Informationssicherheit und Datenschutz -Pannen 2019 2020

Nachfolgend die Fortsetzung des Beitrags vom 18.04.2020 zu Cyber-Angriffen und Pannen in der Informationssicherheit / im Datenschutz der letzten 12 Monate. 

Oberlandesgericht Berlin wird gehackt – Informationssicherheit fraglich 

Wer im Begriff war, ein Anliegen vor dem Oberlandesgericht von Berlin (=Kammergericht Berlin) verhandeln zu lassen, hat hoffentlich rechtzeitig davon Abstand nehmen können. Denn damit konnte er verhindern, dass sensibelste personenbezogene und juristische Informationen bei dieser historischen Datenpanne kompromittiert wurden. Hiermit wird nicht gesagt, dass es in anderen Bereichen der Berliner Verwaltung  besser um die Informationssicherheit bestellt ist. Generell ist in mangelhaft gesicherten Bereichen meistens nur die Stärke des Vermarktungs- / Sabotageinteresses potenzieller Hacker das maßgebliche Kriterium der tatsächlichen Informationssicherheit. 

Im September 2019 wurde festgestellt, dass von Systemen des Kammergerichts mit Servern verbunden war, die für die Fernsteuerung schädlicher Software typisch sind. 7 Tage später erfolgte eine Vorortprüfung durch den IT-Dienstleister T-Systems, der Emotet-Infektionen in diversen Systembereichen feststellte und weitere 14 Tage später wurde der mutmaßliche Erstinfektions-PC untersucht. Ursprung des Angriffs, wie viele Daten abgeflossen sind und seit wann, konnte nicht festgestellt werden. Lücken in der Ermittlung wurden mit Zeit- und finanziellen Aspekten begründet. Die Schadsoftware könnte über einen USB-Stick auf die Systeme gelangt sein. Die Sicherheitsroutinen des Kammergerichts erkannten die Emotet-Infiltrierung nicht. Eine Segmentierung des Netzwerks hatte man nicht vorgenommen, sodass sich die Schadsoftware ungehindert ausbreiten und über eine Fernsteuerung Daten exportieren konnte. Ferner hatte man die Dateigröße des Eventlogs dergestalt limitiert, dass die relevanten Phasen der Ereignisdokumentation bereits überschrieben waren, als mit den Untersuchungen begonnen wurde. Wiederholt wurde auf die besondere Raffinesse des Hackings hingewiesen und „Sicherheitskreise“ vermuten hinter dem Angriff organisierte Kriminalität unter Federführung des Nachrichtendienstes der russischen Regierung. Wenn James Bond das wüsste … 

Der Bericht über den Vorfall und die Untersuchungen vom September 2019 wurde auf den 23.12.2019 datiert und Ende Januar 2020 der Berliner Datenschutzbeauftragten zeitgleich mit der Veröffentlichung vorgelegt. Diese war hierüber „not amused“ und forderte, dass „ausschließlich mit dienstlichen Geräten über eine zentral zur Verfügung gestellte und ausreichend abgesicherte Infrastruktur“ Datenverarbeitungen zu erfolgen haben. 

Es ist abzuwarten, ob Konsequenzen aus dem Vorfall gezogen und die Standards der Informationssicherheit in den Verwaltungseinrichtungen der Hauptstadt einer professionellen Prüfung unterzogen werden oder ob weiterhin Sicherheitsvorfälle festgestellt / öffentlich gemacht werden. 

Bereits 2017/2018 waren Systeme des Bundestags gehackt worden, wodurch die persönlichen Twitterdaten hunderter Politiker, Schauspieler und Fernsehmoderatoren erbeutet wurden. 

2019-11 – Sicherheitslücke bei chinesischem Smartphone-Hersteller 

Bereits zum zweiten Mal innerhalb von 2 Jahren kam es zu einer Datenpanne bei dem chinesischen Smartphone-Hersteller OnePlus. Über einen nicht bekannten Zeitraum hinweg war der Zugriff auf Kundendaten für Unbefugte möglich. Betroffen seien Stamm- und Kontaktdaten der Käufer gewesen. Eine Benachrichtigung der betroffenen Personen sei erfolgt. 

