Hacking und Datenpannen 2019 2020

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hacking und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­er­fol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hacking und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hacking wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hacking — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hacking nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebsscree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Datenpannen in Transparenz

Hat­ten Sie 2020 in Ihrer Orga­ni­sa­ti­on eine Daten­pan­ne? Wenn Sie direkt Nein sagen, gehö­ren Sie ent­we­der zu den episch sel­te­nen Fäl­len, in denen der Fak­tor Mensch sowie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu 100% dis­zi­pli­niert sind oder es gibt bei der inter­nen /​ exter­nen Kom­mu­ni­ka­ti­on ein­fach noch Opti­mie­rungs­be­darf bei der Iden­ti­fi­ka­ti­on und Bewer­tung von Daten­pan­nen nach Art. 33 und 34 DSGVO. 

Ver­mei­den und kom­mu­ni­zie­ren 

Es ist bereits die hal­be Mie­te, Daten­pan­nen prä­ven­tiv — u.a. durch star­ke IT-Sicher­heit, die rich­ti­ge Soft­ware­im­ple­men­tie­rung und kla­re Richt­li­ni­en — auf einen Bruch­teil zu redu­zie­ren. Und zusätz­lich sein Per­so­nal auf einem Sen­si­bi­li­täts­ni­veau zu haben, dass es Ver­stö­ße gegen Daten­schutz /​ Infor­ma­ti­ons­si­cher­heit sowie ent­spre­chen­de Ver­dachts­fäl­le angst­frei und pro­ak­tiv intern mit­teilt und einer sach­ge­mä­ßen Doku­men­ta­ti­on zuführt, ist die Königs­klas­se des geleb­ten Datenschutzes. 

Mel­dun­gen von Daten­pan­nen 

Seit dem Wirk­sam­wer­den der DSGVO wird ein erheb­li­cher Anstieg der Mel­dun­gen von Daten­pan­nen ver­zeich­net. Eine Mel­dung ist nach den Kri­te­ri­en des Art. 33 DSGVO gesetz­li­che Pflicht. Mehr als 40.000 Daten­pan­nen wur­den seit DSGVO-Ein­füh­rung euro­pa­weit (Bericht der EU-Kom­mis­si­on) und weit über 10.000 in Deutsch­land allein für 2019 gemel­det. Dabei sind die Gewich­tun­gen in den Bun­des­län­dern sehr unter­schied­lich. Wäh­rend das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) „einen gro­ßen Anteil“ sei­ner täg­li­chen Arbeit in der Bear­bei­tung von Daten­schutz­ver­let­zun­gen mit 4.111 gemel­de­ten Daten­pan­nen in 2019 sieht, wird den 349 in 2019 dem Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz in Schles­wig-Hol­stein gemel­de­ten Daten­pan­nen ver­ständ­li­cher­wei­se reser­viert begegnet. 

Dun­kel­zif­fer von Daten­pan­nen 

Eine höhe­re Trans­pa­renz durch mehr Mel­dun­gen und, ins­be­son­de­re im EU-Ver­gleich, hohes Pflicht­be­wusst­sein sind sehr gute Ten­den­zen. Aller­dings müss­ten es rea­lis­tisch betrach­tet noch wesent­lich mehr Mel­dun­gen sein. In Deutsch­land sind mehr als 3 Mil­lio­nen Unter­neh­men ange­mel­det, hin­zu kom­men die staat­li­chen Ein­rich­tun­gen und ande­re Stel­len, die aus der DSGVO her­aus zur Mel­dung von Daten­pan­nen nach Art. 33 DSGVO ver­pflich­tet sind. 

Auf­sichts­be­hör­den 

Mel­dun­gen von Daten­pan­nen müs­sen durch­aus nicht mit Nach­fra­gen, Vor­ort­kon­trol­len oder Buß­gel­dern ver­bun­den sein. Viel­mehr kommt es den Auf­sichts­be­hör­den auch kon­kret inhalt­lich auf Erkennt­nis­se an, in wel­chen Berei­chen nach­ge­steu­ert wer­den muss. Im Ver­gleich zu auf­ge­flo­ge­nen Daten­schutz­ver­stö­ßen wird das akti­ve Mel­den honoriert. 

