Stand: 30.01.2023
Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung – auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen.
Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, die relevant für datenschutzrechtliche Fragestellungen sind, wie ein Update zum Hackerangriff auf Continental, eine Sicherheitslücke durch die Rechtschreibprüfung im Browser, die Notwendigkeit des Abschlusses eines AV mit den Anbietern von Videokonferenztools, eine Abmahnung gegen Google sowie aktuelle Entwicklungen im Bereich der Cybersicherheit.
Update Hackerangriff Continental – Mitarbeiter war Auslöser
Der Autozulieferer und Reifenhersteller Continental wurde bereits im Juli 2022 Opfer eines massiven Cyberangriffs, der erst im August entdeckt wurde. Nachdem Continental zunächst selbst davon sprach, dass der Angriff abgewehrt werden konnte, wurde später öffentlich berichtet, dass die Hacker fast 40 Terrabyte an Daten erbeutet hatten. Darunter auch sensible Daten von Continental selbst, wie Budget-, Investitions- und Strategiepläne, Unterlagen aus dem Personalbereich sowie vertrauliche Dokumente und Kommunikation der Vorstände und Aufsichtsräte. Daneben sind auch sensible Daten von Kunden von Continental, z. B. Mercedes, BMW und VW betroffen.
Im Darknet haben die Hacker inzwischen Listen der erbeuteten Daten veröffentlicht, aber keine Daten auf Servern von Continental verschlüsselt.
Nach ersten Erkenntnissen haben sich die Angreifer mittels einer getarnten Schadsoftware Zugang zu den Continental-Systemen verschafft, die durch einen Mitarbeiter ausgeführt wurde.
Automatisierte Rechtschreibprüfungen von Browsern – Passwörter können mitgelesen werden
Der hessische Landesbeauftragte für Datenschutz informiert aktuell über eine gravierende Sicherheitslücke bei Browsern. Nach einem Update der meistgenutzten Browser wurde eine Rechtschreibprüfung für die Eingabe in den Eingabefeldern auf Websites aktiviert.
Diese oftmals nützliche Funktion widerspricht allerdings dem Datenschutz, denn die automatisierte Rechtschreibprüfung erfolgt nicht auf dem Endgerät des Nutzers, sondern wird KI-basiert durch den Browser-Hersteller durchgeführt. Bei der Eingabe im Browser kann es daher zur unbeabsichtigten Übermittlung personenbezogener Daten, wie zum Beispiel Passwörter, an den Browser-Hersteller kommen, ohne dass hierfür eine Rechtsgrundlage vorliegt. Hierdurch kann der Schutz personenbezogener Daten verletzt werden.
Sollte es bei Unternehmen bereits zu Übermittlungen personenbezogener Daten ohne Rechtsgrundlage an den Browser-Hersteller gekommen sein, liegt in der Regel eine Verletzung des Schutzes personenbezogener Daten gem. Art. 4 Nr. 12 DS-GVO vor, die ein Verantwortlicher unverzüglich und innerhalb von 72 Stunden nach deren Bekanntwerden der zuständigen Aufsichtsbehörde melden muss, wenn diese Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen gem. Art. 33 Abs. 1 DS-GVO führt. Besteht zusätzlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen, so müssen diese Personen nach Art. 34 Abs. 1 DS-GVO unverzüglich über die Datenschutzverletzung informiert werden. Grundsätzlich müssen verantwortliche Stellen eine Datenschutzverletzung immer nach Art. 33 Abs. 5 DS-GVO dokumentieren, um der zuständigen Aufsichtsbehörde eine Überprüfung zu ermöglichen.
Diese Sicherheitslücke kann leicht geschlossen werden. Je nach Browser gibt es rechts oben drei Linien oder Punkte, über die User zu den Einstellungen kommen. Über die Suche nach „Rechtschreibprüfung“ kann die betreffende Einstellung aufgerufen und durch einen Klick deaktiviert werden.
