Wir haben in unserem Blog bereits an zahlreichen Stellen über mögliche Datenschutzverletzungen sowie deren Eintrittsszenarien berichtet. Eine potenzielle Datenschutzverletzung, welche häufiger nicht die praktische Bedeutung erfährt, welche sie eigentlich genießen sollte, haben wir bisher noch unbeachtet gelassen: Weitreichende Zugriffsrechte, welche die unbefugte Kenntnisnahme von (personenbezogenen) Daten ermöglichen. Der Bayrische Landesbeauftragte für den Datenschutz (BayLfD) veröffentlichte Mitte Januar 2026 eine Kurz-Information unter dem Titel „Dateiablagen als Quelle von Datenpannen“.  Der BayLfD bietet mit seinen „Aktuellen Kurz-Informationen“ praxisnahe Hinweise zur Datenschutz-Grundverordnung für öffentliche Stellen und Unternehmen. Gründe genug also sich einmal näher mit den entsprechenden Fallkonstellationen auseinander zu setzen. Die Kurz-Information Nr. 65 soll im Mittelpunkt unseres heutigen Blog-Beitrages stehen.

First at all: Unbfugte Kenntnisnahme als Datenschutzverletzung

Zur Erinnerung: Nach Art. 4 Nr. 12 DS-GVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In den durch den BayLfD geschilderten Fällen handelt es sich vielmals um eine unbefugte Offenlegung. Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DS-GVO zur Kenntnis gelangen. Nach hier vertretener Ansicht ist es dafür unerheblich, ob es sich hierbei um einen internen oder externen Empfänger handelt.

Der Europäische Datenschutzausschuss führt hierzu in seinen Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DS-GVO aus: „Die unrechtmäßige oder unbefugte Verarbeitung schließlich kann die Offenlegung personenbezogener Daten gegenüber (bzw. den Zugang zu personenbezogenen Daten von) Empfängern, die nicht zum Erhalt der (bzw. zum Zugang zu den) Daten befugt sind, sowie jede andere Form der Verarbeitung unter Verstoß gegen die DSGVO beinhalten.“

Abzustellen ist demnach auf die nicht vorliegende Autorisierung bzw. Befugnis zur Kenntnisnahme der Daten. Obwohl insofern ein Zusammenhang mit der Zulässigkeit der Datenverarbeitung besteht (zur Erinnerung: eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DS-GVO setzt eine Verletzung der Sicherheit voraus, nicht einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung), ist für die Schutzverletzung nur auf die technischen und organisatorischen Maßnahmen abzustellen.

Dagegen kann durchaus hinterfragt werden, ob die Verletzung der Sicherheit voraussetzt, dass tatsächlich eine Kenntnisnahme der personenbezogenen Daten durch unbefugte Personen erfolgt ist oder die Möglichkeit der Kenntnisnahme ausreicht. Richtigerweise wird man davon ausgehen müssen, dass in den Fällen der unbefugten Offenlegung eine Verletzung der Sicherheit bereits eingetreten ist, wenn die Offenlegung erfolgt ist. Dagegen wird man die Frage, ob tatsächlich eine Kenntnisnahme stattgefunden hat, im Rahmen der Bewertung der Höhe des Risikos nachgehen und ob möglicherweise technische und organisatorische Maßnahmen (beispielsweise Löschbestätigung ohne Sichtung von Datensätzen) das potenzielle Risiko minimieren oder ausschließen.

Nun zur besagten Kurzinformation

Zurück zum Paper des BayLfD. Betrachtet werden (zentrale) Dateiablagen in Form von Verzeichnissen auf einem Server wie auch elektronische Akten oder ähnlichem: „Oftmals sind zentrale Dateiablagen als eigene Laufwerke mit einem festen Laufwerksbuchstaben eingerichtet, auf die je nach Größe der Dienststelle alle Beschäftigten oder – etwa nach Organisationseinheiten gegliedert – größere oder kleinere Gruppen zugreifen können. Die Verzeichnisnamen in den Laufwerken sind in der Regel so gewählt, dass für die Beschäftigten ersichtlich ist, welche Kategorien von Informationen dort zu erwarten sind.“

Zur Vermeidung von Datenschutzverletzungen im Zusammenhang mit Verzeichnissen und Dateiablagen rät der ByLfD zu folgenden Maßnahmen:

• Prüfen von Berechtigungen, bevor personenbezogene Daten in einem Verzeichnis abgelegt werden;
• Im Zweifel sind neue Verzeichnisse anzulegen;
• Seitens des Verantwortlichen wird zudem das Festlegen von zentralen Anforderungen bzw. Vorgaben für Dateiablagen aufgeführt (z. B. Festlegung von Zuständigkeiten für die Löschung von Dateien, Ergreifen zusätzlicher Maßnahmen bei der Ablage von sensiblen Daten wie Erstellung von Unterverzeichnissen oder Berechtigungsbeschränkungen bzw. Vergabe von Passwörtern) sowie Vergabe von Löschfristen.

Ähnliche Problemstellung, anderes System: Microsoft SharePoint

Die Nutzung von Microsoft SharePoint als Plattform für die gemeinsame Dokumentenverwaltung bringt in seiner Verwendung häufig ähnliche Probleme mit sich: „Obwohl SharePoint durch seine Funktionen zur Versionierung, Zugriffssteuerung und Zusammenarbeit viele Vorteile bieten kann, besteht auch hier die Gefahr, dass Datenpannen auftreten, insbesondere wenn Berechtigungen nicht sorgfältig verwaltet werden.“ Bei SharePoint können Berechtigungen auf unterschiedlichen Ebenen (Site-, Bibliotheks- oder Dokumentenebene) vergeben werden. Hierdurch entsteht mitunter eine hohe Komplexität. Dies gilt insbesondere, wenn diverse Dateiablagen im SharePoint von unterschiedlichen Teams genutzt werden.

Im Vergleich zu „normalen“ Dateiablagen bietet SharePoint jedoch die Möglichkeit sogenannte Audit-Logs zu protokollieren, um potenzielle Zugriffe nachzuverfolgen. Wiederrum sollte man Vorsicht walten lassen, das die Auswertungen der Zugriffsrechte wiederrum einen Zugriff auf personenbezogene Daten darstellen kann und somit einer (datenschutzrechtlichen) Rechtfertigung bedarf.

Fazit

Der BayLfD kommt im Ergebnis daher zu den Kernaussagen, dass Betriebsmittel wie gemeinsame Datenablagen oder Austauschverzeichnisse eine häufige Quelle von Datenpannen bzw. Datenschutzverletzungen sein können und dass bei der Arbeit sowie der Administration solcher Datenablagen und Verzeichnisse durch leicht umsetzbare Routinen einfache Verletzungshandlungen vermieden werden können. Beide Ansichten überzeugen. In der täglichen Arbeit stellen wir ebenso fest, dass leicht zu derartigen Verletzungen durch unbefugte Offenlegungen kommen kann. All zu leicht sind weitreichende (Lese-)Rechte eingerichtet, ohne dass es hierfür entsprechende Rechtfertigungen gibt. Ein handfestes Berechtigungskonzept kann hier beispielsweise Abhilfe schaffen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Braucht es über das Schwärzen von digitalen Dokumenten einen eigenen Blog-Beitrag? Die Erfahrung zeigt: Ja! Und auch die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) berichtet in einem Ende August veröffentlichten Beitrag aus ihrer Aufsichtspraxis, dass Unternehmen und Behörden bei einem Schwärzen von Dokumenten gelegentlich Fehler unterlaufen. Dabei kann ein fehlerhaftes Schwärzen nicht nur eine negative Außenwirkung erzeugen, sondern auch eine meldepflichtige Datenschutzverletzung gemäß Art. 33 Abs. 1 DS-GVO darstellen. Aus diesem Grund werden einige wichtige Aspekte hierbei im nachfolgenden Beitrag zusammengefasst.

Wann sollten Dokumente geschwärzt werden?

Ein Schwärzen einzelner Bestandteile von Dokumenten ist insbesondere dann sinnvoll, wenn zwar grundsätzlich ein Dokument an einen Empfänger übermittelt werden, dieser jedoch nicht alle darin enthaltenen personenbezogenen Daten oder sonstig schutzwürdige Informationen einsehen können soll. Auch durch die Regelungen der DS-GVO selbst kann ein Schwärzen von Dokumentbestandteilen erforderlich werden. So sieht beispielsweise Art. 15 Abs. 4 DS-GVO vor, dass das Recht auf Erhalt einer Kopie der eigenen durch den Verantwortlichen verarbeiteten personenbezogenen Daten nicht die Rechte und Freiheiten anderer Personen beeinträchtigen darf. Die Kopie darf also grundsätzlich nicht die personenbezogenen Daten Dritter umfassen. Dies lässt sich regelmäßig nur durch eine korrekte Schwärzung einzelner Dokumentenbestandteile erreichen.

Bei einem Schwärzen einzelner Passagen sollte jedoch zwingend auch darauf geachtet werden, dass sich ein Personenbezug beispielsweise nicht nur durch Namen, Identifikationsnummern oder andere eindeutige Attribute ergeben kann, sondern ein solcher auch über den Kontext herstellbar ist. Das bedeutet, dass es regelmäßig eben nicht ausreicht, nur einzelne Namen dritter Personen zu schwärzen. Es ist eine objektive Würdigung des gesamten Dokuments erforderlich.

Optische Schwärzung ist nicht ausreichend

Die Praxiserfahrungen zeigen, dass das Nutzen einfacher grafischer Elemente, wie zum Beispiel ein schwarzer Balken über einem Text, nicht nur inhaltlich, sondern auch technisch unzureichend sind. Nicht selten können derartige grafische Elemente durch den Empfänger mit wenigen Klicks entfernt werden. Auch die Textmarker-Funktion wird zum Schwärzen einzelner Passagen gern „missbraucht“. Hierbei ist zwar das Entfernen der Schwärzung nicht unbedingt möglich, wird der geschwärzte Text durch den Empfänger jedoch markiert, kopiert und beispielsweise in einem anderen Text-Dokument eingefügt, so erscheint dort der originale Text ohne Schwärzung. All diesen Vorgehensweisen ist gemein, dass die Sicherheit der Verarbeitung (Art. 32 DS-GVO) hier nur unzureichend Rechnung getragen wird.

