Pres­se­mit­tei­lung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht vom 22.03.2019

Der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig, stell­te am Frei­tag, dem 22. März 2019 in den neu­en Räu­men des BayL­DA den Tätig­keits­be­richt für die Jah­re 2017 und 2018 vor.

Prä­si­dent Kra­nig stell­te den 150-sei­ti­gen Tätig­keits­be­richt für die ver­gan­ge­nen bei­den Jah­re vor und wies zunächst dar­auf hin, dass man kon­kre­te Fäl­le aus dem Zeit­raum vor Anwend­bar­keit der Daten­schutz-Grund­ver­ord­nung (DS-GVO), d.h. vor dem 25. Mai 2018 nur dann in dem Bericht dar­ge­stellt habe, wenn sie auch noch für den neu­en Rechts­rah­men Bedeu­tung haben.

Tätig­keits­be­richt nur noch digi­tal und in Zukunft jähr­lich
Er wies fer­ner dar­auf hin, dass das BayL­DA erst­mals dar­auf ver­zich­tet habe, den Tätig­keits­be­richt als Buch her­aus­zu­ge­ben. Rück­fra­gen bei den Adres­sa­ten der ver­schick­ten Tätig­keits­be­rich­te hät­ten erge­ben, dass die­se nach Erhalt des Buches eigent­lich nur noch mit der digi­ta­len Ver­si­on gear­bei­tet hät­ten. Der vor­ge­leg­te Tätig­keits­be­richt ist der letz­te mit einem zwei­jäh­ri­gen Berichts­zeit­raum, da die Daten­schutz-Grund­ver­ord­nung die Auf­sichts­be­hör­den ver­pflich­tet, in Zukunft jähr­lich ihren Bericht vor­zu­le­gen.

Bera­tung, Bera­tung, Bera­tung
Wie nicht anders zu erwar­ten, ist das BayL­DA – wie ande­re Auf­sichts­be­hör­den auch – mit Anfra­gen über­häuft wor­den, wie die Vor­schrif­ten der DS-GVO im Ein­zel­fall aus­zu­le­gen sind. Gro­ße Unter­neh­men hat­ten in aller Regel die zwei­jäh­ri­ge Über­gangs­frist vom Inkraft­tre­ten der Daten­schutz-Grund­ver­ord­nung am 25. Mai 2016 bis zur Anwend­bar­keit am 25. Mai 2018 genutzt, um sich dar­auf vor­zu­be­rei­ten und ihre Ver­ar­bei­tungs­pro­zes­se anzu­pas­sen. Vie­le klei­ne und mitt­le­re Unter­neh­men, ins­be­son­de­re aber auch Ver­ei­ne, wur­den von dem neu­en Recht über­rascht und durch irre­füh­ren­de Pres­se­be­rich­te (Klin­gel­schil­der, Ver­bie­tung von Kin­der­bil­dern) zusätz­lich ver­un­si­chert. Die Anstren­gun­gen, die gera­de in die­sem Bereich, für den die DS-GVO rela­tiv wenig neue Anfor­de­rung gebracht hat, erfor­der­lich waren, um die bestehen­de Ver­un­si­che­rung zu besei­ti­gen, waren unvor­stell­bar. Tat­sa­che ist jedoch, dass auch heu­te knapp ein Jahr nach Anwend­bar­keit der DS-GVO das Bedürf­nis nach Bera­tung und Rechts­si­cher­heit noch lan­ge nicht befrie­digt ist.

Zah­len und Fak­ten
Eine grö­ße­re Anzahl von Auf­sichts­be­hör­den hat sich dar­auf ver­stän­digt, in einem Kapi­tel „Zah­len und Fak­ten“ sta­ti­sti­sche Anga­ben in einem ein­heit­li­chen For­mat dar­zu­stel­len. Wir haben uns bemüht, dies erst­mals umzu­set­zen. Bes­ser gewor­den sind die Zah­len dadurch jedoch nicht.

