Datenschutz-Newsletter Tobias Lange Externer Datenschutzbeauftragter

Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter

Hamburg, den 4. Januar 2023

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen die erste Ausgabe des Newsletters 2023 übersenden zu dürfen und wünsche nachträglich einen guten Rutsch und ein erfolgreiches 2023. Themen dieses Newsletter sind:

  1. Bericht der Bürgerbefragung zur Cyberkriminalität
  2. Fachkunde des Datenschutzbeauftragten
  3. Aktuelles aus dem Datenschutz

1. Bericht der Bürgerbefragung zur Cyberkriminalität

Neben dem Bericht der Bürgerbefragung zur Cyberkriminalität sind auch der Jahresbericht des BSI und das BSI-Magazin mit Berichten zur IT-Sicherheitslage in Deutschland herausgekommen. In den letzten beiden steht drinnen, dass die Bedrohungslage „so hoch wie nie“ ist. Mit anderen Worten: Es steht das drinnen, was jedes Jahr wieder drinnen steht. Nur die Zahlen sind noch etwas größer geworden. Es tobt also bei der IT-Sicherheit, wie immer, der blanke Wahnsinn. Es ist eigentlich schon nicht mehr erwähnenswert.

Interessant fand ich den Bericht der Bürgerbefragung zur Cyberkriminalität. Der Bericht basiert auf einer von der Polizeilichen Kriminalprävention der Länder und des Bundes (ProPK) sowie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durchgeführten repräsentativen Online-Befragung. Einige Ergebnisse fand ich sehr verblüffend. So gaben nur 53% der befragten Personen an, dass Sie eine aktualisierte Virensoftware verwenden, und nur 44% eine Firewall zu nutzen. Ich glaube, dass die Zahlen tatsächlich sehr viel höher liegen, aber die befragten Personen gar nicht wissen, was das genau ist und dass sie es haben. Hingegen halte ich die Zahl von 38%, die angaben eine 2-Faktor-Authentisierung zu nutzen, für realistisch. Diese Zahl nimmt stetig zu und die 2-Faktor-Authentisierung ist eines der effektivsten Mittel gegen Cyber-Kriminalität.

Nur 26%, also ca. 1/4 der Personen, gaben an, dass sie regelmäßig Sicherheitsupdates machen. Diese Zahl halte ich für sehr realistisch und sie zeigt deutlich, dass „der Deutsche“ sich sicherwägt und glaubt, dass das Unglück immer den anderen passiert. Sicherheits-updates, und Updates im Allgemeinen, sind eine der wichtigsten Grundlagen für eine angemessene IT-Sicherheit. Machen Sie bitte immer (Sicherheits)Updates! – Und im weiterem gaben ganze 19% der befragten Personen, also ca. 1/5, an, dass sie verschlüsselte E-Mailkommunikation nutzen. Da habe ich mit den Augen gerollt, denn das ist sicher nicht die Realität. Verschlüsselung heißt OpenPGP oder S/MIME etc. Gefühlt macht das gar keiner. Ich kann mir die 19% nur damit erklären, dass die Personen glauben, dass „SSL-Abruf vom Server“ eine End-To-End-Verschlüsselung darstellt. Dem ist aber nicht so. Ferner gaben 9% an, aus Angst vor Cyber-Kriminalität, kein Online-Banking zu betreiben und 5% auch kein Online-Shopping zu tätigen.

29% der befragten Personen gaben ferner an, schon einmal Opfer von Cyber-Kriminalität geworden zu sein. Dabei verteilte sich die Art des Vorfalls sehr breit auf alle Kategorien von Cyber-Kriminalität. Nur ca. jeder Zehnte von Cyber-Kriminalität Betroffene gab an, dass er dabei ein Gerät verloren oder einen ernsten finanziellen Schaden erlitten hat. 37% der von Cyber-Kriminalität betroffenen Personen konnten sich selbst helfen und 25% berichteten, dass sie eine Anzeige bei der Polizei gemacht haben. Erschreckend finde ich die Zahl von 9%, die angaben, dass sie ein Lösegeld bzw. Geld an die Cyberkriminellen gezahlt haben. Niemand sollte Geld an Kriminelle zahlen, es ist falsch! Gehen Sie stattdessen bitte zur Polizei und erstatten Anzeige!

