Digitalisierung sicher gestalten: Mehr Schutz vor Cyberattacken notwendig

  • Sachsens Datenschutzbeauftragter plädiert für mehr Prävention.
  • Jeder Cyberangriff kostet im Schnitt mehr als 21.000 Euro.

Angesichts der jüngsten Hacker-Angriffe gegen deutsche Unternehmen plädiert der Sächsische Datenschutzbeauftragte für deutlich mehr Prävention. „Sachsens Unternehmen sollten nicht erst warten, bis sie das Opfer von Hacker-Attacken geworden sind“, sagt Andreas Schurig. Im Gegenteil: „Prävention ist wirksamer und wichtiger als je zuvor, damit Daten von Kunden und Mitarbeitern nicht in die falschen Hände gelangen.“

Zuwachs bei gemeldeten Datenpannen

Nach der Datenschutz-Grundverordnung müssen Unternehmen genauso wie Organisationen und die Verwaltung Datenschutzverletzungen bei der zuständigen Aufsichtsbehörde melden. Der Trend in Sachsen zeigt hierbei deutlich nach oben: Im Jahr 2018 meldeten Verantwortliche dem Sächsischen Datenschutzbeauftragten 227 Fälle. 2019 waren es 450 Meldungen. 2020 verzeichnete die Behörde einen Anstieg um 40 Prozent auf 635 Meldungen. Und diese kontinuierliche Steigerung setzt sich 2021 fort: In den vergangenen zehn Monaten wurden bereits 750 Meldungen registriert. Davon sind rund ein Drittel auf Cyberkriminalität zurückzuführen – ein spürbarer Zuwachs in der Arbeit des Sächsischen Datenschutzbeauftragten. „Allerdings gehe ich davon aus, dass es in Wirklichkeit viel mehr Betroffene gibt. Die Dunkelziffer dürfte sehr hoch sein“, sagt Andreas Schurig. Und diese Hacker-Angriffe sind für die betroffenen Unternehmen und Organisationen teuer: Eine Cyberattacke kostet im Schnitt 21.818 EUR je Vorfall (Quelle: Statista). Die Zahl der Angriffe und das Ausmaß der Schäden nehmen stark zu. Insgesamt belaufen sich die Kosten für digitale Angriffe auf die deutsche Wirtschaft allein 2020 auf ca. 24,3 Milliarden Euro. Das waren viermal mehr als noch 2019 (Quelle: Bitkom-Studie).

Noch gravierender sind durch Erpressungssoftware (engl. “Ransomware”) verursachte Schäden: Die durchschnittlichen Gesamtkosten der Firmen für die Behebung eines Angriffs durch Erpressungssoftware liegen bei ca. einer Million Euro; etwa 46 Prozent der deutschen Unternehmen sind betroffen (Quelle: Sophos State of Ransomware 2021). “Diese Entwicklung ist sehr besorgniserregend. Mangelhafte Datensicherheit offenbart meist auch Schwächen beim Datenschutz. Das ist nicht nur für die betroffenen Unternehmen existenzbedrohend, sondern auch für Menschen, deren Daten in den Besitz von Kriminellen gelangen. Identitätsdiebstahl gehört dabei zu den schlimmsten Folgen. Betroffenen droht ein finanzieller und sozialer Totalschaden“, warnt Andreas Schurig.

Vorsorge bestes Mittel

Gleichzeitig macht der oberste sächsische Datenschützer klar, dass Prävention und Vorsorge die richtigen Mittel gegen Hacker-Angriffe und Cyber-Erpressung sind. „Der beste Schutz ist, auf den Ernstfall gut vorbereitet zu sein.“ Folgende Vorkehrungen sind zu empfehlen:

