Kategorie: Allgemein
24. April 2023
Am 12.01.2023 hat der Europäische Gerichtshof in einem Urteil bestätigt, was Datenschützer bereits vermutet hatten: Bei der Bearbeitung eines Antrags auf Auskunft gemäß Artikel 15 der Datenschutz-Grundverordnung müssen Verantwortliche in erster Linie die konkreten Empfänger nennen und dürfen nur in Ausnahmefällen auf Empfängerkategorien verweisen (wir berichteten).
Als Konsequenz dieses Urteils stellen sich in der Praxis zahlreiche Fragen: Ist es erforderlich, eine ladungsfähige Adresse anzugeben? Wie weit erstreckt sich der Empfängerbegriff? Müssen ausschließlich direkte Empfänger, einschließlich Auftragsverarbeiter, genannt werden, oder muss die Auskunft auch Angaben zu deren Dienstleistern enthalten?
Subunternehmer können auch Empfänger sein
In Situationen, in denen der Empfänger personenbezogener Daten eines Verantwortlichen ein Auftragsverarbeiter ist, könnte es zunächst akzeptabel sein, lediglich den Auftragsverarbeiter als direkten Empfänger zu benennen und nicht auch dessen eigene Empfänger wie z.B. Dienstleister. Die Praktikabilität der Bearbeitung von Auskunftsersuchen wird oft als Hauptargument für diese Meinung genannt. Es wird argumentiert, dass die Erwähnung von Subunternehmen des Auftragsverarbeiters den Zeitaufwand für die Bearbeitung von Auskunftsersuchen erhöhen würde, was für Verantwortliche unzumutbar ist.
Jedoch wird dabei übersehen, dass der Verantwortliche normalerweise Kenntnis über Dienstleister oder Subunternehmen des Auftragsverarbeiters haben sollte (z.B. durch Nennung in einem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO). Der Mehraufwand für die Nennung von Subunternehmen ist daher nicht unbedingt unangemessen und kann dem Verantwortlichen zugemutet werden. Darüber hinaus spricht auch der Zweck von Art. 15 DSGVO, dem Betroffenen eine umfassende Auskunft über die Verarbeitung seiner personenbezogenen Daten zu erteilen, für eine breite Auslegung des Empfängerbegriffs. Das Interesse des Verantwortlichen, die Bearbeitung von Betroffenenrechten möglichst praktikabel umzusetzen, kann diesen Zweck nicht überschatten.
Es ist auch wichtig zu beachten, dass der Empfängerbegriff in Art. 4 Nr. 9 DSGVO weit ausgelegt werden sollte und alle Personen oder Stellen umfasst, denen personenbezogene Daten offengelegt werden – unabhängig davon, ob sie Dritte sind. Aus dem Umkehrschluss der Definition des Dritten in Art. 4 Nr. 10 DSGVO ergibt sich, dass auch alle Personen oder Stellen außerhalb des Verantwortlichen erfasst sind, die befugt sind, personenbezogene Daten unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters zu verarbeiten. Dies schließt alle Unterauftragnehmer ein, die vom Auftragsverarbeiter des Verantwortlichen als weitere Auftragsverarbeiter eingesetzt wurden.
Der Empfängerbegriff in der Praxis
Ein Beispiel aus der Praxis von Konzernen verdeutlicht die Bedeutung der Auslegung des Empfängerbegriffs. In der Regel gibt es eine Servicegesellschaft innerhalb des Konzerns, die ihren Schwester- oder Muttergesellschaften IT-Services zur Verfügung stellt und als Auftragsverarbeiter fungiert. Eine enge Auslegung des Empfängerbegriffs würde bedeuten, dass das datenschutzrechtlich verantwortliche Unternehmen bei der Bearbeitung eines Auskunftsersuchens nur diese eine Schwester- oder Tochtergesellschaft als Auftragsverarbeiterin angeben müsste. Dies würde das Auskunftsrecht des Betroffenen nahezu ins Leere laufen lassen, da die eigentliche Verarbeitung der Daten durch Unternehmen wie Microsoft oder Google nicht berücksichtigt würde. Eine solche Vorgehensweise kann nicht im Interesse des Gesetzgebers sein, der dem Betroffenen eine umfassende Auskunft ermöglichen möchte. Das Auskunftsrecht ist ein Recht des Betroffenen und das Interesse der Verantwortlichen an der Praktikabilität kann diesem nicht übergeordnet sein. Eine weite Auslegung des Empfängerbegriffs innerhalb eines Konzerns ist auch erforderlich, um zu verhindern, dass das Auskunftsrecht durch die bloße Hinzufügung einer Servicegesellschaft ausgehebelt wird.
