Datenschutz

Informationssicherheit und Datenschutz -Pannen 2019 2020

Informationssicherheit – IT-Sicherheitslücken und Datenpannen 2019 und 2020 – Teil 2

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate. 

Oberlandesgericht Berlin wird gehackt – Informationssicherheit fraglich 

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung  besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit. 

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T-Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste … 

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben. 

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden. 

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden. 

2019-11 – Sicherheitslücke bei chinesischem Smartphone-Hersteller 

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt. 

2019-12 – Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm-, Kontakt- Kunden- und Transaktionsdaten. 

2020-02 – Vorfall in der Informationssicherheit bei Samsung 

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt. 

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten. 

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services. 

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten. 

2020-03 – Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin 

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis-, Bank-, Steuer- und Unternehmensdaten. 

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert. 

Hacking, Sicherheitslücken und prominente Datenpannen aus 2019 und 2020 – Teil 1

Im vorigen Post haben wir über das Image von und den Umgang mit Datenpannen berichtet. Dabei haben wir versucht, dem durchschnittlichen Datenpannen-Verursacher ein Stück weit die Angst davor zu nehmen, solche Ereignisse professionell festzustellen und an die Aufsichtsbehörden zu melden. Allerdings traten und treten Sicherheitslücken, Hacking und Datenpannen weltweit und hierzulande auf, die keineswegs amüsant oder hinnehmbar sind. Betrachtet werden hierbei die letzten zwölf Monate. 

2019-04 – 540 Millionen Facebook-Kundendaten auf öffentlich zugänglichen Servern 

Zwei Kooperationspartner des bekanntesten Online Social Media Netzwerks haben Daten von Facebook auf offen zugänglichen Amazon-Servern gespeichert. Dabei handelt es sich um 

  • das Unternehmen Cultura Colectiva, das Accountnamen, Kommentare und Likes frei zugänglich im AWS Cloud Dienst speicherte 
  • die Entwicklerfirma der Facebook App «At the Pool», die Passwörter im Klartext von 22 000 Facebook Nutzern auf öffentlich zugänglichen Serverbereichen speicherte. 

Im Lichte des Cambridge Analytica Skandals, bei dem Informationen über Millionen Facebook-Nutzer an das gleichnamige Unternehmen zwecks Analysen weitergegeben wurden, war Facebook bereits unter Datenschutz-Druck geraten. Die Zukunft wird zeigen, ob aus den Ereignissen Lernerfolge gezogen werden konnten. Ein gewisser Trost dürfte möglicherweise darin bestehen, dass Facebook Profile ohnehin überwiegend zur Veröffentlichung geschönter und damit allenfalls bedingt realer personenbezogener Informationen genutzt werden 🙂 Das schmälert jedoch nicht die Brisanz dieser Datenpanne. 

2019-05 – Hacking und Datenpannen im Arztbereich 

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beklagt die hohe Anzahl von datenschutzbezogenen Sicherheitsvorfällen in Arztpraxen. Hacking wie Verschlüsselungstrojaner und Fehlversand von Patientenberichten, Rezepten und Röntgenbildern bildeten dabei die Spitze des Eisbergs. Insbesondere bei der Verarbeitung solch sensibler Patientendaten seien starke technische und organisatorische Maßnahmen (TOM) „wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung“ unabdingbar. 

2019-08 – Hacking – Daten von 106 Millionen Bankkunden der Capital One erbeutet 

Einer Hackerin, die in der Entwicklungsabteilung des genutzten Amazon Cloud Services AWS der US-Bank Capital One gearbeitet hatte, gelang es, von den Systemen der Bank personenbezogene Daten zu Kreditkarten und -anträgen zu erbeuten. Betroffen waren nebst Stamm- und Kontaktdaten die angegebenen Einkommen, Informationen zur Kreditwürdigkeit und Verfügungsrahmen. Laut Aussage der Bank soll nicht an einer Schwachstelle des Cloud Services, sondern die mangelhafte Konfiguration eine Firewall gehandelt haben.  

