DSK: Keine Abschaffung der Datenschutzbeauftragten

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) spricht sich gegen eine Abschaffung oder Verwässerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen der Pflicht zur Benennung einer oder eines Datenschutzbeauftragten aus. 

Nach § 38 Bundesdatenschutzgesetz müssen z. B. Unternehmen und Vereine Datenschutzbeauftragte benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Diese Pflicht hat sich seit vielen Jahren bewährt und ist deshalb auch bei der Datenschutzreform im deutschen Recht beibehalten worden. 

Die Datenschutzbeauftragten sorgen für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten. Dies hat sich ganz besonders bei der Umstellung auf die Datenschutz-Grundverordnung bewährt. 

Auch beim Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten bleiben die Pflichten des Datenschutzrechts bestehen. Verantwortliche verlieren jedoch interne Beraterinnen und Berater zu Fragen des Datenschutzes. Der Wegfall mag kurzfristig als Entlastung empfunden werden. Mittelfristig geht interne Kompetenz verloren. 

Eine Aufweichung dieser Benennungspflicht, insbesondere für kleinere Unternehmen und Vereine, wird diese daher nicht entlasten, sondern ihnen mittelfristig schaden. 

Zur Meldung DSK

BayLDA: Tätigkeitsbericht für die Jahre 2017 und 2018 vorgestellt

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 22.03.2019

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig, stellte am Freitag, dem 22. März 2019 in den neuen Räumen des BayLDA den Tätigkeitsbericht für die Jahre 2017 und 2018 vor.

Präsident Kranig stellte den 150-seitigen Tätigkeitsbericht für die vergangenen beiden Jahre vor und wies zunächst darauf hin, dass man konkrete Fälle aus dem Zeitraum vor Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO), d.h. vor dem 25. Mai 2018 nur dann in dem Bericht dargestellt habe, wenn sie auch noch für den neuen Rechtsrahmen Bedeutung haben.

Tätigkeitsbericht nur noch digital und in Zukunft jährlich
Er wies ferner darauf hin, dass das BayLDA erstmals darauf verzichtet habe, den Tätigkeitsbericht als Buch herauszugeben. Rückfragen bei den Adressaten der verschickten Tätigkeitsberichte hätten ergeben, dass diese nach Erhalt des Buches eigentlich nur noch mit der digitalen Version gearbeitet hätten. Der vorgelegte Tätigkeitsbericht ist der letzte mit einem zweijährigen Berichtszeitraum, da die Datenschutz-Grundverordnung die Aufsichtsbehörden verpflichtet, in Zukunft jährlich ihren Bericht vorzulegen.

Beratung, Beratung, Beratung
Wie nicht anders zu erwarten, ist das BayLDA – wie andere Aufsichtsbehörden auch – mit Anfragen überhäuft worden, wie die Vorschriften der DS-GVO im Einzelfall auszulegen sind. Große Unternehmen hatten in aller Regel die zweijährige Übergangsfrist vom Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2016 bis zur Anwendbarkeit am 25. Mai 2018 genutzt, um sich darauf vorzubereiten und ihre Verarbeitungsprozesse anzupassen. Viele kleine und mittlere Unternehmen, insbesondere aber auch Vereine, wurden von dem neuen Recht überrascht und durch irreführende Presseberichte (Klingelschilder, Verbietung von Kinderbildern) zusätzlich verunsichert. Die Anstrengungen, die gerade in diesem Bereich, für den die DS-GVO relativ wenig neue Anforderung gebracht hat, erforderlich waren, um die bestehende Verunsicherung zu beseitigen, waren unvorstellbar. Tatsache ist jedoch, dass auch heute knapp ein Jahr nach Anwendbarkeit der DS-GVO das Bedürfnis nach Beratung und Rechtssicherheit noch lange nicht befriedigt ist.

Zahlen und Fakten
Eine größere Anzahl von Aufsichtsbehörden hat sich darauf verständigt, in einem Kapitel „Zahlen und Fakten“ statistische Angaben in einem einheitlichen Format darzustellen. Wir haben uns bemüht, dies erstmals umzusetzen. Besser geworden sind die Zahlen dadurch jedoch nicht.