Um die gestie­ge­ne Bela­stung für jede ein­zel­ne Mit­ar­bei­te­rin oder Mit­ar­bei­ter trans­pa­rent zu machen, wur­de ermit­telt, wie vie­le Bera­tungs­an­fra­gen, Beschwer­den und Bear­bei­tung von Daten­mit­tei­lung über Daten­schutz­ver­let­zun­gen auf jeweils eine Per­son fal­len. Fie­len auf eine Per­son im Jahr 2014 noch 176 Bera­tungs­an­fra­gen, waren dies im Jahr 2018 schon 384. Die Zahl der Beschwer­den stieg von 60 auf 152 und die Zahl der Bear­bei­tung von Daten­schutz­ver­let­zun­gen von einem Fall auf 103 Fäl­le. Wich­tig ist in die­sem Zusam­men­hang aber dar­auf hin­zu­wei­sen, dass es dar­über hin­aus noch eine gan­ze Men­ge ande­rer Arbei­ten wie die Teil­nah­me an Sit­zun­gen der Auf­sichts­be­hör­den, Vor­trags­ver­an­stal­tun­gen, Erar­bei­tung von Inhal­ten für die Home­page, von Papie­ren für die Daten­schutz­kon­fe­renz oder den euro­päi­schen Daten­schutz­aus­schuss usw. gibt.

Per­so­nal­ent­wick­lung
Aus heu­ti­ger Sicht besteht die begrün­de­te Erwar­tung, dass nach Abschluss des der­zeit lau­fen­den Ver­fah­rens zur Ver­ab­schie­dung des Dop­pel­haus­halts für die Jah­re 2019 und 2020 wir nicht die bean­trag­te Per­so­nal­auf­stockung um 10 Stel­len, aber den­noch eine gewis­se Per­so­nal­ver­stär­kung bekom­men wer­den.

Rele­van­te Ein­zel­the­men
Das neue euro­päi­sche Daten­schutz­recht in Form einer Ver­ord­nung, d. h. einer Rechts­norm die unmit­tel­bar in allen Mit­glied­staa­ten der Euro­päi­schen Uni­on anwend­bar ist, stellt uns vor beson­de­re Her­aus­for­de­run­gen bei der Inter­pre­ta­ti­on. Einer­seits wün­schen vie­le Ver­ant­wort­li­che, wie in der Daten­schutz-Grund­ver­ord­nung die­je­ni­gen genannt wer­den, die mit per­so­nen­be­zo­ge­nen Daten von ande­ren umge­hen, Infor­ma­tio­nen dar­über, wie bestimm­te Vor­schrif­ten zu ver­ste­hen sind. Ande­rer­seits könn­te eine rechts­si­che­re Aus­kunft nur dann erteilt wer­den, wenn die euro­päi­schen Auf­sichts­be­hör­den dar­über ein ein­heit­li­ches Ver­ständ­nis erzielt haben. Dies ist aber ein schwie­ri­ger und zäher Pro­zess.

Wir haben uns des­halb ent­schie­den, sehr früh unse­re Stand­punk­te trans­pa­rent zu machen, in Kurz­pa­pie­ren zu ver­öf­fent­li­chen und auch bei Bera­tun­gen oder Ver­an­stal­tun­gen zu ver­tre­ten. Wir haben dabei immer ver­sucht, dar­auf hin­zu­wei­sen, dass dies eine erste vor­läu­fi­ge Ein­schät­zung ist, die dann kei­nen Bestand mehr hat, wenn sich ent­we­der die Gesamt­heit der deut­schen und/​oder euro­päi­schen Auf­sichts­be­hör­den auf ein ande­res Ver­ständ­nis geei­nigt hat oder wenn der Euro­päi­sche Gerichts­hof eine ver­bind­li­che Aus­le­gung getrof­fen hat.

Die größ­ten Unsi­cher­hei­ten und häu­fig­sten Anfra­gen und auch Aus­sa­gen von uns, bezo­gen sich auf die Infor­ma­ti­ons­pflich­ten, d. h. dar­auf, in wel­cher Art und Wei­se und in wel­chem Umfang Betrof­fe­ne Per­so­nen dar­über infor­miert wer­den müs­sen, wie mit ihren Daten umge­gan­gen wird. Etwa eben­so häu­fig waren Fra­gen nach den Rechts­vor­aus­set­zun­gen für die Ver­öf­fent­li­chung von Bil­dern von Ver­eins­fe­sten, Mit­ar­bei­ter­zei­tun­gen, Berich­te über Ver­an­stal­tun­gen, Erstel­len von Chro­ni­ken usw.

