|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 06. Juli 2024
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Tätigkeitsberichte der Aufsichtsbehörden
- NIS2 Umsetzung
- Aktuelles aus dem Datenschutz
|
1. Tätigkeitsberichte der Aufsichtsbehörden
Ich starte einmal mit dem Landesbeauftragten für Datenschutz in Niedersachsen. Die Behörde teilt mit, dass Beschwerden und Datenpannenmeldungen in 2023 gestiegen sind. In Zahlen: 2.207 Beschwerden und 1.302 Datenpannen. Für einen Flächenstaat wie NDS recht moderate Zahlen. Es gab also 3.509 Fälle vor der Aufsicht und daraus resultierten am Ende 51 Bußgeldbescheide. Viele davon allerdings auch aus Verfahren von Amts wegen und gegen die etwas größeren Konzerne, so dass die Bußgeldsumme sich auf 5,3 Millionen Euro summiert. Im weiteren hebt man hervor, dass die Behörde vermehrt Beratungsanfragen zum Thema Datenschutz und KI bekommt. Hierfür wurde auch eine Arbeitsgruppe gebildet. Ich möchte zu Niedersachsen anmerken, dass es mir scheint, als haben sich die Bearbeitungs-zeiten deutlich verbessert. Und ferner ist es jetzt so, dass NDS den Datenschutz in seine allgemeine Gebührenordnung aufgenommen hat. Wenn man also eine Panne meldet, die am Ende zu keinem Bußgeld führt und mehr oder minder belanglos war, so bekommt man einen Gebührenbescheid, weil bei der Aufsichtsbehörde die Meldung gelesen wurde. Der beläuft sich dann so auf 100 bis 300 Euro, je nachdem wie viel zu lesen war. Hamburg und SH folgen diesem Beispiel meines Wissens noch nicht, aber ich werde das dort mal recherchieren.
|
Der Bundesbeauftragte (BfDI) beginnt seinen Tätigkeitsbericht wie immer mit einer Aufstellung, welche seiner Empfehlungen Beachtung fanden bzw. nicht. Seit längerem empfiehlt der BfDI die Einführung eines Beschäftigtendatenschutzgesetzes. Unglaublich aber wahr: Die Regierung hat mit Vorbereitungen für ein solches Gesetz begonnen. Weiterhin hält der BfDI Facebook-Fan-Pages für nicht datenschutzkonform und verlangt von staatlichen Stellen deren Einstellung. Hierüber streitet man sich jetzt vor einem Verwaltungsgericht, weil u.a. die Bundesregierung Ihre Seiten nicht einstellen will. Diese Liste könnte man fast ewig fortführen. Ich greife nur nochmal einen Punkt heraus, nämlich den Einsatz von KI in der Strafverfolgung: Der BfDI mahnt an, dass wir hierfür dringend Regeln und eine Gesetzgebung brauchen. Und da hat er meiner Meinung nach mehr als recht. Bisher ist seitens der Regierung aber nichts hierzu passiert.
|
Ein großes Thema im Bericht des BfDI ist natürlich der europäische Gesundheitsdatenraum und die Digitalisierung des Gesundheitswesens in Deutschland. Neben Risiken durch KI widmet ein Teil sich auch wieder der geplanten CSAM-Verordnung der EU, die unter der Chatkontrolle 2.0 bekannt geworden ist. Hierbei geht es vordergründlich um das Auffinden von Material mit sexuellem Kindesmissbrauchs im Internet. Dass es wichtig und richtig ist, solche Material zu finden und die Täter zu verfolgen, ist unbestritten. Der BfDI betont aber auch nochmal, dass die dafür geplante Verordnung diesbezüglich kaum Nutzen, aber dafür viele schwere Nebenwirkungen hat. Und natürlich kommt im Bericht des BSI auch wieder, wie jedes Jahr, Microsoft 365 vor. Es geht dabei, auch wie immer, um einen Aspekt in der Nutzung von Telemetriedaten. Dieses ist primär eine rechtliche Geschichte. Tatsächliche Risiken für natürliche Personen sind hieraus nicht abzuleiten. Und ich erspare mir eine weitere Erörterung der Details in der Thematik.