  • Daten sichern! Die Daten von Firmen und Organisationen müssen unbedingt gesichert sein. Diese Backups sollten selbst nicht von Cyberangriffen erfasst werden können.
  • Firewall richtig konfigurieren! Die Firewall sollte nur erforderliche Datenverbindungen zulassen. Auch ein Frühwarnsystem über ungewöhnlich hohen Datenverkehr kann Systemverantwortlichen dabei helfen, größeren Schaden abzwenden.
  • Notfallplan beachten! Für die Fälle von Cyber-Erpressungen bzw. Hacker-Angriffen sollte ein Notfallplan vorliegen, der im Akutfall abzuarbeiten ist. Dazu gehört auch eine Regelung, wann der IT-Administrator, Datenschutzbeauftragte oder auch die Mitarbeiter, Unternehmensleitung und Kunden zu informieren sind.
  • Reservetechnik vorhalten! Eine dringende Empfehlung ist zudem, Reservetechnik vorzuhalten. Ermittler können das angegriffene IT-System forensisch untersuchen, während das Unternehmen trotz Cyberangriff rasch wieder arbeitsfähig ist.
  • Frühzeitig kommunizieren! Verantwortliche sollten betroffene Personen oder Abteilungen auch dann schnell über den Vorfall informieren, wenn noch nicht sicher ist, ob und welche personenbezogenen Daten betroffen sind.
  • Weiterbildung! IT-Verantwortliche und all jene, die in Unternehmen und Organisationen für die IT-Sicherheit zuständig sind, benötigen regelmäßig Weiterbildungen.

 

„Prävention ist eine richtige und kluge Investition, die sich im Fall einer Attacke erheblich auszahlt“, sagt Sachsens Datenschutzbeauftragter Andreas Schurig. Die Alternative zu Prävention sei bei Cyber-Erpressung oftmals nur der teure Freikauf.

Anzeige und Meldung bei der zuständigen Datenschutzbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche gemäß Artikel 33 der Datenschutz-Grundverordnung unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dies dem Sächsischen Datenschutzbeauftragten zu melden. Dazu bietet die Behörde auf ihrer Website ein Online-Formular an, mit dem die Verantwortlichen alle relevanten Informationen schnell und unkompliziert übermitteln können.

Welche Informationen benötigt der Sächsische Datenschutzbeauftragte?

Bei einem Hackerangriff, Datendiebstahl oder anderen Attacken sollten Unternehmen bzw. Verantwortliche sich so schnell wie möglich bei der Polizei melden. Parallel sollte die Datenschutzverletzung dem Sächsischen Datenschutzbeauftragten mitgeteilt werden. Wichtige Angaben für eine solche Meldung nach Artikel 33 Datenschutz-Grundverordnung sind:

  • Angaben zum Verantwortlichen (Name des betroffenen Unternehmens/Vereins etc.) inkl. Telefon- und E-Mail-Kontakt;
  • Zeitraum der Panne sowie Zeitpunkt des Vorfalls;
  • Angaben zu Bereich und Kategorie des Vorfalls (z. B. Hacking, Diebstahl usw.);
  • Angaben zu betroffenen Daten (z. B. Adressen, E-Mail-Adressen, Bank- oder Kreditdaten, Passwörter, Gesundheit)
  • Angaben zum Vorfall und zu den ergriffenen und/oder beabsichtigten Maßnahmen.

Auf die Meldung der Datenpanne folgt die Prüfung durch den Sächsischen Datenschutzbeauftragten. Hierbei ist vor allem von Interesse: Welcher  Schaden könnte Personen durch den Vorfall entstehen bzw. welcher Schaden ist bereits eingetreten? Wie konnte es dazu kommen und welche Vorkehrungen sind zukünftig zur Vermeidung einer Wiederholung zu ergreifen? Sofern erforderlich, steht der Sächsische Datenschutzbeauftragte bei der Klärung dieser Fragen mit dem Verantwortlichen im Austausch und berät bei den zu ergreifenden Maßnahmen. Das Ziel ist stets, Bürgerinnen und Bürger bei hohen Risiken zu informieren und sie durch die richtigen Maßnahmen vor Schaden zu bewahren.