Fazit
Zusammenfassend kann man sagen, dass nach der Auslegung des Gesetzes und des EuGH-Urteils ein Auftragsverarbeiter als Empfänger im Sinne des Datenschutzrechts gilt und somit auch dessen Dienstleister bzw. Subunternehmer angegeben werden müssen. Allerdings müssen bei Übermittlungen an andere Verantwortliche nur diese genannt werden. Diese weite Auslegung bedeutet für Verantwortliche einen erheblichen Mehraufwand in der Praxis, da Prozesse eventuell neu ausgerollt werden müssen. Eine mögliche Lösung wäre, bereits bei der Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten auch die Dienstleister der Auftragsverarbeiter zu nennen bzw. auf die entsprechenden Vertragsdokumente und Anlagen zu verweisen. Dadurch kann die Bearbeitung von Auskunftsbegehren erleichtert werden.
17. April 2023
Vergangene Woche veröffentlichte das Bundesministerium der Justiz (BMJ) seine Eckpunkte zum Gesetz gegen digitale Gewalt. Ziel des Vorhabens sei es betroffenen Personen digitaler Gewalt, beispielsweise von Beleidigungen auf Internetplattformen bei der Durchsetzung ihrer Rechte und dem Schutz vor weiteren Rechtsverletzungen zu helfen. Das Vorhaben blieb allerdings nicht ohne Kritik.
Konkrete Vorschläge
Mit dem neuen Gesetz gegen digitalisierte Gewalt will das BMJ effektiver gegen beleidigenden Äußerungen und diffamierende Inhalten im Internet vorgehen. Diese Aufgabe sollte bisher das Netzwerkdurchsetzungsgesetz (NetzDG) übernehmen. Dieses soll allerdings durch den Digital Service Acts ab dem Zeitpunkt seiner Geltungswirkung ersetzt werden.
Nach dem Eckpunkte-Papier des BMJ sieht das Gesetz gegen digitale Gewalt zwei wesentliche Änderungen vor. Erstens solle es möglich sein, dass betroffene Personen digitalisierter Gewalt einen besseren Auskunftsanspruch über den Verfasser des rechtsverletzenden Textes erhielten. Außerdem sollte den betroffenen Personen künftig ein Anspruch auf Sperrung eines Accounts zustehen, der besonders häufig Rechtsverletzungen begehe.
Konkret sei es das Ziel des BMJ, dass das Gesetz gegen digitale Gewalt das Auskunftsverfahren verbessere. Demnach könne eine betroffene Person, die Opfer einer Beleidigung oder anderen Straftat sei, umfangreichere Nutzungsdaten bei dem Betreiber sozialer Medien erfragen. Statt lediglich der Name und der E-Mail-Adresse sei so ein Auskunftsanspruch auf Erhalt der IP-Adresse möglich. Die Durchsetzung des Auskunftsanspruch sollte kostenlos vor Gericht erfolgen.
Außerdem bekämen die betroffenen Personen die Möglichkeit bei schwerwiegenden Persönlichkeitsverletzungen die Sperrung des verursachenden Accounts zu veranlassen.
Kritik
Insbesondere der Chaos Computer Club (CCC) reagierte mit Kritik auf die Vorschläge des BMJ. Grund für die Kritik ist u.a. die Absicht des BMJ Dienstleister Sozialer Medien dazu zu verpflichten, die Bestands- und Nutzungsdaten der Verfasser von rechtswidrigen Inhalten zu speichern. Demnach sollten die Dienstleister im Falle eines Auskunftsverfahrens verpflichtet sein, die entsprechenden Daten abzusichern.