Somit sollte zwingend darauf geachtet werden, dass bei der Nutzung von Text-Editoren und PDF-Programmen vom Hersteller konkret bereitgestellte Funktionen zum Schwärzen verwendet werden. Auch wenn diese Funktionen regelmäßig kostenpflichtig sind, gewährleisten – insbesondere unter Berücksichtigung der Fehleranfälligkeit alternativer Methoden – nur diese eine hinreichende Schwärzung von digitalen Dokumenten. Korrekt eingesetzt, ist hierdurch in aller Regel sogar eine Maschinenlesbarkeit der geschwärzten Passagen ausgeschlossen, das wiederrum für die Nutzung geschwärzter Dokumente im Rahmen von KI-Anwendungen oftmals essenziell sein dürfte.

Metadaten nicht vergessen!

Aber nicht nur die Inhaltsdaten eines Dokumentes können Informationen mit Personenbezug aufweisen. Auch der Dokumentenname und weitere Metadaten, das heißt Informationen zum Autor, zum Datum der Erstellung, bei digitalen Foto- und Videoaufnahmen oftmals auch Informationen zu den GPS-Koordinaten, können personenbezogene Daten darstellen. Auch hierbei liefern die Anbieter diverser Anwendungen in der Regel standardmäßig Werkzeuge mit, die ein Entfernen solcher Informationen mit nur wenigen Klicks ermöglichen.

Ein gängiger Anbieter für die Erstellung, Bearbeitung und Darstellung von PDF-Dokumenten stellt der Acrobat Reader dar. Für die Umsetzung der Schwärzung digitaler Dokumente und das Entfernen weiterer personenbezogener Daten aus PDF-Dokumenten, stellt der Anbieter auf seiner Internetseite eine umfassende Schritt-für-Schritt-Anleitung bereit.

Fazit

Das Schwärzen digitaler Dokumente hält einige Fallstricke bereit. Anwender und Anwenderinnen sollten stets sicherstellen, dass die geschwärzten Informationen nicht nur optisch, sondern auch tatsächlich geschwärzt worden und durch den Empfänger nicht mehr lesbar zu machen sind. Wird die Schwärzung nur unzureichend umgesetzt, wird hierbei in der Regel eine Datenschutzverletzung vorliegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gemäß Art. 33 Abs. 1 DS-GVO müssen Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden. Nach aktueller Rechtslage werden Wochenenden und gesetzliche Feiertage bei der Fristenberechnung nicht ausgenommen. Ein Vorschlag der Europäischen Kommission aus Juli 2023, die zugrundeliegende Berechnungsweise abzuändern, scheint vorerst gescheitert. Ein kurzer Überblick.

Kenntnisnahme einer Datenschutzverletzung

Der maßgebliche Zeitpunkt für die Berechnung der 72-Stunden-Frist ist zunächst die Kenntnisnahme der Datenschutzverletzung seitens des Verantwortlichen. Dabei ist zu berücksichtigen, dass für die Kenntniszurechnung in der Regel niedrige Hürden anzunehmen sind. So kann die 72-Stunden-Frist durchaus bereits dann zu laufen beginnen, wenn eine einzelne beschäftigte Person das Vorliegen einer Datenschutzverletzung wahrnimmt oder das Vorliegen einer solchen zumindest vermutet. Insofern ist es essenziell, dass die Beschäftigten sensibilisiert sind, derartige Ereignisse unverzüglich an den direkten Vorgesetzten und den Datenschutzbeauftragten mitzuteilen – auch an einem Freitagnachmittag kurz vor dem Feierabend.

Aktuelle Berechnungsgrundlage der 72-Stunden-Frist

Nach Kenntnisnahme der Datenschutzverletzung in der Sphäre des Verantwortlichen bemisst sich der Startzeitpunkt der 72-Stunden-Frist aktuell nach Art. 3 Abs. 1 der Verordnung Nr. 1182/71 vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine. Darin heißt es: „Ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.“ Das heißt, tritt die Kenntnisnahme der Datenschutzverletzung am Freitag um 15:23 Uhr ein, beginnt die 72-Stunden-Frist am Freitag um 16:00 Uhr.

Art. 3 Abs. 2 lit. a) ergänzt: „Eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.“ Die 72-Stunden-Frist endet demnach am Montag – auch wenn es sich hierbei um einen gesetzlichen Feiertag handelt – um 15:59 Uhr (und 59 Sekunden).

Vorschlag der Europäischen Kommission

Nach einem Verordnungsvorschlag der Europäischen Kommission zur Festlegung von zusätzlichen Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 würde im oben benannten Beispielsfall die 72-Stunden-Frist erst am Montag um 0:00 Uhr beginnen, denn in Art. 29 Abs. 2 des ursprünglichen Vorschlages heißt es: „Die Fristen beginnen an dem Arbeitstag, der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679 oder der vorliegenden Verordnung bezieht.“ Darüber hinaus stellt Art. 29 Abs. 1 klar, dass (weiterhin) die Regelungen der zuvor benannten Verordnung Nr. 1182/71 gelten sollen, in der es in Art. 2 Abs. 2 heißt: „Für die Anwendung dieser Verordnung sind als Arbeitstage alle Tage außer Feiertagen, Sonntagen und Sonnabenden zu berücksichtigen.“

Ein ähnlicher Zeitgewinn würde im Übrigen auch dann entstehen, wenn die 72-Stunden-Frist einen Feiertag oder ein Wochenende umfasst oder das Ende der 72-Stunden-Frist auf einen Feiertag oder ein Wochenende fällt. Hierbei ist wiederrum die bereits bestehende Regelung des Art. 3 Abs. 3 der Verordnung Nr. 1182/71 ausschlaggebend: „Die Fristen umfassen die Feiertage, die Sonntage und die Sonnabende, soweit diese nicht ausdrücklich ausgenommen oder die Fristen nach Arbeitstagen bemessen sind.“

Würde obiger Vorschlag tatsächlich umgesetzt, würde dies für einen Verantwortlichen mit Sitz im Freistaat Sachsen bedeuten, dass mit Kenntnisnahme einer Datenschutzverletzung am Freitag, 15. November 2024, die 72-Stunden-Frist erst am Montag, 18. November 2024 um 0:00 Uhr beginnt und aufgrund des Buß- und Bettags am Mittwoch, 20. November 2024 erst am Donnerstag, 21. November 2024 um 23:59 Uhr endet. – Hinweise auf Rechenfehler nimmt der Autor dankend entgegen.

Für Verantwortliche würde die Umsetzung des Vorschlages der Europäischen Kommission erhebliche zeitliche Entlastungen mit sich bringen. Jedoch wurde der Verordnungsvorschlag im Rahmen der ersten Lesung am 10. April 2024 im Europäischen Parlament behandelt und zunächst mit einigen Abänderungen an den zuständigen LIBE-Ausschuss zurücküberwiesen. In dem entsprechenden Dokument heißt es nun unter Abänderung 202 zu Art. 29 lediglich: „entfällt“. Auch unter Berücksichtigung der Ergebnisse des weiteren Verfahrens scheint somit (vorerst) alles beim Alten zu bleiben.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am vergangenen Donnerstag, den 2. November 2023 seinen jährlichen Bericht zur Lage der IT-Sicherheit veröffentlicht. Mit dem Bericht gibt das BSI einen umfassenden Bericht über die aktuelle Bedrohungslage. Für den zurückliegenden Berichtszeitraum zieht das BSI das vernichtende Fazit: „Die Bedrohung im Cyberraum ist so hoch wie nie“. Die neue Präsidentin des BSI – Claudia Plattner – sprach bei der Vorstellung des Berichtes von besorgniserregend. Zu den Gründen gehören die gestiegene Anzahl der Sicherheitslücken, Missbrauchsmöglichkeiten von KI-Tools oder aber Datendiebstahl bei Verbraucherinnen und Verbrauchern. Die wichtigsten Fakten im Überblick:

Im nachstehenden Beitrag sollen die wichtigsten Punkte des Berichts dargestellt und abschließend ein Blick auf mögliche datenschutzrechtliche Auswirkungen gewagt werden.

Ransomware ist und bleibt die größte Bedrohung

Die Schlagzahl der Ransomware-Angriffe bleibt hoch. Allerdings ist laut BSI zu beobachten, dass nunmehr nicht länger nur ein sogenanntes „Big Game Hunting“ – also Angriffe auf große, zahlungskräftige Unternehmen – erfolgt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Stellen und vor allem auch Kommunen von den Angriffen betroffen sind. Insbesondere im Bereich der Kommunen sieht man sich zum Teil mit weitreichenden Auswirkungen auf die Bürgerinnen und Bürgern konfrontiert, wenn bürgernahe Leistungen über einen bestimmten Zeitraum nicht zur Verfügung stehen.

Zudem zeichnen sich die Cyberangriffe durch eine steigende Professionalisierung aus. Sehr häufig wird von einem Konzept „Cybercrime-as-a-Service“ gesprochen. Das BSI seinerseits spricht sogar von einem „wachsenden Dienstleistungscharakter“ und einem gezielten Anbieten und Ausspielen von „Services im Bereich der Cyberangriffe.„

KI ist auch im Bereich der Cybersicherheit angekommen

Das Thema der Künstlichen Intelligenz – kurz KI – erstreckt sich im Bereich der Informationssicherheit neben den möglichen datenschutzrechtlichen Anforderungen bei der Nutzung von KI zunehmend auch auf den Bereich der Cybersicherheit. Die Anzahl und Fülle der KI-basierten Tools hat rasant zugenommen und steht somit der breiten Öffentlichkeit zur Verfügung. Mit „ChatGPT“ und Co. lassen sich zuweilen herausragende und authentische Ergebnisse erstellen. Zudem überzeugen die Tools durch einen hohen Grad der einfachen Bedienbarkeit.

Durch diese hohe Verfügbarkeit steigt allerdings gleichfalls die Gefahr der missbräuchlichen Verwendung. Insbesondere die sogenannten Deepfakes lassen sich immer authentischer erstellen. Die Gefahr durch Deepfakes und die Anwendungsszenarien missbräuchlicher Verwendung sind mannigfaltig und umfassen sowohl teilweise massive Schädigungen von Persönlichkeitsrechten von Personen als auch die Verbreitung falscher Informationen. Das BSI fasst unter der Begriff Deepfakes eine Bezeichnung für Methoden, die dazu verwendet werden können, Identitäten in medialen Inhalten mit Hilfe von Methoden aus dem Bereich der künstlichen Intelligenz gezielt zu manipulieren. Sprachlich betrachtet setzt sich der Begriff Deepfake seinerseits aus den Begriffen „Deep“ – als Abkürzung für Deep Learning (englisch: tiefes bzw. tief-gehendes Lernen) und Fake (englisch: Fälschung) zusammen.