2019-08 – Datenpanne im Hause Twitter 

Twitter teilte mit, dass mehr als zwölf Monate lang Daten von ca 300 Millionen Twitter Usern mit Werbekunden ohne entsprechende Einwilligung geteilt wurden. Verbotswidrig wurden somit Daten an externe Empfänger weitergegeben. Betroffen gewesen seien laut Twitter Daten über Konsumdauer von Werbeanzeigen. Mailkonten und Passwörter waren lt. Twitter nicht betroffen. 

2019-09 – Hacking nicht notwendig – Fahrlässigkeit bei Millionen von Patientendaten 

Hochsensible Datensätze von weltweit mehreren Millionen Patienten, davon mehr als 13.000 Datensätze aus Deutschland, online unverschlüsselt und frei verfügbar auf hunderten von ungesicherten Servern. Der Bundesdatenschutzbeauftragte Ulrich Kelber hatte einen „verheerenden ersten Eindruck“ von dem Skandal. Eine Kollaboration des Bayerischen Rundfunks und ProPublica deckten diesen international bestehenden, und bis heute nicht beseitigten beinahe nicht fassbaren Missstand auf. Laut BR seien u.a. Daten wie Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs etc., einschließlich zugehöriger Behandlungsinformationen betroffen. Eine 2016 veröffentlichte Studie des Harvard-Professors Oleg Pianykh wurde in Fachkreisen zu Kenntnis genommen, führten jedoch zu keiner Verbesserung der Zustände. Für diejenigen Datensätze, die trotz des bis heute akut bestehen Problems nicht in die Hände von Unbefugten / Hackern gelangt sind, gilt, dass sich dies dem relativen Desinteresse von Hackern auf Grund der nur sehr bedingten Verwertbarkeit privater Gesundheitsdaten verdankt. 

Datenpannen – jetzt ganz neu entdecken …

Hatten Sie 2020 in Ihrer Organisation eine Datenpanne? Wenn Sie direkt Nein sagen, gehören Sie entweder zu den episch seltenen Fällen, in denen der Faktor Mensch sowie technische und organisatorische Maßnahmen zu 100% diszipliniert sind oder es gibt bei der internen / externen Kommunikation einfach noch Optimierungsbedarf bei der Identifikation und Bewertung von Datenpannen nach Art. 33 und 34 DSGVO. 

Vermeiden und kommunizieren 

Es ist bereits die halbe Miete, Datenpannen präventiv – u.a. durch starke IT-Sicherheit, die richtige Softwareimplementierung und klare Richtlinien – auf einen Bruchteil zu reduzieren. Und zusätzlich sein Personal auf einem Sensibilitätsniveau zu haben, dass es Verstöße gegen Datenschutz / Informationssicherheit sowie entsprechende Verdachtsfälle angstfrei und proaktiv intern mitteilt und einer sachgemäßen Dokumentation zuführt, ist die Königsklasse des gelebten Datenschutzes. 

Meldungen von Datenpannen 

Seit dem Wirksamwerden der DSGVO wird ein erheblicher Anstieg der Meldungen von Datenpannen verzeichnet. Eine Meldung ist nach den Kriterien des Art. 33 DSGVO gesetzliche Pflicht. Mehr als 40.000 Datenpannen wurden seit DSGVO-Einführung europaweit (Bericht der EU-Kommission) und weit über 10.000 in Deutschland allein für 2019 gemeldet. Dabei sind die Gewichtungen in den Bundesländern sehr unterschiedlich. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) „einen großen Anteil“ seiner täglichen Arbeit in der Bearbeitung von Datenschutzverletzungen mit 4.111 gemeldeten Datenpannen in 2019 sieht, wird den 349 in 2019 dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gemeldeten Datenpannen verständlicherweise reserviert begegnet. 

Dunkelziffer von Datenpannen 

Eine höhere Transparenz durch mehr Meldungen und, insbesondere im EU-Vergleich, hohes Pflichtbewusstsein sind sehr gute Tendenzen. Allerdings müssten es realistisch betrachtet noch wesentlich mehr Meldungen sein. In Deutschland sind mehr als 3 Millionen Unternehmen angemeldet, hinzu kommen die staatlichen Einrichtungen und andere Stellen, die aus der DSGVO heraus zur Meldung von Datenpannen nach Art. 33 DSGVO verpflichtet sind. 