In 19 von 24 Kapi­teln des Tätig­keits­be­richts haben wir aus allen Berei­chen, vom Daten­schutz im Inter­net, über Wer­bung, Ver­si­che­rungs­wirt­schaft, Gesund­heit, Video­über­wa­chung bis zum tech­ni­schen Daten­schutz und der Infor­ma­ti­ons­si­cher­heit Ein­zel­fäl­le dar­ge­stellt und unse­re Bewer­tung trans­pa­rent gemacht.

Sinn und Zweck des Tätig­keits­be­richts
Die Auf­sichts­be­hör­den sind ver­pflich­tet, einen Tätig­keits­be­richt zu erstel­len. Unser Ansatz dabei war, zum einen durch eine mög­lichst detail­lier­te sta­ti­sti­sche Auf­be­rei­tung Trans­pa­renz in unse­re Arbeit zu brin­gen. Erfah­rungs­ge­mäß wird er am mei­sten von Daten­schutz­be­auf­trag­ten gele­sen, die sich dar­über ori­en­tie­ren wol­len, wel­che Rechts­auf­fas­sung ihre Auf­sichts­be­hör­de zu bestimm­ten The­men hat. Wir wün­schen uns auch, dass Bür­ger, die kei­ne Sach­ver­stän­di­gen für Daten­schutz sind, mit dem Tätig­keits­be­richt etwas anfan­gen kön­nen. Wir haben uns des­halb bemüht, die Tex­te so zu for­mu­lie­ren, dass sie auch für Nicht­sach­ver­stän­di­ge ver­ständ­lich sind, ande­rer­seits aber auch durch Anga­be der ent­spre­chen­den Rechts­grund­la­gen Daten­schutz­fach­leu­ten eine Ori­en­tie­rung geben.

Fund­stel­le des Tätig­keits­be­richts
Der Tätig­keits­be­richt für die Jah­re 2017 und 2018 ist unter fol­gen­dem Link erreich­bar: https://​www​.lda​.bay​ern​.de/​d​e​/​t​a​e​t​i​g​k​e​i​t​s​b​e​r​i​c​h​t​e​.​h​tml

Die Pres­se­mit­tei­lun­gen des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht kön­nen hier abge­ru­fen wer­den.

Pres­se­mit­tei­lung des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 21.03.2019

Der aktu­el­le Skan­dal belegt, dass Face­book das The­ma Daten­schutz immer noch stief­müt­ter­lich behan­delt. Gera­de weil die Face­book-Zugangs­da­ten auch für vie­le ande­re Dien­ste als Authen­ti­fi­zie­rungs­mög­lich­keit genutzt wer­den kön­nen, soll­ten Nut­zer des sozia­len Netz­werks unbe­dingt ihre Pass­wör­ter ändern.

Bei Ulrich Kel­ber, dem Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit, hat der erneu­te Skan­dal vor allem Kopf­schüt­teln aus­ge­löst: „Es ist zwar trau­rig, aber ein Daten­schutz­vor­fall bei Face­book ist mitt­ler­wei­le lei­der kei­ne gro­ße Über­ra­schung mehr. Skan­da­lös ist aller­dings, dass einer der welt­weit größ­ten IT-Kon­zer­ne offen­sicht­lich nicht weiß, wie Kun­den­pass­wör­ter gespei­chert wer­den müs­sen. Damit setzt Face­book sei­ne Kun­den einem unnö­ti­gen Risi­ko aus. Das ist in etwa so, wie wenn sich Fahr­gä­ste in einem Taxi nicht anschnal­len kön­nen, weil der Fah­rer nicht weiß, wie ein Sicher­heits­gurt funk­tio­niert.“

Da Unter­neh­men beim Anmel­de­pro­zess ledig­lich über­prü­fen müs­sen, ob Zugangs­ken­nung und Pass­wort zuein­an­der pas­sen, ist es Stand der Tech­nik, Pass­wör­ter regel­mä­ßig nur in ver­schlüs­sel­ter Form zu spei­chern, bei­spiels­wei­se als Hash­wert. Bei einem ähn­lich gela­ger­ten Fall hat­te der Lan­des­da­ten­schutz­be­auf­trag­te in Baden-Würt­tem­berg vor eini­gen Mona­ten aus die­sem Grund ein deut­sches Unter­neh­men mit einer Geld­bu­ße belegt.