Der CCC sieht darin eine „Vorratsdatenspeicherung durch die Hintertür“. Aus Sicht des Clubs sei es problematisch, dass die Ziele des BMJ nur erreicht werden könnten, wenn Dienstleister Sozialer Medien eine Vielzahl von Daten speicherten. Allerdings würden einmal gespeicherte Daten häufig für andere, nicht vorhergesehene Zwecke genutzt werden. Außerdem sei es besonders bedenklich, dass die Pflicht zur Speicherung eine mögliche Profilbildung für verpflichtete Dienstleister erleichtere. Demnach könnten sie bereits vorhandene Daten mit Identifikationsdaten kombinieren. Die Folge seien erhebliche Risiken für die informationelle Selbstbestimmung.
Fazit
Bereits in ihrem Koalitionsvertrag von 2021 hatte die Ampelregierung ihre Absicht festgelegt, ein Gesetz gegen digitale Gewalt zu verabschieden. Es bleibt abzuwarten, ob die veröffentlichten Eckpunkte, so wie sie derzeit vorliegen Eingang in einen Gesetzesentwurf finden werden.
Am 4. April 2023 hat der Europäische Datenschutzausschuss (EDSA) die überarbeiteten Richtlinien zur Meldung von Datenschutzverletzungen veröffentlicht. Die Aktualisierung betrifft Unternehmen, die zwar nicht in der EU ansässig sind, aber dennoch gemäß der Datenschutz-Grundverordnung (DSGVO) in deren Anwendungsbereich fallen. Dieser Beitrag gibt einen Überblick über die Updates des EDSA und beleuchtet die rechtlichen Aussagen.
Die ehemaligen WP29 Leitlinien
Vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatte die damalige Artikel-29-Datenschutzgruppe (WP29) am 3. Oktober 2017 allgemeine Richtlinien zur Meldung von Datenschutzverletzungen verabschiedet, in denen die relevanten Abschnitte der DSGVO analysiert wurden. WP29 empfahl darin, dass Datenschutzverletzungen der Aufsichtsbehörde im Mitgliedstaat gemeldet werden sollten, in dem der Vertreter des Verantwortlichen in der EU niedergelassen ist. Als Nachfolger der WP29 bestätigte der EDSA diese Richtlinien am 25. Mai 2018 formell.
EDSA: Aktualisierung zu Meldepflichten
Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien zur Meldung von Datenschutzverletzungen für nicht in der EU niedergelassene Unternehmen aktualisiert. Das Feedback für diese Aktualisierung wurde im Rahmen einer öffentlichen Konsultation bis zum 29. November 2022 eingeholt. Der EDSA hat klargestellt, dass die bloße Anwesenheit eines Vertreters in der EU nicht das “One-Stop-Shop”-Prinzip auslöst, sondern nicht in der EU niedergelassene Unternehmen sich bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden müssen. Nach der öffentlichen Konsultation wurde dieser Abschnitt nun angenommen. Es sollten jedoch auch einige Klarstellungen des EDSA berücksichtigt werden, die zwar nicht direkt mit dieser Aktualisierung zusammenhängen, aber dennoch relevant sind.
Meldung an Aufsichtsbehörde
Nach Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung diese der zuständigen Aufsichtsbehörde gemäß Artikel 55 DSGVO zu melden, es sei denn, dass die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Meldepflicht beim Verantwortlichen
Der Verantwortliche ist für die Meldepflicht bei Datenschutzverletzungen verantwortlich. Bei gemeinsam Verantwortlichen sollten die vertraglichen Vereinbarungen gemäß Artikel 26 der DSGVO klarstellen, welcher Verantwortliche die führende Rolle bei der Meldung von Datenschutzverletzungen übernimmt. Auftragsverarbeiter müssen Datenschutzverletzungen unverzüglich dem Verantwortlichen melden, jedoch nicht direkt bei der Aufsichtsbehörde.
