Digitalisierung sicher gestalten: Mehr Schutz vor Cyberattacken notwendig

  • Sachsens Datenschutzbeauftragter plädiert für mehr Prävention.
  • Jeder Cyberangriff kostet im Schnitt mehr als 21.000 Euro.

Angesichts der jüngsten Hacker-Angriffe gegen deutsche Unternehmen plädiert der Sächsische Datenschutzbeauftragte für deutlich mehr Prävention. „Sachsens Unternehmen sollten nicht erst warten, bis sie das Opfer von Hacker-Attacken geworden sind“, sagt Andreas Schurig. Im Gegenteil: „Prävention ist wirksamer und wichtiger als je zuvor, damit Daten von Kunden und Mitarbeitern nicht in die falschen Hände gelangen.“

Zuwachs bei gemeldeten Datenpannen

Nach der Datenschutz-Grundverordnung müssen Unternehmen genauso wie Organisationen und die Verwaltung Datenschutzverletzungen bei der zuständigen Aufsichtsbehörde melden. Der Trend in Sachsen zeigt hierbei deutlich nach oben: Im Jahr 2018 meldeten Verantwortliche dem Sächsischen Datenschutzbeauftragten 227 Fälle. 2019 waren es 450 Meldungen. 2020 verzeichnete die Behörde einen Anstieg um 40 Prozent auf 635 Meldungen. Und diese kontinuierliche Steigerung setzt sich 2021 fort: In den vergangenen zehn Monaten wurden bereits 750 Meldungen registriert. Davon sind rund ein Drittel auf Cyberkriminalität zurückzuführen – ein spürbarer Zuwachs in der Arbeit des Sächsischen Datenschutzbeauftragten. „Allerdings gehe ich davon aus, dass es in Wirklichkeit viel mehr Betroffene gibt. Die Dunkelziffer dürfte sehr hoch sein“, sagt Andreas Schurig. Und diese Hacker-Angriffe sind für die betroffenen Unternehmen und Organisationen teuer: Eine Cyberattacke kostet im Schnitt 21.818 EUR je Vorfall (Quelle: Statista). Die Zahl der Angriffe und das Ausmaß der Schäden nehmen stark zu. Insgesamt belaufen sich die Kosten für digitale Angriffe auf die deutsche Wirtschaft allein 2020 auf ca. 24,3 Milliarden Euro. Das waren viermal mehr als noch 2019 (Quelle: Bitkom-Studie).

Noch gravierender sind durch Erpressungssoftware (engl. “Ransomware”) verursachte Schäden: Die durchschnittlichen Gesamtkosten der Firmen für die Behebung eines Angriffs durch Erpressungssoftware liegen bei ca. einer Million Euro; etwa 46 Prozent der deutschen Unternehmen sind betroffen (Quelle: Sophos State of Ransomware 2021). “Diese Entwicklung ist sehr besorgniserregend. Mangelhafte Datensicherheit offenbart meist auch Schwächen beim Datenschutz. Das ist nicht nur für die betroffenen Unternehmen existenzbedrohend, sondern auch für Menschen, deren Daten in den Besitz von Kriminellen gelangen. Identitätsdiebstahl gehört dabei zu den schlimmsten Folgen. Betroffenen droht ein finanzieller und sozialer Totalschaden“, warnt Andreas Schurig.

Vorsorge bestes Mittel

Gleichzeitig macht der oberste sächsische Datenschützer klar, dass Prävention und Vorsorge die richtigen Mittel gegen Hacker-Angriffe und Cyber-Erpressung sind. „Der beste Schutz ist, auf den Ernstfall gut vorbereitet zu sein.“ Folgende Vorkehrungen sind zu empfehlen:

  • Daten sichern! Die Daten von Firmen und Organisationen müssen unbedingt gesichert sein. Diese Backups sollten selbst nicht von Cyberangriffen erfasst werden können.
  • Firewall richtig konfigurieren! Die Firewall sollte nur erforderliche Datenverbindungen zulassen. Auch ein Frühwarnsystem über ungewöhnlich hohen Datenverkehr kann Systemverantwortlichen dabei helfen, größeren Schaden abzwenden.
  • Notfallplan beachten! Für die Fälle von Cyber-Erpressungen bzw. Hacker-Angriffen sollte ein Notfallplan vorliegen, der im Akutfall abzuarbeiten ist. Dazu gehört auch eine Regelung, wann der IT-Administrator, Datenschutzbeauftragte oder auch die Mitarbeiter, Unternehmensleitung und Kunden zu informieren sind.
  • Reservetechnik vorhalten! Eine dringende Empfehlung ist zudem, Reservetechnik vorzuhalten. Ermittler können das angegriffene IT-System forensisch untersuchen, während das Unternehmen trotz Cyberangriff rasch wieder arbeitsfähig ist.
  • Frühzeitig kommunizieren! Verantwortliche sollten betroffene Personen oder Abteilungen auch dann schnell über den Vorfall informieren, wenn noch nicht sicher ist, ob und welche personenbezogenen Daten betroffen sind.
  • Weiterbildung! IT-Verantwortliche und all jene, die in Unternehmen und Organisationen für die IT-Sicherheit zuständig sind, benötigen regelmäßig Weiterbildungen.