2019-12 – Datenpanne bei der Lufthansa

Für Kunden der Miles & More GmbH, Tochter der Lufthansa, war es auf Grund eines mutmaßlichen technischen Problems für 40 Minuten möglich, auf personenbezogenen Daten anderer eingeloggter Nutzer der Online-Plattform zuzugreifen. Laut Lufthansa seien höchstens die Daten von 9.885 Miles & More-Kunden betroffen. Betroffene Daten waren: Stamm-, Kontakt- Kunden- und Transaktionsdaten. 

2020-02 – Vorfall in der Informationssicherheit bei Samsung 

Über den Dienst „Find My Mobile“, womit Smartphones über eine Plattform des Herstellers geortet werden, versandte Samsung an „einen kleinen Kreis“ von Nutzern eine unverständliche Nachricht. Als sich die Betroffenen in ihrem Online-Konto bei Samsung einloggten, um Ihre Login-Daten zu ändern, erhielten sie auf Grund eines Serverproblems Zugriff auf Daten anderer Nutzer. Dies umfasste Stamm- und Kontaktdaten sowie die letzten 4 Ziffern der Kreditkarten waren sichtbar. Bei Feststellung des Problems wurde der Login vorübergehend gesperrt. 

Fragen wirft allerdings der Umstand auf, dass die Nachricht auch von Nutzern empfangen wurde, die das Ortungs-Feature deaktiviert hatten. 

Diesen Monat wurde ferner bekannt, dass eine Kontaktverfolgungs-Funktionalität bereits Mitte Mai als verbindliches Update von iPhones, iPads ab iOS 13 und Android-Geräten ab Version 6 installiert wird. Im Fall von Apple voraussichtlich als gängiges Firmware-Update, bei Android voraussichtlich als Update der Google Play Services. 

Mit Installation dieser Funktion und Erlaubnis von Apple / Google wird es Behörden künftig möglich sein, Daten aus den Kontaktprofilen der Tablet- und Handynutzer auszuwerten. 

2020-03 – Massive Panne in der Informationssicherheit bei der Investitionsbank Berlin 

Durch Mitteilung der Berliner Datenschutzbeauftragten wurde Ende März 2020 eine gravierende Datenpanne der IBB bekannt. Bei der Verarbeitung der 150.000 eingegangenen Anträge auf Corona-Unterstützung trat ein Programmierfehler auf, durch den Antragstellern personenbezogene / Ergebnisdaten anderer Antragsteller angezeigt wurden. Betroffen waren Ausweis-, Bank-, Steuer- und Unternehmensdaten. 

Bei Feststellung der Datenpanne wurde das Antragsverfahren bis zur Beseitigung des Programmierfehlers pausiert. 

Datenschutz 2020 - Teil 2 des Berichts des ULD Schleswig-Holstein

Anwendung der DSGVO

Datenschutz / IT-Sicherheit – Allgemeines 

Bei der Anwendung der DSGVO warnt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor „Schnellschüssen“. Vielmehr sei hierbei sorgfältig zu evaluieren. Bei der gerne diskutierten Findung der richtigen Rechtsgrundlage für eine Verarbeitung personenbezogener Daten läge das Augenmerk insbesondere auf Art. 6 Abs. 1 b und f DSGVO – (vor)vertragliche Maßgaben und berechtigte Interessen – sowie weiterführen die Einwilligung nach Buchstaben a der zitierten Vorschrift. 

Datenschutzbeauftragten einer Einrichtung kämen insbesondere Beratungs-, Unterrichtungs-, Überwachungs- und Prüfaufgaben zu. Die den Verantwortlichen per Gesetz obliegenden Datenschutz-Pflichten dürften jenen nicht übergeholfen werden. 

Politische Ansichten sind nach EU-Datenschutzrecht besonders sensible Informationen, die „immer einer spezifischen Rechtsgrundlage“ bedürften. Ebenso geschützt seien private Adressdaten. 

