Zum Inhalt springen

Strafe

Dashcams im Straßenverkehr und der Datenschutz

Dash­cams erlaubt? Im Daten­schutz Check

Wer hat nicht schon ein­mal mit einer sol­chen gelieb­äu­gelt? Der Kom­fort und die Rechts­si­cher­heit der Dash­cams, klei­ne Kame­ras hin­ter der Wind­schutz­schei­be, am Len­ker oder wel­che Vehi­kel auch immer bevor­zugt wer­den, erschei­nen als ein­deu­ti­ges Ver­hält­nis­mä­ßig­keits­kri­te­ri­um. Aller­dings sind sie durch­aus nicht unein­ge­schränkt und in jedem Land erlaubt. Was zu beach­ten ist, erklärt die­ser Beitrag. 

Die Funk­ti­ons­wei­se  

Dash­cams sol­len ins­be­son­de­re das Ver­kehrs­ge­sche­hen und ‑unfäl­le auf­zeich­nen, um tat­sa­chen­wid­ri­gen bzw. par­tei­ischen Aus­sa­gen ent­ge­gen­zu­wir­ken und eine ein­deu­ti­ge Beweis­füh­rung zu ermög­li­chen. Dass die Vide­os jeden Auf­ge­nom­me­nen belas­ten kön­nen — ein­schließ­lich des Dash­cam Besit­zers, muss nicht geson­dert erwähnt wer­den. Ange­schlos­sen an die Bord­elek­tro­nik und /​ oder per Akku sind sie in der Lage, auf Micro SD Kar­ten im Giga­byte Bereich in End­los­schlei­fe auf­zu­zeich­nen. Diver­se Model­le haben auch Bewe­gungs­sen­so­ren und Infrarotsicht. 

Dash­cams in der prak­ti­schen Anwen­dung 

Die Auf­zeich­nung amt­li­cher Kenn­zei­chen und Per­so­nen ist eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Das online Stel­len kennt­li­cher Inhal­te ist selbst­ver­ständ­lich ein­deu­tig ein Ver­stoß gegen die infor­ma­tio­nel­le Selbst­be­stim­mung. Aus behörd­li­cher Daten­schutz­sicht geht der Tenor dahin, dass der Betrieb von Dash­cams auch dann als unzu­läs­sig zu betrach­ten ist, wenn kurz und anlass­be­zo­gen auf­ge­zeich­net wird, da natur­ge­mäß kei­ne Infor­ma­ti­ons­pflich­ten über Zweck etc. mit­ge­teilt wer­den kön­nen. Nicht umsonst ach­tet man bei Video­über­wa­chung in Fir­men und ande­ren Ein­rich­tun­gen auf Beschil­de­rung außer­halb des Erfas­sungs­be­reichs u.a. mit den Zwe­cken und den Daten des Aufzeichnenden. 

Die Kri­te­ri­en einer daten­schutz­kon­for­men Video­auf­zeich­nung sind nicht in Stein gemei­ßelt, aber klar defi­nier­bar. Gene­rell geht es um die Kennt­nis der kon­kre­ten Umstän­de und einer sach­ge­rech­ten Abwä­gung der Rechtsgüter. 

Auch Gene­rell Iin Fra­gen der rich­ti­gen Beur­tei­lung und der rechts­si­che­ren daten­schutz­kon­for­men Pro­zess­ge­stal­tung steht Ihnen unser Team als exter­ne Daten­schutz­be­auf­trag­te und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te zur Sei­te

Die Fra­ge zur Zuläs­sig­keit von Dash­cams vor dem BGH 

In sei­ner Ent­schei­dung VI ZR 233/​17 vom 15.05.2018 ent­schied der Bun­des­ge­richts­hof, dass Dash­cam-Auf­zeich­nun­gen im Unfall­haft­pflicht­pro­zess aus zivil­recht­li­cher Sicht ver­wert­bar sein kön­nen. Im Ein­zel­fall sei jeden­falls eine Inter­es­sen- und Güter­ab­wä­gung vorzunehmen. 

Über­wie­gen­de Inter­es­sen beim Ein­satz von Dash­cams 

Grund­sätz­lich wird man wohl das Inter­es­se des Dash­cam Betrei­bers den schutz­wür­di­gen Inter­es­sen ande­rer Ver­kehrs­teil­neh­mer unter­ord­nen müs­sen, ins­be­son­de­re dann, wenn per­ma­nen­te und nicht anlass­be­zo­ge­ne Auf­zeich­nun­gen vor­ge­nom­men wer­den. Ande­ren­falls wäre das Rechts­gut der infor­mel­len Selbst­be­stim­mung gefähr­det. Aller­dings ist die Anwen­dung von Dash­cams auch hin­sicht­lich der Ver­wer­tungs­fra­ge wei­ter­hin umstritten. 