Der BfDI ist sich daher sicher, dass auch der vor­lie­gen­de Fall peni­bel von den Daten­schutz­auf­sichts­be­hör­den unter­sucht wer­den wird: „Zum einen muss geklärt wer­den, ob Face­book vor­lie­gend gegen Mel­de­vor­schrif­ten nach der Daten­schutz-Grund­ver­ord­nung ver­sto­ßen hat. Das Pro­blem scheint ja bereits seit Janu­ar bekannt gewe­sen zu sein. Unab­hän­gig davon wird die in Euro­pa zustän­di­ge Iri­sche Daten­schutz­be­auf­trag­te sicher­lich die Ein­lei­tung eines Buß­geld­ver­fah­rens prü­fen. Und schließ­lich wer­den wir auch im Euro­päi­schen Daten­schutz­aus­schuss über den Fall dis­ku­tie­ren.“

Face­book hat­te heu­te bekannt gege­ben, dass über Jah­re hin­weg die Pass­wör­ter von hun­der­ten Mil­lio­nen Kun­den unver­schlüs­selt auf inter­nen Ser­vern lagen und so für mehr als 20.000 Mit­ar­bei­ter zugäng­lich waren. Beson­ders kri­tisch ist der Fall, weil die­se Daten nicht nur für den Zugang zum sozia­len Netz­werk selbst, son­dern auch als soge­nann­tes Sin­gle Sign-On genutzt wer­den kön­nen. Vie­le wei­te­re Apps oder Online-Dien­ste ermög­li­chen es, sich mit den Face­book-Zugangs­da­ten bei ihnen anzu­mel­den. So gewäh­ren die Daten poten­ti­ell auch den Zugriff auf wei­te­re gege­be­nen­falls sehr sen­si­ble Daten, etwa aus Gesund­heits-Apps. Face­book-Nut­zer soll­ten daher drin­gend ihr Pass­wort ändern. Tipps für siche­re Pass­wör­ter fin­den sich bei­spiels­wei­se auf der Web­site des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik.

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen wer­den.

Einem Bericht zufol­ge konn­ten Jour­na­li­sten Daten von 460.000 Nut­zern eines schwe­di­schen Kick­scoo­ter­ver­lei­hers ein­se­hen: Namen, Mail­adres­sen und Mobil­funk­num­mern. Von einem „gra­vie­ren­den Vor­fall“ spricht Ste­fan Brink, der Lan­des­be­auf­trag­te für Daten­schutz in Baden-Würt­tem­berg: „Da wür­de ich grund­sätz­lich schon von einem hohen Risi­ko aus­ge­hen, weil man mit sol­chen Daten zum Bei­spiel so etwas wie einen Iden­ti­täts­dieb­stahl bege­hen kann.“

https://​www​.br​.de/​n​a​c​h​r​i​c​h​t​e​n​/​n​e​t​z​w​e​l​t​/​d​a​t​e​n​p​a​n​n​e​-​b​e​i​-​s​t​a​r​t​-​u​p​-​v​o​i​,​R​L​5​H​b5R

Das sozia­le Netz­werk Myspace hat bei einem Ser­ver­um­zug aus Ver­se­hen mehr als 50 Mil­lio­nen Fotos, Vide­os und Musik­stücke unwie­der­bring­lich gelöscht.

Immer wie­der war­nen Exper­ten davor, dass das Inter­net nichts ver­gisst. Wenn der hoch­se­riö­se Arbeit­ge­ber einen beim Bewer­bungs­ge­spräch plötz­lich auf die Voll­rausch­fo­tos aus dem Strip­club beim Jung­ge­sel­len­ab­schied abspricht, kann das mehr als pein­lich sein. Aber auch der umge­kehr­te Fall ist nicht immer unbe­dingt ange­nehm, wie jetzt eine gigan­ti­sche Pan­ne beim sozia­len Netz­werk Myspace zeigt. Bei einem Umzug auf neue Ser­ver wur­den über 50 Mil­lio­nen alte Datei­en ver­se­hent­lich so kor­rum­piert, dass sie nicht mehr nutz- und wie­der­her­stell­bar sind. Von dem Daten­un­fall betrof­fen ist ein gro­ßer Teil der Medi­en­da­tei­en wie Fotos, Vide­os und vor allem Musik­stücke, die zwi­schen 2003 und 2015 auf Myspace ver­öf­fent­licht wur­den.

