|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 04. Dezember 2023
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Digitale Risiken
- Jahresrückblick
- Aktuelles aus dem Datenschutz
|
1. Digitale Risiken
Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) unterteilt regelmäßig bei der Betrachtung von Risiken drei Gruppen: Gesellschaft, Wirtschaft sowie Staat und Verwaltung. Mit Gesellschaft meint das BSI natürliche Personen, also "Menschen". Bei Gesellschaft stand bisher immer nur "Phishing" als größter und einziger Risiko-Faktor, wenn man nicht in irgendwelche Details ging. Das hat sich jetzt geändert und neuerdings steht überall, neben Phishing, auch "Sextortion". Sextortion ist die Erpressung von Menschen mit sexuellem Material (Bilder, Audios, intime Texte), die jemand tatsächlich oder auch nur angeblich von der Person besitzt. In der Regel erfolgt dieses so, dass man bedroht wird, dass intime sexuelle Details, Sex-Videos, Pornoseitenbesuche, kompromittierende Bilder oder Videos etc. auf Social-Media gestellt, dem Ehepartner zugeschickt oder anders veröffentlicht werden, wenn man kein Geld zahlt. Natürlich sollte niemand Geld zahlen und sich erpressen lassen. Meistens erfolgt auch keine Veröffentlichung und es passiert nichts.
|
In der Praxis hat diese Form der digitalen Kriminalität aber leider, wegen Photoshop-Apps und KI, in der Methodik neue Dimensionen erreicht. Es spielt keine Rolle mehr, ob jemand tatsächlich etwas getan hat und dieses fotografiert wurde. Dank Photoshop-Apps kann jede Person ganz einfach in ein kompromittierendes Foto oder Video hineingeschnitten werden, ohne dass die Manipulation auffällt. Man nimmt einfach ein Foto von Social-Media oder einer Webseite, wo das Gesicht einer Person zu sehen ist. Dann erstellt man daraus eine Sex-Szene mit einer anderen Person und sendet dieses Bild, mit der Drohung es auf Social-Media, wo auch der Ehepartner ist, zu veröffentlichen, der Person zu. Das hat eine Qualität, die "nicht ohne ist". Auch wenn das Geschehen nie real war und nur ein Fake ist, kann ein solches Bild in Social-Media eine Beziehung massiv beschädigen oder gänzlich zerstören als auch Auswirkungen für Beruf, Sozialsphäre und psychische Gesundheit haben. Anders gesagt: Man kann damit einen Menschen zerstören! Und dank KI, wie wir aus der Modifikation des Enkeltricks am Telefon kennen, kann man inzwischen Stimmen täuschend echt mit beliebigen Text erstellen. Man brauch dafür nur einen x-beliebigen Audiofile als Vorlage. Ergebnis ist dann ein Sexvideo von Ihnen, in dem Sie zu sehen und mit ihrer Stimme zu hören sind, ohne dass das jemals passiert ist. Aber dass es nie passiert ist, dass wissen nur Sie. Alle anderen denken, was sie denken wollen. Herrliche moderne Zeiten!
|
Auch unter Jugendlichen ist Sextortion vermehrt festzustellen, allerdings in einer anderen Variante. Bei der Erpressung geht es in der Regel nicht um Geld, sondern um die Vornahme sexueller Handlungen, real oder online, damit im Gegenzug das echte oder gefakte Sexmaterial nicht auf Social-Media oder in Peer-/Klassenchats veröffentlicht wird. Es handelt sich hierbei um eine schwere Sexualstraftat, die immer zur Anzeige gebracht werden sollte. Traurige Tatsache ist aber leider, dass auch eine Strafanzeige dem Opfer am Ende nichts hilft, wenn dieses psychisch komplett aus dem Leben geworfen wurde.