Über den Sächsischen Datenschutzbeauftragten

Der Sächsische Datenschutzbeauftragte ist für Sachsen die unabhängige Datenschutz-Aufsichtsbehörde nach Artikel 51 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Dies ergibt sich im Hinblick auf nicht-öffentliche Stellen (z. B. Unternehmen und Vereine) aus § 14 Absatz 2 des Sächsischen Datenschutzdurchführungsgesetzes; im Hinblick auf öffentliche Stellen (z. B. Behörden) aus § 14 Absatz 1 desselben Gesetzes.

Seit 2004 hat Andreas Schurig das Amt inne und wird in seiner Dienststelle in Dresden von über 30 Mitarbeiterinnen und Mitarbeitern unterstützt. Der Sächsische Datenschutzbeauftragte kontrolliert die Einhaltung der Datenschutzvorschriften und geht Beschwerden von Bürgerinnen und Bürgern nach. Zu den weiteren Aufgaben zählt unter anderem die Beratung sächsischer Verantwortlicher bei datenschutzrechtlichen Fragestellungen.

Mehr Informationen: www.saechsdsb.de

Mehr Beratungen und deutlicher Anstieg bei gemeldeten Datenschutzverletzungen

Sächsischer Datenschutzbeauftragter legt Tätigkeitsberichts vor

 

Der Sächsische Datenschutzbeauftragte Andreas Schurig hat am Donnerstag in Dresden seinen Tätigkeitsbericht für das zurückliegende Jahr vorgestellt.

Auf knapp 180 Seiten sind Schwerpunkte der Aufsichtstätigkeit, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst. Außerdem enthält der Bericht eine Übersicht zu den veröffentlichten Dokumenten der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.

Hoher Beratungsbedarf
Andreas Schurig: »Infolge der Covid-19-Pandemie ist die Digitalisierung in nahezu allen Lebensbereichen rasant vorangeschritten. Dementsprechend werden immer häufiger personenbezogene Daten ausgetauscht, was oftmals mit datenschutzrechtlichen Fragen einhergeht. Zahlreiche Bürger, Unternehmen und vor allem öffentliche Stellen wandten sich mit ihren Anliegen an mich. So stieg die Anzahl der Beratungen im Berichtszeitraum auf über 1.000 – ein Zuwachs von fast 70 Prozent gegenüber dem vorangegangenen Jahr.«

Pandemie als Bewährungsprobe für den Datenschutz
Der Sächsische Datenschutzbeauftragte beriet 2020 unter anderem die Staatsregierung zu den Corona-Schutz-Verordnungen. Zudem gingen hunderte Beschwerden zu datenschutzrelevanten Sachverhalten und Anfragen bei ihm ein, beispielsweise zur Kontaktnachverfolgung durch Gesundheitsämter, Datenschutz im Homeoffice, Datenverarbeitung im Zusammenhang mit der sächsischen Lernplattform LernSax, Gesundheitsbestätigungen für den Schulbesuch, erforderliche Angaben von Masken-Befreiungsattesten, Weitergabe von Listen mit positiv Getesteten und in Quarantäne befindlichen Personen an die Polizei und vieles mehr.

»Seit Beginn der Pandemie steht der Datenschutz immer wieder in der Kritik. Zwar waren Kneipen bisher die meiste Zeit geschlossen, Parolen auf Stammtischniveau wie ‚Der Datenschutz verhindert die Pandemie-Bekämpfung‘ blieben uns leider nicht erspart. Diese Behauptung hält einem Faktencheck nämlich nicht stand. Sie wird auch nicht richtiger, indem sie öfter wiederholt wird. Sie hilft allenfalls denjenigen, die einen Sündenbock benötigen oder mit populistischen Forderungen komplexe Probleme lösen wollen. Tatsache ist, dass weder die Datenschutz-Grundverordnung noch die weiteren Datenschutzgesetze der Pandemie-Bekämpfung entgegenstehen, sie zeigen lediglich die Grenzen auf – insbesondere für die Verarbeitung von Gesundheitsdaten. Deshalb erinnere ich noch einmal daran, dass es sich beim Datenschutz um ein Grundrecht und Wesensmerkmal unserer Demokratie handelt. Verbunden mit der Abwägung gegenüber anderen Grundrechten soll auch weiterhin jeder Mensch selbst bestimmen können, wer zu welchem Zweck seine Daten verarbeitet. Versuche, den Datenschutz zu umgehen oder abzuschaffen, sind daher ein Angriff auf dieses Bürgerrecht und auf unsere freiheitliche demokratische Grundordnung«, so Andreas Schurig.