Aufsichtsbehörden 

Meldungen von Datenpannen müssen durchaus nicht mit Nachfragen, Vorortkontrollen oder Bußgeldern verbunden sein. Vielmehr kommt es den Aufsichtsbehörden auch konkret inhaltlich auf Erkenntnisse an, in welchen Bereichen nachgesteuert werden muss. Im Vergleich zu aufgeflogenen Datenschutzverstößen wird das aktive Melden honoriert. 

Nicht nur Unternehmen, sondern auch öffentliche Einrichtungen wurden von den Datenschutzaufsichten einer näheren Prüfung unterzogen, wobei zu beiden Bereichen positive wie negative Ergebnisse festgehalten wurden. 

Datenpannen bitte dokumentieren / melden 

Es liegt nahe, dass sich Organisationen eher unglaubwürdig machen, wenn keinerlei Datenpannen gemeldet bzw. dokumentiert sind. Es empfiehlt sich, Datenpannen und vergleichbare Auffälligkeiten generell – z.B. in Checklistenform – zu dokumentieren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Meldepflicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Reichlich unpräzise wird hier ein einzelfallbezogener Ermessensspielraum eröffnet. Das heißt für harmlose (=nicht meldepflichtige) Fälle: Das Ereignis wird intern dokumentiert und man stimmt sich mit seinem Datenschutzbeauftragten über eine fallgerechte Abgrenzung ab und das war´s. 

Für meldepflichtige Fälle stehen üblicherweise Online-Formulare auf den Webseiten der Aufsichtsbehörden zur Verfügung. 

Big Brother Awards 2020

Viele haben schon von ihnen gehört, aber keine konkrete Vorstellung. Die Big Brother Awards sind eine internationale Auszeichnung, die in Deutschland gestartet und bereits in 19 Ländern verliehen wurde.  Sie wird vom  Digitalcourage e.V., einem Verein u.a. für Datenschutz und Informationsfreiheit seit dem Jahr 2000 jährlich ausgerichtet. Als Negativpreis zeichnet Einrichtungen und Personen aus, die Privatsphäre und Datenschutz in herausragender Weise ignorieren und kompromittieren. 

Traditionell finden die Big Brother Awards im Stadttheater Bielefeld statt. Die für diesen Monat – am 30.04.2020 – geplante Preisverleihung wird aus aktuellem Anlass verschoben und der Ersatztermin neu bekannt gegeben. 

Umsetzung der Big Brother Awards 

Werden etwa Daten entgegen der ursprünglichen Motivation ihrer Erhebung verwendet und gar gehandelt, so liegt regelmäßig das Fehlen einer Zweckbindung und einer Rechtsgrundlage vor, zwei der elementaren Forderungen des geltenden europäischen Datenschutzrechts

Ein Ziel der Auszeichnung ist das Publikmachen von rechtswidrigen Ambitionen und Handlungen, welche die Informationssicherheit im weiteren Sinne und demokratische Kriterien fahrlässig oder vorsätzlich belasten. Damit möchten die Preisverleiher die Verursacher unter Druck setzen und damit zur Transparenz veranlassen. Die voraussichtlich von den Preisträgern unerwünschten Schlagzeilen sind dabei offiziell erwünschtes Resultat der Verleihung der Big Brother Awards. 

Die Jury hierzulande setzt sich aus Vertretern der Digitalcourage e.V., der Deutschen Vereinigung für Datenschutz  (DVD), des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung  (FIfF), des Fördervereins Informationstechnik und Gesellschaft  (Fitug), des Chaos Computer Clubs  (CCC), der Humanistischen Union  (HU) und der Internationalen Liga für Menschenrechte  (ILMR) zusammen. Bei diesen Organisationen handelt es sich nicht – wie gerne kolportiert – um (Cyber-) Kriminelle, sondern um Einrichtungen, die sich für den Schutz und die Kultivierung dieser gesetzlich vorgeschriebenen Rechte verpflichten. Sehen Sie selbst: 