Deep Learning bezeichnet hierbei eine spezielle Form des maschinellen Lernens und baut auf dem Konzept der sogenannten neuronalen Netze auf. Hierdurch können – vereinfacht gesprochen – komplexe Lernaufgaben an die KI adressiert werden. Durch selbstlernende Algorithmen ist es möglich Foto-, Audio- oder Videodateien für die Deepfakes zu verändern oder gänzlich neue zu generieren. Programme sind in der Lage aus einer Unzahl von Mediendateien von Personen durch Anlernen der KI menschliche Gesichtszüge, Bewegungen und sogar Stimmen zu erfassen und zu reproduzieren. Möglich ist es so beispielsweise, dass Gesichter von Personen ausgetauscht oder Stimmen durch eine maschinell generierte Originalstimme ersetzt und gleichzeitig auch Lippenbewegungen und Mimik so angeglichen werden, dass eine Unterscheidung zur Originaldatei nicht mehr möglich ist.

Sind in der Vergangenheit Deepfakes noch erkennbar gewesen, so sind sie mittlerweile mit bloßem Auge nicht mehr als solche zu identifizieren.

Warum ist Cybersicherheit auch für das Datenschutzrecht relevant?

Unter datenschutzrechtlichen Gesichtspunkten kann bei Cyberangriffen und IT-Sicherheitsvorfällen insbesondere die Bewertung von Melde- bzw. Informationspflichten nach den Art. 33 und Art. 34 DS-GVO Relevanz entfalten. Allerdings kann eine pauschale Beantwortung zum Vorliegen einer Verpflichtung nicht gegeben werden. Aufgrund der Vielzahl möglicher Angriffsszenarien, -ziele und -vektoren verbietet sich eine generische Bewertung im datenschutzrechtlichen Kontext. Zu sehr ist im konkreten Einzelfall hinsichtlich betroffener Daten und Personen, Anzahl der Datensätze, Eintrittswahrscheinlichkeit des Risikos sowie weitere Umstände des konkreten Vorfalls zu differenzieren. Erforderlich ist bei der Behandlung stets eine exakte Betrachtung und Bewertung des Vorfalls.

Auslegungshilfe bietet zum Beispiel ein entsprechender Leitfaden einer Unterarbeitsgruppe des Arbeitskreises Datenschutz der Bitkom. Einbezogen werden kann bei der Bewertung von möglichen Vorfällen auch die im Januar 2022 aktualisierte Richtlinie 01/2021 des Europäischen Datenschutzausschuss „on Examples regarding Personal Data Breach Notification“. Anhaltspunkte zum Umgang mit Datenschutzverletzungen – insbesondere auch bei Ransomware-Angriffen – lassen sich zudem der Handreichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Umgang mit Data-Breach-Meldungen nach Art. 33 DS-GVO entnehmen.

Fazit

Das BSI bleibt auch in seinem aktuellen Jahresbericht bei der äußerst kritischen Einschätzung der vergangenen Jahre. Die IT-Sicherheits- bzw. Cybersicherheitslage ist und bleibt auch weiterhin angespannt. Für öffentliche und nicht-öffentliche Stellen wird mit Blick in die Zukunft auch zu beobachten sein, wie sich die rechtlichen Anforderungen des neuen Cybersicherheitsrechtes der Europäischen Union durch insbesondere die NIS-2-Richtlinie und den Cyber Resilience Act auswirken.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Geltendmachung eines Schadenersatzanspruches nach der Datenschutz-Grundverordnung (verankert in Art. 82 DS-GVO) durch betroffene Personen ist für datenschutzrechtlich Verantwortliche stets ein Schadenszenario mit welchem sie sich bereits in der Vergangenheit, insbesondere in den Fällen von Datenschutzverletzungen vertieft auseinandersetzen mussten. Zu Tage treten derartige Fallkonstellation z.B. bei Datenschutzverstößen in Form von IT-Sicherheitsvorfällen bzw. Cyberangriffen, bei welchen es zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten kommt. Mit seinem Urteil vom 4. Mai 2023 (Az.: 3 Ca 150/21) hat der Europäische Gerichtshof (EuGH) nunmehr unter anderem klargestellt, dass ein reiner Verstoß gegen die Datenschutz-Grundverordnung noch keinen Schaden im Sinne des Art. 82 DSGVO begründet. Andererseits ist der Schadenersatzanspruch nicht davon abhängig, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeitsschwelle erreichen muss. Hierdurch wird von Großteilen der Literatur ein Wandel im Datenschutzschadenersatzrecht erwartet. Was das Urteil im Einzelnen bedeutet und welche Auswirkungen für die Praxis zu erwarten sind, soll nachfolgend näher betrachtet werden.

Der Schadenersatzanspruch der DS-GVO

Werfen wir jedoch zunächst einen Blick auf den Schadenersatzanspruch der Datenschutz-Grundverordnung, Art. 82 Abs. 1 DS-GVO: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Die Datenschutz-Grundverordnung eröffnet demnach die Möglichkeit auf den Ersatz eines immateriellen Schadens, also auf ein Schmerzensgeld, zu klagen. Erforderlich ist hierfür ein Verstoß gegen die Datenschutz-Grundverordnung. Die weiteren bzw. exakten Voraussetzungen (z.B. Kausalität und Schaden) waren (und sind es zum Teil weiterhin) in Rechtsprechung und Literatur umstritten.

Im Datenschutzrecht war die Durchsetzung von Schadenersatzansprüchen bisher alles andere als ein Selbstläufer. Bei vielen Verfahren war der Ausgang oft ungewiss, da die nationalen Gerichte die Voraussetzungen für den Schadenersatzanspruch zuweilen sehr unterschiedlich beurteilt haben. Nicht unüblich war insbesondere, dass nationale Gerichte – wie im Rahmen der Daten-Scraping-Fälle offenkundig wurde – Schadenersatzklagen an einer Erheblichkeitsschwelle „haben scheitern lassen“.

Teilweise – soweit kann dies bereits zum derzeitigen Stand festgehalten werden – schafft nun der EuGH durch sein Urteil Rechtsklarheit. Zumindest erscheint dies auf den ersten Blick so. Schafft der EuGH aber auch Rechtssicherheit? Die übergreifende Frage, die jedoch im Raum steht ist, ob nunmehr ein neues (Datenschutz-)Schadenersatzrecht entsteht?

Was sagt nun der EuGH?

Dem Urteil liegt das Verfahren der Österreichischen Post AG zu Grunde. Hier begehrte ein Betroffener Schadensersatz für erlittene Unannehmlichkeiten, nachdem die Österreichische Post AG ab dem Jahr 2017 Informationen über die politischen Affinitäten der Bevölkerung gesammelt hatte und diese an verschiedene Organisationen verkaufte, um ihnen den zielgerichteten Versand von Werbung zu ermöglichen. Sie leitete aus den gesammelten Daten eine hohe – aber unzutreffende – Affinität des Klägers zu einer bestimmten österreichischen Partei ab. Das Verhalten der Österreichischen Post bereitete dem Kläger „großes Ärgernis und einen Vertrauensverlust sowie das Gefühl der Bloßstellung“, weshalb er einen Schadenersatzanspruch in Höhe von EUR 1.000,00 geltend machte. Das Erstgericht wies die Klage ab, was ebenfalls durch das Oberlandesgericht Wien in der Berufung bestätigt wurde. Nachdem gegen das Urteil Revision eingelegt wurde, setzte der Oberste Gerichtshof in Österreich das aus und legte dem EuGH drei Vorlagefragen zur Vorabentscheidung vor.

In seinem Urteil hat der EuGH nun zum einen festgestellt, dass der Schadenersatzanspruch nach Art. 82 DS-GVO an drei kumulative Voraussetzungen geknüpft ist: (1) Es bedarf eines Verstoßes gegen die Datenschutz-Grundverordnung, (2) aus dem Verstoß muss ein materieller oder immaterieller Schaden resultieren und (3) es bedarf eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden. So weit so gut. Nach der Entscheidung des EuGH setzt der Schadensersatzanspruch demnach neben einem Verstoß gegen die Datenschutz-Grundverordnung zusätzlich einen kausalen Schaden voraus. Somit führt nicht jeder Verstoß gegen die Datenschutz-Grundverordnung auch zu einem Schadenersatzanspruch für die betroffene Person.

Darüber hinaus wird durch den EuGH aber auch festgestellt, dass für die Geltendmachung eines Anspruchs, der auf einen immateriellen Schaden zurückzuführen ist, keine „Erheblichkeitsschwelle“ überschritten werden muss. Es gibt also keine Grenze für Bagatellschäden, wie sie beispielsweise in den oben genannten Facebook-Scraping-Fällen zum Teil von den nationalen Gerichten angenommen wurde. Dies erscheint insoweit stringent, als dass die Datenschutz-Grundverordnung selbst keine solche Tatbestandvoraussetzung für den Schadenersatzanspruch kennt. Das Gericht konstatiert, dass es dem Willen des Gesetzgebers widerspreche, den Schadensbegriff auf Beeinträchtigungen mit einer gewissen Erheblichkeit zu beschränken. Gleichzeitig gilt nach Ansicht des EuGH jedoch, dass der Betroffene nicht davon befreit ist, nachzuweisen, dass der eingetretene Schaden tatsächlich auf den Verstoß gegen die Datenschutz-Grundverordnung beziehungsweise die Datenschutzverletzung zurückzuführen ist.

Schließlich führt der EuGH zu den Regeln die Schadensbemessung betreffend aus. Diesbezüglich enthält die Datenschutz-Grundverordnung selbst keine Vorgaben und es bestehen auch keine sonstigen unionsrechtlichen Regelungen, weshalb im Ergebnis insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes durch die mitgliedstaatlichen Rechte ausgefüllt werden muss.

Welche Auswirkungen sind für die Praxis zu erwarten?