 

„Prävention ist eine richtige und kluge Investition, die sich im Fall einer Attacke erheblich auszahlt“, sagt Sachsens Datenschutzbeauftragter Andreas Schurig. Die Alternative zu Prävention sei bei Cyber-Erpressung oftmals nur der teure Freikauf.

Anzeige und Meldung bei der zuständigen Datenschutzbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche gemäß Artikel 33 der Datenschutz-Grundverordnung unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dies dem Sächsischen Datenschutzbeauftragten zu melden. Dazu bietet die Behörde auf ihrer Website ein Online-Formular an, mit dem die Verantwortlichen alle relevanten Informationen schnell und unkompliziert übermitteln können.

Welche Informationen benötigt der Sächsische Datenschutzbeauftragte?

Bei einem Hackerangriff, Datendiebstahl oder anderen Attacken sollten Unternehmen bzw. Verantwortliche sich so schnell wie möglich bei der Polizei melden. Parallel sollte die Datenschutzverletzung dem Sächsischen Datenschutzbeauftragten mitgeteilt werden. Wichtige Angaben für eine solche Meldung nach Artikel 33 Datenschutz-Grundverordnung sind:

  • Angaben zum Verantwortlichen (Name des betroffenen Unternehmens/Vereins etc.) inkl. Telefon- und E-Mail-Kontakt;
  • Zeitraum der Panne sowie Zeitpunkt des Vorfalls;
  • Angaben zu Bereich und Kategorie des Vorfalls (z. B. Hacking, Diebstahl usw.);
  • Angaben zu betroffenen Daten (z. B. Adressen, E-Mail-Adressen, Bank- oder Kreditdaten, Passwörter, Gesundheit)
  • Angaben zum Vorfall und zu den ergriffenen und/oder beabsichtigten Maßnahmen.

Auf die Meldung der Datenpanne folgt die Prüfung durch den Sächsischen Datenschutzbeauftragten. Hierbei ist vor allem von Interesse: Welcher  Schaden könnte Personen durch den Vorfall entstehen bzw. welcher Schaden ist bereits eingetreten? Wie konnte es dazu kommen und welche Vorkehrungen sind zukünftig zur Vermeidung einer Wiederholung zu ergreifen? Sofern erforderlich, steht der Sächsische Datenschutzbeauftragte bei der Klärung dieser Fragen mit dem Verantwortlichen im Austausch und berät bei den zu ergreifenden Maßnahmen. Das Ziel ist stets, Bürgerinnen und Bürger bei hohen Risiken zu informieren und sie durch die richtigen Maßnahmen vor Schaden zu bewahren.

Über den Sächsischen Datenschutzbeauftragten

Der Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.

Seit 2004 hat Andreas Schurig das Amt inne und wird in seiner Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Der Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.

Mehr Informationen: www.saechsdsb.de

AfD-Portal bleibt verboten

Nach dem heutigen Urteil des Verwaltungsgerichts Schwerin bleibt das AfD-Portal „Neutrale Schule“ verboten. Eine Aufhebung des Verbots hatten die Richter dem Landesverband der AfD bereits im Eilrechtsschutz versagt. Nun bestätigte das Gericht seine Rechtsauffassung im Hauptsacheverfahren.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit, Heinz Müller, begrüßte das Urteil: „Ich war die ganze Zeit davon überzeugt, dass wir rechtmäßig gehandelt haben. Die AfD verstößt mit ihrem Portal gleich in mehrfacher Hinsicht gegen die Datenschutzgrundverordnung. Dass die Richter das genauso sehen, bringt uns beim Schutz besonders sensibler Daten wie der politischen Meinung einen großen Schritt weiter.“