Das BayL­DA kün­dig­te an, dass Über­mitt­lun­gen von Dash­cam-Auf­zeich­nun­gen an Poli­zei und Ver­si­che­run­gen als Ver­stoß gewer­tet und mit einem Buß­geld geahn­det wer­den könnten. 

Gesund­heits­da­ten gehen an die Polizei

Nun auch Sach­sen-Anhalt — das Innen­mi­nis­te­ri­um wies die Gesund­heits­äm­ter an, per­so­nen­be­zo­ge­ne /​ Gesund­heits­da­ten aller Per­so­nen in Qua­ran­tä­ne den Poli­zei­be­hör­den zur Ver­fü­gung zu stel­len. Die Poli­zei erhielt somit per­so­nen­be­zo­ge­ne Daten über Coro­na-Infi­zier­te und Kontaktpersonen. 

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge 

Aus den Rei­hen des Land­tags wur­de am 22.04.2020 die Ent­hül­lung bekannt, dass der Lan­des­in­nen­mi­nis­ter vom 27. bis 31.03.2020 eine Ver­pflich­tung zur Bereit­stel­lung der Daten für alle Per­so­nen in Qua­ran­tä­ne des Bun­des­lan­des ver­fügt habe. Seit­dem wür­den Gesund­heits­äm­ter „nach eige­nem Ermes­sen und im Ein­zel­fall“ Daten von Per­so­nen in Qua­ran­tä­ne an die Poli­zei über­mit­teln. Bis 09.04.2020 über 800 Fäl­le in Sach­sen-Anhalt — heißt es wei­ter in den zuge­hö­ri­gen Posts auf Twit­ter. Eine öffent­li­che Infor­ma­ti­on über die Maß­nah­me durch das Innen­mi­nis­te­ri­um zur Erfül­lung der DSGVO-gesetz­li­chen Trans­pa­renz­pflicht war lan­ge Zeit nicht erfolgt. Die kom­mu­ni­zier­ten Daten hät­ten Namen, Anschrif­ten, Geburts­da­ten, Wohn­or­te, Natio­na­li­tä­ten, Geschlech­ter sowie Beginn und Ende der behörd­lich defi­nier­ten Qua­ran­tä­ne umfasst. Die Über­mitt­lung, Ver­ar­bei­tung und Spei­che­rung auf Poli­zei­da­ten­ban­ken von Gesund­heits­da­ten sei „recht­lich pro­ble­ma­tisch“ und der Lan­des­be­auf­trag­te für den Daten­schutz sei the­ma­tisch zu invol­vie­ren. Wei­te­re ~130 sol­cher Über­mitt­lun­gen in Hal­le wur­den zunächst laut Anga­be der Stadt­ver­wal­tung wohl gar nicht erst gezählt. 

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten 

Auf Anfra­ge hat­te das Lan­des­in­nen­mi­nis­te­ri­um gegen­über netz​po​li​tik​.org geleug­net, dass es der­lei Gesund­heits­da­ten­über­mitt­lun­gen an die Poli­zei gege­ben hat­te. Spä­ter wur­de bekannt, dass Gesund­heits- /​ per­so­nen­be­zo­ge­ne Daten auf der Fahn­dungs­da­ten­bank des Lan­des­kri­mi­nal­amts gespei­chert wur­den. Zu direk­ten Anfra­gen von netz​po​li​tik​.org sei sei­tens der Poli­zei nicht Stel­lung genom­men wor­den. Der Erlass sei dem Lan­des­da­ten­schutz­be­auf­trag­tes Sach­sen-Anhalts erst auf Nach­fra­ge zur Ver­fü­gung gestellt wor­den, den die­ser am 31.03.2020 für rechts­wid­rig erklärt habe. In sei­ner Haut möch­te man jetzt eher nicht ste­cken. Aus DSB-Sicht stellt sich aller­dings die Fra­ge, aus wel­chem Grund kei­ne Vor­ab­infor­ma­ti­on erfolg­te und kei­ne Daten­schutz­fol­ge­ab­schät­zung in fach­li­cher Abstim­mung mit dem Lan­des-DSB durch­ge­führt wor­den ist. l 

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern 

Auch in ande­ren Bun­des­län­dern wur­den Daten­über­mitt­lun­gen von Infi­zier­ten und Kon­takt­per­so­nen ein­ge­führt. Offi­zi­ell sei Ziel der Maß­nah­me die Über­wa­chung der Ein­hal­tung der Qua­ran­tä­ne und Schutz der Polizeibeamten. 