Das Gesagte lässt zwar vermuten, dass die Geltendmachung des datenschutzrechtlichen Schadenersatzanspruches grundlegend an höhere Anforderungen geknüpft wird, da nicht jeder Verstoße gegen die Datenschutz-Grundverordnung auch zu einem Anspruch führt. Dennoch drängt sich die Vermutung auf, dass künftig mehr Klageverfahren geführt werden könnten. Dies ist darauf zurückzuführen, dass insbesondere die deutschen Gerichte Klagen auf Schadenersatz nach Art. 82 DS-GVO in der Vergangenheit mit Verweis auf die Erheblichkeitsschwelle (sog. Bagatellfälle) abgewiesen haben. Insbesondere bei Datenschutzverletzungen z.B. infolge von Cyberangriffen könnte dies nunmehr zu einem erhöhten Risiko für verantwortliche Stellen kommen – wenn da nicht weiterhin ungeklärte Fragen wären…

Offen bleibt, insbesondere welche Verstöße gegen die Datenschutz-Grundverordnung einen Schadenersatz auslösen können. Im Raum steht hier allem voran die Frage, ob Verstöße gegen die Informationspflichten nach Art. 12 bis Art. 14 DS-GVO ausreichend sein können. Diesbezüglich lohnt gegebenenfalls ein Blick auf das Urteil des EuGH ebenfalls vom 4. Mai 2023 (Az.: C-60/22), in welchem der EuGH wiederrum konstatiert, dass ein Verstoß gegen Art. 26 DS-GVO (Gemeinsame Verantwortlichkeit) und Art. 30 DS-GVO (Verzeichnis der Verarbeitungstätigkeiten) nicht zur Unrechtmäßigkeit einer Datenverarbeitung führt.

Auch die Frage nach dem konkreten Schaden wird durch den EuGH nicht abschließend beantwortet. Offen bleibt, was konkret unter einem Schaden zu verstehen ist. Ungeklärt ist mithin weiterhin was unter den immateriellen Schadensbegriff gefasst werden muss. Da drängt sich die Frage auf: Soll Schmerzensgeld z.B. wehtun? Diese Frage ist auch deshalb nicht trivial, da die datenschutzrechtliche Schadenersatzpraxis, durch die ab Juni 2023 in nationales Recht umzusetzende EU-Verbandsklage neuen Sphären erreichen könnte.

Fazit

Verantwortliche Stellen könnten sich künftig vermutlich mehr mit Schadenersatzforderungen in großer Zahl in Folge von Datenschutzverstößen, insbesondere nach Datenschutzverletzungen bzw. IT-Sicherheitsvorfällen ausgesetzt sehen. Ander als bei den Verstößen gegen „formelle“ Anforderungen liegt z.B. bei einer Datenschutzverletzung in Form einer Datenexfiltration ein Kontrollverlust der betroffenen Person über die eigenen personenbezogenen Daten vor. Hier wird insbesondere auch auf das kommende Urteil des EuGH in der Rechtssache C-340/21 zu blicken sein. In dieser Sache hat der Generalstaatsanwalt am 27. April 2023 seine Schlussanträge vorgelegt, mit denen er sich mit der Frage auseinandersetzt, ob ein Cyberangriff auf einen Verantwortlichen stets in eine Schadensersatzhaftung nach Art. 82 DS-GVO führt. Es bleibt also mit Spannung abzuwarten, wie sich das (Datenschutz-)Schadenersatzrecht weiterentwickelt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Es ist längst kein Geheimnis mehr, dass Unternehmen wie auch die öffentliche Verwaltung gleichermaßen zunehmend einer sich immer weiter zuspitzenden Lage der IT-Sicherheit in Deutschland ausgesetzt gegenübersehen. Dieser Umstand wird nicht nur das Bundesamt für Sicherheit in der Informationstechnik (BSI) im jährlichen Lagebericht dargelegt, sondern ist neben den Fachinformationsquellen zuweilen auch aus den allgemeinen Medien zu entnehmen. Es vergeht nahezu kein Tag ohne Berichterstattung welche Phishing-Kampagnen, Ransomware-Angriffe oder Technologien im Bereich Deepfakes und zahlreiche andere Szenarien zum Gegenstand haben. Durch Cyberangriffe wie Ransomware können komplette Betriebsabläufe gefährdet werden, indem Daten und Systeme verschlüsselt werden können. Die IT- bzw. Cybersicherheitslage ist angespannt. Dieses Lagebild zeichnet sich gleichwohl nicht nur für den deutschen Raum ab. Weltweit sind Unternehmend und Behörden Zielscheiben von Cyberangriffen. Neben Lösegelderpressungen, Umsatzeinbußen, Ausfallkosten durch Beeinträchtigungen von Produktionssystemen, Patentrechtsverletzungen, Imageschäden sowie Kosten für Ermittlungen, Ersatzmaßnahmen und Rechtsstreitigkeiten sind ebenso datenschutzrechtliche Aspekte zu betrachten. Dies gilt sowohl in präventiver Hinsicht – z.B. Einhaltung der Grundsätze aus Art. 5 Abs. 1 lit. f), Art. 32 DS-GVO – als auch für den repressiven Bereich, wie der aktuelle Fall der Centric Health Ltd. anschaulich verdeutlicht. Was sich genau ereignet hat und an welcher Stelle das Datenschutzrecht ins Spiel kommt, soll der nachstehende Beitrag näher beleuchten.

Was ist passiert?

Gegen die Centric Health Ltd. wurde gemäß Art. 83 DS-GVO ein Bußgeld insgesamt in Höhe von EUR 460.000 aufgrund eines Ransomware-Angriffs verhängt. Die Centric Health Ltd. bietet hausärztliche und zahnärztliche Leistungen der primären Gesundheitsversorgung, fachärztliche und berufsbezogene Dienstleistungen für über 400.000 Patienten in ganz Irland. Der Hauptsitz des Unternehmens befindet sich in Dublin. Bei dem Vorfall – der sich bereits 2019 ereignete – waren Daten von ca. 70.000 Patienten betroffen. Bei Ransomware handelt es sich um eine – wenn nicht sogar die – operativ größte Bedrohung im Cybersicherheitsbereich. Ransomware sind Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder verhindern und eine Freigabe der betroffenen Ressourcen üblicherweise nur gegen Lösegeld erfolgt. Bei dem Einsatz von Ransomware wird das betroffene Opfer demnach bedroht, dass seine Daten gelöscht werden bzw. bereits gelöscht und vorher vorgeblich als Backup ins Netz kopiert oder verschlüsselt und so unzugänglich gemacht wurden. Was bei einem Ransomware-Angriff zu tun ist, haben wir bereits in der Vergangenheit näher beleuchtet.

Im Fall der Centric. Health Ltd. haben sich die Täter über eine Sicherheitslücke Zugriff auf die Computersysteme des Gesundheitsunternehmens verschafft. Dabei wurden personenbezogene Daten von Patienten zunächst verschlüsselt und in einem späteren Schritt durch die Hacker sogar Datensätze von ca. 2.500 Patienten gelöscht. Die Daten auf dem System wurden zwar regelmäßig durch Backups gesichert, und jeden Tag wurde ein Snapshot der Daten erstellt, aber auch diese Sicherungen waren durch den Angriff betroffen. Forensische Untersuchungen haben ergeben, dass anhand der verfügbaren Daten keine Beweise für eine Datenexfiltration festgestellt werden konnten. Unter den betroffenen Datenkategorien befanden sich insbesondere Namen, Geburtsdaten, Sozialversicherungsnummern sowie Kontaktinformationen der Patienten. Es gab in der Folge eine Lösegeldforderung, welcher durch die Centric. Health Ltd. auch nachgekommen wurde, wodurch die Entschlüsselung der Daten erreicht werden sollte.

Was wird der verantwortlichen Stelle vorgeworfen?

Zunächst ist festzuhalten, dass der Fall bereits deshalb besondere Aufmerksamkeit verdient, da es sich um die Verhängung eines Bußgeldes durch die Irische Datenschutzaufsichtsbehörde (An Coimisiún um Chosaint Sonraí) handelt. Der gegenständliche Fall spielt zur Überraschung abseits der großen Tech-Giganten, welche üblicherweise mit der irischen Datenschutzaufsichtsbehörde in Verbindung gebracht werden.

In der Begründung des Bescheides wird u.a. ausgeführt, dass der Verstoß von Centric in der Nichtumsetzung technischer und organisatorischer Maßnahmen, die dem Risiko angemessen sind, das sich aus der Verarbeitung personenbezogenen Daten der Patienten ergibt, liegt. Das Versäumnis die erforderlichen Schutzmaßnahmen nicht rechtzeitig und wirksam zu ergreifen, führte zu der die Möglichkeit, dass personenbezogene Daten von Patienten an Unbefugte weitergegeben wurden. Im Sinne des Art. 4 Nr. 12 DS-GVO liegt demnach eine Verletzung des Schutzes personenbezogener Daten durch eine unbefugte Offenlegung von bzw. einen unbefugten Zugang zu personenbezogenen Daten vor.

Die Untersuchung der Aufsichtsbehörde ergab, dass die Gesundheitseinrichtung keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen hatte, was den Angriff noch erleichterte. Vorgeworfen wird der Centric Health Ltd. ein Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO [„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet…“], Art. 5 Abs. 2 DS-GVO sowie Art. 32 Abs. 2 DS-GVO [„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind…“].

Den Angaben entsprechend verfügte Centric zwar über funktionierende Firewall-Systeme und Protokollierungen. Der forensische Bericht stellte allerdings fest, dass die Konfiguration der Netzwerk-Firewall von Centric zum Zeitpunkt des Vorfalls „vollständig offen war und sämtlichen eingehenden und ausgehenden Datenverkehr durchließ“. Weiterhin sei der Remote Desktop Protocol (RDP) Dienst auf dem Host Server „vollständig dem Internet ausgesetzt und lediglich mit einem Kennwort gesichert, dass ohne große Schwierigkeiten durch einen Brute-Force-Angriff geknackt werden konnte.“ Im forensischen Bericht wird ferner festgestellt, dass die Passwörter für die Administratorkonten „anscheinend einem üblichen organisatorischen Format folgten und nicht den üblichen Passwortsicherheitsstandards entsprachen“. Schließlich wird festgestellt, dass auf das Windows-Betriebssystem im gesamten Jahr 2018 keine Sicherheits- oder Funktionspatches angewendet wurden.