Im Jahr 2020 setzten sich die nationalen und europäischen Datenschutzaufsichtsbehörden verstärkt mit der datenschutzkonformen Kontaktnachverfolgung auseinander. In der ersten Hälfte dieses Jahres rückten nun Impf- und Genesungsnachweise in den Fokus. Sachsen eröffnete sowohl die Möglichkeit für den Einsatz der Corona-Warn-App als auch die Durchführung von Modellprojekten zur Realisierung von Ausnahmen der Pandemiebeschränkungen.

Andreas Schurig: »Es ist der richtige Weg aus dieser Pandemie, wenn wir die Chancen der Digitalisierung nutzen. Risiken und geltendes Recht können deshalb aber nicht außer Acht gelassen werden. Das gilt selbstverständlich auch für Corona-Modellprojekte, die mir zur Prüfung vorgelegt werden. Niemandem ist geholfen, wenn das jeweilige Konzept gegen Grundsätze des Datenschutzes verstößt – weder den Verantwortlichen noch den Menschen, deren Daten verarbeitet werden.«

Bisher sind an den Sächsischen Datenschutzbeauftragten 27 Modellprojektanträge weitergeleitet worden (Anträge nach § 31 SächsCoronaSchutzVO).
Zu konstatieren sind gravierende Schwierigkeiten bei der Umsetzung beziehungsweise dass die bei Modellprojektanträgen vorgelegten Dokumente häufig unvollständig und insuffizient gewesen sind. Wiederkehrende Probleme waren unter anderem Unklarheiten, welche am Projekt beteiligten Stellen welche personenbezogenen Daten verarbeiten, eine fehlende Verfahrensbeschreibung, ein nicht vorgelegtes Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Datenschutz-Grundverordnung, die nicht vorhandene Darstellung und Begründung der Verarbeitung von Beschäftigtendaten, insbesondere was Zugangs- und Zugriffsrechte, Dokumentation, Information der Beschäftigten anbelangt, ein fehlendes Löschkonzept, eine nicht durchgeführte Datenschutz-Folgenabschätzung, ein fehlendes Konzept zur Informationssicherheit – im Besonderen zum kryptographischen Schutz gespeicherter sensibler Daten – sowie fehlende Lösungsansätze bei der angesonnenen Verarbeitung von Daten in Drittstaaten außerhalb der EU. Unzureichende Unterlagen erschweren die datenschutzrechtliche Beurteilung der Aufsichtsbehörde und verzögern den Beginn entsprechender Vorhaben.

Bunter Themenmix und zu wenig Mitarbeiter
Wenngleich das vergangene Jahr stark von der Pandemie geprägt war, gingen deshalb nicht weniger Anliegen zu anderen Datenschutzthemen ein. So erreichten den Sächsischen Datenschutzbeauftragten fast täglich Eingaben und Hinweise zur Videoüberwachung. »Die Videografie stellte wie schon in den Vorjahren einen Arbeitsschwerpunkt dar. Des Öfteren standen die Fälle in Verbindung mit dem rechtswidrigen Einsatz von Dashcams, festgestellt von der Polizei bei Verkehrskontrollen«, erläutert Andreas Schurig.