Um die gestiegene Belastung für jede einzelne Mitarbeiterin oder Mitarbeiter transparent zu machen, wurde ermittelt, wie viele Beratungsanfragen, Beschwerden und Bearbeitung von Datenmitteilung über Datenschutzverletzungen auf jeweils eine Person fallen. Fielen auf eine Person im Jahr 2014 noch 176 Beratungsanfragen, waren dies im Jahr 2018 schon 384. Die Zahl der Beschwerden stieg von 60 auf 152 und die Zahl der Bearbeitung von Datenschutzverletzungen von einem Fall auf 103 Fälle. Wichtig ist in diesem Zusammenhang aber darauf hinzuweisen, dass es darüber hinaus noch eine ganze Menge anderer Arbeiten wie die Teilnahme an Sitzungen der Aufsichtsbehörden, Vortragsveranstaltungen, Erarbeitung von Inhalten für die Homepage, von Papieren für die Datenschutzkonferenz oder den europäischen Datenschutzausschuss usw. gibt.

Personalentwicklung
Aus heutiger Sicht besteht die begründete Erwartung, dass nach Abschluss des derzeit laufenden Verfahrens zur Verabschiedung des Doppelhaushalts für die Jahre 2019 und 2020 wir nicht die beantragte Personalaufstockung um 10 Stellen, aber dennoch eine gewisse Personalverstärkung bekommen werden.

Relevante Einzelthemen
Das neue europäische Datenschutzrecht in Form einer Verordnung, d. h. einer Rechtsnorm die unmittelbar in allen Mitgliedstaaten der Europäischen Union anwendbar ist, stellt uns vor besondere Herausforderungen bei der Interpretation. Einerseits wünschen viele Verantwortliche, wie in der Datenschutz-Grundverordnung diejenigen genannt werden, die mit personenbezogenen Daten von anderen umgehen, Informationen darüber, wie bestimmte Vorschriften zu verstehen sind. Andererseits könnte eine rechtssichere Auskunft nur dann erteilt werden, wenn die europäischen Aufsichtsbehörden darüber ein einheitliches Verständnis erzielt haben. Dies ist aber ein schwieriger und zäher Prozess.

Wir haben uns deshalb entschieden, sehr früh unsere Standpunkte transparent zu machen, in Kurzpapieren zu veröffentlichen und auch bei Beratungen oder Veranstaltungen zu vertreten. Wir haben dabei immer versucht, darauf hinzuweisen, dass dies eine erste vorläufige Einschätzung ist, die dann keinen Bestand mehr hat, wenn sich entweder die Gesamtheit der deutschen und/oder europäischen Aufsichtsbehörden auf ein anderes Verständnis geeinigt hat oder wenn der Europäische Gerichtshof eine verbindliche Auslegung getroffen hat.

Die größten Unsicherheiten und häufigsten Anfragen und auch Aussagen von uns, bezogen sich auf die Informationspflichten, d. h. darauf, in welcher Art und Weise und in welchem Umfang Betroffene Personen darüber informiert werden müssen, wie mit ihren Daten umgegangen wird. Etwa ebenso häufig waren Fragen nach den Rechtsvoraussetzungen für die Veröffentlichung von Bildern von Vereinsfesten, Mitarbeiterzeitungen, Berichte über Veranstaltungen, Erstellen von Chroniken usw.

In 19 von 24 Kapiteln des Tätigkeitsberichts haben wir aus allen Bereichen, vom Datenschutz im Internet, über Werbung, Versicherungswirtschaft, Gesundheit, Videoüberwachung bis zum technischen Datenschutz und der Informationssicherheit Einzelfälle dargestellt und unsere Bewertung transparent gemacht.