|
Zu einem verwandten Thema gibt es hingegen positives aus Berlin zu berichten und der Gesetzgeber plant eine Änderung, genaugenommen eine Rückänderung, des § 184b des StGB. Dieser Paragraph war im Juli 2021, noch von der alten Regierung, verschärft worden. Der Besitz kinderpornographischen Materials (pornographisches Material von Personen unter 14 Jahren) wurde als Verbrechen mit einem Mindestmaß von 1 Jahr Freiheitsstrafe hochgestuft. In der Praxis führte das zu einem Problem für diverse Eltern, Sozial- und Lehrkräfte bundesweit. Das Problem geht so: Man findet Nacktbilder von 12 oder 13 jährigen Kindern, echt oder Fake, in Peer- oder Klassenchats. Richtigerweise greift man dann ein, oftmals aber mit dem Mittel diese Bilder an die betroffenen Eltern zu senden, zu Beweiszwecken für eine Anzeige abzufotografieren oder sich selbst zu übertragen. Damit bringt man sich in den Besitz solchen Materials oder ist Überträger, wodurch man Täter eines Verbrechens wird. Bis Juli 2021 war es dann regelmäßig so, dass die Staatsanwaltschaft feststellte, dass die Person nicht mit einem "lüsternen Interesse" gehandelt hat und lediglich, im Rahmen der richtigen Absichten, einen Fehler machte. Man stellte dann das Verfahren nach § 153 StPO wegen geringer Schuld ein und die Sache war erledigt. Seit Juli 2021 geht das nicht mehr, weil die Tat kein Vergehen mehr ist, sondern ein Verbrechen. Bundesweit liegen inzwischen eine vierstellige Zahl an Verfahren gegen Eltern, Sozialarbeiter*innen und Lehrkräfte vor Gericht, die alle 1 Jahr Freiheitsstrafe bekommen müssen, weil das Gesetz keinen anderen Ausweg mehr vorsieht. Da der Tatbestand jetzt ein Verbrechen und kein Vergehen mehr ist, kann ein Fall nicht eingestellt noch die Strafe reduziert werden. Man wird als Verbrecher verurteilt und ist damit auch seinen Job los. Die Bundesregierung will das jetzt rückgängig machen, und ich bin persönlich sehr dankbar dafür. Das lag schon gewaltig auf meiner Seele und der ein oder andere Kunde wird festgestellt haben, dass die Problematik deutlich in meinen Schulungen zur Sprache gekommen ist.
|
Und da ich das jetzt schon so detailliert behandele, muss ich noch folgendes hinzufügen, denn in Deutschland liegt bekanntlich der Teufel immer in irgendwelchen Details, die man nicht kommen sieht. Wenn Sie jetzt also jubeln und sagen: "Ok, im Zweifelsfalle wird mir nichts passieren, wenn ich zu Beweiszwecken verbotenes pornographisches Material sichere oder dergleichen", dann sollten Sie diesen Gedanken ganz schnell wieder vergessen. Sie sollten nie kinderpornographisches, jugendpornographisches, gewaltpornographisches oder Material, welches sexuelle Handlungen von Menschen mit Tieren zeigt, auf ihren digitalen Geräten haben oder irgendjemanden übertragen. Denn der Teufel des Details ist folgender und es gab ihn auch schon vor dem Juli 2021: Ein Staatsanwalt schreibt zum Fall den folgenden Satz oder ähnlich: "Die Beschuldigte Person handelte eindeutig nicht mit einem lüsternen Interesse, hat aber in fahrlässiger Weise zu einer Verbreitung des verbotenen Materials beigetragen und den Besitz über einen längeren Zeitraum als notwendig erhalten." Und dann bekommen Sie 10 geringe Tagessätze aufgebrummt oder etwas dergleichen. Die paar hundert Euro bringen Sie nicht um. Ein anderes Detail schon: In Deutschland gelten Sie mit Strafen bis zu 3 Monaten Haft oder 90 Tagessätzen als nicht vorbestraft und die Verurteilung erscheint nicht in ihrem Führungszeugnis. Aber alle diejenigen, die mit Kindern oder in der Sozialarbeit tätig sind, zum Beispiel Erzieherinnen, Sozial- und Lehrkräfte, müssen ein erweitertes Führungszeugnis vorlegen. Und da steht alles drinnen, egal wie gering die Verurteilung ausgefallen ist. Und Verurteilungen wegen Taten nach §§ 184 ff bleiben für 10 Jahre im Register. Sie haben dann also 10 Jahre de facto Berufsverbot, denn niemand darf Sie in diesen Branchen mit einem solchen Eintrag mehr einstellen. Und das war es dann mit ihrem Leben, wie Sie es bisher kannten. Es gilt also weiterhin und für alle: Niemand sollte jemals, egal aus welchen Gründen, verbotenes Material, egal ob pornographisches oder irgendein anderes verbotenes Material, auf seinem digitalen Endgerät haben, sich versuchen in den Besitz zu bringen oder es gar irgendwohin übertragen!