Ein zwingend zu beachtendes Postulat angesichts der fortschreitenden Digitalisierung einerseits und der teils recht einseitig ergriffenen Schutzmaßnahmen von Privatdaten. 

Bei jedweder Herstellung von Tonaufzeichnungen müssen Rechtsgrundlage(n) und angemessene Transparenz für die Betroffenen implizit sein. 

Im Rahmen der Verarbeitung zur werblichen Ansprache sind die Maßgaben von Treu und Glauben einschlägig und der Adressat muss den werblichen Charakter leicht erkennen können. 

Datenschutz in Online-Präsenzen 

Die Landesdatenschutzbehörde Schleswig-Holstein hat an sämtliche Webseitenbetreiber in Form einer Pressemitteilung appelliert, genutzte Analysedienste wie Google Analytics u.ä. sowie deren im Datenschutz rechtskonformen Einsatz zu prüfen. 

Zu Facebook Fanpage Betreibern und Facebook selbst wurde klargestellt, dass beide Gruppen die Anforderungen der Gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht erfüllen. Die Pflicht zum Abschluss einer entsprechenden Verarbeitungsvereinbarung betreffe sowohl Facebook als auch die hiesigen Fanpage Betreiber. 

Künstliche Intelligenz = Artificial Intelligence 

Bei Entwicklung, Implementierung und Anwendung von KI solle auf eine angemessene Implementierung von grundrechts- und werte-relevanten Momenten geachtet werden. Entsprechende Anreize könnten beispielsweise durch Fördergeber gesetzt werden. 

TOM – technische und organisatorische Maßnahmen 

  • vertrauliche Information sei im Faxversand nur bedingt geschützt. Bei Transport und Empfang werden „erhebliche Risiken für die Vertraulichkeit der Inhalte“ gesehen. In jedem Fall muss der konkrete und richtige Empfänger sichergestellt werden 
  • Verantwortliche seien darauf verwiesen, „penibel“ zu beachten, dass personenbezogene Daten von Beschäftigten ausschließlich auf Basis von und in den Grenzen der Erfüllung ihrer Aufgaben erfolgt. Ein passendes und detailliertes Berechtigungskonzept sind der Grundstein für richtigen Beschäftigtendatenschutz – u.a. Bestandteil des Datenscchutz Quick-Checks 
  • auch der Transport von Daten im Wagen sollte durch ein gewisses Maß an technischen und organisatorischen Maßnahmen (TOM) gesichert sein 
  • Kreditinstitute rief das ULD auf, bei der Weitergabe personenbezogener Bankdaten Transport- sowie Inhaltsverschlüsselung zu implementieren 

Datenschutz bei Gesundheitsinformationen 

Das ULD konstatierte, dass 

  • Krankenhäuser und Kliniken 
  • Arzt-, Zahnarztpraxen 
  • Pflegeeinrichtungen, -dienste 
  • Apotheken und vergleichbare Einrichtungen 

durch ihren Umgang mit besondere Kategorien personenbezogener Daten diese generell zu verschlüsseln haben – insbesondere bei mobilen Devices und Speichermedien. 

Externen Dienstleistern zur Vernichtung von Patientenunterlagen sind mittels einer AVV „detaillierte Vorgaben zur beabsichtigten Datenverarbeitung“ aufzuerlegen und eine schriftliche Verpflichtung auf das Datengeheimnis mit Durchgriff auf den Auftragsverarbeiter der ärztlichen Schweigepflicht nach § 203 StGB durchzuführen. 

Videoüberwachung und Datenschutz 

Videoüberwachung sollte nur in den Grenzen der rechtlichen Zulässigkeit und auf der Grundlage einer angemessenen Sachkenntnis erfolgen. Die Datenschutzbeauftragten und Landesdatenschutzbehörden können hierzu beraten. 

Die Videoüberwachung muss in Umkleidebereichen grundsätzlich ausbleiben. Auch für Bereiche, in denen das Verhalten von Personen über längere Zeit aufgezeichnet wird, wie in Trainingsbereichen, schloss das ULD eine Zulässigkeit aus. 