Erstmalig befragte der Sächsische Datenschutzbeauftragte im Jahr 2020 Kommunen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO). Sie gilt seit dem 25. Mai 2018 und bildet die Grundlage für ein einheitliches Datenschutzrecht in der Europäischen Union. Die Kommunen wurden unter anderem danach gefragt, ob sie bereits organisatorische Vorkehrungen getroffen haben, um Bürgern Auskunftsersuche elektronisch zu erteilen, ob es einen Datenschutzbeauftragten gibt und inwiefern Schwierigkeiten im Umgang mit Einwilligungserklärungen auftreten.
»Insgesamt vermitteln die Umfrageergebnisse einen guten Eindruck, wie die Bestimmungen der DSGVO bis Anfang 2020 in den sächsischen Kommunen umgesetzt waren. Die Auswertung offenbarte aber nicht nur, welche Herausforderungen gemeistert wurden. Gleichsam traten die Defizite zu Tage. Diese Erkenntnisse sind bereits in meine Beratungsarbeit in 2020 eingeflossen, um das Datenschutzniveau in den Gemeinden weiter zu verbessern«, zieht Andreas Schurig eine positive Bilanz.

Wiederholt richteten sich Bürger, Unternehmen und öffentliche Stellen mit Fragen und Eingaben zu Cookie-Bannern und dem Einsatz von Messengern an ihn. In anderen Fällen befasste sich Andreas Schurig mit Auskunftsersuchen an Schulen, der datenschutzkonformen Löschung von Kundenprofilen, mit der Weitergabe von Mieterkontaktdaten an Makler und Nachmieter und vielen weiteren Anliegen.

Dazu kam das Urteil »Schrems II« des Europäischen Gerichtshofs, der das Privacy-Shield-Abkommen zwischen der EU und den USA für unwirksam erklärte. Folglich ist es US-Unternehmen nicht mehr möglich, auf der bisherigen Basis personenbezogene Daten von EU-Bürgern zu verarbeiten. Diese Entscheidung zwang eine Vielzahl wirtschaftlicher, politischer und gesellschaftlicher Akteure zum Handeln. Der Sächsische Datenschutzbeauftragte beriet auch in dieser Angelegenheit.

»Das Arbeitsaufkommen in meiner Dienststelle hat sich in den vergangenen Jahren drastisch erhöht. Dafür gibt es mehrere Gründe. So sind beispielsweise viele Bürger sensibilisierter für ihr Recht auf informationelle Selbstbestimmung und wenden sich öfter an mich. Zum anderen ist ein Aufgabenzuwachs zu verzeichnen, der vor allem auf die Datenschutz-Grundverordnung sowie auf nationale und regionale Gesetze und Verordnungen zurückzuführen ist. Sichtbar wird der Mehraufwand anhand der Posteingänge. Seit 2017 haben sich diese nahezu verdoppelt. Mit 17.100 verzeichnete meine Behörde 2020 einen neuen Rekord. Leider hat die Stellenentwicklung damit nicht Schritt gehalten, sodass die seit Jahren bestehende Unterbesetzung dazu führt, dass wir die gesetzlichen Aufgaben immer noch nicht vollumfänglich erfüllen konnten. Es ist ein Lichtblick und ein erster Schritt, dass meine Dienststelle bei den kürzlich abgeschlossenen Haushaltsverhandlungen acht neue Stellen zugesprochen bekam, die wir in den kommenden Monaten besetzen wollen«, so Andreas Schurig.

Seine Behörde beschäftigt derzeit über 30 Bedienstete, die mehr als 150.000 Unternehmen, 29.000 Vereine, 2,2 Millionen Privathaushalte sowie zahlreiche öffentliche Stellen in Sachsen im Hinblick auf deren Umgang mit personenbezogenen Daten beaufsichtigen.

Meldungen von Datenpannen auf neuem Höchststand
Nach Artikel 33 Datenschutz-Grundverordnung sind Verantwortliche verpflichtet, im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde zu melden. Ausnahme: Die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

»Im Jahr 2020 sind in meiner Dienststelle 635 Meldungen von Datenschutzverletzungen eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um über 40 Prozent. Prognostiziert auf die nächsten Jahre wird sich dieser Aufwärtstrend fortsetzen. Denn mit der zunehmenden digitalen Erfassung unseres Lebens steigt auch das Risiko für Datenpannen«, führt Andreas Schurig aus.