Welche Auswirkungen ergeben sich für die Praxis?

Der gezeigte Fall lässt insoweit aufhorchen, als dass durch die Begründung für die Bußgeldsanktionierung mehr als deutlich hervorgehoben wird, welche Bedeutung der technische Datenschutz einnimmt. Insbesondere Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 DS-GVO verpflichten die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, ein Sicherheitsniveau zu gewährleisten, das den mit der Verarbeitung personenbezogener Daten verbundenen Risiken angemessen ist.

Zu einem angemessenen Sicherheitsniveau gehören technische Maßnahmen, die in der Lage sind, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten. Zu den angemessenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DS-GVO gehören – mit Blick auf den konkreten Fall – unter anderem, dass verfügbare Sicherheits-Patches zeitnah eingespielt werden. Weiterhin umfasst sind funktionierende Backups, wobei hierunter nicht nur die gebetsmühlenartige Belehrung zu zählen ist, dass überhaupt ein Backupsystem vorhanden ist. Vielmehr muss das für Sorge getragen werden, dass z.B. im Fall eines Cyberangriffs die Verfügbarkeit der Daten durch das erfolgreiche Einspielen des Backups gewährleistet werden kann. Ebenso stellt eine erfolgreiche Passwortsicherheit einen entscheidenden Schritt für ein angemessenes Sicherheitsniveau dar. Umso erschreckender erscheint es, dass unter den beliebtesten deutschen Passwörter 2022 zuweilen immer noch altbekannte Klassiker zu finden sind.

Fazit

Zusammenfassend lässt sich zunächst festhalten, dass der Fall für datenschutzrechtlich verantwortliche Stellen in jeglicher Hinsicht ein Augenöffner darstellen sollte, welchen Stellenwert die Datensicherheit bzw. die Sicherheit der Verarbeitung nach Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 DS-GVO für die grundlegende Erfüllung der datenschutzrechtlichen Verpflichtungen einnimmt. „Mut zur Lücke“ ist in diesem Bereich selten ein guter Ratschlag, insbesondere auch im Hinblick auf die eingangs erwähnte sich zuspitzende Sicherheitslage.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

An vielen anderen Stellen weist das Bundesamt für Sicherheit in der Informationssicherheit (BSI) zu Recht darauf hin, dass das Thema Cybersicherheit nicht allein Computersysteme, Netzwerke etc. betrifft. Eine immer größere Bedeutung nimmt der „Faktor Mensch“, also die Nutzerinnern und Nutzer der Technologien, ein. Insbesondere beim sogenannten Social Engineering nutzen Täter dieses vermeintlich schwächste Glied in der Verteidigungskette gezielt aus. In seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2022 weist das BSI explizit darauf hin, dass der Faktor „Mensch“ wie z.B. in den Fällen des Social Engineering immer bedeutsamer wird. Anwendungsfälle liegen insbesondere im Bereich der Betrugs-E-Mails. Hierbei nehmen Phishing-E-Mails laut Angaben des BSI mit rund 90 Prozent den größten Anteil ein. Social Engineering ist längst eine feste Begrifflichkeit im Bereich der Cybersicherheit aber auch des Datenschutzrechts. Im Datenschutzrecht bestehen insbesondere mit Blick auf die Sicherheit der Verarbeitung nach Art. 32 DS-GVO sowie hinsichtlich möglicher durch Social Engineering ausgelöster Datenschutzverletzungen bestehende Melde- und Benachrichtigungspflichten nach Art. 33 und Art. 34 DS-GVO entsprechende Anknüpfungspunkte. Doch was verstehen wir eigentlich unter Social Engineering und warum geht hiervon eine solche Gefahr aus? Diese und weitere Fragen soll der nachstehende Beitrag näher beleuchten.

Was verstehen wir unter Social Engineering?

Das BSI beschreibt in seinem Lagebericht Social Engineering wie folgt:

„Bei Cyber-Angriffen durch Social Engineering versuchen Kriminelle, ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadprogramme auf ihren Systemen zu installieren. Sowohl im Bereich der Cyber-Kriminalität als auch bei der Spionage gehen die Angreifer geschickt vor, um vermeintliche menschliche Schwächen wie Neugier oder Angst auszunutzen und so Zugriff auf sensible Daten und Informationen zu erhalten.“

An anderer Stelle wird Social Engineering als „gezielte Nutzung psychologischer Manipulationstechniken aufgefasst, um jemanden zu Handlungen zu bewegen, die nicht seiner Einstellung entsprechen.“ Im bildlichen Vergleich gesprochen erscheint Social Engineering dem Schachspiel sehr ähnlich, mit dem Unterschied, dass beim Social Engineering die Figur selbst ihren Zug ausführt. Zusammenfassend lässt sich festhalten, dass Social Engineering Angriffsmethoden beschreibt, welche zusätzlich eine soziale Komponente nutzen, um die Opfer dazu zu verleiten, durch den Angreifer gewollte Handlungen durchzuführen. Ausgenutzt werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren.

Wie funktioniert Social Engineering?

Wie in dem Papier der Risworkers zutreffend aufgeworfen wird, stellt Social Engineering per se keine Neuheit dar, denn Manipulationen werden vorgenommen, seit es Geheimnisse gibt, die andere erfahren wollen. Neu in diesem Zusammenhang ist jedoch die Effizienz und Zielgenauigkeit des Vorgehens durch Nutzung elektronischer Kommunikationswege. Social Engineering kann in verschiedenen Konstellationen auftreten wie beispielsweise zum Erhalt gesicherter Informationen wie Passwörtern und Zugangskennungen, um Zugang zu gesicherten IT-Netzwerken zu erhalten oder bei wirtschaftskriminellen Handlungen wie „man-in-the-middle-Angriffen“, Bankdaten- & Überweisungsbetrug und bei Wirtschaftsspionage.

Die wohl bekannteste Variante des Social Engineerings sind die sogenannten Phishing-E-Mails. Phishing-E-Mails zielen darauf ab, das Opfer mittels Social-Engineering-Methoden zur Preisgabe von Identitäts- oder Authentifizierungsdaten zu bewegen. Der Begriff Phishing setzt sich aus den englischen Wortbestandteilen „Password“ und „Fishing“ zusammen, das heißt der Angreifer versucht zum Beispiel durch geschickte Formulierungen das Opfer zur Preisgabe von Nutzer- bzw. Zugangsdaten zu bewegen. Dem Nutzer wird regelmäßig suggeriert, dass der Inhalt der E-Mail oder deren Anhang bzw. Verlinkung eine hohe Relevanz habe und deshalb geöffnet werden müsse. Gängige Methode stellt das Verstecken von Schadprogrammen hinter Download-Links dar, welche mittels E-Mail, Social-Media oder Webseiten verbreitet werden. Eine weitere beliebte Methode ist das Verschicken von elektronischen Rechnungen. In diesen sollen die manipulierten Dateien aufgrund ihrer Aufmachung den Anschein erwecken von einem vertrauenswürdigen Absender zu stammen, bspw. einem Vertrags- oder Geschäftspartner, einem Dienstleister oder Lieferanten. Das Problem mit dem Phising haben wir bereits in einem unserer früheren Beiträge thematisiert.

Eine weitere Variante des Social Engineering stellt der sogenannte CEO-Fraud dar. Als CEO-Fraud werden gezielte Social Engineering-Angriffe auf Beschäftigte von Unternehmen bezeichnet. Der Angreifer nutzt hierbei zuvor erbeutete Identitätsdaten (z. B. Telefonnummern, Passwörter, E-Mail-Adressen etc.), um sich als Vorstandsvorsitzender (CEO), Geschäftsführung o. Ä. auszugeben und Beschäftigte zur Auszahlung hoher Geldsummen oder zur Weitergabe vertraulicher oder sensitiver Informationen zu veranlassen.

Weitere Beispiele liegen in bekannten Vorgehensweisen wie dem angeblichen Anrufen des externen IT-Verantwortlichen oder des Admins, welcher zur angeblichen Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt, oder es werden in dem Telefonat unverfängliche Fragen, zum Beispiel nach Art und Version des verwendeten Internet-Browsers, Flash-Players und ähnlicher Standardanwendungen für die Exploits verfügbar sind, gestellt. Für die Opfer erscheinen die Fragen zuweilen belanglos. Beliebt sind ebenfalls angebliche Anrufe von Studenten, welche Daten für eine bestimmte Studie erheben. Ebenso stellen der USB-Drop (das gezielte Platzieren eines infizierten Speichermediums), das Dumpster Diving (das Durchsuchen des Papiermülls nach relevanten aber achtlos weggeworfenen und nicht geschredderten Dokumenten bzw. Informationen) sowie das Shoulder Surfing (das Mitlesen und Ausspähen von Bildschirminhalten über die Schulter des Opfers) klassische Varianten des Social Engineerings dar. Das zentrale Merkmal bei Social Engineering-Angriffen liegt stets in der Täuschung des Opfers über die Identität und die Absicht des Täters. Hierbei sind vor allem auch personalisierte Angriffe auf bestimmte Opfer denkbar.

Welche Auswirkungen hat das Social Engineering auf den Datenschutz?

Für die datenschutzrechtliche Komponente soll hierfür insbesondere der Blick auf den Eintritt möglicher Melde- und Benachrichtigungspflichten gemäß Art. 33 bzw. Art. 34 DS-GVO gelegt werden. Beide Normen knüpfen an das Vorliegen einer Verletzung des Schutzes personenbezogener Daten (kurz Datenschutzverletzung) gemäß Art. 4 Nr. 12 DS-GVO an. Dies ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In den Fällen eines erfolgreichen Social Engineering-Angriffs, zum Beispiel durch Reaktion auf eine Phishing-E-Mail, durch Klick auf einen manipulierten Link oder durch Informationsweitergabe bei einem CEO-Fraud, ist in der Regel vom Vorliegen einer Datenschutzverletzung auszugehen. Der Europäische Datenschutzausschuss geht in seiner Richtlinie 01/2021 „on Examples regarding Personal Data Breach Notification“ in Fall Nr. 17 ebenfalls auf die Thematik des Social Engineerings ein. Die Folge des Angriffs ist ein Identitätsdiebstahl. Der EDSA stellt in diesem Fall dar, dass unter dem Risikoaspekt ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, da in der konkreten Fallgestaltung die abgeflossenen Abrechnungsdaten Aufschluss über das Privatleben der betroffenen Person geben können (zum Beispiel Gewohnheiten, Kontakte) und zudem ein materieller Schaden entstehen könnte (zum Beispiel Stalking, Gefährdung der körperlichen Integrität). Folglich sind sowohl eine Meldung an die Aufsichtsbehörde gemäß Art. 33 DS-GVO als auch eine Benachrichtigung der betroffenen Person durch den Verantwortlichen gemäß Art. 34 DS-GVO erforderlich. Dieser Fall zeigt mithin welche datenschutzrechtlichen Auswirkungen möglich sein können. Wobei im Folgenden noch mögliche Schadenersatzansprüche von betroffenen Personen gemäß Art. 82 DS-GVO die Folge sein können.