Besonders interessant wurde es dann, als es um die Erziehung von Kindern geht. Da musste ich wieder mit den Augen rollen und zweimal lesen: Ca. 2/3 der Eltern in der Befragung gaben an, dass sie mit ihrem Kind regelmäßig über Gefahren der Internetnutzung sprechen. Ich stelle mir diese Gespräche so vor: „Ist gefährlich, Kind!“ – „Ja, ich weiß Papa!“ – „Ok, dann ist ja alles gut!“ – Ich will den Punkt nichts ins lächerliche ziehen, aber er spiegelt nicht die Realität wieder, die ich erlebe. Und ich sehe leider auch keine Kompetenz bei den meisten Eltern, Gefahren im Internet so gut zu kennen, dass sie ihr Kind effektiv darüber informieren können.

Über die Hälfte der Befragten mit Kindern gab weiter an, dass sie die Aktivitäten ihrer Kinder im Internet überwachen und kontrollieren. Auch das spiegelt nicht die Realität wieder, die ich erlebe, und ist vermutlich mehr ein subjektives Gefühl es zu tun, als das Anliegen tatsächlich erfolgreich umzusetzen. Ebenso gab die Hälfte der Befragten an, dass sie für ihr Kind sichere beschränkte Rechte und Konten eingerichtet haben. Auch das erscheint mir etwas hochgegriffen. Jetzt die letzte Zahl aus dem Bericht: Über die Hälfte der Befragten (55 %) wünschen sich mehr Informationen zum Thema IT-Sicherheit und Cyberkriminalität. Es mangelt eigentlich nicht an dieser Information. Die Information ist da. Man muss sie nur suchen. Vermutlich haben die meisten Menschen aber gar keine Zeit dafür, und, wenn sie mal Zeit haben, nicht die Muße und Lust, sich durch komplexe, teils technische Details zu lesen. Was wir bräuchten, und das ist mein Fazit aus dem Bericht, ist eine Ausbildung unserer Kinder und Jugendlichen in IT-Sicherheit und im Umgang mit Cyberkriminalität an den Schulen. Das wäre ein großer Schritt mit einer zwar nicht sofortigen, aber langfristig großen Wirkung. Leider sehe ich diesen Ansatz so überhaupt nicht kommen.

 

 

2. Fachkunde des Datenschutzbeauftragten

Der Beruf des Datenschutzbeauftragten stellt nach derzeitiger Rechtsprechung ein eigenständiges Berufsbild und eine gewerbliche Tätigkeit, keine freiberufliche Tätigkeit, dar. Dieses auch dann nicht, wenn zum Beispiel ein ansonsten freiberuflich einzustufender Rechtsanwalt auch als externer DSB tätig wird. Neben dieser formalen Stellung, die vor allem für die Besteuerung bei externen Datenschutzbeauftragten von Relevanz ist, stellt sich die Frage nach der Qualifikation.

Die DS-GVO hält sich diesbezüglich sehr schwammig. Ein DSB muss die „notwendige Fachkunde“ besitzen. Das heißt so viel wie: „Ein DSB muss alles wissen, was für die Aufgabe erforderlich ist.“ Was das genau ist, ist mit solchen Aussagen nicht geklärt. Die Artikel29-Arbeitsgruppe der Datenschutzkonferenz hatte sich einmal damit befasst und eine Leitlinie herausgegeben. In dieser findet sich letztlich nur die Langfassung von „muss alles wissen, was im Einzelfall erforderlich für die Aufgabe ist“. Nicht konkret werden können wir gut in Deutschland.

Neben den Aufsichtsbehörden gibt es inzwischen auch mehrere Gerichtsurteile, welche sich mit dem Thema befassen. Den meisten nach, ist die Tätigkeit des DSB schwerpunktmäßig eine rechtliche Tätigkeit, die zusätzlich noch weiterer Kompetenzen bedarf. Dem kann ich nur bedingt folgen. Die Aussage trifft sehr oft zu, in manchen Fällen aber auch nicht. Insbesondere dann nicht, wenn ein Kunde bestimmte IT-Dienstleistungen anbietet, wo es vor allem um das Verständnis von Technik geht, um Datenschutz bewerten und umsetzen zu können. Und dann ist es eben keine primär rechtliche Tätigkeit mehr. Gefallen finde ich bei der Frage zur Fachkunde an einem Urteil des Finanzgerichts München. Ich zitiere einmal aus dem Urteil: „So muss der DSB, um die in § 37 Abs. 1 BDSG 1990 (nunmehr § 4g BDSG) geregelten Aufgaben erfüllen zu können, auch über umfangreiche juristische Kenntnisse zum Datenschutzrecht verfügen, was nicht nur vertiefte Kenntnisse der Regelungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes voraussetzt, sondern auch Kenntnisse bezüglich der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht. Daneben muss er umfangreiche technische Kenntnisse auf dem Gebiet der sog. Computer-Hardware und der unterschiedlichen System- und Anwendersoftware aufweisen. Im Hinblick auf die ihm obliegende Mitarbeiterschulung muss der Datenschutzbeauftragte zudem über pädagogische Fähigkeiten und Kenntnisse verfügen.“ Im weiterem stellt dieses Gericht fest, dass es sich jeweils nur um Teilbereiche der einzelnen Disziplinen handelt und ein DSB kein abgeschlossenes Studium all dieser Gebiete aufweisen muss. Wie der genau Nachweis der Fachkunde dann aussehen soll, wird offengelassen.