Allerdings dürfte es aller Voraussicht nach auch für diese Fallgestaltungen Schranken geben, die eine Videoüberwachung im Rahmen einer strengen Rechtsgüterabwägung erlauben. 

AV – Datenschutz bei der Verarbeitung personenbezogener Daten im Auftrag 

Die Weitergabe personenbezogener Daten an Auftragsverarbeiter ist dem Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten mitzuteilen – siehe auch das Thema Informationspflichten. 

Die Einhaltung der Meldepflichten obliegt regelmäßig dem Verantwortlichen. Dieser kann den Auftragsverarbeiter allerdings zu den entsprechenden Meldungen zulässigerweise autorisieren, sofern die Autorisierung aus der Meldung für Aufsichtsbehörde „klar und beweisbar“ nachvollziehbar ist. 

Es empfiehlt sich, Dienstleister und deren TOM regelmäßig zu kontrollieren oder nachprüfen zu lassen. 

Website des ULD 

Diese und viele weitere sehr aufschlussreich gestaltete Themen zum Datenschutz, der IT-Sicherheit und Politik hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit dem vorliegenden Bericht veröffentlicht. 

Für die weiterführende Lektüre des Originals bitte hier klicken. 

Datenschutz 2020 - Bericht des ULD Schleswig-Holstein

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat seinen Tätigkeitsbericht 2020 für den Berichtszeitraum 2019 veröffentlicht. 

Insgesamt wurden 758 Beratungen durchgeführt und 959 Verfahren in der Zuständigkeit des ULD angelegt, davon 680 auf Grund von Beschwerden gegen Unternehmen und 279 gegen Behörden. 

Des Weiteren wurden 37 Warnungen, 26 Verwarnungen und 2 Anordnungen gegenüber Einrichtungen ausgesprochen. Auf Geldbußen wurde in dem Zeitraum 2019 verzichtet. In 26 Fällen führte man Prüfungen ohne zu Grunde liegende, anlassbezogene Beschwerden durch, 13 davon bei nichtöffentlichen Einrichtungen. 

Verletzungen von Datenschutz und Meldepflicht 

Die insgesamt 349 in Sachen Datenpannen eröffneten Verfahren stellen naturgemäß nur einen Anteil der täglich gemeldeten oder anderweitig dem ULD zur Kenntnis gelangten Datenschutz-Verletzungen dar. Ebenso naturgemäß, dass das ULD von der Dunkelziffer an Datenpannen, die nicht gemeldet, sondern im Nachhinein festgestellt werden, nicht angetan ist. 

hier würde ich als tipp ergänzen .. Daher auch in diesem Kontext der Tipp, nicht nur für unsere Kunden in Schleswig-Holstein J, den Sie von uns auch sicherlich aus Präsentationen und Vorortterminen kennen: Datenpannen immer dokumentieren und – zumindest intern an Ihren DSB – melden. Entwarnen lässt sich immer noch.  

Datenpannen – Informationssicherheit / Datenschutz 

Ebenfalls kritische Worte findet das ULD in Bezug auf das Umsetzungsniveau der Informationssicherheit. Es gebe hier noch viel Nachholbedarf, zumal Verletzungen der Informationssicherheit wie u.a. auch Cyberangriffe mangels personenbezogener Daten häufig nicht einmal in einer Meldung resultieren. 

Für eine „verantwortungsvolle Digitalisierung“ hält der vorliegende Bericht dazu an, dass sämtliche Einrichtungen das Schutzniveau in Sachen Informationssicherheit einschließlich Datenschutz auf den Prüfstand bringen mögen. Sensibilisierung der Mitarbeiter sei nicht zu vernachlässigen. 