|
Man vergisst häufig, dass der BfDI auch für die Informationsfreiheit zuständig ist und diesbezüglich Beschwerden betroffener Personen bekommt. Hierbei sind es i.d.R. Beschwerden gegen Behörden oder Regierungen, die auf Anfrage Informationen nicht herausgeben. Alles in allem ist der Bericht des BfDI hochinteressant, aber natürlich viel zu umfangreich, als das man auf jedes Thema eingehen kann. Ich greife mir nur noch eines heraus und zwar Ermittlungsverfahren: Ermittlungs-verfahren bei Polizei und Staatsanwaltschaft führen nicht immer zu Anklagen. Die meisten Ermittlungsverfahren werden eingestellt. Was passiert danach mit den Akten? In der Regel werden die Akten der gesetzlichen Verjährung nach 3 Jahre aufbewahrt, da sich neue Beweise finden und das Verfahren dann doch noch zur Anklage kommen könnte. Je nach Art der Tat sind auch längere Verjährungs- und damit Aufbewahrungsfristen möglich. Es gibt aber auch Fälle, die abschließend eingestellt sind, und wo eine weitere Aufbewahrung nicht erforderlich ist. Diese Akten sollten dann sofort gelöscht werden. Dieses funktioniert in der Praxis aber selten und die mindestens dreijährige Aufbewahrung wird immer vorgenommen. Hinzu kommt auch die Frage, zu welchem Zweck die Akten und daraus zu gewinnende personenbezogene Informationen verarbeitet werden dürfen. Ein Ermittlungsverfahren in einer Sache muss nicht zwingend etwas mit einer anderen zu tun haben. Hier stellen sich viele Fragen und der BfDI hat den Prüfauftrag, den seine Behörde sehr ernst nimmt.
|
2. NIS2 Umsetzung
Diese Geschichte erinnert inzwischen ein wenig an die Zeit vor Mai 2018 und die Einführung der DS-GVO. Es scheint sich auch bei NIS2, wie damals bei der DS-GVO-Einführung, ein wenig Hysterie breitzumachen. Der Grund ist mir unklar. Die Umsetzung einer angemessenen IT-Sicherheit ist ja kein neues Thema. Das sollte eigentlich jeder über die letzten Jahre auf den Schirm gehabt haben. Hatte man es auf den Schirm und besitzt eine angemessene IT-Sicherheit, dann ist der Rest nicht wirklich schwierig. Hatte man es nicht auf dem Schirm und die IT ist ein Risikofaktor, dann ist das sicher nicht die Schuld von NIS2.
|
Bei der Umsetzung von NIS2 ist jetzt ergänzt worden, dass Gesundheitsdienstleister, die Ihre Leistungen vorwiegend durch Hilfen zur Bewältigung des Alltags und der Lebensführung erbringen, nicht unter die NIS2 Gesetzgebung fallen. Damit werden ambulante Pflegedienste und Sozialberatungen mit mehr als 50 Mitarbeiter*innen keine wichtigen Unternehmen im Sinne von NIS2.
|
Den Teil, über den ich jetzt schreiben wollte, nämlich was man tun muss um NIS2 inhaltlich umzusetzen, muss ich leider verschieben. Maßgeblich hierfür sollte eigentlich das NIS2UmsCG sein. Die EU hat jedoch eine Durchführungsverordnung zu NIS2 auf den Weg gebracht, die jüngst vorliegt und von der Kommission noch final angenommen werden muss. Diese könnte, und es sieht alles danach aus, dazu führen, dass einige Details oder zu mindestens die Auslegung der Umsetzung des NIS2UmsCG anders angegangen werden müssen. Es heißt daher nochmal abwarten und Tee trinken, wie man so schön sagt.
|
3. Aktuelles aus dem Datenschutz
Lassen Sie uns hier beginnen, denn das wollen Sie alle wissen: Der Vatikanstaat hat eine eigene Datenschutzverordnung erlassen und der Papst ist jetzt auch datenschutzkonform - das Beichtgeheimnis 2.0 sozusagen.
|
Es gibt eine internationale Arbeitsgruppe für den Datenschutz in der Technologie. Diese Arbeitsgruppe hat die einfach zu merkende Abkürzung "IWGDPT" und befasst sich u.a. mit digitalem Zentralbankgeld. Auch auf diesem Feld tut sich was und zukünftig werden auch Zentralbanken anders funktionieren. ein gesellschaftlich sehr wichtiges Thema.
|
Ein internationaler Konzern, der seine IT in Südostasien hat, hat einen IT-Mitarbeiter gekündigt. Dieser hat die Kündigung nicht so sportlich aufgenommen, sondern war wohl etwas ungehalten darüber. Der Mitarbeiter hat daraufhin ein Script geschrieben, eingeschleust und 180 virtuelle Server einfach gelöscht. Nichts ging mehr und alles musste wieder neu aufgesetzt und in Gang gebracht werden. Der Schaden lag bei ca. 700.000$. Wenn man sauer ist, gibt es viele Wege seine Aggressionen abzubauen. Führungskräfte sollten diesen Weg bei Mitarbeiter*innen auch immer im Auge haben.