Nach uns vor­lie­gen­den Infor­ma­tio­nen erklär­te auch die nie­der­säch­si­sche Daten­schutz­be­auf­trag­te Bar­ba­ra Thiel die Maß­nah­me für ihr Bun­des­land als rechts­wid­rig. Aller­dings hielt die Lan­des­re­gie­rung an den Daten­über­mitt­lun­gen fest. 

Die umstrit­te­ne Pra­xis wur­de auch in wei­te­ren Bun­des­län­dern ein­ge­führt. In Fol­ge vehe­men­ter Pro­tes­te wur­de die­se in Bre­men auf­ge­ho­ben. In Baden-Würt­tem­berg wird eine DSGVO kon­for­me Ver­ord­nung zur Daten­über­mitt­lung posi­tiv erwar­tet. In Meck­len­burg-Vor­pom­mern wur­de das Pro­ce­de­re modi­fi­ziert. Hier wird bei der Über­mitt­lung der Gesund­heits­da­ten nun auf den Bedarfs­fall abge­stellt. Fer­ner soll nun die Vor­ga­be sein, die Daten anony­mi­siert und ver­schlüs­selt an einen defi­nier­ten Per­so­nen­kreis im Poli­zei­dienst zu über­mit­teln. Es ist begrü­ßens­wert, dass die tra­gen­den Stan­dards in der Infor­ma­ti­ons­si­cher­heit neben den Daten­schutz­an­for­de­run­gen auch bei die­sem The­ma suk­zes­si­ve Berück­sich­ti­gung finden. 

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten 

Es besteht ein gro­ßes Span­nungs­feld zwi­schen Daten­schutz /​ Grund­rech­ten und einer effek­ti­ven Pan­de­mie­be­kämp­fung. Dass Men­schen und Pfle­ge­per­so­nal, der öffent­li­che Dienst und ande­re Arbeits­kräf­te mit not­wen­di­gem Publi­kums­kon­takt des Schut­zes bedür­fen, steht völ­lig außer Fra­ge. Aller­dings kann als auf­fäl­lig bezeich­net wer­den, dass gera­de in sol­chen grenz­wer­ti­gen Maß­nah­men der Dia­log mit den Daten­schutz­be­hör­den und auch den behörd­li­chen Daten­schutz­be­auf­trag­ten aktiv ver­mie­den wird. Gera­de in sol­chen Zei­ten darf erwar­tet wer­den, dass man sich zwecks ganz­heit­li­cher Kri­sen­be­wäl­ti­gung bereichs­über­grei­fend abstimmt. So kann dafür Sor­ge getra­gen wer­den, dass die Ver­ar­bei­tun­gen und Über­mitt­lun­gen der Behör­den den zwin­gend erfor­der­li­chen, zeit­ge­mä­ßen Vor­ga­ben des Daten­schut­zes sowie der Infor­ma­ti­ons­si­cher­heit /​ IT-Sicher­heit genügen. 

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­ein­ter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­pho­ne-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­pho­ne-Her­stel­ler OnePlus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­pho­nes über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Hacking, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hacking und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­er­fol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hacking und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hacking wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hacking — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hacking nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebsscree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Daten­pan­nen — jetzt ganz neu entdecken …

Hat­ten Sie 2020 in Ihrer Orga­ni­sa­ti­on eine Daten­pan­ne? Wenn Sie direkt Nein sagen, gehö­ren Sie ent­we­der zu den episch sel­te­nen Fäl­len, in denen der Fak­tor Mensch sowie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu 100% dis­zi­pli­niert sind oder es gibt bei der inter­nen /​ exter­nen Kom­mu­ni­ka­ti­on ein­fach noch Opti­mie­rungs­be­darf bei der Iden­ti­fi­ka­ti­on und Bewer­tung von Daten­pan­nen nach Art. 33 und 34 DSGVO. 

Ver­mei­den und kom­mu­ni­zie­ren 

Es ist bereits die hal­be Mie­te, Daten­pan­nen prä­ven­tiv — u.a. durch star­ke IT-Sicher­heit, die rich­ti­ge Soft­ware­im­ple­men­tie­rung und kla­re Richt­li­ni­en — auf einen Bruch­teil zu redu­zie­ren. Und zusätz­lich sein Per­so­nal auf einem Sen­si­bi­li­täts­ni­veau zu haben, dass es Ver­stö­ße gegen Daten­schutz /​ Infor­ma­ti­ons­si­cher­heit sowie ent­spre­chen­de Ver­dachts­fäl­le angst­frei und pro­ak­tiv intern mit­teilt und einer sach­ge­mä­ßen Doku­men­ta­ti­on zuführt, ist die Königs­klas­se des geleb­ten Datenschutzes. 