Nicht nur Unter­neh­men, son­dern auch öffent­li­che Ein­rich­tun­gen wur­den von den Daten­schutz­auf­sich­ten einer nähe­ren Prü­fung unter­zo­gen, wobei zu bei­den Berei­chen posi­ti­ve wie nega­ti­ve Ergeb­nis­se fest­ge­hal­ten wurden. 

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den 

Es liegt nahe, dass sich Orga­ni­sa­tio­nen eher unglaub­wür­dig machen, wenn kei­ner­lei Daten­pan­nen gemel­det bzw. doku­men­tiert sind. Es emp­fiehlt sich, Daten­pan­nen und ver­gleich­ba­re Auf­fäl­lig­kei­ten gene­rell — z.B. in Check­lis­ten­form — zu doku­men­tie­ren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Mel­de­pflicht, wenn „die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt.“ Reich­lich unprä­zi­se wird hier ein ein­zel­fall­be­zo­ge­ner Ermes­sens­spiel­raum eröff­net. Das heißt für harm­lo­se (=nicht mel­de­pflich­ti­ge) Fäl­le: Das Ereig­nis wird intern doku­men­tiert und man stimmt sich mit sei­nem Daten­schutz­be­auf­trag­ten über eine fall­ge­rech­te Abgren­zung ab und das war´s. 

Für mel­de­pflich­ti­ge Fäl­le ste­hen übli­cher­wei­se Online-For­mu­la­re auf den Web­sei­ten der Auf­sichts­be­hör­den zur Verfügung. 

Smart Home

Smart Home klingt erst mal nur nach Ver­net­zung im Pri­vat­haus­halt. In Wirk­lich­keit aber bringt Smart Home auch Risi­ken für geschäft­li­che Daten mit sich. Gera­de jetzt in Zei­ten ver­mehr­ter Nut­zung von Home-Office.

Smart Home: Bald auch bei Ihnen daheim?

Der deut­sche Smart-Home-Markt boomt und wird sich bis 2022 auf 4,3 Mil­li­ar­den Euro ver­drei­fa­chen, so die Stu­die „Der deut­sche Smart-Home-Markt 20172022. Zah­len und Fak­ten“ des Ver­bands der Inter­net­wirt­schaft (eco) anläss­lich der Inter­na­tio­na­len Funk­aus­stel­lung (IFA) 2017 in Berlin.

Vie­le Neu­hei­ten auf der IFA dreh­ten sich um das ver­netz­te Zuhau­se. Für das hohe Inter­es­se an Smart Home und die Viel­falt an neu­en Ange­bo­ten gibt es gute Grün­de: Die Ver­net­zung von Wasch­ma­schi­ne, Fern­se­her oder Hei­zung soll für mehr Kom­fort im All­tag sor­gen und zudem zu Ener­gie­ein­spa­run­gen füh­ren, wie das BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) ausführt.

Bequem, aber nicht ohne Risi­ko für ein Home-Office

Doch das BSI macht noch auf etwas Ande­res auf­merk­sam: Smart-Home-Gerä­te wer­den per Soft­ware gesteu­ert und wer­den im Zwei­fel über das Inter­net mit der Außen­welt, dem Her­stel­ler und auch unter­ein­an­der ver­netzt. Gera­de das bringt neue Risi­ken mit sich, die Sie als Nut­zer, aber auch als Orga­ni­sa­ti­on mit Nut­zern im Home-Office im Blick haben sollten. 