Das ist für die Nut­zer und das Netz­werk glei­cher­ma­ßen ärger­lich. Zwar hat die 2003 gegrün­de­te Platt­form ihren Zenit längst über­schrit­ten und hat Gigan­ten wie Face­book mit ihren zuletzt noch rund 10 bis 15 Mil­lio­nen monat­lich akti­ven Nut­zern kaum noch etwas ent­ge­gen zu set­zen. Aber gera­de bei noch wenig bekann­ten Künst­lern und ins­be­son­de­re Musi­kern ist die Platt­form noch immer beliebt, um neue Wer­ke zu ver­öf­fent­li­chen und sich dar­über ein Publi­kum zu erschlie­ßen. Immer­hin war Myspace vor dem gro­ßen Auf­schwung von You­tube bis fast 2010 unan­ge­foch­te­ner Spit­zen­rei­ter für sol­che Zwecke. Manch ein Back­up-Fau­ler die­ser Musi­ker könn­te damit nun einen Teil sei­ner Wer­ke für immer ver­lo­ren haben. Und das Netz­werk selbst dürf­te durch den Repu­ta­ti­ons­ver­lust sei­nen eige­nen Nie­der­gang noch­mals beschleu­nigt haben.

Der Lan­des­da­ten­schutz­be­auf­trag­te für den Daten­schutz, Dr. Ste­fan Brink, sieht das „Poten­zi­al für eine Kla­ge­wel­le“. Fir­men und Beschäf­tig­ten sei oft noch nicht bewusst, wie umfas­send das Aus­kunfts­recht sei; es müs­se „im Prin­zip alles“ her­aus­ge­ge­ben wer­den.

https://​www​.stutt​gar​ter​-zei​tung​.de/​i​n​h​a​l​t​.​u​r​t​e​i​l​-​d​e​s​-​l​a​n​d​e​a​r​b​e​i​t​s​g​e​r​i​c​h​t​s​-​d​a​t​e​n​s​c​h​u​t​z​-​f​i​r​m​e​n​-​d​r​o​h​t​-​p​r​o​z​e​s​s​w​e​l​l​e​.​8​3​1​6​a​d​b​5​-​1​c​e​0​-​4​7​2​b​-​9​6​3​e​-​2​e​d​8​7​6​8​2​f​4​c​d​.​h​tml

Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. hat sich den Fol­gen des Bre­xits aus Sicht des Daten­schutz gewid­met und in einem Merk­blatt zusam­men­ge­fasst.

Die­ses Merk­blatt soll beim rich­ti­gen Umgang mit den Fol­gen des unge­re­gel­ten Aus­tritts des Ver­ei­nig­ten König­rei­ches (UK) aus der Euro­päi­schen Uni­on (EU) hel­fen.

Infor­mie­ren möch­te der BvD mit die­sem Merk­blatt sowohl die von der Daten­ver­ar­bei­tung betrof­fe­nen Per­so­nen als auch Ein­rich­tun­gen wie Unter­neh­men, Ver­ei­ne, Ein­rich­tun­gen des öffent­li­chen Dien­stes, Arzt­pra­xen usw. die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten.

Vor­be­halt­lich etwai­ger Über­gangs­re­ge­lun­gen, die in einem mög­li­chen Rück­tritts­ab­kom­men ent­hal­ten sein kön­nen, gilt ab dem 30. März 2019:

Durch den Aus­tritt aus der EU wird UK zu einem Dritt­land im Sin­ne der Artt. 44 ff. Daten­schutz-Grund­ver­ord­nung (DS-GVO). Dem­nach muss grund­sätz­lich sicher­ge­stellt sein, dass ange­mes­se­ne Schutz­maß­nah­men in Groß­bri­tan­ni­en als Dritt­staat durch die Ziel­un­ter­neh­men bestehen (Art. 46 DS-GVO). Die­se Maß­nah­men beinhal­ten Stan­dard­ver­trags­klau­seln, Bin­ding Cor­po­ra­te Rules o. ä. Instru­men­te. Auf­trags­ver­ar­bei­tung und gemein­sa­me Ver­ar­bei­tung sind bei Anwen­dung der zusätz­li­chen Instru­men­te nach der DS-GVO auch in Dritt­staa­ten mög­lich.


