Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 03. Mai 2021

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und habe folgende Themen für Sie ausgesucht:
  1. Aktuelles aus dem Datenschutz und der IT-Sicherheit
  2. Appel: "Privatsphäre ist ein Menschenrecht"
  3. Tätigkeitsbericht für 2020 des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BFDI)

1. Aktuelles aus dem Datenschutz und der IT-Sicherheit


Ich möchte hier zuerst auf meinen letzten Newsletter zurückkommen und mich für das zahlreiche Feedback bedanken, dass es zu dem Punkt "Datenschutz im medizinischen Bereich gab". Es ist leider richtig, und ich sage das noch einmal ausdrücklich, dass unsere Gesundheitsdaten, die von Ärzten oder Krankenhäusern festgestellt werden, keinen eingebauten Schutz gegen Fehler und Verfälschungen haben. Am Ende kann in unser Patientenakte etwas stehen, was sich nicht mit den Tatsachen unseres Körpers deckt. Dieser Wahrheit, auch wenn der Prozentsatz sicher ein geringer ist, müssen wir uns ergeben. Gerade deswegen ist hier Datenschutz, im Sinne des Erhalts der Richtigkeit von Daten, ein ganz wichtiger Punkt, den wir nicht vernachlässigen sollten. Unsere Gesundheit ist eines der wertvollsten Dinge, die wir haben.

Die Älteren unter uns, zu denen ich ja inzwischen auch schon gehöre, mögen sich vielleicht an diese Werbung aus Ihrer Kindheit im Fernsehen erinnern: " Frau Antje bringt Käse aus Holland!" Tatsächlich bringt den Käse heutzutage nicht "Frau Antje", sondern die Spedition Bakker Logistiek, einer der größten Spediteure im Benelux-Bereich mit einer Flotte von über 600 LKWs. Diese Firma wurde Mitte April, laut verschiedenen Medienberichten, Ziel eines Ransomware-Angriffs, bei dem die meisten Rechner des Unternehmens verschlüsselt wurden. Aus diesem Grund konnte die Firma keine Auslieferungen mehr vornehmen, denn ohne eine funktionierende EDV wusste man nicht mehr, welche Ware wo im Regal liegt. Das betraf vor allem auch den abgepackten Schnittkäse in den Niederlanden, wo die Regale in den Supermärkten leer blieben. Die Attacke, so ein Unternehmenssprecher, erfolgte über die schon länger bekannte Sicherheitslücke bei MS Exchange. Ob am Ende Lösegeld geflossen ist oder man die EDV anders wiederhergestellt hat, ist nicht bekannt. Der Fall ist aber deswegen bemerkenswert, weil diese Sicherheitslücke nunmehr seit vielen Wochen bekannt und trotzdem im Unternehmen nicht geschlossen worden war. Man kann das nur so deuten, dass die IT-Sicherheit hier komplett versagt hatte und das Konzept für eine schnelle Behebung von bekannten Sicherheitslücken, wenn es ein solches überhaupt gab, nicht funktionierte. Auch scheint es so, dass man in diesem Unternehmen keinen Plan B für einen EDV-Ausfall und die Aufrechterhaltung des Geschäftsbetriebs besaß. Wäre die EDV aus anderen Gründen als einer Malwareinfektion ausgefallen, von denen zahlreiche denkbar sind, wären die Käse-Regale in Holland wohl auch leer geblieben. Was hätte wohl "Frau Antje" zu so etwas gesagt?

Nicht viel anders erging es der Madsack-Mediengruppe, die zahlreiche Regionalzeitungen in ganz Deutschland auflegt. Nach einem Hackerangriff, genaueres zur Art des Angriffs ist nicht bekannt, blieben an einem Wochenende im April zahlreiche Zeitungen der Mediengruppe sehr dünn.

Die Verbraucherzentrale Bremen warnt vor einer neuen Masche Identitätsdaten zu stehlen. Dabei werden Termineinladungen per E-Mail versandt. Oftmals in der Form, dass diese sich gleich im Kalender eintragen. Klickt man dann darauf, kommt es zu einem Phishing-Versuch oder man wird mit Malware infiziert.

Weiterhin ist auch die Betrugsmasche mit gefälschten SMS sehr erfolgreich. In der Regel wird per SMS die Zustellung eines Pakets angekündigt, die man bestätigen soll. Allein bei der Telekom sollen es täglich 7.000 bis 8.000 Kund*innen sein, die auf einen solchen Link in einer SMS klicken und ihr Smartphone mit Malware infizieren. Dabei handelt es sich meistens um "Moqhao" und "FluBot" für Android Geräte. Apple Geräte Nutzer werden hingegen auf Phishing-Seiten weitergeleitet.