In dem Portal forderte der Landesverband der AfD Schüler und Eltern dazu auf, solche Lehrer der AfD zu melden, die im Unterricht politische Meinungen vertreten, die nach Auffassung der AfD unzulässig sind. Dabei sammelt die Partei nicht nur die personenbezogenen Daten der Schüler, die eine Meldung verfassen, sondern ganz gezielt auch die politischen Meinungen der gemeldeten Lehrer. Als besondere Kategorie personenbezogener Daten steht die politische Meinung jedoch unter besonderem rechtlichen Schutz. Müller: „Die Väter und Mütter der Grundverordnung wollten offensichtlich nicht, dass irgendwelche schwarzen Listen angefertigt werden.“

Nach Artikel 9 Absatz 1 DS-GVO ist die Verarbeitung von Daten, aus denen die politische Meinung der betroffenen Personen hervorgeht, grundsätzlich untersagt. Eine solche Verarbeitung ist nur ausnahmsweise, unter den Voraussetzungen des Artikels 9 Absatz 2 DS-GVO, erlaubt. Doch die sind im Fall des AfD-Portals nicht gegeben. Insbesondere ist die von einem Lehrer im Klassenraum geäußerte politische Meinung nicht im Sinne des Art. 9 Absatz 2 Buchstabe e DS-GVO offensichtlich öffentlich gemacht, da es sich bei einer Schulklasse gerade nicht um einen individuell nicht bestimmbaren Personenkreis handelt.



Apple hat mit Kamerafahrten in Mecklenburg-Vorpommern begonnen

Apple hat mit der Aufzeichnung von Straßenansichten und Gebäudefronten in Mecklenburg-Vorpommern begonnen. So sollen bis Ende September 2020, mit mehreren Sensoren und Kameras ausgerüstete Fahrzeuge, auf öffentlichen Straßen in Mecklenburg-Vorpommern unterwegs sein.

Apple gibt an, dass durch Analyse von Wegen und Verkehrszeichen, das Datenmaterial des eigenen Kartendienstes verbessert werden soll. Außerdem könnten diese Bilder der Straßen und Häuser künftig in der geplanten Funktion „Apple Look Around“ („Umsehen-Funktion“), analog dem Dienst „Google Street View“, dargestellt und im Internet veröffentlicht werden.

Personen und Kennzeichen werden unkenntlich gemacht

Apple hat gegenüber der in Deutschland zuständigen bayrischen Datenschutz-Aufsichtsbehörde (BayLDA) bestätigt, dass die Gesichter von Personen und die Kennzeichen von Fahrzeugen, vor einer Veröffentlichung automatisch verpixelt und damit unkenntlich gemacht werden sollen. Damit will Apple der Forderung der Datenschutz-Grundverordnung nach Datenschutz durch Technikgestaltung nachkommen und die Risiken der Verarbeitung personenbezogener Daten senken.

Doch auch wenn die Gesichter und die Kfz-Kennzeichen nach Angaben von Apple vor einer Veröffentlichung verpixelt werden sollen, ist nach den bisher veröffentlichen Informationen von Apple davon auszugehen, dass die Aufnahmen in nicht unkenntlich gemachter Form ( „Rohdaten“), über einen Zeitraum von bis zu 36 Monaten hinweg, weiter unverpixelt auf den Servern der USA vorliegen.

Zudem erfordert das Unkenntlich machen der eigenen Hausfassade, des Vorgartens oder des geparkten Autos, den aktiven Widerspruch des Betroffenen.

Widerspruchsmöglichkeit durch Betroffene

Apple hat dem BayLDA gegenüber bestätigt, dass Betroffene die Möglichkeit haben, sich an das Unternehmen zu wenden um zu verlangen, dass die sie betreffenden Bilder, auch in Form der Rohdaten, dauerhaft unkenntlich gemacht werden. Dafür sollte man in jedem Fall den Ort und, wenn möglich, die Zeit der Aufnahme angeben.

Wer also nicht möchte, dass Aufnahmen seines Privatgrundstücks bei Apple Look Around sichtbar sind oder meint, von einem vorbeifahrenden Kamera-Auto gefilmt worden zu sein, kann der Datenverarbeitung widersprechen und die Löschung der Rohdaten beantragen.