|
Microsoft-Exchange, wenn man es selbst und nicht im Rahmen von M365 betreibt, hat eine schwerere Sicherheitslücke, auf die schon 2020 hingewiesen wurde und für die auch bereits seit 2020 Patches vorhanden sind. Die niedersächsische Aufsicht hat mal anlasslos nach im Internet erreichbaren Exchange-Servern gesucht und diese getestet. 20 hatten immer noch diese Sicherheitslücke. Nach dem freundlichen Hinweis der Behörde, haben die betroffenen Unternehmen ein Update gemacht. Die letzten 4 oder mehr Jahre hatte man wohl keine Zeit für Updates. Schließlich muss man Prioritäten setzen und Updates werden eh überbewertet - Sarkasmus off!
|
Bei Webex ist weiter was los: Es ist der Video- bzw. Konferenzdienst, mit dem die Bundeswehr in die Schlagzeilen kam. Laut einem Artikel der Zeit Online hat die Anwendung viel mehr Sicherheitslücken als Cisco (der Anbieter) zugibt. Man sollte diese Anwendung für wirklich vertrauliche Dinge und sensible Gespräche nicht nutzen. Davon abgesehen bin ich persönlich auch der Meinung, dass sie technisch immer ein Risiko darstellt. Große Konferenzen mit vielen Nutzern laufen oft nicht flüssig.
|
Niedersachsen hatten wir schon. Das Innenministerium hat Zahlen vorgelegt, wonach die Fälle von Cyberkriminalität im letzten Jahr deutlich auf 13.218 gestiegen sind. Hierbei handelt es sich nicht um versuchte Fälle, sondern um durchgeführte und zur Anzeige gebrachte Delikte. Schwerpunkt hierbei waren Angriffe auf Online-Banking mit Methoden des Phishings, welche immer wieder erfolgreich sind. Auf diesem Gebiet registrierte Niedersachen in 2023 2.800 Fälle mit einem Schaden von EUR 14,4 Millionen.
|
Dem BKA ist es in einer internationalen Kooperation gelungen eine Gruppierung von Cyberkriminellen auszuheben. Die Gruppe steht hinter den sechs Schadsoftware-Familien "IcedID", "SystemBC", "Bumblebee", "Smokeloader", "Pikabot" und "Trickbot". Über 100 Server und mehr als 1.300 schädliche Webadressen wurden vom Netz genommen. Es gelang bei einem Betreiber 69 Millionen Euro zu beschlagnahmen. Ferner wurden Krypto-Wallets im Wert von mehr als 70 Millionen Euro gesperrt. Das Kleingeld der Cyberkriminellen. Vermutlich hat man den größten Teil nicht gefunden.
|
Open AI, das Unternehmen hinter ChatGPT, löscht laut eigenen Angaben Propaganda-Accounts aus Russland, China, Iran und Israel, die die KI zur Erstellung von falscher Propaganda und deren Verbreitung missbraucht haben sollen. Wer sich näher mit der digitalen Welt befasst, der weiß, dass es diese Propaganda mit diesen Methoden gibt und die Betreiber von Plattformen die Accounts identifizieren könnten, wenn sie wollen täten. Open AI ist diesbezüglich ein Ausnahmefall. Ich hoffe, dass andere Tools und Socialmedia Plattformen diesem Beispiel folgen.
|
Beim Thema KI sollte man auch über Offline-KI nachdenken. Diese hat viele Vorteile, nicht nur hinsichtlich des Datenschutzes. Mit Offline-KI kann man sehr unternehmensspezifisch arbeiten und eine KI direkt dafür trainieren, was man im eigenem Unternehmen braucht. Derartige Lösungen sind oftmals viel praktikabler als auch kostengünstiger.
|
Jetzt mal wieder ein Satz, den keiner versteht: "Die Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT), die so genannte „Berlin Group“, hat unter dem Vorsitz des BfDI ein Arbeitspapier zu Facial Recognition Technology angenommen." Es geht hier um eine recht wichtige Sache, und zwar um sichere Identifizierungsmethoden von Personen mit Hilfe digitaler Endgeräte bzw. die Technik hierfür. Es ist sehr wichtig, dass wir hier Fortschritte machen und zu begrüßen, dass Deutschland federführend mit dabei ist.