2. Apple: "Privatsphäre ist ein Menschenrecht"

Das sind jedenfalls große Worte, die Apple da in den Mund nimmt: "Privatsphäre ist ein Menschenrecht!" Wenn man sich 10 Jahre zurückerinnert, war die Philosophie der großen Internetkonzerne eine ganz andere. Allen voran fasste Marc Zuckerberg, der CEO von Facebook, es in kurze präzise Worte: "Privatsphäre ist nicht mehr die soziale Norm!" Inzwischen ist auch Facebook weg von dieser Sichtweise und denkt, dass die Zukunft privat ist. Dinge zu denken und auszusprechen sind eine Sache. Eine andere Sache ist auch zu handeln. Apple hat jetzt gehandelt, wie man schon im Spätsommer 2020 angekündigt hatte, und bringt mit dem IOS 14.5 für Smartphones und Tablets eine entscheidende Veränderung im Datenschutz heraus.

Es geht um die sogenannte Marketing-ID der mobilen Geräte und das app-übergreifende Verfolgen der Nutzer*innen. Die Marketing-ID war bisher überall so voreingestellt, dass sie automatisch aktiviert ist und jede App darauf zugreifen kann, ohne dass Nutzer*innen vorher einwilligen müssen oder auch nur über die Verwendung der Marketing-ID informiert werden. Lediglich in den Einstellungen der Geräte kann man diese ID zurücksetzen oder den Zugriff darauf verhindern. Apple kehrt dieses Prinzip nun um und Nutzer*innen muss für den Zugriff auf die Marketing-ID bei Installation einer App grundsätzlich zustimmen. Das sind benutzerfreundliche Voreinstellungen im Sinne des Datenschutzes. Und es stellt auch eine korrekte Einwilligung dar. Die Tatsache macht Apple jetzt nicht grundsätzlich konform mit der DS-GVO, aber jedenfalls geht der Konzern auf diesem Teilbereich des Big Data einen großen Schritt in Richtung gelebten Datenschutzes.

Analyse und Marktforschungsunternehmen gehen davon aus, dass 80% bis 90% der Nutzer*innen die Einwilligung ablehnen werden. In diesem Sinne trifft Apples Vorgehen sehr deutlich die Wünsche der Verbraucher*innen nach mehr Selbstbestimmung über das Tracking ihres Nutzerverhaltens. Hingegen trifft das Vorgehen nicht die Wünsche der Medien- und Werbebranche. Dort läuft man Sturm gegen diese Idee und mehrere Verbände haben beim Bundeskartellamt eine Beschwerde wegen Verletzung des Wettbewerbsrecht eingereicht. Eine erstaunliche Beschwerde, wenn man genau hinsieht. Zum einen zeigt der Gang vor das Kartellamt, dass man keine anderen juristischen Wege sieht und verzweifelt ist. Zum anderen tut endlich mal einer der großen Internetkonzerne das, was wir immer von diesen fordern, und übernimmt Verantwortung beim Datenschutz. Sofort will die Wirtschaft das verhindern und kämpft mit allen Mitteln dagegen. Und da fragt an sich schon, wie weit die Wirtschaft und die Verbraucher*innen inzwischen von einander getrennt existieren?

Ich möchte die inhaltliche Thematik etwas besser verständlich machen: Früher, in den analogen Zeiten, kleisterte man in einer gut belebten Straße ein Plakat an die Wand, bewarb damit irgendetwas, zum Beispiel Schnellkochtöpfe, und hoffte darauf, dass jemand vorbei geht, der sich wirklich für dieses Produkt interessiert, Schnellkochtöpfe braucht und sie sich auch leisten kann. Im Internet funktioniert das komplett anders. Man weiß vorher, wegen des Trackings der Nutzerdaten, wer vorbeikommt, was diese Person interessiert, was sie kaufen will und was sie sich leisten kann. Dann wird nicht willkürlich irgendeine Werbung rausgeschickt, sondern die perfekt personalisierte Anzeige ausgespielt. Während eine zufällige Anzeige nur im Promillebereich Beachtung findet, haben perfekt personalisierte Werbeanzeigen eine weitaus höhere Trefferquote. So verdient man Geld. Vereinfacht erklärt kann man sagen, dass man ohne personalisierte Anzeigen nichts verdient, weil niemand diese Anzeigen klickt und darüber etwas kauft. Man dagegen mit personalisierten Anzeigen quasi die Lizenz zum Geldrucken hat. Der Unterschied ist wirklich so gravierend. In diesem Kampf um die Nutzerdaten für Werbung stecken wir eigentlich schon seit dem Beginn des Internets. Cookie-Richtlinien der EU, die man versucht zu verhindern und an die sich niemand hält, und der Kampf der Verbraucherschützer gegen das Big Data Phänomen sind nichts Neues. Gleiches gilt für die DS-GVO, die auf diesem Gebiet nicht gelebt wird, sondern von der Werbewirtschaft beim Tracking nur dahin ausgelegt wird, wie man den Datenschutz am besten umgehen kann. Ein politisches Thema unserer Zeit, das noch nach einer Antwort sucht. Aber es stellt sich in diesem Zusammenhang auch die Frage, wie die Werbung der Zukunft aussehen soll? Geht es nur mit personalisierten Anzeigen oder muss man auf alten Wegen neu denken, um Werbung mit Datenschutz zu vereinen?