Das ULD sah `über den Tellerrand´ 

Inspiration für Sensibilisierungen konnte man im Austausch mit einem unserer Nachbarländer erhalten: 

  • Aktionstage „Löschen/Schreddern“ 
  • „Gamification“ Ansätze von Datenschutz mit Preis (Obst/Schokoriegel) 
  • Datenschutzquiz und Datenpannensimulation 
  • anonymisiert realisierte Phishing-Tests 
  • Selbstdatenschutz mit Mehrwert für die Beschäftigten 
  • im Team produzierte Kurzvideos für Schulungszwecke  

gehörten dazu. Eine weitere Klarstellung, dass Datenschutz per se lebendig ist und unrichtigerweise manchmal als trocken und lästiges Beiwerk angesehen wird. 

Auch in Unternehmen und kommunalen Einrichtungen lassen sich solche Aktionen und Workshops durchführen. Für Anfragen und Anregungen nehmen Sie gerne Kontakt zu uns auf. 

Für eine Vereinheitlichung von Datenschutzstandards und Verständnisfragen sieht das ULD eine regelmäßige Kommunikation über Erfahrungen als sehr wichtig an. Im genannten Nachbarland Österreich ist dies bereits verbindliche Vorschrift. 

Informationsfreiheit und Datenschutz auf (inter)nationaler Ebene 

Das ULD stellt klar, dass auch die innerstaatliche Abstimmung unter Datenschutzbehörden auf Bundes- und Landesebene in Sachen Datenschutz und Informationsfreiheit in angemessenem Maße aufrecht zu erhalten ist. Bei der Informationsfreiheit existiere lediglich ein Gremium für die Zuarbeit der IFK. Noch seien nicht alle Bundesländer vertreten mangels entsprechender Informationsfreiheits- oder Transparenzportalen. 

Datenethik und Datensicherheit 

Die Datenethikkommission der Bundesregierung hat ein Gutachten erstellt, das sich insbesondere mit Algorithmen, KI und Big Data befasst. Betont werden unter anderem Möglichkeiten der Regulierung von algorithmischen Systemen. Das ULD fordert – weniger banal als es zunächst klingen mag – die Bundesregierung als Auftraggeberin des Gutachtens der Datenethikkommission auf, die Inhalte auswerten und in die weitere Planung einfließen zu lassen. In diesem Zusammenhang moniert das ULD ein teils inkonsistentes Agieren von Bund und Ländern für / wider eine grundwerteorientierte, zukunftsfähige Digitalisierung wie etwa Inhalte in Gesetzgebungsentwürfen, die „eine Kriminalisierung von Anbietern bestimmter datenschutzfreundlicher Techniken“ nahelegten. (§ 126a StGB). 

Man möchte eine „Chance auf bessere Sicherheit“ nicht vertan wissen. 

Die per Innenministerkonferenz 2019-06 in Planung gegebenen „Zugriffserleichterungen“ auf Messenger und Smart Home Anwendungen hält das ULD in dieser Form für nicht grundrechtsvereinbar. 

Behörden 

Die Landesdatenschutzbehörde Schleswig-Holstein fordert Behörden und sonstige öffentliche Stellen des Bundeslandes auf, einen behördlichen Datenschutzbeauftragten zu benennen und „mit den erforderlichen Ressourcen“ auszustatten,  sofern bislang nicht erfolgt. 

Handlungsbedarf sah die Landesdatenschutzbehörde bei der Weiterentwicklung von IT-Verfahren der Landespolizei. Diese müssten in der Lage sein, Auskünfte an Betroffene „umfassend und zeitnah“ zu erteilen. Unter dem Titel „Null Datenpannenmeldungen im Polizeibereich?!“ postuliert die Landesbeauftragte für Datenschutz Schleswig-Holstein, „gesetzliche Pflichten müssen ernst genommen werden.“ Auch für den Justizbereich gelte, dass Meldepflicht von Datenpannen umfassend zur Kenntnis genommen und umgesetzt werden sollte.

Schleswig-Holstein und die Kommunen seien – mit Unterstützung des ULD – in der Verantwortung einer datenschutzkonformen Umsetzung des Onlinezugangsgesetzes. 

Fortsetzung folgt ..