Das vorgenannte Gerichtsurteil aus 2017, so denke ich, trifft den Punkt recht gut, und schafft in soweit Klarheit, dass kein Studium einer Fachrichtung, insbesondere ein juristisches Studium, erforderlich ist. Somit kann quasi jeder DSB werden, wenn er sich das notwendige Wissen der jeweiligen Fachgebiete aneignet. In der Praxis hat sich dann eine Prüfung bei Stellen, die das Fachwissen zertifizieren dürfen, zum Beispiel dem TÜV, der Dekra etc., mit anschließendem Erhalt einer Bestätigung über die Fachkunde, etabliert. Das wäre aber immer nur der erste Schritt. Eine ständige Weiterbildung und Aktualisierung der Fachkunde wird ebenso verlangt. Die Praxis hat hierfür bisher keine guten und nachweisbaren Ansätze gefunden. So gibt es zwar zahlreiche Weiterbildungen auf dem Gebiet Datenschutz, deren Qualität und Inhalte sind aber nirgends festgelegt.

Damit kann man zusammenfassen, dass „Datenschutzbeauftragte(r) ein eigenständiges Berufsbild ist, welches eine komplexe Qualifikation erfordert. Es existiert bisher dafür aber keine offizielle Berufsausbildung. Entsprechend fehlt auch die konkrete Festlegung der Kenntnisse für diesen Beruf. Jeder kann es werden, wodurch die Qualität eines DSB sehr stark variieren kann.

 

3. Aktuelles aus dem Datenschutz

Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) gibt in einer Pressemitteilung bekannt, dass neue PIXI-Bücher für Kinder, dieses Mal „Was ist Informationsfreiheit?“ herausgekommen sind. Grundsätzlich finde ich den Ansatz gut Kinder mit diesen Themen vertraut zu machen. Ich frage mich persönlich allerdings, ob ein PIXI-Buch dabei der richtige Ansatz und noch zeitgemäß ist.

Der Europäische Datenschutzausschuss (EDSA) hat sich auch mal wieder zu Wort gemeldet und die EU-Staaten zur Umsetzung des Urteils des EuGH zur PNR-Richtlinie aufgefordert. Die PNR-Richtlinie ist das so genannte „Fluggastdatengesetz“. Der EuGH hatte geurteilt, dass dieses deutlich strenger ausgelegt werden muss. Die EU-Mitgliedsstaaten zeigen aber so gut wie kein Interesse das Urteil umzusetzen.

Das BSI zitiert in seinem Newsletter ein Interview eines Sicherheitsexperten mit der Tageschau. Dieses Interview hatte ich auch gelesen und möchte es auch zitieren: >> „Die größte Gefahr für Computersicherheit geht nicht von virtuellen Hackerangriffen aus“, sagt der Sicherheitsexperte Michael Resch vom Höchstleistungsrechenzentrum Stuttgart (HLRS) in einem Interview mit der ARD-Tagesschau. „Das größte Problem sind immer die Menschen. Entweder die, die illegal eindringen, oder die, die von innen heraus agieren.“ Tatsächlich, so der Experte, sei ein IT-System von innen am besten zu knacken – zum Beispiel von einer Person, die sich über eine Einrichtung so ärgere, dass sie ihr schaden wolle. << Gerade der letzte Satz spricht mir sowas von aus der Seele: Man kann es nicht besser formulieren!