Zum BvD Merk­blatt Bre­x­it

Eine Mal­wa­re-Wel­le, die offen­bar vor allem Unter­neh­men ins Visier nimmt, könn­te bald auch Deutsch­land betref­fen. Die seit 2014 immer wie­der auf­tau­chen­de Mal­wa­re “Shade” wird über Spam-Mails mit einem ange­häng­ten ZIP-Archiv ver­brei­tet. Laden die Betrof­fe­nen die ZIP-Datei her­un­ter, ver­schlüs­selt “Shade” Datei­en auf dem Lauf­werk. Ein Erpres­sungs­schrei­ben legen die Cyber-Kri­mi­nel­len als Text­da­tei auf den noch zugäng­li­chen Lauf­wer­ken ab.

Ein erster Schritt zum Schutz vor Spam-Mails: Der 3‑Se­kun­den-E-Mail-Check auf BSI für Bür­ger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E‑Mail/3_Sekunden_E-Mail_Sicherheitscheck.html

Zur Mel­dung von ZDnet: https://​www​.zdnet​.de/​8​8​3​5​2​9​4​3​/​e​s​e​t​-​w​a​r​n​t​-​v​o​r​-​s​p​a​m​w​e​l​l​e​-​m​i​t​-​r​a​n​s​o​m​w​a​r​e​-​s​h​a​de/

Zwar bekla­gen vie­le Fir­men den Auf­wand, den die DSGVO ver­ur­sacht. Doch eine Stu­die von Cis­co zeigt nun, dass die Umset­zung der Vor­ga­ben ihnen hand­fe­ste Vor­tei­le bei der Reak­ti­on auf Data Bre­a­ches und Daten­schutz­an­fra­gen von Kun­den bie­tet. Deutsch­land hinkt bei der DSGVO-Umset­zung aller­dings noch hin­ter­her.

Zwar müs­sen Unter­neh­men und ande­re Orga­ni­sa­tio­nen, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, die Daten­schutz­grund­ver­ord­nung bereits seit ver­gan­ge­nem Mai umset­zen, doch immer wie­der zei­gen Stu­di­en, dass längst nicht alle so weit sind. Ein ähn­li­ches Bild zeich­net nun auch die »Data Pri­va­cy Bench­mark Stu­dy« von Cis­co, die aller­dings deut­lich macht, dass die mei­sten Orga­ni­sa­tio­nen auf einem guten Weg sind. Und die zeigt, dass Orga­ni­sa­tio­nen, wel­che die DSGVO umset­zen, gerin­ge­re Ver­zö­ge­run­gen in Ver­kaufs­pro­zes­sen erfah­ren, wenn Kun­den sich mit Fra­gen zum Daten­schutz mel­den. Zudem gehen ihnen sel­te­ner und weni­ger Daten bei Sicher­heits­vor­fäl­len ver­lo­ren.

Für die Stu­die wur­den von Cis­co mehr als 3.200 Orga­ni­sa­tio­nen in 18 Län­dern befragt. Immer­hin 59 Pro­zent von die­sen sehen sich gut auf­ge­stellt und gehen davon aus, alle oder zumin­dest die mei­sten DSGVO-Vor­ga­ben zu erfül­len. Wei­te­re 29 Pro­zent erwar­ten, inner­halb eines Jah­res soweit zu sein. Inter­es­sant dabei ist, dass Deutsch­land mit 58 Pro­zent »DSGVO-Readi­ness« unter dem welt­wei­ten Durch­schnitt liegt, der durch vie­le außer­eu­ro­päi­sche Län­der nach unten gezo­gen wird. In Groß­bri­tan­ni­en (69 Pro­zent), Ita­li­en (72 Pro­zent) und Spa­ni­en (76 Pro­zent) ist man da deut­lich wei­ter – oder schätzt sich wenig­stens bes­ser auf­ge­stellt ein.

Die größ­ten Her­aus­for­de­run­gen, die bei der DSGVO-Umset­zung gese­hen wer­den, sind die Erfül­lung von Vor­ga­ben zur Daten­si­cher­heit (42 Pro­zent) und inter­ne Trai­nings (39 Pro­zent). Aber auch die Tat­sa­che, dass sich viel­fach erst in der Pra­xis zei­gen muss, wie Rege­lun­gen aus­ge­legt und umge­setzt wer­den müs­sen, sorgt häu­fig für Pro­ble­me (35 Pro­zent).