Social Distancing

In Zeiten von Notlagen muss man auch manchmal zu kreativen Maßnahmen greifen. Doch ein kurzfristig geplanter Gesetzesentwurf ruft teils kritische Reaktionen hervor, wie die derzeit geplante Handyortung zur Corona-Bekämpfung.

… zurecht oder nicht? Lassen Sie es uns wissen – in der Kommentarbox.

Handyortung über Provider

Genauigkeit der Handyortung über Funkmasten bestenfalls 100 Meter im Radius
Handyortung über Funkmasten

Laut Gesetzesentwurf des Bundesgesundheitsministeriums soll den Gesundheitsbehörden das Recht eingeräumt werden, Kontaktpersonen von Infizierten mittels Handyortung nachvollziehen und zeitsparend kontaktieren zu können. Informationsquelle sollen hierfür die diversen Mobilfunkanbieter sein. Standortdaten der Kontaktpersonen sollen Aufschluss über den Aufenthaltsort geben.

Bundesdatenschutzbeauftragter äußert Skepsis

Vor wenigen Stunden äußerte der Bundesdatenschutzbeauftragte Ulrich Kelber in einem  Twitter Beitrag Bedenken zur Wirksamkeit der geplanten Maßnahme. „Alle Maßnahmen der Datenverarbeitung“ hätten laut Kelber die öffentlich-rechtlichen Schlüsselkriterien der Erforderlichkeit, Geeignetheit und Verhältnismäßigkeit zu erfüllen. „Bisher“ fehle „jeder Nachweis, dass die individuellen Standortdaten der Mobilfunkanbieter einen Beitrag leisten könnten, Kontaktpersonen zu ermitteln, dafür sind diese viel zu ungenau.“ Anders stelle sich dies bei entsprechender Analyse von Bewegungsströmen in anonymisierter Form dar. Auf der Basis von Funkzellen Handyortung ist lediglich ein Radius von allenfalls 100 Metern erfassbar. In ländlichen Regionen können es durchaus mehrere Kilometer sein. Also alles viel zu ungenau, um potentielle Kontakte möglicher Infizierter ausreichend konkret aus der Datenmenge herausfiltern zu können. Im Rahmen der Ressortbeteiligung war die oberste Bundesbehörde für Datenschutz und die Informationsfreiheit BfDI beim Entwurf des Infektionsschutzgesetzes involviert.

Alternative der freiwilligen Nutzung

Gemeinsam gegen das Coronavirus per freiwilliger App möglich
Freiwillige Handyortung mittels App

In Italien ist sie bereits im Einsatz – die App-Lösung zur Ortung potenziell Infizierter Kontaktpersonen. Für Deutschland befindet sich das hier bekannteste Projekt derzeit noch in der crowdfunding Phase. Die Aktivierung der Geräte von freiwilligen Testpersonen in der Beta-Phase soll Ende diesen / Anfang kommenden Monats erfolgen.

Auf anonymisierter und freiwilliger Basis soll es den Handynutzern möglich sein, präziser geortet und kontaktiert zu werden als dies durch die reine Auswertung von Verkehrsdaten zur Ermittlung vom Standort möglich erscheint.

In Südkorea sind solche Modelle bereits im Kampf der Eindämmung eingesetzt worden. Dort stabilisiert sich die einst massiv eskalierende Lage. In einem Beitrag der BBC unterstreicht die Außenministerin im Kampf gegen das Virus und mit panikbedingten Problemen die Notwendigkeit schneller behördlicher Entscheidungen und zugleich, diesen wissenschaftliche Erkenntnisse und Beweisbares zu Grunde zu legen.

Allerdings ist der Erfolg von freiwilligen Präventionsmaßnahmen auch stets von der individuellen Einsichtsbereitschaft abhängig, die im Rahmen der Coronapandemie mancherorts täglich Anlass zur Besorgnis zu geben scheint. Dies wurde gerade durch die Notwendigkeit zur Verschärfung bzw. Einführung einer bundesweiten Ausgehbeschränkung (wohlgemerkt nicht Ausgangssperre) am 22.03.2020 erneut deutlich.