Ausführlichere Informationen zur Ausgestaltung der Apple Kamerafahrten, welche Kontaktmöglichkeiten Apple anbietet und wann welche Städte oder Regionen von den Apple-Fahrzeugen bereist werden, finden sich u.a. auf der Webseite des BayLDA unter:

www.lda.bayern.de/apple-kamerafahrten

Zudem stellen wir auf unserer Webseite einen Antrag auf die von Apple angebotene Löschung, in Form eines ausfüllbaren Formulars bereit, welches Sie zur Ausübung Ihrer Rechte per E-Mail an mapsimagecollection@apple.com senden können:

https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Muster/Widerspruch_DV_Apple.pdf

Alternativ können Sie den Widerspruch auch postalisch an folgende Anschrift schicken:

Apple Distribution International
Data Protection Officer
Hollyhill Industrial Estate
Cork
Irland

Zuständige Aufsichtsbehörde

Da der Sitz der europäischen Hauptniederlassung in Irland ist, ist die irische Aufsichtsbehörde federführend für die Datenverarbeitung durch Apple in Europa zuständig. Das BayLDA nimmt alle Beschwerden aus Deutschland entgegen und leitet sie an die irische Aufsichtsbehörde weiter.



Zwei Jahre Datenschutz-Grundverordnung

In der vergangenen Woche hat die europäische Kommission ihren Bericht über die zweijährige Anwendung der Datenschutz-Grundverordnung (DS-GVO) vorgelegt. „Ich stimme mit der EU-Kommission darin überein, dass die DS-GVO ihr Ziel, das individuelle Recht auf Datenschutz zu stärken, erreicht hat“, sagt der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Heinz Müller. „Nur bin ich schon ziemlich enttäuscht darüber, dass von der EU-Kommission keinerlei Verbesserungsvorschläge zur DS-GVO gekommen sind.“

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hatte der EU-Kommission mehrere konkrete Änderungen vorgeschlagen, die die Alltagstauglichkeit der DS-GVO erhöhen würden. Müller: „Kleine und mittelständische Unternehmen mit risikoarmer Datenverarbeitung könnten bei der Erfüllung ihrer Transparenzpflichten nach Art. 13 und 14 DS-GVO etwa dadurch entlastet werden, dass sie die jeweiligen Informationen nur noch auf Verlangen mitteilen müssen.“ Nun werde es jedoch erstmal bei den bestehenden Regelungen bleiben.

In ihrem Bericht weist die EU-Kommission erneut auf die Verpflichtung der Mitgliedstaaten hin, ihre Datenschutzaufsichtsbehörden mit den erforderlichen personellen, finanziellen und technischen Ressourcen auszustatten. Die meisten Behörden hätten entsprechend mehr Personal erhalten. So sei beim Personal zwischen 2016 und 2019 europaweit ein durchschnittlicher Zuwachs von 42 Prozent zu verzeichnen. Dieser sei jedoch ungleich verteilt. In einzelnen Mitgliedstaaten sei die Personalsituation daher nach wie vor nicht zufriedenstellend. Das kann Müller nur bestätigen: „Als einzige Datenschutzaufsichtsbehörde in Deutschland hat meine Behörde keine neue Stelle erhalten. Ich frage mich, wie viel der Regierungskoalition der Schutz von Bürgerrechten eigentlich wert ist.“



Verbot des Portals „Neutrale Schule“: Oberverwaltungsgericht lehnt Beschwerde des AfD-Landesverbandes ab

Das Portal des AfD-Landesverbandes „Neutrale Schule“ bleibt offline. Auch im zweiten Anlauf kann der AfD-Landesverband das Verbot des Portals durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern nicht kippen.

Über das Portal sollten AfD-kritische Meinungsäußerungen im Schulumfeld gemeldet werden. Der Landesdatenschutzbeauftragte hat das Meldeportal „Neutrale Schule“ letzten Herbst verboten. Dagegen ist der AfD-Landesverband in einem Eilverfahren vorgegangen mit dem Ziel, das Portal weiterbetreiben zu können. Das Verwaltungsgericht Schwerin hatte den Eilantrag bereits abgelehnt. Das Oberverwaltungsgericht Mecklenburg-Vorpommern hat die Entscheidung letzte Woche endgültig bestätigt.

Behördenchef Heinz Müller ist froh über die Entscheidungen der beiden Gerichte: „Schule ist ein Ort für Politik- und Demokratiebildung. Dazu zählt, für das Grundgesetz und die darin gewährleistete Menschenwürde einzutreten. Es darf nicht sein, dass sich jemand durch so ein Portal in seinem Rederecht eingeschränkt fühlt und auf freie Meinungsäußerung verzichtet. Es ist die Aufgabe des Datenschutzes, diese Grundrechte abzusichern.“

Mit dem Beschluss des Oberverwaltungsgerichts ist eine schnelle Wiederinbetriebnahme des Portals vom Tisch. Heinz Müller ist optimistisch, dass in dem noch offenen Hauptsacheverfahren die Rechtmäßigkeit der Verbotsverfügung endgültig festgestellt wird.