Fazit

Die Gefahr vor Social Engineering-Angriffen ist groß und zudem allgegenwärtig. Die Risiken für Institutionen bestehen insbesondere im Datenabfluss, in der Preisgabe vertraulicher Informationen oder Organisations-Knowhow, Reputationsfolgeschäden sowie möglichen finanziellen bzw. wirtschaftlichen Schäden. Der effektivste Schutz vor Social Engineering-Angriffen ist die Sensibilisierung. Insbesondere persönlicher Kontakt via E-Mail oder Telefon kann durch kritische Nachfragen ausgehebelt werden. Bei personalisierten E-Mails kann eine Überprüfung der Absenderadresse oder des enthaltenen Links möglicherweise Aufschluss geben. Im Zweifel sollten externe Links oder Anhänge nie geöffnet werden oder es muss eine Verifizierung beim tatsächlichen Absender erfolgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Heizkosten sind derzeit „in heißer Diskussion“. Und wie bei allen Themen, haben die Datenschützer auch hier einen eigenen Beitrag und ganz spezielle Probleme parat: Die ista Deutschland GmbH informiert ihre Kunden seit Ende Juli über einen Hacker-Angriff. Ende August wurde mitgeteilt, dass „am Abend des 18. August 2022 … IT-Forensiker festgestellt“ hätten, „eine Gruppe krimineller Hacker“ habe sich „Zugang zu … Systemen verschafft und Daten gestohlen“ sowie „im Dark-Net zugänglich gemacht“. Betroffen sind Archivdaten „aus den Jahren 2006 bis 2012“ mit „Adressen, Liegenschaftsnummer, Verbrauchsdaten (Heiz-, Warm- und Kaltwasserverbrauch), Nutzername, Nutzernummer sowie beheizter Fläche von gut 146.000 Kunden“. Die ista Deutschland GmbH meldete sich „als sogenannter Auftragsverarbeiter gemäß Art. 28 DSGVO“. Bei vielen Empfängern der Schreiben, insbesondere kleinen Hausverwaltungen und privaten Vermietern, herrschte (und herrscht?) Ratlosigkeit: „Und was soll ich jetzt damit anfangen?“ Fachleute erzeugen ja häufig aus einer Frage sehr viele Fragen. Also ans Werk:

Gilt für Vermieter die Datenschutz-Grundverordnung?

Das kommt darauf an. Worauf? Darauf, ob die Vermietung als „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten … durch natürliche Personen“ nach Art. 2 Abs. 2 lit. c) DS-GVO angesehen werden kann. Erste Erkenntnis: Körperschaften (GmbH, AG …) sind immer und Handelsgesellschaften (OHG, KG) meist nicht familiär oder privat tätig, unterfallen also mit ihren Handlungen den Regeln der DS-GVO. Bei natürlichen Personen muss weiter geprüft werden (übrigens auch für den Zusammenschluss natürlicher Personen, z. B. eine aus Familienmitgliedern gegründete GbR oder KG). In der Fachliteratur wird vorgeschlagen, die Grenzlinie zwischen „privat“ und „nicht privat“ nach zivil- und steuerrechtlichen Kriterien zu ziehen. So liest man bei Taeger/Gabel/Schmidt Art. 2 DSGVO Rn. 19: „Die Verwaltung eigenen Vermögens ist eine private Tätigkeit, solange sie aufgrund ihres Umfangs nicht als gewerblich zu qualifizieren ist“ und findet (dort in Fußnote 61) eine ganze Reihe ähnlicher Literaturäußerungen.

Wer so abgrenzen möchte, müsste sich genauer anschauen, wo Zivil- und Finanzgerichte die „Grenzlinie“ zwischen privater Vermögensverwaltung und gewerblicher Vermietung ziehen – und würde wahrscheinlich staunen: Steuerrechtlich ist Vermietung zwar dann gewerblich, wenn bewegliche Gegenstände (Baugeräte, Wohnmobile und Ähnliches) vermietet oder Räume kurzfristig überlassen werden (Hotelzimmer, Ferienwohnungen). Gewerblichkeit liegt auch vor, wenn der Vermieter nicht einfach nur Räume oder Grundstücke überlässt (und dafür Miete erhält), sondern in erheblichem Umfang Nebenleistungen erbringt (z.B. technische Anlagen einbaut und wartet). Werden dagegen z.B. „nur“ Wohnungen vermietet, bleibt dies steuerlich auch bei großem Umfang (z.B. 100 Wohnungen) private Vermögensverwaltung. Und dann soll die DS-GVO nicht gelten?

Außer den gerade beschriebenen „Bauchschmerzen“ mit der Abgrenzung privater Vermietung nach deutschen DS-GVO-Kommentaren gibt es noch ein weiteres, juristisches Argument: Der Geltungsbereich der DS-GVO ist EU-rechtlich zu bestimmen, also nicht nach den im deutschen Recht üblichen Grenzen zwischen privater und gewerblicher Tätigkeit. Eine solche EU-rechtliche Abgrenzung ist noch nicht erfolgt.

Eigener Versuch: Private und familiäre Tätigkeit liegt dann vor, wenn bei der Vermietung nicht die Einnahmeerzielung, sondern private, familiäre Aspekte im Vordergrund stehen, z.B. bei der Überlassung von Wohnraum an Familienangehörige. Bei dieser Abgrenzung gilt die DS-GVO für (fast) alle Vermieter, also auch jene, die zwei oder drei Wohnungen an Fremde vermieten. Vorläufiger Trost: Solche Vermieter können sich auf die genannten Kommentare berufen und werden im Streitfall von Aufsichtsbehörden zunächst ganz sicher kein Bußgeld, sondern Hinweise erhalten.

Sind Mess- und Abrechnungsdienstleister Auftragsverarbeiter nach Art. 28 DS-GVO?

Zunächst einmal: Sie können es nur sein, wenn sie von einem „Verantwortlichen“ im Sinne der DS-GVO beauftragt wurden. Stammt der Auftrag also von einem Vermieter, den wir nach den obigen Überlegungen mit „privater oder familiärer Tätigkeit“ eingeordnet haben, ist der Dienstleister immer selbst Verantwortlicher, nicht Auftragsverarbeiter. Kommt der Auftrag demgegenüber von einer Hausverwaltung oder einem nicht privat oder familiär agierenden Vermieter, dürften Mess- und Abrechnungsdienstleister regelmäßig als Auftragsverarbeiter anzusehen sein, weil gerade ihre Hauptaufgabe in der Verarbeitung personenbezogener Daten für den Auftraggeber besteht. Die Datenverarbeitung ist also nicht nur Nebenzweck oder Begleiterscheinung einer selbständig ausgeübten Tätigkeit, sondern ihr maßgeblicher Inhalt.

Allerdings stellt sich dann noch eine Anschlussfrage für den konkreten Vorgang bei der ista Deutschland GmbH: Umfasste der erteilte Auftrag auch die Archivierung von Daten aus den Jahren 2006 bis 2012? Abgesehen vom Jahrgang 2012 (also bis einschließlich 2011) sind bei diesen Daten ja sogar die zehnjährigen Aufbewahrungsfristen nach Handels- und Steuerrecht schon abgelaufen. Wenn der Dienstleister hier eigenmächtig agierte, vorliegend nicht fristgerecht löschte, kommt für ihn auch eine Einordnung und Haftung als eigenständig datenschutzrechtlich Verantwortlicher nach Art. 28 Abs. 10 DS-GVO in Betracht.

Muss ich als Vermieter oder Hausverwalter nach Art. 33 und/oder Art. 34 DS-GVO Meldung erstatten?

Juristen-typische Antwort: Es kommt darauf an. Nämlich zunächst darauf, ob der Vermieter oder Hausverwalter datenschutzrechtlich Verantwortlicher ist. Wir haben zuvor bereits beleuchtet, dass diese Frage nicht pauschal beantwortet werden kann. Wenn Kleinstvermieter privat oder familiär agieren, deshalb der DS-GVO nicht unterfallen und eine Hausverwaltung beauftragen, die ihrerseits wiederum den Messdienstleister heranzieht, agiert die Hausverwaltung als Verantwortlicher im Sinne der DS-GVO und muss sich über Meldepflichten Gedanken machen. Ist demgegenüber der Vermieter datenschutzrechtlich Verantwortlicher, dann kann und muss die Hausverwaltung eine bei ihr eintreffende Meldung des Messdienstleisters an den Vermieter schnellstens „durchreichen“.

Die ista Deutschland GmbH hat nach eigener Darstellung bereits im Juli die zuständige Aufsichtsbehörde informiert. In der Vergangenheit haben die Aufsichtsbehörden Meldungen durch das von der Datenschutzverletzung betroffene Unternehmen akzeptiert und – unabhängig von der Einordnung als Verantwortlicher oder Auftragsverarbeiter im Einzelfall – Einzelmeldungen der davon betroffenen weiteren Stellen nicht verlangt, gelegentlich sogar ausdrücklich zurückgewiesen. Im Fall ista Deutschland GmbH sind Meldungen durch etliche Wohnungsunternehmen bei den verschiedenen Aufsichtsbehörden (z.B. in Bayern und Berlin) erfolgt und auch entgegengenommen worden. Da nach den (derzeit verfügbaren) Informationen Risiken für betroffene Personen nicht auszuschließen sind, wäre die Meldung durch verantwortliche Stellen gemäß Art. 33 DS-GVO vorzunehmen. Ein „hohes Risiko“ für Betroffene ist demgegenüber nicht erkennbar, so dass Meldungen nach Art. 34 DSGVO derzeit nicht geschuldet sind (dennoch gelegentlich stattfinden, siehe z.B. Gewobag Berlin).