3. Tätigkeitsbericht für 2020 des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BFDI)


Der BFDI hat oftmals eine sehr undankbare Aufgabe. Er ist nicht nur für die großen überregionalen Unternehmen zuständig, sondern vor allem für die Bundesbehörden, die Bundespolizei und die Bundespolitik. Seine Berichte starten immer mit den an die Politik gemachten Empfehlungen der letzten Jahre. Die meisten und wichtigsten davon werden nur langsam oder gar nicht umgesetzt. Der BFDI ist eigentlich einer unser wichtigsten Verbraucherschützer in der Digitalisierung. Er kämpft aber einen ungleichen Kampf gegen Windmühlen. Das möchte ich einmal thematisieren:

Die großen Konzerne haben ihre Vertreter direkt in den Regierungszentren. Diese so genannten Lobbyisten gehen bei den Politikern quasi täglich ein und aus. Nicht selten wird sich dabei ausgiebig über den Datenschutz ausgeheult, der die Möglichkeiten der Unternehmen einschränkt personenbezogene Daten nach Belieben zu nutzen und zu vermarkten. Die Lobbyisten rechnen den Politikern dann vor, was ihnen an Umsatz entgeht und wie viel mehr Arbeitsplätze man schaffen könnte, wenn man doch nur ohne den Datenschutz machen dürfte. Da kommen den Politikern auch die Tränen und man weint gemeinsam. Abends trifft man sich dann zu einem privaten Abendessen. Am Ende stellt jemand einen Topf auf den Tisch, der Politiker schaut beschämt zur Seite, alle schütten Ihre Portemonnaies aus, und es fallen EUR 9.999,-- als Wahlkampfspende in den Topf. Danach stößt man gemeinsam auf den Datenschutz im Parteiengesetz an, der den Spendern Anonymität bis zur Summe von EUR 10.000 ermöglicht. Datenschutz ist eben wichtig, wenn er dort angewandt wird, wo es einem vorteilhaft ist! - Hingegen sitz der BFDI weit weg von den Politikern. Nach monatelangen Terminanfragen darf er aber auch ab und zu mal vorbeikommen. Er erklärt dann, wie der Datenschutz funktioniert und wofür er wichtig ist. Der Politiker versteht nur "Bahnhof" und fällt in einen Tiefschlaf. An der Stelle, wo der BFDI dann um mehr Personal, Kompetenzen und Budgeterhöhung bitte, schreckt der Politiker mit einem Alptraum aus seinem Tiefschlaf auf und geleitet den BFDI schleunigst zur Tür hinaus. - Diese Darstellung, als lustige Anekdote, ist etwas provokant, trifft den Punkt aber leider recht gut.

Worauf ich hinaus will, ist die Tatsache, dass der BFDI sehr wichtige Aufgaben hat, aber letztlich nicht die politische Unterstützung diese auch umsetzen zu können. Das ist, aus verschiedenen Gründen heraus, bedauerlich. Wir brauchen den Datenschutz auf unserem Weg in die Zukunft. Der Mensch hat vor tausenden von Jahren begonnen Informationen und Wissen analog zu verarbeiten. Zuerst mit dem Malen an Steinwände, dann mit Tontafeln, später auf Papyrus und letztlich im Druckverfahren auf Papier. Erst Mitte des 20. Jahrhunderts wurde die analoge Welt langsam von der digitalen Welt abgelöst. Wir wandeln Informationen und Wissen jetzt in ein System aus Nullen und Einsen um, die wir in rasender Geschwindigkeit automatisiert verarbeiten. Allerdings wird die Digitalisierung nur einen sehr kurzen Abschnitt in der Menschheitsgeschichte einnehmen. Mutmaßlich werden es nur 100 Jahre sein und bereits um das Jahr 2050 dürften Quantencomputer die digitale Welt abgelöst haben. Dann werden Daten nicht mehr in Null und Eins konvertiert, sondern können jeden beliebigen Wert haben. Eine neue Technik, die es erlauben wird, die Verarbeitungs-geschwindigkeit ins unermessliche zu steigern. Und danach kommen dann die neuronalen Netze, die eine weitere Steigerung der Verarbeitungsgeschwindigkeit bedeuten dürften. Mehr Geschwindigkeit bedeutet zum einen mehr Möglichkeiten und Fortschritt. Zum anderen bedeutet es aber auch mehr Gefahren. Um für diese Zukunft vorbereitet zu sein, brauchen wir einen funktionierenden Datenschutz, denn alles andere wäre eine Gefährdung für unsere freiheitliche demokratische Ordnung. Diese verteidigt auch, und nicht zuletzt, der BFDI mit seiner Arbeit.