Mel­dun­gen von Daten­pan­nen 

Seit dem Wirk­sam­wer­den der DSGVO wird ein erheb­li­cher Anstieg der Mel­dun­gen von Daten­pan­nen ver­zeich­net. Eine Mel­dung ist nach den Kri­te­ri­en des Art. 33 DSGVO gesetz­li­che Pflicht. Mehr als 40.000 Daten­pan­nen wur­den seit DSGVO-Ein­füh­rung euro­pa­weit (Bericht der EU-Kom­mis­si­on) und weit über 10.000 in Deutsch­land allein für 2019 gemel­det. Dabei sind die Gewich­tun­gen in den Bun­des­län­dern sehr unter­schied­lich. Wäh­rend das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) „einen gro­ßen Anteil“ sei­ner täg­li­chen Arbeit in der Bear­bei­tung von Daten­schutz­ver­let­zun­gen mit 4.111 gemel­de­ten Daten­pan­nen in 2019 sieht, wird den 349 in 2019 dem Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz in Schles­wig-Hol­stein gemel­de­ten Daten­pan­nen ver­ständ­li­cher­wei­se reser­viert begegnet. 

Dun­kel­zif­fer von Daten­pan­nen 

Eine höhe­re Trans­pa­renz durch mehr Mel­dun­gen und, ins­be­son­de­re im EU-Ver­gleich, hohes Pflicht­be­wusst­sein sind sehr gute Ten­den­zen. Aller­dings müss­ten es rea­lis­tisch betrach­tet noch wesent­lich mehr Mel­dun­gen sein. In Deutsch­land sind mehr als 3 Mil­lio­nen Unter­neh­men ange­mel­det, hin­zu kom­men die staat­li­chen Ein­rich­tun­gen und ande­re Stel­len, die aus der DSGVO her­aus zur Mel­dung von Daten­pan­nen nach Art. 33 DSGVO ver­pflich­tet sind. 

Auf­sichts­be­hör­den 

Mel­dun­gen von Daten­pan­nen müs­sen durch­aus nicht mit Nach­fra­gen, Vor­ort­kon­trol­len oder Buß­gel­dern ver­bun­den sein. Viel­mehr kommt es den Auf­sichts­be­hör­den auch kon­kret inhalt­lich auf Erkennt­nis­se an, in wel­chen Berei­chen nach­ge­steu­ert wer­den muss. Im Ver­gleich zu auf­ge­flo­ge­nen Daten­schutz­ver­stö­ßen wird das akti­ve Mel­den honoriert. 

Nicht nur Unter­neh­men, son­dern auch öffent­li­che Ein­rich­tun­gen wur­den von den Daten­schutz­auf­sich­ten einer nähe­ren Prü­fung unter­zo­gen, wobei zu bei­den Berei­chen posi­ti­ve wie nega­ti­ve Ergeb­nis­se fest­ge­hal­ten wurden. 

Daten­pan­nen bit­te doku­men­tie­ren /​ mel­den 

Es liegt nahe, dass sich Orga­ni­sa­tio­nen eher unglaub­wür­dig machen, wenn kei­ner­lei Daten­pan­nen gemel­det bzw. doku­men­tiert sind. Es emp­fiehlt sich, Daten­pan­nen und ver­gleich­ba­re Auf­fäl­lig­kei­ten gene­rell — z.B. in Check­lis­ten­form — zu doku­men­tie­ren. Das Gesetz befreit per Art. 33 Abs. 1 DSGVO von der Mel­de­pflicht, wenn „die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt.“ Reich­lich unprä­zi­se wird hier ein ein­zel­fall­be­zo­ge­ner Ermes­sens­spiel­raum eröff­net. Das heißt für harm­lo­se (=nicht mel­de­pflich­ti­ge) Fäl­le: Das Ereig­nis wird intern doku­men­tiert und man stimmt sich mit sei­nem Daten­schutz­be­auf­trag­ten über eine fall­ge­rech­te Abgren­zung ab und das war´s. 

Für mel­de­pflich­ti­ge Fäl­le ste­hen übli­cher­wei­se Online-For­mu­la­re auf den Web­sei­ten der Auf­sichts­be­hör­den zur Verfügung. 

Die mobile Version verlassen