Stand: 22.09.2022

Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung – auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen.

Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, die relevant für datenschutzrechtliche Fragestellungen sind, wie Datenschutzbeschwerden wegen Cookiebannern, unzulässige Datenabfrage durch Polizisten, das Ultimatum gegenüber WhatsApp, und Neuigkeiten im Bereich der Cybersicherheit.

Massiver Cyberangriff auf alle IHK in Deutschland

In der Nacht zum 04. August 2022 sind alle 70 Industrie- und Handelskammern (IHK) in Deutschland Ziel eines Cyberangriffs geworden. Diese Attacke nahm ihren Ursprung bei einem IT-Dienstleister. Die IT-Systeme der IHK wurden bundesweit vorsorglich heruntergefahren und kontrolliert vom Netz genommen, um möglichen Schaden zu vermeiden und Datensicherheit zu gewährleisten. Seit diesem Tag sind viele Webseiten der IHK nicht aufrufbar, zusätzlich ist die Telefonanlage betroffen und die Erreichbarkeit der Mitarbeiter*innen per E-Mail ist ebenfalls nicht gewährleistet. Allerdings soll das zentrale interne Verwaltungssystem weiterlaufen. Auch nach über einem Monat gibt es noch immer massive technische Probleme. So sind die meisten IHK noch immer nicht wieder online. Die Bergische IHK hat übergangsweise eine temporäre Website aufgebaut und für den Übergang neue E-Mail-Adressen für die Mitarbeiter eingerichtet. Seiten anderer IHK sind teilweise wieder aufrufbar, oftmals können aber immer noch keine E-Mails empfangen oder gesendet werden. Dieser aktuelle Cyberangriff macht wieder einmal deutlich, welche Ausmaße die Angriffe von kriminellen Hackern haben können. Daher sollten Unternehmen bereits präventiv den Einsatz von Überwachungstools und anderen technischen Vorkehrungen überdenken.

Zahlreiche Datenschutzbeschwerden wegen Cookiebannern

Die Organisation My Privacy is None of Your Business (NOYB), die von dem aus Österreich stammenden Juristen Maximilian Schrems ins Leben gerufen wurde, hat im März 2022 in ganz Europa 270 Websitebetreiber auf mögliche Datenschutzverstöße in Bezug auf die verwendeten Cookiebanner hingewiesen. Die Organisation warf den Websitebetreibern vor, das Cookie-Consent-Tool des Anbieters OneTrust mit „irreführenden Einstellungen“ zu verwenden. Unter anderem sollen Designtricks („Dark Patterns“) angewendet worden sein, um zu erreichen, dass möglichst viele User ihre Einwilligung erteilen. Nachdem nach Ansicht der Organisation rund 80 Prozent der angeschriebenen Betreiber den Aufforderungen nicht innerhalb einer Frist von 60 Tagen nachgekommen sind, hat NOYB Anfang August 2022 bei 18 europäischen Datenschutzaufsichtsbehörden Beschwerden gegen 226 Websitebetreiber eingereicht. Die Organisation hat zudem angekündigt, weitere Websites zu prüfen, die andere Cookie-Consent-Management-Tools wie TrustArc, Cookiebot, Usercentrics und Quantcast nutzen.

Erneut unzulässige Datenabfragen durch Polizisten

Bei Routinekontrollen hat die Berliner Polizei festgestellt, dass Beschäftigte bei Abfragen im Polizeilichen Landessystem für Information, Kommunikation und Sachbearbeitung (Poliks) Datenschutzvorgaben wiederholt nicht eingehalten haben. Von den rund 20.000 zu Abfragen Berechtigen, haben sich 83 Beschäftigte mehrmals nicht an die Vorgaben gehalten. Es gab nicht für alle Abfragen in der Polizeidatenbank ausreichende Begründungen. Schon im Jahr 2019 kritisierte die ehemalige Berliner Datenschutzbeauftragte Maja Smoltczyk, dass Polizisten oft zu privaten Zwecken auf die Datenbank zugriffen, um Informationen über das private Umfeld zu bekommen. Sie kritisierte auch die fehlende Kooperation der Polizei. In allen 83 Fällen wurden nun dienst- oder disziplinarrechtliche Ermittlungen eingeleitet. Ob die Vorfälle strafrechtlich relevant sind, ist noch unklar.