So empfehlt der BFDI zum Beispiel schon seit Jahren eine gesetzliche Grundlage für das Haber-Verfahren zu schaffen und seine Befugnisse für die Überwachung des Datenschutzes in den Nachrichtendiensten zu erweitern. Im Haber-Verfahren geht es um die Überprüfung von Zuschüssen an NGOs durch das BfV (Bundesamt für Verfassung). Hier hat sich bisher nichts getan und es ist auch nichts derartiges zu erwarten. Generell tun sich die Wünsche des BFDI nach Erweiterung seiner Befugnisse schwer. Allerdings ist ein solcher Fortschritt dieses Jahr zu verzeichnen. Es ist eine Gesetzesvorlage auf dem Weg, in der es um die Erweiterung der Befugnisse des BFDI auf das Umwelt- und Verbraucherinformationsrecht geht. Dieses hört sich unspektakulär an, wäre aber ein sehr entscheidender Schritt für mehr Verbraucherschutz. Deutliche Worte findet der BFDI dagegen zu den Krankenkassen. So schreibt er in seinen Bericht: "Ich empfehle dem Gesetzgeber klarzustellen, dass auch gegenüber den gesetzlichen Krankenkassen bei Verstößen gegen die DS-GVO Geldbußen verhängt werden können." Und hierzu fügt er an: "Der Gesetzgeber lehnt dies ab. Wir beobachten daher Fälle, wo Datenschutzverstöße bewusst begangen wurden, um einen wirtschaftlichen Vorteil zu erreichen." Das sind deutliche Worte zu den Krankenkassen!

Der BFDI empfehlt auch eine Gesetzesgrundlage zu schaffen, welche die Autohersteller verpflichtet, den Autobesitzer*innen einen freien und transparenten Zugriff auf die Daten des Bordcomputers zu gewähren. Und er fordert dazu auf, die Jobcenter mit mehr Personal auszustatten, damit die dortigen DSB auch die Freiräume haben, um den Datenschutz in den Jobcentern umzusetzen. Viele der Empfehlungen kann man nur unterstützen.

Neben den Empfehlungen an den Gesetzgeber verwunderte mich eine Mitteilung aus dem operativen Geschäft: So ist der BFDI auch für die Paketbeförderungsunternehmen zuständig und berichtet, im Rahmen der ersten Phase der Corona-Krise, von zahlreich erhaltenen Beschwerden von Paketempfänger*innen. So wurden Paketempfänger*innen vom Paketbot*innen mit Paket in der Hand abfotografiert, um den Erhalt der Sendung zu dokumentieren. In vielen Fällen wurde auch der komplette Ausweis fotografiert oder die Empfänger*innen mit dem Ausweis in der Hand. Das Personen mit Paket in der Hand fotografiert wurden, hatte selbst ich noch nirgends vorher gehört. In Restaurants gab es Gästelisten mit Christian Ronaldo und Donald Duck, aber Paketbot*innen, die einen mit Paket und Ausweis fotografieren, waren mir wirklich neu. Na dann: "Bitte recht freundlich!"