Preisträger des vorigen Jahres 

  • In der Kategorie Technik ging der Big Brother Award 2019 an das Europäische Institut für Telekommunikationsnormen (ETSI), Abteilung „Technical Committee CYBER“. Dies betraf Forschungen zu einem neuen geplanten Standard „ETS“ (vormals „eTLS“) für eine Sollbruchstelle in der Verschlüsselung im Internet, der es staatlichen Behörden erlaubt, Onlineverbindungen zu entschlüsseln. Während vielerorts Gerätehersteller die Sollbruchstelle ausbauen, forscht man hier an der finalen Beseitigung von Datenschutz und Grundrechten aus der Digitalisierung. Eine wohlverdiente Preisverleihung für den größten bevorstehenden Rückschritt der BRD. 
  • In der Kategorie Verbraucherschutz – „ZEIT“. Das Online-Modul der Zeitung hat für das so heimatlich und aufrecht klingende Projekt „Deutschland spricht“ Google-Dienste eingesetzt, über die politische Ansichten der „sprechenden Deutschen“ an Server in den USA übermittelt wurden. Das Nachfolgeprojekt von „Deutschland spricht“ ließ sich die Zeit anschließend gleich von Google direkt finanzieren. Eine echte Arbeit „am Bürger“. Dass „Zeit Online“ zudem Werbetracker und Facebook-Pixel einsetzte, trug ebenfalls zur Preisverleihung bei. 
  • Ein besonderes Schmankerl der bereits implizit potenziell rechtswidrigen Überwachung ist Palantir. Der zugehörige Preisträger des Big Brother Awards in der Kategorie Behörden & Verwaltung – der hessische Innenminister Peter Beuth. Unter seiner Federführung kam man mit dem auch bei der CIA geschätzten US-Unternehmen Palantir ins Geschäft. Eingesetzt wird seither deren Analysesoftware mit zugehörigem Zugriff des Unternehmens auf umfangreiche Datenbestände der hessischen Polizei von den USA aus. Hoffentlich hat man auch an den AV-Vertrag gedacht 🙂 Die Software erlaubt es, Massendaten aus externen sowie Polizeiquellen automatisiert zu analysieren und nach eigens definierbaren Kriterien auszuwerten. Die DSGVO spricht bei solchen Verarbeitungen u.a. direkt vom Profiling und knüpft mit Art. 22 hieran strenge Kriterien. Dieses naturgemäß nur in den Händen professioneller Informatiker kontrollierbare Instrument dürfte in der alltäglichen Anwendung durch mehr oder weniger geschulte Sachbearbeiter Auswirkungen auf die faktische Existenz von Grundrechten, Datenschutz und Informationssicherheit generell haben. 
  • In Sachen Biotechnik ging der Big Brother Award 2019 an die weit verbreitet bekannte Firma Ancestry.com. Personen, die Familienforschung betreiben wollten, wurden aufgefordert, ihre Speichelproben einzusenden. Die daraus gewonnenen Gen-Daten wurden anschließend von Ancestry an die kommerzielle Pharmaforschung verkauft, u.a. Grundlage verdeckter Vaterschaftstest und für polizeiliche genetische Rasterungen. 
  • Der Big Brother Award 2019 in der Kategorie Kommunikation ging an die Firma Precire mit ihrer Sprachanalyse-Software, die Auswahl von Bewerbern und die Analyse der Emotionen von Anrufern ermöglicht. 

Weitere Stellungnahmen, Inhalte und die vollständige Sendung Preisverleihung 2019 finden Sie auf der Website der Big Brother Awards. 

Was ist Datenschutz?

Unter Datenschutz versteht man den Schutz personenbezogener Daten vor Missbrauch, oft im Zusammenhang auch mit dem Schutz der Privatsphäre. Zweck und Ziel im Datenschutz ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung der Einzelperson. Jeder soll selbst bestimmen können, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht. 

Datenschutz-Definition 

Personenbezogene Daten sind gemäß Art. 4 Abs. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen„. 

Das Gesetz sieht eine natürliche Person als identifizierbar an, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie“ 

  • Namen 
  • einer Kennnummer 
  • Standortdaten 
  • einer Online-Kennung oder 
  • „einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“ 

Rechtsgrundlagen im Datenschutz 

Um personenbezogene Daten verarbeiten zu dürfen, braucht es eine rechtliche Grundlage. Einfach so erlangte Daten anderer Personen zu speichern, bearbeiten, analysieren .. das klingt nicht logisch oder? 