Sinn und Zweck des Tätigkeitsberichts
Die Aufsichtsbehörden sind verpflichtet, einen Tätigkeitsbericht zu erstellen. Unser Ansatz dabei war, zum einen durch eine möglichst detaillierte statistische Aufbereitung Transparenz in unsere Arbeit zu bringen. Erfahrungsgemäß wird er am meisten von Datenschutzbeauftragten gelesen, die sich darüber orientieren wollen, welche Rechtsauffassung ihre Aufsichtsbehörde zu bestimmten Themen hat. Wir wünschen uns auch, dass Bürger, die keine Sachverständigen für Datenschutz sind, mit dem Tätigkeitsbericht etwas anfangen können. Wir haben uns deshalb bemüht, die Texte so zu formulieren, dass sie auch für Nichtsachverständige verständlich sind, andererseits aber auch durch Angabe der entsprechenden Rechtsgrundlagen Datenschutzfachleuten eine Orientierung geben.

Fundstelle des Tätigkeitsberichts
Der Tätigkeitsbericht für die Jahre 2017 und 2018 ist unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html

Die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht können hier abgerufen werden.

BfDI: Facebook offenbart erneut erhebliche Datenschutzdefizite

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 21.03.2019

Der aktuelle Skandal belegt, dass Facebook das Thema Datenschutz immer noch stiefmütterlich behandelt. Gerade weil die Facebook-Zugangsdaten auch für viele andere Dienste als Authentifizierungsmöglichkeit genutzt werden können, sollten Nutzer des sozialen Netzwerks unbedingt ihre Passwörter ändern.

Bei Ulrich Kelber, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, hat der erneute Skandal vor allem Kopfschütteln ausgelöst: „Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Da Unternehmen beim Anmeldeprozess lediglich überprüfen müssen, ob Zugangskennung und Passwort zueinander passen, ist es Stand der Technik, Passwörter regelmäßig nur in verschlüsselter Form zu speichern, beispielsweise als Hashwert. Bei einem ähnlich gelagerten Fall hatte der Landesdatenschutzbeauftragte in Baden-Württemberg vor einigen Monaten aus diesem Grund ein deutsches Unternehmen mit einer Geldbuße belegt.

Der BfDI ist sich daher sicher, dass auch der vorliegende Fall penibel von den Datenschutzaufsichtsbehörden untersucht werden wird: „Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Facebook hatte heute bekannt gegeben, dass über Jahre hinweg die Passwörter von hunderten Millionen Kunden unverschlüsselt auf internen Servern lagen und so für mehr als 20.000 Mitarbeiter zugänglich waren. Besonders kritisch ist der Fall, weil diese Daten nicht nur für den Zugang zum sozialen Netzwerk selbst, sondern auch als sogenanntes Single Sign-On genutzt werden können. Viele weitere Apps oder Online-Dienste ermöglichen es, sich mit den Facebook-Zugangsdaten bei ihnen anzumelden. So gewähren die Daten potentiell auch den Zugriff auf weitere gegebenenfalls sehr sensible Daten, etwa aus Gesundheits-Apps. Facebook-Nutzer sollten daher dringend ihr Passwort ändern. Tipps für sichere Passwörter finden sich beispielsweise auf der Website des Bundesamts für Sicherheit in der Informationstechnik.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

LBDI BW: Datenleck bei E-Scooter-Verleih

Einem Bericht zufolge konnten Journalisten Daten von 460.000 Nutzern eines schwedischen Kickscooterverleihers einsehen: Namen, Mailadressen und Mobilfunknummern. Von einem „gravierenden Vorfall“ spricht Stefan Brink, der Landesbeauftragte für Datenschutz in Baden-Württemberg: „Da würde ich grundsätzlich schon von einem hohen Risiko ausgehen, weil man mit solchen Daten zum Beispiel so etwas wie einen Identitätsdiebstahl begehen kann.“

https://www.br.de/nachrichten/netzwelt/datenpanne-bei-start-up-voi,RL5Hb5R

Gigantische Datenpanne bei Myspace

Das soziale Netzwerk Myspace hat bei einem Serverumzug aus Versehen mehr als 50 Millionen Fotos, Videos und Musikstücke unwiederbringlich gelöscht.

