtig damit umgehen, werden diese Informationen unkontrolliert weiterverbreitet.
Wissen das die beschäftigten Personen, die mit den Daten arbeiten? Angenommen, sie wissen es nicht, und davon kann man in der Regel ausgehen – wird das Thema in Schulungen angesprochen, reagieren jedenfalls die allermeisten überrascht, auch jene, die in Sachen Datenschutz alles richtig machen möchten. Für die Informationssicherheit bedeutet das, dass in vielen Fällen niemand genau weiß, welche Informationen da eigentlich an wen weitergegeben werden. Damit handelt es sich um ein zwar spezifizierbares, aber nicht spezifiziertes Risiko – also ein mutmaßlich unbestimmtes Risiko.

Metadaten und Datenschutz

In der Datenschutz-Grundverordnung verlangt der europäische Gesetzgeber angemessene technische und organisatorische Maßnahmen, um Schutzverletzungen personenbezogener Daten zu vermeiden.

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Art. 32 Abs. 2 DSGVO



Wenn Metadaten in unbefugte Hände gelangen, sind mindestens die Schutzverletzungen Verlust, unbefugte Offenlegung und unbefugter Zugang zu personenbezogenen Daten betroffen. Außer wenn kein Risiko für Rechte und Freiheiten betroffener Personen zu erwarten ist, wird bei Schutzverletzungen eine Meldung der Datenpanne an die Aufsichtsbehörde fällig.

Zur Beruhigung: Ganz so schnell schießen die Preußen nicht. Es käme auf einen Versuch an, einmal bei der Aufsichtsbehörde eine Meldepflicht wegen einer versendeten Schutzstufe-D-Information in einer Betreffzeile abzugeben. Und das möglicherweise am 1. April. Wer traut sich?
Aber Aprilscherze beiseite. Bei Metadaten heißt es aufpassen. Kompromittierende Angaben in offenen Metadaten wie der Betreffzeile oder dem Titel einer Videokonferenz sind ratsamerweise zu vermeiden.

Tipps und Maßnahmen für sicheren Umgang mit Metadaten im Unternehmen

• eine Zusammenstellung der wichtigsten Metadaten aus Programmen und elektronischen Dateien vornehmen
• vermerken, welche Metadaten in den wichtigsten Anwendungen Nutzer beeinflussen können und wo Verletzungen von Datenschutz und Informationssicherheit drohen
• sicherstellen, dass Nutzer erstens wissen, was Metadaten sind, und zweitens deren Risiken für Datenschutz und Informationssicherheit kennen
• sicherstellen, dass Nutzer wissen, auf welche Metadaten von Dateien sie Einfluss haben
• sicherstellen, dass Nutzer mit beeinflussbaren Metadaten verantwortungsvoll umgehen
  

Und die Kernfrage: Kennen beschäftigte Personen die Risiken von Metadaten und verwenden sie in angemessener Weise?

Wir wünschen sichere Metadaten!