Auch die Auf­sichts­be­hör­den für den Daten­schutz und die Ver­brau­cher­schüt­zer machen auf die Risi­ken auf­merk­sam. Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit in Rhein­land-Pfalz, Prof. Dr. Kugel­mann, zum Bei­spiel sagte:

„Es wird zuneh­mend deut­lich, dass in einer digi­ta­li­sier­ten Umwelt ver­meint­lich belang­lo­se tech­ni­sche Daten wie zum Bei­spiel die Ver­brauchs­wer­te der Hei­zung geeig­net sind, Drit­ten tie­fe Ein­bli­cke in den Lebens­all­tag Ein­zel­ner zu verschaffen.“

Smart Home: Kei­ne rei­ne Privatsache

Nun schei­nen die­se Daten­ri­si­ken nur den Pri­vat­haus­halt zu betref­fen, also kein Pro­blem für den betrieb­li­chen Daten­schutz zu sein. Dem ist aber nicht so: Durch die Nut­zung pri­va­ter Gerä­te zu betrieb­li­chen Zwe­cken (BYOD = Bring Your Own Device), die pri­va­te Nut­zung betrieb­li­cher Gerä­te und durch Tele­ar­beit kommt es dazu, dass Fir­men­ge­rä­te oder betrieb­lich genutz­te Gerä­te in das Smart Home ein­ge­bun­den wer­den. Damit wer­den die Smart-Home-Risi­ken plötz­lich zu Organisations-Risiken.

Wer ein Smart Home hat und dar­in ein Home-Office betreibt, ver­zich­tet meist dar­auf, für das Home Office ein eige­nes, getrenn­tes Netz­werk zu betrei­ben. Statt­des­sen arbei­ten die ver­netz­te Hei­zung des Hau­ses und der Dru­cker im Home Office im glei­chen Netz­werk. Die App zur Steue­rung des Smart Home läuft auf dem glei­chen Smart­pho­ne wie die betrieb­li­chen Apps. Es ist des­halb ent­schei­dend, dass die Daten­si­cher­heit im Smart Home stimmt – für den pri­va­ten Nut­zer und für die betrof­fe­ne Organisation.

Smart Home braucht mehr Daten­schutz, auch aus Organisationssicht

Wie eine Stu­die des Digi­tal­ver­bands Bit­kom ergab, wün­schen sich die Smart-Home-Nut­zer und ‑Inter­es­sen­ten mehr Sicher­heit: So sagen 92 Pro­zent der­je­ni­gen, die bereits Smart-Home-Anwen­dun­gen besit­zen, dass ihnen unab­hän­gi­ge Zer­ti­fi­ka­te und Sie­gel zur Sicher­heit vor Hacker-Angrif­fen sehr oder eher wich­tig sind. Einen vom Her­stel­ler garan­tier­ten Schutz vor Hacker-Angrif­fen fin­den 89 Pro­zent wichtig. 

Auch Daten­schutz spielt eine gro­ße Rol­le beim Kauf. So sagen 84 Pro­zent, dass ihnen ein hoher Daten­schutz­stan­dard wich­tig ist, ein unab­hän­gi­ges Sie­gel dafür wäre für 79 Pro­zent ein wich­ti­ges Kauf­ar­gu­ment. Zwei Drit­tel (68 Pro­zent) ach­ten beim Kauf außer­dem dar­auf, dass die Smart-Home-Daten nur in Deutsch­land gespei­chert werden.

Die­se For­de­run­gen an Smart Home wer­den auch den Orga­ni­sa­tio­nen im Daten­schutz hel­fen. Ach­ten Sie des­halb auf siche­re Smart-Home-Lösun­gen, für sich selbst und für den Daten­schutz Ihrer Organisation!

Rege­lun­gen für das Home-Office um Smart Home ergänzen

Aus die­sem Grund soll­ten Sie im Rah­men der Rege­lun­gen und Anwei­sun­gen für Home-Office bit­te auch das The­ma Smart Home berück­sich­ti­gen. Vie­le Rou­ter bie­ten heu­te schon an, zwei getrenn­te Net­ze (sowohl kabel­ge­bun­den, als auch per WLAN) zu betrei­ben. Die Funk­ti­on ist meist mit “Gast­netz” beschrie­ben. Die­se Net­ze lau­fen par­al­lel neben­ein­an­der und der Zugriff von einem Netz in das ande­re ist tech­nisch unter­bun­den. So wäre es daher eine gute Lösung vor­zu­schrei­ben, dass für das Home-Office genutz­te Gerä­te in einem ande­ren Netz lau­fen als die Smart Home Geräte.