Immer wieder warnen Experten davor, dass das Internet nichts vergisst. Wenn der hochseriöse Arbeitgeber einen beim Bewerbungsgespräch plötzlich auf die Vollrauschfotos aus dem Stripclub beim Junggesellenabschied abspricht, kann das mehr als peinlich sein. Aber auch der umgekehrte Fall ist nicht immer unbedingt angenehm, wie jetzt eine gigantische Panne beim sozialen Netzwerk Myspace zeigt. Bei einem Umzug auf neue Server wurden über 50 Millionen alte Dateien versehentlich so korrumpiert, dass sie nicht mehr nutz- und wiederherstellbar sind. Von dem Datenunfall betroffen ist ein großer Teil der Mediendateien wie Fotos, Videos und vor allem Musikstücke, die zwischen 2003 und 2015 auf Myspace veröffentlicht wurden.

Das ist für die Nutzer und das Netzwerk gleichermaßen ärgerlich. Zwar hat die 2003 gegründete Plattform ihren Zenit längst überschritten und hat Giganten wie Facebook mit ihren zuletzt noch rund 10 bis 15 Millionen monatlich aktiven Nutzern kaum noch etwas entgegen zu setzen. Aber gerade bei noch wenig bekannten Künstlern und insbesondere Musikern ist die Plattform noch immer beliebt, um neue Werke zu veröffentlichen und sich darüber ein Publikum zu erschließen. Immerhin war Myspace vor dem großen Aufschwung von Youtube bis fast 2010 unangefochtener Spitzenreiter für solche Zwecke. Manch ein Backup-Fauler dieser Musiker könnte damit nun einen Teil seiner Werke für immer verloren haben. Und das Netzwerk selbst dürfte durch den Reputationsverlust seinen eigenen Niedergang nochmals beschleunigt haben.

Auskunftsrecht Mitarbeiter: Firmen droht Prozesswelle

Der Landesdatenschutzbeauftragte für den Datenschutz, Dr. Stefan Brink, sieht das „Potenzial für eine Klagewelle“. Firmen und Beschäftigten sei oft noch nicht bewusst, wie umfassend das Auskunftsrecht sei; es müsse „im Prinzip alles“ herausgegeben werden.

https://www.stuttgarter-zeitung.de/inhalt.urteil-des-landearbeitsgerichts-datenschutz-firmen-droht-prozesswelle.8316adb5-1ce0-472b-963e-2ed87682f4cd.html

BVD: Merkblatt zu den datenschutzrechtlichen Auswirkungen des Brexits

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat sich den Folgen des Brexits aus Sicht des Datenschutz gewidmet und in einem Merkblatt zusammengefasst.

Dieses Merkblatt soll beim richtigen Umgang mit den Folgen des ungeregelten Austritts des Vereinigten Königreiches (UK) aus der Europäischen Union (EU) helfen.

Informieren möchte der BvD mit diesem Merkblatt sowohl die von der Datenverarbeitung betroffenen Personen als auch Einrichtungen wie Unternehmen, Vereine, Einrichtungen des öffentlichen Dienstes, Arztpraxen usw. die personenbezogene Daten verarbeiten.

Vorbehaltlich etwaiger Übergangsregelungen, die in einem möglichen Rücktrittsabkommen enthalten sein können, gilt ab dem 30. März 2019:

Durch den Austritt aus der EU wird UK zu einem Drittland im Sinne der Artt. 44 ff. Datenschutz-Grundverordnung (DS-GVO). Demnach muss grundsätzlich sichergestellt sein, dass angemessene Schutzmaßnahmen in Großbritannien als Drittstaat durch die Zielunternehmen bestehen (Art. 46 DS-GVO). Diese Maßnahmen beinhalten Standardvertragsklauseln, Binding Corporate Rules o. ä. Instrumente. Auftragsverarbeitung und gemeinsame Verarbeitung sind bei Anwendung der zusätzlichen Instrumente nach der DS-GVO auch in Drittstaaten möglich.


Zum BvD Merkblatt Brexit

Ransomware: Neue Spamwelle im Anrollen

Eine Malware-Welle, die offenbar vor allem Unternehmen ins Visier nimmt, könnte bald auch Deutschland betreffen. Die seit 2014 immer wieder auftauchende Malware „Shade“ wird über Spam-Mails mit einem angehängten ZIP-Archiv verbreitet. Laden die Betroffenen die ZIP-Datei herunter, verschlüsselt „Shade“ Dateien auf dem Laufwerk. Ein Erpressungsschreiben legen die Cyber-Kriminellen als Textdatei auf den noch zugänglichen Laufwerken ab.