Stand Sonntagabend 22.03.2020

Infolge deutlicher Kritik wurde davon abgerückt, den Gesetzentwurf bereits am 23.03.2020 ins Bundeskabinett zu geben. So lauten übereinstimmende Agenturmeldungen. Man wolle vorerst auf Handyortung verzichten und einen betreffenden Gesetzentwurf nun bis Ostern überarbeiten. Näheres dazu in einem Tagesschau Beitrag vom Sonntagabend.

Fazit und Hinweise zur geplanten Handyortung

Die Risiken eingreifender Normen wie etwa der geplanten Handyortung entstehen nicht per se aus dem Rechtseingriffs als solchem, sondern aus dem Missbrauchspotenzial in der täglichen Anwendung. Im Eifer des Gefechts kann erfahrungsgemäß nicht gänzlich ausgeschlossen werden, dass Fehler passieren, die Neugier bei dem einen oder anderen sich durchsetzt oder u.U. sogar vereinzelt gezielt manipuliert wird.

Umso wichtiger sind technische und organisatorische Maßnahmen (TOM) auch bei Erlass solcher Gesetze, wie

  • das Personal bei der Auswertung von und dem Umfang mit den auszuwertenden Standort Daten lückenlos und fachlich fundiert zu schulen,
  • auf diese Weise sicherzustellen, dass die Daten ausschließlich in dem Kontext der bezweckten Verarbeitung verbleiben und nicht auf Zuruf offengelegt werden, wie dies immer wieder – etwa in Telefonaten anfragender, vermeintlich autorisierter Stellen – vorkommt,
  • detaillierte und technisch verbindlich umgesetzte Berechtigungskonzepte zu etablieren,
  • auf diese Weise den Personenkreis, die Zugriff auf die Daten haben, in einem konkreten und stets überschaubaren Rahmen zu halten und dies auch zu protokollieren / zu prüfen,
  • den Anwender transparent zu informieren, ohne die ordnungsgemäße Verfolgung der Einsatzzwecke zu untergraben.

Am 28.01.2020 fand in Berlin der diesjährige, 14. Europäische Datenschutztag der Datenschutzkonferenz statt. Auf Initiative des Europarats jährt sich der Datenschutztag seit 2007 um den 28. Januar und wird in Deutschland als Veranstaltung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ausgerichtet.

In diesem Jahr lag das Augenmerk insbesondere auf Datenschutz im Kontext des Entwicklungsfortschritts der KI. Unter dem Motto „Künstliche Intelligenz – Zwischen Bändigung und Förderung“ wurden Freiheiten, Grundrechte und Schutzbedürfnisse bei der Schaffung von Rahmenbedingungen und der Entfaltung diesbezüglicher Aktivitäten thematisiert von Referenten aus Politik, Wissenschaft, Recht und den Teilnehmern.

Die Vorträge beschäftigten sich unter anderem mit den Themen:

  • Aspekte des Unionsrechts im Hinblick auf Digitalisierung und Datenschutz
  • Der Handlungsrahmen für KI-Anwendungen: Wirtschaft, Technik, Ethik und (Datenschutz-) Recht in Deutschland, Europa und der Welt“ und
  • Was verstehen Nutzer unter Algorithmen?

„Persönlich“ wurde es – in fachlicher Hinsicht – im Rahmen der Podiumsdiskussion zum „Nutzen und Schaden von KI für den Einzelnen – Was geht mich KI an?„. Die KI und ihr Datenschutz sind ein spannendes und lebendiges Thema, das jeden Alltag in naher Zukunft in greifbarer Weise bestimmen wird. Weitere Informationen zu dem Themenbereich erhalten Sie unter nachfolgenden Links.

Was meinen Sie zu dem Thema, liebe Leser? Freuen Sie sich auf Ihr erstes Roboterauto oder ist Ihnen das alles spooky? Sie können es uns im Kommentarfeld wissen lassen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicherheitskongress – KI         BSI – KI im Auto         Fraunhofer Institut – KI