Ein anderes Thema des BFDI ist der verschlüsselte E-Mailverkehr. Dieses Thema stößt auch bei vielen meiner Kunden sauer auf, und man hätte gerne praktikable Lösungen hierfür. Das sieht der BFDI letztlich nicht anders. In seinem Tätigkeitsbericht führt er aus, dass er dem Gesetzgeber empfohlen hat, die Voraussetzungen für einen allgemein verschlüsselten E-Mailverkehr in Deutschland zu schaffen. Er hält die hierbei derzeit existierenden technischen Probleme für hinderlich und wünscht sich funktionierende Lösungen, die jedermann einfach umsetzen kann und die mit jedem Anbieter von E-Mailadressen funktionieren. Ich führe hierzu noch einmal das Problem aus: Auf der einen Seite empfehlen die Aufsichtsbehörden E-Mailverkehr grundsätzlich end-to-end zu verschlüsseln, und sie verlangen es sogar beim Versand besonders schutzwürdiger Daten. In der Praxis funktioniert das aber nicht. Es gibt verschiedene Ansätze, zum Beispiel eine Verschlüsselung mit S/MIME. Meistens scheitert das schon am Austausch der öffentlichen Schlüssel, der per E-Mail mit Zertifikat/digitaler Signatur erfolgt. Solche E-Mails werden von den meisten Empfänger-Servern abgelehnt. Dieses letztlich auch nicht zu Unrecht, weil in dem Anhang wirklich eine Malware versteckt sein könnte. Kommt die E-Mail an, müsste die Gegenseite ebenso über S/MIME verfügen. Im Geschäftsverkehr kann man das einrichten, aber im Kundenverkehr ist es meistens nicht möglich. Es bedarf dafür bestimmter Voraussetzungen und Kenntnisse, die nicht jeder besitzt. Daher ist das ganze nicht praktikabel. Das betrifft vom Prinzip her quasi jeden Ansatz verschlüsselter E-Mailkommunikation. Lösungen sind auch weiter hierfür nicht in Sicht.

Dann widmet sich der BFDI an mehreren Stellen seines Tätigkeitsberichts einem Thema, das ich auch sehr oft ausführe: Datenschutz hat nämlich zwei Seiten, die juristische und die technisch-organisatorische Seite. Beide müssen erfüllt sein. Auf der juristischen Seite muss man dafür Sorge tragen, dass alle Informationen und Bestimmungen nach den Vorschriften der DS-GVO vollständig als auch inhaltlich korrekt vorhanden sind. Auf der anderen Seite muss man diese Bedingungen, die man erklärt und vereinbart, aber auch umsetzen. Nur weil etwas auf dem Papier steht, heißt es nicht automatisch, dass es auch so passiert und gelebt wird. Im Datenschutz kann man viel erklären und nichts davon tun. Andersherum, auch das passiert häufig, kann man den Datenschutz korrekt umsetzen, es aber einfach falsch in den Datenschutzbestimmungen festhalten. Mir persönlich ist letzteres lieber als ersteres. Falsch, im Sinne der DS-GVO, ist aber beides. Und auch der BFDI stellt fest, dass es in der Praxis oftmals nicht unüblich ist zu schreiben, dass man den Datenschutz vollständig umsetzt, aber dann tatsächlich nichts dergleichen tut.

Sehr moderat hingegen äußert sich der BFDI zum Thema Microsoft und der ewig andauernden Diskussion über Windows 10 und MS365. Hier verweist der BFDI nur darauf, dass man mit Microsoft zu Datenschutz-Fragen im Dialog ist. Es wird dabei die Problematik der Telemetriedaten genannt. Ansonsten hält man sich mit drastischer Kritik zurück. Zu Windows 10 wird auf die bestehende Empfehlung der Trennung des Betriebssystems vom Internet hingewiesen. In dieser Variante sieht der BFDI kein Problem im Einsatz von Windows 10. Bezgl. dieser und weiterer Probleme, ist Microsoft zu einigen Nachbesserungen aufgefordert worden. Von deutlichen Worten, dass Windows 10 und MS365 grundsätzlich nicht mit dem Datenschutz vereinbar sind, ist nichts zu lesen. Dieses Thema sieht man hier offensichtlich entspannter als in vielen Aufsichtsbehörden der Länder.

Insgesamt ist der Tätigkeitsbericht 128 Seiten lang und befasst sich vor allem auch mit bundespolitischen Themen. Dem BFDI kommen hier eine Reihe wichtiger Kompetenzen und Aufsichten zu. Dabei lässt er immer wieder durchblicken, dass ihm seine Arbeit keinesfalls leicht gemacht wird. Daher stellt sich als Resümee die Frage, ob das Problem Datenschutz nicht auch eine Frage der Einstellung in den Köpfen der Entscheider*innen ist? Oftmals beherrscht der Wunsch nach einfachem Geldverdienen, Macht und Kontrolle diese Köpfe mehr als ethisch motivierte Entscheidungsfindung.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter schaue ich u.a. einmal darauf, was sich nach einem Jahr Pandemie in Sachen Datenschutz getan hat und welche Rolle der Datenschutz in der Pandemiebekämpfung einnimmt.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com