Ein erster Schritt zum Schutz vor Spam-Mails: Der 3-Sekunden-E-Mail-Check auf BSI für Bürger: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/3_Sekunden_E-Mail_Sicherheitscheck.html

Zur Meldung von ZDnet: https://www.zdnet.de/88352943/eset-warnt-vor-spamwelle-mit-ransomware-shade/

Cisco: Unternehmen profitieren von der DS-GVO

Zwar beklagen viele Firmen den Aufwand, den die DSGVO verursacht. Doch eine Studie von Cisco zeigt nun, dass die Umsetzung der Vorgaben ihnen handfeste Vorteile bei der Reaktion auf Data Breaches und Datenschutzanfragen von Kunden bietet. Deutschland hinkt bei der DSGVO-Umsetzung allerdings noch hinterher.

Zwar müssen Unternehmen und andere Organisationen, die personenbezogene Daten verarbeiten, die Datenschutzgrundverordnung bereits seit vergangenem Mai umsetzen, doch immer wieder zeigen Studien, dass längst nicht alle so weit sind. Ein ähnliches Bild zeichnet nun auch die »Data Privacy Benchmark Study« von Cisco, die allerdings deutlich macht, dass die meisten Organisationen auf einem guten Weg sind. Und die zeigt, dass Organisationen, welche die DSGVO umsetzen, geringere Verzögerungen in Verkaufsprozessen erfahren, wenn Kunden sich mit Fragen zum Datenschutz melden. Zudem gehen ihnen seltener und weniger Daten bei Sicherheitsvorfällen verloren.

Für die Studie wurden von Cisco mehr als 3.200 Organisationen in 18 Ländern befragt. Immerhin 59 Prozent von diesen sehen sich gut aufgestellt und gehen davon aus, alle oder zumindest die meisten DSGVO-Vorgaben zu erfüllen. Weitere 29 Prozent erwarten, innerhalb eines Jahres soweit zu sein. Interessant dabei ist, dass Deutschland mit 58 Prozent »DSGVO-Readiness« unter dem weltweiten Durchschnitt liegt, der durch viele außereuropäische Länder nach unten gezogen wird. In Großbritannien (69 Prozent), Italien (72 Prozent) und Spanien (76 Prozent) ist man da deutlich weiter – oder schätzt sich wenigstens besser aufgestellt ein.

Die größten Herausforderungen, die bei der DSGVO-Umsetzung gesehen werden, sind die Erfüllung von Vorgaben zur Datensicherheit (42 Prozent) und interne Trainings (39 Prozent). Aber auch die Tatsache, dass sich vielfach erst in der Praxis zeigen muss, wie Regelungen ausgelegt und umgesetzt werden müssen, sorgt häufig für Probleme (35 Prozent).

Schnellere Beantwortung von Datenschutzanfragen

Dennoch lohnt sich die DSGVO für Unternehmen, weil sie Kundenanfragen zum Datenschutz besser und schneller beantworten können. Durchschnittlich verzögern sich der Cisco-Studie zufolge Verkäufe um 3,9 Wochen, wenn Kunden Datenschutzbedenken äußern. Bei den Organisationen, die »DSGVO-ready« sind, sind es allerdings durchschnittlich nur 3,4 Wochen, während es bei denen, die sich noch mehr als ein Jahr von der Umsetzung entfernt sehen, 5,4 Wochen sind. Vergleicht man das mit dem vergangenen Jahr, als die durchschnittliche Verzögerung noch bei 7,8 Wochen lag, sieht man aber auch, dass Organisationen die Datenschutzanfragen ihrer Kunden insgesamt schneller beantworten können.