|
2. Jahresrückblick
Das Jahr ist, obwohl es gefühlt gerade erst angefangen hat, schon wieder vorbei. Im Rückblick muss ich mit diesem Satz beginnen: In keinem Jahr zuvor haben Fragestellungen im Datenschutz und in der IT-Sicherheit, insbesondere durch den zunehmenden Einsatz von Algorithmen und künstlicher Intelligenz (KI), so zugenommen wie in 2023. Dieses sowohl in Quantität als auch in einer inhaltlichen Komplexität, so dass man mit Weiterbildung oder Maßnahmen der Weiterentwicklung, um diesen Problemstellungen angemessen begegnen zu können, im normalen Arbeitsalltag nicht mehr wirklich nachgekommen konnte. Ich empfinde die Herausforderung mit der Entwicklung mitzuhalten als außerordentlich und befürchte, dass diese Problematik in den nächsten Jahren noch deutlich zunimmt. Wo das Limit für "durchschnittlich-intelligente Menschen" liegt mit allen Fragestellungen der Digitalisierung noch mitzukommen und wann es erreicht ist, ich weiß es nicht!
|
Ich blicke auch auf anderen Feldern gemischt zurück. Erfreulicherweise gab es deutlich weniger Datenpannen unter meinen Kunden als im Vorjahr, und nur eine einzige von einer gewissen Bedeutung. Im Gegenzug gab es aber weitaus mehr Auskunfts- und Beschwerdeverfahren, mit und ohne Einbezug der Aufsichtsbehörden. Insgesamt gab es exakt 50 solcher Fälle, also fast jede Woche einen. Nur 8 Fälle davon würde ich als tatsächlich begründet einordnen. Weitere 25 wurden erhoben, um einen anderen Konflikt, den man als Kunde oder Mitarbeiter*in eines Unternehmens mit diesem hatte, auszutragen. In 17 Fällen, egal wie viel Mühe ich mir beim Nachdenken gebe, hatten die Beschwerdeführer meiner Erkenntnis nach überhaupt kein sinnmachendes Ziel, welches verfolgt wurde, oder einfach ausgedrückt: Ich habe keine Idee, was diese Personen wollten! In den 8 begründeten Fällen ist keiner betroffenen Person ein tatsächlicher Schaden entstanden. Es kam auch zu keinen Strafen. Vielmehr waren es Fragen der rechtmäßigen Datenverarbeitung, die tatsächlich nicht eindeutig geregelt und fragwürdig waren, und somit berechtigterweise auch zurecht nachgefragt werden durften. Und in keinem einzigen der genau 50 Fälle wollte irgendjemand das VVT (Verzeichnis der Verarbeitungstätigkeiten) oder eine Dokumentation sehen, noch haben mir diese Dokumente irgendwie geholfen den Fall zu bearbeiten. Das war im Jahr zuvor nicht anders. Alle VVTs und Dokumentationen, die ich jemals gemacht habe, wurden bisher nicht in einem einzigen Fall gebraucht. Alles diesbezüglich irgendwie umsonst.
|
Tatsächlich schreibt die DS-GVO auch nur das VVT vor, eine Dokumentation aber nicht. Die Dokumentation ist lediglich das Ergebnis aus Art. 5 Abs. 2 DS-GVO, der den Verantwortlichen auferlegt, die Rechtmäßigkeit der Verarbeitung nachzuweisen. Um dieses nachweisen zu können, dokumentiert man eifrig. Aber offensichtlich kann man es auch ohne Dokumentation. Wenn ich die obigen 50 Fälle nehme, dann gab es die Erörterung des Prozesses bei 32 Fällen in den "Informationen zum Datenschutz für Kunden oder Miterbeiter*innen", die jeder meiner Kunden von mir hat. In den übrigen 18 Fällen, war ich vorab nie auf die Problemstellung gekommen, welche der Beschwerdeführer aufmachte. 10 von den 18 Fällen waren Argumentationen ohne jeden Verstand, um einmal ehrlich zu sein. Da musste auch niemand drauf kommen. Es bleiben dann die oben schon besagten 8 Fälle mit Substanz. Das fühlt sich ein wenig an, als habe ich in den 8 Fällen irgendwie versagt, weil ich die Problemlage im Vorfeld nicht gesehen habe. Andererseits kann man beim besten Willen auch nicht auf alles kommen, was passieren kann oder vielmehr neben dem, was eigentlicher Prozess der Datenverarbeitung ist, theoretisch noch in dem Prozess passieren könnte. Manchmal ist es so, dass man sich 100 Varianten überlegt, die schief gehen können, und dann passiert Variante 101, weil das Schicksal einfach ein mieser Gegenspieler ist.