|
Beim EuGH geht es demnächst auch wieder um etwas. Ich wünsche mir ja eigentlich immer Ergebnisse, die den Datenschutz stärken. Das tue ich natürlich auch weiterhin, aber auf einigen Gebieten übertreibt der EuGH ein wenig und könnte etwas moderater werden; nämlich bei der Auslegung, was unter besonders schutzwürdige Daten fällt und in den Abwägungen von Datenschutzrechten mit der Berufsfreiheit, dem Recht auf Arbeit, der unternehmerischen Freiheit und Eigentumsrechten. Da käme ich persönlich auch mit etwas weniger Priorität auf den Datenschutz gut zu recht. Vielleicht rudert der EuGH ja mal auf eine moderatere Linie zurück.
|
Der BFDI fordert weiterhin in der Informationsfreiheit ein Transparenzgesetz auf Bundes-ebene. Das ist sicher überfällig, aber in der Politik nicht wirklich gewollt, denn Politiker mögen Transparenz eher nicht so. Und selbst wenn man ein solches Gesetz hat, hilft es meistens nicht, wie man gerade in Hamburg sieht: So hat die BSB (Behörde für Schule und Berufsbildung) eine Studie zu Inklusion mit dem Schwerpunkt Schulbegleitung in Auftrag gegeben, die nach 3 Jahren jetzt endlich vorliegt. Allerdings gibt man die Studie nicht heraus, sondern hält sie unter Verschluss. Ein Berufen auf das Hamburger Transparenzgesetz interessiert die Behörde recht wenig. So viel zur Informationsfreiheit und Transparenz in Deutschland.
|
Wenn wir schon bei der Politik sind: Es gab vor der Europawahl einen Cyberangriff auf die CDU, den auch das BSI bestätigt. Laut Friedrich Merz, Vorsitzender der CDU, Zitat, "der schwerste Angriff auf eine IT-Struktur, die jemals eine politische Partei in Deutschland erlebt hat". Die Artikel hierzu in der Tagesschau und dem Spiegel geben das so nicht her. Wenn man recherchiert findet man auch wenig hierzu und noch weniger, was auf eine wirkliche Schwere des Angriffs hindeutet. Böse Zungen behaupten, dass nur ein paar Faxgeräte im Konrad-Adenauer-Haus ausgefallen sind, und vielleicht ist das gar nicht so weit weg von der Wahrheit.
|
Mehr als jede zweite Person, genaugenommen 56% der Personen in Deutschland, schätzen das Risiko in der Zukunft von Cyberkriminalität persönlich betroffen zu sein als gering oder ausgeschlossen ein. Diese Zahl aus einer Studie des BSI ist absolut alarmierend und zeigt deutlich, wie wenig Kenntnis über Cyberrisiken in der Bevölkerung herrscht. Realistisch betrachtet werden mehr als 95% der Menschen in unserem Land in ihrem zukünftigen Leben Opfer von Cyberkriminalität werden. Die meisten davon mehrfach. Hierzu passt auch eine Zahl aus dem Cybersicherheitsmonitor. Nur 47% der Menschen nutzen aktuelle Antiviren-programme, wenn sie online sind. Im Vorjahr waren es noch 54%. Die Vorsicht schwindet, man fühlt sich sicher.
|
Auch die UEFA hat sich im Rahmen der Durchführung der Fußballeuropameisterschaft massiv gegen IT-Angriffe vorbereitet. Hierfür wurde ein Lagezentrum eingerichtet und die zuständigen Sicherheitsbehörden vernetzt. Leider scheint man dabei übersehen zu haben, dass Menschen auch einfach über einen Zaun und unter ein Dach eines Stadions klettern können. Manches geht doch noch analog, wie in den guten alten Zeiten. Digitale Risiken mitdenken und absichern heißt nicht, dass man die traditionellen Risiken jetzt vernachlässigen kann.
|
|
Es gab ferner einen Hackerangriff auf mehrere britische Krankenhäuser. Hinter diesem steckte vermutlich die Gruppe Qilin. Der Angriff führte zu einem Engpass bei Blutspenden in Großbritannien. Eine neue Methode von Phishing ist ein sogenannter Krypto-Drainer. Hier werden digitale Wallets mit Kryptowährung oder anderen digitalen Werten angegriffen. Der Schaden geht bereits in die Millionen. Es tobt der ganz normale Wahnsinn in der digitalen Welt, den man wie immer endlos fortführen könnte.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Themen für den nächsten Newsletter habe ich noch nicht ausgesucht, aber es wird sicher viel spannendes im Cyberuniversum passieren, worüber berichtet werden kann.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