Schnel­le­re Beant­wor­tung von Daten­schutz­an­fra­gen

Den­noch lohnt sich die DSGVO für Unter­neh­men, weil sie Kun­den­an­fra­gen zum Daten­schutz bes­ser und schnel­ler beant­wor­ten kön­nen. Durch­schnitt­lich ver­zö­gern sich der Cis­co-Stu­die zufol­ge Ver­käu­fe um 3,9 Wochen, wenn Kun­den Daten­schutz­be­den­ken äußern. Bei den Orga­ni­sa­tio­nen, die »DSGVO-rea­dy« sind, sind es aller­dings durch­schnitt­lich nur 3,4 Wochen, wäh­rend es bei denen, die sich noch mehr als ein Jahr von der Umset­zung ent­fernt sehen, 5,4 Wochen sind. Ver­gleicht man das mit dem ver­gan­ge­nen Jahr, als die durch­schnitt­li­che Ver­zö­ge­rung noch bei 7,8 Wochen lag, sieht man aber auch, dass Orga­ni­sa­tio­nen die Daten­schutz­an­fra­gen ihrer Kun­den ins­ge­samt schnel­ler beant­wor­ten kön­nen.

Aller­dings ist das nur eine Sei­te der Medail­le, denn durch die DSGVO stieg all­ge­mein das Bewusst­sein für Daten­schutz, und so nahm auch die Zahl der dies­be­züg­li­chen Anfra­gen zu: Hat­ten im ver­gan­ge­nen Jahr noch 66 Pro­zent mit Ver­zö­ge­run­gen in Ver­kaufs­pro­zes­sen zu kämp­fen, so waren es zuletzt 87 Pro­zent.

Weni­ger Daten­ver­lu­ste und kür­ze­re Down­ti­mes

Auch auf die IT-Secu­ri­ty wirkt sich die DSGVO posi­tiv aus – wahr­schein­lich, weil Orga­ni­sa­tio­nen nun bes­ser wis­sen, wo per­so­nen­be­zo­ge­ne und ande­re wert­vol­le Daten lagern, die sie schüt­zen müs­sen. So hat­ten zwar die mei­sten Befrag­ten im ver­gan­ge­nen Jahr mit einem Data Bre­ach zu tun, doch dort, wo man die DSGVO bereits umge­setzt hat­te, waren es weni­ger Orga­ni­sa­tio­nen: 74 Pro­zent im Ver­gleich zu 89 Pro­zent bei denen, die sich erst in mehr als einem Jahr DSGVO-rea­dy sehen. Und bei ihnen waren auch weni­ger Daten betrof­fen (79.000 Daten­sät­ze vs. 212.000 Daten­sät­ze) und Down­ti­mes fie­len kür­zer aus (6,4 Wochen vs. 9,4 Wochen).

»Orga­ni­sa­tio­nen haben noch einen lan­gen Weg vor sich, um das Maxi­mum aus ihren Inve­sti­tio­nen in Daten­schutz her­aus­zu­ho­len. Unse­re Unter­su­chung zeigt aber, dass der Markt bestellt ist für die­je­ni­gen, die bereit sind in ihre Daten­be­stän­de und deren Schutz zu inve­stie­ren«, so Michel­le Den­ne­dy, Chief Pri­va­cy Offi­cer bei Cis­co.

Anläss­lich der Son­der­sit­zung des Aus­schus­ses für Inne­res und Hei­mat des Deut­schen Bun­des­ta­ges am 10.01.2019 erklärt der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Ulrich Kel­ber:

Der aktu­el­le Vor­fall beweist ein­mal mehr, dass mit der Digi­ta­li­sie­rung auch erheb­li­che daten­schutz­recht­li­che Risi­ken ver­bun­den sein kön­nen. Nur wenn man sich die­ser bewusst ist, wird man in Zukunft die­se Risi­ken auch best­mög­lich mini­mie­ren kön­nen.