Artikel 6 Absatz 1 DSGVO liefert einige mögliche Rechtsgrundlagen, die eine Verarbeitung personenbezogener Daten rechtmäßig machen können. In den sechs aufgezählten Punkten a bis f werden bekannte und vielleicht auch noch nicht so bekannte Rechtsgrundlagen wie etwa die Einwilligung (a), die (vor)vertraglichen Maßgaben (b) und die berechtigten Interessen (f) präsentiert. Insbesondere letztere sind sehr beliebt, weil vermeintlich unbürokratisch, jedoch auch häufig überstrapaziert. 

Auch gesetzliche Vorschriften unter c, sehr wichtig gerade für öffentliche Stellen, und lebenswichtige Interessen per se unter d sowie die Öffentlichkeit / öffentliche Interessen sind uns als Rechtsgrundlagen an die Hand gegeben. 

Normgebungen 

Nicht nur in der DSGVO und dem neuen BDSG ist der Datenschutz anzutreffen. Auch in den spezialgesetzlichen Landesdatenschutzgesetzen für Landesbehörden / Kommunen – wie z.B. dam vielen unserer Kunden wohlbekannten BayDSG – sowie dem TMGSGB und Kirchenrecht, z.B. DSG-EKD

Leider ist jedoch der Urvater jeden Datenschutzes schon lange in Vergessenheit geraten. Das Grundrecht, dass es kein Verbrechen ist, über die Preisgabe seiner Daten selbst zu bestimmen. 

Datenschutz im Bewusstsein 

Der stetig zunehmenden Erhebung, Speicherung, Weitergabe, Vernetzung und Nutzung von Daten durch fortschreitende Technologisierung (Email, Internet, Mobiltelefone, soziale Netzwerke, Kundenkarten etc.) steht oft eine gewisse Gleichgültigkeit entgegen. In weiten Teilen der Bevölkerung, aber auch auf Unternehmerseite, wird dem Datenschutz teils kein oder nur ein geringer Stellenwert zugebilligt. Dabei ist Datenschutz gerade im Lichte fortschreitender Globalisierung ein wichtiger Wegbegleiter von Kindheit an und in zahllosen Aspekten des Alltags. Die weltweite Vernetzung und eine Verlagerung von Daten in Länder, in denen deutsche und europäische Schutzgesetze keine Gültigkeit haben, machen Datenschutz oft wirkungslos oder erschweren diesen zumindest. Datenschutz ist daher nicht als umständliche Eigenart sondern Länderübergreifende Verantwortung zu aufzufassen. 

Datenschutz praktisch gelebt 

Von daher geht es beim Thema Datenschutz mittlerweile nicht mehr um die reine Datensicherheit z.B. durch technische Hilfsmittel, sondern auch um eine effektive Durchsetzung.  Das Yin und Yang eines zeitgemäßen und souveränen Datenschutzes sind die technischen und organisatorischen Maßnahmen. Auch als TOM bekannt sind sie das Herzstück von IT-Sicherheit und Datenschutz, die beiden Elemente der Informationssicherheit

.. eine echte Errungenschaft 

Bei uns in Deutschland ist Datenschutz kein neues Thema. Schon 1977 trat ein Bundesdatenschutzgesetz in Kraft, welches sich jedoch mit dem Datenschutz in der öffentlichen Bundesverwaltung befasste. Öffentlichkeitswirksam trat der Datenschutz mit dem sog. „Volkszählungsurteil“ des Bundesverfassungsgerichts 1983 in den Vordergrund. Auslöser waren die zahlreichen Weigerungen vieler Mitbürger, sich und ihre persönlichen Lebensverhältnisse anlässlich der bundesweiten Volkszählung kundzutun. Das Volkszählungsgesetz wurde – spektakulär – in Teilen aufgehoben und der Begriff der „informationellen Selbstbestimmung“ geprägt. Diese leitet sich aus dem Artikel 2 des Grundgesetzes ab – dem Recht auf freie Entfaltung der Persönlichkeit. 

Mehr zum Thema bei Wikipedia