Die folgenden Fallgruppen sind im Berichtszeitraum besonders häufig gemeldet worden:
* Cyberkriminalität: Typische Handlungsfelder waren die Verschlüsselung und das Abgreifen von personenbezogenen Daten aus E-Mail-Postfächern, von Servern oder anderweitigen Datenträgern. *
* Fehlversand: Auf diese Fallgruppe entfielen im Berichtszeitraum die meisten Meldungen. Typische Fälle: Unterlagen mit falscher Zuordnung, fehlerhafter Kuvertierung oder Verwechslung der Empfängerperson. Vielfach waren Gesundheitsdaten betroffen, die aufgrund ihrer hohen Sensibilität und Vertraulichkeit ein besonders hohes Maß an Sorgfalt von der verantwortlichen Stelle fordern. *
* Offene E-Mail-Verteiler stellen nach wie vor den Klassiker der Datenschutzverletzung dar. Obgleich hierbei in der Regel das Risiko für die Betroffenen als durchaus gering eingeschätzt werden kann, ist eine solche Datenschutzverletzung gemäß Datenschutz-Grundverordnung in den meisten Fällen meldepflichtig. *
* Der Verlust von Unterlagen auf dem Postweg trat im Berichtsjahr häufig auf. Bei Bekanntwerden einer solchen Problematik, ist eine kritische Bewertung des Versanddienstleisters geboten. *
* Einbrüche und Diebstähle sind besonders problematisch. Sie zählen zu den kriminellen Handlungen, und damit ist das verbundene Risiko für die betroffenen Personen besonders hoch. Daher sind technisch-organisatorische Maßnahmen geboten, wie zum Beispiel die ordnungsgemäße Verwahrung und Verschlüsselung von Datenträgern. *

Beschwerden über Datenschutzverstöße auf hohem Niveau
Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen lag mit 1.247 nur geringfügig unter dem des Vorjahres (2019: 1.297). Seit Wirksamwerden der Datenschutz-Grundverordnung im Jahr 2018 haben sich die jährlich eingehenden Beschwerden und Hinweise mehr als verdoppelt. Sanken 2020 die Eingaben im nicht-öffentlichen Bereich, legten sie im öffentlichen Sektor gegenüber 2019 deutlich zu.

Führungsrolle in der Datenschutzkonferenz
Für den Sächsischen Datenschutzbeauftragten war das Jahr 2020 gleichwohl hinsichtlich der Arbeit in der Datenschutzkonferenz (DSK) außergewöhnlich. Denn nach 2003 hatte Sachsen 2020 zum zweiten Mal den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder inne. Erwartungsgemäß war damit ein hohes Arbeitspensum verbunden.

Andreas Schurig: »Trotz der Pandemie-Belastung und der Beschränkung auf digitale Zusammenkünfte können sich die Ergebnisse unter unserem Vorsitz sehen lassen. So wurden im zurückliegenden Jahr mehr als 20 Entschließungen, Beschlüsse, Orientierungshilfen und Materialien veröffentlicht, beispielsweise zum Einsatz von Videokonferenzsystemen und Wärmebildkameras oder zu Gesetzesvorhaben wie dem Patientendaten-Schutz-Gesetz. Ohne die lösungsorientierte und engagierte Zusammenarbeit der deutschen Datenschutzaufsichtsbehörden wäre dies nicht möglich gewesen.«

Des Weiteren organisierte der Sächsische Datenschutzbeauftragte den Europäischen Datenschutztag, der am 28. Januar 2021 zum Thema »Cross-Border Data Transfers« stattfand. »Für die schließlich als Onlinekonferenz durchgeführte Veranstaltung konnte ich zusammen mit dem Bundesministerium des Innern, für Bau und Heimat herausragende Fachleute aus dem Europarat und der Europäischen Union gewinnen. Die Konferenz war mit knapp 1.000 Teilnehmern aus der ganzen Welt der bestbesuchte Europäische Datenschutztag seit seinem Bestehen«, resümiert Andreas Schurig.

 

Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2020