Und zum Schluss: Was ist nun zu tun?

Auftraggeber sollten – jenseits formaler Meldepflichten – den Vorfall zum Anlass nehmen, um bei ihren eigenen Messdienstleistern nachzufragen und sicherzustellen, dass dort verarbeitete Daten rechtzeitig gelöscht werden. Und ganz grundsätzlich: Jeder Vermieter, jede Hausverwaltung sollte die eigene Datenschutz-Rolle (Verantwortlicher? Auftragsverwalter? Nur privat und familiär tätig?) sorgfältig klären (bei Hausverwaltungen z. B. können je nach auftraggebendem Vermieter die Datenschutz-Rollen auch verschieden sein.) Darauf aufbauend sind dann die jeweiligen Datenschutzpflichten (Verzeichnis der Verarbeitungstätigkeiten, Vereinbarungen zur Auftragsverarbeitung, …) „in Angriff zu nehmen“. Damit auch dieser Hacker-Angriff den Datenschutz voranbringt…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Auskunftsrecht der betroffenen Personen ist für den Datenschutz und das informationelle Selbstbestimmungsrecht unverzichtbar. Nur wenn Betroffene wissen oder zumindest erfahren können, wer ihre Daten verarbeitet und wie dies geschieht, können sie Entscheidungen treffen, Rechte geltend machen und durchsetzen. Die Ausgestaltung des Auskunftsanspruchs in der DS-GVO (und erst recht die enorme Erweiterung durch den Anspruch auf ungefragte „Information“ – aber dies ist einen eigenen Blog-Beitrag wert) schafft in der Praxis viele Fragen. Einige sollen hier näher betrachtet werden.

Frage:

Der Verantwortliche erhält eine Auskunftsanfrage, prüft seine Datenbestände und stellt fest, dass zur betroffenen Person tatsächlich noch Daten vorhanden sind, die längst hätten gelöscht werden müssen. Darf die Löschung jetzt erfolgen und der betroffenen Person anschließend eine Negativauskunft gegeben werden oder muss die Löschung „zwecks Mitteilung des Rechtsverstoßes an die betroffene Person“ unterbleiben?

Antwort: Es geht um den Umfang der geschuldeten Auskunft, in gewisser Hinsicht auch um den Bezugszeitpunkt: Müssen die bei Auskunftserteilung oder die bei Eingang des Auskunftsantrags laufenden Datenverarbeitungen mitgeteilt werden? Nach Sinn und Zweck der Vorschrift wird mindestens das zu beauskunften sein, was im Zeitpunkt der Auskunftserteilung beim Verantwortlichen vorhanden ist. Mit anderen Worten: Wenn nach Eingang des Auskunftsantrags neue Datenverarbeitungen zur betroffenen Person beginnen, sind auch diese Verarbeitungen in die Auskunft aufzunehmen. Andere Auffassungen scheint es auch in der Fachliteratur nicht zu geben. Hinweise und Gegenargumente sind aber unter der am Ende genannten E-Mail-Adresse hier und generell willkommen.

Weiter ist klar, dass der Verantwortliche über gelöschte Daten keine Auskunft mehr erteilen kann. Insoweit gilt „weg ist weg“. Oder spiegelbildlich formuliert: Was der Verantwortliche noch beauskunften kann, ist nicht wirklich gelöscht. Bleibt die Frage, ob Löschungen zwischen Auskunftsantrag und Auskunftserteilung erlaubt sind. Auch sie lässt sich noch in zwei Teilfragen zerlegen.

Teilfrage 1:

Bewirkt der Auskunftsantrag ein Einfrieren der Datenverarbeitungen beim Verantwortlichen? Darf also die verantwortliche Stelle nach Eingang eines Auskunftsantrags erst dann überhaupt wieder Daten löschen, wenn sie die auskunftsrelevanten Daten „beiseite gelegt“ hat?

Antwort: In der Fachliteratur wird teilweise vertreten, der Auskunftsanspruch betreffe „vollumfänglich […] alle bei Auskunftsersuchen vorliegenden Daten“ (z.B. Taeger/Gabel/Mester Art. 15 DSGVO Rn. 3 m.w.N.), ohne die Konsequenz eines kompletten „Löschverbots“ beim Verantwortlichen anzusprechen. Mit Blick auf „große“ verantwortliche Stellen (massenhafte Datenverarbeitungen, auch automatisierte und in kurzen Frequenzen für verschiedene Verarbeitungsprozesse stattfindende Löschungen) wird deutlich, was auch auf „kleine“ Verantwortliche übertragen werden muss: Die verantwortliche Stelle hat ihre Löschpflichten, die gegenüber anderen betroffenen Personen weiterhin bestehen, zu erfüllen; sie muss und darf Löschpflichten nicht verschieben. Niemand kann also durch eigene Auskunftsanträge bewirken, dass bei verantwortlichen Stellen Löschprozesse angehalten werden.

Teilfrage 2:

Darf oder muss der Verantwortliche Daten der Auskunft fordernden, betroffenen Person gezielt löschen und danach logisch zwingend: insoweit keine Auskunft mehr erteilen, wenn er bei Bearbeitung des Auskunftsantrags feststellt, dass die Daten nicht mehr gespeichert sein dürften?

Antwort: Dazu gehen die Meinungen auseinander. Beide Antworten sind juristisch vertretbar. Die DS-GVO gibt nichts Eindeutiges vor und der Europäische Gerichtshof hat sich noch nicht geäußert. Für ein insoweit bestehendes Löschverbot und komplette Auskunftspflicht könnte man hauptsächlich anführen, dass Verantwortliche ansonsten Datenschutzverstöße vertuschen und Sanktionen, z.B. Schadensersatzforderungen, und Bußgelder, vermeiden könnten. Gegen das Löschverbot und für die „Selbstkorrektur“ des Verantwortlichen lässt sich argumentieren, dass der Verantwortliche – wenn auch verspätet – seine Rechtspflichten erfüllt und bei datenschutzkonformer Löschung dadurch auch der Betroffene geschützt ist. Wenn man Löschungen nach Auskunftsantrag „im Rahmen regelmäßiger informationeller Verwaltung / Geschäftsführung“ erlaubt, jedoch „nicht etwa […] in Reaktion auf einen Löschungsantrag“ (v. Lewinski/Rüpke/Eckhardt, Datenschutzrecht, § 15 Rn. 21 in Fn. 34), bedeutet das: Der Verantwortliche darf nur die Daten des Auskunft fordernden Betroffenen nicht löschen und muss sie weiter speichern; alle bei selber Gelegenheit gefundenen Daten andererBetroffener müssen umgehend gelöscht werden.

Die Befürworter des „Löschverbots“ können wiederum darauf verweisen, dass in bestimmten Situationen für die betroffene Person gerade wichtig sein kann, eine rechtswidrige Datenspeicherung nachzuweisen. (Lebensfremdes Lehrbuch-Beispiel: Eine Bewerberin wird vom potentiellen Arbeitgeber abgelehnt mit Verweis auf ihr schlechtes Abiturzeugnis. Das Zeugnis hat sie selbst nicht vorgelegt; es befindet sich ihres Wissens noch bei der Schulbehörde und einem früheren Arbeitgeber. Sie stellt Auskunftsantrag nach Art. 15 DSGVO beim früheren Arbeitgeber.) Darauf entgegnen die Anhänger der Löschbefugnis vielleicht: Im Rechtsstaat gilt als Verfassungsprinzip, das niemand gezwungen werden darf, sich selbst zu belasten (Rechtslatein: „nemo tenetur se ipsum accusare“). Würde man den Auskunftsanspruch so verstehen, dass er den Verantwortlichen zwingt, selbst der betroffenen Person die Beweise für einen Rechtsverstoß und damit die „Waffen“ für Schadenersatzprozess und Bußgeldverfahren in die Hand zu geben, wäre dies eine klare Pflicht zur Selbstbelastung.

Gegen-Gegenargument: Der genannte Grundsatz gilt im EU-Recht nicht uneingeschränkt und ist auch in der DS-GVO teilweise klar durchbrochen, beispielsweise hinsichtlich der Verpflichtung zur Meldung der Verletzng des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemäß Art. 33 Abs. 1 DS-GVO. Befürworter der Löschbefugnis: Dann muss die Lösung aber doch zumindest in jenen Fällen erlaubt sein, in denen die Daten untrennbar auch Dritte betreffen und zu deren Schutz gelöscht werden müssen (Art. 15 Abs. 4 DSGVO). Erwiderung darauf: Es ist ja schon streitig, ob sich Art. 15 Abs. 4 überhaupt auf Abs. 1 anwenden lässt oder wie der Wortlaut nahelegt nur für den Kopie-Anspruch nach Abs. 3 gilt … .

Fazit

Und wo ist die versprochene Antwort? Längst gegeben und im Text gut versteckt: Beide Auffassungen sind juristisch mit anständigen Argumenten vertretbar – und für die Praxis verbindlich entschieden wird das Thema – vielleicht einmal – durch den EuGH. Persönlich neige ich (derzeit) eher zur „Löschbefugnis“. Und bei echtem Missbrauchsverdacht wäre Betroffenen natürlich wegen des tatsächlichen Löschrisikos alternativ zu empfehlen, die Möglichkeit der Beschwerde bei der Aufsichtsbehörde anstelle des Auskunftsantrags zu nutzen. Die Aufsichtsbehörde kann – muss nicht – ein größeres Instrumentarium einsetzen, um den Verdacht aufzuklären. Eine weitere Frage zum Thema Auskunftsrecht klären wir in der kommenden Woche.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Sächsische Datenschutzbeauftragte Dr. Juliane Hundert hat bereits am Dienstag, den 24. Mai 2022 ihren Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Der Bericht basiert im Wesentlichen noch auf dem Wirken des Amtsvorgängers Andreas Schurig, dessen Dienstzeit am 31. Dezember 2021 endete. Auf über 200 Seiten sind Schwerpunkte der aufsichtsbehördlichen Tätigkeit inklusive Hinweise zur Auslegung der Datenschutz-Grundverordnung (DS-GVO), zur Sanktionspraxis und Rechtsprechung zusammengefasst. Zahlreiche Vorgänge standen im Zusammenhang mit Corona-Schutz-Maßnahmen, wie beispielsweise die Testpflicht für Urlaubsrückkehrer und die 3G-Regelung am Arbeitsplatz. Das Aufkommen bei Beschwerden und Hinweisen zu Datenschutzverstößen erreichte ein ähnlich hohes Niveau wie im Vorjahr. Ein Teil davon betraf die Telemedien. Grund genug, dass im Rahmen des nachfolgenden Beitrages der Blick auf einige Auszüge aus dem Bericht gelegt werden sollen.