WhatsApp erhält Ultimatum für Anpassung der Datenschutzinformationen

Der Anbieter des Messenger-Dienstes WhatsApp steht nicht zuletzt nach einer Anpassung der Datenschutzerklärung und Nutzungsbedingungen Anfang 2021 sowie der möglichen Datenweitergabe an die Konzernmutter Meta (vormals Facebook) heftig in der Kritik und ist Teil von Untersuchungen der europäischen Behörden. Nachdem die EU-Kommission zusammen mit dem Netzwerk für Verbraucherschutz (CPC) das Unternehmen bereits im Januar 2022 dazu aufgefordert hatte, die Datenschutzerklärung verständlicher zu gestalten, hat sie nun ein Ultimatum gestellt. Die bisherigen Erläuterungen der Meta-Tochter sind nach Ansicht der Kommission unzureichend, die bereitgestellten Informationen seien „aufdringlich“, „unzureichend“ und „verwirrend“. Das Unternehmen soll unter anderem aufzeigen, auf welche Weise mit Nutzerdaten Einnahmen erwirtschaftet werden und wie künftig sichergestellt werden soll, dass Nutzern bei Änderungen der Nutzungsbedingungen die Auswirkungen deutlich werden, um eine freie Entscheidung treffen zu können.

HBDI fordert Deaktivierung von Facebook-Seiten öffentlicher Stellen

Die Datenschutzpolitik von Facebook (Meta) steht seit Jahren immer wieder in der Kritik. Die Nichteinhaltung der Datenschutzvorgaben stellt auch Betreiber von Facebook-Seiten vor eine Herausforderung, da diese gemeinsam mit Meta für die Datenverarbeitung verantwortlich sind und entsprechende Datenschutzpflichten erfüllen müssen. Dies ist allerdings nicht möglich, da der Anbieter selbst gegen Datenschutzvorgaben verstößt – darunter Transparenzpflichten und die Rechtmäßigkeit der Verarbeitung – und zudem den Seitenbetreibern nicht ausreichend Informationen zur Verfügung stellt, um ihre Datenschutzpflichten als Mitverantwortliche zu erfüllen. Hinzukommt die aus Datenschutzsicht kritische Datenübermittlung in die USA sowie Missachtung von Pflichten nach dem TTDSG. Vor diesem Hintergrund fordert der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in seiner Information zu Facebook-Seiten von öffentlichen Stellen vom 06.04.2022 öffentliche Stellen in seinem Zuständigkeitsbereich dazu auf, „[…] keine neue Facebook-Seiten [zu] erstellen und von den Facebook-Seiten, die sie betreiben, zu alternativen, datenschutzrechtlich unbedenklichen Wegen für ihre Öffentlichkeitsarbeit [zu] wechseln.“.

Gleichzeitig hat die Datenschutzkonferenz (DSK) auf ihrer Sitzung am 22.06.2022 eine Liste von häufig gestellten Fragen zum Betrieb von Facebook-Fanpages verabschiedet. Das Gremium betont, dass die Aufsichtsbehörden kein generelles Verbot von Fanpages anstreben. Ein rechtskonformer Betrieb ist aber nur möglich, wenn der Meta Konzern seine Datenverarbeitungen ändert. Die FAQ werden in Kürze auf der Homepage der DSK veröffentlicht.

Datenpanne: USB-Stick bei Kneipenbesuch verloren

In Japan verlor ein Mitarbeiter des IT-Dienstleisters der Stadt Amagasaki nach einem Kneipenbesuch einen USB-Stick mit Einwohnermeldedaten. Betroffen waren Daten von 460.000 Einwohnern, darunter Name, Adresse, Geburtsdatum, Bank- und Steuerdaten. Wie die öffentlich-rechtliche Rundfunkgesellschaft in Japan, Nippon Hōsō Kyōkai (NHK), berichtete, kopierte der Mitarbeiter die Daten auf einen USB-Stick und besuchte dann nach Feierabend eine Gaststätte. Wohl aufgrund des hohen Alkoholkonsums schlief der Mann danach auf der Straße ein und verlor die Tasche, in der sich der USB-Stick befand. Das ebenfalls in der Tasche befindliche Smartphone konnte von der Polizei geortet werden. Der USB-Stick befand sich noch in der Tasche, zudem seien die Dateien verschlüsselt und der Stick mit einem Passwort geschützt gewesen.

