Stand: 20.05.2022

Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung – auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen.

Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, die relevant für datenschutzrechtliche Fragestellungen sind, wie neue/aktualisierte EU-Richtlinien, Kritik am Zensus 2022 und Neuigkeiten im Bereich der Cybersicherheit.

Datenschutz und Zensus 2022

Nach elf Jahren steht in Deutschland dieses Jahr wieder eine Volkszählung an, bei der in einer Stichprobenkontrolle rund zehn Prozent der Bevölkerung befragt werden (Zensus). Hierbei werden durch die statistischen Ämter verschiedenste Daten, beispielsweise zu Alter, Geschlecht, Familienstand, Staatsangehörigkeit, Ausbildung und Berufstätigkeit sowie zur Wohnsituation erhoben. Zusätzlich werden auch Vermieter und Verwalter von Wohnräumen kontaktiert, um den Gebäude- und Wohnungsbestand sowie die Wohnsituation der Haushalte zu ermitteln. Hierbei werden ebenfalls personenbezogene Daten der Mieter erhoben, beispielsweise Vor- und Nachnamen. Die Teilnahme an der Befragung ist nach dem Zensusgesetz (ZensG) sowohl für Privatpersonen als auch für Vermieter/Verwalter verpflichtend.

Neben Bedenken im Hinblick auf die Rechtmäßigkeit dieser Datenverarbeitungen gab es auch Kritik an der technischen Umsetzung, da für die Website des Zensus 2022 das Content Delivery Network (CDN) des US-Anbieters Cloudflare eingesetzt wird. Dass die Vorgehensweise und die Erhebungsmethode verfassungskonform sind, hat das Bundesverfassungsgericht bereits 2018 zum Zensus 2011 entschieden (BVerfG, Urteil v. 19.09.2018, Az.: 2 BvF 1/15, 2 BvF 2/15). Einige Datenschutz-Aufsichtsbehörden, darunter Berlin und Hamburg, stellen auf ihren Webseiten umfassende Informationen zum Zensus bereit. Im Hinblick auf das verwendete CDN hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) zwischenzeitlich eine Prüfung eingeleitet. Nach einer Pressemitteilung vom 18. Mai des BfDI hat eine erste Prüfung ergeben, dass „keine Gefahr für die auf der Zensus-Webseite eingegebenen Daten bestanden hat“. Zwar wird noch geprüft, ob die Übermittlung von Metadaten rechtmäßig war, dies hat allerdings keine Auswirkungen auf die Sicherheit des Online-Fragebogens. Nach dem Einschalten des BfDI wurden bereits Änderungen auf der Website vorgenommen und der Dienstleister für den Aufruf des Fragebogens nicht mehr eingesetzt.

Cybersicherheit: EU plant Haftung für Führungskräfte

Anfang Mai haben sich die EU-Gremien auf eine Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS) geeinigt. Es ist unter anderem vorgesehen, Führungskräfte der erfassten Unternehmen, Staatsbetriebe und eventuell Behörden für Verstöße gegen die Pflichten im Hinblick auf die Cybersicherheit haftbar zu machen. Nach dem Berichterstatter des EU-Parlaments, Bart Groothius, sollen Bußgelder Betreiber und Anbieter motivieren, die Beträge lieber präventiv in Sicherheitsmaßnahmen gegen Cyberangriffe zu investieren. Die überarbeitete NIS-Richtlinie enthält unter anderem Mindestvorschriften für Maßnahmen zum Risikomanagement bei der Cybersicherheit und für Meldepflichten bei Online-Attacken sowie daraus resultierenden Datenpannen. Zudem soll der Geltungsbereich erweitert und neben sog. Kritischen Infrastrukturen (KRITIS) auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren miterfasst werden. Hierzu zählen beispielsweise Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste sowie die öffentliche Verwaltung.

Mangelhafte IT-Sicherheit in KMU

Bei kleinen und mittelständischen Unternehmen (KMU) bestehen in Deutschland erhebliche Defizite im Bereich der IT-Sicherheit. Dies zeigt der „Praxisreport Mittelstand“ 2021/22 des Vereins „Deutschland sicher im Netz“ (DsiN), der Mitte Mai veröffentlicht wurde. Der Bericht, welcher vom Bundeswirtschaftsministerium unterstützt wurde, beruht auf rund 1300 abgeschlossenen Umfragen des DsiN-Sicherheitschecks von Mai 2020 bis Januar 2022. Die Ergebnisse zeigen, dass bereits Standardschutzmaßnahmen nur mangelhaft umgesetzt sind, beispielsweise fehlt es bei 64 Prozent der Unternehmen an Maßnahmen zur Angriffserkennung, bei 34 Prozent ist kein IT-Notfallplan vorhanden und 43 Prozent der KMU sind nachlässig bei der Installation von Software- und Sicherheitsupdates. Darauf, Beschäftigte in puncto IT-Sicherheit zu schulen und zu sensibilisieren, verzichtet ein Viertel der Unternehmen. Insgesamt gaben 42 Prozent der Befragten an, bereits mindestens einmal Opfer eines Cyberangriffs gewesen zu sein.