Allerdings ist das nur eine Seite der Medaille, denn durch die DSGVO stieg allgemein das Bewusstsein für Datenschutz, und so nahm auch die Zahl der diesbezüglichen Anfragen zu: Hatten im vergangenen Jahr noch 66 Prozent mit Verzögerungen in Verkaufsprozessen zu kämpfen, so waren es zuletzt 87 Prozent.

Weniger Datenverluste und kürzere Downtimes

Auch auf die IT-Security wirkt sich die DSGVO positiv aus – wahrscheinlich, weil Organisationen nun besser wissen, wo personenbezogene und andere wertvolle Daten lagern, die sie schützen müssen. So hatten zwar die meisten Befragten im vergangenen Jahr mit einem Data Breach zu tun, doch dort, wo man die DSGVO bereits umgesetzt hatte, waren es weniger Organisationen: 74 Prozent im Vergleich zu 89 Prozent bei denen, die sich erst in mehr als einem Jahr DSGVO-ready sehen. Und bei ihnen waren auch weniger Daten betroffen (79.000 Datensätze vs. 212.000 Datensätze) und Downtimes fielen kürzer aus (6,4 Wochen vs. 9,4 Wochen).

»Organisationen haben noch einen langen Weg vor sich, um das Maximum aus ihren Investitionen in Datenschutz herauszuholen. Unsere Untersuchung zeigt aber, dass der Markt bestellt ist für diejenigen, die bereit sind in ihre Datenbestände und deren Schutz zu investieren«, so Michelle Dennedy, Chief Privacy Officer bei Cisco.

BfDI: Statement zur Veröffentlichung von Daten von Mitgliedern des Deutschen Bundestages und weiteren Betroffenen

Anlässlich der Sondersitzung des Ausschusses für Inneres und Heimat des Deutschen Bundestages am 10.01.2019 erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber:

„Der aktuelle Vorfall beweist einmal mehr, dass mit der Digitalisierung auch erhebliche datenschutzrechtliche Risiken verbunden sein können. Nur wenn man sich dieser bewusst ist, wird man in Zukunft diese Risiken auch bestmöglich minimieren können.

Dabei ist zunächst natürlich ein jeder selbst verpflichtet, Maßnahmen zum Schutz seiner digitalen Identität zu ergreifen. Um dies zu ermöglichen, bedarf es zum einen einer weitergehenden Sensibilisierung der Bevölkerung. Wenn wir wollen, dass die Leute ihre Türen abschließen, müssen wir ihnen verständlich machen, warum dies erforderlich ist und wo sie die entsprechenden Schlüssel finden.

Dies gilt natürlich vor allem für die Anbieter von digitalen Kommunikationsplattformen und Cloud-Diensten. Diese müssen nicht nur auf die Schlüssel hinweisen, sondern sie vielmehr überhaupt bereitstellen. Ich sehe dementsprechend eine Pflicht dieser Unternehmen, überhaupt die Chance einer sicheren Nutzung ihrer Dienste zu ermöglichen. Hierzu bedarf es zum einen verpflichtender Vorgaben, ausschließlich starke Passwörter zu verwenden, und zum anderen der freiwilligen Möglichkeit, darüber hinausgehend Konten durch weitere Maßnahmen wie zum Beispiel einer Zwei-Faktor-Authentifizierung schützen zu können.

Kommt es dann trotzdem zu einer Datenpanne, müssen sich die Unternehmen aktiv an deren Eindämmung beteiligen. Jede Minute, in der ein Link nicht gelöscht oder ein gekapertes Konto nicht gesperrt wird, vergrößert die Gefahr, dass die illegal veröffentlichten Daten weiterverbreitet werden und der Datenschutzverstoß damit unkontrollierbar wird.

Aus diesem Grund sollten auch die Datenschutzaufsichtsbehörden unverzüglich in die bestehenden Meldewege der handelnden Behörden mit einbezogen werden. Gerade aufgrund unserer Erfahrung im Umgang mit Datenschutzvorfällen und den aufgrund der DSGVO vorgesehenen Handlungsmöglichkeiten gegenüber den verantwortlichen Stellen können wir maßgeblich dazu beitragen, die Nachteile für die Betroffenen so gering wie möglich zu halten.“

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.