Änderungen durch das TTDSG betreffen auch Anbieter von Videokonferenz-Tools
Vor Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) galt das Fernmeldegeheimnis nur für klassische Kommunikationsdienste wie Telefon, SMS oder Fax, nicht jedoch für internetbasierte Telekommunikationsdienste, z. B. Videokonferenzsysteme oder E-Mail. Seit dem 01.12.2021 ist das Fernmeldegeheimnis in § 3 TTDSG geregelt. Zeitgleich wurde das Telekommunikationsgesetz (TKG) überarbeitet, sodass jetzt jede Form der Telekommunikation geschützt ist – auch Videokonferenzsysteme. Das bedeutet, dass nun die Anbieter von Videokonferenzsystemen, wie Zoom oder Microsoft, die technischen Vorkehrungen und Schutzmaßnahmen zur Einhaltung des Fernmeldegeheimnisses treffen müssen.
Da bei der Nutzung von Zoom oder Microsoft persönliche Daten im Auftrag des Nutzers verarbeitet werden, muss in der Regel dennoch ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DS-GVO mit dem Anbieter des genutzten Programms abgeschlossen werden.
Bundeskartellamt mahnt Google wegen zu weitreichender Datenverarbeitung ab
In einer aktuellen Pressemitteilung teil das Bundeskartellamt (BKartA) mit, dass es die Google Unternehmen Alphabet Inc., Mountain View, USA, Google Ireland Ltd., Dublin, Irland und Google Germany GmbH, Hamburg wegen zu weitreichender Datenverarbeitungsklauseln abgemahnt hat. Hauptsächlich geht es bei der Beanstandung des BKartA um die unbeschränkte Reichweite der Datenverarbeitung der Google Unternehmen und, dass es keine praktische Möglichkeit für Nutzer gibt, sich gegen diese Datenverarbeitung zu wehren. So kann Google aufgrund seiner Nutzungs-Konditionen Daten aus unterschiedlichen Diensten kombinieren und beispielsweise für Werbung und andere Zwecke dienstübergreifend nutzen. Nutzer haben aufgrund der aktuellen Nutzungs-Konditionen keine ausreichende Wahl, ob und inwieweit sie mit dieser weitreichenden, dienstübergreifenden Verarbeitung ihrer Daten einverstanden sind.
Aus diesem Grund hat das BKartA gegen Google ein Verwaltungsverfahren angestrengt. Durch die Abmahnung soll Google zunächst die Möglichkeit gegeben werden, zur vorläufigen Einschätzung des BKartA Stellung zu nehmen und anschließend Rechtfertigungsgründe oder Lösungsvorschläge vorzulegen. Eine abschließende Entscheidung soll nach Wunsch des BKartA noch in diesem Jahr erfolgen.
Cybersicherheit: Anonyme Domains werden verboten
Das EU-Parlament hat aktuell einen Entwurf für eine Richtlinie zur Netz- und Informationssicherheit verabschiedet. Darin enthalten ist eine Pflicht zur Identifizierung von Domain-Inhabern, was den Betrieb anonymer Webseiten in der EU zukünftig deutlich erschweren soll.
Nach Artikel 28 dieser Richtlinie müssen die Registrierungsdienste für Webadressen wie Top Level Domains (TLD) aller Mitgliedsstaaten persönliche Informationen über die Inhaber von Domains sammeln. Dazu gehören insbesondere der Domain-Name, das Datum der Registrierung, der Name des Inhabers der Internetadresse, dessen E-Mail-Adresse und eine Telefonnummer. Diese Informationen sollen in einer Datenbank, wie dem Whois-Register, datenschutzkonform gesammelt und gepflegt werden.
Neu ist, dass nicht-personenbezogene Registrierungsdaten unverzüglich öffentlich zugänglich sein müssen und dass es eine Verpflichtung für Domain-Registrierungsstellen geben soll, berechtige Zugangsnachfragen etwa von Strafverfolgern unverzüglich, das heißt, innerhalb von 72 Stunden nach Eingang eines Antrags, zu beantworten.