Öffentliche Register - wie im vorliegenden Fall das der Lobbys

Die Deut­sche Gesell­schaft für Poli­tik­be­ra­tung (dege­pol) hat eine Ver­war­nung wegen Daten­schutz­ver­sto­ßes von der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit erhal­ten. In die­sem Zuge erfolg­te die Klar­stel­lung, dass die Gewin­nung von Daten aus öffent­li­chen Regis­tern nicht zu jedem Zweck — wie etwa dem Ver­sand per­so­na­li­sier­ter Wer­bung — zuläs­sig ist. Dies hat Aus­wir­kun­gen sowohl auf die werb­li­che Kon­takt­auf­nah­me als sol­che als auch auf Umfra­gen, die mit Hil­fe sol­cher Infor­ma­tio­nen durch­ge­führt wer­den, im vor­lie­gen­den Fall gegen­über Lobbys.

Beschwer­de durch Betrof­fe­nen aus Lobbys 

Im vor­lie­gen­den Fall waren Ver­bän­de /​ deren Ver­tre­ter aus dem öffent­li­chen Regis­ter über Lob­bys des Bun­des­tags mit­tels Tabel­len­ex­port in Excel ange­schrie­ben und zu Umfra­gen ein­ge­la­den wor­den. Die zugrun­de lie­gen­de Beschwer­de wur­de durch einen Betrof­fe­nen Lob­by-Ange­hö­ri­gen eingegeben. 

Quel­len­an­ga­ben 

Die Daten aus dem Lob­by-Regis­ter sei­en von der dege­pol an den Dienst­leis­ter online​um​fra​gen​.com wei­ter­ge­ge­ben wor­den für den Ver­sand von Anschrei­ben mit per­so­na­li­sier­ter Anre­de und ohne Hin­weis auf Daten­quel­len. Unter ande­rem hier­in wur­de ein Daten­schutz­ver­stoß gese­hen. Eine Quel­len­an­ga­be habe mit dem ers­ten Anschrei­ben erfol­gen müs­sen und wur­de auch in der ver­link­ten Daten­schutz­er­klä­rung ver­misst — so die Datenschutzaufsicht. 

Namen von Lobbyisten

Die Ber­li­ner DSB zog ein berech­tig­tes Inter­es­se der Deut­schen Gesell­schaft für Poli­tik­be­ra­tung in Zwei­fel, nach dem die­se die Daten zur Anfer­ti­gung einer “aus­sa­ge­kräf­ti­gen Stu­die” zu Hono­rar­zah­lun­gen in der Lob­by­welt Deutsch­lands für erfor­der­lich hielt. Fer­ner wur­de moniert, dass in die­sem Zusam­men­hang Namen Ange­hö­ri­ger von Lob­bys ohne Not­wen­dig­keit ver­ar­bei­tet wor­den seien.

“Wei­te­re auf­sichts­recht­li­che Mit­tel”, auch für einen Wie­der­ho­lung­fall, schloss die Daten­schutz­be­hör­de nicht aus. Gene­rell gespro­chen kann es sich bei sol­chen etwa um Vor-Ort-Prü­fun­gen, die Anord­nung von Maß­nah­men oder die Ver­hän­gung von Buß­gel­dern han­deln, um eini­ge Befug­nis­se der unab­hän­gi­gen Daten­schutz­be­hör­den zu nennen.

Regis­ter des Bun­des­tags 

Der Bun­des­tag hat bis­her kein ver­bind­li­ches Ver­zeich­nis hier­zu her­aus­ge­ge­ben. Das Regis­ter des Bun­des­ta­ges über Lob­bys umfasst momen­tan über 2300 Ein­rich­tun­gen, “die eine Auf­nah­me von sich aus bean­tragt“ hät­ten, um ihre Tätig­kei­ten damit trans­pa­rent machen zu wollen. 

Sicher auch aus Daten­schutz­sicht eine begrü­ßens­wer­te Intention. 