 

Eine besonders verrückte Cyber-Erpressung läuft gerade auf Tiktok. Es ist dort gerade „in“ nackt vor der Kamera zu tanzen und diese „Nacktheit“ hinter einer Verpixelung des Bildes zu verstecken. So gesehen ist man dann nicht sichtbar nackt. Dafür gibt es eine spezielle Software, die in dieser Challenge genutzt wird. Cyber-Kriminelle schreiben nun Teilnehmer dieser Challenge an, dass sie die Verpixelung knacken konnten und das Video im Original, also in voller Nacktheit der betreffenden Person in Full-HD, haben. Damit es nicht veröffentlicht wird, soll man zahlen. Natürlich ist es nur ein Schwindel und die Erpresser haben gar nichts, aber nicht wenige zahlen vermutlich.

Die Berliner Zeitung berichtet über einen Vorfall beim META-Konzern. Im Darknet werden 487 Millionen WhatsApp-Rufnummern zum Verkauf angeboten. META kommentiert den Bericht nicht. Ich lasen den Sachverhalt einfach mal so im Raum stehen. Bei META sind solche Pannen ja inzwischen schon irgendwie Alltag.

Aus meinem Netzwerk berichtete mir jemand, dass eine Ransomware Attacke auf das Goethe-Gymnasium in Hannover erfolgt ist. Ich konnte das recherchieren und einen Bericht des NDR dazu finden. Offensichtlich ist nichts weiter passiert. Die Schule hatte ein Backup und ein Schaden ist nicht entstanden. Auch Schulen können zu Zielen werden. Erst im Oktober gab es in Bayern einen Angriff auf das Medienzentrum München-Land. Danach konnten 75 Schulen nicht mehr auf ihre Daten zugreifen.

Neben dem ganz normalen Wahnsinn an Sicherheitslücken und Malware, gab es einen besonders schwerwiegenden Fall beim Google Chrome Browser. Eine Sicherheitslücke in der Java Skript Engine V8 ermöglichte es Schadcode zu platzieren. Google schloss diese Sicherheitslücke Anfang Dezember mit einem Update. Jeder Nutzer des Google Chrome Browser sollte sicherstellen, dass er die letzte Aktualisierung der Anwendung installiert hat. Das gilt für jedes Betriebssystem: Windows, Mac, Linux, Android und IOS. Näheres dazu findet man bei Heise.

Ein neues Wort habe ich beim BSI dazugelernt: „Defacement“ – Damit ist das Hacken von Webseiten oder Auftritten in sozialen Medien gemeint, wenn hierbei das Ziel verfolgt wird, auf diesen Seiten gezielt Verunglimpfungen und eine Schädigung der Reputation vorzunehmen. Gerade im Vorfeld politischer Wahlen wird diese Technik eingesetzt. Und auch beim BfDI habe ich eine neue Abkürzung gelernt: „ETIAS“ – ETIAS steht für European Travel Information and Authorization System (Europäisches Reiseinformations- und ‑genehmigungssystem). Mit diesem System werden Reisen in den Schengen-Raum genehmigt und gleichzeitig Besucher aus Ländern registriert, die kein Visum benötigen. Der BfDI versucht das System für uns Bürger*innen im Datenschutz zu verbessern, um es kurz und knapp zu formulieren.

Ich stelle im Rückblick auf 2022 fest, dass es immer mehr automatisierte Tools für den Datenschutz auf Webseiten gibt. Dieses erklärt wohl auch die vermehrten Auskunfts- und Beschwerdeverfahren hierzu. Man kann mit diesen Tools inzwischen sehr einfach eine Webseite auf Datenschutzverstöße auswerten und bekommt dann gleich ein Muster-Schreiben für eine Beschwerde zum Ausdrucken automatisch dazu generiert. Somit werden Anfragen zum Datenschutz auf Webseiten vermutlich auch in 2023 zunehmen.

In Bayern wurden jüngst drei Personen wegen Betrugs auf eBay-Kleinanzeigen festgenommen. Sie nutzten für den Betrug ältere, nicht mehr aktive Nutzerkonten, die gehackt worden waren.  Auch das eigentlich nichts Neues. Das BSI warnt, dass Betrug im Online-Shopping, mit Kreditkarten und im Internet weiter zunimmt. Auch das nichts Neues.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Über die Themen des nächsten Newsletter habe ich mir noch keine Gedanken gemacht. Wir können aber sicher sein, dass bis dahin viele spannende Dinge passieren, über die man schreiben kann.

 

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

IMPRESSUM:

Tobias Lange – Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de