|
Nur teilweise zufrieden bin ich mit meinen Absichten eine DSFA (Datenschutzfolgen-abschätzung) als Managementsystem für Microsoft 365 (M365) zu erstellen. ein solches Managementsystem besteht aus zwei Teilen, wobei der zweite Teil derjenige Teil ist, in dem die Maßnahmen zur Risikominimierung beschrieben werden. Hier bin ich daran gescheitert, dass, kaum hatte ich wünschenswerten Einstellungen beschrieben, Microsoft die Admin-Oberfläche von M365 verändert hat und meine Ausführungen "Schnee von gestern" waren. Ich werde diesbezüglich in 2024 nochmal einen neuen Ansatz wählen.
|
Die Einführung einer Lernplattform mit Schulungen als Webinar bzw. Video, auch mit anschließendem Test, hat unter dem Strich zufriedenstellend funktioniert. Ich beabsichtige das Lernportal in 2024 auszubauen und dort mehr Schulungen einzustellen. Auch die bestehenden Schulungen zum Datenschutz will ich nochmal überarbeiten.
|
3. Aktuelles aus dem Datenschutz
Die Amtszeit des BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit endet zum Jahresanfang. Herr Prof. Ulrich Kelber würde gerne 5 weitere Jahre das Amt ausüben, aber in Berlin ringt man noch mit der Entscheidung ihn für 5 weitere Jahre zu bestätigen. Man ist in Teilen der Ampel-Regierung, obwohl Herr Prof. Kelber der SPD angehört, nicht so zufrieden mit ihm. Er tut nämlich etwas, was man in der Politik besser nicht tut: Er macht seinen Job gut und ist dabei unbequem. In Berlin hätte man lieber jemanden, der keine Kritik an der Regierung übt und ansonsten weniger für den lästigen Datenschutz tut. Ich würde mich persönlich sehr freuen, wenn Herr Prof. Kelber 5 weitere Jahre im Amt bleibt. Er ist eine hervorragende Besetzung.
|
Bei den Ransomware-Angriffen hat es diesen Monat die bekannt Firma "record Fenster & Türen" getroffen. Meine Fenster und Türen sind auch von dieser Firma und ich bin damit persönlich Betroffener. Gemerkt habe ich bisher nichts. Jemand muss den berühmt-berüchtigten Klick auf irgendetwas gemacht haben, das böse war. Dann wurde alles verschlüsselt und vielleicht wurden auch Daten abgezogen. Die Firma "record" untersucht den Vorfall. Alle Kunden wurden informiert und natürlich trifft man zukünftig noch bessere Sicherheitsmaßnahmen. Ich frage mich, ob es inzwischen Praxis ist, diese Art. 34 DS-GVO Meldungen bei einer Datenpanne vom letzten Unternehmen, dass eine solche Panne hatte, mit Copy-Paste dann für sich zu nutzen.
|
Ein schwieriges Thema wurde auf der europäischen Ebene verabschiedet. Die EU-Parlamentsausschüsse haben "den Zwang einer vernetzten elektronischen Patientenakte für alle" beschlossen. Wenn wir einmal davon absehen, dass wir in Deutschland in 10 Jahren auch eine elektronische Patientenakte ohne Zwang nicht hinbekommen haben, so wird es das zukünftig EU-weit geben und, anders als es in Deutschland geplant war, wird die Teilnahme verpflichtend sein. Die Vorteile will ich gar nicht bestreiten, die Nachteile liegen in der Sicherheit der Daten. Auf die Sicherheit wird es dabei ankommen und es ist noch nicht klar, wie das technisch aussehen wird. Man sollte sehr genau hinsehen, denn im Zweifel sind hochsensible Daten von Patienten in der ganzen EU von möglichen Datenpannen betroffen.
|
In Bayern, einem Bundesland, in dem vieles anders ist als in anderen Bundesländern, was ich nicht laut gesagt habe, wird "Palantir" in der Polizei getestet und zwar mit realen Daten. Die Anwendung ist höchst umstritten und der Einsatz in Hessen und Hamburg derzeit verfassungswidrig. Die bayrische Datenschutzbehörde, die über den Testeinsatz vorab nicht informiert noch einbezogen wurde, ist alarmiert und prüft ein Verfahren zu eröffnen. Hingegen sieht die bayrische Regierung den Einsatz unter dem bayrischen Polizeigesetz als rechtmäßig an. So war es in Hamburg und Hessen auch, bevor Gerichte diese Sichtweise beendeten.