Risikobewertung
Bei einer Datenschutzverletzung ist eine Risikobewertung wichtig. Gemäß EDSA-Leitlinien sollten dabei verschiedene Faktoren berücksichtigt werden, wie die Art der Verletzung, die Art und Sensibilität der betroffenen Daten, Identifizierbarkeit der betroffenen Personen, Schwere der Folgen, besondere Eigenschaften von betroffenen Personen und dem Verantwortlichen, sowie die Anzahl der betroffenen Personen und allgemeine Aspekte wie Empfehlungen von ENISA. In den Leitlinien 9/2022 werden auch Beispiele für Risikobewertungen genannt, z.B. könnte eine Verletzung als Risiko betrachtet werden, wenn sensible personenbezogene Daten betroffen sind, während eine Verletzung als kein Risiko betrachtet werden könnte, wenn die Daten verschlüsselt waren und Datensicherungen existieren.
Meldung an Aufsichtsbehörde
Gemäß Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten die Meldung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung an die gemäß Artikel 55 zuständige Aufsichtsbehörde zu erstatten. Es sei denn, es ist wahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten keine Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Wann wird eine Datenpanne “bekannt”?
Gemäß Leitlinie 9/2022 gilt eine Datenschutzverletzung einem Verantwortlichen als “bekannt”, wenn er ausreichend sicher ist, dass ein Sicherheitsvorfall eingetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Es ist nicht erforderlich, dass die Datenschutzverletzung tatsächlich stattgefunden hat. Zum Beispiel wird einem Verantwortlichen der Verlust eines unverschlüsselten USB-Sticks, auf dem personenbezogene Daten gespeichert sind, bekannt, wenn er den Verlust bemerkt. Wenn ein Dritter dem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten erhalten hat und Belege für die unbefugte Offenlegung vorliegen, ist der Vorfall zweifelsfrei bekannt.
Empfehlung: Interne Richtlinien
Es wird empfohlen, dass nicht in der EU ansässige Unternehmen, die unter den Anwendungsbereich der DSGVO fallen, interne Richtlinien und Prozesse zur Meldung von Datenschutzverletzungen gemäß den Vorgaben des EDSA beachten. Die Meldung von Datenschutzverletzungen an mehrere Behörden kann zeitaufwändig sein. Interne Richtlinien und Prozesse zur Handhabung von Datenschutzvorfällen sind daher ratsam, um den Melde- und Benachrichtigungspflichten rechtzeitig nachzukommen. Effektive und regelmäßig überprüfte Prozesse zur Bewältigung von Datenschutzvorfällen sind entscheidend für eine schnelle Meldung von Datenschutzverletzungen und die Einhaltung von Fristen.
12. April 2023
Vor knapp einem Monat startete die europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden, in welcher die zahlreichen Datenschutzbeauftragten inspiziert werden sollen. Mehr als 500.000 Organisationen in ganz Europa haben laut IAPP Datenschutzbeauftragte im Rahmen der Datenschutz-Grundverordnung registriert. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat.
Der europäische Datenschutzbeauftragte erklärte, dass 26 Datenschutzbehörden an der koordinierten Aktion teilnehmen werden. Es soll sich primär auf die Benennung und Stellung von Datenschutzbeauftragten konzentriert werden. Grundsätzlich wird beurteilt, ob die behördlichen Datenschutzbeauftragten über die in den Artikeln 37-39 der EU-Datenschutzgrundverordnung geforderte organisatorische Stellung und die für ihre Arbeit erforderlichen Ressourcen verfügen.
Die Prüfung soll mit Hilfe von Fragebögen der teilnehmenden Behörden erfolgen. In diesen sollen unter anderem Fragen zur Benennung, zum Wissen und zur Erfahrung der Datenschutzbeauftragten, zu ihren Aufgaben und Ressourcen oder zu ihrer Rolle sowie der Position in ihrer jeweiligen Organisation enthalten sein.
Es bleibt abzuwarten zu welchen Ergebnissen die Überprüfungen führen werden. In Einzelfällen könnten gegebenenfalls auch Sanktionen zu erwarten sein. Hauptziel dieser Aktion soll jedoch stets ein Mehrwert für die Stellung von Datenschutzbeauftragten sein.