Gegner dieser Entwicklung führen an, dass diese staatliche Identifizierungspflicht weltweit einzigartig ist und mit den internationalen Prinzipien der Internetregulierung bricht. Alle Website-Betreibern bringt das in Gefahr, denn nur Anonymität im Netz schützt wirksam beispielsweise vor Datenklau, Datenverlust und Identitätsdiebstahl. Außerdem führt diese Entwicklung dazu, dass insbesondere Missbrauchs- und Stalkingopfer, Whistleblower oder sonstige Informanten besonders bedroht sind.
Unternehmen wünschen sich mehr Hilfe beim Thema Cybersicherheit
Unternehmen werden immer häufiger Opfer von Cyber-Attacken und dabei ist es egal, ob es sich um ein großes oder ein kleines Unternehmen handelt. Nach einer aktuellen Umfrage der Industrie- und Handelskammer (IHK) München und Oberbayern unter 550 bayerischen Unternehmen wünscht sich ein Großteil dieser Unternehmen mehr Hilfe beim Schutz gegen Cyberangriffe. Im Rahmen dieser Umfrage wurde klar, dass sich 75 Prozent der befragten Unternehmen Unterstützung von Staat, IHK oder anderen Organisationen wünschen. Hierzu gehören beispielsweise mehr Informationen zu den gesetzlichen Anforderungen im Sicherheits- und Datenschutzbereich sowie organisatorische Unterstützung, etwa in Form von Risikoanalysen, Weiterbildung oder Notfallhilfe.
Im Rahmen dieser Umfrage wurde deutlich, dass die IT-Sicherheit der bayerischen Unternehmen sehr gering ist. So gaben zwar 95 Prozent der befragten Unternehmen an, ihre Daten regelmäßig durch Backups zu sichern, aber weniger als 50 Prozent verfügen über einen IT-Notfallplan. Nur 60 Prozent der Unternehmen führen Risikoanalysen und Mitarbeiterschulungen zur Cybersicherheit durch.
In diesem Zusammenhang sind Risikoscans und -analysen ein wichtiger Baustein bei der Prävention von Cyber-Angriffen. Hierzu sollte bei der IT-Sicherheit auf externe Dienstleister zurückgegriffen werden, die hierauf spezialisiert sind.
ChatGPT aus Datenschutzsicht höchst umstritten
Momentan kommt man an dem Thema ChatGPT fast nicht vorbei. Bei diesem Programm, das erst im November 2022 veröffentlicht wurde, handelt es sich um einen Chatbot, der als Sprachmodell auf einer Künstlichen Intelligenz (KI) basiert die mittels Deep Learning trainiert wurde. Daher kann der Bot große Datenmengen auswerten, um seine Sprachfähigkeit zu verbessern. Er kann beispielsweise Fragen beantworten, Reden ausarbeiten, Briefe schreiben und Geschichten erzählen – allerdings wird bereits jetzt vor Datenschutz- und Datensicherheitslücken gewarnt.
ChatGPT nimmt von seinen Nutzern vielfältige Daten auf, speichert und verarbeitet diese, um sich selbst zu trainieren. Dafür werden die Daten in die USA übermittelt und dort auf Servern gespeichert, was datenschutzrechtlich bedenklich ist. Aufgrund der Intelligenz dieses Bots haben Betrüger nun beispielsweise die Möglichkeit perfekt formulierte Phishing-Mails zu verfassen, die von den potenziellen Opfern bisher noch aufgrund der Menge von Rechtschreibfehlern oder ungewöhnlichen Formulierungen erkannt wurden. Grundsätzlich raten Experten dazu, dieses Programm ausschließlich für private Anfragen zu nutzen, sobald es um Wirtschaft oder sicherheitsrelevante Bereiche geht, sollte auf dessen Nutzung verzichtet werden.