|
Das BSI (Bundesamt für die Sicherheit in der Informationstechnologie) hat eine Rekordzahl an Phishing und Spam-Mails im Vorfeld des Black Friday im November festgestellt. Die in Deutschland meistgenutzten E-Mail-Dienste web.de und gmx registriert pro Woche 1,65 Milliarden Spam-Mails. Dabei scheint, passend zu Black Friday und Weihnachten, dass Paketdienst-Phishing bei Cyberkriminellen besonders beliebt zu sein. Amazon hatte im Vorfeld des Black Friday bereits vor Betrug in jeder erdenklichen Form, insbesondere auch vor Fakeshops oder Fake-Verkäufern gewarnt. In diesem Zusammenhang hier der Link der Verbraucherzentrale zum Fakeshop-Finder: https://www.verbraucherzentrale.de/fakeshopfinder-71560
|
Die Verbraucherzentrale hat eine repräsentative Umfrage gemacht und 30% der Befragten gaben an, dass bei Ihnen in der Vergangenheit bereits mindestens einmal ein persönliches Konto gehackt worden war. Dabei wurden Social-Media und E-Mail Accounts am häufigsten angegriffen. Fast 90 % der betroffenen Personen konnten die Kontrolle über Ihre Konten wieder zurückgewinnen, die meisten hätten sich dafür aber mehr Hilfe gewünscht. 56% der befragten Personen gaben an, dass sie unterschiedliche Passwörter für ihre Accounts verwenden. Die Zahl liegt höher als ich gedacht hätte. Es wurde nicht gefragt, ob diese Personen sich die ganzen Passwörter dann auch irgendwo aufschreiben und dieser Zettel sicher verwahrt wird. Nur die Hälfte der Personen wusste, wie man sich im Falle eines Hackerangriffs verhalten soll.
|
Im letzten Newsletter habe ich, dem Feedback nach zur Belustigung einiger Kunden, mich mit Datenerhebungen in Autos befasst. Im November hat der Markenchef von Mercedes in einem Interview mitgeteilt, dass zukünftig in einem Mercedes, je nach Model, 4 bis 5 Hochleistungs-PCs mit Wasserkühlung verbaut sein werden. Natürlich wird keiner davon Daten erheben und an Mercedes senden. Und natürlich wird auch nie ein PC im Auto kaputt gehen, denn dann würde der Mercedes nicht mehr fahren. Ich denke ja, dass sowohl der Datenschutz als auch Abschleppunternehmen eine sichere Zukunft haben.
|
Der Microsoft Authenticator, eine gängige Anwendung für die 2-Faktor-Authentisierung, die auch ich regelmäßig meinen Kunden empfehle, hat einen Schutz gegen Ermüdungsangriffe eingeführt. Ermüdungsangriffe sind Angriffe, wo Kriminelle das Opfer so lange mit Anfragen bombardieren, bis es nicht mehr kann und den Zugriff freigibt, um Ruhe zu haben. Geben Sie bitte nie auf, denn damit haben Sie nur für eine kurze Zeit Ruhe und danach den richtigen Ärger!
|
|
Was ist sonst noch so los? In den Gesundheitsämtern in Rheinland-Pfalz gibt es Sicherheitslücken. In anderen Gesundheitsämtern mutmaßlich auch, nur dass diese keiner offiziell gefunden hat. Und es wurde ein Expertenkreis für "Cybersicherheit im Weltraum" gegründet. Vielleicht bekommen wir im All hin, was wir auf der Erde nicht schaffen. Lassen wir uns diesbezüglich überraschen. Auf das KaDeWe, es gibt es immer noch in Berlin, wurde von der Hackergruppe "Play" ein Ransomware-Angriff verübt. Cyber-Angriffe gab es auch auf die Targobank, die Deutsche-Energie-Agentur, die Straßenbahn in Rostock usw. Google löscht ab Dezember inaktive Gmail-Konten, was aus Datenschutzsicht mal was positives ist. Vielleicht brauchen sie freien Speicherplatz auf ihren Servern, denn demnächst sollen die WhatsApp Backups zu lasten des Google-Speicherkontingents gehen. Eigentlich muss das aber auch niemand wissen und unter dem Strich tobt in der Online-Welt der ganz normale Wahnsinn, den man nur mit viel tief-dunklem Humor verarbeiten kann.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich mich mit KI beschäftigen und befürchte, dass dieses Thema uns alle zunehmend stärker beschäftigen wird.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