11. April 2023
Der Gerichtshof der Europäischen Union (EuGH) entschied (Rs. C-34/21) vor rund 2 Wochen, dass der § 23 Abs. 1 S. 1 HDSIG nicht die Anforderungen einer spezifischeren Vorschrift iSd Art. 88 DSGVO erfülle. Die Entscheidung über diese landesrechtliche Norm wirft für die Anwendung des gleichlautenden § 26 Abs. 1 S. 1 BDSG einige Fragen auf.
Hintergründe
Grundlage des Verfahrens vor dem EuGH war eine Klage des Hauptpersonalrates der Lehrerinnen und Lehrer beim Hessischen Kultusministerium beim Verwaltungsgericht Wiesbaden. Dabei war fraglich, ob im Rahmen des Unterrichtes per Videokonferenz eine Einwilligung der Lehrkräfte erforderlich sei. Zwecks Unterricht per Videokonferenz habe das Hessische Kultusministerium für die erfolgende Datenverarbeitung die Einwilligung aller betroffenen Schülerinnen und Schülern eingeholt. Für die betroffenen Lehrkräfte habe das Einwilligungserfordernis nicht gegolten. Stattdessen sei die Verarbeitung ihrer personenbezogenen Daten auf Grundlage des § 23 HDSIG erfolgt.
Was ist eine “Spezifischere Norm”?
Im Rahmen des Vorabentscheidungsverfahrens vor dem EuGH stand nun in Frage, welche Voraussetzungen eine spezifischere Vorschrift iSd Art. 88 DSGVO erfüllen müsse.
Art. 88 DSGVO enthält eine sog. Öffnungsklausel. Die DSGVO erlaubt den Mitgliedstaaten der europäischen Union demnach eine nationale Vorschrift zu erlassen, die der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dient. § 23 HDSIG und § 26 BDSG sollen eine solche nationale, spezifische Regelung sein.
Aus Sicht des Gerichtshof sei bei der Umsetzung der Öffnungsklausel in nationales Recht Art. 88 Abs. 2 DSGVO zu beachten. Demnach setzte die DSGVO der nationalen Norm eine Grenze. Sie müsse geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Außerdem sei es erforderlich, dass der Regelungsgehalt der nationalen Norm auf „(…) den Schutz der Rechte und Freiheiten von Beschäftigten bei der Verarbeitung ihrer personenbezogene Daten im Beschäftigtenkontext abziele (…)“ (EuGH, Urteil vom 30.03.2023, C-23/21, Rn. 65).
Zusätzlich könne die spezifischere Norm nicht lediglich die Vorgaben der DSGVO wiederholen. Sie müsse eine Regelung aufstellen, die eine Konkretisierung im vorgesehenen Bereich darstelle.
Anwendbarkeit des § 23 HDSIG
Darüber hinaus war es fraglich, welcher Folge eintrete, wenn eine nationale Norm die Anforderungen der DSGVO nicht erfülle. Aus Sicht des Gerichtshof sei dies insbesondere im Hinblick auf § 23 HDSIG fraglich. Dieser setzte voraus, dass ein Verantwortlicher personenbezogene Daten zum Zwecke des Beschäftigtenverhältnisses verarbeite. Dies entspräche der Verarbeitung zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO.
Demnach sei eine Norm, die die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht erfülle nicht anzuwenden. Alternativ könne die nationale Norm lediglich eine Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO darstellen. Ob dies der Fall ist, prüfte der EuGH nicht.
Fazit
Nach der Entscheidung des EuGH muss nun das VG Wiesbaden die Vorgaben des EuGH umsetzen. Für die Entscheidung ist § 26 Abs. 1 S. 1 BDSG grundsätzlich nicht relevant. Ob die Rechtsmäßigkeit dieser Norm künftig aber tangiert wird, bleibt abzuwarten.
6. April 2023
Vergangene Woche teilte die italienische Datenschutzbehörde mit, dass das Chat-Tool „ChatGPT“ in Italien künftig verboten sei. Aufgrund verschiedener datenschutzrechtlicher Bedenken sei es nicht mehr möglich die Internetseite, über die ChatGPT zur Verfügung gestellt wird, in Italien aufzurufen.