Social Distancing

In Zei­ten von Not­la­gen muss man auch manch­mal zu krea­ti­ven Maß­nah­men grei­fen. Doch ein kurz­fris­tig geplan­ter Geset­zes­ent­wurf ruft teils kri­ti­sche Reak­tio­nen her­vor, wie die der­zeit geplan­te Han­dy­or­tung zur Corona-Bekämpfung.

… zurecht oder nicht? Las­sen Sie es uns wis­sen — in der Kommentarbox.

Han­dy­or­tung über Provider

Genauigkeit der Handyortung über Funkmasten bestenfalls 100 Meter im Radius
Han­dy­or­tung über Funk­mas­ten

Laut Geset­zes­ent­wurf des Bun­des­ge­sund­heits­mi­nis­te­ri­ums soll den Gesund­heits­be­hör­den das Recht ein­ge­räumt wer­den, Kon­takt­per­so­nen von Infi­zier­ten mit­tels Han­dy­or­tung nach­voll­zie­hen und zeit­spa­rend kon­tak­tie­ren zu kön­nen. Infor­ma­ti­ons­quel­le sol­len hier­für die diver­sen Mobil­funk­an­bie­ter sein. Stand­ort­da­ten der Kon­takt­per­so­nen sol­len Auf­schluss über den Auf­ent­halts­ort geben.

Bun­des­da­ten­schutz­be­auf­trag­ter äußert Skepsis

Vor weni­gen Stun­den äußer­te der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber in einem  Twit­ter Bei­trag Beden­ken zur Wirk­sam­keit der geplan­ten Maß­nah­me. „Alle Maß­nah­men der Daten­ver­ar­bei­tung“ hät­ten laut Kel­ber die öffent­lich-recht­li­chen Schlüs­sel­kri­te­ri­en der Erfor­der­lich­keit, Geeig­net­heit und Ver­hält­nis­mä­ßig­keit zu erfül­len. „Bis­her“ feh­le „jeder Nach­weis, dass die indi­vi­du­el­len Stand­ort­da­ten der Mobil­funk­an­bie­ter einen Bei­trag leis­ten könn­ten, Kon­takt­per­so­nen zu ermit­teln, dafür sind die­se viel zu unge­nau.“ Anders stel­le sich dies bei ent­spre­chen­der Ana­ly­se von Bewe­gungs­strö­men in anony­mi­sier­ter Form dar. Auf der Basis von Funk­ze­l­len Han­dy­or­tung ist ledig­lich ein Radi­us von allen­falls 100 Metern erfass­bar. In länd­li­chen Regio­nen kön­nen es durch­aus meh­re­re Kilo­me­ter sein. Also alles viel zu unge­nau, um poten­ti­el­le Kon­tak­te mög­li­cher Infi­zier­ter aus­rei­chend kon­kret aus der Daten­men­ge her­aus­fil­tern zu kön­nen. Im Rah­men der Res­sort­be­tei­li­gung war die obers­te Bun­des­be­hör­de für Daten­schutz und die Infor­ma­ti­ons­frei­heit BfDI beim Ent­wurf des Infek­ti­ons­schutz­ge­set­zes involviert.

Alter­na­ti­ve der frei­wil­li­gen Nutzung

Gemeinsam gegen das Coronavirus per freiwilliger App möglich
Frei­wil­li­ge Han­dy­or­tung mit­tels App

In Ita­li­en ist sie bereits im Ein­satz — die App-Lösung zur Ortung poten­zi­ell Infi­zier­ter Kon­takt­per­so­nen. Für Deutsch­land befin­det sich das hier bekann­tes­te Pro­jekt der­zeit noch in der crowd­fun­ding Pha­se. Die Akti­vie­rung der Gerä­te von frei­wil­li­gen Test­per­so­nen in der Beta-Pha­se soll Ende die­sen /​ Anfang kom­men­den Monats erfolgen.

Auf anony­mi­sier­ter und frei­wil­li­ger Basis soll es den Han­dy­nut­zern mög­lich sein, prä­zi­ser geor­tet und kon­tak­tiert zu wer­den als dies durch die rei­ne Aus­wer­tung von Ver­kehrs­da­ten zur Ermitt­lung vom Stand­ort mög­lich erscheint.