ANFORDERUNGEN AN COOKIES UND VERGLEICHBARE TECHNOLOGIEN

Durch das In-Kraft-Treten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sind seit dem 1. Dezember 2022 neben den Voraussetzungen an die Verarbeitung personenbezogener Daten nach der DS-GVO weitere Anforderungen hinsichtlich der Einbindung bzw. des Setzens von „Cookies“ und vergleichbarer Technologien – insbesondere nach § 25 TTDSG – zu beachten. Diesbezüglich wird im Tätigkeitsbericht wie folgt ausgeführt: „Die für Websites und Apps an der ehesten infrage kommende Rechtsgrundlage ist neben der Einwilligung (Art. 6 Abs. 1 Buchst. a) [DS-GVO] das berechtigte Interesse (Art. 6 Abs. 1 Buchst. f) [DS-GVO]. Dieses berechtigte Interesse muss aber nachgewiesen werden und fordert eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person. Dies ist alles andere als trivial, eine bloße Nützlichkeitsbegründung seitens des Verantwortlichen ist nicht ausreichend […]. Fakten, die für eine Interessenabwägung zugunsten des Verantwortlichen sprechen, sind zum Beispiel eine nachweisbare und den Anforderungen des Art. 28 DSGVO entsprechende Auftragsverarbeitung mit einem eingebundenen Dienstleister oder eine Verarbeitung durch den Verantwortlichen selbst bzw. technisch-organisatorische Maßnahmen wie eine zügige Anonymisierung von personenbezogenen Daten (zum Beispiel IP-Adressen, Cookie-Identifikatoren). Verarbeitungen, die aufgrund ihres Risikos eher nicht auf ein berechtigtes Interesse gestützt werden können, sind die Bildung von Profilen und sogenannten Nutzer-Journeys, also all das, was landläufig unter Tracking verstanden wird. Das berechtigte Interesse ist in aller Regel auch dann infrage zu stellen, wenn ein Dritter die erlangten Daten für eigene Zwecke nutzt oder dies nicht klar ausgeschlossen ist. Um es klar zu sagen: Die Nutzung von Diensten großer Anbieter, deren Geschäftsmodell das Sammeln und Aggregieren von Nutzungsdaten zu Werbezwecken ist und die dazu noch über eine entsprechende Marktmacht verfügen, ist mit einem berechtigten Interesse des Verantwortlichen nicht vereinbar. […] Fehlen die Voraussetzungen für ein berechtigtes Interesse, bleibt in aller Regel nur ein Rückgriff auf eine Einwilligung. Dabei sind alle Anforderungen aus der DSGVO zu beachten, die strikte Regeln für Transparenz, Bestimmtheit und Freiwilligkeit fordert sowie in Fällen der Nutzung durch Minderjährige eine Einwilligung der Erziehungsberechtigten vorsieht.“

Und weiter heißt es: „Werden zusätzlich zu einer Verarbeitung auch Cookies oder ähnliche Technologien eingesetzt, muss deren Einsatz den Anforderungen des TTDSG entsprechen, welches dafür grundsätzlich eine Einwilligung vorsieht […]. Ausnahmen von einem Einwilligungserfordernis sind eng begrenzt auf eine unbedingte Erforderlichkeit, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann […]. Ausgehend von den Begrifflichkeiten des Nutzerwunsches und der Erforderlichkeit muss jeder Cookie überprüft werden: Wann, wie, für wie lange und für wen wird ein Cookie gesetzt? Es geht dabei um eine Bewertung des Zweckes und der Mittel […] So muss ein individualisierter Warenkorb-Cookie in einem Online-Shop erst dann gesetzt werden, wenn der Warenkorb genutzt wird. Für ein bloßes Browsen ist dieser nicht erforderlich. Gleiches gilt für Cookies für Zusatzfunktionen wie Chats oder Karten-Widgets. […] zum Beispiel [ist] nicht als erforderlich zu betrachten, dass ein Einwilligungsmanagement, welches die Entscheidung über die Auswahl an gewünschten Verarbeitungen speichern soll, einen individualisierten Cookie setzt (und schon gar nicht beim initialen Aufruf einer Website, bevor eine Entscheidung getroffen wurde) […] Für die Speicherung der Entscheidung reicht es, diese nichtindividualisiert zu speichern […].“

Es folgen noch weitere – zumindest lesenswerte – Ausführungen zum Einsatz von US-Dienstleistern. Diese sowie die obenstehenden Punkte machen deutlich, dass die sächsische Aufsichtsbehörde dem Grunde nach einen sehr strengen Prüfungsmaßstab, insbesondere an die Erforderlichkeit der Ausnahmen vom Einwilligungserfordernis im Rahmen des § 25 TTDSG, anleget. Mithin dürfte auch klar sein, dass datenschutzrechtlich Verantwortliche – unabhängig davon, ob man der strengen Ansicht der Aufsichtsbehörde vollumfänglich folgt – ihre Webseiten prüfen und gegebenenfalls überarbeiten und anpassen sollten, um sich zum einen der auf den Internetpräsenzen stattfinden Datenverarbeitungen bewusst zu werden und zum anderen der bestehenden Rechenschaftspflicht insbesondere in Bezug auf die Abwägungskriterien der unbedingten Erforderlichkeit nach § 25 Abs. 2 Nr. 2 TTDSG erfüllen zu können.

WIE HABEN SICH DIE DATENSCHUTZVERLETZUNGEN ENTWICKELT?

Dem Tätigkeitsbericht ist ferner zu entnehmen, dass die Meldung von Datenschutzverletzungen gemäß Art. 33 DS-GVO stetig ansteigt. Im Berichtszeitraum sind 923 solcher Meldungen eingegangen. Im Vergleich zum vorjährigen Berichtszeitraum (635 Meldungen) entspricht dies laut Tätigkeitsbericht einer Steigerung um rund 45 Prozent. Wie bereits im vorjährigen Berichtszeitraum ist der Fehlversand eine der häufigsten Fallgruppen der gemeldeten Datenschutzverletzungen. Ursachen für diese Vorfälle sind falsche Zuordnung von Unterlagen, fehlerhafte Kuvertierung oder schlicht Flüchtigkeitsfehler. Nach wie vor ist häufig der Versand von E-Mails (zum Beispiel Newsletter) über erkennbare E-Mail-Adressen im Kopie-Modus (Cc), anstatt im Blindkopie-Modus (Bcc) eine gemeldete Datenschutzverletzung, die in der Regel auf schlichte Unachtsamkeit des Absenders zurückzuführen ist. Neben dem Fehlversand aufgrund des Verschuldens des Absenders gingen auch wieder zahlreiche Meldungen wegen des Verlustes von Postsendungen ein. Ebenso kam es im Berichtszeitraum wieder zu Diebstählen oder dem Verlust von Datenträgern mit zum Teil sensiblen Daten. Rund ein Drittel der Meldungen von Datenschutzverletzungen, die im Jahr 2021 eingingen, sind auf die Fallgruppe der Cyberkriminalität zurückzuführen. Zu den besonderen Vorfällen im Bereich Cyberkriminalität zählten die Sicherheitslücken in Microsoft Exchange-Servern.

KANN EIN DATENSCHUTZBEAUFTRAGTER ZUGLEICH BEAUFTRAGTER FÜR INFORMATIONSSICHERHEIT EINER ORGANISATION SEIN?

Auch der Blick auf die Fragen der Informationssicherheit – in Sachsen für staatliche und nicht-staatliche Stellen speziell durch das Sächsische Informationssicherheitsgesetz (SächsISichG) geregelt – lohnt: „Die Bestellung verschiedener anderer Beauftragter in Personalunion zum Datenschutzbeauftragten ist grundsätzlich problematisch. Der Beauftragte für Informationssicherheit ist dabei jedoch weniger kritisch zu betrachten, da Informationssicherheit und Datenschutz meist parallel laufen. Dies gilt auch vor dem Hintergrund, dass für die Informationssicherheit umfassende Sammlungen personenbezogener Daten verarbeiten werden, um Missbrauch zu entdecken. Auch Art. 32 DSGVO adressiert die Sicherheit der Verarbeitung und zudem in Absatz 1 Buchst. c) ausdrücklich die Verfügbarkeit.“

Auch diese Auffassung muss näher beleuchtet werden. Ein Beauftragter für Informationssicherheit muss vergleichbar zum Datenschutzbeauftragten gemäß § 7 Abs. 2 Satz 3 SächsISichG bei der Aufgabenerfüllung frei von Interessenkonflikten sein. Mit Blick auf den BSI IT-Grundschutz wird auch dort vermerkt, dass beiden Rollen (DSB und ISB/BfIS) sich nicht grundsätzlich ausschließen, es sind allerdings einige Aspekte im Vorfeld zu klären: „Die Schnittstellen zwischen den beiden Rollen sollten klar definiert und dokumentiert werden. Außerdem sollten auf beiden Seiten direkte Berichtswege zur Leitungsebene existieren. Weiterhin sollte überlegt werden, ob konfliktträchtige Themen zusätzlich noch nachrichtlich an die Revision weitergeleitet werden sollten. Außerdem muss sichergestellt sein, dass der Informationssicherheitsbeauftragte über ausreichend freie Ressourcen für die Wahrnehmung beider Rollen verfügt. Gegebenenfalls muss er durch entsprechendes Personal unterstützt werden.“ Auf diese Grundsätze sollte auch bei der Personalunion zwischen Datenschutzbeauftragten und Beauftragten für Informationssicherheit zurückgegriffen werden.

FAZIT

Dem Tätigkeitsbericht ist sehr gut zu entnehmen, welchen Kurs die sächsische Datenschutzaufsichtsbehörde zum Teil bei der Rechtsauslegung und -anwendung einschlägt. Zum anderen geht deutlich hervor, dass sich datenschutzrechtlich Verantwortliche ihrer Pflichten bewusst sein und für deren effektive Umsetzung sorgen müssen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.