Cybersicherheit: EU plant Haftung für Führungskräfte

Anfang Mai haben sich die EU-Gremien auf eine Novelle der Richtlinie über die Netzwerk- und Informationssicherheit (NIS) geeinigt. Es ist unter anderem vorgesehen, Führungskräfte der erfassten Unternehmen, Staatsbetriebe und eventuell Behörden für Verstöße gegen die Pflichten im Hinblick auf die Cybersicherheit haftbar zu machen. Nach dem Berichterstatter des EU-Parlaments, Bart Groothius, sollen Bußgelder Betreiber und Anbieter motivieren, die Beträge lieber präventiv in Sicherheitsmaßnahmen gegen Cyberangriffe zu investieren. Die überarbeitete NIS-Richtlinie enthält unter anderem Mindestvorschriften für Maßnahmen zum Risikomanagement bei der Cybersicherheit und für Meldepflichten bei Online-Attacken sowie daraus resultierenden Datenpannen. Zudem soll der Geltungsbereich erweitert und neben sog. Kritischen Infrastrukturen (KRITIS) auch mittlere und große Einrichtungen aus einer erweiterten Zahl von Sektoren miterfasst werden. Hierzu zählen beispielsweise Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste sowie die öffentliche Verwaltung.

Mangelhafte IT-Sicherheit in KMU

Bei kleinen und mittelständischen Unternehmen (KMU) bestehen in Deutschland erhebliche Defizite im Bereich der IT-Sicherheit. Dies zeigt der „Praxisreport Mittelstand“ 2021/22 des Vereins „Deutschland sicher im Netz“ (DsiN), der Mitte Mai veröffentlicht wurde. Der Bericht, welcher vom Bundeswirtschaftsministerium unterstützt wurde, beruht auf rund 1300 abgeschlossenen Umfragen des DsiN-Sicherheitschecks von Mai 2020 bis Januar 2022. Die Ergebnisse zeigen, dass bereits Standardschutzmaßnahmen nur mangelhaft umgesetzt sind, beispielsweise fehlt es bei 64 Prozent der Unternehmen an Maßnahmen zur Angriffserkennung, bei 34 Prozent ist kein IT-Notfallplan vorhanden und 43 Prozent der KMU sind nachlässig bei der Installation von Software- und Sicherheitsupdates. Darauf, Beschäftigte in puncto IT-Sicherheit zu schulen und zu sensibilisieren, verzichtet ein Viertel der Unternehmen. Insgesamt gaben 42 Prozent der Befragten an, bereits mindestens einmal Opfer eines Cyberangriffs gewesen zu sein.

EU stellt Pläne für Chatkontrolle-Gesetz vor

Die EU-Kommission hat ihre Pläne zum Chatkontrolle-Gesetz vorgestellt, das zur Eindämmung der Verbreitung von Kinderpornografie und zum Schutz von Kindern vor „Grooming“ dienen soll. Dass Gesetz soll es möglich machen, dass digitale Kommunikation (z. B. E-Mails, Chats, Messenger) auf entsprechende Inhalte hin geprüft werden kann. Unter anderem sollen Anbieter dazu verpflichtet werden, mithilfe von KI-Software eigenständig digitale Kommunikation vollautomatisch auslesen zu lassen, die dann „verdächtige“ Inhalte an Strafverfolgungsbehörden weiterleitet. Dies entspricht im Grunde einer verdachtsunabhängigen, anlasslosen Massenüberwachung, nicht zuletzt auch aufgrund der schwammigen Formulierungen im Gesetzesentwurf. Das Vorhaben stößt entsprechend auf große Kritik, da die Chatkontrolle massiv in die Privatsphäre der User eingreift und dem Datenschutz sowie dem digitalen Briefgeheiminis entgegensteht.

Sicherheitslücke bei Legoland Deutschland

Beim Legoland Deutschland kam es zu einer Datenpanne, als mehrere tausend Datensätze aus allen seit 2015 getätigten Buchungen öffentlich wurden. Dies berichtete Heise (c’t Magazin), die den Vorfall nach dem Hinweis eines Lesers geprüft hatten. Im Rahmen der Online-Buchung stellte das Unternehmen die Buchungsbestätigung über eine URL zur Verfügung, die unter anderem auch die Buchungsnummer enthielt. Durch Anpassung der Nummern konnte der betreffende Leser auf Buchungsbestätigungen anderer Personen zugreifen. Die Dokumente enthielten unter anderem Name, Vorname und Postanschrift der Buchenden sowie Namen der Mitreisenden und Buchungsinformationen. Da die Buchungsnummern fortlaufend sind, konnten Bestätigungen bis 2015 abgerufen werden, betroffen sind mutmaßlicher Weise mehrere hunderttausend Datensätze. Nach der Investigativ-Recherche des Magazins war keinerlei Zugriffsschutz vorgesehen. Das Unternehmen erklärte gegenüber dem Magazin, dass Überprüfungen durchgeführt und zusätzliche Sicherheitsmaßnahmen umgesetzt werden sollen, die Kunden werden allerdings nicht informiert.