In Süd­ko­rea sind sol­che Model­le bereits im Kampf der Ein­däm­mung ein­ge­setzt wor­den. Dort sta­bi­li­siert sich die einst mas­siv eska­lie­ren­de Lage. In einem Bei­trag der BBC unter­streicht die Außen­mi­nis­te­rin im Kampf gegen das Virus und mit panik­be­ding­ten Pro­ble­men die Not­wen­dig­keit schnel­ler behörd­li­cher Ent­schei­dun­gen und zugleich, die­sen wis­sen­schaft­li­che Erkennt­nis­se und Beweis­ba­res zu Grun­de zu legen.

Aller­dings ist der Erfolg von frei­wil­li­gen Prä­ven­ti­ons­maß­nah­men auch stets von der indi­vi­du­el­len Ein­sichts­be­reit­schaft abhän­gig, die im Rah­men der Coro­na­pan­de­mie man­cher­orts täg­lich Anlass zur Besorg­nis zu geben scheint. Dies wur­de gera­de durch die Not­wen­dig­keit zur Ver­schär­fung bzw. Ein­füh­rung einer bun­des­wei­ten Aus­geh­be­schrän­kung (wohl­ge­merkt nicht Aus­gangs­sper­re) am 22.03.2020 erneut deutlich.

Stand Sonn­tag­abend 22.03.2020

Infol­ge deut­li­cher Kri­tik wur­de davon abge­rückt, den Gesetz­ent­wurf bereits am 23.03.2020 ins Bun­des­ka­bi­nett zu geben. So lau­ten über­ein­stim­men­de Agen­tur­mel­dun­gen. Man wol­le vor­erst auf Han­dy­or­tung ver­zich­ten und einen betref­fen­den Gesetz­ent­wurf nun bis Ostern über­ar­bei­ten. Nähe­res dazu in einem Tages­schau Bei­trag vom Sonntagabend.

Fazit und Hin­wei­se zur geplan­ten Handyortung

Die Risi­ken ein­grei­fen­der Nor­men wie etwa der geplan­ten Han­dy­or­tung ent­ste­hen nicht per se aus dem Rechts­ein­griffs als sol­chem, son­dern aus dem Miss­brauchs­po­ten­zi­al in der täg­li­chen Anwen­dung. Im Eifer des Gefechts kann erfah­rungs­ge­mäß nicht gänz­lich aus­ge­schlos­sen wer­den, dass Feh­ler pas­sie­ren, die Neu­gier bei dem einen oder ande­ren sich durch­setzt oder u.U. sogar ver­ein­zelt gezielt mani­pu­liert wird.

Umso wich­ti­ger sind tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) auch bei Erlass sol­cher Geset­ze, wie

  • das Per­so­nal bei der Aus­wer­tung von und dem Umfang mit den aus­zu­wer­ten­den Stand­ort Daten lücken­los und fach­lich fun­diert zu schulen,
  • auf die­se Wei­se sicher­zu­stel­len, dass die Daten aus­schließ­lich in dem Kon­text der bezweck­ten Ver­ar­bei­tung ver­blei­ben und nicht auf Zuruf offen­ge­legt wer­den, wie dies immer wie­der — etwa in Tele­fo­na­ten anfra­gen­der, ver­meint­lich auto­ri­sier­ter Stel­len — vorkommt,
  • detail­lier­te und tech­nisch ver­bind­lich umge­setz­te Berech­ti­gungs­kon­zep­te zu etablieren,
  • auf die­se Wei­se den Per­so­nen­kreis, die Zugriff auf die Daten haben, in einem kon­kre­ten und stets über­schau­ba­ren Rah­men zu hal­ten und dies auch zu pro­to­kol­lie­ren /​ zu prüfen,
  • den Anwen­der trans­pa­rent zu infor­mie­ren, ohne die ord­nungs­ge­mä­ße Ver­fol­gung der Ein­satz­zwe­cke zu untergraben.