Dabei ist zunächst natür­lich ein jeder selbst ver­pflich­tet, Maß­nah­men zum Schutz sei­ner digi­ta­len Iden­ti­tät zu ergrei­fen. Um dies zu ermög­li­chen, bedarf es zum einen einer wei­ter­ge­hen­den Sen­si­bi­li­sie­rung der Bevöl­ke­rung. Wenn wir wol­len, dass die Leu­te ihre Türen abschlie­ßen, müs­sen wir ihnen ver­ständ­lich machen, war­um dies erfor­der­lich ist und wo sie die ent­spre­chen­den Schlüs­sel fin­den.

Dies gilt natür­lich vor allem für die Anbie­ter von digi­ta­len Kom­mu­ni­ka­ti­ons­platt­for­men und Cloud-Dien­sten. Die­se müs­sen nicht nur auf die Schlüs­sel hin­wei­sen, son­dern sie viel­mehr über­haupt bereit­stel­len. Ich sehe dem­entspre­chend eine Pflicht die­ser Unter­neh­men, über­haupt die Chan­ce einer siche­ren Nut­zung ihrer Dien­ste zu ermög­li­chen. Hier­zu bedarf es zum einen ver­pflich­ten­der Vor­ga­ben, aus­schließ­lich star­ke Pass­wör­ter zu ver­wen­den, und zum ande­ren der frei­wil­li­gen Mög­lich­keit, dar­über hin­aus­ge­hend Kon­ten durch wei­te­re Maß­nah­men wie zum Bei­spiel einer Zwei-Fak­tor-Authen­ti­fi­zie­rung schüt­zen zu kön­nen.

Kommt es dann trotz­dem zu einer Daten­pan­ne, müs­sen sich die Unter­neh­men aktiv an deren Ein­däm­mung betei­li­gen. Jede Minu­te, in der ein Link nicht gelöscht oder ein geka­per­tes Kon­to nicht gesperrt wird, ver­grö­ßert die Gefahr, dass die ille­gal ver­öf­fent­lich­ten Daten wei­ter­ver­brei­tet wer­den und der Daten­schutz­ver­stoß damit unkon­trol­lier­bar wird.

Aus die­sem Grund soll­ten auch die Daten­schutz­auf­sichts­be­hör­den unver­züg­lich in die bestehen­den Mel­de­we­ge der han­deln­den Behör­den mit ein­be­zo­gen wer­den. Gera­de auf­grund unse­rer Erfah­rung im Umgang mit Daten­schutz­vor­fäl­len und den auf­grund der DSGVO vor­ge­se­he­nen Hand­lungs­mög­lich­kei­ten gegen­über den ver­ant­wort­li­chen Stel­len kön­nen wir maß­geb­lich dazu bei­tra­gen, die Nach­tei­le für die Betrof­fe­nen so gering wie mög­lich zu hal­ten.“

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen wer­den.

Mit Ulrich Kel­ber als Nach­fol­ger von Andrea Voß­hoff wur­de erst­mals ein Infor­ma­ti­ker in das Amt des Bun­des­da­ten­schutz­be­auf­trag­ten gewählt. Er erhielt 444 Stim­men bei 176 Gegen­stim­men und 37 Ent­hal­tun­gen, damit mehr Stim­men als zur Wahl erfor­der­lich waren (355), auch mehr Stim­men als SPD und CDU zusam­men im Bun­des­tag haben (398).

Der neue Lei­ter der Daten­schutz­be­hör­de sitzt seit dem Jahr 2000 für die SPD im Bun­des­tag. Unter ande­rem war er in die­ser Zeit als par­la­men­ta­ri­scher Staats­se­kre­tär für Ver­brau­cher­schutz, Miet­recht und Digi­ta­les zustän­dig, zudem ver­fügt er über rund zehn Jah­re Berufs­er­fah­rung im IT-Bereich. Er dürf­te damit deut­lich mehr Fach­kennt­nis mit­brin­gen als sei­ne viel­fach kri­ti­sier­te Vor­gän­ge­rin Andrea Voß­hoff.

Bei den daten­schutz­re­le­van­ten Abstim­mun­gen der letz­ten Jah­re trat er nicht durch­ge­hend für maxi­ma­len Daten­schutz ein. Auch wenn er, ent­ge­gen der Par­tei­li­nie, gegen Maß­nah­men wie die Online-Durch­su­chung war, stimm­te er bei­spiels­wei­se 2015 mit der SPD für eine Wie­der­ein­füh­rung der (nun vor­erst wie­der aus­ge­setz­ten) Vor­rats­da­ten­spei­che­rung.