Wenige Informationen und kein Jugendschutz
Als Grund für das Verbot nannte die italienische Datenschutzbehörde verschiede Gründe. Ausschlaggebend für das Aus sei zunächst ein Mangel an Informationen. Demnach informieren ChatGPT im Rahmen seiner Anwendung den Nutzer nicht darüber, welche personenbezogenen Daten sie sammele und zu welchem Zweck dies geschehe. Aus Sicht der Behörde sei es eindeutig, dass ChatGPT personenbezogene Daten der Nutzer zusammentrage und speichere. Allerdings sei es unklar, was mit den Daten geschehe und ob das hinter ChatGPT stehende Unternehmen „Open AI“ diese ggf. weiterveräußere. Außerdem gebe das Unternehmen nicht an, auf welcher Rechtsgrundlage es personenbezogene Daten verarbeite.
Darüber hinaus dürfen nur Nutzer, die über 13 Jahre alt seien ChatGPT verwenden. Allerdings bestehen derzeit keine Kontrollmöglichkeit, mit der das Alter der Nutzer überprüft werde. Folglich sei es möglich, dass Kinder und Jugendliche auf Inhalte Zugriff erhielten, die für sie nicht bestimmt seien.
Des Weiteren könne es dazu kommen, dass über ChatGPT falsche Informationen verbreitet werden. Demnach antworte der Chat nicht immer richtig, sodass ungenaue personenbezogene Daten verarbeitet werden.
Verbot in Deutschland?
In Deutschland kann die Chat-Anwendung derzeit noch genutzt werden. In einem Kommentar betonte eine Vertreterin des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), dass ChatGPT auf seine datenschutzrechtliche Konformität hin überprüft werden solle. Insoweit warte man auf Informationen der italienischen Datenschutzbehörde, damit sich die Datenschutzbehörden der Bundesländer genauer mit dem Verbot auseinandersetzen können.
Grundsätzlich bleibt abzuwarten, wie die Verwendung von ChatGPT in Deutschland künftig aussehen wird und ob OpenAI datenschutzrechtliche Nachbesserungen treffen wird.
31. März 2023
Nach umfassenden Recherchen durch mehrere Medien aus acht verschiedenen Ländern, darunter der Spiegel, das ZDF, der Guardian und die Washington Post, wurde bekannt, dass russische Geheimdienste in Zusammenarbeit mit einer Moskauer IT-Firma weltweit Cyberangriffe auf Einrichtungen der kritischen Infrastruktur planen.
Die „Vulkan-Files“, die aus den Jahren 2016 bis 2021 stammen, wurden von einem anonymen Whistleblower veröffentlicht, der über den Krieg Russlands in der Ukraine verärgert war.
Gezielte Angriffe auf die Infrastruktur
Offiziell gibt sich NTC-Vulkan als ein Beratungsunternehmen für Cybersicherheit aus. Das Unternehmen ist allerdings Teil des militärisch-industriellen Komplexes in Russland. Ein kürzlich aufgetauchtes Leck vertraulicher Dateien hat aufgedeckt, dass sie an der Förderung von Putins Cyberwarfare-Fähigkeiten beteiligt sind. Diese durchgesickerten Dokumente, die Tausende von Seiten umfassen, zeigen, wie die Vulkan-Ingenieure mit dem russischen Militär und den Geheimdiensten zusammenarbeiten. Ihre Arbeit umfasst die Unterstützung von Hacking-Operationen, die Ausbildung von Agenten für Angriffe auf die nationale Infrastruktur, die Verbreitung von Desinformationen und die Kontrolle über bestimmte Teile des Internets. Die Verbindung des Unternehmens mit dem föderalen Geheimdienst Russlands (FSB), den operativen und nachrichtendienstlichen Abteilungen der Streitkräfte (GOU und GRU) und dem Auslandsgeheimdienst (SVR) wurde durch diese Dokumente nachgewiesen.