EU stellt Pläne für Chatkontrolle-Gesetz vor

Die EU-Kommission hat ihre Pläne zum Chatkontrolle-Gesetz vorgestellt, das zur Eindämmung der Verbreitung von Kinderpornografie und zum Schutz von Kindern vor „Grooming“ dienen soll. Dass Gesetz soll es möglich machen, dass digitale Kommunikation (z. B. E-Mails, Chats, Messenger) auf entsprechende Inhalte hin geprüft werden kann. Unter anderem sollen Anbieter dazu verpflichtet werden, mithilfe von KI-Software eigenständig digitale Kommunikation vollautomatisch auslesen zu lassen, die dann „verdächtige“ Inhalte an Strafverfolgungsbehörden weiterleitet. Dies entspricht im Grunde einer verdachtsunabhängigen, anlasslosen Massenüberwachung, nicht zuletzt auch aufgrund der schwammigen Formulierungen im Gesetzesentwurf. Das Vorhaben stößt entsprechend auf große Kritik, da die Chatkontrolle massiv in die Privatsphäre der User eingreift und dem Datenschutz sowie dem digitalen Briefgeheiminis entgegensteht.

BSI: Warnung vor Kaspersky-Virenschutzprodukten

Durch den anhaltenden Krieg Russlands warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiterhin vor dem Einsatz der Virenschutzsoftware des russischen Herstellers Kaspersky. Da Russland gegenüber der EU, der NATO und auch der Bundesrepublik Deutschland bereits Drohungen ausgesprochen hat, besteht ein erhebliches Risiko eines IT-Angriffs. Unternehmen sollten deshalb auf alternative Produkte zurückgreifen.

Sicherheitslücke bei Legoland Deutschland

Beim Legoland Deutschland kam es zu einer Datenpanne, als mehrere tausend Datensätze aus allen seit 2015 getätigten Buchungen öffentlich wurden. Dies berichtete Heise (c’t Magazin), die den Vorfall nach dem Hinweis eines Lesers geprüft hatten. Im Rahmen der Online-Buchung stellte das Unternehmen die Buchungsbestätigung über eine URL zur Verfügung, die unter anderem auch die Buchungsnummer enthielt. Durch Anpassung der Nummern konnte der betreffende Leser auf Buchungsbestätigungen anderer Personen zugreifen. Die Dokumente enthielten unter anderem Name, Vorname und Postanschrift der Buchenden sowie Namen der Mitreisenden und Buchungsinformationen. Da die Buchungsnummern fortlaufend sind, konnten Bestätigungen bis 2015 abgerufen werden, betroffen sind mutmaßlicher Weise mehrere hunderttausend Datensätze. Nach der Investigativ-Recherche des Magazins war keinerlei Zugriffsschutz vorgesehen. Das Unternehmen erklärte gegenüber dem Magazin, dass Überprüfungen durchgeführt und zusätzliche Sicherheitsmaßnahmen umgesetzt werden sollen, die Kunden werden allerdings nicht informiert.

Betriebsratswahl: darauf müssen Sie im Datenschutz achten

Von März bis Mai 2022 stehen wieder Betriebsratswahlen in den Unternehmen an. In diesem Zusammenhang fordert der Betriebsrat verschiedene Informationen zu Mitarbeitern von Unternehmen an, um die Wahlen organisieren und durchführen zu können. Bei der Datenweitergabe sind Unternehmen aber dazu verpflichtet, die Rechtmäßigkeit und Notwendigkeit der Datenübermittlung sicherzustellen. So dürfen Sie z.B. problemlos die Adressdaten von Mitarbeitern zum Versand von Briefwalhlunterlagen herausgegeben, die wegen Elternzeit, Homeoffice oder einer Langzeiterkrankung am Wahltag nicht im Betrieb sein werden. Dem Betriebsrat eine Mitarbeiterliste mit Namen, Position, Alter und Geschlecht zur Organisation der Wahl zu überlassen, geht aber zu weit. Weder das Alter noch das Geschlecht sind hierfür erforderlich. Im Zweifel sollten sich Unternehmen mit ihrem Datenschutzbeauftragten abstimmen.

EU-Richtlinie über digitale Inhalte

Um der wachsenden Bedeutung von digitalen Inhalten und Dienstleistern gerecht zu werden und ein einheitlich hohes Verbraucherschutzniveau zu gewährleisten, haben das EU-Parlament und der EU-Rat am 20. Mai 2019 eine Richtlinie über „bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ (Richtlinie (EU) 2019/770, „Richtlinie über digitale Inhalte“) beschlossen. Diese sollen ab 1. Januar 2022 angewendet werden und wurden in Deutschland überwiegend über Anpassungen im Bürgerlichen Gesetzbuch (BGB) umgesetzt. Die neuen Regelungen gelten für alle Verbraucherverträge (B2C) und regelt im Kern die Pflicht von Unternehmen, mangelfreie Leistung zu erbringen. Zudem müssen Unternehmen Aktualisierungen im Sinne von funktionserhaltenden Updates und Sicherheitsupdates bereitstellen sind, um eine durchgehende Funktionsfähigkeit der digitalen Produkte durch sicherzustellen und und Sicherheitslücken zu schließen. Die Neuregelungen betreffen unter anderem Anwendung bei Datenbanken, Cloud-Services, Plattformangeboten, Social Media, Webanwendungen, nummernunabhängigen interpersonellen Kommunikationsdiensten wie zum Beispiel E-Mail- oder Messenger-Diensten sowie körperlichen Datenträgern, die ausschließlich als Träger digitaler Inhalte dienen (DVDs, CDs, USB-Sticks, Speicherkarten).