Sowohl NTC-Vulkan als auch der Kreml wurden mehrfach um eine Stellungnahme gebeten, dort wollte man sich jedoch nicht zu den Enthüllungen äußern. Die Echtheit der Vulkan-Dateien wurde allerdings von fünf westlichen Geheimdiensten bestätigt. Die durchgesickerten Dokumente enthalten auch Beispiele für potenzielle Ziele, darunter eine Karte mit Punkten, die Orte in den USA markieren, sowie Details über ein Kernkraftwerk in der Schweiz.
Verbindungen zu westlichen Konzernen
Nachdem sie NTC-Vulkan verlassen hatten, arbeiteten mehrere ehemalige Mitarbeiter für große westliche Unternehmen wie Amazon und Siemens. Beide Unternehmen haben die Beschäftigung dieser ehemaligen Vulkan-Mitarbeiter eingeräumt, aber erklärt, dass ihre internen Kontrollen einen unbefugten Zugang zu sensiblen Informationen verhinderten. Einige dieser ehemaligen Mitarbeiter leben nun in EU-Ländern, darunter Deutschland, und arbeiten nach Angaben verschiedener Medien für globale Technologieunternehmen. Das Sicherheitsrisiko, das von diesen ehemaligen Vulkan-Ingenieuren ausgehe, sei unklar, ebenso wie die Frage, ob sie die Aufmerksamkeit westlicher Spionageabwehrbehörden auf sich gezogen haben oder nicht.
Bedrohungen auf dem Vormarsch
Die Enthüllungen kommen zu einem Zeitpunkt, an dem die Bedrohung durch Cyberangriffe auf die kritische Infrastruktur und die Spannungen mit Russland zunehmen. Eine solche Infrastruktur umfasst wichtige Systeme wie Stromnetze, Wasserwerke, Krankenhäuser und Transportnetze, die von Regierungen und Unternehmen auf der ganzen Welt betrieben werden.
Die potenziellen Auswirkungen solcher Angriffe auf die kritische Infrastruktur sind enorm. Sie könnten nicht nur die betroffenen Einrichtungen lahmlegen, sondern auch zu einer Kaskade von Problemen führen, die sich auf andere Bereiche ausbreiten können. Zum Beispiel könnte ein Angriff auf das Stromnetz in einer Stadt dazu führen, dass Krankenhäuser ohne Strom bleiben und lebenswichtige medizinische Geräte nicht mehr funktionieren. Die Entdeckung der Vulkan Files ist ein alarmierendes Zeichen dafür, dass solche Angriffe immer gezielter und aggressiver werden.
Wie können sich Regierungen und Unternehmen vor diesen Bedrohungen schützen?
Insgesamt sind die Vulkan Files ein alarmierendes Beispiel für die Bedrohung durch Cyberangriffe auf die kritische Infrastruktur und verschärfen zusätzlich den Konflikt mit Russland. Die Sicherheitsmaßnahmen müssen verstärkt werden, um Angriffe zu verhindern oder schnell darauf reagieren zu können. Das bedeutet, dass ein stärkeres Bewusstsein für Cyber-Sicherheitsrisiken in allen Bereichen geschaffen werden muss. Regierungen müssen sicherstellen, dass ihre kritische Infrastruktur ausreichend geschützt ist, und Unternehmen müssen sicherstellen, dass ihre Netzwerke sicher und robust sind.
23. März 2023
Die österreichische Organisation „None of your business“ (noyb) reichte diese Woche mehrere Beschwerden gegen deutsche Parteien bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit ein. Grund für die Beschwerden sei, dass die Parteien während des Bundestagswahlkampfes 2021 das sog. Microtargeting auf der Social-Media-Plattform „Facebook“ einsetzten, um Wählerstimmen zu gewinnen.
Recherchen des ZDF Magazin
In einem am 24.September 2021 veröffentlichten Beitrag befasste sich das ZDF Magazin Royale mit den Ergebnissen seiner Recherche zum Thema Microtargeting. Diese stammten aus einer Zusammenarbeit mit der Transparenzinitiative „Who Targets Me“. Im April 2024 hatte das ZDF Magazin Royale seine Zuschauer dazu aufgerufen bei den Recherchen behilflich zu sein. Dafür sollten die Zuschauer eine Browser-Erweiterung installieren über die ausgelesen und gespeichert werden konnte, ob bei dem Besuch der Webseite Facebook Microtargeting erfolgt. Im Ergebnis konnte analysiert werden, dass alle größeren politischen Parteien Microtargeting auf Facebook betreiben.
Was ist Microtargeting?
Nach den Recherchen des ZDF Magazin Royals werde Microtargeting im Rahmen des Wahlkampfes eingesetzt, um zielgerichtete Werbung schalten zu können. Zu diesem Zwecke sammle und analysiere Facebook die Daten und das Verhalten seiner Nutzer. Die Beschwerdeführende Organisation noyb betonte, dass unklar sei, wie Facebook den Parteien Microtargeting ermögliche. Im Ergebnisse zeige Facebook jedem Nutzer individualisierte Wahlwerbung an. Allerdings richte sich diese Werbung nach den Interessen des Nutzern. Demnach könne eine Partei mit zwei verschiedenen Wahlversprechen, die sich schlichtweg unterschieden auf Facebook vertreten sein.
Beschwerden durch noyb
Nach Ausstrahlung des Beitrags, sei eine Vielzahl an Personen bereit gewesen der Organisation ihre Daten zu überlassen. Auf diese Weise sei es noyb möglich gewesen die Daten nach Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu untersuchen. Einen Verstoß gegen die DSGVO sah noyb in der versteckten Auswertung politischer Ansichten durch Facebook und durch die Parteien. Besonders problematisch an der Auswertung sei, dass politische Ansichten personenbezogene Daten besonderer Kategorie gemäß Art. 9 DSGVO seien. Ihre Verarbeitung werde nach der DSGVO grundsätzlich untersagt. Außerdem können Parteien durch die individualisierte Wahlwerbung ihre Wähler manipulieren.
Fazit
Folglich erhob noyb Beschwerde gegen die AFD, das Bündnis 90/die Grünen, die CDU, die Linke, die SPD und die Ökologisch-Demokratische Partei. Die Organisation betonte die Gefahren, die Microtargeting beinhalte. Die Parteien beeinflussten das Meinungsbild ihrer Wähler mit unlauteren Mitteln.
Mit der Auffassung, dass der Betrieb einer Facebook-Fanpage für eine Behörde datenschutzkonform nicht möglich sei, wies der Bundesdatenschutzbeauftragte Ulrich Kelber das Bundespresseamt an den Betrieb der Facebook-Fanpage einzustellen. Nach einem Kurzgutachten der Datenschutzkonferenz sei der behördliche Betrieb einer Fanpage auf Facebook mit dem Datenschutzrecht unvereinbar.
Das Bundespresseamt möchte die Fan-Page jedoch gerne weiter betreiben und reichte kürzlich beim Verwaltungsgericht Köln Klage ein. Der Stellvertretenden Chef des Presse- und Informationsamtes, Dr. Johannes Dimrot erklärte sich dazu folgend:
„Die Bundesregierung hat einen verfassungsrechtlichen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren. Zur Erfüllung dieses Auftrags gehört es, sich an der tatsächlichen Mediennutzung der Bürgerinnen und Bürger zu orientieren, um diese auch wirklich zu erreichen. […]”. Aktuell wird die Facebook-Fanpage weiterhin betrieben.
Stellvertretender Regierungssprecher Wolfgang Büchner gibt dem Bundespresseamt Rückhalt. Er ist der Auffassung, dass der Facebook-Auftritt ein wichtiger Bestandteil der Öffentlichkeitsarbeit der Bundesregierung sei. Daran sollte Büchners Auffassung nach daher auch erst einmal festgehalten werden.
Wie das Verwaltungsgericht Köln entscheiden wird, bleibt erst einmal abzuwarten. Spannend bleibt der Fall allemal, da dem Bundespresseamt mit der Information der Öffentlichkeit eine wichtige Rolle zukommt.
17. März 2023
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.
Zahl der gemeldeten Verstöße nimmt zu
2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).
Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr
Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.
Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.
Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).
Pages: 1 2 3 4 5 6 7 ... 198 199 
